Datenschutzbeauftragter

Dr.Thilo Weichert, ehemaliger Datenschutzbeauftragter

Dr.Thilo Weichert fragt:

1.Frage: Haben Sie bei Ihrem Arztpraxisrechner einen Internet-Anschluss?
Ja? Wie ist dieser Rechner gegen unberechtigte Zugriffe von Außen gesichert? Durch eine Firewall? Wissen Sie, welche Angriffe Ihre Firewall abwehrt und welche nicht? Nein? Sind Sie sicher, dass Ihre Patientendaten nur bei Ihnen gespeichert sind und dass sie nicht über das Internet ohne Chance auf Rückgabe kopiert und abgesaugt wurden? Sind Sie sicher, dass die Daten nicht über das Internet manipuliert wurden?

2. Frage: Erstellen Sie von Ihren elektronisch gespeicherten Patientendaten regelmäßig Sicherheitskopien?
Ja? wie regelmäßig? Täglich, wöchentlich, monatlich? Was machen Sie, wenn Ihnen Ihr System zusammenbricht, z.B. durch einen Festplattencrash, und Ihnen die Daten z.B. des letzten Monats ohne Chance auf Wiederherstellung verloren gegangen sind?

3. Frage: Haben Sie Fachkunde über Ihr EDV-System?

Nein? Haben Sie einen EDV-Experten in Ihrer Praxis? Nein? Wird Ihr System von einer externen Firma gewartet und betreut? Auch ja? Woher wissen Sie, dass die Mitarbeiter dieser Firma Ihre Daten nicht kopieren, löschen oder manipulieren? Oder erfolgt die Systemwartung gar online? Wie können Sie sicher sein, dass die Daten auf dem Übertragungsweg nicht mitgelesen und mitgeschrieben werden?

4. Frage: Haben Sie in Ihrer Praxissoftware die vorgesehenen Sicherheitsfunktionen aktiviert, z.B. die Pausenfunktion eingeschaltet, damit der Patient den Bildschirm nicht lesen kann, wenn Sie das Behandlungszimmer verlassen müssen und der Patient allein ist? Haben Sie den Passwortschutz aktiviert, damit Ihr Patient während Ihrer Abwesenheit nicht aus reiner Neugier mit dem System spielen kann? Ist das Passwort so komplex, dass es mindestens 6 Zeichen lang ist, Groß- und Kleinbuchstaben, Zahlen und vielleicht auch Sonderzeichen enthält?

Der Arzt erhält vom Patienten im guten Glauben Daten über Leben und Tod, Daten über psychische und physische Unzulänglichkeiten, Probleme der Sexualität oder genetische Dispositionen. Daten also, die der Patient dem Arzt nur unter dem Siegel der Verschwiegenheit anvertraut und die eigentlich niemanden etwas angehen außer den Arzt.

Aber nicht erst seit den Datenunfällen, als ein Krankenhaus versehentlich Patientendaten über das Internet öffentlich zugänglich machte, oder den Möglichkeiten, die uns der NSA-Skandal aufzeigt, wissen wir, dass Datensicherheit und Datenschutz ein schwieriges und komplexes Thema sind. Der Arzt braucht deshalb, wie in Steuerfragen den Steuerberater, in Rechtsfragen den Rechtsanwalt, im Datenschutz den Datenschutzbeauftragten, einen IT-Sicherheitsexperten mit Rechtskenntnissen im Datenschutzrecht. Es geht um die Grundrechte tausender Patienten, deren Daten in Arztpraxen treuhänderisch verarbeitet und aufbewahrt werden. Deshalb schreibt der Gesetzgeber den Datenschutzbeauftragten vor.

Bundesdatenschutzgesetz (BDSG):

Gemäß § 4f BDSG haben öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen (also Arztpraxen), spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit einen Beauftragten für den Datenschutz schriftlich zu bestellen. Dies gilt gemäß § 4f Abs. 1 Satz 3 BDSG grundsätzlich nicht, wenn weniger als 20 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind; in diesem Fall kann der Inhaber selbst für die Einhaltung und Umsetzung sorgen.

Was droht, wenn kein Datenschutzbeauftragter bestellt ist?

Das Datenschutzrecht hat durch verschiedene Datenschutzvorfälle in der öffentlichen Diskussion an Bedeutung gewonnen. Dennoch unterschätzen viele Arztpraxen nach wie vor die Risiken, die mit der Nichtbeachtung datenschutzrechtlicher Vorschriften einhergehen. Der Einsatz eines Datenschutzbeauftragten und die Einhaltung der datenschutzrechtlichen Vorgaben werden von den Ärzten als zu hoher Kostenfaktor empfunden. Gleichwohl drohen im Falle einer Überprüfung durch die Aufsichtsbehörden rechtliche Konsequenzen, die wiederum eine Kostenbelastung darstellen können. Im Folgenden soll erläutert werden, was bei Verstößen gegen datenschutzrechtliche Vorschriften drohen kann, insbesondere dann, wenn kein Datenschutzbeauftragter oder nur eine Person mit geringer Fachkunde, z. B. eine MFA, bestellt wurde.

Vorgehen der Behörden bei Datenschutzverstößen

Erhält die Behörde Kenntnis von einem Verstoß gegen das Datenschutzrecht, wird die Arztpraxis in der Regel mit dem Sachverhalt konfrontiert und unter Fristsetzung zur Stellungnahme aufgefordert. Bei Gefahr im Verzug oder im Rahmen von Stichproben kann auch direkt eine umfassende Prüfung vor Ort erfolgen. Wird tatsächlich ein Verstoß festgestellt, besteht die Möglichkeit eines Bußgeldes nach § 43 BDSG oder eines Datenverarbeitungsverbotes.

Welche Rechtsfolgen treten ein, wenn trotz Verpflichtung kein Datenschutzbeauftragter bestellt wird?

Arztpraxen mit mehr als neun Mitarbeitern, die personenbezogene Daten (also insbesondere Mitarbeiter- und Patientendaten) EDV-gestützt verarbeiten, benötigen nach § 4f BDSG einen internen oder externen Datenschutzbeauftragten (im Einzelfall kann die Verpflichtung auch schon früher bestehen). Obwohl diese Verpflichtung bereits seit Jahren besteht, sind viele Arztpraxen dieser Anforderung bisher nicht nachgekommen.

Ein Verstoß gegen diese Verpflichtung stellt jedoch eine Ordnungswidrigkeit dar, die mit einer Geldbuße bis zu 50.000,- Euro geahndet werden kann. Die maximale Höhe des Bußgeldes wurde im Rahmen der Novellierung des BDSG nochmals erhöht.

Bußgeldtatbestände nach § 43 BDSG

Eine Aufzählung aller Bußgeldtatbestände würde den Rahmen sprengen. Exemplarisch sei im Folgenden § 43 Abs. 1 Nr. 2 BDSG:

„Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig [...] einen [...] (Datenschutzbeauftragten) nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig [...] bestellt.“

Weiter heißt es in Absatz 3 der Vorschrift

„Die Ordnungswidrigkeit kann im Falle des Absatzes 1 mit einer Geldbuße bis zu 50.000 Euro [...] geahndet werden. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die genannten [...] (50.000,- Euro) [...] hierfür nicht aus, so können sie überschritten werden.“

Was umfasst dieser Tatbestand im Einzelnen?

Erfasst wird zweifelsfrei der Tatbestand, dass eine Arztpraxis trotz der Verpflichtung aus § 4f BDSG keinen oder zu spät einen Beauftragten bestellt.

Ist ein Datenschutzbeauftragter zwar formal bestellt, aber nicht in der Lage, diese Funktion auszuüben oder erfüllt er die Qualifikationsvoraussetzungen offensichtlich nicht, liegt ebenfalls keine wirksame Bestellung vor und der Tatbestand der Ordnungswidrigkeit ist erfüllt.

Bußgeld auch bei fehlender Schriftform der Bestellung möglich

Sanktioniert wird auch der Fall, dass die Bestellung nicht schriftlich („nicht in der vorgeschriebenen Weise“) erfolgt ist. Nicht erfasst ist der Fall, dass ein Beauftragter zwar bestellt ist, aber pflichtwidrig untätig bleibt (Anmerkung: Dieser Fall wird wegen des strafrechtlichen Bestimmtheitsgebots nicht erfasst, da damit die für die juristische Auslegung relevante Wortlautgrenze überschritten würde).

Ermessen der Behörde

Die für die Verfolgung und Ahndung zuständigen Behörden haben bei der Festsetzung der Geldbuße einen Ermessensspielraum. Die Höhe der Geldbuße ist so zu bemessen, dass sie eine hinreichend abschreckende Wirkung entfaltet. Welche Geldbuße festzusetzen ist, richtet sich nach den Umständen des Einzelfalls. Dabei können auch die wirtschaftlichen Verhältnisse der Arztpraxis eine Rolle spielen. Dies kann insbesondere dann angezeigt sein, wenn die Arztpraxis die Ordnungswidrigkeit aus Kostengründen begangen hat. Die Geldbuße soll dann höher ausfallen als der wirtschaftliche Vorteil, den die Arztpraxis durch die Nichterfüllung erlangt hat. Die Regelung entspricht insoweit § 17 Abs. 4 des OWiG.

Zweck der Bußgeldbewehrung

Die Bußgeldbewährung soll verhindern, dass sich die Begehung einer Ordnungswidrigkeit für den Täter in irgendeiner Weise lohnt. Der Täter soll durch die Aufrechnung erkennen, dass er den falschen Weg eingeschlagen hat, um sich beim nächsten Mal entsprechend seinem Kostenrisiko für den richtigen Weg zu entscheiden.

Konsequenzen für die Praxis

Gerade dies kann in der nächsten Zeit auch zu Lasten der Ärzte gehen: Es kann passieren, dass die einzelnen Aufsichtsbehörden gerade deshalb hohe Bußgelder verhängen, um eine gewisse Abschreckungswirkung zu erzielen. Nicht zuletzt aus diesem Grund hat der Gesetzgeber im vergangenen Jahr den Bußgeldrahmen von 25.000,- Euro auf 50.000,- Euro angehoben.

Fazit

Arztpraxen, die einen Datenschutzbeauftragten nicht, zu spät oder nicht ordnungsgemäß bestellt haben, laufen Gefahr, mit einem Bußgeld belegt zu werden. Seit September 2009 haben die Aufsichtsbehörden die Möglichkeit, bei der Bemessung des Bußgeldes die durch die Nichtbeachtung dieser Vorschrift ersparten Aufwendungen in voller Höhe zu berücksichtigen. Hinzu kommt, dass die Einhaltung datenschutzrechtlicher Vorschriften nicht nur von den Aufsichtsbehörden, sondern zunehmend auch von Mitarbeitern, Kunden und Wettbewerbern eingefordert wird.