Grünebaum Internet Technologie für Freie Berufe
 


 

 

   Home : Infos : Der Datenschutzbeauftragte in der Praxis

Datenschutzbeauftragte in Arztpraxen 
Stellungnahme der Rechtsberatertagung der Kassenärztlichen Vereinigungen und der Ärztekammern vom 8.10.2001

Am 23.05.2001 ist ein neues Bundesdatenschutzgesetz in Kraft getreten (download als PDF-Datei 118 KB ). Die neuste Fassung stammt vom Januar 2002 (download als PDF-Datei 123 KB ). Dieses Gesetz enthält einige Regelungen, die auch für die ärztliche Praxis von Bedeutung sind. An dieser Stelle soll ausschließlich zu der Frage Stellung genommen werden, ob und unter welchen Voraussetzungen niedergelassene Ärzte verpflichtet sind, Datenschutzbeauftragte zu bestellen.

Die Voraussetzungen zur Bestellung von Datenschutzbeauftragten in Arztpraxen sind in § 4 f Bundesdatenschutzgesetzes in der Fassung vom 23.05.01 (BGBL I S 904 ff. vom 22.05.01) geregelt. Diese Regelung ersetzt den bisherigen § 36 BDSG (alt).

1. Voraussetzungen zur Bestellung von Datenschutzbeauftragten in Arztpraxen

§ 4 f lautet:

Beauftragter für den Datenschutz
(1) Öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für nicht öffentliche Stellen, die höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nicht öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen, haben sie unabhängig von der Anzahl der Arbeitnehmer einen Beauftragten für den Datenschutz zu bestellen.

(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Mit dieser Aufgabe kann auch eine Person außerhalb der verantwortlichen Stelle betraut werden. Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten aus einer anderen öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen.

(3) Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht öffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches, bei nicht öffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, widerrufen werden.

(4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.

(5) Die öffentlichen und nicht öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.

Wie bereits nach den Regelungen des bisher geltenden Bundesdatenschutzgesetzes sind Ärzte, die Patientendaten automatisiert verarbeiten, verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen.

Nach § 4 f Abs. 1 BDSG n. F. besteht diese Verpflichtung immer dann, wenn mehr als vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt werden.

Anders als zum Teil in der Presse verlautbart, sind die Rechtsberater der KBV und der BÄK, der Kassenärztlichen Vereinigungen und der Ärztekammern der Auffassung, dass es eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten in Arztpraxen unabhängig von der Anzahl der Beschäftigten nicht gibt. Zwar kennt das neue Bundesdatenschutzgesetz in § 4 f Abs. 1 Satz 6 die Regelung, dass unter bestimmten Voraussetzungen unabhängig von der Anzahl der Beschäftigten ein betrieblicher Datenschutzbeauftragter zu bestellen ist, jedoch greifen diese Tatbestandsvoraussetzungen für den Bereich der ärztlichen Praxis nicht.

Nach § 4 f Abs. 1 Satz 6 BDSG n. F. ist unabhängig von der Anzahl der Beschäftigten ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn die verpflichtete Stelle entweder 

  • der Vorabkontrolle unterliegt 

oder

  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erhebt, bearbeitet oder nutzt. 

Keine dieser Voraussetzungen ist im Bereich der ärztlichen Praxis gegeben.
Die automatisierte Datenverarbeitung in Arztpraxen unterliegt nicht der Vorabkontrolle. Zwar handelt es sich bei den Patientendaten um sog. sensitive Daten nach § 3 Abs. 9 BDSG n. F.. Nach § 4 d. Abs. 5 Satz 2, Nr. 1 2 HS. fällt die Verarbeitung der Patientendaten jedoch nicht unter die gesetzlich vorgesehene Vorabkontrolle, da die Erhebung und Verarbeitung der Patientendaten immer mit Einwilligung des Betroffenen erfolgt bzw. die Erhebung, Verarbeitung oder Nutzung im Rahmen der Zweckbestimmung des Behandlungsverhältnisses stattfindet.

Auch § 4 f Abs. 1 Satz 6 2. Alternative BDSG neue Fassung (geschäftsmäßig zum Zweck der Übermittlung) führt nicht zu einer Verpflichtung, unabhängig von der Anzahl der Beschäftigten, einen betrieblichen Datenschutzbeauftragten zu bestellen, da Patientendaten nicht zum Zweck der Übermittlung erhoben, verarbeitet oder genutzt werden. Patientendaten werden zulässigerweise im Rahmen eines Behandlungsvertrages erhoben. Selbst wenn sie zum Zwecke der Abrechnung an privatärztliche Verrechnungsstellen übermittelt werden sollen, erfolgt damit keine geschäftsmäßige Erhebung, Verarbeitung oder Nutzung zum Zwecke der Übermittlung. Die Übermittlung ist Nebenzweck des Behandlungsvertrages. Auch soweit Patientendaten etwa zu Anwendungsbeobachtungen an pharmazeutische Unternehmen übermittelt werden, führt dieses nicht dazu, dass unabhängig von der Anzahl der Beschäftigten ein betrieblicher Datenschutzbeauftragter zu bestellen ist.

Diese Auslegung wird auch durch die Gesetzesbegründung zu § 4 f Abs. 1 Satz 6 BDSG n. F. bestätigt. In der Begründung wird ausgeführt, dass durch diese Regelungen vor allen Dingen Marktforschungsunternehmen oder Adresshandel erreicht werden sollen. Eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten in Arztpraxen ergibt sich somit ausschließlich aus dem § 4 f Abs. 1 Satz 1 bis 5.

2. Ermittlung der Anzahl der Beschäftigten

Während § 36 (alte Fassung) vorsah, dass die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten dann gegeben war, wenn mindestens fünf Arbeitnehmer ständig mit der automatisierten Datenverarbeitung beschäftigt waren, ist in § 4 f Abs. 1 BSDG in der Fassung vom 23.05.2001 diese Eingrenzung nicht mehr enthalten. Voraussetzung ist vielmehr, dass höchstens vier Arbeitnehmer überhaupt mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind. Nach Auffassung der Rechtsberater sind bei der Ermittlung der Anzahl der Arbeitnehmer/innen, die mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind, die Mitarbeiterinnen zu berücksichtigen, die nicht nur gelegentlich mit der Datenverarbeitung beschäftigt sind, dieses sind typischerweise die Mitarbeiter/innen, die z.B. mit der Datenerfassung (Empfang) oder Datenverarbeitung (Abrechnung) befasst sind.

3. Qualifikation des betrieblichen Datenschutzbeauftragten

§ 4 f Abs. 2 BDSG n. F. legt die qualitativen Anforderungen an betriebliche Datenschutzbeauftragte fest. Zum betrieblichen Datenschutzbeauftragten kann nur bestellt werden, wer die zur Erfüllung der Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Zur erforderlichen Fachkunde gehören neben guten Kenntnissen über die technischen Gegebenheiten auch gute Kenntnisse über die rechtlichen Regelungen. 

4. Externer Datenschutzbeauftragter

Da das Bundesdatenschutzgesetz in § 4 f Abs. 2 Satz 2 nunmehr ausdrücklich auch den externen Datenschutzbeauftragten vorsieht, gehen die Rechtsberater davon aus, dass mit der Wahrnehmung der Funktion des betrieblichen Datenschutzbeauftragten in Arztpraxen auch Externe beauftragt werden können. Die Regelungen zur Einhaltung der ärztlichen Schweigepflicht sind jedoch auch in diesem Fall zu beachten.

5. Fragen des Bundesdatenschutzgesetz n. F.

Die weitergehenden Fragen, die im Zusammenhang mit dem Inkrafttreten des neuen Bundesdatenschutzgesetzes auch für die ärztliche Praxis von Bedeutung sind, werden in Kürze abschließend bearbeitet werden. Die Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, Deutsches Ärzteblatt vom 25.10.1996, Seite A2809-2814, werden zur Zeit überarbeitet.

Ulrike Wollersheim, KBV

 

 
QM Dokumentenverwaltung

 

GITnet - Arts

 
 

 

Diskussionsforen Qualitätsmangement in der ärztlichen und psychotherapeutischen Praxis Mebeq Gitnet Passwortgenerator Generieren Sie im Handumdrehen sichere Passworte nach verschiedenen Vorgaben

 

Seite drucken

Stand: 11.07.2010
(c) 2006 by GITnet