Unsicherheit bei der Auslegung der DSGVO in der Arztpraxis
In vielen Arztpraxen ist die DSGVO noch nicht vollständig angekommen. Die Erkenntnis sich mit der Datenschutz-Grundverordnung beschäftigen zu müssen und die eigenen Prozesse und Arbeitsweisen an die neuen Gegebenheiten anzupassen ist allgemein bekannt. Doch wie genau soll diese, doch recht komplexe Verordnung in der Praxis umgesetzt werden?
Braucht unsere Arztpraxis einen Datenschutzbeauftragten oder nicht?
Dies ist eine der häufigsten Fragen die uns erreicht. Es scheint nicht klar zu sein wie hier die DSGVO ausgelegt werden muss. Wie so häufig im Kontext der Datenschutz-Grundverordnung muss hier mit einem eindeutigen „es kommt drauf an“ geantwortet werden. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat hierzu einen Entschluss getroffen, die eine Bewertung der Situation vereinfachen soll.
Einzelpraxen
Kurz zusammengefasst werden die meisten Einzelpraxen keinen Datenschutzbeauftragten bestellen müssen. Die Bestellungspflicht für einen Datenschutzbeauftragten ist an die Grenze von 10 Personen gekoppelt, die regelmäßig personenbezogene Daten verarbeiten. Die wenigsten Einzelpraxen erreichen diese Personenzahl. Des Weiteren hat der Gesetzgeber eine Ausnahme von der Durchführung von Datenschutzfolgeabschätzungen für Arztpraxen mit exakt einem Arzt gemacht. Hierdurch fällt die damit verbundene Bestellpflicht ebenfalls weg.
Dies entbindet sie aber in keiner Weise von den Pflichten des Datenschutzes. Gerade die nicht-Bestellungspflicht wird vermutlich das Thema Datenschutz in Arztpraxen noch brisanter machen, denn nur wenige werden neben ihrem täglichen Praxisalltag genug freie Kapazitäten für die Umsetzung der DSGVO finden.
Gemeinschaftspraxen und Praxisgemeinschaften
Warum nun die Verwirrung? Die DSGVO sieht vor, dass ein Datenschutzbeauftragter zu bestellen ist sobald regelmäßig mehr als 10 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. In kleinen Einzelpraxen wird das selten der Fall sein. In größeren Gemeinschaftspraxen findet sich schnell ein Personalstamm von 10 Personen. Muss nun ein Datenschutzbeauftrager benannt werden? Pauschal lässt sich dies nicht beantworten, denn es müssen weitere Aspekte mit berücksichtigt werden. So muss geprüft werden ob eine Datenschutzfolgeabschätzung durchgeführt werden muss. Ist dies der Fall sieht zwar die DSGVO nur eine Konsultationspflicht des Datenschutzbeauftragten vor, wenn dieser benannt werden muss, geht aber nicht weiter auf die Benennungspflicht ein. Der deutsche Gesetzgeber hat hier eine Öffnungsklausel genutzt und präzisiert: Sobald eine Datenschutzfolgeabschätzung (DSFA) gemacht werden muss, ist die Bestellung eines Datenschutzbeauftragten notwendig. Die Befreiung von den DSFA gilt ausschließlich für Einzelarztpraxen. Daher sollten alle Praxen mit mehr als einem Arzt genau prüfen ob eine Bestellungspflicht vorliegt.
Aber welche Hilfe bringt nun der Entschluss der DSK?
In dem Papier der DSK wird klar gesagt, dass bei angehörigen der Gesundheitsberufe (hier bezieht man sich auf §203 Abs. 1 StGB) nicht von einer regelmäßigen Verarbeitung von personenbezogenen Daten auszugehen ist. Wenn man nun schaut, welche Berufe zu den Gesundheitsberufen gezählt werden bleibt in einer normalen Arztpraxis recht wenig Personal über, welches in die Verlegenheit kommen würde regelmäßig personenbezogene Daten zu verarbeiten. Es wird also so sein, dass in den wenigsten Einzelarztpraxen ein eigener Datenschutzbeauftragte ernannt werden muss. Hier hat der Gesetzgeber auf die Bedürfnisse der Ärzte gehört und über die entsprechende Ausnahme zumindest die Einzelarztpraxen entlastet.
Sollten Sie trotzdem einen Datenschutzbeauftragten benennen?
Das kommt ganz auf ihre Risikobereitschaft und die freie Arbeitszeit an. Das Thema Datenschutz muss vollständig erfüllt werden, egal ob ein Datenschutzbeauftragter benannt wurde oder nicht. Demnach fällt es in die Pflicht des Praxisinhabers vollständig das Thema zu bearbeiten. Dies ist eine zeitaufwändige Aufgabe, welche vor allem nicht durch Einmalaufwand erledigt werden kann. Der Datenschutz in der Arztpraxis muss lebendig sein. Aus diesem Grund empfehlen wir mindestens regelmäßige Check-Ups durch einen externen Datenschutzberater durchführen zu lassen um den aktuellen Stand der Umsetzung bewerten zu können.