Startseite » DSGVO: Datenschutzbehörden beschliessen Erleichterung für (Zahn)arztpraxen
7. Mai 2018

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat in einer Entschließung vom 26.04.2018 für Erleichterung bei (Zahn)arztpraxen gesorgt.

Der Beschluss der Datenschutzbehörden des Bundes und der Länder im Wortlaut

„1. Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten.

Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DS-GVO auszugehen – in diesen Fällen ist unter Berücksichtigung von Punkt 3 dann kein Datenschutzbeauftragter zu benennen, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgenabschätzung vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen. Dies kann neben einer umfangreichen Verarbeitung (z.B. große Praxisgemeinschaften), die ohnehin nach Art. 37 Abs. 1 lit. c DS-GVO zu einer Benennungspflicht führt, beispielsweise beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen, der Fall sein. Der Datenschutzbeauftragte ist damit auch dann zu benennen, wenn weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben.“

Konsequenzen des Beschlusses der unabhängigen Datenschutzbehörden des Bundes und der Länder

Auch (Zahn)arztpraxen benötigen in der Regel nur einen Datenschutzbeauftragten, wenn die Schwellenwerte überschritten werden. Teilweise wurde in den Prüfstellen und in der Literatur aufgrund der Verarbeitung besonders geschützter Daten angenommen, dass jede Praxis einen benötigte. Durch den Beschluss ist hinsichtlich dieser Frage Klarheit geschaffen worden. Zu der weitergehenden Streitfrage, ob der oder die Praxisinhaber bei der 10-Personen-Regel mitzuzählen sind, haben sich die Datenschutzbehörden allerdings noch nicht definitiv geäußert.

Zwar handelt es sich um eine Entschließung hinsichtlich des Datenschutzbeauftragten. Allerdings ist das Kriterium der „umfangreichen Verarbeitung“ – und damit der Erwägungsgrund 91 der DSGVO – auch bei der Frage einschlägig, ob die Praxis eine sog. „Datenschutzfolgeabschätzung“ durchführen muss. Wenn die „umfangreiche Verarbeitung“ in (Zahn)arztpraxen nicht vorliegt, dürfte nach diesem Beschluss auch keine Datenschutzfolgeabschätzung notwendig sein.

Praxistipp

Sofern Sie sich unsicher sind, ob Sie zur Datenschutzfolgeabschätzung verpflichtet sind, können Sie sich gerne an uns wenden. Im Zweifel ist die Auslegung der DSGVO je nach Aufsichtsbehörde derzeit unterschiedlich geregelt. Noch kurz vor dem 25.05.2018 bleiben bei allen Beteiligten viel Fragen offen. Überdies gilt es die Frage zu beantworten, ob Sie den Datenschutzbeauftragten im Unternehmen haben oder diese Aufgabe outsourcen. Die Abwägung in jeweils im Einzelfall zu treffen.

Kategorien
Schlagwörter
Autor
Lic. iur. can. Urs Fabian Frigger
Herr Rechtsanwalt Lic. iur. can. Urs Fabian Frigger ist Fachanwalt für Medizinrecht.

Seine Schwerpunkte liegen im Bereich des gewerblichen Rechtsschutzes und der rechtssicheren Kooperationen im Gesundheitswesen. In diesem Zusammenhang vertritt er Leistungserbringer im ambulanten und stationären Sektor sowie Medizinproduktunternehmen in Fragen des Wettbewerbsrechts, des Antikorruptionsrechts sowie des Berufs- und Vertragsarztrechts. Weiterhin beschäftigt er sich mit Fragen des Datenschutzes in medizinischen Einrichtigungen.

Umfangreiche Erfahrungen besitzt er zudem in Spezialgebieten des Medizinrechts (vertragsärztliche Gesamtvergütung, Dialyse, Strahlenschutz in der Medizin).

Langjähriges politisches Engagement führte zu einem besonderen Interesse an gesundheitspolitischen Fragen. An der Frankfurt University of Applied Sciences hat er einen Lehrauftrag für Medizinrecht inne. Zudem betreut er für einen renommierten Kommentar zum SGB V die Rechtsfragen der Zahntechnik. Neben seinem juristischen Studium hat er auch das Studium des Kirchenrechts mit dem Lizentiat (Lic. iur. can.) abgeschlossen, was zu einer besonderen Kompetenz zur Beurteilung kirchlicher Einflüsse insbesondere im Krankenhausrecht führt. Mehr zu Lic. iur. can. Urs Fabian Frigger
Newsletter
Wollen Sie unter den Ersten sein, die über aktuelle Entwicklungen im Gesundheitsrecht und der Gesundheitspolitik informiert werden?

2 Antworten

  1. Vielen Dank für die Information, ich glaube das wäre mir sonst durchgegangen. Ein kleiner Hinweis:

    „Zu der weitergehenden Streitfrage, ob der oder die Praxisinhaber bei der 10-Personen-Regel mitzuzählen sind, haben sich die Datenschutzbehörden allerdings noch nicht definitiv geäußert.“

    Eigentlich schon. Direkt unter 1.: „Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort —EINSCHLIESSLICH— seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB).“

    Beste Grüße aus Dortmund
    Johannes Rehborn

  2. Zunächst freue ich mich, dass wir weitergeholfen haben. Und vielen Dank für den Hinweis.Ich halte diese Auslegung des Beschlusses der Datenschutzbehörden auch für sehr wahrscheinlich, auch wenn er der gut begründeten und m. E. herrschenden Meinung in der Literatur widerspricht.

    Gleichwohl haben die Datenschutzbehörden verzichtet, das Tatbestandsmerkmal „beschäftigt“ auszulegen, dass ja in der Literatur Kern des Anstoßes ist.

    Beste Grüße aus dem Taunus ins schöne Westfalen!
    Urs Frigger

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.