ArchivDÄ-TitelSupplement: PRAXiSPRAXiS 4/2008Der betriebliche Datenschutzbeauftragte: Mehr Sicherheit in der Praxis

Supplement: PRAXiS

Der betriebliche Datenschutzbeauftragte: Mehr Sicherheit in der Praxis

Dtsch Arztebl 2008; 105(46): [18]

Strelecki, Joachim; Sonnemann, Anke

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS
Foto: fotolia [m]
Foto: fotolia [m]
Ein Überblick über Voraussetzungen, Rolle und Aufgaben des Datenschutzbeauftragten

Bezüglich der Frage, wann in einer Arztpraxis ein Datenschutzbeauftragter bestellt werden muss, gibt es unterschiedliche Auslegungen. Die gängige Meinung besagt jedoch, dass die Bestellung erst notwendig wird, wenn in der Praxis mehr als neun Personen ständig personenbezogene Daten erheben, verarbeiten und nutzen.

Weil jedoch alle Daten im Gesundheitswesen als besonders schützenswert einzustufen sind, sollte abgesehen vom „Muss“ überlegt werden, ob nicht unabhängig von der Zahl der Mitarbeiter grundsätzlich eine Person damit beauftragt wird, sich um den Datenschutz zu „kümmern“. Das Bundesdatenschutzgesetz (BDSG) muss letztlich auch unabhängig von der Frage der Bestellung eines Datenschutzbeauftragten beachtet und umgesetzt werden. Auch besteht für Arztpraxen, die eine Praxis-EDV als „automatisiertes Verfahren“ einsetzen und keinen Datenschutzbeauftragten bestellt haben, eine Meldepflicht.

Anforderungen
Zu den Qualifikationsanforderungen besagt das BDSG lediglich, dass zum Datenschutzbeauftragten nur bestellt werden darf, „wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten. . .“ (§ 4 f. Absatz 2 BDSG).

Zur Fachkunde gehört jedoch nicht nur die Kenntnis des BDSG, der Datenschutzbeauftragte muss sich außerdem in weiteren Gesetzen, wie dem Bürgerlichen Gesetzbuch (BGB), dem Strafgesetzbuch (StGB) und dem Betriebsverfassungsgesetz, auskennen. Zusätzlich sind bereichsspezifische Gesetze und Richtlinien, wie etwa das Sozialgesetzbuch (SGB), das Infektionsschutzgesetz und die (Muster-)Berufsordnung für Ärzte (MBO-Ä), zu beachten.

Aber auch allgemeine Kenntnisse der Informationstechnologie sowie die Kenntnis des EDV-Systems müssen vorhanden sein. Hierzu gehören vor allem Kenntnisse in den Bereichen: Passwortschutz und Passwortrichtlinien, Rechteverwaltung innerhalb des Netzwerks sowie der Praxis-EDV, Protokollierung von Vorgängen mit Log-Files, Datensicherungen und Möglichkeiten der elektronischen Datenübermittlung sowie Verschlüsselung der Daten.

Achtung: Zum Datenschutzbeauftragten darf nicht benannt werden, wer zur Geschäftsführung sowie zur EDV-Abteilung gehört, da hier leicht Interessenkonflikte entstehen können.

Bislang gibt es keine verbindlichen Regelungen, wie und wo diese Fachkunde zu erwerben und ob eine entsprechende Prüfung abzulegen ist. Theoretisch ist zurzeit also auch ein reines Selbststudium denkbar. Hiervon ist jedoch schon aufgrund der Fülle der mitgeltenden Richtlinien und Gesetze abzuraten. Weitere Argumente gegen das Selbststudium sind die häufig fehlenden Beispiele zur Umsetzung in der Routine sowie die fehlenden Kontakte.

Fortbildungskurse zum Erwerb der Fachkunde werden von den unterschiedlichsten Institutionen und Firmen angeboten, so etwa vom TÜV oder vom Unabhängigen Landesdatenschutzzentrum Schleswig-Holstein in Kiel. Derzeit erarbeitet der Berufsverband der Datenschutzbeauftragten Deutschlands e.V. ein Berufsbild, das als Leitbild für die Tätigkeit des Datenschutzbeauftragten dienen soll. Im Internet findet man viele Angaben zu entsprechender Fachliteratur (siehe Kasten rechts). Einige Verlage bieten auch eine Kombination aus Nachschlagewerken und begleitenden Checklisten und Handlungshilfen an.

Stellung und Aufgaben
Der Datenschutzbeauftragte untersteht direkt der Geschäftsführung und ist in der Ausübung seiner Fachkunde weisungsfrei. Er darf wegen Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Geschäftsführung muss ihn in der Ausübung seiner Aufgaben unterstützen. Hierzu sind ihm für seine Tätigkeit die erforderliche Zeit sowie ein finanzieller (und bei Bedarf auch personeller) Freiraum einzuräumen. Darüber hinaus müssen dem Datenschutzbeauftragten Dokumente zur Verfügung gestellt werden, aus denen unter anderem hervorgeht, mit welchen Daten zu welchem Zweck gearbeitet wird, an welchen Stellen (und auch Geräten) die Daten verarbeitet werden und welche Sicherungsmaßnahmen bereits getroffen wurden.

Die Aufgaben des Datenschutzbeauftragten sind im Bundesdatenschutzgesetz festgelegt. Sie umfassen:

- die Umsetzung/Einhaltung des BDSG und anderer Vorschriften über den Datenschutz
- die Überwachung der ordnungsgemäßen Anwendung der EDV-Programme (hier sind vor allem die technisch-organisatorischen Maßnahmen zu beachten; § 9 und Anlage BDSG)
- die Schulung und Sensibilisierung der mit der Datenverarbeitung betrauten Beschäftigten
- die Durchführung von Vorabkontrollen
- die Durchführung von jährlichen Datenschutzaudits (empfohlen).

Weiterhin muss der Datenschutzbeauftragte auf Antrag ein „öffentliches Verfahrensverzeichnis für jedermann“ erstellen. Der Aufbau und Inhalt dieses Verfahrensverzeichnisses richten sich nach den im Rahmen der Meldepflicht zu machenden Angaben. Hierzu zählen neben der Angabe der verantwortlichen Stelle auch Aussagen zur Art der personenbezogenen Daten sowie Angaben, welche Daten erhoben, verarbeitet und genutzt werden und welche Maßnahmen zum Schutz der Daten eingeführt und umgesetzt werden.

Extern oder intern?
Grundsätzlich kann man zwischen der Bestellung eines internen und eines externen Datenschutzbeauftragten unterscheiden. Die Bestellung eines externen Datenschutzbeauftragten bringt folgende Vorteile mit sich: Der Erwerb der Fachkunde entfällt. Die betrieblichen Abläufe und Sicherheitsmaßnahmen werden objektiv durch einen Außenstehenden überprüft. Der externe Datenschutzbeauftragte verfügt über Vorlagen zur Erstellung der notwendigen Dokumente und kennt den benötigten Umfang.

Allerdings gibt es auch Nachteile: Bei der Überwachung der EDV-Systeme besteht schnell die Gefahr, dass eine „Offenbarung fremder Geheimnisse“ und somit eine Verletzung der ärztlichen Schweigepflicht vorliegt. Hier ist unbedingt daran zu denken, dass Überprüfungen der Praxis-EDV nur stattfinden dürfen, wenn eine schriftliche Einverständniserklärung des Patienten vorliegt. Alternativ muss die Überprüfung anhand von Testpatienten erfolgen. Der externe Datenschutzbeauftragte muss sich auf die Informationen verlassen, die ihm zur Verfügung gestellt werden. Da hier die Gefahr besteht, dass diese Informationen nicht vollständig sind, ist es wichtig, dass er sich im entsprechenden Fachbereich gut auskennt.

Auch bei der Bestellung eines internen Datenschutzbeauftragten sind Vor- und Nachteile gegeneinander abzuwägen. Vorteilhaft ist es, dass der interne Datenschutzbeauftragte die Strukturen der Praxis ebenso wie die Stärken und Schwächen der einzelnen Mitarbeiter kennt. Da er in der Regel zu den ärztlichen Mitarbeitern gehört, besteht hier nicht die Gefahr der „Offenbarung fremder Geheimnisse“. Auftretende Fragen im Zusammenhang mit dem Datenschutz kann man „mal eben im Vorbeigehen“ behandeln.

Zu den Nachteilen zählen der Erwerb der Fachkunde, die für den Datenschutz notwendige Zeit, die der interne Datenschutzbeauftragte dann an anderer Stelle fehlt, sowie die fehlende Objektivität bei der Überprüfung der Einhaltung des BDSG.

Fazit
Im Hinblick auf die Bestellung eines internen oder externen Datenschutzbeauftragten gibt es keine Pauschallösung, die für alle Arztpraxen die richtige ist. Bei der Entscheidung spielt sicher auch die Größe der Einrichtung eine Rolle. Für eine Praxis, die sich für eine interne Lösung entschließt, ist es empfehlenswert, in der ersten Zeit eine externe Begleitung zur Unterstützung in Anspruch zu nehmen. So können auch Fragen, die nach Fortbildungen zum Erwerb der Fachkunde aufkommen, direkt am konkreten Beispiel erklärt werden. Joachim Strelecki, Anke Sonnemann


Hilfreiche Links
- Webangebot des Fachverlags Weka Media GmbH & Co. KG: www.daten
schutz-praxis.de
- Kostenpflichtiger Informationsdienst „Datenschutz aktuell“ (BWRmedia): www.datenschutz-aktuell.de
- Unabhängiges Landesdatenschutzzentrum Schleswig-Holstein: www.daten
schutzzentrum.de/medizin/arztprax/
index.htm
- Bundesamt für Sicherheit in der Informationstechnik: www.bsi.bund.de/
gshb/index.htm
- Berufsverband der Datenschutzbeauftragten Deutschlands: www.bvdnet.de
Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema