Braucht jede Arztpraxis einen Datenschutzbeauftragten?

Fachbeitrag

Ärzte bekommen intime Einsichten in das Leben ihrer Patienten. Dies ist auch nötig um richtige Diagnosen zu stellen. Ihre Erkenntnisse sind stets vertraulich zu behandeln. Brauchen Arztpraxen einen Datenschutzbeauftragten? Und was sagt die Datenschutz-Grundverordnung (DSGVO) dazu?

Besonders schützenswert: Gesundheitsdaten

Das Verhältnis eines Patienten zu seinem Arzt ist im Idealfall eines das von Vertrauen geprägt ist. Krankheit und Leiden sind keine Themen mit denen die meisten von uns gerne freizügig umgehen. Dieser Tatsache trägt auch der Europäische Gesetzgeber Rechnung, indem er Gesundheitsdaten gem. Art. 9 DSGVO als „besondere Kategorie personenbezogener Daten“ eingestuft hat. Ein Bereich also, der besonderen Schutz genießen soll.

Ob jede Arztpraxis einen Datenschutzbeauftragten braucht, ist nicht so einfach zu beantworten. Die Verpflichtung für die Benennung eines Datenschutzbeauftragten folgt aus Art. 37 DSGVO. Interessant ist hier insb. Abs. 1 lit. c), wonach ein Datenschutzbeauftragter zu benennen ist, wenn

„die Kerntätigkeit des Verantwortlichen […] in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 […] besteht.“

Kerntätigkeit und Umfang der Verarbeitung

Das Ziel von Ärzten ist es, ihre Patienten gesund zu machen. Um dies optimal zu bewerkstelligen, erfragen und zeichnen sie die Krankengeschichte und sonstige persönliche Informationen auf. Dies ist für eine Auswertung unabdingbar, oftmals auch über einen längeren Zeitraum. Es ist eines der Haupttätigkeiten eines Arztes und somit eine Kerntätigkeit iSd. Gesetzes. Die Voraussetzung wird daher eigentlich immer erfüllt sein.

Ein anderer Begriff erfordert derweil mehr Beachtung. Die Verarbeitung muss dem Wortlaut nach „umfangreich“ sein. Es stellt sich die Frage, ab wann dies anzunehmen sein wird. Der Begriff „umfangreich“ ist in der Datenschutz-Grundverordnung selbst nicht weiter definiert, findet allerdings in Art. 35 DSGVO (Datenschutz-Folgenabschätzung) weitere Verwendung. In Erwägungsgrund 91 heißt es hierzu u.a.:

„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten […] betrifft und durch einen einzelnen Arzt […] erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“

Größe der Praxis ist entscheidend

Der Gesetzgeber gibt uns mit dieser Ausführung eine Orientierungshilfe insofern an die Hand, als dass eine Untergrenze festgelegt wird. Eine Einzelpraxis muss grundsätzlich keinen Datenschutzbeauftragten bestellen. Anders kann es aber bei Gemeinschaftspraxen aussehen. Für diese gilt die Ausnahme nicht mehr. Aber ab wann fängt eine „umfangreiche Verarbeitung“ denn nun an? Es kommt drauf an. Gesichert ist, ab wann die Schwelle auf jeden Fall überschritten wird. Gem. § 38 BDSG (neue Fassung) bei einer Beschäftigungszahl von 10 Personen in einer Praxis.

Aber was ist nun mit all den Arztpraxen die >1 und <10 Mitarbeiter zählen? Eine befriedigende Antwort kann an dieser Stelle nicht gegeben werden. Es wird sich erst herausstellen müssen, welche Zahl zu einer Verpflichtung führt. Zu empfehlen ist bis dahin schlicht, dass Praxen ab zwei Ärzten entweder einen Datenschutzbeauftragten benennen oder sich nachfragend an ihre zuständige Datenschutzbehörde wenden, um sich keinem Bußgeldrisiko auszusetzen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

3 Kommentare zu diesem Beitrag

  1. Laut Impulse benötigt auch die kleinste Arztpraxis wegen der Datenschutzfolgenabschätzung einen Datenschutzbeauftragten impulse.de/recht-steuern/rechtsratgeber/dsgvo-checkliste/7297857.html Das Unternehmen verarbeitet Daten, für die eine Datenschutz-Folgenabschätzung nötig ist. Das ist bei allen Daten der Fall, bei denen ein hohes Risiko für die Betroffenen besteht, etwa bei Daten zu ihrer ethnischen Herkunft, sexuellen Orientierung, Gesundheit oder zur politischen Einstellung. Auch eine kleine psychotherapeutische Praxis, die solche Daten in der Patientenakte speichert, braucht also einen Datenschutzbeauftragten.

  2. Ist es nicht auch denkbar, dass zb ein Arzt einen Datenschutzbeauftragten nur für die DSFA benennt. Oder, das hohe Risiko sozusagen verarbeitungsimmanent ist und grundsätzlich mit entsprechenden TOMs gemindert wird.

    • Jein. Wenn es sich um, wie oben dargestellt, eine Praxis mit nur einem Arzt handelt, ist es im Normalfall nicht zwingend, dass ein Datenschutzbeauftragter ernannt wird. Aber auch dieser muss stets sicherstellen, dass die personenbezogenen Daten, die er erhebt, sicher gespeichert und verarbeitet werden. Hierfür kann die kurzfristige Hinzuziehung eines (externen) Datenschutzbeauftragten sinnvoll sein.

      Wenn die Praxis allerdings größeren Umfangs ist, kann die Beauftragung eines Datenschutzbeauftragen nicht durch Datenschutz-Folgeabschätzungen und/oder hinreichende TOMs ersetzt werden. Dagegen spricht der Sinn und Zweck eines Datenschutzbeauftragen und der Wortlaut des Gesetzes „…benennen auf jeden Fall einen Datenschutzbeauftragten…“

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.