13. November 2019

1,5 Jahre DSGVO

Was hat sich seit der Einführung getan?

Die Einführung der Datenschutz-Grundverordnung (DSGVO) im Mai vergangenen Jahres hat für viel Aufregung gesorgt. Auch knapp 1,5 Jahre später zeigen sich in Arztpraxen einige Unsicherheiten. Alexa Frey, Fachanwältin für Medizinrecht, beantwortet hier die häufigsten Fragen.

Lesedauer: 3 Minuten

Autorin: Alexa Frey, Rechtsanwältin und Fachanwältin für Medizinrecht. Redaktion: Marina Urbanietz

Neue Grenze für Bestellung eines Datenschutzbeauftragten

Die wohl wichtigste Änderung bezieht sich auf die Frage, ab welcher Praxisgröße ein Datenschutzbeauftragter zu benennen ist. Die in § 38 BDSG geregelte Pflicht bestand nach der Einführung der DSGVO, wenn mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten befasst sind. Dieser Schwellenwert wird durch die Änderung auf nunmehr 20 Mitarbeiter erhöht. Grund hierfür ist – so die Gesetzesbegründung – eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlicher Vereine. Der Bundesrat hat dem 2. DSAnpUG am 20.09.2019 zugestimmt (BR-Ds. 380/19). Die Bekanntmachung im Bundesgesetzblatt ist aber noch nicht erfolgt. 

Entscheidend ist aber, dass ein Datenschutzbeauftragter – unabhängig von der Größe der Arztpraxis – die täglich ablaufenden Prozesse zur Datenverarbeitung in der Praxis analysiert, überarbeitet und effizienter gestalten kann, sodass auch bei einer kleinen Praxis ein erheblicher Mehrwert entsteht. Die Besetzung dieser Position kann langfristig auch für kleine Praxen vorteilhaft sein.

Jede Praxis ist individuell zu prüfen

Bei der Ermittlung der Personenanzahl ist nach Köpfen zu zählen; auf die Art der Tätigkeit (selbstständig oder abhängig beschäftigt) kommt es genauso wenig an, wie auf den Umfang der Tätigkeit (Minijob, Teil- oder Vollzeit, Praktikanten etc.) oder die Stellung in der Praxis.

Die Änderung der Personenanzahl ist auf den ersten Blick eine Erleichterung für Arztpraxen, bei denen unter 10 Personen Daten verarbeiten. Entscheidend ist aber, dass in der DSGVO auch eine Benennungspflicht geregelt ist, die unabhängig von der Personenanzahl greift. Dies ist dann der Fall, wenn ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist. Dies wird durch die Datenschutzkonferenz des Bundes und der Länder dann bejaht, wenn neue Technologien zur Datenverarbeitung eingesetzt werden, die ein hohes Risiko mit sich bringen. 1

Wird ein Datenschutzbeauftragter in der Praxis benötigt, muss diese Position intern oder extern besetzt werden. Eine Übernahme der Position durch einen selbstständig tätigen Arzt ist unzulässig.

Digital und datenschutzkonform mit Patienten & Kollegen kommunizieren: Benötigen Patienten Laborwerte, haben zusätzliche Fragen zur Therapie oder müssen für die Nachsorge betreut werden, kann dies durch DSGVO-konforme Plattformen wie medflex erfolgen. Zudem können Sie sich über medflex auch mit Ihren Kollegen datenschutzkonform und sicher austauschen.
Jetzt unverbindlich testen >>

Datenschutzbeauftragte: Kündigung nur in Ausnahmefällen möglich

Nicht neu, aber oft übersehen wird die Tatsache, dass ein Angestellter, der zum Datenschutzbeauftragten benannt wird, einen hohen arbeitsrechtlichen Schutz genießt. Dieser Schutz wird im BDSG durch einen Sonderkündigungsschutz noch erweitert. Eine Kündigung des Datenschutzbeauftragten ist gemäß § 6 Abs. 4 BDSG nur unter den engen Voraussetzungen des § 626 BGB zulässig. Auch eine Abberufung des Datenschutzbeauftragten ist an ähnliche Voraussetzungen gebunden.

Hinzukommt, dass der Kündigungsschutz nicht mit der Abberufung des Datenschutzbeauftragten endet, sondern ein Jahr nach der Abberufung nachwirkt. In diesem Zeitraum ist eine ordentliche Kündigung weiterhin ausgeschlossen.

Wichtig: Die Auswahl des Datenschutzbeauftragten sollte daher – nicht nur in Bezug auf die fachliche Qualifikation – gut überlegt sein.

Mitarbeiterfotos: Veröffentlichung, Speicherung, Löschung

Veröffentlichung: Im Rahmen des Anpassungs- und Umsetzungsgesetzes wurde auch die Änderung des Kunsturhebergesetzes (KUG) diskutiert. Das dort geregelte „Recht am eigenen Bild“ normiert, dass für eine Veröffentlichung eines Bildes stets die vorherige Einwilligung der abgebildeten Person erforderlich ist. Dies gilt auch weiterhin und ist insbesondere bei einer Veröffentlichung von Mitarbeiterfotos auf der Internetseite der Praxis wichtig.

Speicherung: Verpasst wurde im Rahmen der Gesetzesänderung jedoch, weitere Regelungen für eine Speicherung solcher Aufnahmen in das Gesetz aufzunehmen. Hier sollte zur Sicherheit ebenfalls eine Einwilligung der Mitarbeiter zur Speicherung der Fotos eingeholt werden.

Löschung: Auch eine Löschung der Fotos bei einer Beendigung des Arbeitsverhältnisses sollte geregelt werden. Zudem sollte sichergestellt sein, dass die Mitarbeiterfotos bei Beendigung des Arbeitsverhältnisses zügig von der Internetseite genommen werden.

Weiterhin viele Fragen offen

Telefonische Auskünfte oder Fragen nach dem Aufrufen der Patienten im Wartezimmer mit dem Familiennamen beschäftigen Ärzte und Praxismitarbeiter weiterhin. Entscheidend ist stets, was noch als sozialadäquat hingenommen werden muss und wann ein besonderer Schutz der Patientendaten erforderlich ist.

Gute Dokumentation entscheidend

Es bestehen auch zahlreiche weitere Bereiche, in denen Rechtsunsicherheit herrscht. In der Arztpraxis sollten daher alle datenschutzrechtlich relevanten Maßnahmen sauber dokumentiert werden, um bei – auch unangekündigten – Kontrollen der Datenschutzbehörden, entsprechende Nachweise vorlegen zu können. Insbesondere sollte sichergestellt sein, wo die Dokumente verwahrt werden, wer in der Praxis Zugriff auf diese hat und wie mit dem Kontrolleur in der Praxis umgegangen werden sollte.

  • Alexa Frey ist selbständige Rechtsanwältin und Fachanwältin für Medizinrecht. Sie ist neben dem Arzthaftungsrecht in den Bereichen des Vertragsarztrechts der Ärzte, des Vertrags- und Gesellschaftsrechts, des Berufsrechts, des Vergütungsrechts der Heilberufe sowie des Krankenhausrechts tätig. Kontakt: frey@wws-ulm.de

1. Datenschutzbeauftragten-Bestellpflicht nach Artikel 37 Abs. 1 lit. C Datenschutz-Grundverordnung bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs. Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 26. April 2018.

Titelbild: © Getty Images/timyee

Jetzt kommentieren

Möchten Sie den Beitrag kommentieren?

Angemeldete Mitglieder unserer Ärzte-Community können Beiträge kommentieren und Kommentare anderer Ärzte lesen.


Jetzt kommentieren

Verantwortlich für den Inhalt dieser Seite ist 
coliquio GmbH gemäß §4 HWG.

coliquio GmbH
Turmstraße 22
78467 Konstanz
www.coliquio.de

Tel.: +49 7531 363 939 300
Fax: +49 7531 363 939 900
Mail: info@coliquio.de

Vertretungsberechtigte Geschäftsführer:
Felix Rademacher, Martin Drees
Handelsregister: Amtsgericht Freiburg 
Registernummer: HRB 701556
USt-IdNr.: DE256286653