Datenschutzbeauftragter: Handlungsbedarf für Pflegedienste?

In unserer täglichen Praxis erhalten wir immer wieder Anfragen zu datenschutzrechtlichen Aspekten beim Betrieb eines Pflegedienstes. Insbesondere stellt sich dabei die Frage, ob ein privater Pflegedienst zur Bestellung eines Datenschutzbeauftragten verpflichtet ist und welche Konsequenzen bei Nichtbeachtung eventueller gesetzlicher Vorgaben drohen können.

Diese Fragen sind im Wesentlichen mit Hilfe des Bundesdatenschutzgesetzes (BDSG) zu beantworten. Dieses Gesetz wurde bereits im Jahre 1990 erlassen und zuletzt durch Art. 1 des Gesetzes vom 22. August 2006, BGBl. I, S. 1970 geändert.

Die Verpflichtung des Betreibers eines privaten Pflegedienstes zur Bestellung eines Datenschutzbeauftragten dürfte sich aus § 4f BDSG ergeben.

Gemäß § 4f Abs. 1 S. 1 BDSG haben nicht öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, schriftlich einen Beauftragten für den Datenschutz zu bestellen. Voraussetzung für die Anwendbarkeit des BDSG ist also zunächst, dass nicht-öffentliche Stellen personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen (d.h. automatisiert) verarbeiten, d.h. solche Daten Speichern, Verändern, Übermitteln, Sperren und/oder Löschen. Bei einem privat betriebenen Pflegedienst, gleich welcher Rechtsform (Einzelunternehmen, GbR, GmbH), dürfte es sich unproblematisch um eine nicht-öffentliche Stelle in diesem Sinne handeln. Das Merkmal der elektronischen Verarbeitung dürfte unabhängig davon, ob z.B. Daten im Rahmen der Leistungserbringung sofort elektronisch erfasst werden, schon allein deshalb erfüllt sein, weil im Rahmen der Abrechnung mittels DTA die Abrechnungsdaten elektronisch an die Abrechnungsstellen übertragen werden müssen.

Soweit das Gesetz in § 4f Abs. 1 S. 3 und 4 BDSG bestimmte Grenzen hinsichtlich der mit der automatisierten Verarbeitung personenbezogener Daten beschäftigter Personen aufstellt, dürften diese Grenzen für Pflegedienste irrelevant sein.

Vielmehr dürfte aus § 4f Abs. 1 S. 6 BDSG zu entnehmen sein, dass ein Pflegedienst unabhängig von der Betriebsgröße einen Datenschutzbeauftragten zu bestellen hat.

Gemäß § 4f Abs. 1 S. 6 BDSG haben nämlich nicht-öffentliche Stellen soweit sie automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.

Unter welchen Voraussetzungen eine Vorabkontrolle in diesem Sinne zu erfolgen hat, bestimmt sich insbesondere nach § 4d Abs. 5 S. 1 und S. 2 Nr. 1 BDSG. Danach unterliegen automatisierte Verarbeitungen, soweit sie besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) verarbeitet werden.

Besondere Arten personenbezogener Daten sind gemäß § 3 Abs. 9 BDSG insbesondere Angaben über die Gesundheit.

Solche „Angaben über die Gesundheit“ dürfte ein jeder Pflegedienst jeden Tag in einer Vielzahl erfassen. Nach den gesetzlichen und vertraglichen Vereinbarungen ist ein jeder Pflegedienst zu umfangreichen Dokumentation seiner Tätigkeiten, insbesondere auch zu den durchgeführten Verrichtungen, verpflichtet.

Da somit im Rahmen der vom Pflegedienst zu führenden Dokumentation solche Angaben über die Gesundheit erhoben werden, hat also eine Vorabkontrolle zu erfolgen. Weil eine solche Vorabkontrolle erforderlich ist, ist unabhängig von der Betriebsgröße ein Datenschutzbeauftragter zu bestellen.

Anforderungen an die konkrete Person des Datenschutzbeauftragten ergeben sich aus § 4f Abs. 2 BDSG.

Nach Satz 1 dieser Norm darf zum Beauftragten für den Datenschutz nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich gemäß Satz 2 insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet.

Die vom Gesetz geforderte Fachkunde orientiert sich damit also an den Gegebenheiten des jeweiligen Betriebes.
Allgemein festhalten lässt sich nur, dass der Datenschutzbeauftragte über ein gewisses Maß an Grundwissen über die rechtlichen, technischen und organisatorischen Voraussetzungen datenschutzgerechter Verarbeitung personenbezogener Daten verfügen sollte – zumal die Aufsichtsbehörde im Rahmen von Prüfungen den Nachweis der Fachkunde verlangen kann. Außerdem wird ein nicht ausgebildeter Datenschutzbeauftragter schwerlich seinen gesetzlichen Hinwirkungsauftrag (§ 4g Abs. 1 S. 1 BDSG) erfüllen können auch die Wahrung der Interessen der Betroffenen setzt zumindest Grundkenntnisse voraus.

Hervorzuheben ist, dass gemäß Satz 3 auch eine Person außerhalb der verantwortlichen Stelle zum Beauftragten für den Datenschutz kann bestellt werden kann. Die Kontrollbefugnis eines externen Datenschutzbeauftragten erstreckt sich auch auf personenbezogene Daten, die einem Berufsgeheimnis unterliegen.

Schließlich muss der Datenschutzbeauftragte von der nicht-öffentlichen Stelle innerhalb einer Frist von einem Monat nach Aufnahme der Tätigkeit bestellt werden, § 4f Abs. 1 S. 2 BDSG.

Wird der Datenschutzbeauftragte nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, so stellt dies eine Ordnungswidrigkeit dar. Diese ist gemäß § 43 Abs. 1 Nr. 2, Abs. 3 BDSG mit einer Geldbuße von bis zu € 25.000,00 bedroht.
(LH)

By | 2017-07-04T16:40:28+00:00 Mai 6th, 2008|Medizinrecht|Kommentare deaktiviert für Datenschutzbeauftragter: Handlungsbedarf für Pflegedienste?

About the Author: