Datenschutz in Arztpraxen: Ist ein Datenschutzbeauftragter Pflicht?
Seit dem 25. Mai 2018 gilt europaweit die Datenschutz-Grundverordnung, kurz DSGVO. Sie betrifft unter anderem auch Arztpraxen und andere Einrichtungen im Gesundheitswesen. Oftmals muss seither ein Datenschutzbeauftragter (DSB) bestimmt werden. Um mehr Klarheit in diese Frage zu bringen, haben wir die aktuelle Gesetzeslage zum Datenschutz sowie die Erfahrungen mit den Landesbehörden für Datenschutz bei unseren Kunden mal als Erfahrungsbericht hier zusammen geschrieben.
Datenschutzbeauftragter in Arztpraxen
Ob dies auch für Ihre Praxis gilt, entscheidet sich danach, wie der einzelne Fall gelagert ist. Dies ist unter anderem in Artikel 37 der DSGVO beschrieben. Notwendig ist demzufolge ein DSB für Praxen in drei Fällen:
- In der Arztpraxis sind in der Regel mindestens zehn Mitarbeiter ständig mit der automatischen Verarbeitung personenbezogener Daten beschäftigt.
- Es werden Datenverarbeitungen vorgenommen, die einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO unterliegen.
- Die Kerntätigkeit der Arztpraxis beinhaltet die umfangreiche Verarbeitung von besonders sensiblen personenbezogenen Daten .
Aus Artikel 9 DSGVO ergibt sich, dass besonders Punkt 3 für Arztpraxen und Einrichtungen im Gesundheitswesen wichtig ist. In diesem Artikel sind Kategorien von personenbezogenen Daten gelistet, deren Verarbeitung ohne entsprechender Rechtsgrundlage oder einer ausdrücklichen Einwilligung der Betroffenen nicht zulässig sind. Darunter sind neben genetischen und biometrischen Daten auch Gesundheitsdaten zu finden. Das bedeutet, dass nach Art. 37 Abs. 1 DSGVO Arztpraxen einen Datenschutzbeauftragten benennen müssen, sofern diese umfangreich und systematisch insbesondere sensible personenbezogene Daten verarbeiten.
Gesundheitsdaten sind allgemein schützenswert
Gesundheitsdaten sind als schützenswert zu betrachten. Daher ist zu überlegen, ob nicht unabhängig von der Mitarbeiteranzahl von 10 Personen ein Datenschutzbeauftragter zu benennen ist. Denn das Bundesdatenschutzgesetz, kurz BDSG, muss ohnehin eingehalten werden. Zudem müssen ohnehin Arztpraxen, welche automatisiert und umfangreich sensible personenbezogene Daten verarbeiten einen Datenschutzbeauftragten benennen. Das Thema Datenschutz ist daher auch ohne Erfüllung der Benennungskriterien ein ernst zu nehmendes und wichtiges Thema, welches oft einfacher durch Unterstützung eines Datenschutzspezialisten zu bewältigen ist.
Ab wann wird in der Praxis ein Datenschutzbeauftragter Pflicht?
Der gängigen Meinung zufolge ist ein interner oder externer Datenschutzbeauftragter (DSB) in der Arztpraxis dann vorgeschrieben, wenn eine bestimmte Anzahl an Personen kontinuierlich sensible Daten verarbeiten. Denn üblicherweise kann nicht von einer „umfangreichen Verarbeitung” gesprochen werden. Normalerweise liegt lediglich eine automatisierte Verarbeitung vor. Als Kerntätigkeit sind Ärzte, Assistenten und andere mit dieser Bearbeitung betraut.
Datenschutzbeauftragter für Praxen ab 10 Mitarbeitern
Wann also ein interner oder externer Datenschutzbeauftragter in der Arztpraxis oder einem MVZ notwendig ist, lässt sich unterschiedlich beantworten. Gängig ist die Auffassung, der zufolge mindestens zehn Personen regelmäßig personenbezogene Daten erheben, verarbeiten und nutzen. Wenn Sie sich ganz sicher sein möchten, ob die eigene Arztpraxis einen Beauftragten für Datenschutz benötigt oder nicht, kann sich gerne an unsere Datenschutzexperten wenden.