Wann benötige ich als Arzt einen Datenschutzbeauftragten?
Ärzte verarbeiten in aller Regel Gesundheitsdaten. Dabei bekommt der Arzt einen intimen Einblick über den Körper und das Leben des Patienten. Hierbei unterliegt der Arzt der Schweigepflicht und muss stets Ihre Daten vertraulich behandeln. Aber benötigt ein Arzt einen Datenschutzbeauftragten? Unterliegt dieser dann ebenfalls der Schweigepflicht?
Gesundheitsdaten
Das Grundfundament, auf dem das Verhältnis zwischen Patienten und behandelnden Ärzten erbaut ist, sollte immer das Vertrauen sein. Niemand, geht mit Krankheiten oder Leiden gerne freizügig um. Dieses unangenehme Thema sieht auch der Gesetzgeber gleich. Denn Gesundheitsdaten sind laut Art. 9 DSGVO als besondere Kategorie von personenbezogenen Daten eingestuft. Diese Daten sieht der Gesetzgeber als überdurchschnittlich schützenswert an.
Dieser besondere Schutz ist jedoch Komplex in seiner praktischen Umsetzung. Daher lässt sich die Frage, ob ein Datenschutzbeauftragter für jede Arztpraxis benannt werden muss, nicht allgemein beantworten.
Kerntätigkeit der Verarbeitung von Gesundheitsdaten
Ein Datenschutzbeauftragter muss insbesondere benannt werden so fern nach Art. 37 Abs. 1 lit. c) DSGVO „die Kerntätigkeit des Verantwortlichen […] in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 […] besteht.“
Doch wann besteht die Kerntätigkeit des Verantwortlichen in der umfangreichen Bearbeitung von Art. 9 Daten?
Aufgrund dessen das ein Arzt Patienten heilen soll und hierbei den Krankheitsverlauf genaustens Dokumentieren muss. Ist die Frage, ob die Haupttätigkeit eines Arztes in der Verarbeitung von besonderen Kategorien liegt leicht beantwortet. Jedoch steckt in der Definition von Art. 37 Abs. 1 lit. c) DSGVO ein Begriff der viel ausschlaggebender ist. Die Verarbeitung muss nämlich umfangreich sein. Hierbei hilft ein Erwägungsgrund aus, welcher die Ausübung einer Datenschutzfolgeabschätzung (Art. 35 DSGVO) für Arztpraxen behandelt. In Erwägungsgrund 91 heißt es: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten […] betrifft und durch einen einzelnen Arzt […] erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“
Dieser Erwägungsgrund gibt somit eine Art Orientierungshilfe für Art. 37 DSGVO.
Zusammenfassend ist also die Größe der Praxis entscheidend.
Eine Einzelpraxis muss somit keinen Datenschutzbeauftragten bestellen sofern nicht die Grenze gemäß § 38 BDSG (neue Fassung) von 20 Mitarbeitern, welche personenbezogene Daten verarbeiten, überschritten ist. Anders sieht das Ganze bei Gemeinschaftspraxen aus. Hier kann eine Bestellung eines Datenschutzbeauftragten auch schon bei unter 20 Mitarbeitern vonnöten sein. Solange es hierzu aber kein Urteil oder ähnliches gibt, empfiehlt es sich ab zwei Ärzten entweder einen Datenschutzbeauftragten zu benennen oder es sollte eine Anfrage an die zuständige Datenschutzbehörde gestellt werden. Dadurch kann das Bußgeldrisiko auf null gesetzt werden.
Gerne stehen wir für weitere Fragen zur Verfügung (nehmen Sie Kontakt mit der machcon auf)