Menü

Sebastian Hofauer, LL.M.

Rechtsanwalt aus Leinefelde-Worbis

Muss eine Arztpraxis nach der DSGVO einen Datenschutzbeauftragten benennen?

Im Hinblick auf die europäische Datenschutz-Grundverordnung (DSGVO) stellt sich insbesondere auch für Arztpraxen die Frage, ob diese einen Datenschutzbeauftragten benennen müssen.

Pflicht zur Benennung eines Datenschutzbeauftragten gemäß DSGVO

Ob ein Datenschutzbeauftragter zu benennen ist, bestimmt sich zunächst nach Art. 37 DSGVO. Die DSGVO gilt ab dem 25.05.2018 unmittelbar in allen EU-Mitgliedsstaaten, also auch in Deutschland. Schaut man sich Absatz 1 an, ergibt sich Folgendes Bild (wobei ich einmal die besonders relevanten Stellen hervorgehoben habe):

(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,

b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreic he regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Pflicht zur Benennung eines Datenschutzbeauftragten gemäß BDSG-neu

Hinzu kommt außerdem die Vorschrift des § 38 BDSG-neu, welche Art. 37 DSGVO insoweit ergänzt. § 38 Abs. 1 BDSG-neu bestimmt Folgendes:

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Zwischenfazit

Damit ist schon einmal klar, dass eine Arztpraxis zwingend einen Datenschutzbeauftragten benennen muss, soweit regelmäßig zehn Personen oder mehr ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das ist faktisch dann der Fall, wenn zehn Personen oder mehr in der Arztpraxis mit Patientendaten arbeiten.

Etwas schwerer ist auf den ersten Blick die Regelung in Art. 37 Abs. 1 c) DSGVO zu verstehen:

…benennen auf jeden Fall einen Datenschutzbeauftragten, wenn…

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Zu besonderen Kategorien von Daten gehören gemäß Artikel 9 Abs. 1 DSGVO auch Gesundheitsdaten. Solche werden regelmäßig in Arztpraxen verarbeitet. Die Frage ist aber: Wann ist deren Verarbeitung als umfangreich im Sinne von Art. 37 Abs. 1 c) DSGVO anzusehen? Hierüber geben die Erwägungsgründe der DSGVO Aufschluss (Erwägungsgrund Nr. 91):

Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.

Bei einer strengen Auslegung der Erwägungsgründe müsste man daher eigentlich zu dem Ergebnis kommen, dass in einer Gemeinschaftspraxis mit mehreren Ärzten

  1. die Verarbeitung in solchen Praxen als umfangreich anzusehen ist
  2. und somit zwingend ein Datenschutzbeauftragter benannt werden muss.

Update 03.05.2018:

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat in einer Entschließung vom 26. April 2018 folgendes ausgeführt:

„1. Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB).

2. Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DS-GVO auszugehen – in diesen Fällen ist unter Berücksichtigung von Punkt 3 dann kein DSB zu benennen, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.

3. Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgenabschätzung vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen. Dies kann neben einer umfangreichen Verarbeitung (z.B. große Praxisgemeinschaften), die ohnehin nach Art. 37 Abs. 1 lit. c DS-GVO zu einer Benennungspflicht führt, beispielsweise beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen, der Fall sein. Der Datenschutzbeauftragte ist damit auch dann zu benennen, wenn weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben.“

Fazit

Vereinfacht dargestellt, muss ein Datenschutzbeauftragter nach Auffassung der DSK in einer Arztpraxis in folgenden Fällen benannt werden:

  1. Es handelt sich um eine Einzelpraxis, Praxisgemeinschaft oder Gemeinschaftspraxis, in der 10 Beschäftigte oder mehr Umgang mit Patientendaten haben (Praxisinhaber mitgerechnet).
  2. Es handelt sich um eine Praxisgemeinschaft oder Gemeinschaftspraxis, in der eine umfangreiche Verarbeitung von Patientendaten stattfindet, beispielsweise beim Einsatz von neuen Technologien (Das ist nach Auffassung der DSK allerdings regelmäßig nicht der Fall).

Im Zweifel empfiehlt es sich, Kontakt mit der zuständigen Datenschutzaufsichtsbehörde aufzunehmen.

Weiterführende Informationen der Bundesärztekammer

Unter

http://www.bundesaerztekammer.de/recht/aktuelle-rechtliche-themen/datenschutzrecht/

finden sich weitergehende Informationen zu Fragen des Datenschutzes in der Arztpraxis.