Die am 25.05.2018 in Kraft getretenen neuen Datenschutzbestimmungen betreffen auch den Alltag in Arztpraxen. Da in diesen besondere Kategorien von personenbezogenen Daten (Art. 9 und 10 DSGVO) erhoben und verarbeitet werden, liegt die Sicherheit dieser Daten ganz besonders im Interesse von Arzt und Patient. Doch braucht jede Arztpraxis auch einen Datenschutzbeauftragten?

Situation bei Einzel-Arztpraxen

Mit der Einführung der DSGVO treffen auch Arztpraxen zusätzliche Pflichten im Datenschutz. So brauchen Praxen ab einer Größe von zehn Mitarbeitern einen Datenschutzbeauftragten – vorausgesetzt, diese Mitarbeiter sind dauerhaft mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt. In Erwägungsgrund 91 zur DSGVO heißt es:

Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.

Das bedeutet für einen Arzt mit einer Einzelpraxis und weniger als neun zusätzlichen Mitarbeitern, dass eine Datenschutz-Folgeabschätzung oder ein Datenschutzbeauftragter zunächst einmal nicht zwingend erforderlich sind.

In Einzelfällen kann die Anzahl der Patienten jedoch erheblich über den Patientenkreis eines durchschnittlichen Arztes hinausgehen. In solchen Fällen kommt es dann zur umfangreichen Verarbeitung von besonderen Kategorien personenbezogener Daten. Dies macht eine Datenschutz-Folgeabschätzung und somit auch einen Datenschutzbeauftragten ggf. erforderlich. Natürlich ist eine freiwillige Benennung eines Datenschutzbeauftragten immer möglich und sichert Sie für den Fall der erheblichen Überschreitung des durchschnittlichen Patientenkreises rechtlich ab.

Gemeinschafts-Arztpraxen und neue Technologien

Bei Gemeinschaftspraxen ist die Wahrscheinlichkeit entsprechend höher, das Niveau der „umfangreichen Verarbeitung von besonderen Kategorien personenbezogener Daten“ zu erreichen. Nach dem Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26. April 2018, ist aber auch hier „in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten auszugehen“.

Wenn Sie neue Technologien im Umgang mit personenbezogenen Daten einführen, ist eine Datenschutz-Folgeabschätzung sowie ein Datenschutzbeauftragter ggf. nötig. Dies ist z.B. der Fall wenn Sie beispielsweise als Telearzt fungieren.

Neben den Datenschutzanforderungen im Praxisalltag müssen Ärzte auch die datenschutzkonforme Herrichtung ihrer Webseiten beachten. Hier droht die Gefahr von Abmahnungen konkurrierender Praxen.

Sind Sie Ärztin, Arzt oder leiten eine Praxis und haben Fragen zum Datenschutz? Zögern Sie nicht, uns zu kontaktieren!