Kategorie: Datenschutz in der Arztpraxis

Arztpraxen brauchen erst ab 20 Mitarbeitern einen Datenschutzbeauftragten

16. Januar 2020

Bereits im Juni 2018 berichteten wir über die Verpflichtung von Arztpraxen zur Bestellung von Datenschutzbeauftragten (DSB) nach der DSGVO. Grundsätzlich durfte man zu diesem Zeitpunkt davon ausgehen, dass bei einer Beschäftigtenanzahl von 10 Personen häufig eine Bestellpflicht vorlag, wenn wenn diese 10 Mitarbeiter ständig personenbezogene Daten verarbeiteten.

Der Bundestag hat mit Beschluss des sogenannten Zweiten Datenschutzanpassungs- und Umsetzungsgesetzes im Juni 2019 diese Anforderungen für Kleinunternehmen gelockert und die Zahl der Beschäftigen auf 20 angehoben. Das Gesetz wurde am 25.11.2019 im Bundesgesetzblatt verkündet. Insgesamt wurden dadurch Anpassungen in rund 150 Gesetzen erforderlich.

Aufgrund des geänderten § 38 BDSG besteht seitdem für Ärzte, die eine eigene Praxis betreiben, erst ab einer Mitarbeiterzahl von 20 Personen eine erhöhte Bestellpflicht. Mit der Veränderung wolle man „vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine“ erreichen, heißt es in der Gesetzesbegründung. Kritisiert wurde an der Gesetzesänderung vor allem der Umstand, dass lediglich die Pflicht zur Bestellung eines DSB erleichert worden wäre, alle anderen datenschutzrechtlichen Verpflichtungen für kleinere Unternehmen aber nicht angetastet wurden, sodass die Änderung den Unternehmen deswegen nicht viel nütze.

Zu beachten ist allerdings, dass die Mitarbeiterzahl in Arztpraxen ist im Hinblick auf die Bestellpflicht dann irrelevant ist, wenn dort Datenschutzfolgenabschätzungen vorgenommen werden. Dann besteht die Pflicht zur Bestellung eines DSB unabhängig von der Anzahl der Beschäftigten. Datenschutzfolgenabschätzungen sind beispielsweise dann durchzuführen, wenn eine systematische Videoüberwachung der Praxisräume erfolgt oder wenn Daten besonderer Kategorien umfangreich verarbeitet werden (z.B. Gesundheitsdaten). Wann letzteres in Arztpraxen genau der Fall ist, wird bislang noch diskutiert. Vieles spricht dafür, dass eine Verarbeitung von Daten durch einen einzelnen Arzt keine „umfangreiche Verarbeitung“ darstellt, somit noch keine Pflicht zur Datenschutzfolgenabschätzung auslösen soll und dann auch die Pflicht zur Bestellung eines Datenschutzbeauftragten in Einzelpraxen entfallen lässt, sofern die Mitarbeiterzahl ohnehin unter 20 liegt.

Pages:  1 2
1 2