Änderungen des Bundesdatenschutzgesetzes (BDSG) zum 1. September 2009, hier: Insbesondere stärkerer Kündigungsschutz der innerbetrieblichen Datenschutzbeauftragten

Innerhalb kürzester Zeit hat der Gesetzgeber drei BDSG-Novellen mit unterschiedlichsten Inhalten beschlossen, die sich wie folgt skizzieren lassen:

• Die Novelle I hat zum Ziel, die Tätigkeit von Auskunfteien und ihrer Vertragspartner (insbesondere Kreditinstitute) transparenter zu machen und enthält spezifische Er-laubnistatbestände und Regelungen für Scoringverfahren (mathematischstatistische Verfahren zur Berechnung der Wahrscheinlichkeit eines bestimmten Verhaltens, etwa der Kreditwürdigkeit einer Person).

• Die Novelle III regelt Pflichten von Datenbankbetreibern, deren sich Darlehensgeber zur Bewertung der Kreditwürdigkeit potentieller Darlehensnehmer bedienen.

• Die für den Krankenhausbereich relevanteste Novelle ist die Novelle II. Das angekündigte Datenschutzauditgesetz (freiwillige datenschutzrechtliche Prüfung, Bewertung und Zertifizierung von Datenschutzkonzepten) wird es zwar nicht geben, doch allein im BDSG erfolgen zahlreiche Änderungen, z.B. hinsichtlich

o des Kündigungsschutzes der Datenschutzbeauftragten (§ 4f Abs. 3 BDSG),
o der Auftragsdatenverarbeitung (§ 22 Abs. 2 S. 2 BDSG),
o des Arbeitnehmerdatenschutzes (§ 32 BDSG neu),
o der Befugnisse der Aufsichtsbehörden (§ 38 Abs. 5 BDSG) sowie
o der Informationspflichten bei Datenschutzverstößen (§ 42a BDSG neu).
Anwendungsbereich des BDSG

Zunächst ist zu beachten, dass das BDSG nicht auf alle Krankenhausträger Anwendung findet. Die Frage der Anwendbarkeit ist sehr stark landesrechtlich geprägt und hängt im Einzelnen davon ab, um welchen Krankenhausträger es sich handelt. Anbei folgende Grundsätze, die jeweils unter dem Vorbehalt abweichender landesrechtlicher Sonderregelungen zu verstehen sind:

Das BDSG gilt zunächst für öffentliche Stellen des Bundes sowie nicht-öffentliche Stellen, womit es neben den Krankenhäusern in der Trägerschaft des Bundes primäre Bedeutung für die Krankenhäuser in privater Trägerschaft hat.

Darüber hinaus gilt das BDSG grundsätzlich auch bei öffentlichen Stellen der Länder, wozu auch kommunale Einrichtungen zählen, jedoch nur solange die Länder den Datenschutz nicht durch Landesgesetze geregelt haben. Dies bedeutet, dass jede landesrechtliche Datenschutzregelung, unabhängig davon, ob sie für den Betroffenen günsti-ger oder weniger günstig ist, das BDSG verdrängt. In vielen Ländern existieren spezielle Regelungen zum Datenschutz in den Landeskrankenhausgesetzen oder in bereichsspezifischen Gesundheitsdatenschutzgesetzen und in sämtlichen Bundesländern existieren Landesdatenschutzgesetze. Insoweit scheidet der Anwendungsbereich der Krankenhäuser in der Trägerschaft der Länder/Kommunen grundsätzlich aus. Allerdings ist zu beachten, dass die landesrechtlichen Regelungen teilweise explizit auf die Anwendbarkeit des BDSG verweisen. In diesen Fällen ist der Anwendungsbereich wiederum eröffnet (vgl. z.B. § 51 Abs. 3 LKHG Baden-Württemberg).

Auf konfessionelle Krankenhäuser findet das BDSG keine Anwendung. Hier greifen die Spezialregelungen der KDO i.V.m. der KDO-DVO sowie das DSG-EKD.

Nunmehr zu den wesentlichen Änderungen im Einzelnen:

• Kündigungsschutz der Datenschutzbeauftragten, § 4f Abs. 3 BDSG

Insbesondere die Stärkung des Kündigungsschutzes der innerbetrieblichen Datenschutzbeauftragten dürfte eine der wesentlichen Änderungen für den Krankenhausbereich darstellen. Die am 1. September in Kraft tretende Fassung von § 4f Abs. 3 BDSG, die um die Sätze 5 bis 7 erweitert wird, kann der Anlage entnommen werden.

Der neue Satz 5 passt den Kündigungsschutz der nach § 4f Abs. 1 BDSG zu bestellenden Beauftragten für den Datenschutz an den Kündigungsschutz vergleichbarer Funktionsträger an, beispielsweise der Betriebsratsmitglieder. Derzeit sind dem Beauftragten in § 4f Abs. 3 S. 3 und 4 BDSG lediglich ein Benachteiligungsverbot sowie eine erschwerte Abberufung eingeräumt, was sich in der Praxis – so die Gesetzesbegründung (BT-Drs. 16/12011) – als nicht ausreichend erwiesen habe.

Satz 6 beinhaltet darüber hinaus einen nachwirkenden Kündigungsschutz, wonach der Beauftragte nicht vor Ablauf eines Jahres nach seiner Abberufung als Datenschutzbeauftragter gekündigt werden kann.

Satz 7 sieht vor, dass der Arbeitgeber dem Beauftragten die Teilnahme an Schulungs- und Bildungsveranstaltungen ermöglichen muss und die Kosten dafür zu tragen hat. Hinsichtlich der Reichweite, z.B. des Umfangs und der thematischen Ausrichtung der Fortbildung, richtet sich diese nach der erforderlichen Fachkunde des Datenschutzbeauftragten, die er zur Erfüllung seiner Aufgaben benötigt. Insoweit ist § 4 Abs. 2 S. 2 BDSG zu beachten, wonach sich das Maß der erforderlichen Fachkunde insbesondere nach dem Umfang der Datenverarbeitung und dem Schutzbedarf der personenbezogenen Daten richtet. Letzterer dürfte im Krankenhausbereich aufgrund der besonderen Sensibilität der Daten als äußerst hoch einzustufen sein.

• Auftragsdatenverarbeitung, § 11 Abs. 2 BDSG

Die ohnehin schon hohen Voraussetzungen für eine Datenverarbeitung im Auftrag (z.B. Durchführung von Schreibarbeiten in externen Schreibbüros, externe Mikroverfilmung von Krankenunterlagen, externe Vernichtung von Datenträgern, usw.) werden nunmehr in dem Abs. 2 von § 11 BDSG noch detaillierter ausgestaltet, beinhalten genaue Anforderungen an die zu schließenden Verträge und erfordern regelmäßige Überprüfungen und Dokumentationen. Die Einzelheiten können der als Anlage 1 beiliegenden Neufas-sung von § 11 BDSG entnommen werden.

Nicht unter den Anwendungsbereich dieser Befugnisnorm fällt die – auch unter die Auftragsdatenverarbeitung fallende – Weitergabe von Patientendaten gesetzlich Versicher-ter an externe Abrechnungsstellen zwecks Abrechnungsdurchführung. Das Bundesso-zialgericht hatte diesbezüglich explizit die Anwendung des BDSG ausgeschlossen, da die Befugnis dieser besonderen Datenverarbeitung ausschließlich im Sozialgesetzbuch geregelt ist (vgl. weiterführend: DKG-Rundschreiben Nr. 210/2009).

• Informationspflichten bei Datenschutzverstößen, § 42a BDSG neu

Sofern bei einer verantwortlichen Stelle festgestellt wird, dass personenbezogene Da-ten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kennt-nis gelangt sind (z.B. Abhandenkommen von Gesundheitsdaten), und daraus schwer-wiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Pati-enten drohen, hat das Krankenhaus dies – gem. amerikanischem Vorbild – nicht nur der Aufsichtsbehörde sondern auch dem/den Patienten mitzuteilen (§ 42a BDSG neu).

Soweit die Benachrichtigung der Patienten, insbesondere aufgrund der Vielzahl der betroffenen Fälle, einen unverhältnismäßigen Aufwand (an Kosten und Zeit) erfordern würde, tritt an ihre Stelle eine Information der Öffentlichkeit durch Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen, die mindestens eine halbe Seite umfassen. Die dadurch entstehende eigenfinanzierte Rufschädigung des Krankenhauses dürfte immens sein.

Um diese Anforderungen abzumildern, ist auf Vorschlag des Bundesrates als Alternative die Möglichkeit eingefügt worden, eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich gelagerte Maßnahme durchzuführen, deren Anforderungen im Einzelnen jedoch nicht näher präzisiert werden. Mit dieser Alternative wird dem Umstand Rechnung getragen, dass es Fälle gibt, in denen eine solch umfangrei-che Veröffentlichungspflicht unverhältnismäßig wäre, z.B. wenn das die Veröffentlichungspflicht auslösende Ereignis nur regionale Bedeutung hat.

Der Wortlaut des neu in das BDSG eingefügten § 42a BDSG im Einzelnen kann der Veröffentlichung der Neuregelungen im Bundesgesetzblatt entnommen werden (Seite 2818, Nr. 16).