Datenschutzrechtliche Verpflichtungen

Datenschutzrechtliche Verpflichtungen
Verantwortung für die Wahrung des Datenschutzes und des Arzt-/ Praxis-/ Apothekengeheimnisses
Diese Verantwortung für die gesamte Praxis / Apotheke obliegt in erster Linie dem Inhaber
der Praxis / Apotheke.
Datengeheimnis
a) Allen Mitarbeiterinnen und Mitarbeitern einer Praxis / Apotheke wird es in § 5
BDSG ausdrücklich untersagt, personenbezogene Daten unbefugt zu erheben, zu
verarbeiten oder zu nutzen. Das Datengeheimnis besteht auch nach der Beendigung
ihrer Tätigkeit fort.
b) Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu
verpflichten.
Wer diese Verpflichtung vornimmt, richtet sich nach der internen Organisation der Praxis
/ Apotheke. Der Inhaber der Praxis / Apotheke kann diese Aufgabe z. B. an den Datenschutzbeauftragten
delegieren.
Die Verpflichtung ist zwar an keine besondere Form gebunden. Erforderlich ist jedoch in
jedem Einzelfall eine „persönliche“ Verpflichtung. Sie ist aktenkundig zu machen und
sollte von dem bzw. der Verpflichteten durch Unterschrift bestätigt werden.
Mit der Verpflichtung ist eine Belehrung über die sich aus dem Datenschutzrecht ergebenden
Verpflichtungen zu verbinden.
Erstellung eines Verfahrensverzeichnisses
In jeder Praxis / Apotheke, in der personenbezogene Daten automatisiert verarbeitet
werden, muss ein Verfahrensverzeichnis geführt werden. Es enthält eine Übersicht über
die in der Praxis / Apotheke eingesetzten automatisierten Verarbeitungen personenbezogener
Daten. Dabei geht es nicht um die Darstellung einzelner Verarbeitungsvorgänge,
sondern um die jeweils eingesetzten automatisierten Verfahren als Ganzes.
1

Datenschutzrechtliche Verpflichtungen
Im Verfahrensverzeichnis müssen bei der Praxis / Apotheke folgende Angaben enthalten
sein:
1. der Name oder die Firma;
2. der Inhaber;
3. die Anschrift (Postanschrift);
4. die Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung;
5. eine Beschreibung der von der Datenerhebung, -verarbeitung oder -nutzung betroffenen
Personengruppen und der diesbezüglichen Daten oder Datenkategorien;
6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden
können;
7. Regelfristen für die Löschung von Daten;
8. eine geplante Datenübermittlung in Drittstaaten (falls zutreffend).
Verantwortlich für die Erstellung des Verfahrensverzeichnisses ist der Inhaber der Praxis
/ Apotheke.
Das Verfahrensverzeichnis ist dem in der Praxis / Apotheke bestellten Beauftragten für
den Datenschutz zur Verfügung zu stellen. Es kann von jedermann eingesehen werden.
Der betriebliche Datenschutzbeauftragte
Betriebliche Voraussetzungen
In einer Praxis / Apotheke muss ein betrieblicher Datenschutzbeauftragter bestellt werden,
wenn mindestens fünf Arbeitnehmer mit der automatisierten oder mindestens 20
2

Datenschutzrechtliche Verpflichtungen
Arbeitnehmer mit der nicht automatisierten Datenerhebung, -verarbeitung und -nutzung
beschäftigt werden.
In einer Praxis / Apotheke sind heute nahezu alle Mitarbeiter mit der Datenverarbeitung
beschäftigt, z. B. am Empfang, im Labor, am HV-Tisch, bei der Bestellung, bei der Abwicklung
der Abrechnung, bei der Durchführung von Werbeaktionen.
Arbeitnehmer sind Personen, die aufgrund eines Arbeitsverhältnisses verpflichtet sind, im
Dienste eines anderen abhängige Arbeit zu leisten. Entscheidend ist die persönliche Abhängigkeit,
d. h. die Eingliederung in den Betriebsablauf und die Weisungsgebundenheit
hinsichtlich Art, Umfang, Ausführung, Zeit und Ort der Arbeit.
Auf den Umfang der Beschäftigung stellt das Gesetz nicht ab. Es zählen nicht allein die
Ganztagsstellen, sondern maßgebend ist die Zahl der in der Regel beschäftigten Arbeitnehmer.
Neben den Vollzeitbeschäftigten gehören auch die Teilzeitkräfte und Leiharbeitnehmer
dazu, ebenso Auszubildende und Praktikanten.
Die Arbeitnehmer müssen nicht ständig, d. h. das ganze Jahr über, in der Praxis / Apotheke
beschäftigt sein. Entscheidend ist vielmehr, dass für die Erhebung, Verarbeitung
und Nutzung personenbezogener Daten regelmäßig eine entsprechende Zahl von Mitarbeitern
ausgewiesen ist.
Auch die Inhaber von Mischarbeitsplätzen zählen dazu. Allerdings genügt ein völlig untergeordneter
Anteil von Datenverarbeitung an der Aufgabenstellung eines Beschäftigten
nicht. Dies könnte z. B. bei einer Laborkraft der Fall sein.
Die Aufgaben des Datenschutzbeauftragten
Der Datenschutzbeauftragte wirkt auf die Einhaltung der datenschutzrechtlichen Vorschriften
hin. Dabei hat er gem. § 4g Abs. 1 BDSG insbesondere
3

Datenschutzrechtliche Verpflichtungen
• die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe
personenbezogene Daten verarbeitet werden sollen, zu überwachen. Zu diesem
Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener
Daten rechtzeitig zu unterrichten;
• die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete
Maßnahmen mit dem Datenschutzrecht und mit den jeweiligen besonderen Erfordernissen
des Datenschutzes vertraut zu machen.
Seine Überwachungsaufgabe bezieht sich vor allem
• auf die Begleitung der EDV-Programme, mit deren Hilfe personenbezogene Daten
verarbeitet werden,
• auf den Schutz der Kunden- und Arbeitnehmerdaten,
• auf die Prüfung, ob die Datenerhebungen, -verarbeitungen und -nutzungen jeweils
rechtlich zulässig sind,
• auf die datenschutzrechtliche Ausgestaltung der Kundenkarte,
• darauf, ob die Weitergabe von Daten an Dritte zulässig ist,
• auf die Beachtung der Datenvermeidung und Datensparsamkeit bei der Gestaltung
und Auswahl der DV-Systeme (vgl. § 3a BDSG),
• auf die Frage, ob § 35 BDSG – Berichtigung, Löschung und Sperrung von Daten –
beachtet wird,
• auf die vollständige und ordnungsgemäße Vernichtung der Datenträger,
• auf die Fragen der Datensicherheit (§ 9 BDSG), z. B.:
- Auswahl, Konfiguration und Einsatz der richtigen EDV-Geräte, Nutzung
von Bildschirmschonern,
- Verwendung von Diskettenlaufwerken,
- Dunkelschaltung nicht genutzter Bildschirme,
- Sicherung der Vertraulichkeit ankommender Faxe,
- sichere Ablage der Kunden- bzw. Patientendaten durch Verschlüsselung,
4

Datenschutzrechtliche Verpflichtungen
- Abschottung der Internetnutzung von der die Patienten- bzw. Kundenda-
ten enthaltenden Praxis-/Apotheken-EDV,
- Passwortgebrauch.
Bei technischen Fragen muss der Systemadministrator den Datenschutzbeauftragten,
soweit erforderlich, unterstützen.
Der Datenschutzbeauftragte ist Ansprechpartner des Inhabers und der Mitarbeiter der
Praxis / Apotheke in allen Datenschutzfragen. Auch Patienten bzw. Kunden können sich
vertrauensvoll an ihn wenden. Er ist bei allen den Datenschutz und die Datensicherheit
betreffenden Beschwerden und Anfragen einzuschalten.
Anhand des ihm vom Inhaber der Praxis / Apotheke zur Verfügung gestellten Verfahrensverzeichnisses
erhält der Datenschutzbeauftragte einen Überblick über die automatisierte
Verarbeitung der jeweiligen personenbezogenen Daten.
Bei automatisierten Verarbeitungen mit besonderen datenschutzrechtlichen Risiken hat
der Datenschutzbeauftragte bereits vor Beginn der Verarbeitung eine Prüfung vorzunehmen
(sog. Vorabkontrolle).
Eine wichtige Aufgabe des Datenschutzbeauftragten besteht in der Einweisung des Personals
in einen praktizierten Datenschutz in der eigenen Praxis / Apotheke, z. B. bei der
Bedienung und Beratung der Patienten / Kunden, beim Umgang mit Telefon und Fax, mit
der EDV-Sicherheit oder mit der korrekten Vernichtung von Unterlagen.
Es ist zu beachten, dass der Datenschutzbeauftragte dem Inhaber der Praxis / Apotheke
die Verantwortung für die Belange des Datenschutzes und der Datensicherheit nicht abnimmt.
Seine Funktion besteht vielmehr in der Unterstützung des Inhabers bei der Sicherung
dieser Belange.
Die Stellung des Datenschutzbeauftragten:
• Er ist dem Inhaber der Praxis / Apotheke unmittelbar zu unterstellen.
• Dieser muss ihn bei der Erfüllung seiner Aufgaben unterstützen.
5

Datenschutzrechtliche Verpflichtungen
• Der Datenschutzbeauftragte ist in Ausübung seiner Fachkunde auf dem Gebiet des
Datenschutzes weisungsfrei.
• Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.
• In Zweifelsfällen kann sich der Datenschutzbeauftragte an die zuständige Datenschutzaufsichtsbehörde
wenden.
• Die Bestellung zum Datenschutzbeauftragten kann nur widerrufen werden, wenn ein
wichtiger Grund i. S. d. § 626 BGB (außerordentliche Kündigung) gegeben ist oder die
Aufsichtsbehörde dies verlangt, weil sie festgestellt hat, dass der Datenschutzbeauftragte
die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit
nicht besitzt.
Welche Eigenschaften muss der Datenschutzbeauftragte besitzen?
• Fachkunde: Er muss die einschlägigen rechtlichen Regelungen kennen und imstande
sein, diese in die Praxis umzusetzen. Er muss mit der Datenverarbeitung im Unternehmen
vertraut sein.
• Zuverlässigkeit: Dazu gehören sorgfältige und gründliche Arbeitsweise sowie die Fähigkeit,
die datenschutzrechtlichen Belange gegenüber dem Inhaber der Praxis /
Apotheke ggf. auch nachdrücklich zu vertreten.
• Es dürfen keine Interessenkollisionen mit anderen übertragenen Aufgaben auftreten.
Externer oder interner Datenschutzbeauftragter?
Nach dem BDSG (Anhang 1) kann auch eine Person, die nicht in der betreffenden Praxis
/ Apotheke angestellt ist, zum externen Datenschutzbeauftragten bestellt werden. Bei
kleinen Einheiten, wie Praxis / Apotheken, hat dies den Vorteil, dass man das eigene
Personal nicht mit dieser „fremden“ und ungewohnten Aufgabe befassen muss. Vielmehr
kann man sich einer externen Person bedienen, die mit großer Fachkenntnis und Berufserfahrung
die Aufgaben den gesetzlichen Anforderungen entsprechend rationell und in
wirtschaftlich sinnvoller Weise erledigt.
6

Datenschutzrechtliche Verpflichtungen
Eine derartige Lösung hat allerdings bei den Praxen / Apotheken einen Nachteil. Der externe
Datenschutzbeauftragte darf aufgrund der Schweigepflicht des Praxisinhabers /
Apothekers im Rahmen seiner Tätigkeit nicht ohne Weiteres in Patientendaten Einsicht
nehmen. Da in einer Praxis / Apotheke hauptsächlich Patientendaten verarbeitet werden,
könnte sich die Haupttätigkeit des Datenschutzbeauftragten nur auf grundsätzliche Fragen
des Datenschutzes und der Datensicherheit in der Praxis / Apotheke und auf die
Arbeitnehmerdaten beziehen. Für die Patientendaten müsste jedes Mal die Einwilligung
der Betroffenen eingeholt werden.
Wir halten für Praxen / Apotheken auch eine interne Lösung für geeignet. Als Datenschutzbeauftragte
kommen in erster Linie Praxis- / Apothekenmitarbeiter in Betracht, die
den Betrieb und die eingesetzte EDV gut kennen und darüber hinaus bereit sind, sich mit
der Umsetzung des Datenschutzrechts in der Praxis / Apotheke zu befassen.
Die Bestellung zum Datenschutzbeauftragten
Die Bestellung des Datenschutzbeauftragten muss binnen eines Monats nach dem Eintreten
der Voraussetzungen schriftlich durch den Inhaber der Praxis / Apotheke erfolgen.
Im Hinblick auf die eingeschränkten Kündigungsmöglichkeiten gegenüber einem Datenschutzbeauftragten
ist es denkbar, die Dauer seiner Tätigkeit zu befristen. Die Befristung
sollte jedoch i. d. R. einen Zeitraum von zwei Jahren nicht unterschreiten.
Wird ein Datenschutzbeauftragter trotz bestehender Verpflichtung vorsätzlich oder fahrlässig
nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, so kann
dies durch die Aufsichtsbehörde mit einem Bußgeld geahndet werden.
Die Haftung des Datenschutzbeauftragten
Es gelten die allgemeinen Haftungsgrundsätze, die allerdings zu einer unterschiedlichen
Behandlung des externen und des internen Datenschutzbeauftragten führen.
7

Datenschutzrechtliche Verpflichtungen
Für den internen Datenschutzbeauftragten sind die Grundsätze der beschränkten Arbeitnehmerhaftung
anzuwenden. Dabei haftet der Arbeitnehmer bei Vorsatz in vollem Umfang.
Bei Fahrlässigkeit richtet sich die Frage, ob und in welcher Höhe der Arbeitnehmer
haftet, nach dem Verschuldensgrad im Einzelfall.
Im Gegensatz dazu haftet der externe Datenschutzbeauftragte für Vorsatz und jede Fahrlässigkeit
in vollem Umfang. Es ist aber denkbar, die Haftung des externen Datenschutzbeauftragten
im Dienstvertrag an die des internen anzugleichen.
Datensicherheit
In einer Praxis / Apotheke müssen die technischen und organisatorischen Maßnahmen
getroffen werden, die erforderlich sind, um die Ausführung der Vorschriften des BDSG zu
gewährleisten (§ 9 BDSG und Anlage dazu).
Erforderlich sind diese Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis
zu dem angestrebten Schutzzweck steht.
Bezüglich der Sicherungsmaßnahmen muss im jeweiligen Einzelfall geprüft werden, ob
und inwieweit sie für eine Praxis / Apotheke erforderlich bzw. zweckmäßig sind.
Kontrollen und Sanktionen im Datenschutz
Um die Einhaltung der datenschutzrechtlichen Vorschriften im nichtöffentlichen Bereich –
und damit auch bei den Praxen / Apotheken – zu gewährleisten, sieht das BDSG ein besonderes
Kontrollsystem vor, das wie folgt ausgestaltet ist:
Der Betroffene
Er kann den Umgang mit seinen personenbezogenen Daten selbst kontrollieren. Dabei
hat er gegenüber der Stelle, die mit seinen Daten umgeht, Rechtsansprüche auf
• Auskunft bezüglich seiner Daten (§ 34 BDSG),
• Benachrichtigung (§§ 4, 33 Abs. 1 BDSG),
• Berichtigung, Sperrung oder Löschung (§ 35 BDSG),
8

Datenschutzrechtliche Verpflichtungen
• Widerspruch (§§ 28 Abs. 4, 29 Abs. 4, 35 Abs. 5 BDSG),
• Schadenersatz (§ 7 BDSG).
Der Betroffene kann sich zur Durchsetzung seiner sich aus dem Datenschutzrecht ergebenden
Rechte an folgende Institutionen wenden:
• an die verantwortliche Stelle,
• an den betrieblichen Datenschutzbeauftragten,
• als Arbeitnehmer an den Betriebsrat, soweit vorhanden,
• an die Datenschutzaufsichtsbehörde,
• an ein Zivilgericht zur gerichtlichen Geltendmachung seiner Ansprüche.
Der betriebliche Datenschutzbeauftragte
Er ist das „Kontrollorgan vor Ort“. Die Überwachung der Einhaltung der datenschutzrechtlichen
Vorschriften gehört zu den wichtigsten Aufgaben eines betrieblichen Datenschutzbeauftragten.
Er hat jedoch keine eigenen Durchsetzungs- und Sanktionsmöglichkeiten. Vielmehr kann
er lediglich auf die Einhaltung der datenschutzrechtlichen Vorschriften hinwirken.
Der Betriebsrat
Soweit in einer Praxis / Apotheke ein Betriebsrat besteht, hat dieser bezüglich der personenbezogenen
Daten, die sich auf die Arbeitnehmer beziehen, die allgemeinen sich aus
dem Betriebsverfassungsgesetz ergebenden Kontrollbefugnisse.
Darüber hinaus gestaltet er die Verarbeitung von Mitarbeiterdaten maßgebend mit und
hat damit maßgeblichen Einfluss auf die Datenverarbeitung und die Verwirklichung des
Datenschutzes im Unternehmen, z. B.
• bei der Einführung einer automatischen Zeiterfassung oder
• beim Abschluss einer Betriebsvereinbarung über die Nutzung von E-Mail und Internet
am Arbeitsplatz und die entsprechenden Kontrollmöglichkeiten des Arbeitgebers.
9

Datenschutzrechtliche Verpflichtungen
Die Datenschutzaufsichtsbehörde
Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften
über den Datenschutz.
Die wesentlichen Aufgaben im Einzelnen:
• Bearbeitung von Anfragen, Eingaben und Beschwerden
• Beratung von Unternehmen bzw. von deren betrieblichen Datenschutzbeauftragten
• Führung des öffentlichen Registers meldepflichtiger Verarbeitungen
• Kontrollen (Informationsrecht, Betretens-, Besichtigungs-, Prüfungs- und Einsichtsrecht).
Im Falle der Verweigerung können Mittel des Verwaltungszwangs, z. B.
Zwangsgeld oder Ersatzvornahme, eingesetzt werden
• Herausgabe von Tätigkeitsberichten (mindestens zwei Jahre)
Maßnahmen bei Datenschutzverstößen:
• Beanstandung gegenüber der verantwortlichen Stelle, z. B. dem Unternehmen
• Unterrichtung des Betroffenen
• Unterrichtung der Gewerbeaufsichtsbehörden bei schwerwiegenden Verstößen
• Durchführung von Bußgeldverfahren
• Stellen eines Strafantrags
• Erlass von förmlichen Anordnungen zur Datensicherheit, ggf. Untersagung von einzelnen
EDV-Verfahren
• Aufforderung zur Abberufung des Beauftragten für den Datenschutz
10

Datenschutzrechtliche Verpflichtungen
Umsetzung in der Praxis / Apotheke
Schulung der Mitarbeiter
In einem ersten Schritt werden alle Mitarbeiter der Praxis / Apotheke, die in direktem
Kontakt mit der Erhebung und Bearbeitung von kundensensiblen Daten stehen, in einer
Schulung auf den besonderen Umgang mit diesen Daten belehrt. Die Belehrung orientiert
sich an den grundsätzlichen Anforderungen des Bundesdatenschutzgesetzes und den
individuellen Gegebenheiten der einzelnen Praxis / Apotheke.
Allen beteiligten Mitarbeitern wird ein entsprechendes Merkblatt zum Datenschutz ausgehändigt,
und ferner bestätigen die Mitarbeiter auf einer Verpflichtungserklärung, über die
datenschutzrechtlich relevanten Sachverhalte unterwiesen zu sein.
Benennung zum Datenschutzbeauftragten
Soweit noch nicht geschehen, wird zwischen der jeweiligen Praxis / Apotheke und dem
Datenschutzbeauftragten eine schriftliche Vereinbarung zu dessen Aufgaben und Pflichten
erstellt. Die Benennung zum Datenschutzbeauftragten wird in der Praxis / Apotheke
bekannt gemacht.
Erstellung eines Verfahrensverzeichnisses
In der jeweiligen Praxis / Apotheke wird ein Verfahrensverzeichnis erstellt, in dem neben
den Daten der Praxis / Apotheke der Umfang, der Zweck und die Datenkategorien der
erhobenen Daten festgelegt werden. Dieses Verfahrensverzeichnis ist zur eventuellen
Nachweisführung gegenüber Aufsichtsbehörden erforderlich.
Istaufnahme in der Praxis / Apotheke
Anhand einer Checkliste werden in Form eines internen Audits (= Datenschutzaudit) alle
relevanten Prozesse dahin gehend hinterfragt, an welchen Stellen sensible Daten erfasst,
archiviert und ggf. weiterbearbeitet oder weitergegeben werden.
11

Datenschutzrechtliche Verpflichtungen
Im Anschluss an diese Aufnahme wird ein Datenschutzbericht (= Auditbericht) erstellt,
der zum einen schon existierende Datenschutzmaßnahmen aufzeigt, zum anderen aber
auch die Schwachstellen benennt, die durch die Praxis / Apotheke abgestellt werden
müssen.
Begleitende Maßnahmen
Die datenschutzrechtlich relevanten Abläufe und die daraus resultierenden Maßnahmen
in der Praxis / Apotheke werden einmal jährlich durch ein Audit auf ihre Wirksamkeit hin
überprüft.
12