DSGVO – Wann braucht die Arztpraxis einen Datenschutzbeauftragten

Die Datenschutzgrundverordnung rückt immer  näher. Viele Unternehmen fragen sich daher, ob Sie zukünftig einen Datenschutzbeauftragten benötigen. Diese Frage wird mir auch häufiger von Ärzten gestellt.

Als Berufsgeheimnisträger unterliegen Ärzte genau wie Rechtsanwälte und Steuerberater so oder so einer besonderen Geheimhaltungspflicht. Unabhängig davon spielt selbst verständlich auch das Vertrauen zwischen Arzt und Patient eine besondere Rolle. Die Informationen, die ein Arzt im Rahmen der Behandlung erhält, sind höchst intim. Sicherlich niemand will, dass über die eigene Krankheit freizügig berichtet wird. Diesem Umstand trägt auch die Datenschutz Grundordnung entsprechende Rechnung. Nach Art. 9 DSGVO sind Gesundheitsdaten als „besondere Kategorie personenbezogener Daten“ eingestuft. Diese Daten sollen besonderen Schutz genießen.

Das bedeutet aber nicht automatisch, dass jeder Arztpraxis einen Datenschutzbeauftragten benötigt. Die Frage, wann ein Datenschutzbeauftragter benötigt wird, richtet sich nach  Art. 37 DSGVO. Dort ist geregelt, dass ein Datenschutzbeauftragter zu bestellen ist, wenn

die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Verantwortlicher ist dabei die Arztpraxis. Das Gesundheitsdaten besondere Kategorien von Daten sind wurde oben bereits geklärt. Für die Frage der Bestellung kommt es damit auf den Umfang der Verarbeitung an.

Die DSGVO selbst macht keine Aussage, wann eine Verarbeitung umfangreich ist. Allerdings taucht der Begriff „umfangreich“ noch einmal in der DSGVO auf, und zwar in Art. 35 DSGVO. Zwar ist auch dort nicht geregelt, was umfangreich bedeutet. Es hilft aber Blick in die Erwägungsgründe des Gesetzgebers. In Erwägungsgrund 91 heißt es hierzu u.a.:

„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten […] betrifft und durch einen einzelnen Arzt […] erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“

Größe der Praxis ist entscheidend

Maßgeblich dürfte hier die Formulierung „und durch einen einzelnen Arzt“ erfolgt“ sein. Der Erwägungsgrund hilft also bei der Auslegung der Frage, ab wann eine Verarbeitung umfangreich ist. Dass es sich hier um einen Erwägungsgrund zur Datenschutzfolgenabschätzung handelt, dürfte unschädlich sein; die Grundsätze sind übertragbar. Nach Erwägungsgrund 91 ist eine Verarbeitung nicht umfangreich, solange nur ein einzelner Arzt mit der Verarbeitung beschäftigt ist. Das bedeutet umgekehrt, dass bei einer Verarbeitung durch mehr als einem Arzt eine umfangreiche Verarbeitung jedenfalls vorliegen könnte. Die Erwägungsgründe geben hier gerade nur eine Untergrenze. Eindeutig ist das jedoch nicht?

Eine Obergrenze zieht das Gesetz in § 38 BDSG-neu). Sind regelmäßig mindestens 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt, muss ein Datenschutzbeauftragter bestellt werden. Zu den 10 Personen zählen auch die Angestellten der Praxis, etwa die Sprechstundenhilfe, die Patientendaten einträgt.

Wie sollte eine Arztpraxis praktisch reagieren?

Eine Einzelpraxis wird grundsätzlich keinen Datenschutzbeauftragten benötigen. Sobald mehr als ein Arzt in der Praxis tätig ist kann das anders aussehen. Bei einer Praxis mit mindestens 2 Ärzten und insgesamt höchsten 9 Personen dies regelmäßig personenbezogene Daten verarbeiten, ist die Rechtslage aktuell noch nicht eindeutig. Ärzte die auf Nummer sicher wollen, sollten sich mit Ihrer Aufsichtsbehörde in Verbindung setzen, oder direkt einen Datenschutzbeauftragten bestellen.

Ab 10 Personen die regelmäßig personenbezogene Daten verarbeiten ist ein Datenschutzbeauftragter vorgeschrieben.

Bei Fragen steht Ihnen das Team der Kanzlei STÄMMLER gerne zur Verfügung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert