ArchivDÄ-TitelSupplement: PRAXiSPraxis Computer 2/1999Datenschutzrecht für Ärzte, Teil 5: Das Bundesdatenschutzgesetz im nichtöffentlichen Bereich

Supplement: Praxis Computer

Datenschutzrecht für Ärzte, Teil 5: Das Bundesdatenschutzgesetz im nichtöffentlichen Bereich

Dtsch Arztebl 1999; 96(18): [12]

Seidel, Uwe M.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS Verarbeitung und Nutzung personenbezogener Daten werden unter anderem auch durch die Zulässigkeitsvorschriften im Bundesdatenschutzgesetz (BDSG) geregelt. Die Vorschriften für nichtöffentliche Stellen - hierunter fällt auch der Arzt - befinden sich im dritten Abschnitt des BDSG. Die Vorschriften des dritten Abschnitts des BDSG werden angewandt, sofern es um die geschäftsmäßige oder die beruflichen oder gewerblichen Zwecken dienende Verarbeitung oder Nutzung personenbezogener Daten in oder aus Dateien geht.
Normadressaten
Unter die Normadressaten des § 27 BDSG fallen sowohl nichtöffentliche als auch öffentliche Stellen des Bundes, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Unter die nichtöffentlichen Stellen fallen natürliche Personen sowie juristische Personen des Privatrechts, nichtrechtsfähige Gesellschaften und privatrechtliche Personenvereinigungen (vgl. Abbildung, Seite 14).
Normadressat ist dabei stets die speichernde Stelle als Ganzes. Dies hat zur Folge, daß Abteilungen innerhalb eines Unternehmens nicht den Status einer eigenen speichernden Stelle besitzen und es sich bei einer Datenweitergabe zwischen den einzelnen Organisationseinheiten um keine Übermittlung, sondern um eine Datennutzung handelt. Anders wird hingegen bei Konzernen verfahren: Die einzelnen Konzernunternehmen werden vom Gesetzgeber jeweils als selbständiger Adressat des BDSG betrachtet. Bei einer Weitergabe personenbezogener Daten innerhalb des Konzerns handelt es sich somit nicht um eine Datennutzung, sondern um eine Übermittlung mit der Konsequenz, daß die Zulässigkeitsvoraussetzungen hierfür beachtet werden müssen. Als nichtöffentliche Stelle ist der Arzt Normadressat des § 27 BDSG und somit auch des dritten Abschnitts des BDSG.
Datenverarbeitung in oder aus Dateien
Da der Gesetzeswortlaut des § 27 BDSG nur die Datenverarbeitung und -nutzung erwähnt, könnte davon ausge-gangen werden, daß sich der Anwendungsbereich dieser Vorschrift nicht auf die Erhebung personenbezogener Daten bezieht. Diese Folgerung würde jedoch dem Regelungszweck des BDSG in § 1 Abs. 2 Einleitungssatz und Nr. 3 entgegenstehen: Danach gilt das BDSG auch für die Erhebung personenbezogener Daten, sofern die nichtöffentlichen Stellen diese Daten in oder aus Dateien verarbeiten oder nutzen. Hierdurch ist auch die Datenerhebung im nichtöffentlichen Bereich gedeckt, wenn der Datenerhebung eine dateimäßige Datenverarbeitung folgt, das heißt, wenn nach der Datenerhebung eine Speicherung stattfindet. Hieraus kann geschlossen werden, daß Stellen, die personenbezogene Daten zwar erheben, diese aber nicht speichern, vom Gesetz nicht erfaßt werden (Beispiel: Detekteien, die ihre erhobenen Daten ohne Speicherung in einer Datei an den Mandanten weitergeben).
Die Datenverarbeitung und -nutzung des Arztes erfolgt in oder aus Dateien; nicht zuletzt aufgrund der Abrechnung der ärztlichen Leistungen unter Nutzung der Krankenversichertenkarte.
Geschäftsmäßige Datenverarbeitung
Eine Datenverarbeitung wird dann als geschäftsmäßig bezeichnet, wenn sie auf eine gewisse Dauer bzw. auf Wiederholung angelegt ist und für andere Personen oder Stellen betrieben wird. Das BDSG 1977 sprach in diesem Zusammenhang klar von einer "Datenverarbeitung nichtöffentlicher Stellen für fremde Zwecke". Eine Gewinnerzielungsabsicht wird hingegen nicht unterstellt. Bei der Formulierung des BDSG kam es dem Gesetzgeber darauf an, die Verarbeitung und Nutzung personenbezogener Daten für private Zwecke, zum Beispiel für eine private Adreßkartei, auszuklammern. Die geschäftsmäßige Datenverarbeitung und -nutzung muß daher eine - über die eigenen Zwecke hinausgehende - Datenverarbeitung für fremde Zwecke darstellen. Nicht vom dritten Abschnitt des BDSG erfaßt wird nach herrschender Auffassung diejenige Datenverarbeitung oder -nutzung, die von nichtöffentlichen Stellen für ausschließlich ideelle, karitative oder gemeinnützige Zwecke betrieben wird. Es gibt auch die gegenteilige Ansicht, nach der der generelle Ausschluß der Datenverarbeitung ideeller, karitativer oder gemeinnütziger Unternehmen (Deutsches Rotes Kreuz, Arbeiterwohlfahrt u.a.) nicht gerechtfertigt ist, da diese wie ein Gewerbebetrieb organisiert sind (Beispiele: Beschäftigung von Arbeitnehmern, ordnungsgemäße Buchführung). Daß die Datenverarbeitung nichtöffentlicher Stellen nach mehreren Zwecken zu beurteilen ist, zeigt folgendes Beispiel: Ein Verein verfolgt einerseits ideelle Zwecke, wenn er personenbezogene Daten seiner Mitglieder zur Beitragserhebung speichert, handelt andererseits aber gewerbsmäßig, sofern er diese Daten einer Versicherung verkauft. Berufliche Zwecke können unterstellt werden, wenn Mitarbeiterdaten zur Gehaltsabrechnung verarbeitet werden. Klassische Beispiele für geschäftsmäßige Datenverarbeiter sind Detekteien, Adressenhändler, Kreditinformationsdienste oder Mailbox-Anbieter.
Verarbeitung/Nutzung zu beruflichen oder gewerblichen Zwecken
Darüber hinaus wird das BDSG auch dann angewandt, wenn personenbezogene Daten zu beruflichen oder gewerblichen Zwecken verarbeitet oder genutzt werden, wobei berufliche meist auch gewerbliche Zwecke sind (Beispiel: Grundstücksmakler verarbeiten Daten von Hauseigentümern für ihr Gewerbe). In Abgrenzung zum Begriff "geschäftsmäßig" muß es sich, wenn von einer Verarbeitung oder Nutzung personenbezogener Daten zu beruflichen Zwecken gesprochen wird, um eine Datenverarbeitung zur Erfüllung eigener Zwecke handeln (siehe Überschrift zu § 28 BDSG sowie § 28 Abs. 1 Satz 1 BDSG). Berufliche Zwecke sind all diejenigen Zwecke, die mit einem Haupt- oder Nebenberuf im Zusammenhang stehen. Einen Unterfall bilden die gewerblichen Zwecke, zu denen auch die Ausübung eines Gewerbes im Sinne des HGB oder der GewO gehört. Im Gegensatz zur geschäftsmäßigen Datenverarbeitung kommt es bei der Bestimmung einer Datenverarbeitung für berufliche oder gewerbliche Zwecke nicht auf die Kriterien "Ausgelegtsein auf eine gewisse Dauer" und "Wiederholungsabsicht" an, da in diesen Fällen der konkrete Datenverarbeitungsvorgang beurteilt werden muß.
Die Datenverarbeitung/-nutzung im Rahmen der Tätigkeit des Arztes ist als Datenverarbeitung/-nutzung für eigene (berufliche) Zwecke zu qualifizieren. Für die Beurteilung der Zulässigkeit einzelner Vorgänge (zum Beispiel Behandlungsvertrag, Datenübermittlung an andere Stellen) im Rahmen der Datenverarbeitung/-nutzung bedeutet dies, daß nicht §§ 29 und 30 BDSG, sondern § 28 BDSG angewendet wird.
Datenverarbeitung in Akten
Mit § 27 Abs. 2 BDSG hat der Gesetzgeber eine Regelung geschaffen, die eine Einschränkung des Anwendungsbereichs darstellt. Danach gelten die Vorschriften des dritten Abschnitts des BDSG für die Verarbeitung und Nutzung personenbezogener Daten in Akten, sofern diese offensichtlich aus einer Datei entnommen wurden. Ob die Daten aus einer Datei stammen, ist am Schriftbild der Aktenblätter erkennbar. Jedoch können Computerausdrucke oder deren Kopien nur identifiziert werden, sofern zum Ausdruck ein Nadeldrucker benutzt wurde. Bei der Verwendung eines Typenraddruckers kann nicht ohne weiteres auf eine Entnahme aus einer Datei geschlossen werden, weil dieser Ausdruck nur schwer von einer Schreibmaschine, die ebenfalls mit der Typenradtechnologie arbeitet, zu unterscheiden ist. So können speichernde Stellen die Regelungen des BDSG nicht umgehen, indem sie ihre dateimäßigen Datenbestände in Akten übertragen. Kein Umgehungstatbestand liegt vor, wenn von einer speichernden Stelle personenbezogene Daten an einen Dritten, der keine dateimäßige Datenverarbeitung betreibt, übermittelt werden und dieser die Daten in eine Akte übernimmt. Der dritte Abschnitt des BDSG, der auch für Ärzte gilt, schließt eine Verarbeitung bzw. Nutzung personenbezogener Daten in Akten zwar grundsätzlich (Ausnahme: § 27 Abs. 2 BDSG) nicht ein. Dennoch bedeutet dies keinesfalls, daß die Patientenakte beim Arzt keinen Schutz genießt. Im Gegenteil: Die ärztliche Schweigepflicht und die Berufsordnung stellen den Schutz der Privatsphäre des Patienten sicher. So fordert die Berufsordnung eine Aufbewahrung der Patientenunterlagen "in gehöriger Obhut". Dies gilt auch nach Aufgabe der Praxis. Die Dauer der Aufbewahrung beträgt in der Regel zehn Jahre nach Abschluß der Behandlung. Eine Verlängerung dieser Aufbewahrungsfrist kann sich aus speziellen Rechtsvorschriften oder auch aus der Berufsordnung ergeben, sofern dies "nach der ärztlichen Erfahrung geboten" ist. Auch die Vernichtung von Patientenunterlagen muß datenschutzgerecht erfolgen.
Zulässigkeitsvoraussetzungen für eigene (berufliche) Zwecke
Bevor die Zulässigkeitsvoraussetzungen der Datenverarbeitung für eigene (berufliche) Zwecke in den nächsten beiden Folgen dieser Serie erläutert werden, wird zur Verdeutlichung eine Abgrenzung eigener und fremder Zwecke vorgenommen. Das BDSG unterscheidet die Datenverarbeitung/-nutzung für eigene (berufliche) (§ 28 BDSG) und fremde (geschäftsmäßige) Zwecke der Übermittlung (§§ 29, 30 BDSG).
Von einer Datenverarbeitung für eigene Zwecke wird gesprochen, wenn die Datenverarbeitung allein als Hilfsmittel zur Erreichung anderer beruflicher oder gewerblicher Vorhaben dient. Die Datenverarbeitung ist in diesem Fall lediglich "Mittel zum Zweck”. Die Beispiele hierfür sind zahlreich: Verarbeitung von Personaldaten durch den Arbeitgeber, von Mandantendaten durch einen Steuerberater oder Wirtschaftsprüfer oder die Verarbeitung von Patientendaten durch einen Arzt. In allen Fällen ist die Verarbeitung personenbezogener Daten nicht Geschäftszweck des Verarbeiters (hier: Arbeitgeber, Steuerberater, Wirtschaftsprüfer, Arzt), sondern dient diesem nur zur Unterstützung seiner sonstigen beruflichen oder gewerblichen Tätigkeit.
Das Gegenstück hierzu ist die Verarbeitung und Nutzung personenbezogener Daten für fremde Zwecke, bei der die datenerhebende Stelle an den Daten kein Eigeninteresse geltend macht, sondern eine Erhebung und Speicherung lediglich zum Zweck der Übermittlung an Dritte erfolgt. Diese geschäftsmäßige Datenspeicherung zum Zweck der Übermittlung fällt in den Anwendungsbereich der §§ 29 und 30 BDSG. Klassische Beispiele sind Servicerechenzentren, Auskunfteien, Detekteien, Warndienste oder Markt-/Meinungsforscher. Die Anwendbarkeit der §§ 29 f. BDSG setzt folglich eine kommerzielle Anwendung der Datenverarbeitung voraus.
Uwe M. Seidel


Die nächste Folge der Serie beschäftigt sich mit den Zulässigkeitsvoraussetzungen des § 28 BDSG (zum Beispiel Datenerhebung und -speicherung aufgrund eines Behandlungsvertrags), bei denen insbesondere auf typische Situationen der Datenweitergabe durch den Arzt an andere Institutionen eingegangen wird.

Zum Autor
Dipl.-Kfm. Dr. rer. pol. Uwe M. Seidel ist Seniorberater bei der KPMG Consulting GmbH, München, und Autor von Beiträgen zum Rechnungswesen und zum Datenschutz- und Telekommunikationsrecht.


Bisher sind in der Artikelserie zum Datenschutzrecht für Ärzte erschienen:
n Teil 1: Datenschutz und ärztliche Schweigepflicht
n Teil 2: Schutzbereich und Adressaten des BDSG
n Teil 3: Dateien und Akten
n Teil 4: Die Einwilligung des Patienten in die Datenverarbeitung und -nutzung


Tabelle: Normadressaten des dritten Abschnitts des BDSG
Nichtöffentliche Stellen Beispiele
Natürliche Personen, soweit nicht in rein privater Form tätig Ärzte, Kaufleute, Handwerker,
(§ 27 Abs. 1 Nr. 1 BDSG) Steuerberater, Rechtsanwälte
Juristische Personen des K Stiftungen Thyssen-Stiftung, HumboldtPrivatrechts (§ 80 BGB) Stiftung
(§ 27 Abs. 1 Nr. 1 BDSG) K Idealvereine Max-Planck-Gesellschaft e. V.,
(§ 21 BGB) Haus- und Grundbesitzerverein
K Wirtschaftliche Vereine Taxizentralen, Inkassovereine
(§ 22 BGB)
K Kapitalgesellschaften Aktiengesellschaften (AG),
(§§ 1, 278 AktG, Gesellschaften mit beschränkter
§ 13 GmbHG, § 17 GenG) Haftung (GmbH), eingetragene
Genossenschaften (eG)
Nicht rechtsfähige Gesell- K Gesellschaften des Zusammenschlüsse von Ärzten,
schaften und Personen- bürgerlichen Rechts Rechtsanwälten u. a.,
vereinigungen des Privatrechts (§ 705 BGB, sog. Gelegenheitskartelle, Holding(§ 27 Abs. 1. Nr. 1 BDSG) "BGB-Gesellschaft") gesellschaften
K Personenhandelsgesell- Offene Handelsgesellschaften
schaften (OHG), Kommanditgesellschaften
(§§ 105 ff., 161 ff. HGB) (KG, GmbH & Co. KG)
K nicht eingetragene Vereine Arbeitgeberverbände, Gewerk (§ 54 BGB) schaften, Kartelle, teilweise
politische Parteien
Öffentliche Stellen Beispiele
Öffentlich-rechtliche Wettbewerbsunternehmen des Bundes Kreditanstalt für Wiederaufbau,
(§ 27 Abs. 1 Nr. 2a BDSG) Deutsche Genossenschaftsbank
Öffentlich-rechtliche Wettbewerbsunternehmen der Länder bei Landesgirozentralen, Landesder Ausführung von Bundesrecht und soweit keine Regelungen banken (je nach landesrechtlicher
im jeweiligen Landesrecht vorhanden (§ 27 Abs. 1 Nr. 2b BDSG) Regelung)
Öffentlich-rechtliche Stellen bei der Personaldatenverarbeitung Bundesgerichte, BundesgesundK des Bundes heitsamt, Bundesanstalt für Arbeit,
K der Länder, soweit die LDSGe auf den dritten Abschnitt Landesgesundheitsamt, Landes verweisen arbeitsamt (je nach landesgesetz licher Regelung)

Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.