Nach der Datenschutzgrundverordnung (DSGVO) ergeben sich teilweise neue Leitlinien für Unternehmen, in Bezug auf die Notwendigkeit der Bestellung eines Datenschutzbeauftragten. Darüber hinaus können auch freiberuflich Tätige von der Pflicht zur Bestellung betroffen sein. So stellt sich etwa die Frage, ob jede Arztpraxis einen Datenschutzbeauftragten benötigt.
Welche Daten sind betroffen?
Ärzte und ihre Mitarbeiter bekommen in der Regel intime Einblicke in das Leben und Leiden ihrer Patienten. Die sich daraus ergebenden Daten sind nicht bloß aus Sicht der Patienten besonders schützenswert. Die Datenschutzgrundverordnung enthält in Art. 9 DSGVO einen Passus, welcher sogenannte Gesundheitsdaten als „besondere Kategorie personenbezogener Daten“ einstuft. Somit hat der Europäische Gesetzgeber Daten, die im Rahmen eines ärztlichen Behandlungsverhältnisses, anfallen, als besonders schützenswert festgesetzt.
Pflicht zur Bestellung eines Datenschutzbeauftragten
Art. 9 DSGVO normiert jedoch selbst keine konkrete Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Die Verpflichtung folgt allgemein aus Art. 37 DSGVO. Nach dieser Vorschrift ist ein Datenschutzbeauftragter u.a. dann zu benennen, wenn „die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 […] besteht.“ Wann ein Datenschutzbeauftragter konkret zu bestellen ist, ergibt sich in solchen Fällen also aus der Kerntätigkeit des Verantwortlichen und dem Umfang der Verarbeitung.
Kerntätigkeit von Ärzten und Umfang der Verarbeitung
Eine der Kerntätigkeiten eines Arztes ist zweifelsfrei das Dokumentieren und Sammeln von Befunden und persönlichen Informationen der Patienten. Nur durch Rückgriff auf diese Daten ist eine zielführende Behandlung möglich.
Es stellt sich jedoch die Frage, ab wann die Verarbeitung personenbezogener Daten als „umfangreich“ anzusehen ist. In der Datenschutzgrundverordnung findet sich keine Definition dieses Begriffes. Daher ist ein Rückgriff auf Erwägungsgrund 91 notwendig. Darin heißt es u.a.: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten […] betrifft und durch einen einzelnen Arzt […] erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“ Aus Erwägungsgrund 91 lässt sich sodann eine Untergrenze herauslesen. Wer als Arzt allein eine Praxis betreibt, muss grundsätzlich keinen Datenschutzbeauftragten bestellen.
Weitere Anhaltspunkte
Anderes gilt im Umkehrschluss daher für Gemeinschaftspraxen. Denn für solche Praxen greift die Ausnahme in Erwägungsgrund 91 nicht ein. Dieser Umstand führt zur erneuten Fragen nach dem Umfang der Verarbeitung. Einen weiteren Anhaltspunkt liefert § 38 des Bundesdatenschutzgesetzes (BDSG). Nach dieser Norm ist ein Datenschutzbeauftragter dann zu bestellen, wenn eine Praxis eine Beschäftigungszahl von 10 Personen erreicht.
Für alle Praxen, die nicht mehr unter die Ausnahme von Erwägungsgrund 91 fallen, jedoch nicht den Schwellenwert aus § 38 BDSG erreichen, lässt sich eine konkrete Verpflichtung zur Bestellung eines Datenschutzbeauftragten aktuell weder per se bejahen, noch verneinen.
Fazit
Datenschutzgrundverordnung und Bundesdatenschutzgesetz beantworten die Frage nach der Verpflichtung zur Bestellung eines Datenschutzbeauftragen für niedergelassene Ärzte nur eingeschränkt. Im Zweifel können Betroffene Rat bei der zuständigen Datenschutzbehörde suchen. Gerne helfen auch wir Ihnen in oben skizzierten Fragestellungen und erarbeiten eine individuelle Lösung.