Ab dem 25.05.2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Verbindung mit der Neuregelung des BDSG in Kraft. Hier werden sich einige sehr relevante Dinge verändern.
Die zugeordnete Regelung zur Benennung eines Datenschutzbeauftragten findet sich im Art. 37 DSGVO. Nach Art. 37 Abs. 1 DSGVO ist auf jeden Fall ein Datenschutzbeauftragter in einer Arztpraxis in drei Konstellationen zu benennen:
1.) Die Arztpraxis ist Teil einer Behörde oder öffentlichen Stelle .
2.) Die Kerntätigkeit der Arztpraxis besteht in der Durchführung von Datenverarbeitungen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von Patienten erforderlich macht.
3.) Die Kerntätigkeit der Arztpraxis besteht in der umfangreichen Verarbeitung von besonderen Kategorien von Daten i.S.d. Art. 9 DSGVO (insbesondere Gesundheitsdaten).
In der Regel ist die Arztpraxis eine privatrechtliche Einrichtung, also fällt Ziffer 1 (öffentliche Stelle) weg. Die in Ziffer 2 benannten Aussagen treffen meiner Meinung auch nicht zu, da die Kerntätigkeit der Praxis nicht die Erhebung von Daten beinhaltet, es sei denn, es werden umfangreiche klinische Studien durchgeführt. Dann wäre natürlich ein Datenschutzbeauftragter zu benennen. Bei Betrachtung der Ziffer 3 („Danach ist von der Arztpraxis ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit der Praxis in der umfangreichen Verarbeitung von Gesundheitsdaten besteht.“) ist zu klären, ob eine umfangreiche Verarbeitung von Gesundheitsdaten erfolgt. Und hier ist die Definition leider etwas schwammig. Innerhalb der DSGVO wird mehrfach der Wortlaut „umfangreiche Verarbeitung“ verwendet, unter anderem im Artikel 35 Abs. 3.: „umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10“. Eine genaue Folgenabschätzung finden wir aber auch hier nicht, erst mit Einbeziehung des Erwägungsgrundes 91 wird die umfangreiche Datenverarbeitung näher erklärt:
Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.
Daraus folgt: Wenn die Arztpraxis aus einem Einzelarzt (und etwas Personal) besteht, dann liegt in der Regel keine umfangreiche Verarbeitung von Gesundheitsdaten vor. Das führt im Ergebnis dazu, dass keine Datenschutz-Folgenabschätzung durchgeführt werden muss. Und es führt auch dazu, dass ein Einzelarzt keinen Datenschutzbeauftragten benennen muss.
Aber:
Bei einer Arztpraxis mit mehreren Berufsträgern (Ärzten, auch angestellte Ärzte) wird man in aller Regel wohl davon ausgehen müssen, dass ein Datenschutzbeauftragter zwingend benannt werden muss. Das wird zumindest für Gemeinschaftspraxen mit mehreren Ärzten gelten. Erste Urteile haben auch anders entschieden, allerdings sollte hier die Aufsichtsbehörde Klarheit schaffen. Im Zweifel schützt halt der Datenschutzbeauftragte vor Bußgeldern.
Zusammengefasst:
1.) Arztpraxen mit 10 oder mehr Beschäftigten müssen einen Datenschutzbeauftragten benennen.
2.) Gemeinschaftspraxen müssen ebenfalls einen Datenschutzbeauftragten benennen.
3.) Praxisgemeinschaften mit weniger als 10 Beschäftigten würde ich aufgrund der Bußgeldrisiken ebenfalls empfehlen, einen Datenschutzbeauftragten zu benennen.
4.) Einzelpraxen mit weniger als 10 Beschäftigten können davon absehen, einen Datenschutzbeauftragten zu benennen. Zur Absicherung sollte dies bei Zweifeln mit der zuständigen Aufsichtsbehörde für den Datenschutz besprochen werden.
Zu diskutieren ist ausserdem, wie sich der Datenschutz im Rahmen einer Urlaubsvertretung verhält, wenn also eine andere Einzelpraxis als Ausweichmöglichkeit angeboten wird. Auch wenn in der Einzelpraxis eine ärztliche Vertretung für den Arzt wegen Krankheit oder Urlaub tätig wird, dann ist hier ein neues Konstrukt entstanden.