Wie erkenne ich, ob ich für meine Praxis einen DSB brauche?

Datenschutz in Arztpraxen – Wie erkenne ich, ob ich für meine Praxis einen Datenschutzbeauftragten brauche?

Datenschutz ist in Arztpraxen ist ein wichtiges Thema, darüber sind sich Ärzt:innen, Patient:innen und Datenschützer:innen einig. Doch gelten für alle Arztpraxen die gleichen Richtlinien und Anforderungen? Ist es zum Beispiel für jede Praxis gleichermaßen nötig, einen Datenschutzbeauftragten zu benennen?

Die Unterschiede liegen wie so oft im Detail. Als Leitfaden eignen sich dazu die folgenden fünf Punkte, deren Erfüllung es für die eigene Praxis zu überprüfen gilt.

Fangen wir mit einer einfachen Frage an. Zunächst stellt sich nämlich die Frage, ob Ihre Praxis eine öffentliche Stelle oder Behörde ist oder zumindest als Teil einer solchen zugehörig ist. Dieser Punkt sollte für die eigene Praxis recht schnell mit „ja“ oder „nein“ beantwortet werden können.

Der nächste relevante Punkt ist die Anzahl der angestellten Mitarbeiter:innen, die dauerhaft mit der Verarbeitung der Daten befasst sind. Sobald Sie mindestens 20 Arbeitnehmer:innen haben, unabhängig von der Art der Anstellung (Vollzeit, Teilzeit, studentisch etc.), gilt dieser Punkt bereits als erfüllt. Also: Einmal durchzählen, bitte!

Gehen wir mit dem nächsten Punkt noch etwas weiter ins Detail: Liegt die Kerntätigkeit Ihrer Praxis in der umfangreichen Verarbeitung von besonderen Kategorien personenbezogener Daten (gem. Art. 9 Abs.1 DSGVO; u.a. Gesundheitsdaten)?
Jetzt fragen Sie sich sicherlich, wann denn nun eine sogenannte „umfangreiche“ Verarbeitung vorliegt? Um dies einordnen zu können gibt die DSK eine recht brauchbare Einschätzung. Aus dieser Einschätzung der DSK ergibt sich, dass in der Regel bei den meisten Praxen gar keine „umfangreiche“ Verarbeitung von besonderen Kategorien personenbezogener Daten vorliegt und damit in der Schlussfolgerung die Arztpraxis keinen Datenschutzbeauftragten ernennen muss.
Doch wann ist denn nun von dieser „umfangreichen“ Verarbeitung auszugehen? Dieser spezielle Fall liegt beispielsweise bei der Beteiligung in der Forschung vor oder wenn Sie für eine große Zahl anderer Ärzt:innen personenbezogene Daten in entsprechend großem Ausmaß verarbeiten. Eine etwas diffuse Erklärung, jedoch gibt es hier gesetzlich keine klare Vorgabe.

Auch der nächste Punkt ist für die meisten Praxen im Regelfall nicht relevant. Und zwar geht es darum, ob in Ihrer Praxis personenbezogene Daten geschäftsmäßig zum Zweck der (anonymisierten) Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet werden. Dies ist nicht der Fall? Super, abgehakt!

Auf den ersten Blick geht es etwas undurchsichtig weiter, denn der fünfte und letzte Punkt fragt danach, ob Ihre Praxis zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) verpflichtet ist. Sie wissen nicht so recht, ob dies bei Ihnen der Fall ist? Dann können Sie hier Informationen über die Erforderlichkeit einer DSFA finden und mit dem Ausfüllen des Fragebogens im Schnelleinstieg herausfinden, ob Sie gegebenenfalls sogar zur Durchführung einer DSFA verpflichtet sind.

Um nun sicher zu gehen, ob Sie einen Datenschutzbeauftragten benennen müssen oder nicht, gilt es also, die vorherigen fünf Punkte zu prüfen. Trifft mindestens einer dieser fünf Punkte zu, ist die Ernennung eines Datenschutzbeauftragten für Ihre Praxis notwendig. Wenn jedoch keiner der fünf Punkte zutrifft, können Sie auf die Benennung ruhigen Gewissens verzichten.

Sie sind sich nicht so sicher, ob auf Sie einer der fünf Punkte zutrifft und möchten alles richtig machen? Auch im Rahmen des Schnelleinstiegs wird eine Erforderlichkeitsprüfung durchgeführt. Das bedeutet, Sie können nach Beantwortung der Fragen sehen, ob Sie in Ihrer Praxis zu einer Bestellung verpflichtet sind, oder nicht. Natürlich gibt es auch hierbei wieder etwas zu beachten: Unabhängig davon, was bei der Überprüfung herauskommt, muss das Ergebnis der Erforderlichkeitsprüfung dokumentiert werden. Das geht beispielsweise ganz einfach mit unserer Vorlage Prüfung Datenschutzbeauftragter.

Los geht es also mit der Erforderlichkeitsprüfung und so schnell herrscht wieder ein bisschen mehr Klarheit bei dem Thema Datenschutz in Arztpraxen.

Dieser Eintrag wurde veröffentlicht am blog. Setzte ein Lesezeichen permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.