Grundlagen des Datenschutzes: Ein Datenschutzbeauftragter in der Arztpraxis
Die EU-Datenschutzgrundverordnung bringt eine massive Veränderung für Arztpraxen mit sich. Ab Mai 2018 muss häufig ein Datenschutzbeauftragter benannt werden.
Bislang war nach dem Bundesdatenschutzgesetz (BDSG) die Bestellung eines Datenschutzbeauftragten in einer Arztpraxis nur in seltenen Ausnahmefällen gesetzlich erforderlich. Dies wird sich ab 25. Mai 2018 jedoch grundlegend ändern. Die Benennung eines Datenschutzbeauftragten ist in Deutschland ab diesem Zeitpunkt dann erforderlich, wenn in der Regel mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das fordert die EU-Datenschutzgrundverordnung (EU-DSGVO), die die nationalen Schutzgesetze weitestgehend ablöst. Diese Voraussetzung wird in vielen Arztpraxen allerdings nicht erfüllt sein.
Nach der neuen Verordnung muss ein Datenschutzbeauftragter aber auch benannt werden, wenn die umfangreiche Verarbeitung besonders geschützter Daten den Kern der Tätigkeit bildet oder eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist. Auf die Zahl der Mitarbeiter kommt es dann nicht an. Eine DSFA ist vorzunehmen, wenn ein voraussichtlich hohes Risiko mit der Verarbeitung von Daten – wie bei Patientendaten üblich – verbunden ist.
Selbstverständlich ist die Ausübung der Heilkunde der Kern der ärztlichen Tätigkeit. Allerdings gibt es, gerade für Vertragsärzte, eine Vielzahl von Dokumentations- und Abrechnungspflichten, deren Grundlage die Erhebung umfangreicher Daten bildet. Ein Unternehmen – im datenschutzrechtlichen Sprachgebrauch Verantwortlicher genannt – kann dabei durchaus mehrere Kerntätigkeiten haben. „Bereits dem Wortlaut nach spricht einiges dafür, dass Arztpraxen, in denen regelmäßig und umfangreich besonders geschützte Patienten- oder Gesundheitsdaten zu verarbeiten sind, dem Anwendungsbereich der genannten Bestimmungen unterliegen“, erklärt Tim Müller, Rechtsanwalt und Fachanwalt für Medizinrecht bei Ecovis in München.
Diese Überlegung wird durch die Erwägungsgründe der EU-DSGVO gestützt. In diesen erläutert der europäische Gesetzgeber, aus welchen Motiven und mit welcher Absicht er bestimmte Vorschriften erlassen hat. Sie dienen daher als wichtige Verständnisquelle europäischen Rechts.
Erwägungsgrund 91 (Auszug)
„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufs oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“
Der europäische Gesetzgeber hat also erkannt, dass die Verarbeitung besonders geschützter Patienten- und Gesundheitsdaten neben der heilberuflichen Ausübung zentral für die ärztliche Tätigkeit ist. Er hat nur die Datenverarbeitung durch einen einzelnen Arzt vom Anwendungsbereich der Vorschrift ausgenommen. Der Gesetzgeber geht davon aus, dass dessen Datenverarbeitung nicht als umfangreich gilt.
Neue Pflichten für Mehrarzteinrichtungen
Dies bedeutet im Umkehrschluss allerdings für alle Mehrarzteinrichtungen, insbesondere für alle Gemeinschaftspraxen und Medizinischen Versorgungszentren, aber auch für alle Fälle, in denen (auch) angestellte Ärzte tätig sind, dass deren Datenverarbeitung als umfangreich gilt. „In solchen Praxen ist daher unserer Auffassung nach ab Mai 2018 zwingend ein Datenschutzbeauftragter zu benennen“, hebt Axel Keller, Rechtsanwalt bei Ecovis in Rostock und seit vielen Jahren als Datenschutzbeauftragter in Gesundheitseinrichtungen tätig, besonders hervor. „Ein Verstoß gegen die Pflicht zur Benennung eines Datenschutzbeauftragten kann erhebliche Bußgelder zur Folge haben. Da die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der jeweiligen Aufsichtsbehörde des Bundeslandes zwingend mitzuteilen sind“, erklärt Keller weiter, „ist leicht zu kontrollieren, ob die Ärzte ihren Pflichten nachkommen.“
Der Datenschutzbeauftragte kann sowohl Beschäftigter des Verantwortlichen, also der Praxis, als auch ein externer Beauftragter sein. Die EU-DSGVO bestimmt lediglich, dass der Datenschutzbeauftragte auf der Grundlage
- seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie
- seiner Fähigkeit zur Erfüllung der ihm obliegenden Aufgaben
benannt wird.
Rechte und Pflichten eines Datenschutzbeauftragten
Der Datenschutzbeauftragte sollte stets unabhängig und mit einem gewissen Durchsetzungsvermögen agieren, um seine Aufgaben erfüllen zu können. Ist die Benennung eines Datenschutzbeauftragten verpflichtend, dann sind vor der Benennung eines Mitarbeiters als interner Datenschutzbeauftragter einige Besonderheiten zu berücksichtigen:
- Die Abberufung des Datenschutzbeauftragten ist nur aus wichtigem Grund zulässig.
- Der Beschäftigte genießt während der Zeit seiner Benennung und für die Dauer von einem Jahr nach deren Ende einen Sonderkündigungsschutz. Das Arbeitsverhältnis kann in dieser Zeit also nicht wirksam durch ordentliche Kündigung beendet werden.
Natürlich müssen auch Arztpraxen ohne Pflicht zur Bestellung eines Datenschutzbeauftragten die nach der EU-DSGVO bestehenden Pflichten erfüllen. „Unabhängig von den zu erfüllenden Anforderungen kann die Bestellung eines Datenschutzbeauftragten für die Praxis ohnehin sinnvoll sein, um sich möglichst wenig angreifbar zu machen“, erklärt Ecovis-Rechtsanwalt Tim Müller.
Drastische Strafen
Die Aufsichtsbehörden können ab Mai 2018 bei Verstößen gegen das Datenschutzgesetz zwei Gruppen von massiven Bußgeldern verhängen:
- Bis zu 10 Millionen Euro oder 2 Prozent des Vorjahresumsatzes
- Bis zu 20 Millionen oder 4 Prozent des Vorjahresumsatzes
Tim Müller, Rechtsanwalt und Fachanwalt für Medizinrecht bei Ecovis in München
Axel Keller, LL.M., Rechtsanwalt bei Ecovis in Rostock