Medizinphysik-Experte und Datenschutz in der Radiologie und Strahlentherapie
Aufgaben, Auftragsverarbeitung, rechtliche Risiken und praktische Empfehlungen für Praxen und Kliniken
Zwischen Strahlenschutz und Datenschutz
Der Medizinphysik-Experte (MPE) ist aus radiologischen und strahlentherapeutischen Einrichtungen nicht mehr wegzudenken. Er ist der Spezialist, wenn es um Strahlenschutz, Dosismanagement und die technische Qualitätssicherung geht. Was viele Ärzte und Praxisverantwortliche jedoch nicht ausreichend im Blick haben: Bei der Einbindung externer MPEs stellt sich auch eine datenschutzrechtliche Schlüsselfrage. Nämlich: Handelt es sich dabei um eine Auftragsverarbeitung im Sinne der DSGVO? Wenn ja, ist ein Vertrag zwingend erforderlich – andernfalls drohen empfindliche Bußgelder. Doch selbst wenn kein solcher Vertrag erforderlich ist: Ein Abschluss kann dennoch sinnvoll sein. Dieser Artikel zeigt, worauf es ankommt, welche Rechtsauffassungen es gibt und wie medizinische Einrichtungen rechtssicher handeln.
Aufgaben des Medizinphysik-Experten – Fokus Dosismanagement
Im medizinischen Alltag sorgt der MPE dafür, dass Patienten nur so viel Strahlung wie nötig, aber so wenig wie möglich erhalten. Das sogenannte Dosismanagement ist daher eines seiner zentralen Aufgabenfelder. Dazu gehören die Überwachung diagnostischer Referenzwerte, die Analyse besonderer Vorkommnisse und die kontinuierliche Optimierung von CT- und Röntgenprotokollen. Er berät bei der Auswahl neuer Geräte, unterstützt bei der Erstellung von Arbeitsanweisungen (SOPs) und ist fester Bestandteil der Qualitätssicherung. In der Strahlentherapie ist der MPE an der Bestrahlungsplanung beteiligt und stellt sicher, dass die berechneten Tumordosen stimmen.
Rechtlicher Rahmen: Was das Strahlenschutzrecht vorgibt
Die Rolle des MPE ist gesetzlich klar verankert. Sowohl das Strahlenschutzgesetz (StrlSchG) als auch die Strahlenschutzverordnung (StrlSchV) sehen vor, dass bei bestimmten Anwendungen ionisierender Strahlung ein MPE beteiligt werden muss. Dies betrifft nicht nur neu installierte Anlagen, sondern auch Bestandsgeräte. Der Gesetzgeber verlangt, dass der MPE beratend und überwachend tätig wird, insbesondere zur Optimierung des Strahlenschutzes. Seine Beteiligung ist also nicht optional, sondern verpflichtend – und in vielen Fällen Voraussetzung für den rechtskonformen Betrieb radiologischer Einrichtungen.
Wann ein MPE eingebunden werden muss – und warum
Die Einbindung eines MPE ist unter anderem bei Untersuchungen mit hoher Strahlenexposition, bei standardisierten Behandlungen mit radioaktiven Stoffen oder bei besonders exponierten Anwendungen gesetzlich vorgeschrieben. Dabei gilt das Prinzip der Verhältnismäßigkeit: Je komplexer und strahlenintensiver die Anwendung, desto zwingender ist die Beteiligung eines fachkundigen Medizinphysik-Experten. Auch Schulungen des Personals oder die Untersuchung von Vorkommnissen können zu seinem Aufgabenfeld gehören.
Qualifikation und Rolle: Was macht einen MPE aus?
Ein MPE ist in der Regel ein Naturwissenschaftler mit Hochschulabschluss, der eine spezielle Fachkunde im Strahlenschutz nachweisen kann. Diese wird durch anerkannte Kurse, praktische Erfahrung und eine behördliche Anerkennung erlangt. Viele MPEs arbeiten freiberuflich oder in spezialisierten Dienstleistungsunternehmen. Werden sie von einer Praxis oder Klinik beauftragt, stellt sich zwangsläufig die Frage nach der datenschutzrechtlichen Einordnung ihrer Tätigkeit.
Datenschutzrechtliche Einordnung: Auftragsverarbeitung oder eigene Verantwortung?
Ob ein externer MPE als Auftragsverarbeiter zu qualifizieren ist, hängt entscheidend davon ab, wie seine Arbeit organisiert ist. Verarbeitet er personenbezogene Daten „in Weisung“ der Praxis oder Klinik und handelt dabei nicht selbständig, spricht vieles für eine Auftragsverarbeitung nach Art. 28 DSGVO. Hat er jedoch einen eigenen fachlichen Ermessensspielraum und trifft unabhängige Entscheidungen, spricht vieles dafür, ihn als eigenen Verantwortlichen im Sinne der DSGVO zu behandeln. Genau an dieser Stelle gehen die Meinungen auseinander.
Rechtliche Unsicherheit: Zwei Sichtweisen – ein Risiko
Einige Stimmen vertreten die Auffassung, dass ein externer MPE klar als eigenverantwortlicher Dienstleister zu qualifizieren ist. Die Tätigkeit sei fachlich geprägt, nicht weisungsabhängig, und entspreche eher einer unabhängigen Beratung als einer technischen Hilfsleistung. Andere Stimmen – insbesondere in der Aufsichtspraxis – neigen dazu, bei externen Akteuren im Zweifel eine Auftragsverarbeitung anzunehmen. Die Praxis oder Klinik delegiere schließlich einen Teil ihrer Pflicht zur Patientensicherheit an Dritte, was aus Sicht der Behörden auch datenschutzrechtlich abgesichert werden müsse.
Warum ein AV-Vertrag trotzdem sinnvoll sein kann
Auch wenn die Einordnung als Auftragsverarbeitung nicht zwingend erforderlich sein sollte, kann es für Einrichtungen dennoch sinnvoll sein, einen Vertrag zur Auftragsverarbeitung abzuschließen. Der Grund: Die Risiken liegen in der Abgrenzung. Wird ein AVV abgeschlossen, obwohl keiner erforderlich gewesen wäre, ist der Schaden gering. Wird jedoch kein AVV abgeschlossen, obwohl die Aufsichtsbehörde im Nachhinein eine Auftragsverarbeitung annimmt, drohen empfindliche Sanktionen. Der Abschluss eines AV-Vertrags bietet daher einen pragmatischen Schutzmechanismus: Er schafft Klarheit, beugt Bußgeldern vor und hilft, Datenschutzverantwortlichkeiten klar zu regeln.
Fehlender AVV: Was droht im Ernstfall?
Wird eine externe Verarbeitungstätigkeit zu Unrecht nicht als Auftragsverarbeitung behandelt, kann dies als Verstoß gegen Art. 28 DSGVO gewertet werden. In der Folge können nicht nur Bußgelder verhängt, sondern auch Anordnungen erlassen werden, die die Zusammenarbeit mit dem MPE erschweren oder unmöglich machen. Das wiederum kann gravierende Auswirkungen auf die Betriebsfähigkeit der Praxis oder Klinik haben, da ohne MPE bestimmte Anwendungen nicht rechtssicher durchführbar sind. Insofern sollte das Risiko nicht unterschätzt werden.
Datenweitergabe in der Praxis: Was Praxen und Kliniken beachten müssen
Die Weitergabe von Patientendaten an den MPE muss in jedem Fall auf einer rechtlichen Grundlage beruhen. Diese ergibt sich im Regelfall aus Art. 9 Abs. 2 h DSGVO in Verbindung mit den strahlenschutzrechtlichen Vorgaben. Dennoch gilt: Es dürfen nur so viele Daten übermittelt werden, wie zur Aufgabenerfüllung erforderlich sind. Auch die Art der Übermittlung spielt eine Rolle. Unverschlüsselte E‑Mails sind ebenso zu vermeiden wie ungesicherte Datenträger. Empfehlenswert sind gesicherte Zugriffswege, etwa per VPN oder über eine abgesicherte Cloud. Ebenso wichtig: Eine Verpflichtung des MPE zur Wahrung des Berufsgeheimnisses nach § 203 StGB sollte immer erfolgen – unabhängig davon, ob ein AVV vorliegt oder nicht.
Fazit: Strahlenschutz und Datenschutz in Einklang bringen
Die Einbindung eines externen Medizinphysik-Experten ist aus medizinischer und gesetzlicher Sicht oft unverzichtbar. Datenschutzrechtlich stellt sie jedoch eine Herausforderung dar, weil die Abgrenzung zwischen Auftragsverarbeitung und eigenverantwortlicher Tätigkeit nicht immer eindeutig ist. Wer auf Nummer sicher gehen will, sollte im Zweifel einen AV-Vertrag abschließen, klare Regeln zur Datenweitergabe definieren und die datenschutzrechtlichen Pflichten sauber dokumentieren. So lassen sich Strahlenschutz und Datenschutz in Einklang bringen – zur Sicherheit der Patienten und zur rechtlichen Absicherung der Einrichtung.