Es ist nicht von der Hand zu weisen, dass im Gesundheitswesen mit sensiblen Daten gearbeitet wird. Eine Behandlung erfordert nun mal die penible Aufnahme von Informationen zur Krankheitsgeschichte, den Vorerkrankungen sowie einer Vielzahl weiterer, teils sehr intimer Angaben. Im medizinischem Bereich sind es aufgrund der Sensibilität somit besonders schützenswerte Daten. Vor diesem Hintergrund ist es naheliegend, dass dem Thema Datenschutz grundsätzlich eine immense Bedeutung zukommt.
Rechtliche Grundlagen
Ab dem 25. Mai 2018 gilt in der gesamten EU das neue Datenschutzrecht. Die gesetzliche Grundlage dafür bildet die Datenschutzgrundverordnung (DSGVO) der EU, welche auf nationaler Ebene von dem neuen Bundesdatenschutzgesetz (BDSG) flankiert wird.
Wann muss ein Datenschutzbeauftragter benannt werden?
Zwar gibt es in der Datenschutzgrundverordnung für Ärzte nicht den einen speziellen Paragraphen. Es ergeben sich jedoch aufgrund anderer Normen Fallkonstellationen, die medizinische Einrichtungen erfassen. Deshalb bietet es sich bei dieser Gelegenheit an, die alltägliche Praxis im Umgang mit Patientendaten auf den Prüfstand zu stellen.
Benennung von Datenschutzbeauftragten – DSB
Gemäß Artikel 37 DSGVO besteht in folgenden Fällen eine Verpflichtung zur Benennung von Datenschutzbeauftragten:
- die Datenverarbeitung wird von einer Behörde/öffentlichen Stelle vorgenommen
- die Kerntätigkeit ist die Durchführung von Verarbeitungsvorgängen, welche eine umfangreiche regelmäßige und systematische Überwachung von Personen bedingt
- die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten (insbesondere auch Gesundheitsdaten).
Beurteilung des Verarbeitungsumfangs
Während der erste Punkt eindeutig ist, bedürfen die anderen beiden einer näheren Betrachtung. Was ist unter einer umfangreichen Verarbeitung/Überwachung zu verstehen? Nach dem Wortlaut von Erwägungsgrund 91 zu der Datenschutzgrundverordnung ist eine umfangreiche Verarbeitung/Überwachung gegeben, wenn eine große Menge sensibler Daten von einer Vielzahl von Personen regional/national/suparanational verarbeitet wird.
Eine Einzelarztpraxis wird dabei explizit ausgenommen. Wie aber sieht es in diesem Zusammenhang mit Praxisgemeinschaften und Gemeinschaftspraxen aus?
Tätigkeitsbereiche und Mitarbeiterzahl
Erwägungsgrund 97 führt ferner aus, dass sich „im privaten Sektor die Kerntätigkeit auf die Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit“ bezieht. Die Haupttätigkeit im Gesundheitswesen besteht grundsätzlich in der medizinischen Behandlung und die Datenverarbeitung stellt regelmäßig lediglich eine Nebentätigkeit dar. Demnach könnten die meisten Praxen von der Verpflichtung ausgenommen sein.
Allerdings muss dabei auch das nationale Recht im Auge behalten werden: gemäß § 38 BDSG neuer Fassung müssen nichtöffentliche Stellen, in denen sich regelmäßig mindestens zehn Personen mit der personenbezogenen Datenverarbeitung beschäftigen, einen Datenschutzbeauftragten benennen.
Gesamtbeurteilung
Um festzustellen, ob die Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht, muss eine Vielzahl von Faktoren berücksichtigt werden, die teilweise einer Abwägung und einer weiteren Auslegung bedürfen. Es finden qualitative und quantitative Beurteilungen auf unterschiedlichen Ebenen statt. Einerseits sind die Tätigkeitsbereiche entscheidend. Andererseits muss der Verarbeitungsumfang evaluiert werden. Zudem spielt noch die Praxisgröße eine Rolle (hinsichtlich der Zahl der Berufsträger und der Zahl mit der Datenverarbeitung beauftragten Angestellten).
Auf diese Weise könnte die Datenschutzgrundverordnung für Ärzte gelten. Bei Nichteinhaltung drohen dabei Sanktionen. Wer auf der sicheren Seite sein möchte, wird sich mit der Frage des Datenschutzes und der Benennung eines Beauftragten beschäftigen müssen.
Für mehr Information zum Schulungsangebot hier klicken.