Pflicht zur Benennung von Datenschutzbeauftragten in Arztpraxen
Wann muss in einer Arztpraxis eine Datenschutzbeauftragte bzw. ein Datenschutzbeauftragter benannt werden?
Die Pflicht zur Benennung einer bzw. eines Datenschutzbeauftragten besteht immer dann, wenn entweder in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder eine umfangreiche Verarbeitung besonderer Kategorien von Daten (Gesundheitsdaten) erfolgt. Nur wann ist eine Verarbeitung von Patientendaten umfangreich? Dies hat der Gesetzgeber nicht abschließend definiert.
In dem Erwägungsgrund 91 zur DSGVO findet sich der Hinweis, dass, wenn die Datenverarbeitung durch eine einzelne Ärztin oder einen einzelnen Arzt erfolgt, davon ausgegangen werden kann, dass keine umfangreiche Verarbeitung von Patientendaten erfolgt. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat hierzu ergänzend in einem Beschluss vom 26.04.2018 ausgeführt, dass von einer umfangreichen Verarbeitung von Patientendaten ausgegangen werden kann, wenn hiermit in der Arztpraxis mindestens zehn Personen beschäftigt sind.
Das ULD hat die Fragestellung anlässlich der Sommerakademie 2022 in einem Workshop mit Ärzten, anderen Aufsichtsbehörden und weiteren Fachleuten diskutiert und vertritt folgende Einschätzung:
- Sind in einer Arztpraxis mindestens 20 Personen mit der Verarbeitung von personenbezogenen Daten von Patientinnen und Patienten und/oder Beschäftigten beschäftigt, muss eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter benannt werden.
- Sind in einer Arztpraxis zwischen 10 und 19 Personen mit der Verarbeitung von Patientendaten beschäftigt, muss von der jeweiligen Arztpraxis geprüft und entschieden werden, ob die Verarbeitung umfangreich ist. Hierbei ist u. a. die Anzahl der Patientenfälle sowie der Inhalt und der Umfang der Patientenunterlagen (auch von bereits abgeschlossenen bzw. archivierten Patientenfällen) einzubeziehen. Diese Prüfung und Entscheidung sind von der Arztpraxis zu dokumentieren.
- Sind in einer Arztpraxis weniger als zehn Personen mit der Verarbeitung von Patientendaten beschäftigt, besteht nicht pauschal eine Pflicht zur Benennung einer bzw. eines Datenschutzbeauftragten. Aber auch in diesen Fällen ist zu prüfen, ob nicht gleichwohl eine umfangreiche Verarbeitung von Patientendaten erfolgt.
Unabhängig davon gibt das ULD für jede Arztpraxis folgenden Rat: Das Patientengeheimnis ist für jede einzelne Patientin bzw. jeden einzelnen Patienten zu gewährleisten. Eine Datenschutzbeauftragte bzw. ein Datenschutzbeauftragter hilft dabei, die Verarbeitung von Patientendaten rechtmäßig und sicher zu gestalten, und das bereits ab der ersten Patientenakte. Warum sollte man also auf diese Hilfe verzichten?
Was ist zu tun? Jede Arztpraxis muss als verantwortliche Stelle prüfen und entscheiden, ob sie die Voraussetzungen für die Pflicht zur Benennung einer Datenschutzbeauftragten bzw. eines Datenschutzbeauftragten erfüllt. Arztpraxen, die keine Datenschutzbeauftragte bzw. keinen Datenschutzbeauftragten benennen, müssen gleichwohl die Anforderungen des Datenschutzes und der ärztlichen Schweigepflicht beachten.
Quelle: ULD
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks