Nach dem Bundesdatenschutzgesetz müssen auch Arztpraxen ab zehn Beschäftigten einen Datenschutzbeauftragten haben – mit festgelegter Qualifikation, Stellung und Aufgabe.
Wie jede andere „nicht öffentliche Stelle“ müssen auch eine mittelgroße und große Arztpraxis und ein Medizinisches Versorgungszentrum (MVZ) die Einhaltung des Datenschutzes institutionalisieren: Spätestens einen Monat nach Aufnahme der Tätigkeit hat die Praxis- beziehungsweise MVZ-Leitung eine Person zum betrieblichen Datenschutzbeauftragten zu bestellen, wenn „in der Regel“ mehr als neun Personen „ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt“ sind (siehe Bundesdatenschutzgesetz [BDSG] §§ 4 f, 4 g).
- Die Beschäftigung erfolgt „in der Regel“, wenn sie regelmäßig, nicht nur ausnahmsweise, aber nicht unbedingt sehr oft – es reicht zum Beispiel jeden Dienstag – ausgeübt wird.
- Die Anzahl der Beschäftigten richtet sich nach der Kopfzahl, unabhängig vom Status – zum Beispiel Voll- oder Teilzeitbeschäftigung, sozialversicherungs- und steuerpflichtig oder auf 400-Euro-Basis.
- Eine automatisierte Datenverarbeitung umfasst Eingabe, Abruf, Ändern oder Übermitteln von Daten im beziehungsweise aus dem elektronischen Praxissystem; eine ausschließliche Akten- oder Karteikartenverwaltung der Patientendaten kommt heute wegen der gesetzlichen Verpflichtung zu automatisiertem Datenaustausch nicht mehr vor.
- Personenbezogene Daten sind vor allem namentliche Patientendaten – Stammdaten und/oder Behandlungsdaten –, aber auch Kontaktdaten von Kooperationspartnern, Auftragnehmern und Lieferanten sowie Personaldaten von Mitarbeitern.
Arztpraxen, in denen weniger als zehn Personen mit der Praxis-EDV arbeiten, brauchen zwar keinen Datenschutzbeauftragten, müssen die Datenschutzvorschriften des BDSG aber dennoch einhalten. In diesen Fällen ist der leitende Arzt selbst verantwortlich.
Schweigepflicht
Dazu kann er sich zwar auch externen Sachverstand heranziehen; dieser darf wegen der ärztlichen Schweigepflicht aber keine Patientendaten zur Kenntnis nehmen (können), sondern beispielsweise nur bei der Konfiguration der Praxis-EDV beraten und unterstützen.
Anders der Datenschutzbeauftragte: Egal, ob es sich um einen Beschäftigten der Arztpraxis selbst handelt oder um eine externe Person, die sich beruflich auf diese Aufgabe spezialisiert hat und von der Praxisleitung bestellt wurde*: Der Datenschutzbeauftragte einer Arztpraxis und eines MVZ darf auch auf Patientendaten zugreifen, wenn es zur Erfüllung seiner Aufgaben erforderlich ist. Er unterliegt deswegen einer eigenen strafbewehrten Schweigepflicht.
Qualifikation
Welche Voraussetzungen muss ein Datenschutzbeauftragter erfüllen? Bedingungen sind „die erforderliche Zuverlässigkeit und Fachkunde“.
- Zuverlässigkeit bedeutet neben einem Führungszeugnis ohne einschlägige Verurteilungen vor allem das Fehlen von Interessenkonflikten. Solche sind zum Beispiel bei Verantwortlichen für die Praxis-/MVZ-EDV („IT-Leiter“), beim Personalchef, aber auch bei Betriebsratsvorsitzenden zu unterstellen. Hier würde sich die Person mit Doppelfunktion selbst kontrollieren müssen.
- Fachkunde umfasst die Kenntnis der einschlägigen Datenschutzvorschriften, ein zumindest ausbaufähiges Grundverständnis elektronischer Datenverarbeitung und Erfahrung mit der Organisation und den Prozessen im Gesundheitswesen. Die „erforderliche“ Fachkunde ist nach dem Gesetz ausdrücklich am Umfang der Datenverarbeitung und an der Sensibilität der verarbeiteten Daten zu messen. Beide sind in größeren Arztpraxen sicher nicht gering. Noch gibt es keinen staatlich anerkannten Beruf des Datenschutzbeauftragten; es gibt aber ein reichhaltiges Angebot von allgemeinen und spezifischen Aus- und Fortbildungskursen – auch mit Zertifikaten – bei Berufsverbänden, Anwaltssozietäten, Instituten, Aufsichtsbehörden und dem TÜV. Eine Übersicht nach Terminen bietet das „virtuelle Datenschutzbüro“ unter www.datenschutz.de/veranstaltungen/fortbildung.
Aufgaben
Die Aufgaben des Datenschutzbeauftragten liegen in der selbstständigen Prüfung und Kontrolle der praxisinternen personenbezogenen Datenverarbeitung einschließlich organisatorischer Verfahren, Übermittlungen an externe Stellen und der sicheren Anwendung der Verarbeitungsprogramme. Der Datenschutzbeauftragte ist der Praxis- oder Zentrumsleitung direkt unterstellt und in Ausübung seiner Fachkunde weisungsfrei und unabhängig. Er soll die Leitung beraten, auf Defizite aufmerksam machen und auf deren Behebung dringen. Er hat die Mitarbeiter im Datenschutz zu schulen, Verfahrensbeschreibungen zu führen und bei Bedarf den Kontakt mit der Datenschutzaufsichtsbehörde zu pflegen.
Stellung in der Praxis
Die Stellung des Datenschutzbeauftragten in der Arztpraxis ist nicht einfach, oft eine zwischen den Stühlen „Effizienz“ und „Datenschutz“. Rat, Empfehlung und Anforderungen des Datenschutzbeauftragten sind der Leitung wie den Mitarbeitern oft unbequem. Es ist eine schwierige, aber auch reizvolle Aufgabe, Verfahren so zu organisieren, dass sie sowohl datenschutzgerecht als auch praktikabel sind. Die arbeitsrechtliche Stellung des Datenschutzbeauftragten entspricht der eines Betriebsrates: Die Bestellung kann nur aus einem wichtigen Grund widerrufen werden, der eine fristlose Kündigung rechtfertigen würde. Aufgabe der Praxis- oder Zentrumsleitung ist es, der Mitarbeiterschaft die positive Funktion des Datenschutzes – vor allem des Patienten- und Mitarbeiterdatenschutzes – zu vermitteln und dem Datenschutzbeauftragten damit eine fördernde, keine nur kritisierende Aufgabe zuzuschreiben. Die Leitung hat den Datenschutzbeauftragten nach dem Gesetz zu unterstützen, ihn ausreichend zu informieren und ihn mit den notwendigen personellen und sachlichen Kapazitäten auszustatten.
Ausblick
Sowohl die rechtlichen als auch die technisch-organisatorischen Rahmenbedingungen für die Führung einer Arztpraxis oder eines medizinischen Versorgungszentrums sind in der Vergangenheit ständig komplexer geworden. Mit den verschiedenen Versorgungsformen („Selektivverträgen“) und der Einführung der elektronischen Gesundheitskarte wird sich diese Entwicklung weiter fortsetzen. Dies erfordert immer spezifischere Rechts- und Technikkenntnisse. Auch wenn ein Datenschutzbeauftragter häufig unbequem ist: Die Leitung beziehungsweise Geschäftsführung sollte ihn vor allem als Entlastung und als zusätzlichen Sachverstand sehen und behandeln, ihn intensiv fortbilden, seine Position bei den Mitarbeitern stärken und seine Anregungen ernst nehmen. Dies fördert auch die Sicherheit, dass Datenschutzprüfungen der Aufsichtsbehörde nicht zu bösen und teuren Überraschungen führen.
Damit Arztpraxen ihre gesetzliche Pflicht erfüllen können bieten wir eine Pauschale für die gesamte Datenschutzbetreuung sowie die Schulung der Mitarbeiter.