27. Juni 2019

DSGVO in der Praxis: Datenschutzbeauftragter ja oder nein?

Seit rund 1 Jahr gilt die DSGVO in Deutschland. Während einige Gerüchte bereits aus der Welt geräumt sind, besteht über die Notwendigkeit mancher Maßnahmen, wie z.B. über die Bestellung eines Datenschutzbeauftragten, noch immer Unsicherheit. Welche datenschutzrechtlichen Vorschriften für Ihre Praxis weiterhin relevant sind, sagt Ihnen unser Rechtsanwalt Volker Wurm.

Lesedauer: ca. 2.5 Minuten

1 Jahr DSGVO in Arztpraxen

Etwas mehr als ein Jahr nach dem Inkrafttreten der DSGVO in Deutschland haben sich einige offene Fragen bereits geklärt. In unserem Beitrag im November 2018 hatten wir aufgrund der gesetzlichen Bestimmungen noch gemutmaßt, dass für den Betrieb einer Arztpraxis ein Datenschutzbeauftragter zu bestellen ist. Da die Auslegung und die hierzu existierenden Einschätzungen der unterschiedlichen Kammern jedoch nicht einheitlich waren, herrschte Uneinigkeit bezüglich der Notwendigkeit.

Unsicherheit über Datenschutzbeauftragten für Arztpraxis

Diese Unsicherheit führte zu kontroversen Diskussionen, da eine Klärung regional unterschiedlich vorgenommen wurde. Dies liegt zum einen an der regionalen Zuständigkeit der Ärztekammern und zum anderen daran, dass der Datenschutz, obwohl einer Bundes- und Europagesetzgebung unterliegend, letztendlich doch Ländersache ist. In einzelnen Bundesländern oder Kammerbezirken entstanden somit unterschiedliche Auffassungen über die praktische Umsetzung der DSGVO.

Aufgrund dieser Problemstellung gründete sich bereits 2017 die „Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder“ (DSK), die sich zum Ziel gesetzt hat, bundeseinheitliche Vorgehensweisen hinsichtlich des Datenschutzes zu erzielen.

Datenschutzbeauftragter in Einzelpraxis kein „Muss“

Die DSK hat sich auch mit der Fragestellung befasst, ob für eine Arztpraxis die Bestellung eines Datenschutzbeauftragten notwendig ist.

Nach Feststellung der DSK wird die Benennungspflicht für einen Datenschutzbeauftragten nicht ausgelöst, wenn „eine Verarbeitung von Patientendaten durch einen einzelnen Arzt oder sonstige Angehörige eines Gesundheitsberufs erfolgt.“

Damit gilt: Einzelpraxen dürften von der Benennungspflicht ausgenommen sein.

Allerdings lässt sich die DSK hier ein „Schlupfloch“ und führt weiter aus: „Unter Berücksichtigung der Umstände des Einzelfalles … kann eine umfangreiche Verarbeitung gegeben sein, sodass ein Datenschutzbeauftragter zu benennen ist.“

<strong>Die DSK spricht daher folgende Empfehlung aus:

„Ungeachtet dessen ist die Benennung generell zu empfehlen, um die Einhaltung der datenschutzrechtlichen Bestimmungen zu erleichtern und damit gegebenenfalls aufsichtsbehördliche Maßnahmen zu vermeiden.“</strong>

Risiko-Nutzen Abwägung treffen

Angesichts der eindeutigen Beschlüsse der DSK kann davon ausgegangen werden, dass eine Einzelpraxis keinen Datenschutzbeauftragten benennen muss. Bereits ab der Struktur einer Berufsausübungsgemeinschaft ist jedoch Vorsicht geboten. In folgenden Fällen kann die Bestellung eines Datenschutzbeauftragten angezeigt sein:

  • Bei einer mengenmäßigen Erweiterung über den privilegierten Einzelarzt hinaus.
  • Bei einer Laborgemeinschaft, da hier erhebliche Mengen an Patientendaten verarbeitet werden und die Datenverarbeitung andere Dimensionen erreicht, als bei einem Einzelarzt.

Kommt es im Einzelfall zu einem Verstoß, der durch eine Bestellung hätte vermieden werden können, dann kann sich der Umstand einer Nicht-Bestellung dennoch negativ auswirken, auch wenn die Bestellung gesetzlich nicht vorgeschrieben ist.

Denn: Verhält man sich entgegen einer bestehenden Empfehlung, kann sich dies strafschärfend auswirken.

Wenn man bereits alle Vorkehrungen getroffen oder gar bereits einen Datenschutzbeauftragten bestellt hat, sollte man dies mit adäquatem Aufwand weiterbetreiben. Ist dies nicht der Fall, dann sollte man sich überlegen, ob man den Verpflichtungen der DSGVO selbst nachkommen kann und wie wirtschaftlich dies ist.

Sie möchten einen Datenschutzbeauftragten für Ihre Praxis bestellen?
Erhalten Sie jetzt eine
Mustervereinbarung nach DSGVO zur Ernennung eines Datenschutzbeauftragten kostenfrei.

Bildnachweis: ©gettyimages.de/id-work

Jetzt kommentieren

Möchten Sie den Beitrag kommentieren?

Angemeldete Mitglieder unserer Ärzte-Community können Beiträge kommentieren und Kommentare anderer Ärzte lesen.


Jetzt kommentieren

advomedic GmbH
Gymnasiumstr. 18
63654 Büdingen
Telefon: +49 6042 882-366
Telefax: +49 6042 882-367
E-Mail: info@buedingen-advo.de
Internet: www.buedingen-advo.de 

Geschäftsführer: Betriebswirt Reiner Lambmann
Aufsichtsratsvorsitzender: Dr. med. Gerd Albert
Registergericht: Amtsgericht Friedberg
Registernummer: HRB 5635 

Umsatzsteuer-Identifikationsnummer gemäß § 27a Umsatzsteuergesetz: DE02022710681

Inhaltlicher Verantwortlicher gemäß § 55 Abs. 2 RStV: Reiner Lambmann

Haftungshinweis: Trotz sorgfältiger inhaltlicher Kontrolle übernehmen wir keine Haftung für die Inhalte externer Links. Für den Inhalt der verlinkten Seiten sind ausschließlich deren Betreiber verantwortlich.