Die Rolle des Datenschutzbeauftragten

Jede Zahnarztpraxis ist zur Einhaltung der Datenschutzvorschriften, gemäß Bundesdatenschutzgesetz verpflichtet. Bei der Einhaltung dieser Vorschriften kann ein Datenschutzbeauftragter behilflich sein, doch gibt es bei seiner Bestellung einige gesetzliche Vorgaben für den Praxisinhaber, die Konsequenzen nach sich ziehen können.

Ob die Notwendigkeit zur Bestellung eines Datenschutzbeauftragten für öffentliche und nicht-öffentliche Stellen besteht, regelt § 4f Abs. 1 des Bundesdatenschutzgesetzes. Nicht-öffentliche Stellen haben einen Beauftragten für den Datenschutz zu bestellen, wenn mehr als neun Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Gleiches gilt, wenn mindestens 20 Beschäftige mit einer Verarbeitung auf andere Weise, etwa Papierakten, betroffen sind. Diese Grenzen gelten nicht wenn die Verarbeitungsprozesse der Vorabkontrolle unterliegen, beispielsweise wenn die Verarbeitung personenbezogener Daten zur Bewertung der Persönlichkeit einer Person bestimmt ist. In diesem Fall muss ohne Ausnahme ein Datenschutzbeauftragter bestellt werden.

Für Zahnarztpraxen sollten jedoch in der Regel keine Vorabkontrollen notwendig sein, da diese nur bei einer nicht-gesetzlich geregelten Verarbeitung von besonderen personenbezogenen Daten oder einer Nutzung der Daten zur Bewertung von Einzelpersonen (beispielsweise SCHUFA) durchgeführt werden müssen. Grundsätzlich fließen alle Mitarbeiter, unabhängig von ihrem arbeitsrechtlichem Status, die ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, in die Berechnung ein. Ausnahmen bilden hierbei Urlaubsvertretungen oder eine kurzfristige Erhöhung der Beschäftigten aufgrund von Mehrarbeit.

In Praxen, die nicht zur Bestellung verpflichtet sind, liegt die Erfüllung der Aufgaben eines Datenschutzbeauftragten bei der Praxisleitung. Auch in diesem Fall, kann die freiwillige Bestellung eines Datenschutzbeauftragten sinnvoll sein.

Die Bestellung eines Beauftragten für den Datenschutz muss laut dem Bundesdatenschutz in schriftlicher Form durch die Praxisleitung erfolgen. Die Unterzeichnung der Bestellungsurkunde muss durch beide Parteien erfolgen. Nach der Bestellung unterliegt der Beauftragte für den Datenschutz der Verschwiegenheitspflicht über seine Tätigkeit. Organisatorisch muss der Datenschutzbeauftragte nur der Praxisleitung Rechenschaft ablegen, bleibt in seiner Tätigkeit für den Datenschutz allerdings weisungsfrei und genießt, ähnlich wie Mitglieder des Betriebsrates, einen erweiterten Kündigungsschutz. Es ist darauf zu achten, dass der Datenschutzbeauftragte bei einer Doppelfunktion, etwa als Mitarbeiter, keinem Interessenskonflikt ausgesetzt werden darf. Dies ist regelmäßig der Fall, wenn die Geschäftsführung oder ein Verwandter dieser die Funktion übernimmt. In großen Organisationseinheiten sind auch weitere Führungskräfte, wie zum Beispiel der Leiter der EDV, von dieser Tätigkeit ausgeschlossen.

Laut § 4f Abs. 2 des Bundesdatenschutz- gesetzes darf nur derjenige zum Beauftragten für den Datenschutz bestellt werden, der über die erforderlichen Fachkenntnisse sowie die nötige Zuverlässigkeit verfügt. Die erforderliche Fachkenntnis ergibt sich aus dem Umfang der Datenverarbeitung und dem Schutzbedarf der verarbeiteten Daten.

Im Leitbild des Bundesverbands der Datenschutzbeauftragten Deutschlands werden weitere konkrete Voraussetzungen für die Berufsausübung aufgelistet. So sollte ein Datenschutzbeauftragter folgende Punkte erfüllen:

• absolvierte Berufsausbildung

• mindestens zwei Jahre Berufserfahrung

• Fachkenntnisse in Recht, IT oder BWL

• Ausbildung zum Datenschutzbeauftragten

Speziell im Gesundheitswesen muss der Beauftragte für den Datenschutz besondere Kenntnisse mitbringen, da zum einen die Gesundheitsdaten einer Person als besonders schutzwürdig angesehen werden (BDSG § 3 Abs. 9) und zum anderen weitere Gesetze, wie das Sozialgesetz und § 203 des Strafgesetzbuches, zu beachten sind. Des Weiteren sollte der Beauftragte Kenntnisse und Erfahrungen aus dem medizinischen und gesundheitlichen Sektor mitbringen, da es sich hinsichtlich der Akteure und ihrer Beziehungen um einen komplexen sowie datenschutzrechtlich sensiblen Bereich handelt. Zusätzlich erlaubt das Bundesdatenschutzgesetz auch die Bestellung von Externen als Datenschutz-beauftragte. Hierzu sollten die Vor- und Nachteile abgewogen werden, die sich durch einen externen Dienstleister ergeben.

Der Datenschutzbeauftragte behandelt in einer Praxis unterschiedlichste Themen. Er ist für die Schulung der Mitarbeiter und für den „lebendigen“ Datenschutz verantwortlich. Unter „lebendigem“ Datenschutz versteht man, dass die Mitarbeiter den Datenschutz nicht nur als notwendige Pflicht ansehen, sondern versuchen, diesen zum Schutz der patientenbezogenen Daten auch im Alltag anzuwenden. Auch die Einhaltung und Bekanntmachung des Bundesdatenschutzgesetzes ist eine Aufgabe des Beauftragten. Eine weitere wichtige Aufgabe ist die Überwachung der Daten-verarbeitung. Hierbei werden die Prozesse der Datenverarbeitung sowie die zu verarbeitenden Daten analysiert und mit aktuellen Gesetzen und Richtlinien in Einklang gebracht. Dabei ist immer das Verhältnis zwischen den eingesetzten Mitteln zum Schutz der sensiblen Daten und dem jeweiligen Schutzbedarf zu berücksichtigen.

Dem Datenschutzbeauftragten kommt dabei eine beratende Funktion zu.

Wenn die Daten von Patienten in irgendeiner Weise veröffentlicht werden, etwa durch Diebstahl oder auch durch die Einsichtnahme von Patientenakten durch andere Patienten, hat der Beauftragte für den Datenschutz die Pflicht, die Betroffenen über den Vorfall zu informieren. Des Weiteren ist der Vorfall zu analysieren und gegebenenfalls sind Maßnahmen zu ergreifen, so dass sich ein solcher Vorfall nicht wiederholt.

Auch sollten die beteiligten Mitarbeiter nach einem Vorfall noch einmal für den Datenschutz sensibilisiert werden, beispielsweise durch eine entsprechende Schulung.

Nach § 34 des Bundesdatenschutzgesetzes hat jeder von der Verarbeitung Betroffene das Recht, Auskunft über die ihn betreffenden verarbeitenden Daten zu verlangen. Für die Wahrung dieser Rechte von anfragenden Patienten ist der Datenschutzbeauftragte genauso zuständig, wie für die Verfügbarmachung des sogenannten Verfahrensverzeichnisses auf Anfrage.

Soll ein bereits ernannter Beauftragter für Datenschutz von seiner Funktion abberufen werden, weil beispielsweise ein externer Dienstleister diese Funktion wahrnehmen soll, dann muss dies über eine Änderungskündigung erfolgen, da eine Veränderung der Arbeitsplatzbeschreibung die Folge ist (Vergleiche Bundesarbeitsgericht: Urteil vom 13.03.2007, AZ: 9 AZR 612/05).

Die Aufgaben eines Datenschutzbeauftragten sind für die Praxisleitung größtenteils zu aufwendig, zu zeitintensiv und zu komplex, so dass die Berufung eines Datenschutzbeauftragten in Betracht gezogen werden sollte. Hierbei müssen die Vor- und Nachteile von internen und externen Kräften abgewogen werden.

Prof. Dr. Thomas JäschkeSimon Hacks B. Sc.Alexander VogelISDSG Institut für Sicherheit und Datenschutz im GesundheitswesenWestfalendamm 25144141 Dortmund