Wann braucht eine Arzt­pra­xis einen Datenschutzbeauftragten?

Daten­schutz in Arzt­pra­xen: Ist ein Daten­schutz­be­auf­trag­ter Pflicht?

Seit dem 25. Mai 2018 gilt euro­pa­weit die Daten­schutz-Grund­ver­ord­nung, kurz DSGVO. Sie betrifft unter ande­rem auch Arzt­pra­xen und andere Ein­rich­tun­gen im Gesund­heits­we­sen. Oft­mals muss seit­her ein Daten­schutz­be­auf­trag­ter (DSB) bestimmt werden. Um mehr Klar­heit in diese Frage zu brin­gen, haben wir die aktu­el­le Geset­zes­la­ge zum Daten­schutz sowie die Erfah­run­gen mit den Lan­des­be­hör­den für Daten­schutz bei unse­ren Kunden mal als Erfah­rungs­be­richt hier zusam­men geschrieben.

Daten­schutz­be­auf­trag­ter in Arztpraxen

Ob dies auch für Ihre Praxis gilt, ent­schei­det sich danach, wie der ein­zel­ne Fall gela­gert ist. Dies ist unter ande­rem in Arti­kel 37 der DSGVO beschrie­ben. Not­wen­dig ist dem­zu­fol­ge ein DSB für Praxen in drei Fällen:
  1. In der Arzt­pra­xis sind in der Regel min­des­tens zehn Mit­ar­bei­ter stän­dig mit der auto­ma­ti­schen Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäftigt.
  2. Es werden Daten­ver­ar­bei­tun­gen vor­ge­nom­men, die einer Daten­schutz-Fol­ge­ab­schät­zung nach Art. 35 DSGVO unterliegen.
  3. Die Kern­tä­tig­keit der Arzt­pra­xis beinhal­tet die umfang­rei­che Ver­ar­bei­tung von beson­ders sen­si­blen per­so­nen­be­zo­ge­nen Daten .

Aus Arti­kel 9 DSGVO ergibt sich, dass beson­ders Punkt 3 für Arzt­pra­xen und Ein­rich­tun­gen im Gesund­heits­we­sen wich­tig ist. In diesem Arti­kel sind Kate­go­rien von per­so­nen­be­zo­ge­nen Daten gelis­tet, deren Ver­ar­bei­tung ohne ent­spre­chen­der Rechts­grund­la­ge oder einer aus­drück­li­chen Ein­wil­li­gung der Betrof­fe­nen nicht zuläs­sig sind. Dar­un­ter sind neben gene­ti­schen und bio­me­tri­schen Daten auch Gesund­heits­da­ten zu finden.
Das bedeu­tet, dass nach Art. 37 Abs. 1 DSGVO Arzt­pra­xen einen Daten­schutz­be­auf­trag­ten benen­nen müssen, sofern diese umfang­reich und sys­te­ma­tisch ins­be­son­de­re sen­si­ble per­so­nen­be­zo­ge­ne Daten verarbeiten.

Gesund­heits­da­ten sind all­ge­mein schützenswert

Gesund­heits­da­ten sind als schüt­zens­wert zu betrach­ten. Daher ist zu über­le­gen, ob nicht unab­hän­gig von der Mit­ar­bei­ter­an­zahl von 10 Per­so­nen ein Daten­schutz­be­auf­trag­ter zu benen­nen ist. Denn das Bun­des­da­ten­schutz­ge­setz, kurz BDSG, muss ohne­hin ein­ge­hal­ten werden. Zudem müssen ohne­hin Arzt­pra­xen, welche auto­ma­ti­siert und umfang­reich sen­si­ble per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten einen Daten­schutz­be­auf­trag­ten benen­nen. Das Thema Daten­schutz ist daher auch ohne Erfül­lung der Benen­nungs­kri­te­ri­en ein ernst zu neh­men­des und wich­ti­ges Thema, wel­ches oft ein­fa­cher durch Unter­stüt­zung eines Daten­schutz­spe­zia­lis­ten zu bewäl­ti­gen ist.

Ab wann wird in der Praxis ein Daten­schutz­be­auf­trag­ter Pflicht?

Der gän­gi­gen Mei­nung zufol­ge ist ein inter­ner oder exter­ner Daten­schutz­be­auf­trag­ter (DSB) in der Arzt­pra­xis dann vor­ge­schrie­ben, wenn eine bestimm­te Anzahl an Per­so­nen kon­ti­nu­ier­lich sen­si­ble Daten ver­ar­bei­ten. Denn übli­cher­wei­se kann nicht von einer „umfang­rei­chen Ver­ar­bei­tung” gespro­chen werden. Nor­ma­ler­wei­se liegt ledig­lich eine auto­ma­ti­sier­te Ver­ar­bei­tung vor. Als Kern­tä­tig­keit sind Ärzte, Assis­ten­ten und andere mit dieser Bear­bei­tung betraut.

Daten­schutz­be­auf­trag­ter für Praxen ab 10 Mitarbeitern

Wann also ein inter­ner oder exter­ner Daten­schutz­be­auf­trag­ter in der Arzt­pra­xis oder einem MVZ not­wen­dig ist, lässt sich unter­schied­lich beant­wor­ten. Gängig ist die Auf­fas­sung, der zufol­ge min­des­tens zehn Per­so­nen regel­mä­ßig per­so­nen­be­zo­ge­ne Daten erhe­ben, ver­ar­bei­ten und nutzen. Wenn Sie sich ganz sicher sein möch­ten, ob die eigene Arzt­pra­xis einen Beauf­trag­ten für Daten­schutz benö­tigt oder nicht, kann sich gerne an unsere Daten­schutz­ex­per­ten wenden.

Haben Sie Fragen oder Anre­gun­gen zu unse­rem Beitrag? 

Schrei­ben Sie uns ein­fach eine Mail an Info@InnovaPrax.de oder nutzen Sie unser Kon­takt­for­mu­lar

Recommended Posts