Datenschutzbeauftragter: Umgang mit sensiblen Informationen

Die KVMV hat bereits im Jahr 1993 einen behördlichen Datenschutzbeauftragten bestellt, dessen Aufgaben durch den Justiziar wahrgenommen werden. Unterstützt wird er durch die Mitarbeiter des Justiziariats und eine weitere als Datensicherungsbeauftragter bestellte Person.

Die in der Honorarabrechnung bei der Kassenärztlichen Vereinigung zu verwendenden personenbezogenen Daten der Versicherten sind sehr sensible Informationen, bei deren Verarbeitung höchste Sicherheitsstandards erfüllt sein müssen. Die Aufgaben basieren auf den gesetzlichen  Grundlagen des Bundesdatenschutzes und des Sozialgesetzbuches. Über allem, was in der Kassenärztlichen Vereinigung an gesetzlichen Aufgaben wahrgenommen und durchgeführt wird, stehen dabei die vorgenannten Gesetze mit den darin niedergelegten Erlaubnistatbeständen und Erforderlichkeitsgrundsätzen. Personenbezogene Daten dürfen dabei nur verarbeitet werden, wenn es gesetzlich erlaubt und absolut notwendig ist, wobei die Verarbeitung von Informationen so restriktiv wie erforderlich zu handhaben ist.

Bei einfachen Analysen ist z. B. zu überprüfen, ob wirklich das komplette Geburtsdatum gebraucht wird oder ob nicht das Jahr der Geburt ausreicht. Wenn die Vertragsarztnummer ausreicht, bleibt der Name des Vertragsarztes oder Psychotherapeuten geheim.

Ein weiterer Auftrag des Datenschutzbeauftragten ist es, die im Sozialgesetzbuch definierten technischen und organisatorischen Maßnahmen, so genannte Sicherungsziele, im Auge zu behalten. Dazu gehört beispielsweise die Zutrittskontrolle etwa gegen unbefugten Zutritt zum Serverraum. Damit soll verhindert werden, dass die Daten unerlaubt gelesen, kopiert, verändert oder gelöscht werden. In einen weiteren Bereich der Zugangskontrolle gehört es, Computer per Log-in-Namen und Passwort zu sichern.

Dass beim Datenschutz nichts verschwindet oder unzulässig kopiert wird, ist Aufgabe der Weitergabekontrolle. Bei der Eingabekontrolle wird beispielsweise geprüft, welcher Mitarbeiter wann, welche Daten eingegeben hat. Die Verfügbarkeitskontrolle wendet sich gegen die zufällige oder mutwillige Zerstörung von Unterlagen.

Ein weiteres wichtiges Aufgabenfeld ist die Gewährleistung. Nach diesem Kriterium sollen Informationen nur zweckgebunden verarbeitet werden. Bei einem ggf. anstehenden Outsourcing, z. B. der Entwicklung neuer Programme bzw. der Vergabe von Aufgaben an externe Unternehmen, muss gleichfalls gewährleistet werden, dass die vorgenannten Grundsätze Beachtung finden.

Bei Durchführung seiner Aufgaben sitzt ein Datenschutzbeauftragter manchmal quasi zwischen zwei Stühlen. Auf der einen Seite soll die Erfüllung gesetzlicher Aufgaben nicht behindert werden. Andererseits ist dieser auch zur Gewährleistung der gesetzlichen Vorgaben verpflichtet, manchmal Einhalt zu gebieten. Dabei ist insgesamt festzustellen, dass bei den Mitarbeitern die Sensibilität für den Datenschutz in den vergangenen Jahren deutlich zugenommen hat. In diesem Kontext sind sicherlich auch die weiteren Medien hilfreich gewesen, die durch ihre Berichte über Adresshandel und unerlaubte Werbung das Thema Datenschutz stärker ins öffentliche Bewusstsein gerückt haben.