Vielen erscheint es auf den ersten Blick unverständlich, dass Ärzte gesetzlich verpflichtet sind, einen Betriebsbeauftragten für Datenschutz einzusetzen. Schließlich gibt es bereits die ärztliche Schweigepflicht. Stimmt! Die Crux ist aber, dass vereinzelte Fälle von Unachtsamkeit sowie das virtuelle Umfeld, viel Potenzial für Datenmissbrauch bieten.

Hohes Potenzial für Hacker

Während der Tagung des Hessischen Datenschutzbeauftragten und der Landesärztekammer Hessen in Bad Nauheim am 22.06.2013 wurde dies wieder deutlich. Ausgelagerte Daten in Clouds, auf USB-Sticks oder mobile Systeme wie Laptops, Smartphones, WLAN-Kommunikation bieten viele Angriffspunkte für den Datenklau. Selbst Kopierer, medizinische Großgeräte und moderne Drucker hinterlassen nicht nur in amerikanischen Krimis Spuren, die zum Täter führen. Auch real speichern sie die Daten, welche sie zuvor kopiert oder gedruckt haben. Aber anders als im TV-Krimi gibt es real im Zweifel kein Happy-End, wenn Geräte ohne Datenvernichtung ausgemustert werden!

Kriterium: Zahl der Mitarbeiter

Das Bundesdatenschutzgesetz (BDSG) will Missbrauch verhindern. § 4f BDSG bestimmt daher, dass ein Datenschutzbeauftragter in nicht öffentlichen Stellen mit mehr als neun Mitarbeitern Pflicht ist, wenn Daten per EDV erhoben und verarbeitet werden. Dabei muss es sich nicht um Vollzeitangestellte handeln. Auch Auszubildende, Teilzeitkräfte und freie Mitarbeiter können zu diesem Personenkreis gehören. Merkmal: Sie müssen regelmäßig mit der Datenerhebung und -verarbeitung zu tun haben.

Kriterium: Sensibilität der Daten

Davon unabhängig müssen nicht öffentliche Stellen, die besonders sensible Daten verarbeiten, einen Datenschutzbeauftragten auch schon bei weniger als zehn Mitarbeitern bestellen. § 4d Abs. 5 BDGS klassifiziert hier Daten, deren Verarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen mit sich bringen. Diese Daten unterliegen vor Verarbeitungsbeginn einer Prüfpflicht, der sogenannten Vorabkontrolle. Welche Daten von dieser Vorabkontrolle betroffen sind, regelt § 3 Abs. 9 BDSG. Dazu gehören personenbezogene Angaben wie die rassische, ethnische Herkunft, politische Meinung, Religionszugehörigkeit, das Sexualleben und alle Gesundheitsdaten.

Wenige Ausnahmen, aber es gibt sie

Für die Arztpraxis und alle Betriebe, die derlei persönliche Daten per EDV erheben und verarbeiten, ist also die Mitarbeiterzahl erst in zweiter Linie der Maßstab. Ausnahmen von dieser Regel gibt es nach § 4d Abs. 5 BDSG nur, wenn eine gesetzliche Verpflichtung zur Datenerhebung vorliegt, der Betroffene seine schriftliche Einwilligung gegeben hat oder die Datenerhebung und -verarbeitung im Zusammenhang mit einem Rechtsgeschäft im schuldrechtlichen Sinne notwendig ist. Dazu gehören zum Beispiel die Angaben, die der Arzt braucht, damit er über seine Verrechnungsstelle fakturieren kann.

Outsourcing erlaubt

Soviel Bürokratie mag manchen verdrießen. Diese Vorschriften machen dennoch Sinn! Die elektronische Datenverarbeitung bringt auf der einen Seite zwar viel administrative Erleichterung, bedeutet andererseits aber auch ein hohes Sicherheitsrisiko. Ein Trost: Der Gesetzgeber erlaubt, dass dieser Aufwand von externen Spezialisten erledigt werden kann. Es muss also nicht alles bei den internen Mitarbeitern „hängen“ bleiben.

Foto: Thinkstock
Weitere Beiträge