Wie erkenne ich, ob ich in meiner Praxis eine:n DSB – Datenschutzbeauftragte:n brauche? Datenschutz ist in Arztpraxen ist ein wichtiges Thema, darüber sind sich Ärzt:innen, Patient:innen und Datenschützer:innen einig. Doch gelten für alle Arztpraxen die gleichen Richtlinien und Anforderungen? Ist es zum Beispiel für jede Praxis gleichermaßen nötig, einen Datenschutzbeauftragten zu benennen?
Die Unterschiede liegen wie so oft im Detail. Als Leitfaden eignen sich dazu die folgenden fünf Punkte, deren Erfüllung es für die eigene Praxis zu überprüfen gilt.
1) Öffentliche Behörde/ Stelle
Fangen wir mit einer einfachen Frage an. Zunächst stellt sich nämlich die Frage, ob Ihre Praxis eine öffentliche Stelle oder Behörde ist oder zumindest als Teil einer solchen zugehörig ist. Dieser Punkt sollte für die eigene Praxis recht schnell mit „ja“ oder „nein“ beantwortet werden können.
2) Anzahl der Mitarbeiter:innen
Der nächste relevante Punkt ist die Anzahl der angestellten Mitarbeiter:innen, die dauerhaft mit der Verarbeitung der Daten befasst sind. Sobald Sie mindestens 20 Arbeitnehmer:innen haben, unabhängig von der Art der Anstellung (Vollzeit, Teilzeit, studentisch etc.), gilt dieser Punkt bereits als erfüllt. Also: Einmal durchzählen, bitte!
3) Verarbeitung von personenbezogenen Daten
Gehen wir mit dem nächsten Punkt noch etwas weiter ins Detail: Liegt die Kerntätigkeit Ihrer Praxis in der umfangreichen Verarbeitung von besonderen Kategorien personenbezogener Daten (gem. Art. 9 Abs.1 DSGVO; u.a. Gesundheitsdaten)?
Jetzt fragen Sie sich sicherlich, wann denn nun eine sogenannte „umfangreiche“ Verarbeitung vorliegt? Um dies einordnen zu können gibt die DSK eine recht brauchbare Einschätzung. Aus dieser Einschätzung der DSK ergibt sich, dass in der Regel bei den meisten Praxen gar keine „umfangreiche“ Verarbeitung von besonderen Kategorien personenbezogener Daten vorliegt und damit in der Schlussfolgerung die Arztpraxis keinen Datenschutzbeauftragten ernennen muss.
Doch wann ist denn nun von dieser „umfangreichen“ Verarbeitung auszugehen? Dieser spezielle Fall liegt beispielsweise bei der Beteiligung in der Forschung vor oder wenn Sie für eine große Zahl anderer Ärzt:innen personenbezogene Daten in entsprechend großem Ausmaß verarbeiten. Eine etwas diffuse Erklärung, jedoch gibt es hier gesetzlich keine klare Vorgabe.
4) Zweck der Datenverarbeitung
Auch der nächste Punkt ist für die meisten Praxen im Regelfall nicht relevant. Und zwar geht es darum, ob in Ihrer Praxis personenbezogene Daten geschäftsmäßig zum Zweck der (anonymisierten) Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet werden. Dies ist nicht der Fall? Super, abgehakt!
5) Pflicht zur Datenschutz-Folgenabschätzung
Auf den ersten Blick geht es etwas undurchsichtig weiter, denn der fünfte und letzte Punkt fragt danach, ob Ihre Praxis zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) verpflichtet ist. Sie wissen nicht so recht, ob dies bei Ihnen der Fall ist? Dann können Sie hier Informationen über die Erforderlichkeit einer DSFA finden und mit dem Ausfüllen des Fragebogens im Schnelleinstieg herausfinden, ob Sie gegebenenfalls sogar zur Durchführung einer DSFA verpflichtet sind.
Benennung eines Datenschutzbeauftragten – ja oder nein?
Um nun sicher zu gehen, ob Sie einen Datenschutzbeauftragten benennen müssen oder nicht, gilt es also, die vorherigen fünf Punkte zu prüfen. Trifft mindestens einer dieser fünf Punkte zu, ist die Ernennung eines Datenschutzbeauftragten für Ihre Praxis notwendig. Wenn jedoch keiner der fünf Punkte zutrifft, können Sie auf die Benennung ruhigen Gewissens verzichten.
Erforderlichkeitsprüfung
Sie sind sich nicht so sicher, ob auf Sie einer der fünf Punkte zutrifft und möchten alles richtig machen? Auch im Rahmen des Schnelleinstiegs wird eine Erforderlichkeitsprüfung durchgeführt. Das bedeutet, Sie können nach Beantwortung der Fragen sehen, ob Sie in Ihrer Praxis zu einer Bestellung verpflichtet sind, oder nicht. Natürlich gibt es auch hierbei wieder etwas zu beachten: Unabhängig davon, was bei der Überprüfung herauskommt, muss das Ergebnis der Erforderlichkeitsprüfung dokumentiert werden. Das geht beispielsweise ganz einfach mit unserer Vorlage Prüfung Datenschutzbeauftragter.
Los geht es also mit der Erforderlichkeitsprüfung und so schnell herrscht wieder ein bisschen mehr Klarheit bei dem Thema Datenschutz in Arztpraxen.
Warum ist Datenschutz in der Arztpraxis mittlerweile überhaupt wichtiger denn je und welche Maßnahmen sind zu ergreifen, um einen gesetzeskonformen Datenschutz in der Arztpraxis umzusetzen? Lesen Sie hier mehr zu diesem Thema.
