Externe Datenschutzbeauftragte in Arztpraxis und Krankenhaus
Dürfen öffentliche oder private Stellen, in denen Daten verarbeitet werden, die der beruflichen Schweigepflicht unterliegen, einen externen betrieblichen oder behördlichen Datenschutzbeauftragten bestellen? Mit dieser Frage wird das Unabhängige Landeszentrum für Datenschutz immer wieder konfrontiert. Insbesondere ambulante Arztpraxen, aber auch große öffentliche oder private Krankenhäuser würden gerne externe Datenschutzkompetenz für ihre Organisation nutzbar machen und sind unsicher, ob dem rechtliche Gründe entgegenstehen.
Sowohl Arztpraxen als auch Apotheken und andere „Heilberufler“, die der beruflichen Schweigepflicht nach § 203 StGB unterliegen, sind nach § 4f Bundesdatenschutzgesetz (BDSG) in den meisten Fällen verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen. Krankenhäuser, die in privater Rechtsform betrieben werden, unterfallen dieser Pflicht praktisch ausnahmslos. Kann diese gesetzliche Pflicht auch dadurch umgesetzt werden, dass ein externer betrieblicher Datenschutzbeauftragter unter Vertrag genommen wird?
Nach einer Änderung des BDSG im Jahre 2006 ist nunmehr klargestellt, dass auch bei solchen Stellen, bei denen der Leiter oder eine sonstige dort beschäftigte Person einem Berufsgeheimnis unterliegt, ein externer Datenschutzbeauftragter bestellt werden darf, vgl. § 4f Abs. 2 Satz 3 BDSG. Das Gesetz erstreckt die Kontrollbefugnis auch des externen Datenschutzbeauftragten dabei ausdrücklich auf solche Daten, die dem Berufsgeheimnis unterliegen. (Der Einfachheit halber soll im Folgenden nur noch von der ärztlichen Schweigepflicht die Rede sein; die Ausführungen gelten aber entsprechend für alle anderen Berufsgeheimnisse.)
Damit ist es Arztpraxen ebenso wie Krankenhäusern und Apotheken etc. erlaubt, einen externen betrieblichen Datenschutzbeauftragten zu bestellen. Die so bestellte Person ist auch berechtigt, alle mit der Funktion zusammenhängende Aufgaben auszuüben (vgl. § 4g BDSG), einschließlich der Kontrolle der Daten, auf die sich die ärztlichen Schweigepflicht erstreckt.
Um den Schutz der unter die ärztliche Schweigepflicht fallenden Daten durchgängig auch beim Datenschutzbeauftragten zu gewährleisten, hat der Gesetzgeber zum einen das strafrechtliche Verbot der Offenbarung von Berufsgeheimnissen auf den betrieblichen Datenschutzbeauftragten ausgedehnt, unabhängig davon, ob es sich um einen internen oder externen Datenschutzbeauftragten handelt. Offenbart der betriebliche Datenschutzbeauftragte unbefugt ein fremdes Geheimnis, von dem er in seiner Funktion Kenntnis erlangt hat und das einem Arzt oder anderen Berufs- oder Amtsgeheimnisträger nach § 203 Abs. 1 und 2 StGB in dessen beruflicher Eigenschaft anvertraut oder sonst bekannt geworden ist, so trifft den betrieblichen Datenschutzbeauftragten die gleiche Strafandrohung wie den Berufsgeheimnisträger selbst (vgl. § 203 Abs. 2a StGB).
Darüber hinaus hat der Gesetzgeber auch das ärztliche Zeugnisverweigerungsrecht und den Beschlagnahmeschutz im Strafprozess auf den betrieblichen Datenschutzbeauftragten und sogar auf dessen Hilfspersonal erstreckt (§ 4f Abs. 4a BDSG). Soweit dem Arzt oder sonstigen „Heilberufler“ ein Zeugnisverweigerungsrecht über das zusteht, was ihm in seiner beruflichen Eigenschaft anvertraut oder bekannt geworden ist (vgl. § 53 Abs. 1 Nr. 3 StPO), gilt das Zeugnisverweigerungsrecht auch für den (internen wie externen) betrieblichen Datenschutzbeauftragten.
Zu beachten ist aber, dass es sich um ein abgeleitetes Zeugnisverweigerungsrecht handelt. Daher steht grundsätzlich dem eigentlichen Berufsgeheimnisträger und Zeugnisverweigerungsberechtigtem, also dem Arzt, die Entscheidung darüber zu, ob der betriebliche Datenschutzbeauftragte das Zeugnis im konkreten Fall verweigern soll oder nicht. Hat z.B. ein Patient den Arzt von der Schweigepflicht entbunden, so kann sich der Arzt insoweit nicht mehr auf ein Zeugnisverweigerungsrecht berufen. Dasselbe muss dann natürlich auch für den betrieblichen Datenschutzbeauftragten gelten. Hier ist es der Arzt, der über Vorliegen oder Nichtvorliegen eines Zeugnisverweigerungsrechts für sich und den betrieblichen Datenschutzbeauftragten entscheidet. Nur dann, wenn der Arzt selbst (aus welchen Gründen auch immer) „in absehbarer Zeit“ keine Entscheidung über die Ausübung des Zeugnisverweigerungsrechts treffen kann, darf diese Entscheidung durch den betrieblichen Datenschutzbeauftragten selbst gefällt werden. Hat er nicht sichere Kenntnis darüber, dass der Patient, um dessen Informationen es geht, den Arzt von der Schweigepflicht entbunden hat, sollte der betriebliche Datenschutzbeauftragte sein abgeleitetes Zeugnisverweigerungsrecht ausüben.
Schließlich gilt für den (internen wie externen) betrieblichen Datenschutzbeauftragten auch ein abgeleiteter Beschlagnahmeschutz. Soweit sein Zeugnisverweigerungsrecht reicht, dürfen auch die Akten und sonstigen Schriftstücke des (internen und externen) betrieblichen Datenschutzbeauftragten nicht beschlagnahmt werden (§ 4f Abs. 4a Satz 3 BDSG). Wiederum kommt es auf die Entscheidung des Arztes darüber an, ob der betriebliche Datenschutzbeauftragte sein Zeugnisverweigerungsrecht ausüben soll. Verneint der Arzt die Frage, gilt auch nicht das Beschlagnahmeverbot beim betrieblichen Datenschutzbeauftragten.
Betrachtet man die besondere Sensibilität und Schutzbedürftigkeit von Informationen die unter die ärztliche Schweigepflicht fallen, so wird auch deutlich, welche Verantwortung gerade ein externer betrieblicher Datenschutzbeauftragter im Gesundheitsbereich übernimmt. Hier kommt es noch mehr als sonst auf eine äußerst sorgfältige Auswahl einer geeigneten zuverlässigen und fachkundigen Person an (§ 4f Abs. 2 Satz 1 BDSG). Die Fachkunde soll durch den Nachweis entsprechender Schulungen belegt werden. Von besonderer Bedeutung können Referenzen von anderen Einrichtungen im Gesundheitsbereich sein. Das ULD bietet Muster zur Bestellung von betrieblichen Datenschutzbeauftragten an.
Einige Krankenhäuser in Schleswig-Holstein werden nicht in privatrechtlicher Rechtsform, sondern nach öffentlichem Recht betrieben. Dies sind namentlich die als Eigenbetrieb von Kommunen geführten Krankenhäuser sowie das Universitätsklinikum Schleswig-Holstein, das kraft Gesetzes eine Anstalt des öffentlichen Rechts [Extern] ist. Diese Einrichtungen sind öffentliche Stellen im Sinne des Landesdatenschutzgesetzes Schleswig-Holstein. Für sie besteht eine andere Rechtsgrundlage bzgl. der Bestellung von behördlichen Datenschutzbeauftragten (behöDSB). Diese behöDSB müssen nach § 10 Abs. 1 Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) grds. Mitarbeiter der jeweiligen Stelle sein. Die einzige Ausnahme besteht darin, dass mehrere Daten verarbeitenden Stellen gemeinsam eine Mitarbeiter bzw. einen Mitarbeiter bestellen können.
Auch bei öffentlichen Stellen besteht aber die Möglichkeit, dass sich ein behöDSB externe Datenschutzkompetenz nutzbar macht. Unter der Leitung des behöDSB können praktisch außer der personenbezogenen Kontrollkompetenz sämtliche Aufgaben an eine externe Stelle herausverlagert werden. Die Verantwortlichkeit gegenüber der datenverarbeitenden Stelle liegt dann aber weiterhin bei dem nach § 10 LDSG SH bestellten behöDSB. Von der Möglichkeit einer solchen externen Datenschutzberatung machen öffentliche Kliniken in Schleswig-Holstein auch tatsächlich Gebrauch.