Home
Intern
veröffentlicht am 24. Mai 2018
Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) und das entsprechend überarbeitete Bundesdatenschutzgesetz (BDSG) in Kraft. Diese bring Änderungen mit sich, auf die sich auch Arztpraxen einzustellen hatten und noch haben. Nachfolgende Ausführungen dienen der Selbstkontrolle für diejenigen, die sich mit dem Thema bereits befasst haben und bestenfalls entsprechende Vorkehrungen getroffen haben. Für diejenigen, die aus welchen Gründen auch immer, die neuen Vorgaben noch nicht umgesetzt haben, soll dieser Beitrag insbesondere das heutzutage in aller Munde befindliche Thema „Datenschutzbeauftragter (DSB) und wann die Benennung eines solchen zur Pflicht wird” beleuchten und für die erneuten oder erst anstehenden Überlegungen in diesem Zusammenhang sensibilisieren.
[VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
Und
Bundesdatenschutzgesetz (BDSG) verkündet als Art. 1 des Gesetzes vom 30. Juni 2017, (BGBl. I S. 2097); Inkrafttreten gem. Art. 8 Abs. 1 des Gesetzes am 25. Mai 2018]
Grundsätzlich ist der Praxisbetreiber selbst der Verantwortliche im Sinne des neuen Datenschutzrechts. Dies bedeutet in erster Linie, dass er sicherzustellen hat, dass die Vorschriften über den Datenschutz eingehalten werden. Dazu gehört auch die Prüfung, ob ein Datenschutzbeauftragter überhaupt und bejahendenfalls, ob ein interner oder externer DSB bestellt wird. Die Bestellungsentscheidung wird jedoch oft davon abhängig gemacht, ob eine rechtliche Verpflichtung zur Bestellung gegeben ist oder nicht. Deshalb soll in diesem Beitrag vor allem die Frage, wann in einer Arztpraxis überhaupt ein Datenschutzbeauftragter bestellt werden muss, geklärt werden.
Es wird derzeit von allen Seiten laut proklamiert, dass die Benennung eines Datenschutzbeauftragten im Rahmen einer Arztpraxis erst notwendig sei, wenn dort mehr als neun Personen ständig personenbezogene Daten – insbesondere Patientendaten (Stammdaten und/oder Behandlungsdaten), aber auch Kontaktdaten von Kooperationspartnern, Auftragnehmern und Lieferanten, soweit es sich bei diesen um natürliche Personen handelt, sowie Personaldaten von Mitarbeitern – erheben, verarbeiten und nutzen. Das stimmt im Grundsatz, nichtsdestotrotz sollte der Praxisinhaber dies für seine Praxis eigenverantwortlich prüfen und dabei auch die Folgen der von Tag zu Tag voranschreitenden Digitalisierung in der Medizinerwelt nicht außer Acht lassen. Denn besonders in einer Praxis, in der Ärzte sich zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen haben oder Ärzte, die ihrerseits weitere Ärzte beschäftigen, ist laut der Konferenzteilnehmer der unabhängigen Datenschutzbehörden des Bundes und der Länder ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten. Dies führt wiederum zur Verpflichtung zur Durchführung einer Datenschutzfolgenabschätzung und damit zwingend zur Benennungspflicht eines Datenschutzbeauftragten. Die Benennungspflicht kann nach Ansicht der Konferenzteilnehmer auch beim Einsatz von neuen Technologien (etwa Telemedizin, Verwendung einer nicht marktüblichen Praxissoftware, Speicherung in einer Cloud in einem Drittstaat etc.), die ein hohes Risiko mit sich bringen, bestehen. Der Datenschutzbeauftragte sei damit auch dann zu benennen, wenn weniger als zehn Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben (vgl. Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder zur Datenschutzbeauftragten-Bestellpflicht nach Artikel 37 Abs. 1 lit. c) Datenschutz-Grundverordnung bei Arztpraxen – Düsseldorf, 26. April 2018).
Bei Zweifel sollte man bedenken, dass eine freiwillige Benennung von Datenschutzbeauftragten jederzeit möglich – und auch grundsätzlich zu empfehlen ist –, um die Einhaltung der datenschutzrechtlichen Bestimmungen zu gewährleisten, eine interne Kontrollinstanz und Ansprechpartner für die Mitarbeiter und die Aufsichtsbehörde zu haben. Gemäß Art. 83 Abs. 5 DSGVO wurden nämlich die Sanktionen verstärkt, indem Verstöße gegen die datenschutzrechtlichen Informationspflichten mit Strafen in Höhe von bis zu 20 Mio. Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, geahndet werden können.
Wurde eine Person als Datenschutzbeauftragte(r) benannt, sind die Kontaktdaten der zuständigen Aufsichtsbehörde mitzuteilen. Die für das jeweilige Bundesland zuständige Aufsichtsbehörde kann der Seite der Bundessbeauftragten für den Datenschutz und die Informationsfreiheit
entnommen werden. Für Stellen mit Sitz in Nordrhein-Westfalen ist die LDI NRW (Landesbeauftragte für Datenschutz und Informationsfreiheit) die zuständige Aufsichtsbehörde. Zur kurzzeitigen Entwarnung hat jedenfalls die LDI NRW mitgeteilt, dass es in NRW nicht beabsichtigt ist, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31. Dezember 2018 als Datenschutzverstöße zu verfolgen oder zu ahnden (vgl. Webseite Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, zuletzt abgerufen am 18. Mai 2018).
Bei Fragen stehen wir Ihnen gerne zur Verfügung.
Kompass Gesundheit und Soziales
Norman Lenger-Bauchowitz, LL.M.
Mediator & Rechtsanwalt, Fachanwalt für Steuerrecht, Fachberater für Restrukturierung & Unternehmensplanung (DStV e.V.)
Partner
Anfrage senden
Profil
