Datenschutz in der Arztpraxis: brauchen Ärzte einen Datenschutzbeauftragten?
Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska und Frau Rechtsanwältin Alma Lena Fritz
19.01.2010 - Daten über die eigene Gesundheit sind sensibel zu handhaben. Dies spiegelt sich von jeher wider in der ärztlichen Schweigepflicht. Im Rahmen der Möglichkeiten elektronischer Datenverarbeitung drängt sich von Patientenseite her immer mehr das Bedürfnis auf, die eigenen Patientendaten besonders zu schützen. Niedergelassene Ärzte in Deutschland müssen generell die Bestimmungen des Bundesdatenschutzgesetzes für den nicht-öffentlichen Bereich beachten. Im Folgenden wird die Frage untersucht, inwieweit in Arztpraxen die Beschäftigung eines eigenen Datenschutzbeauftragten relevant ist.
Wann muss man überhaupt einen Datenschutzbeauftragten beschäftigen?
Gemäß § 4f BDSG müssen öffentlich und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit einen Beauftragten für den Datenschutz schriftlich bestellen. Gemäß § 4f Abs. 1 S. 3 BDSG gilt dies im Grundsatz nicht, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, was bei den meisten Arztpraxen der Fall sein dürfte.
Datenschutzbeauftragter ist auch nötig, wenn die Datenverarbeitung einer Vorabkontrolle unterliegt
Allerdings haben nicht-öffentliche Stellen unabhängig von der Anzahl der Arbeitnehmer gemäß § 4f Abs. 1 S. 6 BDSG einen Datenschutzbeauftragten zu bestellen, wenn die Verarbeitung der personenbezogenen Daten einer Vorabkontrolle im Sinne von § 4d Abs. 5 BDSG unterliegt. Unter Vorabkontrolle im Sinne der genannten Norm ist eine Prüfung vor Beginn der Verarbeitung zu verstehen. Auf diese wird, um den Rahmen nicht zu sprengen, an dieser Stelle nicht eingegangen. Es muss nur festgestellt werden, ob eine solche durchzuführen ist, damit bestimmt werden kann, ob deswegen auch die Bestellung eines Datenschutzbeauftragten nötig ist.
Welche Verarbeitungen unterliegen einer Vorabkontrolle nach § 4d Absatz 5 BDSG?
Daten unterliegen nach dieser Norm einer Vorabkontrolle, wenn automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen.
Eine Vorabkontrolle ist nach dieser Vorschrift insbesondere dann durchzuführen, wenn besondere Arten personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG verarbeitet werden. In diesem werden als besondere personenbezogene Daten die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit sowie Daten über die Gesundheit oder das Sexualleben genannt. Gesundheitliche Daten in diesem Sinne sind alle Angaben, welche die körperlichen und geistigen Zustände und Bewertungen eines Menschen einschließlich seines Verhaltens betreffen. Die Daten, welche ein Arzt jeglicher Fachrichtung in seinem Verarbeitungssystems aufnimmt, sind damit gesundheitliche Daten im Sinne dieser Vorschrift und damit besondere personenbezogene Daten, so dass nach § 4d Abs. 5 BDSG eine Vorabkontrolle nötig ist. Diese Bewertung ist im Sinne des Gesetzes, denn die Erhebung, Speicherung und Nutzung von Gesundheitsdaten betrifft den Betroffenen in einem sehr sensiblen Persönlichkeitsbereich.
Nach § 4d Abs. 5 S. 2 2. Halbsatz BDSG gibt es jedoch Ausnahmen, nach welchen eine Vorabkontrolle entfällt. Diese entfällt nach dem Wortlaut des Gesetzes, wenn entweder eine gesetzliche Verpflichtung zur Datenerhebung vorliegt, der Betroffene seine Einwilligung gegeben hat oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.
Damit muss an dieser Stelle geprüft werden, ob einer dieser Ausnahmetatbestände für den Fall der Arztpraxis vorliegt:
- Auch wenn die Normen des BDSG den Arzt zur Erhebung etc. von Daten ermächtigen, korrespondiert diesem keine gesetzliche Verpflichtung. Der Arzt ist zwar im Verhältnis zum Patienten zur Dokumentation verpflichtet. Diese Verpflichtung ergibt sich aus § 10 MBO, der Berufsordnung der Ärzte. Die Bestimmung dieser Berufsordnung begründet jedoch keine gesetzliche Verpflichtung des Arztes, die Daten der Patienten elektronisch zu verarbeiten. Der erste Ausnahmetatbestand, nach dem eine Vorabkontrolle entfallen würde, ist damit nicht einschlägig.
- Eine Vorabkontrolle kann auch dann entfallen, wenn alle Patienten ihre Einwilligung in die Datenverarbeitung geben. Damit können zwar Ärzte, die eine neue Praxis gründen ab dem ersten Patienten, der zur Behandlung erscheint, über das Einholen einer Einwilligungserklärung das Erfordernis eines Datenschutzbeauftragten umgehen, da so das Erfordernis einer Vorabkontrolle entfallen würde. Zu beachten wäre dabei aber, dass es sich, da es um besondere Arten personenbezogener Daten geht, um eine genaue Einwilligungserklärung handeln muss. In einer bereits bestehenden Praxis existieren jedoch in den meisten Fällen bereits Datenbestände ohne eingeholte Einwilligung. Dann ist diese Umgehung der Vorabkontrolle jedoch nicht möglich. [Update März 2013: einige Datenschutz-Aufsichtsbehörden vertreten hier eine andere Auffassung und halten die Vorabkontrolle (und damit im Ergebnis die Bestellung eines Datenschutzbeauftragten) aufgrund des bestehenden Behandlungsvertrages für entbehrlich.]
- Der letzte Ausnahmetatbestand ist für Arztpraxen nicht einschlägig, da besondere Arten personenbezogener Daten im Sinne von § 3 Abs. 9 BDSG vorliegen. Nach dem Willen des Gesetzgebers sind die bereits genannten Erlaubnistatbestände als leges speciales zu verstehen, so dass in diesem besonderen Fall ein Rückgriff auf die Geschäftsbeziehung im Sinne von § 28 Abs. 1 S. 1 Nr. 1 BDSG nicht zuzulassen ist. Zudem ist mit der wohl herrschenden Meinung davon auszugehen, dass eine elektronische Erfassung und Verarbeitung von Patientendaten nicht erforderlich im Sinne von § 28 Abs. 1 S. 1 Nr. 1 BDSG ist (dies richtet sich vielmehr nach § 28 Abs. 6 ff. BDSG, der indes im Rahmen von § 4d Abs. 5 S. 2 2. Halbsatz BDSG mangels Verweis keine Berücksichtigung findet).
Damit greift vorliegend kein Erlaubnistatbestand ein, der eine Vorabkontrolle entfallen lassen würde. Im Rückschluss muss nach § 4f Abs. 1 BDSG für die Arztpraxis ein Datenschutzbeauftragter bestellt werden.
Gründet man eine neue Praxis und baut einen neuen Patientenstamm auf, kommt auch die Möglichkeit der Einholung einer Einwilligungserklärung in Betracht. Hierbei ist insbesondere § 4a Abs. 3 BDSG zu beachten, der an die Einwilligungserklärung in die Erhebung, Verarbeitung und Nutzung von Patientendaten besondere Voraussetzungen knüpft.
Fazit
Grundsätzlich braucht nach derzeit geltender Rechtslage jede bestehende Arztpraxis, die Patientendaten elektronisch verarbeitet, ohne bei jedem Patienten eine datenschutzrechtliche Einwilligungserklärung eingeholt zu haben, einen Datenschutzbeauftragten. Wird kein Datenschutzbeauftragter bestellt müsste dies zu Abmahnungen durch die Aufsichtsbehörde und zur Erhebung von Bußgeldern führen.