+49 6151 627272-0 info@resource.ag

Datenschutz für Ärzte

Die aktuelle Interpretation der Vorschriften geht dahin, dass in folgenden Fällen ein Datenschutzbeauftragter benannt werden muss:

 

  1. Die Arztpraxis ist Teil einer Behörde oder einer öffentlichen Stelle.
  2. Die Kerntätigkeit der Arztpraxis besteht in der Durchführung von Datenverarbeitungen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von Patienten erforderlich macht.
  3. Die Kerntätigkeit der Arztpraxis besteht in der umfangreichen Verarbeitung von besonderen Kategorien von Daten i.S.d. Art. 9 DSGVO (insbesondere Gesundheitsdaten).

 

Die erste Bedingung trifft selten zu. Punkt 2 zielt auf einige wenige Niederlassungen, die sich mit der Erhebung von Daten zu Forschungszwecken oder Ähnlichem beschäftigen.
Punkt 3 hingegen ist aufgrund der Formulierung zunächst strittig: Was definiert eine „umfangreiche“ Verarbeitung? Im aktuellen Verordnungstext findet sich die Definition, dass dieser nötige Umfang vorausgesetzt wird, wenn mehrere Ärzte zusammen eine Praxis betreiben.

Das neue Bundesdatenschutzgesetz regelt diese Limitierung klarer:

Nach § 38 Abs. 1 ist ein Datenschutzbeauftragter zu benennen, wenn

  1. in der Arztpraxis in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  2. in der Arztpraxis Datenverarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung i.S.d. Artikel 35 DSGVO unterliegen.

 

Die einzige Ausnahme, in denen also kein DSB gefordert wird, sind Einzelärzte mit weniger als zwanzig Mitarbeitern.

Bei Gemeinschaftspraxen mit mehr als zwanzig Mitarbeitern ist in jedem Fall ein Datenschutzbeauftragter gefordert.

Bei Praxisgemeinschaften (im Grunde also Einzelärzten) mit weniger als zwanzig Mitarbeitern empfehlen wir aufgrund der noch nicht klar geregelten Definition sicherheitshalber ebenfalls die Benennung eines Datenschutzbeauftragten.