Ist es möglich, dass eine Person sowohl IT-Sicherheitsbeauftragter als auch Datenschutzbeauftragter ist? – Rechtliche Bewertung und Praxisempfehlung

In medizinischen und psychotherapeutischen Praxen kann sich die Frage stellen, ob ein und dieselbe Person sowohl die Funktion des IT-Sicherheitsbeauftragten als auch die des Datenschutzbeauftragten übernehmen kann. Beide Rollen sind im Praxisbetrieb unverzichtbar, haben jedoch unterschiedliche rechtliche Anforderungsbereiche und Pflichten. Die Kombination beider Funktionen in einer Person wirft nicht nur organisatorische, sondern auch Fragen der Compliance auf, die im Gesundheitswesen besonderes Gewicht haben.

Wer Compliance im Gesundheitswesen verantwortungsvoll gestalten will, der muss zwei strukturell verschiedene Funktionen klar voneinander abgrenzen. Der Datenschutzbeauftragte ist eine gesetzlich verankerte Funktion, deren Rechtsrahmen primär durch die Datenschutz-Grundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG) definiert wird. Der IT-Sicherheitsbeauftragte findet dagegen seinen Rechtsrahmen in sektorspezifischen Regelwerken, technischen Normen und branchenspezifischen Vorgaben, die auf die Sicherheit informationstechnischer Systeme ausgerichtet sind. Beide Rollen erfordern unterschiedliche Qualifikationen und haben formal eigenständige Pflichten, die sich zwar thematisch berühren, in ihrer rechtlichen Ausgestaltung jedoch erheblich voneinander unterscheiden.

Die Bestellung eines Datenschutzbeauftragten ist in Arztpraxen gesetzlich verpflichtend, weil dort besonders sensible personenbezogene Daten verarbeitet werden. Die Grundlage bilden Art. 37 bis 39 DSGVO sowie die ergänzenden Vorgaben des BDSG. Die Pflichtbestellung nach § 38 Abs. 1 Satz 1 BDSG greift, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Grenze gilt für Arztpraxen ebenso wie für andere Einrichtungen. Unabhängig von dieser Personenzahl entsteht eine Bestellpflicht zusätzlich dann, wenn die Praxis eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen muss (§ 38 Abs. 1 Satz 2 BDSG). Dies ist bei einer gewöhnlichen Arztpraxis in der Regel jedoch nicht der Fall.

Ein zentrales Merkmal dieser Funktion ist das gesetzliche Unabhängigkeitsgebot: Der Datenschutzbeauftragte darf bei der Ausübung seiner Aufgaben keine Weisungen entgegennehmen und ist vor Benachteiligungen zu schützen.

Die gesetzlich zugewiesenen Aufgaben eines Datenschutzbeauftragten in einer Gesundheitseinrichtung umfassen folgende Bereiche:

• Unterrichtung und Beratung: Informieren der Verantwortlichen sowie der Mitarbeiter über ihre datenschutzrechtlichen Pflichten.
• Überwachung: Kontrolle der Einhaltung der DSGVO sowie weiterer datenschutzrelevanter Vorschriften und interner Regelungen.
• Datenschutz-Folgenabschätzung: Mitwirkung bei der Durchführung von Folgenabschätzungen gemäß Art. 35 DSGVO.
• Behördenkontakt: Zusammenarbeit mit der zuständigen Aufsichtsbehörde sowie Wahrnehmung der Funktion als ihr Ansprechpartner.
• Verzeichnis der Verarbeitungstätigkeiten: Führung und Pflege des gesetzlich vorgeschriebenen Verzeichnisses.
• Anfragenbearbeitung: Bearbeitung von Anfragen im Zusammenhang mit der Ausübung datenschutzrechtlicher Rechte.

Der IT-Sicherheitsbeauftragte trägt die Verantwortung für die Planung, Umsetzung und Kontrolle von Maßnahmen zur Informationssicherheit in einer Einrichtung. Die organisatorische Verankerung dieser Rolle erfolgt durch die interne Bestellung seitens der Praxisleitung, ohne dass dafür eine einheitliche gesetzliche Bestellgrundlage existiert. Die Notwendigkeit ergibt sich vielmehr aus verschiedenen Regelwerken und technischen Vorgaben.

Im Bereich des Gesundheitswesens ist insbesondere § 75b SGB V relevant. Diese Vorschrift verpflichtete die Kassenärztlichen Bundesvereinigung (KBV), bis zum 30. Juni 2020 eine Richtlinie zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung festzulegen. Die daraus entstandene IT-Sicherheitsrichtlinie der KBV, die seit 2021 in Kraft ist und seither aktualisiert wird, ist für alle an der vertragsärztlichen und vertragspsychotherapeutischen Versorgung teilnehmenden Praxen verbindlich – unabhängig davon, ob ein Anschluss an die Telematikinfrastruktur besteht oder nicht.

Die Richtlinie sieht gestaffelte Anforderungen je nach Praxisgröße vor. Es werden kleine Praxen (bis zu fünf Personen, die ständig mit der Datenverarbeitung betraut sind), mittlere Praxen und Großpraxen unterschieden, wobei mit zunehmender Praxisgröße umfangreichere Maßnahmen erforderlich werden. Ergänzend orientiert sich die Rolle inhaltlich am BSI-Grundschutz – dem Rahmenwerk des Bundesamts für Sicherheit in der Informationstechnik (BSI) für das IT-Risikomanagement im Gesundheitswesen.

Die wichtigsten Aufgaben des IT-Sicherheitsbeauftragten in einer Arztpraxis:

• Informationssicherheitsleitlinie: Entwicklung, Einführung und Pflege einer praxisinternen Sicherheitsleitlinie.
• Risikoidentifikation: Bewertung technischer Risiken und Koordination geeigneter Schutzmaßnahmen.
• Regulatorische Anforderungen: Umsetzung der Vorgaben aus § 75b SGB V und den zugehörigen IT-Sicherheitsrichtlinien der KBV.
• Schulungen: Sensibilisierung der Praxismitarbeiter für sicherheitsrelevante Verhaltensweisen im IT-Betrieb.
• Technische Sicherheitsvorkehrungen: Überwachung von Zugriffskontrollen, Datensicherungskonzepten und Netzwerkschutz.
• Vorfallskoordination: Steuerung der Reaktion bei sicherheitsrelevanten Ereignissen und Unterstützung bei der Dokumentation technischer Compliance.

Die rechtliche Zulässigkeit der Rollenkombination lässt sich weder pauschal bejahen noch eindeutig verneinen. Die Bewertung hängt von den konkreten Umständen ab. Das zentrale rechtliche Spannungsfeld ergibt sich aus dem Unabhängigkeitsgebot der DSGVO: Art. 38 Abs. 3 schreibt vor, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben weisungsfrei handelt und keinen Interessenkonflikten ausgesetzt sein darf. Datenschutzbehörden bewerten eine Doppelbesetzung vor diesem Hintergrund kritisch, da die gleichzeitige Übernahme operativer IT-Verantwortung geeignet ist, die Unabhängigkeit der Aufsichtsfunktion strukturell zu gefährden.

Die anwendbaren IT-Sicherheitsregelungen enthalten zwar kein ausdrückliches Verbot einer Personalunion, setzen jedoch voraus, dass die Funktionen tatsächlich vollständig und wirksam wahrgenommen werden. Aus Sicht der Datenschutzbehörden gilt: Je stärker eine Person operativ in den IT-Betrieb eingebunden ist, desto schwieriger lässt sich ihre Unabhängigkeit als Datenschutzbeauftragter glaubhaft begründen. Die Rollenkombination ist damit zwar nicht grundsätzlich ausgeschlossen, aber mit erheblichen Risiken verbunden, die im Gesundheitswesen besonders schwer wiegen.

Der strukturelle Interessenkonflikt bei gleichzeitiger Wahrnehmung beider Rollen entsteht aus einer grundlegenden Inkompatibilität der Funktionen. Der IT-Sicherheitsbeauftragte trifft operative Entscheidungen über technische Systeme, Sicherheitsmaßnahmen und die Gestaltung der Infrastruktur. Der Datenschutzbeauftragte soll dagegen genau diese Entscheidungen und ihre datenschutzrechtlichen Konsequenzen unabhängig bewerten und kontrollieren. Wer beide Positionen gleichzeitig innehat, kontrolliert sich letztlich selbst. Dieser Zustand widerspricht dem Wesen einer unabhängigen Aufsichtsfunktion.

Die rechtliche Bedeutung dieser Interessenkollision ergibt sich aus Art. 38 Abs. 6 DSGVO, der Aufgaben, die zu einem Interessenkonflikt führen können, ausdrücklich als unzulässig benennt.

In diesem Zusammenhang ergeben sich folgende Konflikte:

• Selbstkontrolle: Fehlende Unabhängigkeit bei der Beurteilung der Datenschutzkonformität eigener IT-Entscheidungen.
• Fehlende neutrale Instanz: Keine unabhängige Bewertung sicherheitsrelevanter Vorfälle mit datenschutzrechtlicher Relevanz.
• Interessengeleitete Risikoeinschätzung: Verzerrtes Urteil, wenn IT-Sicherheitsziele und Erfordernisse des Datenschutzes in Konflikt geraten.
• Meldepflicht nach Art. 33 DSGVO: Gefährdung der Meldefunktion, wenn die meldende und die verantwortliche Stelle personell identisch sind.
• Glaubwürdigkeit gegenüber Aufsichtsbehörden: Eingeschränkte Überzeugungskraft bei Kontrollen und Prüfungsverfahren.

In medizinischen und psychotherapeutischen Praxen verschärfen sektorspezifische Faktoren die Problematik der Rollenkombination. Der Ausgangspunkt ist Art. 9 DSGVO, der Gesundheitsdaten als besondere Kategorie personenbezogener Daten einordnet und für ihre Verarbeitung strenge Voraussetzungen vorsieht. Patientendaten gehören zu den am stärksten schutzbedürftigen Informationen überhaupt. Compliance-Risiken, die aus einer unzureichenden Rollengestaltung resultieren, können daher besonders schwerwiegende aufsichtsrechtliche und haftungsrechtliche Folgen nach sich ziehen.

Datenschutzaufsichtsbehörden beobachten Gesundheitseinrichtungen mit erhöhtem Kontrollinteresse, weil das Schadenspotenzial bei Datenschutzverstößen in diesem Sektor besonders hoch ist.

Dies sind die sektorspezifischen Risikofaktoren, die eine Doppelbesetzung in medizinischen und psychotherapeutischen Praxen besonders kritisch machen:

• Gesundheitsdaten nach Art. 9 DSGVO: Erhöhte Anforderungen an Schutz und Kontrolle aufgrund der besonderen Datenkategorie.
• Datenschutz-Folgenabschätzung: Pflicht zur Durchführung bei der Verarbeitung sensibler Patientendaten.
• Erhöhter Kontrolldruck: Gesteigerte Prüfaktivität durch Aufsichtsbehörden mit spezifischer Fachkompetenz im Gesundheitswesen.
• Berufsrechtliche Schweigepflichten: Wechselwirkung mit datenschutzrechtlichen Anforderungen, die die Compliance-Last zusätzlich erhöht.
• Besonderes Haftungsrisiko: Schwerwiegende Folgen bei Datenpannen, da Verstöße in den persönlichsten Lebensbereich der betroffenen Patienten eingreifen.

Die Praxissoftware von medatixx bietet Arztpraxen, Psychotherapiepraxen und ambulanten Versorgungseinrichtungen eine digitale Grundlage, die den Praxisalltag strukturiert entlastet, denn sie integriert Compliance-relevante Sicherheitsfunktionen in die digitale Praxisverwaltung. Selbstverständlich stehen dabei nicht nur die gesetzlichen Vorgaben im Fokus, sondern auch der Schutz von Behandlungs- und patientenbezogenen Daten.

Bei unserer Praxissoftware handelt es sich um TI as a Service. Das bedeutet, dass sie nicht lokal heruntergeladen und installiert werden muss. Stattdessen findet der Zugriff über sichere Internetverbindungen statt. Die Daten von Patienten und Behandlungen verbleiben dabei stets auf dem Anwendungsserver der Praxis und sind vor Zugriffen unbefugter Personen geschützt. Der Datenaustausch erfolgt stets mit sicherer Verschlüsselung. Für Fragen zu unserer Praxissoftware im Allgemeinen und der Datensicherheit im Besonderen steht unser Team gern zur Verfügung.

Die Verteilung der Rollen des IT-Sicherheitsbeauftragten und des Datenschutzbeauftragten auf verschiedene Personen gilt in der Compliance-Beratung für Arztpraxen als Regelfall und der sicherste Weg. Wo personelle Ressourcen begrenzt sind, kann unter bestimmten Bedingungen eine vorübergehende Kombination in Betracht gezogen werden. Dies setzt jedoch voraus, dass eine klare interne Governance-Struktur mit definierten Eskalationswegen und dokumentierten Interessenabgrenzungen besteht.

Bewährt haben sich folgende Maßnahmen:

• Rollentrennung: Bestellung separater Personen für die Funktion des Datenschutzbeauftragten und des IT-Sicherheitsbeauftragten, intern oder durch externe Dienstleister.
• Schriftliche Stellenbeschreibungen: Dokumentation der Verantwortlichkeiten, Befugnisse und Berichtslinien für jede Funktion.
• Interessenkonflikterklärung: Schriftliche Erklärung der beauftragten Person, dass keine Interessenkonflikte bestehen, was insbesondere bei einer externen Beauftragung relevant ist.
• Regelmäßige Überprüfung: Mindestens jährliche Evaluation, ob die aktuelle Aufgabenverteilung noch den rechtlichen Anforderungen entspricht.
• Dokumentation im Verarbeitungsverzeichnis: Transparente Abbildung der organisatorischen Verantwortung für sicherheits- und datenschutzrelevante Prozesse.
• Externe Beratung: Konsultation einer spezialisierten Datenschutzberatung bei Unsicherheit über die Zulässigkeit einer bestehenden Doppelbesetzung.

Die Übernahme beider Funktionen durch die gleiche Person ist zwar nicht in jedem Fall ausgeschlossen, aber mit erheblichen rechtlichen und organisatorischen Risiken verbunden. Das Unabhängigkeitsgebot der DSGVO, die strukturell angelegte Interessenkollision und die besondere Schutzbedürftigkeit von Patientendaten sprechen dafür, beide Rollen auf getrennte Personen oder Stellen zu übertragen.