Sind in Ihrer Arztpraxis mehr als 10 Arbeitnehmer tätig, die ständig mit dem Führen der elektronischen Patientenkartei bzw. der elektronisch erfassten Abrechnung befasst sind? Dann ist Ihnen zu raten, einen so genannten Datenschutzbeauftragten zu bestellen.
Das Bundesdatenschutzgesetz verpflichtet sämtliche Unternehmer zur Bestellung von betrieblichen Datenschutzbeauftragten, sofern deren Betriebe den gesetzlich vorgegebenen Anwendungsbereich des Gesetzes eröffnen. Bei Ärzten trifft dies zu, wenn sie als sogenannte verantwortliche Stelle mindestens 10 Personen wenigstens vorübergehend mit automatisierter Datenerhebung, -verarbeitung oder -nutzung beschäftigen. Das trifft beispielsweise bei Medizinischen Fachangestellten zu, die im Empfangsbereich einer Praxis arbeiten. Unter solche Personen fallen aber nicht nur Arbeitnehmer wie Medizinische Fachangestellten, sondern auch freie Mitarbeiter und Auszubildende, sofern sie mit der automatisierten Verarbeitung personenbezogener Daten befasst sind.
Kommen Sie dieser gesetzlichen Verpflichtung nicht nach, stellt dies eine Ordnungswidrigkeit dar und kann dies unter Umständen durch die Aufsichtsbehörde mit einem Bußgeld bis zu 50.000,- € geahndet werden. Sie sollten daher für sich überprüfen, ob die Bestellung eines Datenschutzbeauftragten erforderlich ist. Sollten Sie zu dem Ergebnis kommen, dass dies der Fall ist, ist zu überlegen, wer für diese Funktion konkret in Betracht kommt.
Datenschutzbeauftragten
Zum Datenschutzbeauftragten kann nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Hierzu gehören technische, organisatorische wie rechtliche Kenntnisse. Er ist in erster Linie Ansprechpartner für Datenschutzfragen sowohl für die Unternehmensleitung als auch die anderen Beschäftigten. Weiter hat er die ordnungsgemäße Anwendung von Datenverarbeitungsprogrammen zu überwachen sowie die bei der Verarbeitung personenbezogener Daten tätigen Personen mit den Datenschutzvorschriften vertraut zu machen. Bei der Erfüllung seiner Aufgabe ist er weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.
Bei einem internen Datenschutzbeauftragten ist das wesentliche Tätigkeitsfeld entsprechend arbeitsvertraglich festzulegen. Zu beachten ist, dass der betreffende Mitarbeiter von seinen bisherigen Aufgaben zumindest teilweise entlastet werden muss, damit er seine Aufgaben als Datenschutzbeauftragter auch nachkommen kann. Daneben benötigt er entsprechende Lehrgänge und die Ausbildung. Weiter besteht ihm gegenüber ein absoluter Kündigungsschutz. Seine Kündigung ist daher nahezu unmöglich. Überdies muss ihm die Aufgabe für mindestens fünf Jahre übertragen werden. Inhabern von Arztpraxen bzw. dessen Verwandten und Ärzten in leitender Funktion (MVZ) sollten diese Aufgaben indes aufgrund zu befürchtender Interessenkollisionen nicht übertragen werden.
Bei kleineren Arztpraxen empfiehlt sich daher meist eher die Bestellung eines externen Datenschutzbeauftragten. Die Person des Datenschutzbeauftragten muss nicht unbedingt dem eigenen Betrieb angehören. Die Bestellung erfolgt in diesem Fall mittels eines Dienstleistungsvertrages. Ein Widerruf der Bestellung ist ebenfalls nur aus wichtigem Grund möglich. Es können hier aber auf mindestens zwei Jahre befristete Bestellungsverträge geschlossen werden. Zum Schutz der ärztlichen Schweigepflicht unterliegenden Daten wird die Schweigepflicht auf den von dem betreffenden Arzt bestellten externen Datenschutzbeauftragten erstreckt. Unbedacht blieb dabei aber, dass dies dem stets zu wahrenden Selbstbestimmungsrecht der Patienten in keinem Fall genügt. Diese müssen entscheiden können, wem gegenüber sie sensible Daten wir Erkrankungen, Arztbesuche etc. offenbaren. Dieser Aspekt darf daher nicht übergangen werden. Mithin empfehlen wir Ihnen zu Ihrer eigenen Absicherung, das Einverständnis eines jeden Patienten in die Offenlegung Ihrer personenbezogenen Daten an den externen Datenschutzbeauftragten einzuholen. Bei neuen Patienten kann dies in einem Formblatt, etwa dem Anamnesebogen erfolgen, bei Alt-Patienten sollte ein schriftlicher Informationsvordruck bei dem nächsten anstehenden Arzttermin bereit gelegt werden und von den betreffenden Patienten unterschrieben lassen werden.
Fazit:
Ist in Ihrem Fall die Bestellung eines betrieblichen Datenschutzbeauftragten erforderlich, sollte dessen Auswahl daher sorgfältig vorgenommen werden. Sie sollten sich jemanden suchen, der sich wirklich auskennt und Erfahrung hat. Bei der Bestellung eines eigenen Mitarbeiters ist der Zeitaufwand für diese Tätigkeit zu beachten. Dieser kann nicht abstrakt festgelegt werden. Dies hängt beispielsweise von der Größe der Praxis, dem Umfang der dort betriebenen Datenverarbeitung und der Tatsache ab, ob dem Datenschutzbeauftragten weiteres Personal zur Verfügung steht. In der Einarbeitungsphase wird zunächst eine umfangreiche Bestandsaufnahme erfolgen müssen. Dabei werden die wesentlichen Datenschutzstrukturen festgelegt. Im Anschluss hieran muss der Datenschutzbeauftragte nach den Umständen des Einzelfalls einschätzen, wie häufig weitere Überprüfungen erforderlich sind. Die Bestellung eines externen Beauftragten dürfte daher für die meisten Arztpraxen die kosteneffektivste Wahl sein.
Doch Achtung: Sollten Sie nicht unter den Anwendungsbereich des Datenschutzgesetzes unterfallen und demzufolge keinen Beauftragten für den Datenschutz bestellen müssen, sind Sie nicht von der Einhaltung des Datenschutzrechts befreit. Sie haben ebenso die einschlägigen Datenschutzgesetze zu berücksichtigen.
