Datenschutz in der Arztpraxis: Brauchen Ärzte einen Datenschutzbeauftragten?

Datenschutz in der Arztpraxis: Brauchen Ärzte einen Datenschutzbeauftragten?
von Dr. Sebastian Kraska
20.01.2010 | Lesezeit: 4 min

Daten über die eigene Gesundheit sind sensibel zu handhaben. Dies spiegelt sich von jeher wider in der ärztlichen Schweigepflicht. Im Rahmen der Möglichkeiten elektronischer Datenverarbeitung drängt sich von Patientenseite her immer mehr das Bedürfnis auf, die eigenen Patientendaten besonders zu schützen. Niedergelassene Ärzte in Deutschland müssen generell die Bestimmungen des Bundesdatenschutzgesetzes für den nicht-öffentlichen Bereich beachten. Im Folgenden wird die Frage untersucht, inwieweit in Arztpraxen die Beschäftigung eines eigenen Datenschutzbeauftragten relevant ist.

 

Wann muss man überhaupt einen Datenschutzbeauftragten beschäftigen?

Gemäß § 4f BDSG müssen öffentlich und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit einen Beauftragten für den Datenschutz schriftlich bestellen. Gemäß § 4f Abs. 1 S. 3 gilt dies im Grundsatz nicht, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, was bei den meisten Arztpraxen der Fall sein dürfte.

Banner Starter Paket

Datenschutzbeauftragter ist auch nötig, wenn die Datenverarbeitung einer Vorabkontrolle unterliegt

Allerdings haben nicht-öffentliche Stellen unabhängig von der Anzahl der Arbeitnehmer gemäß § 4f Abs. 1 S. 6 einen Datenschutzbeauftragten zu bestellen, wenn die Verarbeitung der personenbezogenen Daten einer Vorabkontrolle im Sinne von § 4d Abs. 5 BDSG unterliegt. Unter Vorabkontrolle im Sinne der genannten Norm ist eine Prüfung vor Beginn der Verarbeitung zu verstehen. Auf diese wird, um den Rahmen nicht zu sprengen, an dieser Stelle nicht eingegangen. Es muss nur festgestellt werden, ob eine solche durchzuführen ist, damit bestimmt werden kann, ob deswegen auch die Bestellung eines Datenschutzbeauftragten nötig ist.

Welche Verarbeitungen unterliegen einer Vorabkontrolle nach § 4d Absatz 5 BDSG?

Daten unterliegen nach dieser Norm einer Vorabkontrolle, wenn automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen.

Eine Vorabkontrolle ist nach dieser Vorschrift insbesondere dann durchzuführen, wenn besondere Arten personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG verarbeitet werden. In diesem werden als besondere personenbezogene Daten die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit sowie Daten über die Gesundheit oder das Sexualleben genannt. Gesundheitliche Daten in diesem Sinne sind alle Angaben, welche die körperlichen und geistigen Zustände und Bewertungen eines Menschen einschließlich seines Verhaltens betreffen. Die Daten, welche ein Arzt jeglicher Fachrichtung in seinem Verarbeitungssystems aufnimmt, sind damit gesundheitliche Daten im Sinne dieser Vorschrift und damit besondere personenbezogene Daten, so dass nach § 4d Abs. 5 BDSG eine Vorabkontrolle nötig ist. Diese Bewertung ist im Sinne des Gesetzes, denn die Erhebung, Speicherung und Nutzung von Gesundheitsdaten betrifft den Betroffenen in einem sehr sensiblen Persönlichkeitsbereich.

Nach § 4d Abs. 5 S. 2 2. Halbsatz BDSG gibt es jedoch Ausnahmen, nach welchen eine Vorabkontrolle entfällt. Diese entfällt nach dem Wortlaut des Gesetzes, wenn entweder eine gesetzliche Verpflichtung zur Datenerhebung vorliegt, der Betroffene seine Einwilligung gegeben hat oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Damit muss an dieser Stelle geprüft werden, ob einer dieser Ausnahmetatbestände für den Fall der Arztpraxis vorliegt:

1) Auch wenn die Normen des BDSG den Arzt zur Erhebung etc. von Daten ermächtigen, korrespondiert diesem keine gesetzliche Verpflichtung. Der Arzt ist zwar im Verhältnis zum Patienten zur Dokumentation verpflichtet. Diese Verpflichtung ergibt sich aus § 10 MBO, der Berufsordnung der Ärzte. Die Bestimmung dieser Berufsordnung begründet jedoch keine gesetzliche Verpflichtung des Arztes, die Daten der Patienten elektronisch zu verarbeiten. Der erste Ausnahmetatbestand, nach dem eine Vorabkontrolle entfallen würde, ist damit nicht einschlägig.

2) Eine Vorabkontrolle kann auch dann entfallen, wenn alle Patienten ihre Einwilligung in die Datenverarbeitung geben. Damit können zwar Ärzte, die eine neue Praxis gründen ab dem ersten Patienten, der zur Behandlung erscheint, über das Einholen einer Einwilligungserklärung das Erfordernis eines Datenschutzbeauftragten umgehen, da so das Erfordernis einer Vorabkontrolle entfallen würde. Zu beachten wäre dabei aber, dass es sich, da es um besondere Arten personenbezogener Daten geht, um eine genaue Einwilligungserklärung handeln muss. In einer bereits bestehenden Praxis existieren jedoch in den meisten Fällen bereits Datenbestände ohne eingeholte Einwilligung. Dann ist diese Umgehung der Vorabkontrolle jedoch nicht möglich.

3) Der letzte Ausnahmetatbestand ist für Arztpraxen nicht einschlägig, da besondere Arten personenbezogener Daten im Sinne von § 3 Abs. 9 BDSG vorliegen. Nach dem Willen des Gesetzgebers sind die bereits genannten Erlaubnistatbestände als leges speciales zu verstehen, so dass in diesem besonderen Fall ein Rückgriff auf die Geschäftsbeziehung im Sinne von § 28 Abs. 1 S. 1 Nr. 1 BDSG nicht zuzulassen ist. Zudem ist mit der wohl herrschenden Meinung davon auszugehen, dass eine elektronische Erfassung und Verarbeitung von Patientendaten nicht erforderlich im Sinne des Gesetzes ist.

Damit greift vorliegend kein Erlaubnistatbestand ein, der eine Vorabkontrolle entfallen lassen würde. Im Rückschluss muss nach § 4f Abs. 1 BDSG für die Arztpraxis ein Datenschutzbeauftragter bestellt werden.

Gründet man eine neue Praxis und baut einen neuen Patientenstamm auf, kommt auch die Möglichkeit der Einholung einer Einwilligungserklärung in Betracht.

Fazit

Grundsätzlich braucht nach derzeit geltender Rechtslage jede bestehende Arztpraxis, die Patientendaten elektronisch verarbeitet, ohne bei jedem Patienten eine datenschutzrechtliche Einwilligungserklärung eingeholt zu haben, einen Datenschutzbeauftragten. Wird kein Datenschutzbeauftragter bestellt müsste dies zu Abmahnungen durch die Aufsichtsbehörde und zur Erhebung von Bußgeldern führen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© czardases - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

2 Kommentare

S
Sven Adam 16.09.2018, 18:02 Uhr
Ist das so?
Der Erwägungsgrund 91 zu Art. 35 DS-GVO sowie die Entschließung der Datenschutzkonferenz gegen die Annahme einer „umfangreichen“ Datenverarbeitung durch einen einzelnen Arzt spricht gegen die Pflicht zur Stellung eines Datenschutzbeauftragten. Diese Ansicht wird im Übrigen auch gestützt von der Europäischen Kommission: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers/does-my-company-organisation-need-have-data-protection-officer-dpo_en




Da eine „umfangreiche“ Verarbeitung in beiden in Frage kommenden Regelungen des Art. 37 DS-GVO als Voraussetzung für die Pflicht zur Bestellung eines Datenschutzbeauftragten aufgeführt ist, liegt nach Art. 37 DS-GVO keine Pflicht vor.

Es bleibt die Vorschrift des § 38 (1) S.2 BDSG zu beachten: „Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, […] haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“

Der in § 38 (1) S. 2 BDSG zitierte Art. 35 (3) Buchstabe c) setzt wiederum eine „umfangreiche“ Verarbeitung voraus und scheidet aus, die anderen Buchstaben des dritten Absatzes sind nicht einschlägig.

Art. 35 (1) S.1 DS-GVO regelt noch allgemein: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ Auch hier wird in einer mit „und“ verknüpften Aufzählung auf den Umfang der Verarbeitung abgestellt, so daß die Erfordernis zur Bestellung eines Datenschutzbeauftragten grundsätzlich nicht zu erkennen ist, solange die Praxis von einem einzelnen Arzt betrieben wird.
M
Markus Gettmann 20.01.2010, 13:08 Uhr
Arztpraxis: neues für die Klatschtanten
Sehr interessante Frage! Ich kann nur aus Erfahrung von meinem Hausarzt berichten: dieser befindet sich auf dem Land und dort ist es seit jeher ganz normal, dass der "Anmeldebereich" gerade nicht vom Warteraum getrennt ist. Sollten Sie also eine Untersuchung vornehmen lassen und vor Ort nach dem Ergebnis fragen, werden netterweise nicht nur Sie, sondern auch alle Wartenden informiert. Ist besonders praktisch, wenn Sie die Hälfte der Leute noch kennnen. Übrigens, ähnliches passiert, wenn Sie anrufen! Zuerst wird laut und deutlich Ihr Name genannt und dann das Ergebnis verkündet!:-((((

Weitere News

Frage des Tages: Muss der Datenschutzbeauftragte in der Datenschutzerklärung namentlich benannt werden?
(19.08.2024, 13:46 Uhr)
Frage des Tages: Muss der Datenschutzbeauftragte in der Datenschutzerklärung namentlich benannt werden?
Externer Datenschutzbeauftragter für Händler - bereits ab mtl. 32,5 Euro
(07.12.2022, 10:29 Uhr)
Externer Datenschutzbeauftragter für Händler - bereits ab mtl. 32,5 Euro
Externer Datenschutzbeauftragter und Datenschutz-Basis-Themen
(06.12.2022, 13:54 Uhr)
Externer Datenschutzbeauftragter und Datenschutz-Basis-Themen
Datenschutz: Rolle des Datenschutzbeauftragten unter der EU-Datenschutz-Grundverordnung
(27.06.2017, 15:55 Uhr)
Datenschutz: Rolle des Datenschutzbeauftragten unter der EU-Datenschutz-Grundverordnung
Oft gefragt: Muss der Datenschutzbeauftragte zwingend auf der Internetseite genannt werden?
(02.11.2015, 14:31 Uhr)
Oft gefragt: Muss der Datenschutzbeauftragte zwingend auf der Internetseite genannt werden?
Oft gefragt: Wann muss ein Datenschutzbeauftragter bestellt werden?
(17.09.2015, 14:33 Uhr)
Oft gefragt: Wann muss ein Datenschutzbeauftragter bestellt werden?
© 2004-2024 · IT-Recht Kanzlei