Datenschutz in der Arztpraxis: Brauchen Ärzte einen Datenschutzbeauftragten?
Daten über die eigene Gesundheit sind sensibel zu handhaben. Dies spiegelt sich von jeher wider in der ärztlichen Schweigepflicht. Im Rahmen der Möglichkeiten elektronischer Datenverarbeitung drängt sich von Patientenseite her immer mehr das Bedürfnis auf, die eigenen Patientendaten besonders zu schützen. Niedergelassene Ärzte in Deutschland müssen generell die Bestimmungen des Bundesdatenschutzgesetzes für den nicht-öffentlichen Bereich beachten. Im Folgenden wird die Frage untersucht, inwieweit in Arztpraxen die Beschäftigung eines eigenen Datenschutzbeauftragten relevant ist.
Ist das so?
Beitrag von Sven Adam
16.09.2018, 18:02 Uhr
Der Erwägungsgrund 91 zu Art. 35 DS-GVO sowie die Entschließung der Datenschutzkonferenz gegen die Annahme einer „umfangreichen“ Datenverarbeitung durch einen einzelnen Arzt spricht gegen die Pflicht zur Stellung eines Datenschutzbeauftragten. Diese Ansicht wird im Übrigen auch gestützt von der Europäischen Kommission: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers/does-my-company-organisation-need-have-data-protection-officer-dpo_en
Da eine „umfangreiche“ Verarbeitung in beiden in Frage kommenden Regelungen des Art. 37 DS-GVO als Voraussetzung für die Pflicht zur Bestellung eines Datenschutzbeauftragten aufgeführt ist, liegt nach Art. 37 DS-GVO keine Pflicht vor.
Es bleibt die Vorschrift des § 38 (1) S.2 BDSG zu beachten: „Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, […] haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“
Der in § 38 (1) S. 2 BDSG zitierte Art. 35 (3) Buchstabe c) setzt wiederum eine „umfangreiche“ Verarbeitung voraus und scheidet aus, die anderen Buchstaben des dritten Absatzes sind nicht einschlägig.
Art. 35 (1) S.1 DS-GVO regelt noch allgemein: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ Auch hier wird in einer mit „und“ verknüpften Aufzählung auf den Umfang der Verarbeitung abgestellt, so daß die Erfordernis zur Bestellung eines Datenschutzbeauftragten grundsätzlich nicht zu erkennen ist, solange die Praxis von einem einzelnen Arzt betrieben wird.
Weitere Kommentare zu diesem Artikel
-
Arztpraxis: neues für die Klatschtanten von Markus Gettmann, 20.01.2010, 13:08 Uhr
Sehr interessante Frage! Ich kann nur aus Erfahrung von meinem Hausarzt berichten: dieser befindet sich auf dem Land und dort ist es seit jeher ganz normal, dass der "Anmeldebereich" gerade nicht vom Warteraum getrennt ist. Sollten Sie also eine Untersuchung vornehmen lassen und vor Ort nach dem... » Weiterlesen
Eigenen Kommentar schreiben?
Gerne können auch Sie uns einen Kommentar zu diesem Artikel hinterlegen.
Kommentar schreiben