Rechtsinformationen für Pathologen

Sehr geehrte Damen und Herren,

 

deutlich später als angekündigt erhalten Sie den zweiten Teil meiner Ausführungen über die EU-Datenschutzverordnung. Dies liegt daran, daß ich zuletzt verschiedene Stellungnahmen betroffener Verbände abwarten wollte. Mittlerweile haben die Bundesärztekammer, die Kassenärztliche Bundesvereinigung sowie die Bundesrechtsanwaltskammer ausführlich zum neuen Datenschutzrecht Stellung genommen. Teilweise gehen die Stellungnahmen etwas zu weit und insbesondere die Stellungnahme der ärztlichen Selbstverwaltungskörperschaften ist nicht immer trennscharf. Da aber die Unrichtigkeiten sich im Wesentlichen positiv auf die Rechtsposition der Ärzte auswirken, werde ich darauf nicht weiter hinweisen. Wenn man sich im Großen und Ganzen an der Stellungnahme der Bundesärztekammer und der Kassenärztlichen Bundesvereinigung orientiert, kommt man in ein ganz gutes Fahrwasser, weil man sich im Falle eines Ordnungswidrigkeitenverfahrens auf einen sogenannten unvermeidbaren Verbotsirrtum berufen kann. Ein solcher Verbotsirrtum führt zur Straflosigkeit. 

 

Ich greife meine grundsätzliche Ankündigung aus Teil 1 auf, ein Vorgehen zu beschreiben, das bei einem Minimum an Aufwand die Vorgaben des EU-Gesetzgebers und des deutschen Gesetzgebers erfüllt. Hierzu sei noch angemerkt, daß es zu den neuen Rechtsvorschriften, also zur EU-Datenschutzverordnung, zum neuen Bundesdatenschutzgesetz sowie zu den erst im Herbst in Kraft getretenen Änderungen des Strafgesetzbuchs noch keinerlei Rechtsprechung und/oder Kommentarliteratur gibt. Hierzu sei der Vorsitzende des Ausschusses Datenschutzrecht der Bundesrechtsanwaltskammer zitiert: „Die bisherige deutsche Datenschutzgesetzgebung wird nicht nur materiell geändert, sondern wird zusätzlich geprägt durch ein noch komplizierteres Regelungsgeflecht. Bis der Umfang der Geltung einzelner Bestimmungen… für den Anwender rechtssicher bestimmt ist, werden noch sehr viele Jahre vergehen.“

 

Doch alles Lamentieren bringt nichts; Im Folgenden soll unmittelbar nutzbare Hilfestellung für Pathologiepraxen gegeben werden. Ich muß natürlich darauf hinweisen, daß dies nur allgemeine Anregungen sind, durch die eine konkrete Rechtsberatung nicht ersetzt wird. Für die Richtigkeit sämtlicher Angaben und Muster wird durch mich keine Haftung übernommen. 

 

Eine weitere Vorbemerkung: Fernab der political correctness bezeichne ich im Folgenden die Person des betrieblichen Datenschutzbeauftragten als „Die Datenschutzbeauftragte“ und die des Landesdatenschutzbeauftragten als „Der Datenschutzbeauftragte“. Dies erlaubt bei guter Lesbarkeit die Differenzierung zwischen diesen sehr unterschiedlichen Personenkreisen und dürfte im übrigen auch der derzeitigen Lebenswirklichkeit in den meisten Fällen entsprechen.

 

 

A. Betriebliche Datenschutzbeauftragte

 

Die Konstruktion der Datenschutz-Grundverordnung ist relativ einfach. Das Sammeln und Verarbeiten von Gesundheitsdaten ist verboten. Es ist ausnahmsweise erlaubt, wenn es zur medizinischen Diagnostik und Therapie erfolgt. Damit sind sämtliche Daten, die ein Arzt verarbeitet, besonders schutzwürdige Daten im Sinne des Gesetzes. Die Datenschutz-Grundverordnung gilt in allen ihren Teilen für Ärzte.

 

Das bedeutet, daß grundsätzlich Einzel- und Gemeinschaftspraxen eine Datenschutzbeauftragte benennen müssen, und zwar entweder eine interne Datenschutzbeauftragte oder eine externe Datenschutzbeauftragte. Lediglich in Ausnahmefällen ist das nicht der Fall. In concreto gibt es drei unterschiedliche gesetzliche Fälle, nach denen eine Datenschutzbeauftragte zu benennen ist:

 

1. Fall: Hierunter fallen alle Praxen, in der „in der Regel mindestens zehn Personen selbständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Zu diesen Personen sind die beteiligten Ärzte zu rechnen, das Personal, das die Patientenerfassung vornimmt (etwa durch Einlesen von Strichcodes), das Personal, das die Rechnungen stellt und das Personal, das die Befunde schreibt. Auch angestellte Ärzte, Weiterbildungsassistenten und Teilzeitbeschäftige zählen hierbei nach Köpfen, also voll, mit. 

 

Bereits nach dieser Regelung werden viele Pathologiepraxen eine Datenschutzbeauftragte bestellen müssen. 

 

2. Fall: Eine Datenschutzbeauftragte ist zu benennen, wenn die Arztpraxis zu einer sogenannten „Datenschutz-Folgenabschätzung“ verpflichtet ist. Das ist bei Pathologiepraxen der Fall, wenn eine umfangreiche Verarbeitung erfolgt bei einer Vielzahl automatisiert bearbeiteter Datensätze einer größeren Anzahl von Patienten in der Praxis. Hierzu wurde ein Kriterienkatalog entwickelt, der unter anderem folgende Kriterien enthält: 

• Die Verarbeitung kann zu einer Diskriminierung führen,
• die Verarbeitung kann zu einem finanziellen Verlust führen,
• die Verarbeitung kann zu einer Rufschädigung führen,
• es besteht die Gefahr des Bruchs der ärztlichen Schweigepflicht, 
• die Verarbeitung kann zur Erstellung genetischer Analysen führen,
• es handelt sich um die Daten von Kindern oder psychisch Erkrankten,
• genetische Daten, Gesundheitsdaten oder Daten über das Sexualleben sind erfaßt, 
• es wird eine große Menge von Patientendaten verarbeitet.

Bereits dann, wenn lediglich zwei dieser Kriterien erfüllt sind, soll die Pflicht zur Bestellung einer Datenschutzbeauftragten gegeben sein. 

 

Man kann die Erfüllung von mindestens zwei dieser Kriterien für die überwiegende Mehrzahl der Pathologiepraxen wohl bejahen. 

 

3. Fall: Im Übrigen sind Arztpraxen zur Benennung einer Datenschutzbeauftragten verpflichtet, wenn die „Kerntätigkeit“ in der „umfangreichen Verarbeitung“ von Gesundheitsdaten besteht. Die Selbstverwaltungskörperschaften gehen hiervon bei Gemeinschaftspraxen grundsätzlich aus. Bei Einzelpraxen soll die Verpflichtung gegeben sein, wenn der Wert von ca. 6.000 Datensätzen im Jahr deutlich überschritten ist. 

 

Nach den zuletzt veröffentlichten Zahlen über die durchschnittlich vom Pathologen abgerechneten Fälle dürfte der durchschnittliche Pathologe weit über diesen 6.000 Datensätzen liegen, nämlich bei ca. 9.000 bis 15.000 Datensätzen. Vereinzelt mag es Einzelpraxen geben, die solche Zahlen nicht erreichen, diese sind aber wahrscheinlich über Fall 2 trotzdem zur Bestellung einer Datenschutzbeauftragten verpflichtet.

 

Ich gehe deshalb im Folgenden davon aus, daß nahezu jeder Pathologe der gesetzlichen Verpflichtung, eine interne oder externe Datenschutzbeauftragte zu bestellen, genügen muß. Dies entspricht dem Gebot anwaltlicher Vorsicht und konservativer Beratung; wie bei vielen Angelegenheiten spielt natürlich auch die persönliche Risikobereitschaft des Arztes eine Rolle. 

 

Gegen die Bestellung externer Datenschutzbeauftragter sprechen die ganz erheblichen Kosten. Im Rahmen dieser Veröffentlichung soll deshalb nur die Bestellung einer internen Datenschutzbeauftragten beschrieben werden: 

 

 

B. Das Bestellungsgeschäft

 

Die Bestellung der internen Datenschutzbeauftragten erfolgt über einer Bestellungsurkunde, die auch arbeitsgerichtliche Rechtswirkungen hat. Die Neufassung des Gesetzes gestattet die Abberufung oder Kündigung der Datenschutzbeauftragten nur unter den Voraussetzungen einer fristlosen Kündigung, das heißt bei massivem Fehlverhalten. Dieses Fehlverhalten kann sowohl in der mangelhaften Ausführung der Aufgabe als Datenschutzbeauftragter als auch in der mangelhaften Ausführung sonstiger betrieblicher Aufgaben liegen. Grundsätzlich besteht ein erhöhter Kündigungsschutz, etwa wie bei einem Betriebsratsmitglied. Das bedeutet, daß als interne Datenschutzbeauftragte nur besonders vertrauenswürdige Personen in Betracht kommen, die ihre Bestellung nicht arbeitsrechtlich ausnutzen.

 

Gleichwohl wird es hier und da nicht einfach sein, Mitarbeiter als Datenschutzbeauftragte zu gewinnen, da es im Rahmen der Ausübung dieser Tätigkeit zu einer persönlichen Haftung der betrieblichen Datenschutzbeauftragten kommen kann. Es ist also zu empfehlen und gegebenenfalls vertraglich zu fixieren, daß der Arbeitgeber für die Datenschutzbeauftragte eine entsprechende Versicherung abschließt. Da das Gesetz sehr neu ist, gibt es nach meinen Nachforschungen bisher nur eine Versicherung, die eine solche Police anbietet. Diese ist nicht besonders teuer. Bei einer Versicherungssumme von 100.000 € kostet sie jährlich 150,00 €. Interessierten Ärzten gebe ich gern eine Bezugsadresse an. Bitte schreiben Sie mir bei Interesse eine Mail.

 

Für die Formulierung der Bestellungsurkunde gibt es keine allgemeingültige Regelung. Ich schlage in etwa folgenden Text vor:

 

 

Bestellungsurkunde

 

Wir, die Ärzte X,Y und Z, handelnd in Gesellschaft bürgerlichen Rechts als Inhaber des Instituts für Pathologie Z- Stadt, bestellen hiermit für unsere Praxis Frau M.M. zur betrieblichen Datenschutzbeauftragten. 

 

Wir verpflichten uns, für Frau M. zur Absicherung ihrer Tätigkeit als Datenschutzbeauftragte eine Haftpflichtversicherung mit einer Jahresversicherungssumme von 100.000 € abzuschließen.

 

Z- Stadt, den…

 

Dr. X                Dr. Y                Dr. Z

 

Ich habe meine Bestellung zur Kenntnis genommen und bin hiermit einverstanden.

 

Z-Stadt, den…

 

M.M., MTA

 

 

C. Weitere Aufgaben im Zusammenhang mit der Datenschutzbeauftragten

 

Mit der Bestellung ist es noch nicht getan; Die Datenschutzbeauftragte muß natürlich in die Lage versetzt werden, ihre Aufgaben auszuführen. Hierzu gehört insbesondere, daß sie die notwendigen Kenntnisse erwirbt, die sie zur Ausübung ihres Amtes befähigen. Es ist nicht vorgeschrieben, daß irgendein Zertifikat erworben wird oder ein bestimmter Lehrgang besucht wird. Ich würde das, was erforderlich ist, vom Lerntypus der Angestellten abhängig machen. Es gibt Menschen, die am besten aus Büchern lernen. Dann erwirbt man natürlich diese Bücher. Andere lernen besonders gut über akustische und optische Wahrnehmung; Diese sollten ein Seminar besuchen. Bewährt haben sich die Seminare, die die jeweiligen technischen Überwachungsvereine anbieten; Diese sind allerdings auch recht teuer. Das derzeit wohl empfehlenswerteste Buch für einen schnellen Einstieg ist das Buch Härting, Datenschutzgrundverordnung, das allerdings noch nicht die Änderungen im neuen Bundesdatenschutzgesetz umfaßt. Am 09.04.2018 wird ein neues Buch von Moos u.a. im Verlag De Gruyter zum Preis von 89,95 € erscheinen, das sich zwar überwiegend an Juristen richtet, aber ausgesprochen brauchbar zu sein scheint. Eine bessere Literaturlage ist momentan nicht herzustellen und wird sich erst im zweiten Halbjahr 2018 ergeben.

 

Man sollte allerdings auch das Thema nicht zu verkrampft angehen: Es ist nicht zu erwarten, daß insbesondere in der Anfangszeit nach Inkrafttreten des Gesetzes (25.05.2018) gleich die Datenschutzbeauftragten in breiter Front aufmarschieren werden, um ausgerechnet die Praxen niedergelassener Pathologen datenschutzmäßig zu schikanieren. Man wird damit rechnen können, daß allgemein eine gewisse Nachsicht an den Tag gelegt wird, bis einige Zeit vergangen ist. 

 

Die neubestellte Datenschutzbeauftragte soll auch auf der Homepage genannt werden, aber nicht zwingend mit Namen, sondern lediglich mit einer E-Mail-Adresse. Diese könnte zum Beispiel heißen: Datenschutz@Pathologie-R-Stadt.de. 

 

Zur Praxishomepage werde ich aber voraussichtlich einen weiteren Teil meiner Reihe kurzfristig nachliefern, da dieser Bereich wegen hoher Öffentlichkeitswirksamkeit besonders angreifbar ist.

 

Das, was die Datenschutzbeauftragte dann tatsächlich mindestens tun muß, nehme ich in eine spätere Veröffentlichung auf. Zunächst geht es ja darum, die Praxis nach außen in eine sichere Position zu bringen. Vorrangig sind deshalb weitere Vorgänge zu schildern, die durch die Praxisinhaber eingeleitet werden müssen. 

 

Die Reihe wird kurzfristig fortgesetzt. Sie dürfen meine Ausführungen gern weitergeben.

 

Mit freundlichen Grüßen

 

RA Claus Renzelmann

Fachanwalt für Medizinrecht und Erbrecht