Gibt es eine eindeutige Aussage zur Benennung von Datenschutzbeauftragten in Arztpraxen ?

„Ihr IT-Spezialist zeigt Ihnen sicherlich eine benutzerfreundliche und kostengünstige Verschlüsselungsmethode, die unbemerkt im Hintergrund arbeitet und Ihre gewohnten Arbeitsabläufe nicht beeinträchtigt.

Die Aufsichtsbehörden haben zur Pflicht zur Benennung von Datenschutzbeauftragten in Arztpraxen & Apotheken nun endgültig entschieden (26/04/2018).

Die Datenschutzkonferenz (DSK) ist eine Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder.

Diese Klarstellung hinsichtlich der Pflicht zur Benennung eines Datenschutzbeauftragten in Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs hat zwar keinen rechtsbinden Charakter aber sehr hohen Praxiswert und für vismed richtungsweisend.

Das Dokument findet ihr hier:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/04/DSB-Bestellpflicht.pdf

Zusammenfassend können wir für uns folgende Positionen festhalten:

Nr. 1:

Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB).

Vismed übernimmt auch die Position der DSK, wonach auch der Praxisinhaber im Hinblick auf die Pflicht zur Benennung eines Datenschutzbeauftragten mitgezählt wird.

Nr. 2:

Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, ist in der Regelnicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DS-GVO auszugehen – in diesen Fällen ist unter Berücksichtigung von Punkt 3 dann kein DSB zu benennen, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Hier ist nun klar geregelt, dass in Arztpraxen nicht generell ein Datenschutzbeauftragter zu benennen ist, wenn weniger als 10 Personen mit der Datenverarbeitung beschäftigt sind.

Nr. 3: 

Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgenabschätzung vorgeschriebenund damit zwingend ein Datenschutzbeauftragter zu benennen. 

Dies kann neben einer umfangreichen Verarbeitung (z.B. große Praxisgemeinschaften), die ohnehin nach Art. 37 Abs. 1 lit. c DS-GVO zu einer Benennungspflicht führt, beispielsweise beim Einsatz von neuen Technologien (z.B. Auswertung genetischer Daten), die ein hohes Risiko mit sich bringen, der Fall sein. Der Datenschutzbeauftragte ist damit auch dann zu benennen, wenn weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben.