Datenschutz im Gesundheitsbereich

EU-Datenschutzgrundverordnung kommt

Auf europäischer Ebene ist inzwischen die EU-Datenschutzgrundverordnung (DSGVO) verabschiedet worden. Sie gilt ab dem 25. Mai 2018 in den EU-Mitgliedsstaaten unmittelbar und löst damit die nationalen Datenschutzgesetze weitgehend ab.

Erforderlichkeit eines Datenschutzbeauftragten

Die Benennung eines Datenschutzbeauftragten (DSB) ist in Deutschland ab dem 25. Mai 2018 erforderlich, wenn in der Regel mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. In vielen Arztpraxen ist das nicht der Fall.
Allerdings muss nach der DSGVO ein Datenschutzbeauftragter auch dann benannt werden, wenn die umfangreiche Verarbeitung besonders geschützter Daten den Kernbereich der Tätigkeit bildet oder eine Datenschutzfolgeabschätzung erforderlich ist. Auf die Zahl der Mitarbeiter kommt es dann nicht mehr an.

Datenverarbeitung als Kerntätigkeit

Selbstverständlich bildet die Ausübung der Heilkunde den Kernbereich Ihrer ärztlichen Tätigkeit. Allerdings bestehen – insbesondere für Vertragsärzte – sehr umfangreiche Dokumentations- und Abrechnungspflichten, deren Grundlage die Erhebung umfangreicher Daten bildet. Ein „Verantwortlicher“ – so die Bezeichnung im Datenschutzrecht – kann durchaus mehrere Kerntätigkeiten haben. So spricht bereits dem Wortlaut nach Einiges dafür, dass Arztpraxen, in denen regelmäßig und umfangreich besonders geschützte Patienten- bzw. Gesundheitsdaten verarbeitet werden, dem Anwendungsbereich der genannten Bestimmungen unterliegen.

Einzelärzte brauchen keinen DS-Beauftragten

Diese Überlegung wird durch die Erwägungsgründe der DSGVO gestützt. In den Erwägungsgründen erläutert der europäische Gesetzgeber, aus welchen Motiven und mit welcher Absicht er bestimmte Vorschriften erlassen hat. Sie dienen daher als wichtige Verständnisquelle europäischen Rechts. Die letzten beiden Sätze von Erwägungsgrund 91 lauten wie folgt:
„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgen-Abschätzung nicht zwingend vorgeschrieben sein.“
Der europäische Gesetzgeber hat also nur die Datenverarbeitung durch einen einzelnen Arzt vom Anwendungsbereich der Vorschrift ausgenommen, weil er davon ausgeht, dass dessen Datenverarbeitung in diesem Fall nicht als umfangreich gilt.

Alle „Mehrarzteinrichtungen“ müssen DSB bestellen

Allerdings bedeutet dies im Umkehrschluss für alle „Mehrarzteinrichtungen“, insbesondere für alle Gemeinschaftspraxen, alle Medizinischen Versorgungszentren und alle Vertragsärzte, die wenigstens einen angestellten Arzt beschäftigen, dass deren Datenverarbeitung als umfangreich gilt. In solchen Praxen ist daher ab Mai 2018 zwingend ein Datenschutzbeauftragter zu benennen. Ein Verstoß gegen die Pflicht zur Benennung eines Datenschutzbeauftragten kann Bußgelder bis zu € 20. Mio. oder 4% des Umsatzes – je nachdem, welcher Betrag höher ist – zur Folge haben. Die Kontaktdaten des Datenschutzbeauftragten sind künftig zu veröffentlichen und der Aufsichtsbehörde des jeweiligen Bundeslandes zwingend mitzuteilen, so dass eine behördliche Kontrolle kaum noch Aufwand bedeuten wird.

Interner oder externer Datenschutzbeauftragter?

Der Datenschutzbeauftragte kann sowohl Beschäftigter des „Verantwortlichen“ sein als auch extern bestellt werden. Die DSGVO bestimmt insoweit lediglich, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit zur Erfüllung der ihm obliegenden Aufgaben benannt wird. Letztlich sollte der Datenschutzbeauftragte stets unabhängig und mit einem gewissen Durchsetzungsvermögen agieren, um seine Aufgaben erfüllen zu können. Der Praxisinhaber selbst darf übrigens nicht zugleich Datenschutzbeauftragter sein.
Ist die Benennung eines Datenschutzbeauftragten verpflichtend, dann sollten vor der Benennung eines Mitarbeiters als interner Datenschutzbeauftragter einige Besonderheiten berücksichtigt werden. So ist dessen Abberufung nur aus wichtigem Grunde zulässig. Der Beschäftigte genießt zudem während der Zeit seiner Benennung und für die Dauer von einem Jahr nach deren Ende einen Sonderkündigungsschutz. Das Arbeitsverhältnis kann in dieser Zeit also nicht wirksam durch ordentliche Kündigung beendet werden. Hinzu kommt, dass der Mitarbeiter für Fortbildungen und die Ausübung der Tätigkeit als Datenschutzbeauftragter freizustellen ist.

Datenschutz ist auch ohne DSB einzuhalten

Natürlich müssen auch Arztpraxen ohne Pflicht zur Bestellung eines Datenschutzbeauftragten die nach der DSGVO bestehenden Pflichten erfüllen. Angesichts der erheblichen inhaltlichen Anforderungen, welche die DSGVO künftig an den Praxisbetrieb stellt, kann die Bestellung eines Datenschutzbeauftragten auch ohne zwingende gesetzliche Verpflichtung sinnvoll sein.

Ihre Ecovis-Berater helfen Ihnen

Die Rechtsanwälte bei Ecovis betreuen bereits seit vielen Jahren Mandanten bei der Einhaltung der datenschutzrechtlichen Vorgaben und sind als externe betriebliche Datenschutzbeauftragte bestellt.

Download als PDF