Arztpraxen müssen unter bestimmten Umständen einen Datenschutzbeauftragten benennen. Wir erklären Ihnen, wann Sie dazu verpflichtet sind.
Fall 1: Die umfangreiche Verarbeitung besonderer Kategorien von Daten gehört zur Kerntätigkeit des Verantwortlichen
Nach Art. 37 Abs. 1 c DSGVO muss ein Datenschutzbeauftragter benannt werden, wenn die umfangreiche Verarbeitung besonderer Kategorien von Daten zur Kerntätigkeit des Verantwortlichen gehört. Ärzte und Ärztinnen verarbeiten bei ihrer Arbeit Gesundheitsdaten. Diese zählen nach Art. 9 DSGVO zu den besonderen Kategorien der personenbezogenen Daten und genießen besonderen Schutz. Die Erhebung der Daten zählt auch zu den Kerntätigkeiten. Sie ist erst die Voraussetzung für die Behandlung durch den Arzt. Was jedoch umfangreich ist, lässt einen gewissen Interpretationsspielraum. Nach Erwägungsgrund 91 der DSGVO ist die Verarbeitung nicht umfangreich, wenn sie nur durch einen einzelnen Arzt oder Angehörigen eines Gesundheitsberufs erfolgt.
Fall 2: Eine Datenschutzfolgenabschätzung ist erforderlich
Im Bundesdatenschutzgesetz § 38 Abs. 1 S. 2 BDSG gibt es einen zweiten Fall, über den Arztpraxen verpflichtet sind, einen Datenschutzbeauftragten zu benennen, nämlich dann, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Die Behörden haben dafür umfangreiche „Muss-Listen“ erstellt, in denen Beispiele für Verarbeitungen aufgeführt werden, für die eine Datenschutz-Folgenabschätzung durchgeführt werden muss. Sobald das für eine Arztpraxis gilt, muss ganz unabhängig von sonstigen Faktoren oder der Mitarbeiterzahl ein Datenschutzbeauftragter benannt werden.
Fall 3: Mindestens zwanzig Personen sind ständig mit der Verarbeitung personenbezogener Daten beschäftigt
Nach § 38 Abs. 1 Satz 1 BDSG müssen Unternehmen, die in der Regel mindestens zwanzig Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen, einen Datenschutzbeauftragten benennen. Zu den Mitarbeiter im Sinne dieser Vorschrift zählen auch Praktikanten, Leiharbeitnehmer, Auszubildende, freie Mitarbeiter und Teilzeitmitarbeiter. „In der Regel“ beschäftigt das Unternehmen ein gewisse Anzahl Mitarbeiter mit der Datenverarbeitung, wenn über eine gewisse Zeitdauer diese Anzahl erreicht wird. In einer Arztpraxis gilt dies zumindest für das medizinische Personal, das in der Regel Zugriff auf Patientenakten, Terminkalender und E-Mails hat. Für den Begriff „ständig“ ist eine sehr niedrige Schwelle anzusetzen. Letztendlich soll es nicht nur gelegentlich sein. Nicht mit gezählt werden Mitarbeiter, die keinen Kontakt zu personenbezogenen Daten haben, etwa Sicherheitsdienst oder Reinigung.
4. Fall: 10 Personen einschließlich Praxisinhaber verarbeiten Patientendaten
Nach Angaben des Landesbeauftragtes für den Datenschutz Niedersachsen gilt eine weitere Regel: Sobald in einer Praxis oder Berufsausübungsgemeinschaft mindestens 10 Personen Patientendaten verarbeiten, muss ein Datenschutzbeauftragter benannt werden. Diese Ansicht wird auch von der Ärztevertretung (z.B. KVN) geteilt. Die Auffangregelung nach § 38 BDSG, wonach erst ab 20 Personen ein Datenschutzbeauftragter zu benennen ist, sei auf Praxen nicht anwendbar, da bereits nach Art. 37 DSGVO ein Datenschutzbeauftragter zu benennen sei.
Unser Tipp
Prüfen Sie in folgenden Schritten:
- Sind in Ihrer Praxis mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt?
- Müssen Sie eine Datenschutzfolgenabschätzung durchführen?
- Verarbeiten mindestens 10 Personen einschließlich des Praxisinhabers Patientendaten?
- Findet in Ihrer Praxis eine umfangreiche Verarbeitung statt?
Wenn mindestens ein Punkt von diesen vieren für Sie gilt, müssen Sie für Ihre Praxis einen Datenschutzbeauftragten bennen.
Allerdings: Auch wenn kein Datenschutzbeauftragter vorgeschrieben sein sollte, gelten die zahlreichen Vorschriften aus der DSGVO und dem BDSG. Es ist deshalb empfehlenswert, dass sich auch kleinere Praxen professionelle Unterstützung durch einen externen Datenschutzexperten sichern.