Bestellung eines Datenschutzbeauftragten

Sofern in einer Arzt- oder Psychotherapeutenpraxis mindestens 20 Personen tätig sind, die regelmäßig mit Patientendaten umgehen, sollte ein eigener Datenschutzbeauftragter benannt werden. Hierbei sind auch die Praxisinhaber mit zu berücksichtigen, da sie per se in die Patientenbehandlung eingebunden sind und dementsprechend ständig mit Patienten- und Mitarbeiterdaten umgehen.

Die Benennungspflicht ergibt sich aus Art. 37 Abs. 1 lit. c, Abs. 4 DS-GVO in Verbindung mit § 38 Abs. 1 BDSG. Angesichts der standardmäßigen Verarbeitung patientenbezogener Gesundheitsdaten in Heilberufspraxen und deren hohem Schutzbedarf empfehlen sowohl der LfDI Rheinland-Pfalz als auch die Bundesärztekammer und die Kassenärztliche Bundesvereinigung in ihren allgemeinen Hinweisen zum Datenschutz in der Arztpraxis, in Zweifelsfällen einen Datenschutzbeauftragten zu benennen.

Praxen unter dieser Beschäftigtenzahl müssen in der Regel keinen Datenschutzbeauftragten benennen, es sei denn, sie sind zur Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO verpflichtet oder ihre Kerntätigkeit umfasst eine umfangreiche Verarbeitung besonders schutzbedürftiger Daten im Sinne von Art. 9 Abs. 1 DS-GVO. Werden in einer Praxis Genanalysen durchgeführt oder humangenetische Befunddaten verarbeitet, sind sowohl eine Datenschutz-Folgenabschätzung und also auch aufgrund dessen die Benennung eines Datenschutzbeauftragten geboten. Unabhängig von dem Bestehen einer Benennungspflicht empfiehlt der LfDI Rheinland-Pfalz, einen praxisinternen Ansprechpartner zum Datenschutz zu installieren, um die Praxisinhaber zu unterstützen

Die Verantwortlichkeit der Praxisinhaber für einen datenschutzgerechten Praxisbetrieb besteht immer, gleichgültig, ob ein Datenschutzbeauftragter benannt wurde oder nicht. Sie bleiben insbesondere rechenschaftspflichtig nach Art. 5 Abs. 2 DS-GVO. Versäumnisse haben sie als Verantwortliche im Sinne von Art. 24 DS-GVO zu vertreten und nicht der Datenschutzbeauftragte. (mehr dazu: Verantwortlichkeit und Benennung eines Datenschutzbeauftragten)

Datenschutzbeauftragte sollen über den zu einem datenschutzgerechten Praxisbetrieb notwendigen Sachverstand verfügen. Ihre Aufgaben ergeben sich aus Art. 39 DS-GVO. Nach Art. 37 Abs. 6 DS-GVO kann die Funktion sowohl einem Praxismitarbeiter als auch einem Dienstleister übertragen werden. In diesem Fall bedarf es einer vertraglichen Vereinbarung. Aufgrund der detaillierteren Kenntnisse über die praxisinternen Geschäftsabläufe und einer regelmäßig besseren Verfügbarkeit empfiehlt der LfDI Rheinland-Pfalz, wenn möglich zunächst aus dem Kreis der Praxismitarbeiter die Funktion zu besetzen. Alle von einer Heilberufspraxis benannten Datenschutzbeauftragten unterliegen sowohl einer datenschutz- als auch strafrechtlichen Schweigepflicht.

Im Falle der Benennung eines Datenschutzbeauftragten treffen die Praxisinhaber noch weitere Unterstützungspflichten (z.B. aus Art. 38 DS-GVO). Verstöße gegen die Benennungspflicht sowie die ergänzenden Unterstützungspflichten können nach Art. 83 Abs. 4 lit. a DS-GVO mit Bußgeldern sanktioniert werden.

Check

  1. Sind in der Praxis mindestens 20 Personen beschäftigt, die ständig in die Behandlung der Patienten oder deren administrative Betreuung oder eingebunden sind?
  2. Falls ein DSB benannt werden muss: ist die Benennung eines eigenen Mitarbeiters möglich, oder gibt es Gründe, einen externen Dienstleister mit dieser Funktion zu beauftragen?
  3. Falls kein DSB benannt werden muss: ist in der Praxis neben dem Inhaber noch ein anderer Mitarbeiter mit Fragen des Datenschutzes betraut?
  4. Wird im Rahmen des praxisinternen Datenschutzmanagements von dem im Internet verfügbaren Informationsangebot und dem Beratungsangebot von KV, Kammern und LfDI zum Datenschutz in Heilberufspraxen im Alltag Gebrauch gemacht?