von RA, FA für MedizinR Torsten Münnch, D+B Rechtsanwälte Partnerschaft mbB, Berlin, www.db-law.de

Schon im Vorfeld macht sie kräftig Wirbel: die am 25.05.2018 in Kraft tretende europäische Datenschutz-Grundverordnung (DS-GVO). Sie wird ergänzt durch ein parallel geltendes Bundesdatenschutzgesetz (BDSG), wobei die DS-GVO Vorrang genießt. Für viele Arztpraxen stellt sich die Frage, ob nach den gesetzlichen Vorschriften ein interner oder externer betrieblicher Datenschutzbeauftragter bestellt werden muss.

Verarbeitung gesundheitsbezogener Daten ist Kerntätigkeit

Ein „Augen zu und durch“ ist nicht die richtige Strategie, weil die Sanktionen drastisch verschärft wurden: Bei Verstößen droht eine Geldstrafe in Höhe von 4 Prozent des Jahresumsatzes. Und eine behördliche Kontrolle ist kinderleicht vom Schreibtisch aus möglich: Nach Art. 37 Abs. 7 DS-GVO müssen nämlich die Kontaktdaten des Datenschutzbeauftragten der Aufsichtsbehörde mitgeteilt werden (Name, Postadresse oder E-Mail-Adresse oder Telefonnummer).

Nach Art. 37 DS-GVO trifft diese Pflicht jeden Unternehmer, dessen „Kerntätigkeit“ in der „umfangreichen“ Verarbeitung von Gesundheitsdaten besteht. Nun könnte man annehmen, die „Kerntätigkeit“ einer Arztpraxis bestünde nicht in der Verarbeitung von Gesundheitsdaten, sondern im ärztlichen Behandeln von Patienten. Das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes („Artikel-29-Datenschutzgruppe“) hat jedoch in seinem Working-Paper 243 die Auffassung vertreten, ein Krankenhaus sei nicht in der Lage, medizinische Versorgung zu leisten, wenn es dabei nicht gesundheitsbezogene Daten verarbeiten würde. Daher sei die Verarbeitung solcher Daten als Kerntätigkeit eines jeden Krankenhauses anzusehen.

Diese Auffassung wird man problemlos auf Arztpraxen übertragen können, insbesondere wenn man wie das Landessozialgericht Niedersachsen-Bremen davon ausgeht, dass die Dokumentation der ärztlichen Leistungen eine in § 57 BMV-Ä geregelte „zentrale“ berufsrechtliche und vertragsarztrechtliche Pflicht der Ärzte ist (Urteil vom 26.11.2014, Az. L 3 KA 70/12). Stimmt man dem zu, stellt sich zwar die weitere Frage, ob die Gesundheitsdatenverarbeitung in einer Arztpraxis „umfangreich“ ist. Der Erwägungsgrund 91 der DS-GVO verneint dies jedoch nur bei einem „einzelnen“ Arzt und auch nur – so jedenfalls die Meinung der Datenschutzkonferenz (DSK) der Datenschutzbehörden der Bundesländer – bei einer Einzelpraxis mit „durchschnittlicher“ Patientenzahl (DSK-Kurzpapier Nr. 12).

Zwischenergebnis: Alle Arztpraxen – bis auf Einzelpraxen mit einer höchstens durchschnittlichen Patientenzahl – müssen einen Datenschutzbeauftragten benennen.

Das BDSG fordert die „Teilnahme“ von 10 Mitarbeitern

Damit ist die Prüfung aber noch nicht zu Ende, denn die DS-GVO wird durch das BDSG ergänzt. Nach § 38 BDSG besteht für Praxen, die in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, die Pflicht, einen Datenschutzbeauftragten zu benennen. Danach muss also auch die – von der DS-GVO noch nicht erfasste – durchschnittliche Einzelpraxis mit neun jeweils halbtags tätigen MFA einen Datenschutzbeauftragten installieren – es sei denn (und hier beginnt die Unschärfe), eine (oder mehrere) MFA sind nicht „ständig“ an der Praxis-EDV tätig. Wann aber eine nur „gelegentliche“ Beschäftigung mit der automatisierten Verarbeitung personenbezogener Daten vorliegt, erläutert das Gesetz nicht.

Eine weitere Unschärfe liegt im Begriff „beschäftigen“. Sind hierzu nur diejenigen Personen zu zählen, die in der Praxis angestellt sind, oder auch Externe? Da insoweit noch rechtliche Unklarheit herrscht, sollte man den sicheren Weg wählen: Zu zählen sind schlicht alle Köpfe, die Zugang zu den Patientendaten in der EDV haben (also einschließlich Praxisinhaber, Weiterbildungsassistent, Azubi und externem EDV-Wartungstechniker). Wird die Zahl 10 erreicht, ist ein Datenschutzbeauftragter zu benennen.

Datenschutzbeauftragter auch bei „Verwendung neuer Technologien“

Aber auch wenn die Zählung in der durchschnittlichen Einzelpraxis die Zahl 10 nicht erreicht, kann es eine Pflicht zur Benennung eines Datenschutzbeauftragten geben. Nämlich dann, wenn die Praxis verpflichtet ist, eine „Datenschutz-Folgenabschätzung“ gemäß Art. 35 DS-GVO durchzuführen (so § 38 Abs. 1 S. 2 BDSG). Das ist immer der Fall, wenn in der Praxis die Form der Verarbeitung ein „hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat. Als Beispiel einer solch risikobehafteten Form der Verarbeitung nennt die DS-GVO die „Verwendung neuer Technologien“. Ob darunter auch die Anwendung von Gesundheitsapps oder Telemedizinische Anwendungen fallen, mag zweifelhaft sein. Aber es gilt auch hier: Im Zweifel sollte ein Datenschutzbeauftragter benannt werden.

Eine Datenschutz-Folgenabschätzung – und damit die Benennung eines Datenschutzbeauftragten auch in der kleinen Einzelpraxis – ist darüber hinaus erforderlich, wenn das Schadensrisiko aufgrund der Verarbeitungsart oder der Verarbeitungsumstände erhöht ist. Dazu dürften insbesondere Praxen gehören, bei denen die Praxis-EDV auf einem Internet-Rechner installiert ist oder bei denen auch von außerhalb (z. B. aus der Häuslichkeit des Arztes) auf die Patientendaten zugegriffen werden kann. Möglicherweise fällt darunter sogar die Praxis, in der der Bildschirm mit den Patientendaten von Patienten eingesehen werden kann – und sei es auch nur, weil der Patient einen Moment lang unbeaufsichtigt allein im Raum ist.

Fast jede Arztpraxis sollte einen Datenschutzbeauftragten benennen

Das Ergebnis mag nicht jedem gefallen: Den allermeisten Arztpraxen ist zu raten, einen Datenschutzbeauftragten zu benennen. Insbesondere in Zweifelsfällen sollte sich der Praxisinhaber – angesichts der verschärften Sanktionen – besser für als gegen die Benennung entscheiden. Nur wenn nach Anwendung der gesetzlichen Kriterien eine Benennungspflicht ganz sicher ausgeschlossen werden kann, kann der Arzt untätig bleiben.

Wer Datenschutzbeauftragter wird

Als Datenschutzbeauftragter kommt – außer dem Praxisinhaber – jede Person in Betracht, die das Fachwissens und die Fähigkeit dazu besitzt. Das können Praxismitarbeiter oder externe Anbieter sein.

Bei Praxismitarbeitern ist auf eine ausreichende Teilnahme an Schulungen zu achten, da das Fachwissen ggf. gegenüber der Aufsichtsbehörde nachgewiesen werden muss. Über Art und Umfang der Schulungen schweigt sich das Gesetz aus. Erforderlich sein dürften aber sowohl Wissen über die rechtlichen Rahmenbedingungen als auch ein technisches und betriebsbezogenes Verständnis von Datenverarbeitung. Außerdem ist zu berücksichtigen, dass das Arbeitsverhältnis eines zum Datenschutzbeauftragten berufenen Mitarbeiters nur aus wichtigem Grund gekündigt werden kann. Die ordentliche Kündigung ist also ausgeschlossen, und zwar sogar noch ein Jahr nach Ende der Tätigkeit als Datenschutzbeauftragter (nachwirkender Kündigungsschutz).

Nach Art. 38 DS-GVO muss der Datenschutzbeauftragte weisungsfrei seinen Aufgaben nachkommen können. Er darf nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden. Er muss frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden. Soweit er Ressourcen benötigt (z. B. Fachliteratur, Fortbildungsmaßnahmen), sind sie ihm zur Verfügung zu stellen.

Diese Aufgaben hat der Datenschutzbeauftragte

Der Datenschutzbeauftragte unterrichtet und berät den Praxisinhaber und die Mitarbeiter hinsichtlich der Pflichten nach den europäischen Datenschutzvorschriften und dem BDSG. Er überwacht die Einhaltung dieser Gesetze und der „Strategie des Verantwortlichen [gemeint ist der Praxisinhaber] für den Schutz personenbezogener Daten“. Allerdings ist er nicht befugt, dem Praxisinhaber Weisungen zu erteilen. Außerdem ist er Anlaufstelle für die Aufsichtsbehörde und zur Zusammenarbeit mit ihr verpflichtet. Eine gesetzliche Pflicht, Verstöße initiativ der Aufsichtsbehörde zu melden, besteht allerdings nicht. Schließlich hat er die Patienten bei Fragen zur Verarbeitung ihrer Daten und zur Wahrnehmung ihrer Rechte zu beraten (Art. 38 Abs. 4 DS-GVO).

Trotz dieser Aufgaben bleibt die Verantwortlichkeit des Praxisinhabers unberührt. Für Verstöße steht der Praxisinhaber – nicht der Datenschutzbeauftragte – gegenüber der Aufsichtsbehörde gerade. Gleichwohl sollte der Datenschutzbeauftragte seine Tätigkeiten dokumentieren, um ggf. nachweisen zu können, dass er seine Aufgaben ordnungsgemäß erfüllt hat.

Weiterführende Hinweise

• LDI NRW: Häufig gestellte Fragen zum Datenschutzbeauftragten (FAQ) unter www.iww.de/s563

• IHK Hannover: Muster für die Bestellung eines internen Datenschutzbeauftragten unter www.iww.de/s564