Benötigen Ärzte einen Datenschutzbeauftragten?

Jedem dürfte klar sein, daß mit Daten zur eigenen Gesundheit äußerst sensibel umgegangen werden sollte. Damit dies gewährleistet werden kann, besteht die ärztliche Schweigepflicht.

Inzwischen ist jedoch die EDV gestützte Patientenakte bei nahezu allen Ärzten Standard und daher drängt sich von Patienten Seite immer häufiger die Frage auf, ob denn ihre hoch sensiblen Daten sicher sind. Der Schutz der Daten sollte schon im ureigenen Interesse des Arztes erfolgen. Welcher Patient würde Vertrauen zu einem Arzt haben, wenn Patientendaten öffentlich würden? Hier sollte sich jeder Arzt fragen, ob seine Patientendaten geschützt sind. Hier geht es nicht nur um die elektronische Daten. Wie sieht es bei Faxen aus, die versehentlich an einen falschen Empfänger geschickt werden? Oder Papierakten, die im Mülleimer landen, obwohl daruf Patientendaten sind? Was passiert mit Kopien, die nicht korrekt waren? - Landen sie auch im Papierkorb?

Sie sehen, daß es viele Gründe gibt, bei Arztpraxen auf Datenschutz zu achten. Aber wie sieht das Thema eigentlich rechtlich aus?

Gemäßt §4f BDSG müssen öffentliche und nicht - öffentliche Stellen, die personenbezogene Daten automatisiert erheben und verarbeiten einen Datenschutzbeauftragten bestellen. §4f Abs. 1 S.3 nennt als Voraussetzung hierfür, daß die elektronische Verarbeitung von 10 oder mehr Personen erfolgen muss. Die dürfte bei vielen Ärzten nicht der Fall sein, òbwohl hier beachtet werden muss, daß auch Teilzeitkräfte und 400€ Kräfte mitgezählt werden müssen.

Gemäß §4f Abs. 1 S. & BDGS müssen jedoch nicht öffentliche Stellen einen Datenschutzbeauftragten bestellen, auch wenn weniger als 10 Personen mit der Erfassung der Daten zu tun haben, sobald die Verarbeitung der Daten einer Vorabkontrolle (§4d Abs, 5 BDSG) unterliegen. Vorabkontrolle bedeutet, daß vor Inbetriebnahme geprüft wird, ob aus datenschutzrechtlicher Sicht Probleme bestehen. In §4d Abs. 5 BDSG ist geregelt, daß eine Vorabkontrolle vor allem dann durchzuführen ist, wenn besondere Arten personenbezogener Daten (§3 Abs. 9 BDSG) verarbeitet werden. Hierunter fallen Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Da jeder Arzt, egal in welcher Fachrichtung er praktiziert, Daten über die Gesundheit seiner Patienten elektronisch erfasst, fällt er unter diese Vorschrift.

Einzige Ausnahmen von einer Vorabkontrolle wären gemäß §4d Abs. 5 S.2 2. Halbsatz BDSG wenn eine gesetzliche Verpflichtung oder eine Einwilligung der Betroffenen vorliegt. Eine gesetzliche Verpflichtung zur elektronischen Verarbeitung der Daten existiert nicht. §10 MBO verpflichtet lediglich zur Dokumentation. Daher gilt diese Ausnahme für Arztpraxen nicht. Die zweite Ausnahme würde voraussetzen, daß alle Patienten schriftlich der elektronischen Verarbeitung ihrer Daten zugestimmt haben. Dies ist in der Regel nicht der Fall und bei einer Arztpraxis mit bestehendem Patientenstamm auch nur extrem schwierig realisierbar. Denkbar wäre dies bei einer Neueröffnung einer Praxis, wenn von Anfang an jeder Patient eine genaue Einwilligungserklärung unterschreiben würde.

Fazit

Nach der geltenden Rechtslage benötigt jede bestehende Arztpraxis einen Datenschutzbeauftragten, sobald sie Patientendaten elektronisch verarbeitet und nicht bei jedem Patienten eine Einwilligungserklärung zur Verarbeitung seiner Daten eingeholt hat. Wird kein Datenschutzbeauftragter bestellt, kann dies zu Abmahnungen und Bußgelderhebung durch die Aufsichtsbehörde führen.