Muss eine Arztpraxis nach der DSGVO einen Datenschutzbeauftragten benennen?

Im Hinblick auf die europäische Datenschutz-Grundverordnung (DSGVO) stellt sich insbesondere auch für Arztpraxen die Frage, ob diese einen Datenschutzbeauftragten benennen müssen. Die DSGVO bringt in diesem Punkt nach derzeitigen Erkenntnissen eine wesentliche Neuerung.

Pflicht zur Benennung eines Datenschutzbeauftragten gemäß DSGVO

Ob ein Datenschutzbeauftragter zu benennen ist, bestimmt sich zunächst nach Art. 37 DSGVO. Die DSGVO gilt ab dem 25.05.2018 unmittelbar in allen EU-Mitgliedsstaaten, also auch in Deutschland. Schaut man sich Absatz 1 an, ergibt sich Folgendes Bild (wobei ich einmal die besonders relevanten Stellen hervorgehoben habe):

(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,

b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreic he regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Pflicht zur Benennung eines Datenschutzbeauftragten gemäß BDSG-neu

Hinzu kommt außerdem die Vorschrift des § 38 BDSG-neu, welche Art. 37 DSGVO insoweit ergänzt. § 38 Abs. 1 BDSG-neu bestimmt Folgendes:

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Zwischenfazit

Damit ist schon einmal klar, dass eine Arztpraxis zwingend einen Datenschutzbeauftragten benennen muss, soweit regelmäßig zehn Personen oder mehr ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das ist faktisch dann der Fall, wenn zehn Personen oder mehr in der Arztpraxis mit Patientendaten arbeiten.

Etwas schwerer ist auf den ersten Blick die Regelung in Art. 37 Abs. 1 c) DSGVO zu verstehen:

…benennen auf jeden Fall einen Datenschutzbeauftragten, wenn…

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Zu besonderen Kategorien von Daten gehören gemäß Artikel 9 Abs. 1 DSGVO auch Gesundheitsdaten. Solche werden regelmäßig in Arztpraxen verarbeitet. Die Frage ist aber: Wann ist deren Verarbeitung als umfangreich im Sinne von Art. 37 Abs. 1 c) DSGVO anzusehen? Hierüber geben die Erwägungsgründe der DSGVO Aufschluss (Erwägungsgrund Nr. 91):

Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.

Das bedeutet im Umkehrschluss: Bei einer Gemeinschaftspraxis mit mehreren Ärzten wird man gemäß den Erwägungsgründen der DSGVO davon ausgehen müssen, dass

  1. die Verarbeitung in solchen Praxen als umfangreich anzusehen ist
  2. und somit zwingend ein Datenschutzbeauftragter benannt werden muss.

Zwar wird in der Literatur auch anderes vertreten (vgl. Dochow, Notwendigkeit der Datenschutz-Folgenabschätzung und Benennung eines Datenschutzbeauftragten in der Arztpraxis?, PinG 2018, 51). Allerdings erscheint Erwägungsgrund Nr. 91 der DSGVO insoweit eindeutig. Möchte man den rechtssicheren Weg gehen, ist es daher für eine Gemeinschaftspraxis meines Erachtens nicht zu empfehlen, auf die Benennung eines Datenschutzbeauftragten zu verzichten.

Fazit

Vereinfacht dargestellt, muss ein Datenschutzbeauftragter in einer Arztpraxis in folgenden Fällen benannt werden:

  1. Es handelt sich um eine Einzelpraxis oder Gemeinschaftspraxis, in der 10 Beschäftigte oder mehr Umgang mit Patientendaten haben.
  2. Es handelt sich um eine Gemeinschaftspraxis mit mehreren Ärzten (auch bei weniger als 10 Beschäftigten).

Im Zweifel empfiehlt es sich, Kontakt mit der zuständigen Datenschutzaufsichtsbehörde aufzunehmen.

Weiterführende Informationen der Bundesärztekammer

Unter

http://www.bundesaerztekammer.de/recht/aktuelle-rechtliche-themen/datenschutzrecht/

finden sich weitergehende Informationen zu Fragen des Datenschutzes in der Arztpraxis.