Login Mitglieder
A- A A+ Startseite Patienten‌ & Interessierte Fachkreise
21.02.2018

Europäische Datenschutzgrundverordnung - Benennung eines Datenschutzbeauftragten

Am 25. Mai 2018 treten die Europäische Datenschutzgrundverordnung (EU-DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) in Kraft. Die EU-DSGVO und das BDSG beschreiben ausführlich den Umgang mit Daten in allen Formen, also digitale Bearbeitung, aber auch Aufbewahrung und Verarbeitung von personenbezogenen Informationen. In diesem Beitrag geht es speziell um die Frage, ob und wann eine Praxis einen Datenschutzbeauftragten benennen muss.

Ob ein Praxisinhaber einen Datenschutzbeauftragten benennen muss oder nicht, ist schon heute eindeutig geregelt:

Nach dem aktuellen Bundesdatenschutzgesetz gilt für Praxisinhaber die Pflicht, einen Datenschutzbeauftragten zu benennen, wenn dauerhaft mehr als neun Personen Zugriff auf personenbezogene Patientendaten haben. Dies gilt unabhängig davon, ob es sich um Vollzeit-, Teilzeitkräfte, freie Mitarbeiter oder Mit-Inhaber einer Praxis handelt  (§ 38 BDSG). Diese Regelung gilt auch weiterhin nach dem 25. Mai 2018, weil die DSGVO insoweit eine Öffnungsklausel zugunsten weitergehender Regelungen in den Mitgliedstaaten enthält (Art. 37 Abs. 4 Satz 1 Halbsatz 2 DSGVO). Einbezogen in diese Regelung werden alle Mitarbeiter einer Praxis, die personenbezogene Daten verarbeiten und diese für die Ausübung ihrer Tätigkeit benötigen – also auch Rezeptions- und Verwaltungsangestellte in einer Praxis.

Gesundheitsdaten sind besondere Daten

Alle Heilmittelerbringer "verarbeiten" Gesundheitsdaten wie beispielsweise Diagnosen, Medikamente und Behandlungsverläufe in ihrer Dokumentation. Diese und weitere Daten werden von Therapeuten benötigt, um die eigentliche Tätigkeit (Kerntätigkeit) auszuüben. Mitarbeiter in Heilmittelpraxen erheben, erfassen, ordnen, speichern, verändern, übermitteln, löschen oder vernichten Informationen. Laut Gesetz handelt es sich bei diesen personenbezogenen Gesundheitsdaten um sogenannte "besondere Daten", die einem speziellen Schutz unterliegen.

Artikel 9, Absatz 3 der DSGVO beschreibt, dass personenbezogene Daten nur von Fachpersonal oder unter dessen Verantwortung verarbeitet werden. Fachpersonal sind in diesem Zusammenhang alle Mitarbeiter, die auch der Schweigepflicht unterliegen.

Umfang der Verarbeitung entscheidend

Entscheidend dafür, ob eine Praxis einen Datenschutzbeauftragten benennen muss oder nicht, ist neben der Anzahl der Mitarbeiter vor allem der Umfang der Verarbeitung von personenbezogenen Daten. Hinweise dazu, dass es sich bei der Verarbeitung von Daten durch Einzelpraxen nicht um eine umfangreiche Verarbeitung von Daten handelt, finden sich in  Erwägungsgrund 91  zur neuen Verordnung. Dort heißt es wörtlich: "Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt."

Wo genau die Grenze zur "umfangreichen Verarbeitung" und damit der Pflicht zur Benennung eines Datenschutzbeauftragten liegt, ist derzeit noch nicht abschließend geklärt und kommt auf den jeweiligen Einzelfall an.

Durch die neue Europäische Datenschutzgrundverordnung  ändert sich ab dem 25. Mai 2018 also in Bezug auf die Benennung eines Datenschutzbeauftragten voraussichtlich nichts Grundlegendes für Heilmittelerbringer. Neue Anforderungen entstehen allerdings im Bereich formeller Pflichten, insbesondere in Bezug auf  Informationspflichten bei Erhebung von Daten (Art. 13 DSGVO) sowie im Bereich von Dokumentationspflichten, nämlich zur Erstellung eines sog. Verarbeitungsverzeichnisses (Art. 30 DSGVO). Ferner verschärfen sich die Geldbußen bei Nichteinhaltung der Verordnung zum Datenschutz.

PHYSIO-DEUTSCHLAND wird seinen Mitgliedern in Kürze Formulierungshilfen zur Verfügung stellen, damit Physiotherapeuten ihre Informations- und Dokumentationspflichten mit überschaubarem Aufwand erfüllen können.

Grundsätzlich gilt für jeden Praxisinhaber: Gehen Sie mit personenbezogenen Daten in Ihrer Praxis sensibel und verantwortungsbewusst um. Diskretion und Sicherheit im Umgang mit Patientendaten haben einen hohen Stellenwert und sollten deshalb fester Bestandteil der Praxisorganisation sein.