Datenschutzbeauftragter Arztpraxis – wichtige Infos!

Sehr viele Ärzte stellen sich die Frage, ob eine Arztpraxis eigentlich einen Datenschutzbeauftragten benennen muss. Die Rechtslage im Zuge der DSGVO in Verbindung mit der Neuregelung des BDSG hat mehrere Neuerungen parat:

Anzahl der Mitarbeiter in einer Arztpraxis

Mittelgroße bis große medizinische Unternehmen, wie eine Arztpraxis, müssen sich der Einhaltung des Datenschutzes unterwerfen.

Die Leitung des MVZ beziehungsweise der Arztpraxis muss spätestens 30 Tage nach Aufnahme der Tätigkeit einen Datenschutzbeauftragten bestellen, der eine festgelegte Qualifikation für die Aufgabe hat, sollten mehr als neun Personen mit der Erstellung und Auswerten von Patientendaten beschäftigt sein.

Die Missachtung zieht eine Abmahnung und ein Bussgeld nach sich. Die Zahl der Beschäftigten ist unabhängig davon, ob sie voll- oder teilzeitbeschäftigt sind. Nur die „Kopfzahl“ ist von Interesse.

Zu den Patientendaten gehören Stammdaten, das Datum der Behandlung, sowie Kontodaten. Sollte die Arztpraxis weniger als zehn Mitarbeier haben, ist kein Datenschutzbeauftragter zu bestellen. Die Datenschutzvorschriften des BDSG müssen trotzdem verfolgt werden. Sollte dem nicht nachgekommen werden, folgt in der Regel eine Abmahnung mit einem empfindlichen Bussgeld.

Schweigepflicht

Ein Arzt selbst ist der Schweigepflicht verpflichtet und kann daher nicht der Tätigkeit eines Datenschutzbeauftragten nachgehen.

Sollte ein externer Sachverstand herangezogen werden, darf dieser aufgrund der ärztlichen Schweigepflicht keine Einsicht in Datensätze von Patienten erlangen. Sie dürfen zum Beispiel nur bei der in der Praxis betriebener EDV beratend tätig sein, um den Arzt über Optimierungsmöglichkeiten zu unterrichten.

Wenn man aber einen Datenschutzbeauftragten einsetzen muss, weil man mehr als neun Mitarbeiter beschäftigt, unabhängig davon, ob es ein externer Beauftragter oder Mitarbeiter der Praxis selbst ist, darf dieser in die personenbezogene Daten von Patienten Einsicht erhalten, so es der Erfüllung seiner Aufgaben dienlich ist – der Datenschutzbeauftragte ist dann der sogenannten eigenen strafbewehrten Schweigepflicht unterworfen.

Die Qualifikation des Datenschutzbeauftragten

Er muss Zuverlässigkeit beweisen, um personenbezogene Daten einsehen zu können. Dazu muss er ein Führungszeugnis aufweisen, das frei von Verurteilungen ist. So zum Beispiel der Abwesenheit von Interessenkonflikten aus früheren Aufgaben.

Der Datenschutzbeauftragte muss über Erfahrung und dem Wissen einschlägiger Datenschutzvorschriften verfügen, sowie ein Grundverständnis elektronischer Datenverarbeitung vorweisen können, und Erfahrung mit dem Umgang der speziellen Organisation und Prozessen des Gesundheitswesens haben.

Das Gesetz beschreibt dazu ausdrücklich den Umfang und die Sensibilität der verarbeiteten Daten. Es gibt derzeit noch keine staatlich anerkannte Berufsbeschreibung eines Datenschutzbeauftragten für das Gesundheitswesen. Wohl aber ein umfangreiches Angebot für spezielle Aus- und Fortbildungskurse, welche auch Zertifikate ausgeben, und von Aufsichtsbehörden, wie dem TÜV, überwacht werden. Wer keinen Datenschutzbeauftragten in seiner Arztpraxis fest anstellen will, der hat die Möglichkeit beispielsweise einen externen Datenschutzbeauftragten von max2-consulting bestellen.