Datenschutz in der Arztpraxis
Datenschutz in der Arztpraxis: Wann muss ein Datenschutzbeauftragter benannt werden?
Gesetzliche Vorgaben zur Benennung eines DSB
Die DSGVO schreibt vor, dass ein Datenschutzbeauftragter benannt werden muss, wenn eine Organisation personenbezogene Daten in großem Umfang verarbeitet oder wenn mindestens 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Für Arztpraxen ergeben sich daraus vor allem folgende Situationen:
Großer Umfang der Datenverarbeitung
Arztpraxen verarbeiten besondere Kategorien personenbezogener Daten, nämlich Gesundheitsdaten. Diese Verarbeitung wird als sensibel eingestuft. Wenn die Praxis viele Patienten betreut oder in einem medizinischen Versorgungszentrum (MVZ) tätig ist, könnte die Verarbeitung als „umfangreich“ gelten, was eine Benennungspflicht nach sich zieht.
Mitarbeiterzahl
Wenn in der Praxis regelmäßig 20 oder mehr Personen (inklusive Teilzeitkräften und Hilfskräften) auf Patientendaten zugreifen, ist ein DSB zwingend zu benennen. Diese Regelung greift unabhängig davon, wie groß der Patientenstamm ist.
Externe Dienstleister und Auftragsverarbeitung
Bei der Zusammenarbeit mit Abrechnungsdienstleistern oder IT-Dienstleistern können Risiken für den Datenschutz entstehen. In solchen Fällen kann die Benennung eines DSB notwendig sein, um die Einhaltung der DSGVO sicherzustellen.
Für wen besteht keine Pflicht?
Kleine Einzelpraxen mit wenigen Mitarbeitern und einem überschaubaren Patientenaufkommen sind in der Regel von der Benennungspflicht ausgenommen. Dennoch kann es sinnvoll sein, freiwillig einen DSB zu benennen, um datenschutzrechtliche Vorgaben effektiv umzusetzen.
Konsequenzen bei Missachtung
Wenn eine Arztpraxis trotz gesetzlicher Pflicht keinen Datenschutzbeauftragten benennt, drohen Sanktionen durch die Aufsichtsbehörden. Bußgelder oder Anordnungen können die Folge sein. Daher empfiehlt es sich, im Zweifelsfall eine juristische Prüfung durchzuführen.