Daten­schutz­be­auf­tra­ger für Arzt­pra­xen

Unsi­cher­heit bei der Aus­le­gung der DSGVO in der Arzt­pra­xis

In vie­len Arzt­pra­xen ist die DSGVO noch nicht voll­stän­dig ange­kom­men. Die Erkennt­nis sich mit der Daten­schutz-Grund­ver­ord­nung beschäf­ti­gen zu müs­sen und die eige­nen Pro­zes­se und Arbeits­wei­sen an die neu­en Gege­ben­hei­ten anzu­pas­sen ist all­ge­mein bekannt. Doch wie genau soll die­se, doch recht kom­ple­xe Ver­ord­nung in der Pra­xis umge­setzt wer­den?

Braucht unse­re Arzt­pra­xis einen Daten­schutz­be­auf­trag­ten oder nicht?

Dies ist eine der häu­figs­ten Fra­gen die uns erreicht. Es scheint nicht klar zu sein wie hier die DSGVO aus­ge­legt wer­den muss. Wie so häu­fig im Kon­text der Daten­schutz-Grund­ver­ord­nung muss hier mit einem ein­deu­ti­gen “es kommt drauf an” geant­wor­tet wer­den. Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (DSK) hat hier­zu einen Ent­schluss getrof­fen, die eine Bewer­tung der Situa­ti­on ver­ein­fa­chen soll.

Ein­zel­pra­xen

Kurz zusam­men­ge­fasst wer­den die meis­ten Ein­zel­pra­xen kei­nen Daten­schutz­be­auf­trag­ten bestel­len müs­sen. Die Bestel­lungs­pflicht für einen Daten­schutz­be­auf­trag­ten ist an die Gren­ze von 10 Per­so­nen gekop­pelt, die regel­mä­ßig per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten. Die wenigs­ten Ein­zel­pra­xen errei­chen die­se Per­so­nen­zahl. Des Wei­te­ren hat der Gesetz­ge­ber eine Aus­nah­me von der Durch­füh­rung von Daten­schutz­fol­ge­ab­schät­zun­gen für Arzt­pra­xen mit exakt einem Arzt gemacht. Hier­durch fällt die damit ver­bun­de­ne Bestell­pflicht eben­falls weg.

Dies ent­bin­det sie aber in kei­ner Wei­se von den Pflich­ten des Daten­schut­zes. Gera­de die nicht-Bestel­lungs­pflicht wird ver­mut­lich das The­ma Daten­schutz in Arzt­pra­xen noch bri­san­ter machen, denn nur weni­ge wer­den neben ihrem täg­li­chen Pra­xis­all­tag genug freie Kapa­zi­tä­ten für die Umset­zung der DSGVO fin­den.

Gemein­schafts­pra­xen und Pra­xis­ge­mein­schaf­ten

War­um nun die Ver­wir­rung? Die DSGVO sieht vor, dass ein Daten­schutz­be­auf­trag­ter zu bestel­len ist sobald regel­mä­ßig mehr als 10 Per­so­nen mit der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten beschäf­tigt sind. In klei­nen Ein­zel­pra­xen wird das sel­ten der Fall sein. In grö­ße­ren Gemein­schafts­pra­xen fin­det sich schnell ein Per­so­nal­stamm von 10 Per­so­nen. Muss nun ein Daten­schutz­be­auf­tra­ger benannt wer­den? Pau­schal lässt sich dies nicht beant­wor­ten, denn es müs­sen wei­te­re Aspek­te mit berück­sich­tigt wer­den. So muss geprüft wer­den ob eine Daten­schutz­fol­ge­ab­schät­zung durch­ge­führt wer­den muss. Ist dies der Fall sieht zwar die DSGVO nur eine Kon­sul­ta­ti­ons­pflicht des Daten­schutz­be­auf­trag­ten vor, wenn die­ser benannt wer­den muss, geht aber nicht wei­ter auf die Benen­nungs­pflicht ein. Der deut­sche Gesetz­ge­ber hat hier eine Öff­nungs­klau­sel genutzt und prä­zi­siert: Sobald eine Daten­schutz­fol­ge­ab­schät­zung (DSFA) gemacht wer­den muss, ist die Bestel­lung eines Daten­schutz­be­auf­trag­ten not­wen­dig. Die Befrei­ung von den DSFA gilt aus­schließ­lich für Ein­zel­arzt­pra­xen. Daher soll­ten alle Pra­xen mit mehr als einem Arzt genau prü­fen ob eine Bestel­lungs­pflicht vor­liegt.

Aber wel­che Hil­fe bringt nun der Ent­schluss der DSK?

In dem Papier der DSK wird klar gesagt, dass bei ange­hö­ri­gen der Gesund­heits­be­ru­fe (hier bezieht man sich auf §203 Abs. 1 StGB) nicht von einer regel­mä­ßi­gen Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten aus­zu­ge­hen ist. Wenn man nun schaut, wel­che Beru­fe zu den Gesund­heits­be­ru­fen gezählt wer­den bleibt in einer nor­ma­len Arzt­pra­xis recht wenig Per­so­nal über, wel­ches in die Ver­le­gen­heit kom­men wür­de regel­mä­ßig per­so­nen­be­zo­ge­ne Daten zu ver­ar­bei­ten. Es wird also so sein, dass in den wenigs­ten Ein­zel­arzt­pra­xen ein eige­ner Daten­schutz­be­auf­trag­te ernannt wer­den muss. Hier hat der Gesetz­ge­ber auf die Bedürf­nis­se der Ärz­te gehört und über die ent­spre­chen­de Aus­nah­me zumin­dest die Ein­zel­arzt­pra­xen ent­las­tet.

Soll­ten Sie trotz­dem einen Daten­schutz­be­au­trag­ten benen­nen?

Das kommt ganz auf ihre Risi­ko­be­reit­schaft und die freie Arbeits­zeit an. Das The­ma Daten­schutz muss voll­stän­dig erfüllt wer­den, egal ob ein Daten­schutz­be­auf­tra­ger benannt wur­de oder nicht. Dem­nach fällt es in die Pflicht des Pra­xis­in­ha­bers voll­stän­dig das The­ma zu bear­bei­ten. Dies ist eine zeit­auf­wän­di­ge Auf­ga­be, wel­che vor allem nicht durch Ein­mal­auf­wand erle­digt wer­den kann. Der Daten­schutz in der Arzt­pra­xis muss leben­dig sein. Aus die­sem Grund emp­feh­len wir min­des­tens regel­mä­ßi­ge Check-Ups durch einen exter­nen Daten­schutz­be­ra­ter durch­füh­ren zu las­sen um den aktu­el­len Stand der Umset­zung bewer­ten zu kön­nen.

Wir las­sen Sie nicht im Stich!

Als Ihr Part­ner in den The­men Daten­schutz, IT-Secu­ri­ty, Digi­ta­li­sie­rung und als exter­ner CTO kön­nen wir Sie dort unter­stüt­zen wo Hil­fe benö­tigt wird. Wir erar­bei­ten mit Ihnen zusam­men ein punkt­ge­nau auf Sie abge­stimm­tes Port­fo­lio an Dienst­leis­tun­gen und hel­fen Ihnen bei der Ein­füh­rung, Umset­zung und Opti­mie­rung.

Neben den all­ge­mei­nen Infor­ma­tio­nen behal­ten wir für Sie natür­lich auch die aktu­el­len Gesche­hen und Prü­fun­gen im Auge. In unse­rem Blog fin­den Sie einen Betrag zu den ers­ten Prü­fun­gen, von denen auch Ärz­te betrof­fen sind.

Die­sen Bei­trag tei­len