Datenschutzbeauftragter im Gesundheitswesen

Die Datenschutzgrundverordnung DSGVO und damit das Bundesdatenschutzgesetz BDSG verlangen in vielen Fällen einen Datenschutzbeauftragten. Wann Sie einen oder eine Datenschutzbeauftragte/n ernennen müssen und was dessen oder deren Aufgaben sind, erfahren Sie in diesem Artikel.

Update: Interessenkonflikte zwischen Datenschutzbeauftragten und IT-Sicherheitsbeauftragten

Datenschutzbeauftragter: Wann er gefordert ist

Jedes Unternehmen, das Gesundheitsdaten verarbeitet, muss einen Datenschutzbeauftragten (DSGVO Art. 37 c) benennen. Dabei ist es unerheblich ob das Unternehmen die Rolle des „Verantwortlichen“ oder des „Auftragsverarbeiters“ einnimmt.

Der Pflicht zur Benennung eines Datenschutzbeauftragten, unterliegen auch alle anderen Unternehmen, die regelmäßig 10 oder mehr Personen beschäftigen, die personenbezogene Daten verarbeiten. Dies gilt unabhängig davon ob diese Daten „besondere Kategorien personenbezogener Daten“ wie Gesundheitsdaten sind.

Lesen Sie weiter unten mehr dazu, ob das Unternehmen den Datenschutzbeauftragten selbst beschäftigen muss.

Aufgaben eines Datenschutzbeauftragten

Die Unternehmen müssen Datenschutzbeauftragte benennen, damit jemand „den Hut aufhat“, den Datenschutz zu fördern, zu gewährleisten und in das Bewusstsein der Mitarbeitenden zu bringen. Die Datenschutzbeauftragte sind auch die Kommunikationsschnittstelle zu den Aufsichtsbehörden.

Die Artikel 38 und 39 der DSGVO listen Aufgaben wie:

• Die Mitarbeitenden des Unternehmens über die regulatorischen Anforderungen im Kontext des Datenschutzes informieren und beraten. Diese Beratung muss auf Anfrage auch im Zusammenhang mit der Datenschutzfolgeabschätzung erfolgen.
• Überwachen, dass diese Anforderungen auch eingehalten werden.
• Falls dies nicht der Fall ist, müssen sie Maßnahmen anstoßen, die Geschäftsleitung und ggf. auch die Aufsichtsbehörde informieren.
• Anfragen der Aufsichtsbehörde beantworten und die Aufsichtsbehörde ggf. konsultieren.
• Fragen der Kolleginnen und Kollegen zum Datenschutz beantworten.
• Diese Kolleginnen und Kollegen für den Datenschutz sensibilisieren und schulen.
• Fragen der betroffenen Personen beantworten z.B. zu deren Rechten.

Besonderheiten im Gesundheitswesen

Die DSGVO und das BDSG haben keine spezifischen Anforderungen an die Verarbeitung von Gesundheitsdaten, die über die Anforderungen hinausgehen, die an die Verarbeitung „besonderer Kategorien personenbezogener Daten“ gestellt werden.

Allerdings müssen die Datenschutzbeauftragten die für das Gesundheitswesen spezifischen regulatorischen Anforderungen kennen wie die Krankenhausgesetze und das Infektionsschutzgesetz.

Die Datenschutzbeauftragten im Gesundheitswesen müssen den Datenfluss ins Unternehmen (z.B. vom Labor ins Krankenhaus) und aus dem Unternehmen heraus (z.B. vom Krankenhaus zum niedergelassenen Arzt) verstehen. Die Medical Cloud stellt eine weitere Herausforderung nicht nur für die Datenschutzbeauftragten dar.

Datenschutzbeauftragter: Anforderungen und Haftung

Kompetenz

Der Gesetzgeber fordert eine berufliche Qualifikation und ein Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis. Die Lernziele einer entsprechenden Ausbildung sollten umfassen:

1. Die Inhalte der DSGVO und das BDSG kennen und verstehen.
2. Die Unterschiede beider Regularien benennen können.
3. Aktuelle Rechtsprechung im Kontext des Datenschutzes kennen.
4. Einen Vertrag mit einem Auftragsverarbeiter erstellen oder zumindest auf Konformität prüfen können.
5. Verarbeitungstätigkeiten im eigenen Unternehmen kennen.
6. Auswirkungen von Verletzungen des Datenschutzes, sprich Risiken, bewerten können.
7. Technische und organisatorische Maßnahmen kennen und den Umsetzungsgrad diese Maßnahmen im eigenen Unternehmen beurteilen können. Das setzt zumindest Grundkenntnisse der IT und der IT-Sicherheit zwingend voraus.
8. Schulung für Kolleginnen und Kollegen zum Datenschutz halten können.

Haftung

Die Haftung bleibt beim Unternehmen d.h. beim „Verantwortlichen“ bzw. „Auftragsverarbeiter“. Daran ändert die Ernennung eines Datenschutzbeauftragten nichts. Allerdings kann dessen Individualhaftung wieder zum Tragen kommen, falls er oder sie grobfahrlässig oder gar vorsätzlich die Pflichten verletzt. Daher sollten die Unternehmen diese Pflichten genau dokumentieren. Dabei sind sie an den rechtlichen Rahmen gebunden. Beispielsweise muss der Datenschutzbeauftragte die o.g. Aufgaben übernehmen oder darf nicht von der Überwachung der Konformität ausgeschlossen werden.

Stellung des Datenschutzbeauftragten im Unternehmen

Externe Datenschutzbeauftragten

Weder die DSGVO noch das BDSG verpflichten die Unternehmen dazu, den Datenschutzbeauftragten als Angestellten zu beschäftigen. Die Unternehmen haben vielmehr folgende Möglichkeiten:

1. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten benennen (DSGVO Art. 37 (2)).
2. Das Unternehmen darf einen externen Datenschutzbeauftragten auf Grundlage eines Dienstleistungsvertrags benennen.
3. Natürlich darf der Datenschutzbeauftragter ein „normaler“ Angestellter sein. V.a. in kleineren Unternehmen übernimmt er oder sie weitere Aufgaben im Unternehmen.

Ob die Person auch gleichzeitig die Rolle IT-Sicherheitsbeauftragten, der „für die Einhaltung der regulatorischen Anforderungen verantwortliche Person“ gemäß MDR oder gar des Qualitätsmanagementbeauftragten übernehmen soll, müsste hinterfragt werden. Hier kann es Interessenskonflikte geben.

Beispiele für Interessenskonflikte

Ein IT-Sicherheitsbeauftragter hat das Interesse die IT-Sicherheit zu gewährleisten. Beispielsweise ist es in seinem Interesse mit Audit-Logs herauszufinden, welche Personen (intern oder extern) welche Aktionen auf welchen Systemen durchführen. Das wäre nicht im Interesse des Datenschutzbeauftragten.

Ein IT-Sicherheitsbeauftragter wird in seiner Rolle eher Mitarbeiter überwachen lassen, die verdächtigt sind, Geheimnisse preiszugeben oder IT-Sicherheitsstandards nicht einzuhalten, als ein Datenschutzbeauftragter.

Weil der IT-Sicherheitsbeauftragte oft mit einem „breiteren Scope“ agiert, hat er die Hoheit über die Budgets. Dann muss er ggf. Maßnahmen zur Erhöhung der Cybersecurity gegen Ausgaben für den Datenschutz abwägen.

Der Datenschützer muss die Kontaktdaten und z.B. ein Formular (im Web) bereithalten, über das die „betroffenen Personen“ ihre Ansprüche (z.B. auf Auskunft, Korrektur, Löschung von Daten) geltend machen können. Der IT-Sicherheitsbeauftragte wird sicher kein Freude einer weiteren externen Schnittstelle sein.

Datenschützer bremsen Projekte mit dem Hinweis auf den Datenschutz. IT-Sicherheitsbeauftragte bremsen Projekte, um die IT-Sicherheit zu gewährleisten. Bei vielen Projekten werden Sie dabei an einem Strang ziehen — in welche Richtung auch immer.

Die notwendigen Kompetenzen der beiden Rollen sind nicht deckungsgleich. Meist sind die IT-Sicherheitsexperten deutlich technischer ausgerichtet als die Datenschützer. Sie müssen vielmehr die notwendigen technischen Voraussetzungen schaffen sowie die entsprechenden Maßnahmen anordnen und überwachen.

Inhalte eines Outsourcing-Vertrags

Ein Outsourcing-Vertrag sollte regeln:

• Vertragspartner
• Laufzeit des Vertrags
• Aufgaben (s.o.). Die Aufgaben sollten explizit und spezifisch fürs Unternehmen formuliert werden
• Zeitkontingent: Dieses ist ggf. in ein initiales und fortlaufendes Kontingent zu unterteilen.
• Rechte des Datenschutzbeauftragten (s.u.)
• Ansprechpartner im Unternehmen
• Reaktionszeiten auf beiden Seiten
• Recht des Unternehmens, die Kontaktdaten zu veröffentlichen
• Verschwiegenheit
• Vergütung
• Salvatorische Klausel

Rolle des Datenschutzbeauftragten im Unternehmen

Die Unternehmen müssen die Datenschutzbeauftragten tatsächlich befähigen, ihrer Rolle gerecht zu werden:

• Ressourcen
  Sie müssen die Datenschutzbeauftragten mit ausreichenden Ressourcen ausstatten z.B. Zeit, um der Tätigkeit nachzugehen, und Zeit, um sich fortzubilden. Sowohl interne als auch externe Datenschutzbeauftragte müssen das Recht haben, fehlende Ressourcen einzufordern.
• Freiheiten und Rechte
  Die Unternehmen müssen Ihren Datenschutzbeauftragten auch die notwendigen Freiheiten und Rechte gewähren z.B. den Zugriff auf Mitarbeitende der IT. Die DSGVO verbietet den Unternehmen sogar (Artikel 38(3)) sogar, Ihnen Anweisungen zu erteilen, wie sie ihre Aufgaben ausführen. In ihrer Rolle als Datenschutzbeauftragte müssen sie direkt an die „höchste Managementebene“ berichten.
• Beteiligung
  Sie müssen Sorge tragen, dass die Datenschutzbeauftragten rechtzeitig eingebunden werden z.B. wenn eine Verarbeitungstätigkeit eingeführt oder geändert wird, wenn ein Auftragsverarbeiter beauftragt werden soll oder Verfahrensanweisungen im Kontext der Datenverarbeitung (z.B. Personalprozesse) formuliert werden.
• Schutz
  Die Datenschutzbeauftragten sind geschützt: Sie dürfen wegen der Erfüllung ihrer Aufgaben nicht abberufen werden.

Was sonst noch zu beachten ist

Bekanntgabe der Kontaktdaten

Unternehmen und Datenschutzbeauftragte sollten beachten:

1. Die Unternehmen müssen die Kontaktdaten (üblicherweise Telefon, E-Mail und Postadresse) des Datenschutzbeauftragten veröffentlichen. Es wird nicht explizit gefordert, den Namen dieser Person preiszugeben. Auch gibt es kein Verbot von „Funktions-E-Mail-Adressen“ wie datenschutz@meinefirma.de.
2. Die Kontaktdaten muss das Unternehmen zudem der Aufsichtsbehörde mitteilen. Hier muss der Name genannt werden, auch wenn das der Art. 37 (7) DSGVO nicht ausdrücklich schreibt.

Vergessen Sie die Veröffentlichung der Kontaktdaten v.a. auf Ihrer Webseite nicht. Sie machen sich sonst zu leicht angreifbar.

Verschwiegenheit

Weil die Datenschutzbeauftragten in besonderem Maß mit personenbezogenen Daten in Berührung kommen können, verpflichtet sie der Gesetzgeber (z.B. Art. 38(5)) explizit zur Geheimhaltung bzw. Vertraulichkeit.

Fazit

Für viele Unternehmen sind von der Pflicht nach den vielen Beauftragten genervt:

• Qualitätsmanagementbeauftragter (gemäß ISO 13485)
• IT-Sicherheitsbeauftragter
• Sicherheitsbeauftragter gemäß §31 MPG
• Für die Einhaltung der regulatorischen Anforderungen verantwortliche Person gemäß MDR
• Arbeitnehmervertreter
• Datenschutzbeauftragter

Entsprechend lustlos erfolgt deren Benennung und die Umsetzung der geforderten Aufgaben. Das ist einerseits nachvollziehbar. Andererseits haben die Unternehmen die gesetzliche und ethische Pflicht, die Menschen zu schützen: Vor der Schädigung durch insuffiziente Medizinprodukte ebenso wie vor der Verletzung des Rechts auf informationelle Selbstbestimmung.

Nichts machen geht nicht. Etwas gesunder Menschenverstand und ein „risk based approach“ helfen, die Aufwände und Risiken für das Unternehmen einerseits und die Risiken für die Patienten und betroffenen Personen andererseits zu balancieren.