Am 25.05.2018 treten die europäische Datenschutzgrundverordnung (DSGVO) und das drauf beruhende neue Bundesdatenschutzgesetz (BDSG) in Kraft. Für viele Unternehmen bedeutet dies, dass sie ihren Umgang mit den Daten ihrer Kunden einer strengen Überprüfung unterziehen müssen. Die unmittelbar in Deutschland geltende Datenschutzgrundverordnung sieht nämlich hohe Bußgelder bei Verstößen vor. Vor allem der Umgang mit sensiblen Informationen wie Gesundheitsdaten muss in Zukunft hohen Anforderungen genügen. Ärzte erfahren hier, was die Gesetzesänderung für ihre Praxis bedeutet und ob sie einen Datenschutzbeauftragten (DSB) benötigen.
Der Datenschutzbeauftragte für Arztpraxen
Datenschutzbeauftragte sind dafür zuständig, die Einhaltung der gesetzlichen Vorgaben zu überwachen und dienen als Ansprechpartner für Betroffene. Sie müssen unter anderem ernannt werden, wenn eine öffentliche Stelle Daten verarbeitet oder wenn die Kerntätigkeit eines Unternehmens die Datenverarbeitung ist. Beides trifft auf eine Arztpraxis in der Regel nicht zu. Ein Datenschutzbeauftragter ist aber nach Art. 37 der Datenschutzgrundverordnung auch erforderlich, wenn eine „umfangreiche Verarbeitung von besonderen Kategorien von Daten“ stattfindet. Zu diesen besonderen Kategorien gehören beispielsweise Gesundheitsdaten. Auf den ersten Blick benötigt also jede Praxis einen Datenschutzbeauftragten. Je nach Größe der Praxis ist es aber möglich, darauf zu verzichten.
Sonderstellung der Einzelärzte
Vor allem ein Einzelarzt muss in der Regel keinen Datenschutzbeauftragten benennen. Die Vorgabe aus Art. 37 wird nämlich dadurch eingeschränkt, dass der Datenschutzbeauftragte nur erforderlich ist, wenn eine „umfangreiche Verarbeitung“ erfolgt. Was genau damit gemeint ist, steht jedoch nicht explizit in der Datenschutzgrundverordnung. Man findet aber im Gesetzestext selbst sowie in den vorangestellten Erwägungsgründen einige Hinweise. Neben der Benennung eines Datenschutzbeauftragten sieht die DSGVO für bestimmte Situationen Datenschutz-Folgenabschätzungen vor. Diese sind in Art. 35 geregelt und dort wird ebenfalls der Begriff „umfangreiche Verarbeitung“ verwendet. Im dazugehörigen Erwägungsgrund 91 heißt es: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.“ Dieser Umkehrschluss besagt also, dass ein Einzelarzt weder eine Datenschutz-Folgenabschätzung vornehmen muss noch einen Datenschutzbeauftragten benötigt.
Große Praxen mit mehr als zehn Mitarbeitern
Anders sieht es dagegen bei größeren Praxen aus. Bei diesen greift einerseits der Umkehrschluss aus Erwägungsgrund 91 nicht. Andererseits sind sie explizit von der Regelung des ab Mai geltenden § 38 Abs. 1 BDSG erfasst. Danach benötigen nichtöffentliche Stellen wie eine Arztpraxis einen Datenschutzbeauftragten, wenn dort mehr als zehn Mitarbeiter beschäftigt sind und die Datenverarbeitung in dieser Praxis einer Datenschutz-Folgenabschätzung im Sinne von Art. 35 der Datenschutzgrundverordnung unterliegt. Diese muss immer dann durchgeführt werden, wenn eine „umfangreiche Verarbeitung“ erfolgt. Und bei Ärzten liegt eine solche nach Erwägungsgrund 91 nur nicht vor, wenn sie durch einen einzelnen Arzt oder Angehörigen eines Gesundheitsberufes durchgeführt wird. Folglich benötigen Praxen mit mehr als zehn Ärzten und Angestellten zwingend einen Datenschutzbeauftragten.
Grenzfall: kleine Arztpraxen
Während es für Einzelärzte und große Praxen klare Regeln gibt, geben weder die Datenschutzgrundverordnung noch das neue Bundesdatenschutzgesetz Aufschluss darüber, ob kleinere Arztpraxen mit weniger als zehn Mitarbeitern einen Datenschutzbeauftragten benötigen. Angesichts der hohen Bußgelder empfiehlt es sich jedoch, auch in diesen Praxen einen Datenschutzbeauftragten zu benennen. Bei Zweifeln besteht außerdem die Möglichkeit, sich bei der zuständigen Aufsichtsbehörde des jeweiligen Bundeslandes abzusichern.
