Datenschutzbeauftragter - Datenschutz in der Arztpraxis

Datenschutz
in der Arztpraxis
Spitze des Wegweisers
Direkt zum Seiteninhalt

Datenschutzbeauftragter


Dr.Thilo Weichert, ehemaliger Datenschutzbeauftragter

des Landes Schleswig-Holstein


Dr.Thilo Weichert fragt:

1.Frage: Haben Sie bei Ihrem Arztpraxisrechner einen Internet-Anschluss?
Ja? Wie ist dieser Rechner gegen unberechtigte Zugriffe von Außen gesichert? Durch eine Firewall? Wissen Sie, welche Angriffe Ihre Firewall abwehrt und welche nicht? Nein? Sind Sie sicher, dass Ihre Patientendaten nur bei Ihnen gespeichert sind und dass sie nicht über das Internet ohne Chance auf Rückgabe kopiert und abgesaugt wurden? Sind Sie sicher, dass die Daten nicht über das Internet manipuliert wurden?

2. Frage: Erstellen Sie von Ihren elektronisch gespeicherten Patientendaten regelmäßig Sicherheitskopien?
Ja? wie regelmäßig? Täglich, wöchentlich, monatlich? Was machen Sie, wenn Ihnen Ihr System zusammenbricht, z.B. durch einen Festplattencrash, und Ihnen die Daten z.B. des letzten Monats ohne Chance auf Wiederherstellung verloren gegangen sind?

3. Frage: Haben Sie Fachkunde über Ihr EDV-System?
Nein? Haben Sie in Ihrer Arztpraxis einen EDV-Experten oder eine EDV-Expertin? Auch nein? Erfolgt die Wartung und Betreuung Ihres Systems durch eine externe Firma? Ja? Woher wissen Sie, ob der Mitarbeiter dieser Firma Ihre Daten nicht kopiert, löscht oder manipuliert? Oder erfolgt die Systemwartung etwa sogar online? Wie sind Sie sicher, dass die Daten auf dem Übertragungsweg nicht mitgelesen und mitgeschrieben werden?

4. Frage: Haben Sie in Ihrer Arztpraxissoftware die vorgesehenen Sicherheitsfunktionalitäten aktiviert, z.B. die Pausenfunktion eingeschaltet, so dass für den Fall, dass Sie das Behandlungszimmer verlassen müssen und der Patient allein gelassen wird, den Bildschirm nicht lesen kann? Haben Sie den Passwortschutz aktiviert, damit ihr Patient nicht mal aus reiner Neugierde während Ihrer Abwesenheit mit den System spielen kann? Ist das Passwort so komplex. dass es mindestens 6 stellig, Groß- und Kleinschreibung, Zahlen, vielleicht auch Sonderzeichen enthält?

Der Arzt erhält vom Patienten, auf Gut-Glauben, Daten über Leben und Tod; Daten über psychische und körperliche Unzulänglichkeiten, Probleme mit der Sexualität, oder genetische Dispositionen. Es geht also um Daten, die die Patienten dem Arzt nur unter dem Siegel der Verschwiegenheit anvertrauen und die tatsächlich niemanden außer dem Arzt etwas angehen.

Aber nicht erst seit den Datenunfällen, als ein Krankenhaus Patientendaten versehentlich über das Internet der Öffentlichkeit zugänglich machte, oder den Möglichkeiten, die uns der NSA-Skandal aufzeigt, wissen wir, dass Datensicherheit und Datenschutz ein schwieriges und komplexes Thema ist. Der Arzt braucht deshalb, wie bei den Steuern den Steuererberater, bei Rechtsfällen den Rechtsanwalt, den Datenschutzbeauftragten im Datenschutz, einen IT-Sicherheits-Experten mit Rechtskenntnissen in den Datenschutz-Gesetzen. Es geht um Grundrechte tausender Patienten, deren Daten treuhänderisch in Arztpraxen verarbeitet und aufbewahrt werden. Daher schreibt der Gesetzgeber den Datenschutzbeauftragten auch vor.

Bundesdatenschutzgesetz (BDSG):
Gemäß § 4f BDSG müssen öffentlich und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen (also Arztpraxen) spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit einen Beauftragten für den Datenschutz schriftlich bestellen. Gemäß § 4f Abs. 1 S. 3 BDSG gilt dies im Grundsatz nicht, wenn weniger als 20 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, dann kann der Inhaber selber für Einhaltung und Umsetzung sorgen.

Was droht, wenn kein Datenschutzbeauftragter bestellt wird?
Das Datenschutzrecht hat in der öffentlichen Diskussion auf Grund verschiedener Datenschutzvorfälle an Bedeutung gewonnen. Dennoch unterschätzen viele Arztpraxen nach wie vor die Risiken, die mit einer Nichtbeachtung der datenschutzrechtlichen Vorschriften einhergehen. Der Einsatz eines Datenschutzbeauftragten und die Beachtung datenschutzrechtlicher Vorgaben im Übrigen wird von den Ärzten als zu hoher Kostenfaktor empfunden. Dennoch drohen bei Überprüfung durch die Aufsichtsbehörden rechtliche Konsequenzen, die wiederum auch eine Kostenbelastung darstellen können. Nachfolgend soll erklärt werden, was bei einem Verstoß gegen die datenschutzrechtlichen Vorschriften drohen kann, insbesondere dann, wenn kein Datenschutzbeauftragter, oder jemand mit nur minderer Fachkunde bestellt wurde, z.B. eine Arzthelferin.

Vorgehensweise der Behörden bei Datenschutzverstößen
Erhält die Behörde von einem Verstoß gegen das Datenschutzrecht Kenntnis, wird in der Regel die Arztpraxis mit dem Sachverhalt konfrontiert und um fristgebundene Stellungnahme gebeten. Bei Gefahr im Verzug, oder bei stichprobenartigen Kontrollen kann auch direkt eine umfassende Überprüfung vorort vorgenommen werden. Wird tatsächlich ein Verstoß festgestellt, so besteht die Möglichkeit eines Bußgeldes nach § 43 BDSG , oder das Verbot Daten zu verarbeiten.

Welche Rechtsfolge tritt ein, wenn trotz einer Verpflichtung kein Datenschutzbeauftragter ernannt wird?
Arztpraxen mit mehr als neun Mitarbeitern, die computergestützt mit personenbezogenen Daten (also insbesondere Mitarbeiter- und Patientendaten) arbeiten, benötigen gemäß § 4f BDSG einen internen oder externen Datenschutzbeauftragten (die Verpflichtung kann sich im Einzelfall sogar bereits früher ergeben). Obwohl diese Verpflichtung seit Jahren besteht, sind viele Arztpraxen diesem Erfordernis bisher nicht nachgekommen.
Der Verstoß gegen diese Verpflichtung stellt jedoch eine Ordnungswidrigkeit dar, die mit einem Bußgeld bis zu 50.000,- Euro geahndet werden kann. Die maximale Bußgeldhöhe wurde im Rahmen der Novellierung des BDSG nochmals erhöht.

Bußgeld nach § 43 BDSG möglich
Alle Bußgeldtatbestände aufzuführen würde den Rahmen sprengen. Herausgegriffen sei im Folgenden exemplarisch § 43 Abs. 1 Nr. 2 BDSG:
„Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig […] einen […] (Datenschutzbeauftragten) nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt […].“
Daneben lautet Absatz 3 der Vorschrift:
„Die Ordnungswidrigkeit kann im Falle des Absatzes 1 mit einer Geldbuße bis zu 50.000,- Euro […] geahndet werden. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die […] genannten (50.000,- Euro) […] hierfür nicht aus, so können sie überschritten werden.“

Was wird von diesem Tatbestand genauer umfasst?
Zweifelsfrei umfasst ist der Tatbestand, dass eine Arztpraxis trotz der Verpflichtung aus § 4f BDSG einen Beauftragten nicht oder zu spät bestellt.
Wird ein Beauftragter für den Datenschutz zwar formell bestellt, ist er aber außerstande, diese Funktion auszuführen oder erfüllt er eindeutig die Qualifikationsvoraussetzungen nicht, liegt ebenfalls keine wirksame Bestellung vor und ist damit der Tatbestand der Ordnungswidrigkeit erfüllt.

Bußgeld auch bei mangelnder Schriftlichkeit der Bestellung möglich
Weiter wird der Fall sanktioniert, dass die Bestellung nicht schriftlich erfolgt ist („nicht in der vorgeschriebenen Weise“). Der Fall, dass ein Beauftragter bestellt ist, aber pflichtwidrig untätig bleibt, ist nicht gemeint (Anmerkung: Er wird wegen des strafrechtlichen Bestimmtheitsgebotes nicht umfasst, da die für die juristische Auslegung relevante Wortlautgrenze so überschritten werden würde).

Ermessen der Behörde
Die für die Verfolgung und Ahndung zuständigen Behörden haben bei der Festsetzung des Bußgelds einen Ermessensspielraum. Die Bußgeldhöhe ist dabei so zu bestimmen, dass sie ausreichend abschreckend wirkt. Welches Bußgeld festgesetzt werden muss, bestimmt sich nach den Umständen des Einzelfalls. Es können auch die wirtschaftlichen Verhältnisse der Arztpraxis einen Ausschlag geben. Dies kann unter anderem vor allem dann angezeigt sein, wenn die Arztpraxis aus Kostengründen die Ordnungswidrigkeit begangen hat. Die Geldbuße sollte dann höher ausfallen, als der wirtschaftliche Vorteil, den die Arztpraxis durch die Nichtausführung erlangt hat. Die Regelung entspricht insoweit § 17 Abs. 4 des OWiG.

Sinn der Bußgeldregelung
Mit der Bußgeldbewährung soll verhindert werden, dass sich die Begehung einer Ordnungswidrigkeit für den Täter in irgendeiner Weise lohnt. Bei einer durchgeführten Saldierung soll der Täter erkennen, dass er die falsche Wahl getroffen hat, um sich dann entsprechend seinem Kostenrisiko das nächste Mal für den richtigen Weg zu entscheiden.

Folgen für die Praxis
Gerade dies kann auch in der nächsten Zeit zu Lasten der Ärzte ausfallen: es kann passieren, dass die einzelnen Aufsichtsbehörden gerade deswegen hohe Bußgelder erlassen werden, um eine gewisse Abschreckungswirkung zu erzielen. Nicht zuletzt aus diesem Grund hat der Gesetzgeber im vergangenen Jahr den Bußgeldrahmen von 25.000,- Euro auf 50.000,- Euro erhöht.

Fazit
Für Arztpraxen, die einen Datenschutzbeauftragten nicht, zu spät oder nicht in der erforderlichen Weise bestellt haben, besteht ein bußgeldbewährtes Kontroll-Risiko. Seit September 2009 haben die Aufsichtsbehörden die Möglichkeit, bei der Festlegung der Bußgeldhöhe die durch die Nicht-Einhaltung dieser Vorschrift eingesparten Kosten in voller Höhe zu berücksichtigten. Zudem wird die Einhaltung datenschutzrechtlicher Vorschriften nicht nur von den Aufsichtsbehörden sondern zunehmend auch von Mitarbeitern, Kunden und Wettbewerbern eingefordert.

Quellen: Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter, Rechtsassessorin Alma Lena Fritz

Dipl.Ing. Informationstechnik. Datenschutzbeauftragter TÜV Süd, Datenschutz-Auditor TÜV Süd, Cyber Security Berater für VDS 10000
Zurück zum Seiteninhalt