Datenschutzbeauftragter

Unsere Themen

Webcontent-Anzeige (Global)

Weiterführende Links

Weitere Informationen

Downloads

Asset Publisher

Datenschutzbeauftragter

Datenschutzbeauftragter

 

Pflicht zur Bestellung eines Datenschutzbeauftragten,

Art. 37 EU-DSGVO iVm. § 38 BSDG-neu

Eine Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) kann sich sowohl aus der EU-DSGVO als auch aus dem nationalen Recht ergeben. Derzeit herrscht noch Uneinigkeit unter den Experten, ob durch das neue Recht jede Praxis verpflichtet ist, einen Datenschutzbeauftragten zu bestellen.

Soweit in einer Arztpraxis „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt werden, ist gem. § 38 Abs. 1 BDSG in jedem Fall ein Datenschutzbeauftragter zu benennen. Es sind nur die Mitarbeiter zu berücksichtigen, die regelhaft und nicht nur gelegentlich mit der Datenverarbeitung beschäftigt sind. Dies sind die Mitarbeiter, die beispielsweise mit der Datenerfassung am Empfang oder der Datenverarbeitung im Rahmen der Abrechnung betraut sind. Erfasst werden auch angestellte Ärzte, Auszubildende sowie freie Mitarbeiter.

Zudem ist nach Art. 37 Abs. 1 c EU-DSGVO ein Datenschutzbeauftragter zu bestellen, wenn „die Kerntätigkeit […] in der umfangreichen Verarbeitung“ von Gesundheitsdaten liegt. Eine Definition zur „umfangreichen Verarbeitung“  existiert insoweit nicht und ist Auslegungssache. Allerdings dürfte bei einer Einzelpraxis hiervon in der Regel nicht die Rede sein (siehe Erwägungsgrund 91). Es bleibt jedoch eine Einzelfallentscheidung. Im Zweifel sollte ein DSB bestellt werden.

 

Wer kann Datenschutzbeauftragte(r) werden?

Der Datenschutzbeauftragte wird aufgrund seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit, die sich aus Art. 39 EU-DSGVO ergebenden Aufgaben zu erfüllen, benannt. Es werden deutschlandweit verschiedene Seminare angeboten, um die Grundkenntnisse des Datenschutzrechts zu erlangen. Diese dienen dem Verantwortlichen als Nachweis der Qualifikation des DSB, der sich zudem regelmäßig fortbilden muss. Der DSB kann ein interner Mitarbeiter oder ein extern bestellter DSB sein. Der Praxisinhaber selbst jedoch darf die Position des DSB nicht ausüben, da diese Stellung zu Interessenkonflikten führen könnte und eine Selbstkontrolle wenig zielführend sein dürfte. Die Bestellung des DSB sollte aus Beweisgründen schriftlich erfolgen.

Die Bestellung eines DSB entbindet, wie Art. 24 Abs. 1 EU-DSGVO klarstellt, den Verantwortlichen – den/die Praxisinhaber – nicht davon sicherzustellen und nachzuweisen, dass die Datenverarbeitung im Einklang mit den Regelungen der EU-DSGVO steht.

Fazit: Auch die Bestellung eines DSB für die Praxis entbindet den/die Inhaber nicht davon, sich mit der neuen Rechtslage zu befassen und auf deren Einhaltung hinzuwirken. Der/die Inhaber bleiben Verantwortliche, die sich im Falle eines Verstoßes gegen die neuen Regelungen zu verantworten haben.