Ärzte bekommen intime Einsichten in das Leben ihrer Patienten. Dies ist auch nötig um richtige Diagnosen zu stellen. Ihre Erkenntnisse sind stets vertraulich zu behandeln. Brauchen Arztpraxen einen Datenschutzbeauftragten? Und was sagt die Datenschutz-Grundverordnung (DSGVO) dazu?
Der Inhalt im Überblick
Besonders schützenswert: Gesundheitsdaten
Das Verhältnis eines Patienten zu seinem Arzt ist im Idealfall eines das von Vertrauen geprägt ist. Krankheit und Leiden sind keine Themen mit denen die meisten von uns gerne freizügig umgehen. Dieser Tatsache trägt auch der Europäische Gesetzgeber Rechnung, indem er Gesundheitsdaten gem. Art. 9 DSGVO als „besondere Kategorie personenbezogener Daten“ eingestuft hat. Ein Bereich also, der besonderen Schutz genießen soll.
Ob jede Arztpraxis einen Datenschutzbeauftragten braucht, ist nicht so einfach zu beantworten. Die Verpflichtung für die Benennung eines Datenschutzbeauftragten folgt aus Art. 37 DSGVO. Interessant ist hier insb. Abs. 1 lit. c), wonach ein Datenschutzbeauftragter zu benennen ist, wenn
„die Kerntätigkeit des Verantwortlichen […] in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 […] besteht.“
Kerntätigkeit und Umfang der Verarbeitung
Das Ziel von Ärzten ist es, ihre Patienten gesund zu machen. Um dies optimal zu bewerkstelligen, erfragen und zeichnen sie die Krankengeschichte und sonstige persönliche Informationen auf. Dies ist für eine Auswertung unabdingbar, oftmals auch über einen längeren Zeitraum. Es ist eines der Haupttätigkeiten eines Arztes und somit eine Kerntätigkeit iSd. Gesetzes. Die Voraussetzung wird daher eigentlich immer erfüllt sein.
Ein anderer Begriff erfordert derweil mehr Beachtung. Die Verarbeitung muss dem Wortlaut nach „umfangreich“ sein. Es stellt sich die Frage, ab wann dies anzunehmen sein wird. Der Begriff „umfangreich“ ist in der Datenschutz-Grundverordnung selbst nicht weiter definiert, findet allerdings in Art. 35 DSGVO (Datenschutz-Folgenabschätzung) weitere Verwendung. In Erwägungsgrund 91 heißt es hierzu u.a.:
„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten […] betrifft und durch einen einzelnen Arzt […] erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“
Größe der Praxis ist entscheidend
Der Gesetzgeber gibt uns mit dieser Ausführung eine Orientierungshilfe insofern an die Hand, als dass eine Untergrenze festgelegt wird. Eine Einzelpraxis muss grundsätzlich keinen Datenschutzbeauftragten bestellen. Anders kann es aber bei Gemeinschaftspraxen aussehen. Für diese gilt die Ausnahme nicht mehr. Aber ab wann fängt eine „umfangreiche Verarbeitung“ denn nun an? Es kommt drauf an. Gesichert ist, ab wann die Schwelle auf jeden Fall überschritten wird. Gem. § 38 BDSG (neue Fassung) bei einer Beschäftigungszahl von 10 Personen in einer Praxis.
Aber was ist nun mit all den Arztpraxen die >1 und <10 Mitarbeiter zählen? Eine befriedigende Antwort kann an dieser Stelle nicht gegeben werden. Es wird sich erst herausstellen müssen, welche Zahl zu einer Verpflichtung führt. Zu empfehlen ist bis dahin schlicht, dass Praxen ab zwei Ärzten entweder einen Datenschutzbeauftragten benennen oder sich nachfragend an ihre zuständige Datenschutzbehörde wenden, um sich keinem Bußgeldrisiko auszusetzen.
Laut Impulse benötigt auch die kleinste Arztpraxis wegen der Datenschutzfolgenabschätzung einen Datenschutzbeauftragten impulse.de/recht-steuern/rechtsratgeber/dsgvo-checkliste/7297857.html Das Unternehmen verarbeitet Daten, für die eine Datenschutz-Folgenabschätzung nötig ist. Das ist bei allen Daten der Fall, bei denen ein hohes Risiko für die Betroffenen besteht, etwa bei Daten zu ihrer ethnischen Herkunft, sexuellen Orientierung, Gesundheit oder zur politischen Einstellung. Auch eine kleine psychotherapeutische Praxis, die solche Daten in der Patientenakte speichert, braucht also einen Datenschutzbeauftragten.
Ist es nicht auch denkbar, dass zb ein Arzt einen Datenschutzbeauftragten nur für die DSFA benennt. Oder, das hohe Risiko sozusagen verarbeitungsimmanent ist und grundsätzlich mit entsprechenden TOMs gemindert wird.
Jein. Wenn es sich um, wie oben dargestellt, eine Praxis mit nur einem Arzt handelt, ist es im Normalfall nicht zwingend, dass ein Datenschutzbeauftragter ernannt wird. Aber auch dieser muss stets sicherstellen, dass die personenbezogenen Daten, die er erhebt, sicher gespeichert und verarbeitet werden. Hierfür kann die kurzfristige Hinzuziehung eines (externen) Datenschutzbeauftragten sinnvoll sein.
Wenn die Praxis allerdings größeren Umfangs ist, kann die Beauftragung eines Datenschutzbeauftragen nicht durch Datenschutz-Folgeabschätzungen und/oder hinreichende TOMs ersetzt werden. Dagegen spricht der Sinn und Zweck eines Datenschutzbeauftragen und der Wortlaut des Gesetzes „…benennen auf jeden Fall einen Datenschutzbeauftragten…“
Wer eine DSFA machen muss, benötigt einen DSB – so § 38 BDSG (neu). Die Frage ist aber, ob und wenn nicht generell dann ab wann eine Arztpraxis mit weniger als 10 Mitarbeitern (Ärzte mitgerechnet) DSFA machen muss.
Die Tätigkeit von Ärzten beinhaltet ein hohes Risiko, dieses ist auch mit der Verarbeitung der personenbezogenen Daten verbunden (Art. 35 Abs. 1 DSGVO) Zudem werden umfangreiche Mengen an Gesundheitsdaten verarbeitet, die unter besonderem Schutz stehen (Art. 35 Abs. 3 DSGVO).
Die Aufsichtsbehöden müssen Listen vorgeben, wofür DSFA erforderlich sind und können Listen vorgeben, wo keine DSFA erforderlich sind (Art. 35 Abs. 4 und 5). Gibt es da schon von Aufsichtsbehörden entsprechende Listen?
@Dr.Datenschutz: Worauf stützen Sie Ihre Einschätzung, dass im Normfall eine Praxis mit einem Arzt keinen DSB benötigt?
Leider ist uns noch keine Liste dt. Aufsichtsbehörden für die Fälle bekannt, bei denen eine DSFA durchgeführt werden muss (sog. Blacklist). Im Ausland gibt es sie teilweise schon, wir berichteten.
Unsere Einschätzung stützen wir auf den Wortlaut des Erwägungsgrundes (s.o.) und Meinungen in der Literatur (z.B. Jandt in Kühling/Buchner). Hierbei werden wir auch vom Bayrischen Landesamt für Datenschutz unterstützt: https://www.lda.bayern.de/media/muster_5_arztpraxis.pdf. Lesen Sie dort unter der Überschrift Wesentliche DS-GVO-Anforderungen für die Arztpraxis die Punkte A und I.