Viele Arztpraxen brauchen seit dem 25.05.2018 einen Datenschutzbeauftragten

Die Verpflichtung für die Benennung eines Datenschutzbeauftragten folgt aus Art. 37 DSGVO. Interessant ist hier insb. Abs. 1 lit. c), wonach ein Datenschutzbeauftragter zu benennen ist, wenn „die Kerntätigkeit des Verantwortlichen […] in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 […] besteht.“

In einer Arztpraxis spielen Gesundheitsdaten eine wichtige Rolle. Um die Patienten angemessen behandeln zu können, ist es unabdingbar die Krankengeschichte und sonstige persönliche und medizinische Informationen einzuholen. Es stellt daher eine Haupttätigkeit eines Arztes und somit eine Kerntätigkeit im Sinne des Gesetzes dar.

Für die Bestimmung, ob ein Datenschutzbeauftragter bestellt werden muss, kommt es somit vorallem darauf an, ob eine „umfangreiche“ Verarbeitung vorliegt. Der Begriff „umfangreich“ ist in der DSGVO selbst nicht weiter definiert, findet allerdings in Art. 35 DSGVO, im Rahmen der Datenschutz-Folgenabschätzung, weitere Verwendung. In Erwägungsgrund 91 heißt es hierzu u.a.: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten […] betrifft und durch einen einzelnen Arzt […] erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“

Daraus lässt sich schließen, dass bei vielen Gemeinschaftspraxen eine Bestellung notwendig sein wird. Gemäß § 38 BDSG (neue Fassung) ist dieses Erfordernis bei einer Beschäftigungszahl von 10 Personen in einer Praxis erfüllt.