Berufsverband Niedergelassener Chirurgen e.V.

Ein Jahr DSGVO: Kommen viele Arztpraxen nun doch ohne Datenschutzbeauftragten aus?

Obwohl die erwarteten Abmahnwellen und das Chaos bei der Umsetzung weitestgehend ausgeblieben sind, führte die vor gut einem Jahr in Kraft getretene Datenschutz-Grundverordgnung (DSGVO) auch im Gesundheitsbereich zu viel Verunsicherung und bürokratischem Aufwand. Hiervon waren vor allem Kleinbetriebe wie Einzelpraxen, aber auch die Berufsausübungsgemeinschaften (BAG) oder Praxisgemeinschaften betroffen. Darauf hat Felix M. Recke, Jurist und Datenschutzbeauftragter beim Spitzenverband Fachärzte Deutschland e.V. (SpiFa), hingewiesen. Die Praxen mussten infolge der DSGVO interne Verarbeitungsverzeichnisse mit Technisch-Organisatorischen-Maßnahmen erstellen, Auftragsverarbeitungsverträge schließen und ab einer Betriebsgrößte von zehn Mitarbeitenden Datenschutzbeauftragte bestellen.

Zumindest letzteres soll nun wieder geändert werden. Die magische Schwelle zur Bestellung eines Beauftragten für den Datenschutz soll künftig erst bei 20 Mitarbeitern liegen. In der Begründung dazu wird ausgeführt, dass man „vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine“ erreichen wolle. Recke warnt Praxisinhaber allerdings davor zu glauben, dass dies nun auch automatisch für alle Arztpraxen gilt, die weniger als 20 Mitarbeiter haben: „Hier ist aber Vorsicht geboten: Art. 37 Abs. 1 (c) DS-GVO schreibt vor, dass man auf jeden Fall einen Datenschutzbeauftragten bestellen muss, wenn man sogenannte ‚Daten besonderer Kategorien’ umfangreich verarbeitet.“ Was Daten besonderer Kategorie sind, sei in Art. 9 DS-GVO erklärt. Hier werde deutlich, dass damit insbesondere auch Gesundheitsdaten gemeint sind. „Da Ärztinnen und Ärzte in ihren Praxen die gesamte Krankengeschichte des Patienten speichern und für ihre Behandlung nutzen, ist somit eigentlich immer die Gesundheitsvorsorge betroffen und damit eine Pflicht zur Bestellung eines Datenschutzbeauftragten gegeben“, betonte der SpiFa-Jurist. Fraglich sei eigentlich nur, ob die Verarbeitung in jeder Arztpraxis auch immer gleich ‚umfangreich’ ist, wie es in Art. 37 DS-GVO gefordert wird. „Schaut man sich die Erwägungsgründe bei der Erstellung der DS-GVO an, wird klar, dass jedenfalls die Verarbeitung von Daten durch einen ‚einzelnen Arzt’ nicht umfangreich sein soll. In diesem Fall könnte die Einzelpraxis auf einen Datenschutzbeauftragten verzichten“, erklärte Recke.

Ob dies auch für Ärztinnen und Ärzten in Kooperation gelte, bleibe leider auch bei der neuesten Anpassung des Datenschutzrechts offen, sodass weiterhin in jedem Einzelfall geprüft werden sollte, ob sich eine Arztpraxis einen Datenschutzbeauftragten bestellen muss. Wie Recke berichtete, haben die ersten Landesdatenschutzbeauftragten im Frühjahr 2019 entschieden, dass unter der gesetzlichen Schwelle von bisher 10 (jetzt also 20) Mitarbeitern keine umfangreiche Verarbeitung in Arztpraxen vorliegt, sodass kein Datenschutzbeauftragter nötig sei: „Dies ist zu begrüßen, jedoch gerichtlich nicht entschieden. Es sollte zudem immer bedacht werden, dass sich die rechtlichen Anforderungen bei der Verarbeitung von personenbezogenen Daten nicht geändert haben, sodass ich mir zwar nun einen Datenschutzbeauftragten sparen darf, aber die weitreichenden Aufgaben dann selbst erledigen muss.“ Außerdem sei zu beachten, dass der Bundesrat der Gesetzesänderung noch zustimmen muss.

Weiterhin rät der SpiFa, alle Praxisinhaber sollten derzeit ein ganz besonderes Augenmerk auf den Ausbau der Telematikinfrastruktur (TI) haben. Für den Einsatz der geplanten elektronischen Gesundheitskarte und der elektronischen Patientenakte müssen sich die Praxen aktuell technisch aufrüsten und dabei datenschutzrechtlich einige Unsicherheiten in Kauf nehmen. Die für die technische Umsetzung verantwortliche Gematik lehne weiterhin jede haftungsrechtliche Verantwortung ab. Es werde daher derzeit diskutiert, ob Ärzte verpflichtet sind, vor Anschluss an die Telematikinfrastruktur mittels Konnektors eine sogenannte Datenschutzfolgeabschätzung vorzunehmen. „Wäre dies tatsächlich der Fall müsste künftig jede Arztpraxis nach § 38 BDSG einen Datenschutzbeauftragten mit dieser Risikobewertung betrauen“, erklärte Recke, „die erhoffte ‚Entlastung’ wäre daher im Gesundheitsbereich komplett obsolet.“

Aktuelles | Über den BNC | Bundeskongress | Für Patienten | Presse | Landesverbände | Mitgliederbereich | Partner | Veranstaltungen | Praxisbörse | Chirurgensuche | FAQ für Ärzte | Kontakt Berufsverband Niedergelassener Chirurgen e.V. © 2014 | Impressum | Datenschutzhinweise | Design & Umsetzung: zollsoft GmbH