Arztpraxen verarbeiten täglich hochsensible Gesundheitsdaten ihrer Patienten. Daher unterliegen sie strengen Datenschutzvorschriften gemäß der DSGVO. Eine zentrale Frage für viele Praxen ist: Muss ein Datenschutzbeauftragter benannt werden?
Die Antwort hängt von mehreren Faktoren ab, insbesondere von der Anzahl der Mitarbeiter und dem Umfang der Patientendatenverarbeitung. Doch wann genau besteht eine Pflicht zur Benennung eines Datenschutzbeauftragten? Und was müssen Arztpraxen tun, um DSGVO-konform zu handeln?
Gesetzliche Grundlagen: Wann besteht die Benennungspflicht?
Laut Artikel 37 DSGVO und § 38 BDSG besteht eine Pflicht zur Benennung eines Datenschutzbeauftragten, wenn eine Arztpraxis:
- Mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt
- Eine umfangreiche Verarbeitung besonderer Kategorien von Daten durchführt – hierzu zählen insbesondere Gesundheitsdaten
Doch wie wird der Begriff „umfangreiche Verarbeitung“ genau definiert?
➡ Laut DSGVO-Erwägungsgrund 91 liegt keine umfangreiche Verarbeitung vor, wenn die Datenverarbeitung durch eine einzelne Ärztin oder einen einzelnen Arzt erfolgt.
➡ Die Datenschutzkonferenz der Bundesländer (DSK) hat bereits 2018 beschlossen, dass eine Verarbeitung als „umfangreich“ gilt, wenn mindestens zehn Personen in der Praxis mit Patientendaten arbeiten.
Wann muss eine Arztpraxis einen Datenschutzbeauftragten benennen?
Die Datenschutzexperten haben eine differenzierte Einschätzung entwickelt:
1. Arztpraxen mit 20 oder mehr Personen
➡ Pflicht zur Benennung eines Datenschutzbeauftragten! Sobald mindestens 20 Personen regelmäßig mit Patientendaten arbeiten, muss die Praxis einen Datenschutzbeauftragten benennen.
2. Arztpraxen mit 10 bis 19 Personen
➡ Individuelle Prüfung erforderlich
- Hier kommt es auf den Umfang der Datenverarbeitung an.
- Praxisinhaber müssen Faktoren wie die Anzahl der Patientenfälle, die Größe der Dokumentation sowie archivierte Daten einbeziehen.
- Falls die Verarbeitung als „umfangreich“ einzustufen ist, besteht ebenfalls die Benennungspflicht.
- Die Entscheidung muss schriftlich dokumentiert werden.
3. Arztpraxen mit weniger als 10 Personen
➡ Keine generelle Benennungspflicht
- Dennoch muss geprüft werden, ob die Praxis trotz geringer Mitarbeiterzahl umfangreiche Patientendaten verarbeitet.
- Falls ja, kann auch hier eine Benennung erforderlich sein.
➡ In jedem Fall müssen alle Arztpraxen die Datenschutzanforderungen der DSGVO einhalten – unabhängig von der Pflicht zur Benennung eines Datenschutzbeauftragten.
Warum ein Datenschutzbeauftragter in jeder Praxis sinnvoll ist
Auch wenn eine Praxis keinen Datenschutzbeauftragten benennen muss, bleibt der Schutz von Patientendaten eine zentrale Verpflichtung.
- Das Patientengeheimnis muss jederzeit gewahrt werden
- Ein Datenschutzbeauftragter hilft, Fehler zu vermeiden und Bußgelder zu verhindern
- Bereits die erste Patientenakte muss DSGVO-konform verarbeitet werden
➡ Ein externer Datenschutzbeauftragter kann Praxen entlasten und sicherstellen, dass alle Datenschutzvorgaben eingehalten werden.
Was müssen Arztpraxen tun?
- Prüfen, ob eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht
- Dokumentieren, falls keine umfangreiche Verarbeitung vorliegt
- Unabhängig davon: Datenschutzmaßnahmen und ärztliche Schweigepflicht konsequent umsetzen
Falls Arztpraxen Unterstützung bei der Datenschutzprüfung oder der Umsetzung von DSGVO-Maßnahmen benötigen, stehen wir gern beratend zur Seite.