Nachtrag 23. April 2018

Die DSGVO tritt am 25. Mai in Kraft, die Gesetze sind vorhanden. Was jedoch fehlt ist eine aktuelle Rechtsprechung, die in den kommenden Monaten und Jahren folgen wird und eine genauere Interpretation der Gesetzesinhalte ermöglich.
Geht man vom aktuellen Wortlaut der EU-Datenschutzgrundverordnung aus, so müsste jede Arztpraxis gemäß Art. 37 i. V. m. Art. 9 derzeit einen Datenschutzbeauftragten bestellen:

Art. 37 DSGVO
Benennung eines Datenschutzbeauftragten

(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
[ … ]

(c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
[ … ]

Art. 9 DSVGO
Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
[ … ]

Die Interpretation mehrerer Datenschutzbeauftragter der DSGVO weißt derzeit noch in die Richtung, dass eine Arztpraxis grundsätzlich unter die Verarbeitung von besonderen Kategorien von Daten (nämlich Gesundheitsdaten) fällt und somit zur Bestellung eines Datenschutzbeauftragten verpflichtet ist. Ob diese Einschätzung korrekt ist und von den Behörden ebenfalls so gesehen wird, wird die künftige Auslegung und ggfs. Rechtsprechung zeigen.

__________________________________________________________________________________

Mit einer Arzt- oder Zahnarztpraxis verbindet man automatisch Qualität und hohe Anforderungen. Ein Datenverlust in einer Arztpraxis kann nicht nur sehr teuer werden, sondern führt automatisch auch zum Vertrauensverlust. Sowohl unter Kollegen als auch bei den Patienten – ein immenser Imageverlust.

Wann ist ein Datenschutzbeauftragter notwendig?

Grundsätzlich haben nicht-öffentliche Stellen einen Beauftragten für den Datenschutz zu bestellen, wenn mehr als 9 Personen mit der automatisierten Datenverarbeitung betraut sind. Hierzu zählen auch Aushilfen, Praktikanten, Auszubildende, Voll- oder Halbtagskräfte usw. Sie sind, gemäß § 4f Abs. 1 Satz 2 Bundesdatenschutzgesetz (BDSG), hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet.

Das BDSG schreibt in § 4f Abs. 1 Satz 6 vor, dass „soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen […] haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.“
Dem Grunde nach bedeutet dies: verarbeiten Unternehmen besonders schützenswerte personenbezogene Daten (z. B. Gesundheitsdaten, Partei-, Religions- oder Gewerkschaftszugehörigkeit), ist ein Datenschutzbeauftragter bereits bei weniger Mitarbeitern Pflicht.
Doch muss dadurch jeder Arzt, der eine oder zwei Sprechstundenhilfen beschäftigt, auch einen gleichzeitig einen Datenschutzbeauftragten bestellen?

Was ist eine Vorabkontrolle? Was gilt für Arzt- und Zahnarztpraxen?

Das Bundesdatenschutzgesetz beantwortet die Frage in § 4d Abs. 5 Satz 1 und 2: „sobald besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle).“
Jedoch wird die Vorabkontrolle eingeschränkt, sobald „[…] eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.“

Der hessische Datenschutzbeauftragte erklärt in seinem Bericht vom Juli 2014 [gesamter Bericht]:
„Da eine Arztpraxis Gesundheitsdaten und damit besondere Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG verarbeitet, besteht damit grundsätzlich die Verpflichtung, eine Vorabkontrolle durchzuführen, es sei denn, die in der Vorschrift genannten Ausnahmen liegen vor. Diese Ausnahmen werden aber in der Regel in einer Arztpraxis bei der routinemäßigen Verarbeitung von Patientendaten vorliegen; so werden z. B.

• personenbezogene Patientendaten zur Abrechnung an die gesetzlichen Krankenkassen nach den Vorschriften des SGB V (d. h. aufgrund gesetzlicher Verpflichtung) übermittelt,
• personenbezogene Patientendaten an vor-, mit- oder nachbehandelnde Ärzte mit Einwilligung des Patienten übermittelt und – vor allem –
• personenbezogene Patientendaten für die Durchführung des Behandlungsvertrages in der Arztpraxis verarbeitet.

Eine Vorabkontrolle muss daher im Regelfall von einer Arztpraxis nicht durchgeführt werden und die Bestellung eines Datenschutzbeauftragten ist erst dann geboten, wenn die Arztpraxis mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.“

Darf ein externer Datenschutzbeauftragter in einer Arztpraxis tätig sein?

Da die wenigsten Arzt- oder Zahnarztpraxen übermäßig groß sind oder gar die Größe eines Klinikums haben, bietet es sich aus mehreren Gründen an, die Position des Datenschutzbeauftragten extern zu besetzen. Die wichtigsten Faktoren sind zum einen der Zeit- und Kostenfaktor, den man bei einer internen Bestellung berücksichtigen muss. Hinzu kommt der besondere Kündigungsschutz des Mitarbeiters und die Tatsache, dass dieser in seiner Aufgabe als interner DSB nicht weisungsgebunden ist.

Die Position darf, um Interessenkonflikte auszuschließen, nicht in Personalunion des Datenschutzbeauftragten mit der Praxis-, IT- oder Personal-Leitung besetzt werden. Der hessische Datenschutzbeauftragte stellt eindeutig klar:
„Auch der Arzt selbst kann daher – als die mit der Leitung der verantwortlichen Stelle betraute Person – nicht die Funktion des Datenschutzbeauftragten in seiner eigenen Praxis übernehmen.“

Seit der Änderung des BDSG 2006 (§ 4f Abs. 2 Satz 2 und 3) ist festgelegt, dass auch in Arztpraxen ein externer DSB zum Einsatz kommen darf und die Kontrollbefugnis auch die Bereiche betrifft, die durch die ärztliche Schweigepflicht oder das Berufsgeheimnis abgedeckt sind. Im Umkehrschluss gilt für den bestellten Datenschutzbeauftragten auch die gleiche Strafandrohung wie für den Berufsgeheimnisträger (§ 203 Abs. 2a StGB). Um die Ausübung der Tätigkeit des externen DSB zu ermöglichen, gilt für diesen und sein Hilfspersonal das ärztliche Zeugnisverweigerungsrecht und der Beschlagnahmeschutz im Strafprozess (§ 4f Abs. 4a BDSG).

Die dacuro für Ihren Praxis-Datenschutz

Wenn Sie sich nicht ganz sicher sind, ob Sie in Ihrer Arzt- oder Zahnarztpraxis einen Datenschutzbeauftragten benötigen, sprechen Sie uns an. Egal ob dieses in Stuttgart, Karlsruhe, Frankfurt, Mannheim oder einem anderen Ort im Rhein-Main oder Rhein-Neckar Gebiet stattfindet: Wir beraten Sie gerne.