Lüdecke & Fritzsch Rechtsanwälte | Datenschutz in der Arztpraxis - Umgang mit Informationen zu Straftaten
Datenschutz, Arztpraxis, Gesundheitsdaten, Datenschutzbeauftragter, Physiotherapie
9880
post-template-default,single,single-post,postid-9880,single-format-standard,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-4.1.2,vc_responsive

Blog

Pflicht zur Bestellung eines Datenschutzbeauftragten in der Arztpraxis / Therapeuthenpraxis

  |   Allgemein   |   No comment

Wann ist eine Arztpraxis oder eine Therapeutenpraxis zur Benennung eines Datenschutzbeauftragten verpflichtet?

Gesundheitsdaten sind besonders sensible Daten. Die Datenschutzgesetze sehen daher für Unternehmen und Praxen, welche im Gesundheitsbereich tätig sind, unter bestimmten Voraussetzungen eine Pflicht zur Bestellung eines Datenschutzbeauftragten vor. Leider sind die gesetzlichen Regelungen nicht sonderlich klar gefasst.

Für viele Ärzte und Therapeuten ist es daher ein Rätsel, ob sie nach der ab dem 25.05.2018 geltenden Datenschutzgrundverordnung (DSGVO) oder dem neuen Bundesdatenschutzgesetz (BDSG) zur Bestellung eines Datenschutzbeauftragten verpflichtet sind.

Auch für den juristisch Fachkundigen lässt sich derzeit noch keine für alle Fälle verlässliche Antwort erteilen. Dies liegt daran, dass die neuen gesetzlichen Regelungen für einige Anwendungsfälle unbestimmte Begriffe verwenden, welche Spielraum zur Auslegung lassen.

Fälle der klaren Bestellpflicht

Wenden wir uns zunächst dem Teil zu, für den sich aus dem Gesetz recht eindeutig die sog. Bestellpflicht, also die Pflicht zur Bestellung eines Datenschutzbeauftragten, ergibt.

Diese klare Regelung findet sich in § 38 des neuen BDSG. Danach ist zur Benennung eines Datenschutzbeauftragten verpflichtet, wer in der Regel über mindestens zehn Beschäftigte verfügt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind. Eine „ständige“ Beschäftigung ist dabei bereits dann anzunehmen, wenn die beschäftigte Person mit einer gewissen Regelmäßigkeit Datenverarbeitungen wahrnimmt und nicht nur gelegentlich oder vereinzelt. In Arztpraxen oder Praxen sonstiger Angehöriger eines Heilberufes dürften regelmäßig alle Beschäftigten dieses Kriterium erfüllen.

Praxen mit zehn oder mehr Beschäftigten sind daher regelmäßig verpflichtet einen Datenschutzbeauftragten zu besitzen.

Fälle der unklaren Bestellpflicht

Schwieriger wird es mit kleineren Praxen, welche über weniger als zehn Beschäftigte verfügen.

Für diese kann sich die Bestellpflicht aus der DSGVO ergeben. Nach Art. 37 DSGVO, welcher mit „Benennung eines Datenschutzbeauftragten“ überschrieben ist, ist zur Bestellung eines Datenschutzbeauftragten verpflichtet, wessen Kerntätigkeit in der umfangreichen Verarbeitung von personenbezogenen Gesundheitsdaten liegt. Bereits diese, hier bereits vereinfacht dargestellte Regelung enthält einige Begriffe, die für den juristischen Laien erklärungsbedürftig sind. Wir wollen die Erklärungen daher an dieser Stelle liefern.

Da wäre als erstes der Begriff „Kerntätigkeit“.

Nur derjenige, zu dessen Kerntätigkeit die Verarbeitung der Gesundheitsdaten gehört, wird von der Bestellpflicht erfasst. Der Begriff ist im Gesetz leider nicht definiert, so dass es der juristischen Lehre und der Rechtsprechung überlassen ist, ihn genauer zu beschreiben.

Es besteht insoweit wohl Konsens, dass die Verarbeitung der Gesundheitsdaten zu den Haupttätigkeiten gehören muss und nicht nur als bloße Nebentätigkeit erfolgt. Kerntätigkeiten werden daher zum Teil als Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie entscheidend sind und nicht bloß routinemäßige Verwaltungsaufgaben darstellen, beschrieben.

Bei Arztpraxen oder Therapeutenpraxen liegt das Hauptaugenmerk der Tätigkeit zwar in der Diagnostik und der Heilbehandlung. Jedoch hängt diese untrennbar mit der Verarbeitung der Gesundheitsdaten zusammen, so dass diese zur Kerntätigkeit zu zählen ist. Bei Ärzten, Physiotherapeuten und einigen anderen Gesundheitsberufen wird dies noch durch eine berufliche Dokumentationspflicht unterstrichen. Diese Pflicht erhebt die Verarbeitung von Gesundheitsdaten zu einem Hauptteil der beruflichen Leistungen. Die Verarbeitung von Gesundheitsdaten gehört damit zweifelsfrei zur Kerntätigkeit.

Weiterhin ist der Begriff der „umfangreichen“ Verarbeitung klärungsbedürftig.

Auch dieser Begriff ist nicht ausdrücklich im Gesetz definiert. Man findet jedoch einen Anhaltspunkt dafür, was der Gesetzgeber zumindest noch nicht als „umfangreich“ beurteilt. Der Begriff der umfangreichen Datenverarbeitung tritt nicht nur in Art. 37 DSGVO auf sondern auch in Art. 35. Nun muss man wissen, dass der DSGVO Erwägungsgründe 99 Erwägungsgründe zu Seite gestellt sind, welche zum Teil Erläuterungen und Begründungen für Normen der DSGVO liefern.

In Erwägungsgrund 91 findet man im 4. Satz nun den Hinweis, dass die Verarbeitung personenbezogener Daten von Patienten nicht als umfangreich gelten sollte, wenn sie durch einen einzelnen Arzt oder einen einzelnen sonstigen Angehörigen eines Gesundheitsberufes erfolgt.

Im Umkehrschluss könnte man daher zu dem Ergebnis gelangen, dass ein Datenschutzbeauftragter bereits dann Pflicht ist, wenn zwei oder mehr Ärzte oder sonstige Angehörige eines Gesundheitsberufs in einer Praxis arbeiten und dabei auch mit der Verarbeitung von Gesundheitsdaten der Patienten betraut sind.

Es kann also festgehalten werden, dass wohl zumindest Einzelarzt-Praxen oder Praxen die von einem einzelnen Angehörigen eines sonstigen Gesundheitsberufs geführt werden und die insgesamt jeweils weniger als neune Beschäftigte in der Praxis sind, nicht vom Gesetz zur Bestellung eines Datenschutzbeauftragten verpflichtet werden.

Freiwillige Bestellung ratsam?

Für die Praxen, für welche die Bestellpflicht nicht gilt, bleibt jedoch die Frage zu klären, ob es ratsam ist, tatsächlich auf die Unterstützung durch einen Datenschutzbeauftragten zu verzichten.

Folgender Punkt ist dabei äußerst wichtig und wird leider häufig verkannt: Allein der Umstand, dass man nicht per Gesetz dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, bedeutet nicht, dass man den Datenschutz außer Acht lassen kann. Dies wäre ein gefährliches Missverständnis. Natürlich gelten auch für diejenigen Praxen, die keine Bestellpflicht trifft, dennoch alle Anforderungen der Datenschutzgesetze und müssen entsprechend umgesetzt und eingehalten werden. Einzig und allein die Pflicht zur Bestellung des Datenschutzbeauftragten entfällt, sonst nichts!

Wird ein Datenschutzbeauftragter tatsächlich nicht bestellt, hat sich der Praxisinhaber als Verantwortlicher um alle Belange des Datenschutzrechts selbst zu kümmern. Dies nimmt ihm niemand ab. Er hat selbst dafür Sorge zu tragen, dass die gesetzlichen Anforderungen in seiner Praxis umgesetzt werden. Er hat selbst dafür zu sorgen, dass er oder die Person, der er diesen Aufgabenbereich überträgt, über die entsprechenden fachlichen Kenntnisse verfügt. Er hat selbst das Verfahrensverzeichnis zu erstellen und zu führen, die Datenschutzorganisation zu erarbeiten, Richtlinien, Erklärungen und Handlungsanweisungen zu entwerfen, Betroffenenrechte zu erfüllen und die Kommunikation mit der Aufsichtsbehörde zu führen. Ob er sich dies alles zutraut und auch zumuten möchte, muss er selbst entscheiden.

Der Gesetzgeber hat diesbezüglich in der Neufassung des BDSG eine deutliche Empfehlung verankert. Diese findet sich in § 22 BDSG, in dessen ersten Absatz es zunächst darum geht, wann es überhaupt nur erlaubt ist, Gesundheitsdaten zu verarbeiten.

Im zweiten Absatz wird sodann bestimmt, dass diejenigen Personen, welchen es erlaubt ist, Gesundheitsdaten zu verarbeiten, „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person“ vorzusehen haben. Einige dieser Maßnahmen werden in nachfolgenden zehn Nummern aufgelistet, welche als dringende Empfehlungen des Gesetzgebers aufgefasst werden sollten. Unter Nr. 4 findet sich die Empfehlung der „Benennung einer oder eines Datenschutzbeauftragten“.

Für den Bereich Datenschutz im Gesundheitswesen bieten wir Ihnen eine kostenlose Ersteinschätzung.

Mehr dazu

„Das Thema Datenschutz ist aktueller als je zuvor. Die Datenschutzgrundverordnung und das neue BDSG stehen in den Startlöchern. Regelmäßige Skandalmeldungen halten das Thema zudem in der Öffentlichkeit präsent. Ein unachtsamer Umgang mit Daten zieht für Unternehmen und Freiberufler mitunter finanzielle oder gar existenzgefährdende Konsequenzen nach sich. Mit uns gehen Sie sicher, dass Sie alle gesetzlichen Vorgaben einhalten. Nutzen Sie uns als externe Datenschutzbeauftragte und lagern Sie so die damit verbundene Arbeit und die Haftung aus. Wir stehen im Bereich Datenschutz als starker Partner an Ihrer Seite.“

_Fragen kostet nichts.

Rufen Sie uns gern jederzeit an.

Gebührenfreie Anwaltshotline: 0800 10 10 366

Weitere Tätigkeitsgebiete

  • MarkenMarken
  • UrheberUrheber
  • DatenschutzDatenschutz
  • GewerbeGewerbe
  • ITIT
  • StrafStraf
  • VerkehrVerkehr
Zurück zur Übersicht

AUTHOR - RA Lüdecke

No Comments

Post A Comment