Arztpraxis

Umsetzung von Datenschutz in Apotheke & Arztpraxis

Gerade in Arztpraxen und auch Apotheken herrscht immer noch Unsicherheit im Hinblick auf die Änderungen, die die DSGVO mit sich gebracht hat. Das äußert sich in teils verqueren Halbweisheiten, nach denen z.B. für die Behandlung eines Patienten jetzt immer eine Einwilligung erforderlich sei. Oder besser noch ohne Einwilligung eine Behandlung des Patienten verweigert (was übrigens wirklich in die Kategorie „grober Unfug“ gehört).

Wann ich nun eine Einwilligung des Patienten, wann und inwieweit die Schweigepflicht des § 203 StGB für Ärzte und Apotheker gilt und was es sonst noch für praktische Tipps gibt, erfahren Datenschutz-Coaching-Mitglieder in der Aufzeichnung des Webinars „Umsetzung von Datenschutz in Apotheke & Arztpraxis“:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Aufsichtsbehörden zur Pflicht zur Benennung von Datenschutzbeauftragten in Arztpraxen & Apotheken

Die Datenschutzkonferenz (DSK) ist eine Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder.

Diese hat am 26.04.2018 getagt und dabei insbesondere eine lobenswerte Klarstellung hinsichtlich der Pflicht zur Benennung eines Datenschutzbeauftragten in Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs veröffentlicht.

Das Dokument findet ihr hier:

Wie alle Veröffentlichungen der DSK sind die Ausführungen in dem Dokument nicht rechtsverbindlich. Gleichwohl haben sie hohen Praxiswert. Denn die Aufsichtsbehörden werden sich in aller Regel an die Entschließungen der DSK in ihrer Behördenpraxis halten. Und Unternehmen können sich insoweit gegenüber den Aufsichtsbehörden auf die Entschließungen der DSK berufen, da sie darauf vertrauen durften, dass dies von allen Aufsichtsbehörden in Deutschland so praktiziert werden wird.

Ich habe mich ja bereits in mehreren Beiträgen mit der Pflicht zur Benennung von Datenschutzbeauftragten in Arztpraxen beschäftigt (hier und hier). Erfreulich ist, dass die Aufsichtsbehörden sich jetzt einmal gemeinschaftlich in Form einer DSK-Entschließung diesem Thema widmen. Leider sind in der Entschließung m.E. einige rechtliche Fehler enthalten, auf die ich nachfolgend jeweils eingehe.

Wenn ich bei den einzelnen Ausführungen der DSK nur von „Arztpraxen“ spreche, gilt dies in gleicher Weise auch für Apotheken und andere Unternehmen bzw. Unternehmer in Gesundheitsberufen.

Die DSK vertritt im Hinblick auf die Benennungspflicht jetzt folgende Positionen:

Nr. 1:
Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB).

Die Aufsichtsbehörden stellen hier klar, dass bei Arztpraxen mit 10 oder mehr Personen ein Datenschutzbeauftragter zu benennen ist, wenn diese Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Die Bezugnahme auf die „ständige Beschäftigung mit der Verarbeitung“ beruht auf dem Wortlaut von § 38 BDSG n.F.

Genau genommen wird in § 38 BDSG jedoch nur die ständige Beschäftigung mit der „automatisierten“ Verarbeitung genannt. Warum die DSK diesen Begriff nicht in Ziff. 1 der Entschließung aufführt, ist mir unklar. Hier ist leider unsauber gearbeitet worden. Es macht – gerade in Arzpraxen – durchaus einen Unterschied, ob jemand nun ständig mit der Verarbeitung personenbezogener Daten oder der automatisierten Verarbeitung personenbezogener Daten zu tun hat. Die Stellungnahme in Ziff. 1 ist meiner Meinung nach daher so zu lesen, dass es sich um eine „automatisierte“ Verarbeitung handeln muss.

Erstaunlich ist dann aber vor allem, dass die DSK ohne jegliche Erklärung eine Mindermeinung in der rechtswissenschaftlichen Literatur zum König befördert, indem sie „einfach mal so“ den Praxisinhaber im Hinblick auf die Pflicht zur Benennung eines Datenschutzbeauftragten mitzählen möchte.

Dabei spricht schon der Wortlaut des § 38 BDSG n.F. dem entgegen. Denn nach § 38 BDSG n.F. benennt der Verantwortliche (also z.B. der/die Inhaber einer Arztpraxis) einen Datenschutzbeauftragten, soweit er in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Ein „Beschäftigen“ kann aber dem Wortlaut nach nicht so ausgelegt werden, dass der „Beschäftigende“, also der Arbeitgeber, zu diesem Personenkreis dazu zählt.

Entsprechend wird es mehrheitlich in der Literatur so gesehen, dass die Inhaber der Arztpraxis nicht „mitgezählt“ werden. Dazu habe ich hier schon mit weiteren Hinweisen aus der Literatur etwas geschrieben.

All das interessiert aber die DSK scheinbar nicht. Ich würde mir bei den Entschließungen der DSK – gerade dann, wenn Mindermeinungen vertreten werden – zumindest eine Erläuterung wünschen, warum man diese vertritt. So sind diese Entschließungen fachlich leider immer weniger ernst zu nehmen und führen zu einem Bedeutungsverlust dieser Entschließungen.

Was außerdem fehlt, ist eine Handreichung dazu, wann denn nun eine „ständige Beschäftigung“ mit der Datenverarbeitung vorliegt. Auch das ist ja mehr als umstritten. So führt die Ziff. 1 dieser Entschließung dazu, dass sie mehr Verwirrung stiftet als Klarheit.

Aber es geht weiter mit den Entschließungen der DSK:

Nr. 2:
Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DS-GVO auszugehen – in diesen Fällen ist unter Berücksichtigung von Punkt 3 dann kein DSB zu benennen, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Im Gegensatz zu Ziff. 1 handelt es sich hierbei um eine erfreulich klare Empfehlung. Natürlich kann man das anders sehen. Aber hier ist zumindest klar, dass in Arztpraxen nicht generell ein Datenschutzbeauftragter zu benennen ist, wenn weniger als 10 Personen mit der Datenverarbeitung beschäftigt sind.

Mit dieser Empfehlung kann die Datenschutzpraxis also gut leben. Offener Punkt bleibt auch hier wieder die Zählweise (s.o.).

Nr. 3
Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgenabschätzung vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen. Dies kann neben einer umfangreichen Verarbeitung (z.B. große Praxisgemeinschaften), die ohnehin nach Art. 37 Abs. 1 lit. c DS-GVO zu einer Benennungspflicht führt, beispielsweise beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen, der Fall sein. Der Datenschutzbeauftragte ist damit auch dann zu benennen, wenn weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben.

Tja…was soll ich sagen. Diese Aussage hat m.E. „null“ Erklärungsgehalt, der über Art. 37 DSGVO hinausgehen würde. Ich kann aber verstehen, dass dies hier aufgenommen wurden. Denn es kann natürlich auch sehr kleine Arztpraxen geben, die aber z.B. besonders schutzbedürftige Daten verarbeiten. Denken wir mal an eine „Spezial-Arzt-Boutique“, die sich auf die Auswertung von genetischen Daten zur Leistungsoptimierung spezialisiert hat. Hier kann es durchaus ein besonderes Risiko darstellen, wenn genetische Informationen Unbefugten zur Kenntnis gelangen können. In diesen Fällen wäre sicherlich ein Datenschutzbeauftragter unabhängig von der Beschäftigtenzahl zu benennen.

Und die Entschließung der DSK endet dann mit dem letzten Punkt:

Nr. 4
Der Begriff „Gesundheitsberuf“ ist im Sinne der Aufzählung nach § 203 Abs. 1 StGB auszulegen und umfasst die in § 203 Abs. 1 Nr. 1, 2, 4 und 5 StGB aufgezählten Berufsbilder.

Das ist eine gute Feststellung, die für Klarheit sorgt. In den § 203 StGB sind nachfolgende Berufsbilder den Gesundheitsberufen zuzuordnen:

  • Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörige eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert (§ 203 Abs. 1 Nr. 1 StGB)
  • Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung (§ 203 Abs. 1 Nr. 2 StGB)
  • Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist (§ 203 Abs. 1 Nr. 4 StGB)
  • Mitglied oder Beauftragten einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes (§ 203 Abs. 1 Nr. 5 StGB)

Warum hier die in § 203 Abs. 1 Nr. 7 StGB genannten Berufe (Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle) erschließt sich mir zwar nicht, ist aber im Ergebnis auch nicht wirklich praxisrelevant, da Unternehmen aus diesem Bereich in der Regel mehr als 10 Personen mit der automatisierten Datenverarbeitung beschäftigen und damit sowieso schon einen Datenschutzbeauftragten zu benennen haben.

Klar ist jedenfalls jetzt, dass andere Gesundheitsberufe, die nicht zu den o.g. Berufsgruppen zählen, von dieser Entschließung der DSK nicht betroffen sind.

Die DSGVO in der medizinischen Versorgung (Workshop-Aufzeichnung Teil 1)

Ich habe dieses Jahr einen Workshop zur DSGVO für Dienstleister im Bereich der medizinischen Versorgung abgehalten. Der Workshop ist von mir aufgezeichnet worden. Teile des Workshops werde ich hier in …

Die DSGVO in der medizinischen Versorgung (Workshop-Aufzeichnung Teil 1) Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Informationspflichten nach DSGVO in Arztpraxen – doch alles nicht so schlimm?

Die geschätzten Kollegen von „datenschutz nord“ hatten in ihrem Blog ein wunderschönes Beispiel für die völlig missglückten Vorschriften zu Informationspflichten in der DSGVO: Telefonieren unerwünscht – Informationspflichten nach der DSGVO

Nach Art. 13 DSGVO sind einem Patienten „zum Zeitpunkt der Erhebung“ der ganze „Batzen“ der Informationen aus Art. 13 Abs. 1 und 2 DSGVO mitzuteilen. Gerade am Telefon, wenn ein Patient einen Termin erstmals vereinbaren würde, wäre das ein sprichtwörtlicher „Informations-Overkill“. Das will keiner. Nicht die Arztpraxis und auch nicht der Patient. In Gesprächen mit Aufsichtsbehörden gaben diese sich zu dieser Frage in meiner Wahrnehmung bis dato entweder unsicher (bzw. schulterzuckend) oder bedeckt. Umso erfreulicher ist nun, dass erste deutsche Aufsichtsbehörden sich bei den Informationspflichten nun „pragmatisch“ aufstellen. Es ist zu hoffen, dass dies Konsens unter den europäischen Aufsichtsbehörden sein wird. Angeblich soll es ja zur Umsetzung von Informationspflichten seitens der Aufsichtsbehörden der EU noch vor Geltung der DSGVO noch „Guidelines“ geben.

Im Hinblick auf die Erfüllung der Informationspflichten in Arztpraxen hat sich nun erstmals das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) geäußert. Und zwar mit dem hier bereits erwähnten Beitrag „Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbständige Heilberufler beachten“.

Das ULD führt in dem Beitrag zunächst Grundsätzliches dazu aus, was an Informationen zu erteilen ist. Das ergibt sich ja letztlich unmittelbar aus Art. 13 DSGVO. Interessant sind dann die Ausführungen des ULD zur Ausführung der Informationspflichten:

Diese Informationen müssen den Patienten im zeitlichen Zusammenhang mit der Erhebung der Daten zur Verfügung gestellt werden.

Was das ULD hier im Ergebnis macht, ist eine sog. teleologische Auslegung des Art. 13 DSGVO. Während Art. 13 DSGVO im Wortlaut die Pflicht zur Erteilung der Information „zum Zeitpunkt der Erhebung“ vorsieht, legt das ULD hier offenbar Sinn und Zweck der Informationspflichten bei der Auslegung zugrunde und hält lediglich einen zeitlichen Zusammenhang für erforderlich. Ich halte das für richtig. Sinn und Zweck der Informationspflichten sind die in Art. 5 DSGVO genannte Transparenz und Fairness („Treu und Glauben“). Dieser Zweck erfordert gerade nicht, dass ich am Telefon Informationen zum Datenschutz erteile, die der Betroffene in dem Moment gar nicht in der Fülle erfassen kann (und möchte). Hierfür ist es vollkommen ausreichend, wenn es „im Nachgang“ z.B. über einen Flyer Informationen zum Datenschutz gibt, wenn der Patient dann die Arztpraxis besucht.

Dazu führt das ULD dann aus:

Dies geschieht am einfachsten z.B. mit einem Flyer oder Handzettel, der an die Patienten bei der Aufnahme ausgegeben wird. Es genügt auch, wenn der Zettel nur die wichtigsten Informationen zusammenfasst und im Übrigen auf die Homepage der Praxis verweist, wo sich die Einzelheiten finden lassen.

(…) Ebenso wenig ist es erforderlich, den Patienten die Informationen schon am Telefon vorzulesen, wenn diese anrufen, um einen Termin zu vereinbaren. Nicht ausreichend wäre es andererseits, wenn die Informationen lediglich in der Praxis ausgehängt werden.

Das ist eine nicht nur „mutige“, vor allem aber auch erfreulich praxisnahe Herangehensweise.

Und auch zum Nachweis der Informationspflichten äußert sich das ULD dann noch:

Der oder die Verantwortliche muss die Erfüllung der Informationspflicht nachweisen können. Dazu ist es z.B. ausreichend, wenn den Patienten standardmäßig bei der Aufnahme der Zettel übergeben wird und dies für jeden Patienten im Praxissystem vermerkt wird. Es ist nicht erforderlich, dass die Patienten mit ihrer Unterschrift quittieren, dass sie die Informationen erhalten haben.

Ob es praxisnah ist, dass für jeden Patienten im Arztinformationssystem zu hinterlegen, bezweifele ich. Ich persönlich würde es auch für ausreichend halten, wenn es in der Arztpraxis einen Prozess gibt, der die Ausgabe des Materials an Erstpatienten regelt und dieser Prozess im Rahmen eines Qualitäts- bzw. Datenschutzmanagements (Stichwort: Datenschutzhandbuch – allgemeines Muster dazu gibt es für hier (nur für Datenschutz-Coaching-Mitglieder bzw. Teilnehmer des Onlinekurses für Datenschutzbeauftragte) nicht nur definiert, sondern im Rahmen des Managementsystems auch im Hinblick auf seine Einhaltung evaluiert und überprüft wird.

Wie dem auch sei…es ist jedenfalls erfreulich, dass immer mehr Aufsichtsbehörden jetzt endlich mit praktikablen Umsetzungshinweisen zu Informationspflichten aus der DSGVO an die Öffentlichkeit treten.

Erleichterung bei kleineren Arztpraxen? Doch kein Datenschutzbeauftragter erforderlich?

Ich habe im August letzten Jahres einen Beitrag geschrieben, der sich mit der Pflicht von Arztpraxen beschäftigt, ggf. einen Datenschutzbeauftragten bestellen zu müssen.

Wichtig: Die Aufsichtsbehörden haben nun in einer Entschließung klargestellt, dass nicht immer ein Datenschutzbeauftragter in Arztpraxen zu benennen ist. Dazu habe ich hier einen Beitrag geschrieben.

Auch wenn ich in dem Beitrag zu dem Ergebnis komme, dass viele Arztpraxen wohl einen Datenschutzbeauftragten benennen müssen, bin ich rechtspolitisch nicht der Auffassung, dass dies wirklich erforderlich ist. Nach über 15 Jahren Anwaltspraxis im Datenschutzrecht kann ich recht sicher sagen, dass die alleinige Benennung eines Datenschutzbeauftragten durch eine Arztpraxis nicht automatisch dazu führt, dass die Verarbeitung von personenbezogenen Daten in einer Arztpraxis dadurch im Hinblick auf das Datenschutzrecht besser wird. Natürlich auch nicht schlechter.

Letztlich kommt es darauf an, ob die Arztpraxis Veränderungen möchte und diese ggf. auch für sinnvoll hält. Datenschutz, der in einer Reihe von Aufbürdungen besteht, war bei der Umsetzung im gewerblichen oder freiberuflichen Bereich grundsätzlich noch nie nachhaltig erfolgreich. Ausgenommen sind die Bereiche die extrem stark reguliert sind und in denen durch strikteren Datenschutz im Ergebnis „Erleichterungen“ geschaffen werden. Aber das ist nochmal ein ganz anderes Thema.

Viele Arztpraxen wird es freuen, dass sich vor kurzem nun eine Aufsichtsbehörde zu dem Thema „Datenschutzbeauftragter oder nicht“ mal klar positioniert hat (weitere sind gefolgt, s.u.)

Und zwar – mal wieder – das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Das BayLDA hat übrigens eine wirklich gelungene und extrem hilfreiche Internetseite zur Umsetzung der DSGVO mit Handreichungen für kleine Unternehmen und Vereine veröffentlicht. Ich kann sagen, dass die Seite zu dem Besten gehört, was ich für den Bereich bislang gesehen habe. Wirklich eine Empfehlung!

In diesen „Handreichungen“ gibt es aber nicht nur Hinweise für Vereine, KfZ-Werkstätten, Bäckereien, Beherbungsbetriebe u.ä., sondern eben auch für Arztpraxen. Für Arztpraxen gibt es dann z.B. auch ein Muster für ein „Verarbeitungsverzeichnis“, in dem typische Verarbeitungen in einer Arzpraxis aufgeführt (PDF). Dieses wäre dann zwar noch zu ergänzen, aber das ist schon einmal eine extrem hilfreiche Unterstützung.

Im Hinblick auf eine etwaige Pflicht zur Benennung eines Datenschutzbeauftragten in der Arztpraxis und auch zu einer etwaigen Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) ist dann das Dokument des BayLDA zu „Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an kleine Unternehmen, Vereine, etc. – Muster 5: Arztpraxis“ (PDF) sehr interessant.

Da werden die Anforderungen für die Umsetzung der DSGVO anhand eines Beispiels einer Arztpraxis mal durchgespielt. Dabei wird fiktiv folgendes Szenario einer Arztpraxis angenommen:

Ein Arzt hat eine Hausarztpraxis auf dem Land mit fünf Sprechstundenhilfen/MFAs, einer Putzkraft und einem Sicher- stellungsassistenten. Die Arztpraxis betreibt eine kleine Webseite mit Hilfe eines Content Management Systems, auf dem online Termine angefragt werden können. Ein externer Dienstleister betreut die Webseite und die Praxis-IT. Die Datenverarbeitung bezüglich der Patientendaten erfolgt auf eigenen Computern und Servern innerhalb der Praxis.
Wesentliche Verarbeitungstätigkeiten sind z. B.:

  • Lohn- und Gehaltsabrechnung der Mitarbeiter
  • Verarbeitung von Patientendaten zur Behandlung
  • Verarbeitung von Patientendaten zur Abrechnung über die KVB bzw. PVS
  • Betrieb der Webseite mit der Online-Terminbuchungsmöglichkeit

Und dann werden einzelne Fragen beantwortet. So z.B. gleich die erste Frage:

A Datenschutzbeauftragter (DSB)
Muss ein DSB vom Arzt benannt werden?

Und die Antwort des BayLDA darauf? Nein.

Das hat mich in der Klarheit überrascht und auch erfreut. Begründet wird dies vom BayLDA wie folgt:

In der Arztpraxis findet in aller Regel keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten statt, die zu einer Benennungspflicht führt. Es ist daher ein DSB nur zu benennen, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. „Ständig beschäftigt“ ist z. B. die Sprechstundenhilfe. „Nicht ständig beschäftigt“ ist dagegen bspw., wer als Putzkraft theoretisch Daten zur Kenntnis nehmen kann.

Diese Auffassung scheint sich übrigens durchzusetzen. Denn jetzt hat am 10.04.2018 auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) einen ebenfalls sehr hilfreichen Artikel mit dem Titel „Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbständige Heilberufler beachten“ veröffentlicht. Auch dort geht es – neben anderen Themen – auch um die Frage, ob ein betrieblicher Datenschutzbeauftragter in Arztpraxen benannt werden muss. Sehr interessant. Denn das ULD geht hier ebenfalls einen pragmatischen Weg und kommt zu folgenden Schlüssen:

Nach § 38 Bundesdatenschutzgesetz (BDSG) ist ein betrieblicher Datenschutzbeauftragter (DSB) in jedem Fall dann zu bestellen, wenn in der Arztpraxis, Apotheke etc. in der Regel mindestens zehn Personen ständig, d.h. nicht nur gelegentlich, mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Das ist natürlich klar. Umstritten ist aber, ob nun der bzw. die Inhaber der Arztpraxis auch mitzählen. Das ULD gibt zu der Frage, wer nun „mitzählt“, diese Aspekte an:

In einer Arztpraxis zählen zu diesen Personen zunächst die Ärzte selbst, da sie im Hinblick auf ihre Dokumentationspflicht medizinische Daten über die Betroffenen zu verarbeiten haben. Zu den mit der automatisierten Verarbeitung befassten Personen gehört auch medizinisches Hilfspersonal, soweit es die Daten der Patienten verarbeitet. Dies gilt z.B. für Arzthelfer etc., die Laborwerte, Ergebnisse von Tests etc. oder auch Termine in das Praxissystem eingeben. Mitzuzählen sind auch Verwaltungskräfte, die die Abrechnung organisieren oder Daten über die Mitarbeiter der Praxis pflegen. Nicht mitzuzählen sind dagegen z.B. Reinigungskräfte, die normalerweise keinen Zugriff auf die Daten haben.

Die wohl h.M.1 in der rechtswissenschaftlichen Literatur geht davon aus, dass die vertretungsberechtigten Personen einer Organisation, also z.B. Geschäftsführer einer GmbH, Vorstandsmitglieder einer Aktiengesellschaft oder eben der Inhaber einer Arztpraxis oder Gesellschafter einer Arztpraxis GbR nicht mitzählt. Denn diese Personen sind eben nicht „beschäftigt“, sondern „beschäftigend“. Ich halte diese Auffassung für korrekt. Zumal der deutsche Gesetzgeber diesen Streit mit einer Änderung des § 38 BDSG n.F. hätte beenden können, indem er sich von dem Wort „beschäftigt“ gelöst und stattdessen z.B. den Begriff „befasst“ verwendet hätte. Das hat er jedoch nicht getan. Da der Begriff des „Beschäftigten“ auch in § 26 Abs. 8 BDSG n.F. weiterhin legaldefiniert ist, ist er auch bei der Auslegung der Benennungspflicht in § 38 BDSG n.F. heranzuziehen. Dort steht aber, dass Verantwortliche einen Datenschutzbeauftragte benennen, wenn sie „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“. Mit dem Wortlaut ist nicht vereinbar, dass der „Verantwortliche“ selbst mitzählt.

Es ist also mitnichten „jeder Arzt“ mitzuzählen. In die Zählung dürfen richtigerweise nur die Ärzte einbezogen werden, die von der Arztpraxis „beschäftigt“ sind. Das sind eben nicht die Inhaber der Arztpraxis.

Unabhängig von der Anzahl der Beschäftigten wäre nach Art. 37 DSGVO aber ein Datenschutzbeauftragter auch dann zu bestellen, wenn zur Kerntätigkeit der Praxis die umfangreiche Verarbeitung von Gesundheitsdaten zählen würde. Und hier positioniert sich nun auch das ULD wie folgt:

Zwar wird man im Hinblick auf die Bedeutung der Dokumentation und der Verwaltung von Patientendaten davon ausgehen können, dass die Verarbeitung solcher Daten zur Kerntätigkeit in Arztpraxen, Apotheken etc. gehört. Allerdings wird in den allermeisten Fällen nicht von einer Verarbeitung in großem Maßstab auszugehen sein.

Etwas anderes gilt nur in besonders gelagerten Fällen, in denen der Umfang der Verarbeitung von Gesundheitsdaten (oder anderen sensiblen Daten wie z.B. genetischen Daten) weit über das hinausgeht, was in einer üblichen Arztpraxis anzutreffen ist.

Ich bin gespannt, ob sich dem auch weitere Aufsichtsbehörden anschließen werden. Eine Tendenz scheint auf jeden Fall in Ansätzen erkennbar.

Die Arztpraxen dürfen also ggf. „aufatmen“. Und ich persönlich finde die hier beschriebenen Stellungnahmen von BayLDA und ULD zu dem Thema erfreulich pragmatisch. Rechtlich habe ich so meine Zweifel, ob das wirklich korrekt ist. Aber rechtspolitisch halte ich die Auffassung für praxisgerecht und richtig.

  1. Vgl. Moos, in: BeckOK Datenschutzrecht, Wolff/Brink, 23. Edition, Stand: 01.05.2015, § 4f BDSG Rn. 11; von dem Bussche, in: Plath, BDSG/DSGVO, 2. Auflage, 2016, § 4f BDSG Rn. 8; Raum, in: Auernhammer, DSGVO/BDSG, 5. Auflage, 2017, § 4f BDSG Rn. 50; a.A. Scheja, in: Taeger/Gabel, BDSG, 2. Auflage, 2013, § 4f Rn. 19

Muss die Arztpraxis zwingend einen Datenschutzbeauftragten haben?

Sehr häufig stellt sich in der Praxis die Frage, ob eine Arztpraxis eigentlich einen Datenschutzbeauftragten benennen muss. Das ist schon nach bisherigem Recht – auf Basis des Bundesdatenschutzgesetzes (BDSG) – nicht ganz einfach zu beantworten. Viel interessanter ist allerdings, wie die Rechtslage ab dem 25.05.2018 mit der dann geltenden neuen Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Verbindung mit der Neuregelung des BDSG aussieht.
Wichtig: Ich habe dazu einen neuen Beitrag veröffentlicht: Erleichterung bei kleineren Arztpraxen? Doch kein Datenschutzbeauftragter erforderlich? Außerdem haben die Aufsichtsbehörden nun in einer Entschließung klargestellt, dass nicht immer ein Datenschutzbeauftragter in Arztpraxen zu benennen ist. Dazu habe ich hier einen Beitrag geschrieben.

Die DSGVO gilt ab dem 25.05.2018 unmittelbar in allen Mitgliedsstaaten der Europäischen Union. Da sie eine ganze Reihe von Öffnungsklauseln enthält, mit denen Mitgliedsstaaten bestimmte Regelungen konkretisieren können, hat die Bundesrepublik Deutschland mit dem sog. Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) das deutsche Datenschutzrecht an die neue Rechtslage angepasst und in dem Zusammenhang auch ein neues Bundesdatenschutzgesetz (BDSG-neu) geschaffen, das zeitgleich mit der DSGVO in Kraft tritt.

Letzte Aktualisierung | letzter Aktualisierungscheck: 06.03.2018

Aufgrund des Vorrangs des EU-Rechts vor nationalem Recht gilt jedoch vorrangig erst einmal immer die DSGVO. Was wir jetzt machen, ist Folgendes. Wir schauen uns erst einmal die Rechtslage nach der DSGVO und dann die Rechtslage unter Berücksichtigung des BDSG-neu an.

Jetzt wollen wir aber nicht länger um den heißen Brei herumreden, sondern uns der konkreten Frage zuwenden, die da lautet:

Muss eine Arztpraxis zwingend einen Datenschutzbeauftragten haben?

Die Standard-Juristen-Antwort „Es kommt darauf an“ passt auch hier mal wieder ganz wunderbar. Denn es kommt wirklich auf die konkreten Umstände an. Schauen wir also mal, was die DSGVO dazu sagt. Einschlägige Regelung zur Benennung eines Datenschutzbeauftragten ist Art. 37 DSGVO. Nach Art. 37 Abs. 1 DSGVO ist auf jeden Fall ein Datenschutzbeauftragter in einer Arztpraxis in drei Konstellationen zu benennen:

  1. Die Arztpraxis ist Teil einer Behörde oder öffentlichen Stelle .
  2. Die Kerntätigkeit der Arztpraxis besteht in der Durchführung von Datenverarbeitungen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von Patienten erforderlich macht.
  3. Die Kerntätigkeit der Arztpraxis besteht in der umfangreichen Verarbeitung von besonderen Kategorien von Daten i.S.d. Art. 9 DSGVO (insbesondere Gesundheitsdaten).

Auch wenn eine Arztpraxis theoretisch auch als öffentliche Stelle betrieben werden kann, ist der Regelfall in der Praxis doch der, dass die Arztpraxis eine privatrechtliche Einrichtung ist und damit keine öffentliche Stelle darstellt. Im Ergebnis ist Ziff. 1 der o.g. Auflistung hier nicht einschlägig.

Wie sieht es mit Ziff. 2 aus? Hier wäre ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit der Arztpraxis die Durchführung von Datenverarbeitungen betrifft. Auch wenn in einer Arztpraxis sicher eine Reihe von Daten anfällt, ist es jedoch nicht Kerntätigkeit einer Arztpraxis, Daten zu verarbeiten. Das wäre meiner Meinung nach nur dann zu bejahen, wenn z.B. die Arztpraxis eine klinische Studie durchführt und insoweit umfangreich Daten verarbeitet. Im Ergebnis führt die o.g. Ziff. 2 also hier auch noch nicht zur Pflicht einer Benennung eines Datenschutzbeauftragten in der Arztpraxis.

Kommen wir zu dem wohl entscheidenden und einschlägigen Kriterium, das in Ziff. 3 oben angeführt wurde. Danach ist von der Arztpraxis ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit der Praxis in der umfangreichen Verarbeitung von Gesundheitsdaten besteht.

Die hier entscheidende Frage ist also, ob eine „umfangreiche“ Verarbeitung von Gesundheitsdaten in einer Arztpraxis erfolgt? Der Wortlaut der DSGVO ist hier nicht eindeutig. Das ist zunächst auch für Rechtsnormen nicht unüblich. Es gehört dann zum Handwerkszeug der Juristen, den unbestimmten Wortlaut „bestimmbar“ zu machen. Und das erfolgt durch Auslegung. Bei der Auslegung der DSGVO bietet sich zunächst immer an, die sog. Erwägungsgründe der DSGVO auf Hinweise zu durchforsten.

Die Erwägungsgründe befinden sich vor dem eigentlichen Text der DSGVO. Im Hinblick auf die Benennung von Datenschutzbeauftragten ist vor allem Erwägungsgrund 97 einschlägig. Allerdings hilft der uns hier nicht weiter. Denn auch dort finden sich keine Hinweise darauf, wann eine „umfangreiche“ Verarbeitung vorliegen soll.

Wenn wir die DSGVO und die Erwägungsgründe aber insgesamt angeschaut haben, dann ist uns vielleicht etwas aufgefallen. Denn es gibt noch an anderen Stellen der DSGVO das Thema der „umfangreichen Verarbeitung“. Und bei einer Stelle können wir tatsächlich weitere Hinweise finden? Wo? Tja…beim Thema der Datenschutz-Folgenabschätzung (Art. 35 DSGVO).

Nach Art. 35 Abs. 3 lit. b) DSGVO ist eine Datenschutz-Folgenabschätzung insbesondere erforderlich, wenn eine

umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10

erfolgt. Das ist eine sehr ähnliche Formulierung wie bei Art. 37 Abs. 1 Nr. 3 DSGVO (s.o.). Und mit der beschäftigen wir uns ja gerade.

Wie praktisch…beim Thema der Datenschutz-Folgenabschätzung in der DSGVO gibt es allerdings dann auch etwas in den Erwägungsgründen, das uns bei der Lösung der Frage, ob nun ein Datenschutzbeauftragter von der Arztpraxis zu benennen ist oder nicht, weiterhelfen kann. Dazu müssen wir in Erwägungsgrund 91 hineinschauen.

Denn dort befindet sich auch neben einer Beschreibung, wann eine umfangreiche Verarbeitung vorliegen soll, auch ein Hinweis darauf, wann eine umfangreiche Verarbeitung nicht vorliegen soll:

Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.

Aha…das hilft uns schon einmal weiter. Was lernen wir also daraus? Wenn die Arztpraxis aus einem Einzelarzt (und etwas Personal) besteht, dann liegt in der Regel keine umfangreiche Verarbeitung von Gesundheitsdaten vor. Das führt im Ergebnis dazu, dass keine Datenschutz-Folgenabschätzung durchgeführt werden muss. Und es führt auch dazu, dass ein Einzelarzt keinen Datenschutzbeauftragten benennen muss.

Aber:
Bei einer Arztpraxis mit mehreren Berufsträgern wird man in aller Regel wohl davon ausgehen müssen, dass ein Datenschutzbeauftragter zwingend benannt werden muss. Das wird zumindest für Gemeinschaftspraxen mit mehreren Ärzten gelten.

Aktualisierung, 06.03.2018: In der rechtswissenschaftlichen Literatur wird mittlerweile allerdings auch vertreten, dass dies nicht zwingend der Fall ist, weil es an einer „umfangreichen Datenverarbeitung“ fehle (so z.B. Dochow, Notwendigkeit der Datenschutz-Folgenabschätzung und Benennung eines Datenschutzbeauftragten in der Arztpraxis?, PinG 2018, 51 (53 ff.)). Ob diese Begründung jedoch „trägt“, ist fraglich. Denn so sehr die Rechtsausführungen begründet und vertretbar sein mögen, gibt es ebenfalls gute und vertretbare Gründe für die Gegenauffassung. Mit Blick auf die Bußgeldrisiken sollte hier also im Zweifel die Aufsichtsbehörde befragt oder eben der sichere Weg der Benennung eines Datenschutzbeauftragten gegangen werden.

Streiten wird man darüber können, wie es in Praxisgemeinschaften aussieht, in denen mehrere einzelne Ärzte unter gemeinsamer Nutzung der Infrastruktur aber mit getrennten Patientenakten und -abrechnungen, gemeinsam arbeiten. Im Zweifel sollte hier aber – mit Blick auf die Bußgeldrisiken – besser ein Datenschutzbeauftragter benannt werden.

Okay…und wie sieht es nun nach dem BDSG-neu aus? Die Rechtslage nach der DSGVO deckt sich mit den Regelungen des BDSG-neu. Einschlägige Regelung für Datenschutzbeauftragte in nichtöffentlichen Stellen (wie z.B. Arztpraxen) ist da § 38 BDSG-neu.

Nach § 38 Abs. 1 BDSG-neu ist von der Arztpraxis ein Datenschutzbeauftragter zu benennen, wenn

  1. in der Arztpraxis in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  2. in der Arztpraxis Datenverarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung i.S.d. Artikel 35 DSGVO unterliegen.

Das bedeutet, dass in größeren Arztpraxen, in denen 10 oder mehr Mitarbeiter beschäftigt sind, in jedem Fall ein Datenschutzbeauftragter zu benennen ist.

Und was gilt nach dem BDSG-neu für kleinere Arztpraxen? Nun ja…das gleiche wie das, was wir oben schon herausgefunden haben. Denn das BDSG-neu sieht bei Arztpraxen mit weniger 10 Beschäftigten (nicht angestellte Berufsträger zählen nicht mit) eine Benennung eines Datenschutzbeauftragten vor, wenn die Arztpraxis Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung unterliegen. Und wann ist das wohl der Fall? Nun ja…bei umfangreichen Verarbeitungen. Und da schließt sich unser Kreis wieder. Denn diese Frage haben wir oben ja schon unter Zuhilfenahme von Erwägungsgrund 91 gelöst. Dort war grds. nur der einzelne Arzt ausgenommen.

So kommen wir also zusammengefasst zu folgendem Fazit, das meiner Meinung nach so ausfällt:

Ergebnis:

  1. Arztpraxen mit 10 oder mehr Beschäftigten müssen einen Datenschutzbeauftragten benennen.
  2. Gemeinschaftspraxen müssen ebenfalls einen Datenschutzbeauftragten benennen.
  3. Praxisgemeinschaften mit weniger als 10 Beschäftigten würde ich aufgrund der Bußgeldrisiken ebenfalls empfehlen, einen Datenschutzbeauftragten zu benennen.
  4. Einzelärzte mit weniger als 10 Beschäftigten können davon absehen, einen Datenschutzbeauftragten zu benennen. Zur Absicherung sollte dies bei Zweifeln mit der zuständigen Aufsichtsbehörde für den Datenschutz besprochen werden.