Datenschutzbeauftragter
Pflicht zur Benennung eines Datenschutzbeauftragten, Art. 37 DSGVO i.V. mit § 38 Bundesdatenschutzgesetz (BDSG) è NEU: Datenschutzbeauftragter in Praxen erst ab 20 Mitarbeitern
Einen Datenschutzbeauftragten müssen Praxen jetzt erst ab 20 Mitarbeitern benennen, sofern diese mit der automatisierten Verarbeitung personenbezogener Daten (u.a. Gesundheitsdaten) beschäftigt sind.
Nach Veröffentlichung im Bundesanzeiger ist nunmehr das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz in Kraft getreten. Der Deutsche Bundestag hat mit diesem Gesetz die Vorgaben des Datenschutzes zur Benennung eines Datenschutzbeauftragten gelockert und den § 38 Abs. 1 Bundesdatenschutzgesetz geändert.
Wie bisher kommt es bei der Zählung der Mitarbeiter nicht auf den Umfang oder die Art des Beschäftigungsverhältnisses an, sondern alleine auf die Kopfzahl der Mitarbeiter, die in der Regel (ständig oder auf längere Zeit) personenbezogene Daten verarbeiten. Der Inhaber der Praxis und Auszubildende sind dabei zu berücksichtigen. Ständig bedeutet nicht, dass eine Person während der gesamten Arbeitszeit mit der automatisierten Verarbeitung von personenbezogenen Daten befasst ist. Ausreichend ist, dass dies ein Schwerpunkt der Tätigkeit der Person ist. Mitarbeiter, die sich z.B. in Elternzeit befinden zählen nicht dazu, da sie während der Elternzeit regelhaft nicht mit der automatisierten Bearbeitung betraut sind.
Durch die Änderung des BDSG und Anhebung der Schwelle von 10 auf 20 Mitarbeiter wird das Thema Datenschutz in der Praxis nicht entfallen, denn an die Datenschutzregelungen (DSGVO) sind weiterhin alle gebunden – mit oder ohne Benennung eines Datenschutzbeauftragten. Mit der Anhebung der Anzahl der Mitarbeiter und der Pflicht zur Benennung eines Datenschutzbeauftragten soll keine Entlastung für die Einhaltung der Datenschutzregelungen suggeriert werden und erst recht nicht die Zahl der (möglichen) Datenschutzverstöße steigen.
Wie bisher gilt weiterhin, dass unabhängig von der Mitarbeiterzahl ein Datenschutzbeauftragter benannt werden muss, wenn eine Datenschutz-Folgeabschätzung erforderlich ist. Dies ist z.B. der Fall, wenn aufgrund des Umfangs und des Zwecks der Datenverarbeitung ein hohes Datenschutzrisiko besteht. Auch die systematische Video-Überwachung der Praxisräume oder der Einsatz von telemedizinischen Daten, zum Beispiel das Angebot einer Video-Sprechstunde, kann ein Grund sein.
Wer kann Datenschutzbeauftragte(r) werden?
Die Funktion des Datenschutzbeauftragten kann ein entsprechend fachlich geschulter Mitarbeiter oder auch ein externer Datenschützer übernehmen, nicht aber der Praxisinhaber. Die Benennung des Datenschutzbeauftragten sollte schriftlich erfolgen. Aufgabe des Datenschutzbeauftragten ist es, die Einhaltung des Datenschutzes und der Datensicherheit in der Praxis zu kontrollieren. In diesem Zusammenhang legt er bei Bedarf geeignete Maßnahmen fest. Zudem berät und informiert er das Praxisteam über seine Pflichten.
Die Benennung eines Datenschutzbeauftragten entbindet, wie Art. 24 Abs. 1 DSGVO klarstellt, den Verantwortlichen –den/die Praxisinhaber- nicht davon sicherzustellen und nachzuweisen, dass die Datenverarbeitung im Einklang mit den Regelungen der DSGVO steht.
Wie bisher, müssen Name und Kontaktdaten dieser Person der(m) Landesdatenschutzbeauftragten (Unabhängiges Datenschutzzentrum Saarland, Fritz-Dobisch-Straße 12, 66111 Saarbrücken, Telefon: 0681 94 781-0) gemeldet werden.