In den Beiträgen eins bis vier dieser Serie (DZW 18, 19, 21 und 23/11) wurden die wesentlichen Grundlagen des Datenschutzrechtes aufgezeigt, die durch den Zahnarzt beim Umgang mit Patientendaten zu beachten sind. Ab Teil 5 (DZW 26/11) werden nun diese Grundlagen auf einzelne Fallkonstellationen angewendet. Dabei stehen die Themen, Datenschutzbeauftragter, Online-Bestellungen von Praxismaterial, elektronische Behandlungsdokumentation und das Outsourcing in der Zahnarztpraxis im Fokus.

Besonders das Thema Datenschutzbeauftragter sorgt für Verunsicherung und bedarf daher ausführlicherer Erläuterung (siehe auch Teil 5). Im Folgenden geht es um die Frage, wer einen Datenschutzbeauftragten bestellen muss und welche Aufgaben er gegenüber Dritten hat.
Anders als im Leitfaden der KZBV und der BZÄK formuliert, trifft die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten hingegen nicht jeden Zahnarzt, der in seiner Praxis eine elektronische Patientendokumentation vorhält. Eine solche Verpflichtung sieht das Bundesdatenschutzgesetz (BDSG) nicht vor.

Zunächst gilt vielmehr Paragraf 4f Satz 2 und 3 BDSG, der nicht-öffentlichen Stellen, in denen mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten auferlegt. Eine automatisierte Verarbeitung liegt vor, wenn die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen erfolgt (Paragraf 3 Absatz 2 BDSG). Eine Datenverarbeitungsanlage ist eine Einrichtung, die Daten nach vorgegebenen Programmen und Verfahren verarbeitet. In der Regel sind damit Computer im weitesten Sinne gemeint, auf denen personenbezogene Daten gespeichert und/oder bearbeitet werden. Zuzugestehen ist dem Leitfaden damit, dass Zahnärzte, die in ihrer Praxis eine elektronische Patientendatenverwaltung (elektronische Karteikarte) verwenden, automatisierte Datenverarbeitungsvorgänge vornehmen. Sie sind damit grundsätzlich Adressaten der in Paragraf 4f normierten Verpflichtungen.

Die Pflicht gilt, sobald mindestens zehn Personen regelmäßig mit der automatisierten Verarbeitung beschäftigt sind. Hierunter fallen nicht nur Vollzeitkräfte, sondern auch freie Mitarbeiter, Auszubildende, Leiharbeiter, Praktikanten und Volontäre. Nur kurzzeitig Beschäftigte sind nicht zu berücksichtigen (zum Beispiel Urlaubsvertretungen). Die Zahl der „in der Regel“ Beschäftigten darf dabei nicht durch einfaches Abzählen an einem bestimmten Stichtag ermittelt werden; vielmehr erfordert die Feststellung der maßgeblichen Beschäftigtenzahl neben einem Rückblick auf die vergangene Lage des Betriebe insbesondere eine Einschätzung seiner zukünftigen Entwicklung. Notwendig ist also, dass der Mitarbeiter während des größten Teils des Jahres tätig ist beziehungsweise voraussichtlich tätig sein wird, sodass eine nur vorübergehende Mehr- oder Minderbeschäftigung in aller Regel unbeachtlich ist.

Sobald innerhalb einer Zahnarztpraxis damit ständig mehr als zehn Personen, einschließlich des zahnärztlichen Personals, Zugriff auf die elektronische Patientendatenverwaltung haben, hat die Praxis einen betrieblichen Datenschutzbeauftragten zu bestellen. Wer als Arbeitgeber (Zahnarzt) selbst ein unternehmerisches Risiko trägt, wird nicht mitgezählt, sodass der Praxisinhaber im Rahmen der Zehn-Personen-Grenze nach herrschender Meinung nicht zu berücksichtigen ist. In den Fällen, in denen keine elektronische Patientenakte geführt wird, greift diese Verpflichtung erst, wenn mindestens 20 Personen innerhalb der Zahnarztpraxis beschäftigt werden (Paragraf 4f Absatz 1 Satz 3 BDSG).

Des Weiteren sieht Paragraf 4f BDSG grundsätzlich eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten vor, soweit besondere personenbezogene Daten im Sinne des Paragrafen 3 Absatz 9 BDSG automatisiert verarbeitet werden. Sicherlich, der Zahnarzt verarbeitet mit Patientendaten stets derartige besondere personenbezogene Daten. Dennoch gilt die Verpflichtung zur Bestellung eines Datenschutzbeauftragten auch in diesen Fällen nur grundsätzlich und gerade nicht generell. Dies ist bedingt durch den in Paragrafen 4f Absatz 1 Satz 6 BDSG normierten Hinweis darauf, dass nur dann eine Verpflichtung besteht, wenn im Rahmen der Datenverarbeitung eine sogenannte Vorabkontrolle im Sinne des Paragrafen 4d Absatz 5 BDSG zu erfolgen hat. Dies jedoch ist nicht bereits dann der Fall, wenn besondere personenbezogene Daten automatisiert verarbeitet werden.

Vielmehr trifft die Verpflichtung zur Durchführung einer Vorabkontrolle und die damit einhergehende Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten nur denjenigen, der die Datenverarbeitung dieser besonderen Daten weder aufgrund einer gesetzlichen Verpflichtung, noch im Rahmen der Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen vornimmt. Beide alternativ genannten Ausnahmefälle dürften im Rahmen der Datenerhebung und -verarbeitung durch den Zahnarzt jedoch regelmäßig gegeben sein.

Bereits seit 1. Januar 2008 sind Zahnärzte per Gesetz verpflichtet, ihre Leistungen auf elektronischem Weg abzurechnen. Deshalb verarbeiten die KZVen ausschließlich digitale Abrechnungen weiter, das heißt, die an der vertragszahnärztlichen Versorgung teilnehmenden Zahnärzte müssen die Aufstellung ihrer medizinischen Leistungen elektronisch einreichen und mithin personenbezogene Patientendaten elektronisch verarbeiten (Paragraf 295 Fünftes Buch Sozialgesetzbuch – SGB V).

Des Weiteren wird sich die Zulässigkeit der (einwilligungslosen) elektronischen Patientendokumentation bereits aus dem Wesen des Behandlungsvertrags und mithin aus einem rechtsgeschäftlichen Schuldverhältnis ergeben. Wie Teil 3 dieser Serie (DZW 21/11) bereits dargelegt, normiert Paragraf 28 Abs. 7 Satz 1 BDSG, dass die Erhebung besonderer personenbezogener Daten ohne Einwilligung des Betroffenen (Patienten) erlaubt ist, soweit diese zum Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung, der Behandlung und/oder der Verwaltung von Gesundheitsdiensten erforderlich ist, wobei zum Bereich der Verwaltung von Gesundheitsdiensten auch das Abrechnungswesen und die Buchhaltung zu zählen sind. Die Patientendokumentation dient mithin der Durchführung der eigentlichen Behandlungsleistung und mithin dem Behandlungsvertrag als solchem. Soweit es nicht um besondere Arten personenbezogener Daten geht, ergibt sich die Berechtigung zur Erhebung, Speicherung, Verarbeitung und Nutzung der personenbezogenen Daten aus Paragraf 28 Absatz 1 Satz Nummer 1 BDSG.

Genau in diesen Fällen sieht das BDSG eine Verpflichtung zur Vorabkontrolle gerade nicht vor. Ist eine Verpflichtung zur Vorabkontrolle jedoch nicht gegeben, besteht auch eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten aus Paragraf 4f Abs. 1 S. 6 BDSG nicht.
Insoweit begründet allein die Tatsache, dass besondere Arten personenbezogener Daten automatisiert verarbeitet werden, also keine generelle Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten. Dies gilt soweit und solange die automatisiert erhobenen und verarbeiteten Daten allein zum Zweck der Durchführung der zahnärztlichen Behandlung verwendet werden. In diesem Fall ist auch die Einholung der von KZBV und BZÄK formulierten Einwilligung in die Führung einer elektronischen Patientenkartei meines Erachtens nicht erforderlich, wenn nicht sogar überflüssig.

In diesem Fall ist auch die automatisierte Verarbeitung vor ihrer Inbetriebnahme nicht der zuständigen Aufsichtsbehörde zu melden (Paragraf 4d Absatz 3 BDSG).

RA Dr. Robert Kazemi, Bonn   

(wird fortgesetzt)

(Artikel gekürzt)

Den vollständigen Artikel lesen Sie in der DZW 28/11 auf Seite 8.