Supplement: Praxis Computer

Datenschutzrecht für Ärzte, Teil 3: Dateien und Akten

Dtsch Arztebl 1998; 95(45): [26]

Seidel, Uwe M.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Thema des dritten Teils dieser Serie ist der Datei- und Aktenbegriff des Bundesdatenschutzgesetzes (BDSG). Darüber hinaus werden die Ausnahmen bei der Anwendung des BDSG erläutert.


Die häufig verwendeten Begriffe "Datei" und "Akte" haben im Rahmen des Bundesdatenschutzgesetzes eine genau umschriebene Bedeutung.
Datei
Nachdem der Gesetzgeber im öffentlichen Bereich auch die Verarbeitung von Daten in Akten in den Schutzzweck des BDSG einbezieht, ist der Dateibegriff vorrangig für die Abgrenzung des Schutzbereichs bei der Verarbeitung personenbezogener Daten durch nichtöffentliche Stellen (zum Beispiel Ärzte; siehe Teil 2 der Serie) wichtig. Das BDSG unterscheidet zwei Arten von Dateien: die automatisierte und die nichtautomatisierte Datei.
Die automatisierte Datei ist nach § 3 Abs. 2 Nr. 1 BDSG eine Sammlung personenbezogener Daten, die nach bestimmten Merkmalen automatisiert ausgewertet werden kann. Ein Kernbegriff ist dabei das Kriterium der "Auswertbarkeit nach bestimmten Merkmalen". Damit dieses Kriterium vorliegt, muß eine Sammlung bestimmte Merkmale enthalten, nach denen eine Auswertung vorgenommen werden kann. Ein Beispiel wäre das Merkmal "Beruf" mit seinen Ausprägungen "Verwaltungsbeamter", "Maler" oder "Versicherungsfachmann". Andere Merkmale sind "Name", "Straße", "Ort" und "Familienstand". Weiter wird die Auswertung mittels "automatisierter Verfahren" gefordert. Diese liegen dann vor, wenn das Lesen oder Vergleichen von Daten unter dem Einsatz von DV-Anlagen (zum Beispiel ein PC in der Arztpraxis) erfolgen kann. Nach § 3 Abs. 2 Nr. 2 BDSG wird eine Datensammlung als nichtautomatisierte Datei bezeichnet, wenn
m es sich um eine sonstige Datensammlung mit personenbezogenen Daten handelt,
m wenn ein gleichartiger Aufbau der Datensammlung vorliegt und
m wenn die Möglichkeit der Ordnung, Umordnung und Auswertung nach bestimmten Merkmalen besteht.
Im allgemeinen Sprachgebrauch wird eine nichtautomatisierte Datei auch als "Kartei" bezeichnet (zum Beispiel eine Patientenkartei). Ein gleichartiger Aufbau setzt voraus, daß die gespeicherten Daten nicht in zufälliger und wechselnder Anordnung, sondern nach einem bestimmten gleichbleibenden Schema geordnet sind. Die einzelnen Aufbauelemente der nichtautomatisierten Datei (Karteikarten, Formulare, Lochkarten u. a.) müssen also einheitlich und gleichartig aufgebaut sein. Das Kriterium "Ordnung nach bestimmten Merkmalen" setzt voraus, daß die Datensammlung nach Ordnungskriterien (etwa mit Personalnummer oder alphabetisch) strukturiert ist und physikalisch in eine lineare Reihenfolge gebracht werden kann. Neben dem Ordnen und Umordnen fordert das Gesetz die Möglichkeit, eine Sammlung auswerten zu können. Ein Beispiel dafür ist die Auswahl aller schwerbehinderten Patienten, die bei einer bestimmten Krankenkasse versichert sind. Bei der Auswertung kann man somit auf die Merkmale, nach denen eine Sammlung geordnet ist und umgeordnet werden kann, zurückgreifen, ohne daß weitere Merkmale gefordert werden. Beispiele für nichtautomatisierte Dateien sind ferner Krankheits- oder Personalkarteien.
Bei Listen, Büchern und Registern wird der Dateibegriff verneint, da eine Umordnung meist nur durch Zerschneiden der Datenträger möglich ist.
Problematisch ist auch die Zuordnung von Mikrofilmen und Mikrofiches zum Dateibegriff. Die herrschende Meinung lehnt die Qualifizierung von Mikrofilmen als Datei ab, da diese nicht sortierfähig sind, das heißt nicht ohne weiteres umgeordnet werden können, und meist eine Liste darstellen. Mikrofiches, die in größerer Anzahl vorliegen und ähnlich einer Kartei umgeordnet und ausgewertet werden können, stellen eine Datei dar. Ein einzelner Mikrofiche ist im Sinne des BDSG keine Datei.
Rein private Adressensammlungen in Karteien, zum Beispiel mit privaten Bemerkungen zur Persönlichkeit von Freunden, unterliegen dem BDSG nicht, da nur eine der Privatsphäre nicht mehr zurechenbare - also geschäftsmäßige oder berufliche - Datenspeicherung darunter fällt.
Akte
Nach § 3 Abs. 3 BDSG ist "jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage" eine Akte. Akten können neben Schriftstücken, die in einem Ordner gesammelt werden, auch Bild- oder Tonträger sein. Beispiele für Akten sind Krankenakten, Steuerakten, Akten eines Verwaltungsverfahrens, Tonaufzeichnungen oder Videoaufzeichnungen. Nicht zur Akte zählen jedoch Vorentwürfe oder Notizen, die sich nicht auf den Betroffenen auswirken (siehe auch die Grafik).
Ausnahmeregelungen
In § 1 Abs. 3 BDSG wird der Anwendungsbereich des BDSG in zwei Fällen eingeschränkt. Ausgenommen sind:
m aus verarbeitungstechnischen Gründen vorübergehend erstellte Dateien (Nr. 1) und
m interne Dateien (Nr. 2).
Das BDSG gilt nicht für Dateien, die nur aus verarbeitungstechnischen Gründen erstellt wurden und nach ihrer Nutzung automatisch gelöscht werden. Im Falle dieser Dateien gelten nur die §§ 5 und 9 BDSG, die die mit der Datenverarbeitung beschäftigten Personen auf das Datengeheimnis verpflichten und die Datensicherung gewährleisten. Bei Dateien, die aus verarbeitungstechni-schen Gründen nur vorübergehend erstellt werden, handelt es sich in der Regel um Zwischen- und Hilfsdateien, die keine Gefahr für die Beeinträchtigung des Persönlichkeitsrechts darstellen. Bei der Auslegung des Begriffs "vorübergehend" könnte der in den §§ 33 Abs. 2 Nr. 5 und 37 Abs. 3 BDSG genannte Drei-Monats-Zeitraum als Maßstab dienen. Beispiele für Zwischen- und Hilfsdateien, die in der Fachsprache auch "temporäre Dateien" genannt werden, sind Auslagerungsdateien, die erstellt wurden, um einen Datenverlust durch Stromausfall vorzubeugen oder um den Arbeitsspeicher des Rechners für andere Rechenvorgänge freizumachen. Eine weitere Bedingung, die die temporären Dateien erfüllen müssen, um vom Anwendungsbereich des BDSG ausgeschlossen zu sein, ist die "automatische Löschung" nach der verarbeitungstechnischen Nutzung. Die Löschung muß auch in diesem Fall physikalisch und automatisch erfolgen, das heißt nicht erst auf Befehl des Nutzers, sondern bereits durch die Software vorgegeben.
Nach § 1 Abs. 3 Nr. 2 BDSG gilt dieses Gesetz nicht für nichtautomatisierte Dateien, deren personenbezogene Daten nicht zur Übermittlung an Dritte bestimmt sind. Diese Dateien werden auch als "interne Dateien" bezeichnet, deren Grenze nicht der einzelne Arbeitsplatz, sondern die speichernde Stelle (also die Arztpraxis) selbst ist. Folgende Voraussetzungen müssen interne Dateien erfüllen, um vom BDSG freigestellt zu sein: Es muß sich einerseits um nichtautomatisierte, das heißt manuell geführte Dateien handeln (Karteien), und diese dürfen andererseits nicht zur Übermittlung an Dritte bestimmt sein. Wie auch bei den temporären Dateien gelten für die internen Dateien das Datengeheimnis (§ 5 BDSG) und die Datensicherungsmaßnahmen (§ 9 BDSG). Vor allem Dateien mit Planungs- und Prognosedaten können unter die Kategorie "interne Dateien" fallen, soweit diese nicht bereits zur Entscheidungsfindung dienen. Geordnete, geheime schriftliche Aufzeich-nungen, beispielsweise mit Angaben über Verhaltensweisen eines Arbeitnehmers, fallen daher nur eingeschränkt unter das BDSG. Nachrangigkeit des BDSG
Zur Vermeidung von Konfliktfällen regelt § 1 Abs. 4 BDSG, daß das BDSG gegenüber bereichsspezifischen Vorschriften nachrangig ist. Die Subsidiarität ist auf den lateinischen Grundsatz "lex specialis derogat legi generali" (Priorität der spezielleren Norm) zurückzuführen. Das BDSG wird somit zum "Auffanggesetz". Vorrangige Rechtsvorschriften sind nur Rechtsvorschriften des Bundes (zum Beispiel SGB, BVerfSchG). Unter dem Begriff "Rechtsvorschriften" sind neben Gesetzen, Verordnungen und Satzungen auch einzelne Bestimmungen (Paragraphen, Absätze, Sätze u. a.) zu verstehen, nicht aber Tarifverträge, Dienst- und Betriebsvereinbarungen und Normen mit fehlender Außenwirkung (Verwaltungsvorschriften).
Die Vorrangigkeit dieser Rechtsvorschriften ist nicht davon abhängig, ob diese die Belange des Datenschutzes besser oder schlechter regeln. Auch ihr Entstehungszeitpunkt, das heißt, ob diese bereits vor dem BDSG existierten oder nicht, spielt keine Rolle. Spezialgesetze gehen aber nur dann dem BDSG vor, wenn sie bereichsspezifische Regelungen enthalten. Fehlen diese im Spezialgesetz (zum Beispiel zur Auskunft), gilt das BDSG. Erst eine deckungsgleiche Norm geht somit dem BDSG komplett vor, da es außerhalb der Deckungsgleichheit bei der Anwendung des BDSG bleibt.
Neben gesetzlichen Geheimhaltungspflichten sind auch außergesetzliche Vorschriften zur Wahrung von Berufs- oder besonderen Amtsgeheimnissen dem BDSG vorrangig. Unter die gesetzlichen Geheimhaltungspflichten fallen zum Beispiel das Notargeheimnis oder die Verschwiegenheitspflichten von Steuerberatern und Wirtschaftsprüfern. Zu den außergesetzlichen Vorschriften gehören zum Beispiel das Arzt- und Psychologengeheimnis oder die anwaltliche Schweigepflicht. Uwe M. Seidel


Bisher sind in der Artikelserie zum Datenschutzrecht für Ärzte erschienen:
m Teil 1: Datenschutz und ärztliche Schweigepflicht
m Teil 2: Schutzbereich und Adressaten des BDSG

Der vierte Teil der Serie beschäftigt sich mit der Zulässigkeit der Datenverarbeitung beim Arzt (Einwilligung des Patienten, Vorschriften im und außerhalb des BDSG).


Zum Autor
Dipl.-Kfm. Dr. rer. pol. Uwe M. Seidel ist Seniorberater bei der KPMG Unternehmensberatung GmbH, München, und Autor von Beiträgen zum Rechnungswesen und zum Datenschutz- und Telekommunikationsrecht.

Anzeige

    Leserkommentare

    E-Mail
    Passwort

    Registrieren

    Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.