Muss eine Arztpraxis zwingend einen Datenschutzbeauftragten haben?
Stand: 10.08.2018
Sehr häufig stellt sich in der Praxis die Frage, ob eine Arztpraxis einen Datenschutzbeauftragten benennen muss.
Die Aufsichtsbehörden haben nun in einer Entschließung klargestellt, dass nicht immer ein Datenschutzbeauftragter in Arztpraxen zu benennen ist.
Die DSGVO gilt ab dem 25.05.2018 unmittelbar in allen Mitgliedsstaaten der Europäischen Union. Da sie eine ganze Reihe von Öffnungsklauseln enthält, mit denen Mitgliedsstaaten bestimmte Regelungen konkretisieren können, hat die Bundesrepublik Deutschland mit dem entsprechenden Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) das deutsche Datenschutzrecht an die neue Rechtslage angepasst und in dem Zusammenhang auch ein neues Bundesdatenschutzgesetz (BDSG-neu) geschaffen, das zeitgleich mit der DSGVO in Kraft tritt.
Auf Grund des Vorrangs des EU-Rechts vor nationalem Recht gilt jedoch vorrangig erst einmal immer die DSGVO.
Die Standardantwort eines Juristen: „Es kommt darauf an“ passt auch hier wieder einmal ganz wunderbar. Denn es kommt tatsächlich auf die konkreten Umstände an. Die einschlägige Regelung zur Benennung eines Datenschutzbeauftragten ist in Art. 37 EU-DSGVO zu finden. Nach Art. 37 Abs. 1 DSGVO ist auf jeden Fall ein Datenschutzbeauftragter in einer Arztpraxis in drei Konstellationen zu benennen:
- Die Arztpraxis ist Teil einer Behörde oder öffentlichen Stelle .
- Die Kerntätigkeit der Arztpraxis besteht in der Durchführung von Datenverarbeitungen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von Patienten erforderlich macht.
- Die Kerntätigkeit der Arztpraxis besteht in der umfangreichen Verarbeitung von besonderen Kategorien von Daten i.S.d. Art. 9 DSGVO (insbesondere Gesundheitsdaten).
Auch wenn eine Arztpraxis theoretisch auch als öffentliche Stelle betrieben werden kann, ist der Regelfall, dass die Arztpraxis eine privatrechtliche Einrichtung ist und damit keine öffentliche Stelle darstellt. Im Ergebnis ist somit Ziffer 1 der o.g. Auflistung hier nicht einschlägig.
Wie sieht es mit Ziffer 2 aus? Hier wäre ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit der Arztpraxis die Durchführung von Datenverarbeitungen betrifft. Auch wenn in einer Arztpraxis regelmäßig eine Reihe von Daten anfallen, ist es jedoch keine Kerntätigkeit einer Arztpraxis, Daten zu verarbeiten. Das wäre nach nur dann zu bejahen, wenn z.B. die Arztpraxis eine klinische Studie durchführt und insoweit umfangreich Daten verarbeitet. Im Ergebnis führt die obige Ziffer 2 also auch noch nicht zur Pflicht einer Benennung eines Datenschutzbeauftragten in der Arztpraxis.
Nach obiger Ziffer 3 ist von der Arztpraxis ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit der Praxis in der umfangreichen Verarbeitung von Gesundheitsdaten besteht.
Die hier entscheidende Frage ist also erstmal, ob eine „umfangreiche“ Verarbeitung von Gesundheitsdaten in einer Arztpraxis erfolgt? Der Wortlaut der DSGVO ist hier nicht ganz eindeutig. Die Bestimmung erfolgt durch Auslegung. Bei der Auslegung der DSGVO bieten sich zunächst immer die Erwägungsgründe der DSGVOan, welche auf Hinweise zu untersuchen sind.
Die Erwägungsgründe befinden sich vor dem eigentlichen Text der DSGVO. Im Hinblick auf die Benennung von Datenschutzbeauftragten ist vor allem Erwägungsgrund 97 einschlägig. Dieser enthält allerdings keine Hinweise darauf, wann eine „umfangreiche“ Verarbeitung vorliegen soll.
Erst beim Thema der Datenschutz-Folgenabschätzung (Art. 35 DSGVO) findet sich eine Legaldefinitionzur Fragestellung nach der „umfangreichen Verarbeitung“.
Nach Art. 35 Abs. 3 lit. b) DSGVO ist eine Datenschutz-Folgenabschätzung insbesondere erforderlich, wenn eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 erfolgt.
Gemäß der Datenschutz-Folgenabschätzung (DSGVO) gibt es im Erwägungsgrund 91eine Beschreibung, wann eine umfangreiche Verarbeitung vorliegen sollund ein Hinweis darauf, wann eine umfangreiche Verarbeitung nicht vorliegen soll:
Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.
Wenn die Arztpraxis aus einem Einzelarzt (und etwas Personal) besteht, dann liegt in der Regel keine umfangreiche Verarbeitung von Gesundheitsdaten vor. Das führt im Ergebnis dazu, dass keine Datenschutz-Folgenabschätzung durchgeführt werden muss. Und es führt auch dazu, dass ein Einzelarzt keinen Datenschutzbeauftragten benennen muss.
Aber:
Bei einer Arztpraxis mit mehreren Berufsträgern muss ein Datenschutzbeauftragter zwingend benannt werden.Das gilt folglich für Gemeinschaftspraxen mit mehr als einem Arzt.
Fragt man zwei Juristen bekommt man drei Antworten: Denn so sehr mehrere Rechtsausführungen begründet und vertretbar sein mögen, gibt es ebenfalls gute und vertretbare Gründe für die Gegenauffassung. Mit Blick auf die Bußgeldrisiken sollte der Berufsträger den sicheren Weg der Benennung eines Datenschutzbeauftragten nehmen.
Streiten wird man darüber können, wie es in Praxisgemeinschaften aussieht, in denen mehrere einzelne Ärzte unter gemeinsamer Nutzung der Infrastruktur, aber mit getrennten Patientenakten und -abrechnungen, arbeiten. Im Zweifel sollte hier – mit Blick auf die Bußgeldrisiken – besser ein Datenschutzbeauftragter benannt werden, da es bereits viele Fallstrike gibt, die im Vorfeld aus dem Weg geräumt werden müssen (ADV, VSE, TOM, exakte physikalische Trennung, ASP, u.v.m).
Die Notwendigkeit den Datenschutz und die Einhaltung der datenschutzrechtlichen Pflichten im Rahmen eines Audits, durch sachverständige und erfahrene Dritte, prüfen zu lassen ist gänzlich unabhängig zur Fragestellung zur Benennung eines Datenschutzbeauftragten und muss davon losgelöst erledigt werden.
Die Rechtslage nach der DSGVO deckt sich mit den Regelungen des BDSG-neu. Die einschlägige Regelung für Datenschutzbeauftragte in nichtöffentlichen Stellen (wie z.B. Arztpraxen) ist der § 38 BDSG-neu.
Nach § 38 Abs. 1 BDSG-neu ist von der Arztpraxis ein Datenschutzbeauftragter zu benennen, wenn
- in der Arztpraxis in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
- in der Arztpraxis Datenverarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung im Sinne des Artikel 35 DSGVO unterliegen.
Das bedeutet, dass in Arztpraxen, in denen 10 oder mehr Mitarbeiter (Alle Personen inkl. Berufsträger, Praktikanten, Auszubildende, Aushilfen, etc.) beschäftigt sind, in jedem Fall ein Datenschutzbeauftragter zu benennen ist.
Was gilt nach dem BDSG-neu für kleinere Arztpraxen?
Für kleinere Praxen gilt das Gleiche. Das BDSG-neu sieht bei Arztpraxen mit weniger 10 Personen eine Benennung eines Datenschutzbeauftragten vor, wenn die Arztpraxis Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung unterliegen – Also bei umfangreichen Verarbeitungen. Womit sich der Kreis wieder schließt. Verweis auf DSGVO Erwägungsgrund 91: Dort war grundsätzlich nur der einzelne Arzt ausgenommen.
Leistungen
Übersicht
Datenschutzberatung
Datensicherheitsberatung
Externer Datenschutzbeauftragter
Schulungen
Ergebnisse:
1.
Arztpraxen mit 10 oder mehr Personen müssen einen Datenschutzbeauftragten benennen.
2.
Gemeinschaftspraxen müssen ebenfalls einen Datenschutzbeauftragten benennen.
3.
Praxisgemeinschaften mit weniger als 10 Beschäftigten sollten auf Grund der Bußgeldrisiken ebenfalls einen Datenschutzbeauftragten benennen.
4.
Einzelärzte mit weniger als 10 Beschäftigten können davon absehen, einen Datenschutzbeauftragten zu benennen. Zur Absicherung sollte dies bei Zweifeln mit der zuständigen Aufsichtsbehörde für den Datenschutz besprochen werden.
7.
Das Personal muss hinsichtlich der relevanten Punkte und Maßnahmen geschult werden.
5.
Ein Datenschutz- und IT-Sicherheits-Audit muss auf jeden Fall losgelöst durchgeführt werden.
6.
Entdeckte Sicherheitsmängel, die durch das Audit aufgedeckt werden müssen umgehend behoben werden.