Montag, 16. Dezember 2002

Datenschutzbeauftragte in der Arztpraxis

Die Organisation des Datenschutzes in ambulanten Arztpraxen ist keine einfache Aufgabe: Wie gestalte ich die EDV der Praxis, wie die Informationsabläufe, wie die Dokumentation der Patientendaten, wie die Abschottung gegen unberechtigte Kenntnisnahmen? Für die Beantwortung dieser sowie ähnlicher Fragen hat der Arzt selbst oft weder die nötige Zeit noch das nötige Know-How. Dies ist Grund genug, einen Mitarbeiter als betrieblichen Datenschutzbeauftragten zu bestellen. Damit genügt man zugleich auch einer Pflicht nach dem Bundesdatenschutzgesetz.

Dr. Thilo Weichert
Der vorliegende Text ist die Grundlage für eine Veröffentlichung in der Zeitschrift Frauenarzt 1/2003

Aktion "Datenschutz in meiner Arztpraxis"

Im Jahr 2001 startete das Unabhängige Landeszentrum für Datenschutz (ULD), die Ärztekammer und die Zahnärztekammer Schleswig-Holstein die gemeinsame Aktion "Datenschutz in meiner Arztpraxis". Durch eine Vielzahl unterschiedlicher Module soll mit der Aktion der Schutz des Patientengeheimnisses in ambulanten Arztpraxen wie auch in Krankenhäusern verbessert werden. Dass dies nötig ist, zeigen nicht nur die Beschwerden beim ULD und den Kammern sowie die Datenschutzkontrollen des ULD, sondern auch das Ergebnis einer größeren Umfrage, die das ULD jüngst in Kiel durchführte: Über 95% der Befragten erklärten, dass ihnen die Beachtung der ärztlichen Schweigepflicht ein wichtiges Anliegen sei, aber ca. 50% konnten davon berichten, dass sie schon unberechtigt von fremden Patientengeheimnissen bei ihren Arztbesuchen Kenntnis erlangt haben. Zu den vielen unterschiedlichen Teilen unserer Aktion gehören Beratungs- und Informationsangebote (siehe dazu Frauenarzt 9/2002, 1114 ff. mit einem Selbst-Check) wie auch Fortbildungsveranstaltungen. Viele Materialien sind zusammengestellt auf der Webseite des ULD unter der Adresse www.datenschutzzentrum.de/medizin. Doch die besten Informationen nützen nur wenig, wenn unklar bleibt, wie diese Vorschläge in die Realität umgesetzt werden können. Dabei kann ein betrieblicher Datenschutzbeauftragter (bDSB) eine wichtige Rolle erfüllen.

Wer trägt die Verantwortung?

Bei den Kontakten eines Datenschützers mit ambulanten Arztpraxen sind die organisatorischen Probleme schnell erkennbar: Die Verantwortung für die Wahrung des Datenschutzes und des Patientengeheimnisses liegt zweifellos bei dem jeweils leitenden Arzt bzw. der Ärztin. Doch die sind mit Behandlung, Praxisführung und Abrechnungsfragen regelmäßig schon übermäßig belastet. Sie können und wollen sich oft nicht noch weitere Aufgaben "ans Bein binden". Positive Erfahrungen machten die Mitarbeiter des ULD dagegen z.B. bei den Arzthelferinnen, z.B. bei Sonderkursen mit Auszubildenden in der Berufsschule. Die Arzthelferinnen haben einen engen Kontakt zu den Patientinnen; ihnen obliegt auch die Umsetzung der Abläufe in der Praxis. Zwar sind alle Mitarbeiter und Mitarbeiterinnen durch die berufliche Schweigepflicht nach § 203 Strafgesetzbuch (StGB) in gleichem Maße gebunden. Doch ist Datenschutz angesichts des Einsatzes von elektronischer Datenverarbeitung und der komplexen Organisationsabläufe schon längst ein Thema, das eine Spezialisierung erfordert. Dieses besondere Wissen kann durch die Inanspruchnahme externer Experten in die Praxis eingebracht werden. Unsere Erfahrung ist aber, dass i.d.R. die Beauftragung und besondere Ausbildung einer eigenen Mitarbeiterin ein noch wirksamerer Weg zur Gewährleistung des Patientengeheimnisses ist.

Diese Spezialisierung ist nicht nur sinnvoll, sondern in vielen Fällen auch gesetzliche Pflicht: Das Bundesdatenschutzgesetz (BDSG) verpflichtet in § 4f (seit 2001, zuvor § 36 BDSG a.F.) unter bestimmten Voraussetzungen zur Bestellung eines betrieblichen Datenschutzbeauftragten. Doch was die Einhaltung dieser Pflicht angeht, scheint das Vollzugsdefizit groß zu sein. Bei Prüfungen müssen die Datenschutzaufsichtsbehörden wie das ULD feststellen, dass die Ärzte zumeist von dieser Pflicht gar nichts wissen und ihr nicht entsprechen. Die Ursache hierfür ist regelmäßig nicht böser Wille, sondern mangelnde Kenntnis nicht nur über die Pflicht zur Bestellung eines bDSB, sondern auch über das "Wie" der Umsetzung. Dieses Defizit kann und soll behoben werden.

Wann ist ein betrieblicher Datenschutzbeauftragter zwingend vorgeschrieben?

Auch wenn die Bestellung des bDSG eine gesetzliche Pflicht ist, so sollte sie keine lästige Pflicht sein. Der bDSB ist ein vom Gesetzgeber vorgesehenes Hilfsangebot, wie Ärztinnen und Ärzte, denen der Schutz der Daten ihrer Patienten wichtig ist, dieses Anliegen im Alltag umsetzen können. Daher sollte nicht der Buchstabe des Gesetzes, sondern dessen Sinn und Zweck im Vordergrund stehen. Selbst wenn das Gesetz gar nicht zur Anwendung käme, kann es sinnvoll sein, sich daran zu orientieren. Doch wer in die Gesetze hineinsieht, ist erst einmal ernüchtert: Die Normen sind derart kompliziert formuliert, dass sie selbst für Juristen kaum verständlich sind. Dabei ist das, was an Inhalt dahinter steckt, relativ klar und einfach.

Da in jeder Arztpraxis personenbezogene Patientendaten verarbeitet werden, ob konventionell auf bzw. in Karteikarten oder elektronisch, ist das Bundesdatenschutzgesetz (BDSG) anwendbar. Dort gilt für Arztpraxen vor allem der 1. (allgemeine Bestimmungen) und der 3. Abschnitt (Verarbeitung in nichtöffentlichen, d.h. privaten Unternehmen). Bei großen Arztpraxen mit 20 und mehr Beschäftigten mit Kontakt zu Patientendaten besteht generell die Pflicht zur Bestellung eines bDSB (§ 4f Abs. 1 S. 3 BDSG). Da Patientendaten besonders sensible Informationen sind, deren automatisierte Verarbeitung grundsätzlich einer sog. Vorabkontrolle unterliegen, empfiehlt sich allein schon aus diesem Grund auch bei weniger Mitarbeitern die Bestellung eines bDSB. Zwar meint eine Stellungnahme der Bundesärztekammer, bei Arztpraxen sei die Vorabkontrolle nicht nötig, weil die Verarbeitung der Patientendaten immer mit Einwilligung der Betroffenen bzw. auf Grund eines Behandlungsvertrages erfolge (§ 4d Abs. 5 S. 2 Nr. 2 2. HS. BDSG). Doch muss in diesem Zusammenhang darauf hingewiesen werden, dass z.B. sämtliche Datenübermittlungen an die Kassenärztlichen Vereinigungen nicht auf Vertrag oder Einwilligung beruhen, sondern auf den gesetzlichen Regelungen des Sozialgesetzbuches V. Außerdem gilt die Pflicht zur Vorabkontrolle bei sensiblen Daten unabhängig vom Grund der Speicherung. Wie dem auch sei. Sind mindestens zehn Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, so muss auch ein bDSB bestellt werden (§ 4f Abs. 1 S. 4 BDSG). Mit der Datenverarbeitung beschäftigt sind in eine Praxis fast alle Mitarbeiterinnen, z.B. am Empfang (Erfassung, Terminvergabe), beim Schreiben von Arztbriefen, bei der Abwicklung der Abrechnung, der Durchführung von Voruntersuchungen oder personifizierten Labortests...

Wer sollte als bDSB bestellt werden?

Zum bDSB darf nur bestellt werden, wer die zur Erfüllung dieser Aufgabe erforderliche Fachkunde und Zuverlässigkeit hat (§ 4f Abs. 2 S. 1 BDSG). Dies bedeutet: der bDSB muss die relevanten Regelungen (BDSG, § 203 StGB, ärztliches Standesrecht, die Regeln nach dem Sozialgesetzbuch - SGB - V) kennen. Er muss darüber hinaus aber auch technische und organisatorische Kenntnisse haben. Natürlich gehört zum Anforderungsprofil des bDSB, dass er von den organisatorischen Abläufen mit den Patientendaten in der Praxis (Erhebung, Speicherung, Übermittlung, Dokumentation) weiß und das beim Einsatz der EDV nötige Computerwissen hat. Dies bedeutet nicht, dass der bDSB selbst programmieren können müsste. Wohl aber muss er das eingesetzte System mit allen seinen Komponenten kennen; er muss damit umgehen können und von den Maßnahmen für die Datensicherheit eine praktische Vorstellung haben (z.B. ID- und Passworteingabe, Vergabe von Zugangsberechtigungen, sichere Aufbewahrung der Datensicherheitskopien, evtl. Verschlüsselung, bei Internet-Verbindung Abschottung der Patientendaten gegen externe Angriffe).

Diese Kenntnisse hat u.U. der Arzt selbst. Vielleicht gibt es auch in der Praxis einen EDV-Freak, der sich vor allem auch mit Fragen der Sicherheitstechnik gut auskennt und der zugleich die Systemverantwortlichkeit hat. Trotzdem sollte weder der Chef noch der Systemadministrator zum bDSB gemacht werden. Denn Aufgaben des bDSB sind Kontrolle und Beratung. Sich selbst zu kontrollieren oder zu beraten macht wenig Sinn. Für diese Aufgaben sollte man eine weitere Person finden, die sich im Sinne eines Vieraugenprinzips mit dem Chef oder dem Systemverantwortlichen austauschen kann. Geeignet sind unseres Erachtens Arzthelferinnen mit einer gewissen Berufserfahrung. Gut ist es, wenn sie schon mit etwas EDV-Kenntnissen an diese neue Aufgabe herangehen. Eine Vertiefung des technischen und rechtlichen Wissens kann und muss evtl. dann durch spezielle Kurse erfolgen (dazu siehe weiter unten).

Nimmt der bDSB neben dem Datenschutz noch weitere Aufgaben wahr, so ist dies grds. kein Problem. Tatsächlich kann der Arbeitsaufwand eines bDSB sehr gering sein, wenn es mit dem Datenschutz in einer Praxis gut bestellt ist und laufend die notwendigen Nachbesserungen dadurch erfolgen, dass der Datenschutz bei der Organisation der Verfahrensabläufe gleich mitgedacht wird. Nicht zu empfehlen ist aber, einen Mitarbeiter mit den Aufgaben des bDSB zu betrauen, der durch diese Funktion mit seinen sonstigen Aufgaben in Interessenskonflikte geraten würde (so z.B. der Systemadministrator, s.o.).

Eine moderne und beliebte Methode auch im Medizinbereich ist das "Outsourcing", das Herausverlagern von eigenen Aufgaben an externe Dienstleister. Daher werden wir immer wieder mit der Frage konfrontiert, ob die Aufgaben des bDSB nicht auch von einer externen Firma, einem Rechtsanwalt oder gar einem auf Datenschutz spezialisierten Berater wahrgenommen werden kann. Dazu stellt die Stellungnahme der Bundesärztekammer klar, dass es wohl möglich ist, mit der Wahrnehmung der Funktion eines bDSB einen Externen zu beauftragten (§ 4f Abs. 2 S. 2 BDSG): "Die Regelungen zur Einhaltung der ärztlichen Schweigepflicht sind jedoch auch in diesem Fall zu beachten". Dies bedeutet: Entweder holt der Arzt - vergleichbar mit der Abrechnung durch eine privatärztliche Verrechnungsstelle (PVS) - bei Abschluss des Behandlungsvertrages von den Patienten eine Einwilligung zur Offenbarung der Patientendaten an den externen bDSB ein, oder dieser darf nicht in Patientendaten Einsicht nehmen. Wie Letzteres konkret im Bereich der Kontrolle und Beratung umgesetzt werden soll, bleibt unklar. Daher rät das ULD für den Fall, dass eine Pflicht zur Bestellung eines bDSB besteht, zunächst eine eigene Mitarbeiterin hierfür zu suchen und diese entsprechend fortzubilden. Sollte sich hierfür partout niemand finden, kann immer noch auf die externe Lösung zurückgegriffen werden.

Tatsächlich haben Rechtsanwälte und EDV-Berater genau diese Marktlücke entdeckt und bieten ambulanten Arztpraxen ihre Dienste als bDSB an. Doch sollte man dabei nicht nach dem Muster "die billigste Lösung ist auch die beste" vorgehen. Vielmehr sollte man sich die Referenzen der externen Anbieter genau ansehen und dann im Vertrag präzise festlegen, welche Dienstleistungen bzw. genauer welche Aufgaben mit dem Auftrag verbunden sind (siehe Externe Datenschutzbeauftragte und Patientengeheimnis unter www.datenschutzzentrum.de/medizin).

Bestellung und Stellung des bDSB

Der bDSB ist spätestens innerhalb eines Monats nach Aufnahme der personenbezogenen Datenverarbeitung schriftlich zu bestellen (§ 4f Abs. 1 S. 1, 2 BDSG). Unterbleibt eine rechtzeitige Bestellung, so erfüllt dies grds. einen Bußgeldtatbestand (§ 43 Abs. 1 Nr. 2 BDSG). Doch sind die Datenschutzaufsichtsbehörden hier nachsichtig, wenn sie erkennen, dass die Bestellung mangels Kenntnis der Regelung bisher unterblieben ist und diese umgehend nachgeholt wird. Die schriftliche Bestellungsurkunde (siehe dazu Muster am Ende dieses Dokumentes) wird u.U. im Rahmen einer Datenschutzprüfung durch die Aufsichtsbehörde verlangt (§ 38 Abs. 1 u. 3 BDSG). Daher sollte man hierauf in keinem Fall verzichten. Empfehlenswert ist neben der Bestellung die arbeitsvertragliche Fixierung der wesentlichen Tätigkeitsfelder. Entsprechendes gilt bei einem externen bDSB in einem Dienstleistungsvertrag.

Ein bDSB kann zugleich für mehrere Arztpraxen zuständig sein. Dies ist z.B. bei externen bDSB regelmäßig der Fall. Auch eine gemeinsame Berufung eines Mitarbeiters in einer Praxisgemeinschaft ist möglich. Wenn dieser einen Anstellungsvertrag mit allen beteiligten Ärzten hat, hat dies gegenüber dem externen bDSB den Vorteil, dass ihm als Hilfsperson der Ärzte (§ 203 Abs. 3 StGB) Patientengeheimnisse offenbart werden dürfen. Ein solcher gemeinsamer bDSB kann daher - anders als ein externer bDSB - ungehindert Prüfungen durchführen und dabei in Patientenakten Einblick nehmen. Selbstverständlich darf der bDSB aber die Informationen aus einer Praxis Mitarbeitern der anderen Praxis bzw. Praxen nicht weitergeben.

Der bDSB ist im Hinblick auf seine Datenschutztätigkeit direkt dem jeweiligen leitenden Arzt unterstellt (§ 4f Abs. 3 S. 1 BDSG). Er ist in der Ausübung dieser Tätigkeit weisungsfrei und er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt oder gar gekündigt werden (§ 4f Abs. 3 S. 2-5 BDSG). Damit soll die Unabhängigkeit des bDSB gewährleistet werden. Er soll den Arzt ohne Angst vor irgend welchen Repressalien auf Missstände hinweisen können und ihm ungeschminkt seine Meinung sagen und auf rechtliche und technische Probleme hinweisen können. Da der Arzt selbst zumeist nicht das notwendige Wissen parat hat, ist auch für ihn dies von großer Bedeutung: Durch die unabhängige Beratung kann er eher davon ausgehen, auf der sicheren Seite zu sein, z.B. wegen des Verstoßes gegen die ärztliche Schweigepflicht sich nicht strafbar zu machen. Alle Mitarbeiter einer Praxis haben den bDSB bei der Erfüllung seiner Aufgaben zu unterstützen und ihm soweit erforderlich die nötigen Hilfe zu leisten. Ihm sind z.B. die nötigen Geräte und Mittel zur Verfügung zu stellen, aber auch genügend Zeit für seine Aufgaben (§ 4f Abs. 5 S. 1 BDSG). Ihm sind die nötigen Informationen zu erteilen und Unterlagen zur Verfügung zu stellen.

Die Aufgaben des bDSB

Einige der Aufgaben des bDSB sind im Gesetz geregelt. Er ist der Ansprechpartner der Geschäftsleitung bzgl. aller Datenschutzfragen (§ 4g Abs. 1 S. 1 BDSG). Er ist ebenso Ansprechpartner für die Beschäftigten der jeweiligen Praxis. Der bDSB ist gegenüber den jeweiligen Betroffenen zur Verschwiegenheit verpflichtet, soweit er hiervon nicht von diesen befreit wurde (§ 4f Abs. 4 BDSG). Daher können sich Beschäftigte wie auch Patienten (bei einem internen bDSB) vertrauensvoll an die Person des bDSB wenden. Gibt es in der Praxis einen Betriebsrat, so sollte der bDSB diesen bei der gemeinsamen Aufgabe der Schutzes der Daten der Beschäftigten unterstützen (vgl. § 75 Abs. 2 Betriebsverfassungsgesetz).

Eine besondere Beratungsfunktion kommt dem bDSB bei der Auswahl, der Konfiguration und dem Einsatz der richtigen EDV-Geräte sowie der Praxis-Software zu. Nicht nur der Preis und die Funktionalitäten der Praxis-EDV sollten ein Beschaffungskriterium sein, sondern auch die Möglichkeiten der Datensicherheit. Dies beginnt bei einfachen Funktionen wie z.B. der Dunkelschaltung nicht genutzter Bildschirme oder der Sicherung der Vertraulichkeit ankommender Faxe und geht bis zur sicheren Ablage der Patientendaten durch Verschlüsselung oder zur Abschottung der Internetnutzung von der Praxis-EDV mit den Patientendaten.

Es ist nicht zwingend aber äußerst sinnvoll, wenn Anfragen und Beschwerden von Patienten zum Datenschutz vom bDSB bearbeitet werden. Er sollte in jedem Fall beteiligt werden. Dabei wird es sich regelmäßig um die Bitte von Patienten handeln, in die eigene Patientenakte Einblick oder daraus Auskünfte zu erhalten. Evtl. möchte der Patient Kopien aus der Akte. Denkbar sind aber auch Beschwerden, z.B. über die Datenweitergabe bzw. -beschaffung oder über falsche oder unzulässig gespeicherte Daten. In seltenen Fällen kann es wegen der Datenverarbeitung sogar zu Schadensersatzforderungen kommen.

Der bDSB hat auch einige formale Pflichten: er hat eine Verfahrensübersicht zur führen, wie sie in § 4e S. 1 BDSG beschrieben ist (§ 4g Abs. 2 BDSG). Dies bedeutet, dass der bDSB einen schriftlichen Überblick haben muss über die organisatorischen Angaben der Praxis (Name, Firma, Inhaber, Vertreter, Geschäftsführer, Anschrift), über die Zweckbestimmung der Datenverarbeitung, eine Beschreibung der betroffenen Personengruppen, der Daten bzw. Datenkategorien und der Datenempfänger (z.B. Krankenkassen, PVS, Kollegen, regionales Praxisnetz), über die Löschfristen der Daten sowie über die technisch-organisatorischen Maßnahmen zur Gewährleistung der Sicherheit (vgl. § 9 BDSG).

Eine weitere formale Pflicht, die aber mit einer inhaltlichen Prüfung einhergeht, ist die Durchführung von Vorabkontrollen (§ 4d Abs. 6 BDSG). Derartige Vorabkontrollen sind bei der Einführung und wesentlichen Änderung von riskanten automatisierten Verfahren Pflicht (§ 4d Abs. 5 BDSG). Da bei der elektronischen Verarbeitung von Gesundheits- bzw. von Patientendaten immer von einem hohen Risikopotenzial ausgegangen werden muss, ist hier in jedem Fall die Durchführung einer Vorabkontrolle dringend zu empfehlen (vgl. § 4d Abs. 5 Nr. 1 BDSG mit Verweis auf § 3 Abs. 9 BDSG).

Eine wichtige strukturelle Aufgabe des bDSB besteht in der Schulung des Personals in Sachen Datenschutz. Diese Schulung kann durch mündliche oder schriftliche Unterweisung erfolgen oder durch ein "Training on the Job". Während es eigentlich zu den Aufgaben der ärztlichen Ausbildung bzw. der Ausbildung zu Arzthelferinnen usw. gehört, dass allen Beschäftigten die Grundlagen des Patientengeheimnisses vermittelt werden, ist es die zentrale Funktion des bDSB, die Kollegen in die praktischen Fragen zur Beachtung des Datenschutzes vor Ort einzuweisen (z.B. Umgang mit dem Telefon, mit dem Fax, EDV-Sicherheit, korrekte Vernichtung von Unterlagen, vgl. § 4g Abs. 1 Nr. 2 BDSG). Wünschenswert ist der Aufbau eines richtiggehenden Datenschutzmanagements, d.h. einer Datenschutzorganisation, mit der die Geschäftsleitung in Datenschutzfragen unterstützt wird. U.U., insbesondere wenn ein externer bDSB nicht permanent ansprechbar ist, empfiehlt sich gar eine Art Datenschutz-Hefter für die Praxis, in dem die Mitarbeiter in Zweifelsfragen nachschauen können. Eine solche Handreichung zu erstellen, bei der auf die konkreten Gegebenheiten vor Ort eingegangen wird, kann zu den Aufgaben gehören, denen sich ein bDSB als Erstes widmet, da ihm dies später möglicherweise viel Arbeit erspart.

Bei aller Prävention durch Organisation, Einsatz datenschutzfreundlicher Technik und Schulung nicht völlig verzichten kann und sollte ein bDSB auf die konkrete Nachschau bzw. auf die - in den Worten des Gesetzebers - Überwachung "der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme" (§ 4g Abs. 1 Nr. 1 BDSG). Solche Kontrollen können darin bestehen, den Passwortgebrauch oder die Nutzung von Bildschirmschonern, die Verwendung von Diskettenlaufwerken oder die Durchführung von Löschungen zu prüfen. Soweit der bDSB nicht die nötige eigene technische Kompetenz hat, muss ihn bei diesen Kontrollen der Systemadministrator unterstützen. Nicht nur die eigenen Kontrollen gehören zu den Aufgaben des bDSB. Sollten die staatlichen Kontrolleure von der Datenschutzaufsicht in der Praxis eine Prüfung durchführen, so gehört es zu den selbstverständlichen Aufgaben des bDSB, als Ansprechperson zur Verfügung zu stehen.

Unterstützung der Arbeit des bDSB

Die Beschreibung der Arbeit von bDSB mag für den Einen oder die Andere wie die Darstellung der Tätigkeit eines einsamen Kämpfers zwischen allen Fronten erscheinen. Leider sehen sich viele bDSB in genau solch einer Rolle. Dies sollte nicht und muss nicht so sein. Für den Erfolg der praktischen Arbeit wichtig ist der dauernde Austausch zwischen der ärztlichen Leitung, den Beschäftigten, den Systemverantwortlichen und evtl. der Patienten.

Ist ein bDSB mit seinem Latein am Ende, so gibt es zwei Möglichkeiten: Kurzfristig kann er sich in einzelnen Zweifels- und Konfliktfragen vertrauensvoll an die zuständige Datenschutzaufsichtsbehörde wenden (§ 4g Abs. 1 S. 2 BDSG). Dies sind in den norddeutschen Ländern weitgehend die Landesbeauftragten für den Datenschutz (in Schleswig-Holstein das Unabhängige Landeszentrum für Datenschutz - ULD) und in den südlichen Bundesländern die Innenverwaltungen (Innenministerium oder Bezirksverwaltungen). In rechtlichen Fragen stehen auch die Justiziare der Ärztekammern zur Verfügung, die zumeist auf einen reichen Erfahrungsschatz von Fallkonstellationen zurückgreifen können, z.B. unter welchen Voraussetzungen ein Arzt Patientendaten herausgeben darf oder gar muss.

Hat ein bDSB den Eindruck, insgesamt den Anforderungen seiner Aufgabe nicht mehr zu entsprechen, so sollte er dringend eine Weiterbildung in Anspruch nehmen. Angesichts des rasanten technischen Fortschritts in Arztpraxen und der sich immer wieder ändernden gesetzlichen Regelungen, insbesondere im Sozialgesetzbuch V, sollte eine Schulung nicht erst bei völliger Rat- bzw. Sprachlosigkeit in Anspruch genommen werden, sondern schon dann, wenn sich neue Herausforderungen ankündigen. Wo im jeweiligen Bundesland solche Schulungen angeboten werden, kann über die zuständigen Kammern bzw. die Aufsichtsbehörden erfragt werden. In anderen Bereichen schon gängige Praxis ist der Erfahrungsaustausch (Erfa) unter den bDSB. So treffen sich branchenübergreifend bDSB in sog. Erfa-Gruppen. Ob es solche Erfa-Gruppen vor Ort gibt, kann auch bei den Aufsichtsbehörden erfragt werden.

Beendigung der Tätigkeit

Interne bDSB genießen einen besonderen Kündigungsschutz. Sie können nur in entsprechender Anwendung der Regelung zur fristlosen Kündigung (§ 626 BGB) von ihren Aufgaben entbunden werden. D.h. es muss ein wichtiger Grund vorliegen, der es der Praxisleitung unzumutbar macht, die Bestellung zum bDSB aufrecht zu halten. Ein solcher wichtiger Grund kann die Verletzung der Verschwiegenheit sein oder notorische Untätigkeit. Wie bei fristlosen Kündigungen bedarf es für solch einen Widerruf natürlich einer Einzelfallprüfung und -begründung. Der Widerruf muss binnen zwei Wochen nach Kenntniserlangung der maßgeblichen Tatsachen schriftlich erfolgen. Die Kündigung eines externen bDSB bzw. dessen Tätigkeitsende richtet sich nicht nach Arbeitsrecht, sondern nach den jeweiligen vertraglichen Vereinbarungen.

Denkbar ist auch eine Entbindung von der Aufgaben eines bDSB auf Verlangen der Aufsichtsbehörde (§ 38 Abs. 5 S. 3 BDSG). Ein solches Verlangen wird nur in seltenen Ausnahmefällen erfolgen, wenn sich für die Aufsichtsbehörde die Gewissheit ergibt, dass der bDSB ungeeignet und unzuverlässig ist und keine Aussicht besteht, dass diese Mängel, z.B. durch Nachschulung, beseitigt werden.

Schlussfolgerungen

Die obige Beschreibung der Tätigkeit eines bDSB in einer Arztpraxis mag den einen oder anderen Leser beunruhigen: Die vielen Vorschriften und vielen Aufgaben können den Eindruck vermitteln, bei der Funktion des bDSB handele es sich um einen undankbaren Job. Dies liegt vielleicht daran, dass die gesetzlichen Regelungen für den bDSB nicht nur für Arztpraxen gemacht sind, sondern für mittlere und große Unternehmen und im Grunde sogar auch für Weltkonzerne. Will man die Kirche im Dorf lassen - und das wollen regelmäßig die Datenschutzaufsichtsbehörden - so ist klar, dass von einem bDSB in einer kleinen ambulanten Arztpraxis nicht die gleichen Anforderungen gestellt werden können wie von einer Person in einer solchen Funktion in einem größeren Krankenhaus oder bei einer Krankenkasse, die u.U. vollzeit sich nur mit Datenschutzfragen beschäftigen kann. Der erste Schritt ist zumeist der Wichtigste: die Benennung eines für den Datenschutz Verantwortlichen in einer Arztpraxis. Die zentrale Voraussetzung ist die tatsächliche Bereitschaft dieser Person, ihre Aufgabe ernst zu nehmen. Die weiteren Schritte können sich daraus ganz von alleine entwickeln. Wer feststellt, dass diese Tätigkeit verantwortungsvoll und anspruchsvoll ist und dass sie wegen ihrer Vielfältigkeit und ihrer Wichtigkeit Spaß macht und auch einen persönlichen Gewinn darstellt, der besorgt sich die notwendigen Infos, gestaltet die Datenverarbeitung mit und bringt sein Wissen und Können in die Praxisorganisation ein.

Der bDSB wie auch die Leitung einer Arztpraxis sollten sich darüber im Klaren sein, dass die Wahrung der ärztlichen Schweigepflicht eine der höchsten beruflichen Tugenden ist. Daher ist der bDSB, wenn er seine Aufgabe richtig erfüllt, kein Besserwisser, Nörgler und Verhinderer, sondern jemand, der einen wichtigen Beitrag zum Behandlungserfolg leistet, indem er sich um eine vertrauenswürdige Praxisorganisation kümmert.

 
 

Text bzw. Formular für die Bestellung zur/zum internen Datenschutzbeauftragten

 

Hiermit bestelle ich für die Arztpraxis

.....................................
(Name und Adresse der verantwortlichen Stelle)

Frau/Herrn ...............................

ab dem ...............zum/zur betrieblichen Datenschutzbeauftragten nach § 4f Abs. 1 Bundesdatenschutzgesetz (BDSG).

Diese Bestellung kann von seiten der Arztpraxis nur aus wichtigem Grund widerrufen werden.

Die Rechte und Pflichten der/des betrieblichen Datenschutzbeauftragten ergeben sich insbesondere aus den §§ 4f, 4g BDSG. Zu deren/dessen Pflichten gehört v.a.
- die Überwachung der ordnungsgemäßen Datenverarbeitungsprogramme,
- die Schulung der Mitarbeiter zu Fragen des Datenschutzes und des Patientengeheimnisses
- die Beratung aller Mitarbeiter zu diesen Fragen.

Die/der betriebliche Datenschutzbeauftragte ist bei der Anwendung ihrer/seiner Fachkunde auf dem Gebiet des Datenschutzes und des Schutzes des Patientengeheimnisses weisungsfrei und darf wegen der Aufgabenerfüllung nicht benachteiligt werden. Alle Bediensteten der Arztpraxis haben sie/ihn bei der Aufgabenerfüllung zu unterstützen. In Zweifelsfällen kann sie/er sich an die zuständige Datenschutzaufsichtsbehörde wenden. Auf die bestehende Verschwiegenheitspflicht insbesondere hinsichtlich von Patientendaten wird hingewiesen.

Frau/Herr ...................... ist in der Eigenschaft als Datenschutzbeauftragte/r der Leitung der Arztpraxis direkt unterstellt. Direkte Ansprechsperson ist Frau/Herr Dr. ............................ (Leiter der Arztpraxis)

Über die Tätigkeit als Datenschutzbeauftragte/r ist jährlich ein Bericht zu erstatten (fakultativ).

...................................................
(Ort, Datum, Unterschrift des Leiters der Arztpraxis,

Ich bin mit der Bestellung zur/zum Datenschutzbeauftragten einverstanden.

.....................................................................
(Ort, Datum, Unterschrift der/des betrieblichen Datenschutzbeauftragten)