Datenschutzbeauftragter in der Arztpraxis – ist das Pflicht?

Die Folgen der DSGVO für Arztpraxen

Seit dem 25. Mai 2018 gilt in Europa die Datenschutz-Grundverordnung der EU (DSGVO). Die Verordnung reguliert die Verarbeitung personenbezogener Daten für den gesamten Geltungsbereich der Europäischen Union. Der Gesetzestext ist eine Bemühung, den Datenschutz mit freiem Datenverkehr in Zeiten der Digitalisierung zu vereinbaren. Als solcher bringt er viele Neuerungen mit sich, die weitreichende Auswirkungen auch auf kleine und mittelständische Unternehmen haben – auch auf Ärzte.

So ist in vielen Fällen seit Mai 2018 ein Datenschutzbeauftragter in der Arztpraxis zu benennen. Wann Sie einen Beauftragten berufen müssen, welche die Auflagen für diesen sind und was Sie sonst beachten müssen, erfahren Sie in diesem Beitrag.

Ist ein Datenschutzbeauftragter auch in Arztpraxen nötig?

Ob auch für Sie als Arzt ein Datenschutzbeauftragter in der Arztpraxis nötig wird, um die Daten der Patienten zu schützen, hängt von konkreten Umständen ab, die in Art. 37 DSGVO festgelegt sind. Demnach ist in drei Fällen zwingend ein Datenschutzbeauftragter für die Praxis zu benennen:

1. Ihre Arztpraxis ist Teil einer Behörde oder öffentlichen Stelle, mit Ausnahme von Gerichten.
2. Die Kerntätigkeit von Arztpraxis bzw. Auftragsverarbeiter besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
3. Die Kerntätigkeit besteht in der umfangreichen Verarbeitung von Daten nach Artikel 9 und 10 DSGVO.

Für Ärzte dürfte besonders der dritte Fall relevant sein, wie aus Artikel 9 DSGVO zu entnehmen ist. Hier werden besondere Kategorien personenbezogener Daten benannt, deren Verarbeitung untersagt ist. Zu diesen gehören auch genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person sowie Gesundheitsdaten.

Wenn also die Kerntätigkeit einer Praxis die umfangreiche Verarbeitung von Gesundheitsdaten ist, muss ein Datenschutzbeauftragter für die Arztpraxis berufen werden. Wann dies der Fall ist, ist aber nicht eindeutig geklärt.

Daher gilt: Wenn Sie Zweifel haben, ob für Sie ein Datenschutzbeauftragter in der Praxis notwendig ist, sollten Sie einen Fachanwalt für Datenschutz beauftragen, der die Notwendigkeit für Sie prüfen und Sie vor einem Verstoß bewahren kann.

Ab wann wird in der Praxis ein Datenschutzbeauftragter Pflicht?

Die gängige Meinung besagt, dass ein Datenschutzbeauftragter in der Arztpraxis laut DSGVO dann unabdingbar wird, wenn in einer Praxis eine Mindestanzahl an Personen ständig mit der Erhebung, Verarbeitung und Nutzung von Daten betraut sind, da in der Regel nicht von einer „umfangreichen Verarbeitung“, sondern nur von einer automatisierten Verarbeitung ausgegangen werden kann. Diese betrifft dann Ärzte, Assistenen und alle, deren Kerntätigkeit diese Bearbeitung beinhaltet.

Laut dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) ist für die Ernennung eines Datenschutzbeauftragten dann verpflichtend, wenn „mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.“

Datenschutzbeauftragter für die Arztpraxis – welche Qualifikation ist nötig?

Da ein Datenschutzbeauftragter (DSB) in der Arztpraxis an zusätzliche Kosten gebunden sein kann, ist für Sie auch wichtig, in welcher Form Sie diese Kosten möglichst gering halten können. Ist es zum Beispiel möglich, dass ein bestehender Mitarbeiter zum DSB weitergebildet wird, damit nicht extra ein externer Datenschutzbeauftragter für die Arztpraxis angeheuert werden muss?

Beide Lösungen haben Vor- und Nachteile. Wenn ein Datenschutzbeauftragter für die Arztpraxis durch eine Fortbildung berufen werden soll, bedeutet dies, dass der Mitarbeiter die internen Strukturen bereits kennt, und so womöglich die kürzere Einarbeitungszeit die Weiterbildungszeit kompensiert. Da es sich hier meist um einen medizinischen Mitarbeiter handelt, besteht in der Regel auch nicht die Gefahr der „Offenbarung fremder Geheimnisse“.

Im Gegensatz dazu spricht für die Anwerbung eines geschulten DSB, dass der Erwerb der Fachkunde nicht zweit- und geldaufwändig nachgeholt werden muss, und dass die internen Abläufe womöglich objektiver und weniger befangen beurteilt werden.

Für beide Optionen spricht viel, wie ein Datenschutzbeauftragter für Arztpraxen eingestellt werden sollte, muss für den Einzelfall abgewogen werden.

(37 Bewertungen, Durchschnitt: 3,70 von 5)

Loading...

Über den Autor

Louisa N.

Louisa hat Informatik an der Hochschule für Technik und Wirtschaft in Berlin studiert und mehrere Jahre im Bereich IT-Sicherheit gearbeitet. Seit 2018 ist sie Redakteurin bei datenschutz.org und unterstützt unser Team mit ihrer Expertise. Ihre Texte befassen sich u. a. mit Themen wie Datenlöschung und Datenrettung.