Wann auch Sie einen Datenschutzbeauftragten brauchen

Praxismanagement , Praxis-IT Autor: Anouschka Wasner

Gut, wenn man den Datenschutzbeauftragten nach den nötigen Maßnahmen fragen kann. © iStock/simpson33

Wann eine Arztpraxis einen Datenschutzbeauftragten bestellen muss, beleuchtete Rechtsanwalt Dr. Florian Hölzel auf dem diesjährigen Internistenkongress. Fast hätte er diesen Part des Vortrags streichen müssen: Nur wenige Tage davor hatte die Datenschutzkonferenz darüber beraten, die entsprechende Regelung abzuschaffen.

April 2019, die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder beschließt: keine Abschaffung der Datenschutzbeauftragten. Und spricht sich gegen jede Verwässerung der nationalen Regelungen zur Benennenungspflicht eines Datenschutzbeauftragten aus.

Dabei hätte es so schön sein können ohne diese Bürde! Hätte es? Nach dem Bundesdatenschutzgesetz müssen Unternehmen, in denen mehr als zehn Leute ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, Datenschutzbeauftragte benennen. Das hat sich seit Jahren bewährt, so die Experten. Denn Datenschutzbeauftragte sorgen für eine kompetente Beratung, um Verstöße im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten. Das habe sich auch bei der Umstellung auf die Datenschutz-Grundverordnung gezeigt.

Die Pflichten sind die gleichen, mit oder ohne Beauftragten!

Und richtig ist natürlich auch: Selbst wenn es keine Benennungspflicht von Datenschutzbeauftragten mehr gäbe, so würden ja doch die Datenschutzpflichten in Unternehmen und erst recht Arztpraxen bestehen. Die Inhaber und Praxischefs, die verantwortlich zeichnen für den Datenschutz, hätten aber ohne den Datenschutzbeauftragten ihre Berater zu diesbezüglichen Fragen verloren.

Ein Wegfall der Bestellpflicht mag also kurzfristig als Entlastung empfunden werden. Mittelfristig ginge aber interne Kompetenz verloren, was insbesondere kleineren Unternehmen und Vereinen schaden kann, so die Aufsichtsbehörden.

Es bleibt also alles beim Alten. Rechtsanwalt Dr. Hölzel aus Wiesbaden fasste also auf dem Internistenkongress erneut zusammen, wann Arztpraxen einen Datenschutzbeauftragten bestellen müssen:

  1. Bei mehr als zehn Beschäftigten, die regelmäßig mit der Datenverarbeitung zu tun haben – hier zählen Praxischefs genauso mit wie Azubis und Teilzeitkräfte. Nicht in die Rechnung gehören dagegen z.B. Putzkräfte.

  2. Wenn die Kerntätigkeit in der umfangreichen Verarbeitung von besonders sensiblen Daten besteht, so das Gesetz. Wie verhält sich das in einer Arztpraxis? Die Patientendokumentation gilt als besonders sensibel und gehört auch zu den Kerntätigkeiten einer Arztpraxis. Aber ist sie auch umfangreich? Die Konferenz der Datenschutzbeauftragten meint dazu, dass die Verarbeitung in Einzelpraxen sowie Berufsausübungsgemeinschaften in der Regel nicht umfangreich im Sinne dieser Vorgaben ist. D.h.: Bei durchschnittlichen Hausarztpraxen trifft dieses Kriterium nicht zu.

  3. Wenn eine Datenschutzfolgeabschätzung gemacht werden muss. Und wer muss die machen? Zum Beispiel große Praxisgemeinschaften, da hier von einer umfangreichen Verarbeitung ausgegangen wird – die dann aber ohnehin zu einer Benennungspflicht führt (s. ­Punkt 2). Und Praxen, die neue Technologien einsetzen, die ein hohes Risiko gegenüber besonders schutzwürdigen personenbezogenen Daten mit sich bringen wie bestimmte Telemedizin-Lösungen. Laut KV Baden-Württemberg kann schon der Einsatz eines Webportals oder einer App zur Patientenbehandlung eine Datenschutzfolgeabschätzung und damit auch das Bestellen eines Datenschutzbeauftragten notwendig machen.

Medical-Tribune-Bericht