Die Datenschutz-Grundverordnung (DSGVO) in Arztpraxen, Apotheken und anderen Gesundheitsberufen: Pflicht zur Bestellung eines Datenschutzbeauftragten?

Seit dem 25. Mai 2018 gilt in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO). Aufgrund der Verarbeitung besonders schützenswerter Gesundheitsdaten von Patienten gilt es daher auch für Arztpraxen, Apotheken und andere Gesundheitsberufe wie z. B. Psychotherapeuten; Logopäden oder Physiotherapeuten, ein stärkeres Bewusstsein für den Datenschutz zu entwickeln und die einschlägigen Pflichten aus der DSGVO zügig umzusetzen. Dabei geht es neben der Etablierung eines internen Datenschutzmanagements im Praxisbetrieb um die wichtige Frage, ob ein (externer) Datenschutzbeauftragter zu benennen ist. Dabei gilt es folgendes zu beachten:

Die Verpflichtung für die Benennung eines Datenschutzbeauftragten (DSB) folgt aus Art. 37 DSGVO und den einschlägigen Regelungen im neuen Bundesdatenschutzgesetz. Ob für Einzel- oder Gemeinschaftspraxen bzw. Apotheken eine Pflicht zur Benennung eines DSB besteht oder nicht, kann jedoch nicht pauschal mit Ja oder Nein beantwortet werden. Die Entscheidung darüber berücksichtigt viele Faktoren und muss stets im Einzelfall betrachtet und entschieden werden. Grundsätzlich kennt die neue Gesetzeslage bisher vor allem drei zu unterscheidende Fallgruppen, in denen Arzt- oder Gesundheitspraxen bzw. Apotheken einen Datenschutzbeauftragten benennen müssen (die nachfolgenden Beispiele beziehen sich auf Arztpraxen, gelten aber entsprechend auch für Gesundheitspraxen und Apotheken):

  • Szenario 1 umfasst die Fälle, in denen in einer Arztpraxis in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Dabei sind die Mitarbeiter zu berücksichtigen, die üblicherweise mit der Datenverarbeitung beschäftigt sind, zum Beispiel im Rahmen der Datenerfassung am Empfang oder bei der Datenverarbeitung im Rahmen der Abrechnung. „In der Regel“ beschäftigt ist eine Person, wenn sie für diese Aufgabe, die nicht ihre Hauptaufgabe sein muss, zumindest auf längere Zeit vorgesehen ist und sie entsprechend wahrnimmt. Auch angestellte Ärzte, Auszubildende und freie Mitarbeiter gehören zu dem zu berücksichtigenden Personenkreis.
  • Szenario 2 betrifft die Fälle, in denen eine Datenschutz-Folgeabschätzung nach Art. 35 DSGVO vorzunehmen ist. Eine Datenschutz-Folgeabschätzung ist dort verpflichtend, wo die Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Patienten zur Folge hat, deren Gesundheitsdaten verarbeitet werden sollen. Laut DSGVO betrifft dies zum Beispiel Fälle, in denen es zur Verwendung neuer Technologien (z. B. Telemedizin oder Nutzung von Cloud Diensten) kommt, eine umfangreiche Überwachung öffentlich zugänglicher Bereiche (z. B. Videoüberwachung in der Arztpraxis) vorliegt, oder es zu einer besonders umfangreichen Verarbeitung von Gesundheitsdaten kommt. Eine umfangreiche Verarbeitung ist dort anzunehmen, wo die Verarbeitung deutlich über das übliche Maß der in einer Arztpraxis verarbeiteten Daten hinausgeht (z. B. große Praxisgemeinschaften), oder wo – zum Beispiel aufgrund der Verarbeitung genetischer Daten – von einem hohen Risiko für die Rechte und Freiheiten von Patienten auszugehen ist. Ist aufgrund der genannten Umstände also eine Datenschutz-Folgeabschätzung durchzuführen, ist folglich auch ein Datenschutzbeauftragter zu benennen.

 

  • Szenario 3 zielt auf die Fälle ab, in denen gemäß Art. 37 Abs. 1 lit. c) DSGVO die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung von Gesundheitsdaten besteht. Die Anzahl der Beschäftigten ist hier unerheblich. Die Kerntätigkeit von Ärzten ist jedoch grundsätzlich die Behandlung von Patienten und nicht die Datenverarbeitung. Die Pflicht zur Benennung eines DSB besteht daher nur dann, wenn Ärzte in einem Ausmaß mit einer Datenverarbeitung von Patientendaten befasst sind, welche die einer vergleichbaren Praxis erheblich übersteigt. Ob es sich in der Arztpraxis um eine umfangreiche Verarbeitung von Gesundheitsdaten handelt, ist immer im Einzelfall zu entscheiden. So kann beispielweise die Teilnahme an Forschungsprojekten ein Indiz für eine umfangreiche Datenverarbeitung sein. Für Praxisgemeinschaften gilt laut DSGVO im Übrigen nichts anderes als für Einzelarztpraxen, da in Praxisgemeinschaften eine getrennte Datenhaltung erfolgen muss.

Fazit: Arzt- und Gesundheitspraxen sowie Apotheken sollten daher genau prüfen, ob sie einen Datenschutzbeauftragten zu benennen haben. Die Beurteilung berücksichtigt dabei viele Faktoren. Maßgeblich ist insoweit eine Gesamtschau der betrieblichen Umstände im Einzelfall. Wir prüfen für Sie, ob die Voraussetzungen vorliegen und stehen gerne als externer Datenschutzbeauftragter für Ihre Praxis oder Apotheke zur Verfügung.

Unabhängig von der Frage nach der pflichtgemäßen Benennung eines Datenschutzbeauftragten ist eine freiwillige Benennung von (externen) Datenschutzbeauftragten nach Ansicht der für Nordrhein-Westfalen zuständigen Datenschutzbehörde grundsätzlich zu empfehlen, um Ihnen die Einhaltung der datenschutzrechtlichen Bestimmungen zu erleichtern und damit gegebenenfalls aufsichtsbehördliche Maßnahmen wie Bußgelder zu vermeiden. Auch an dieser Stelle oder auch wenn es um die anderen Pflichten nach der DSGVO wie um die Erstellung eines Verarbeitungsverzeichnisses geht, unterstützen wir Sie gerne. Sprechen Sie uns an!