Eine der wesentlichen Anforderungen, die die DSGVO (europäische Datenschutz-Grundverordnung) ab dem 25.05.2018 europaweit stellt, ist die Benennung eines Datenschutzbeauftragten (DSB). Hierzu werden im Folgenden kurz die wichtigsten Punkte bezogen auf eine Arzt- und Zahnarztpraxis aufgezeigt. 

Was ist ein DSB?

Ein DSB ist ein Angestellter (Achtung: besonderer Kündigungsschutz!) oder externer Dienstleister, der aufgrund seiner Qualifikation befähigt ist auf die Umsetzung des Datenschutzes in einer Praxis weisungsunabhängig und selbstständig hinzuwirken. Das bedeutet, dass der DSB in der Praxis eine Unterrichtungs- und Beratungsfunktion bezüglich des Datenschutzrechtes hat und die Einhaltung der Vorgaben der DSGVO (ggf. insbesondere bei der Datenschutz-Folgeabschätzung) überwacht (wichtig: nicht verantwortet). 

Weiterhin ist er Anlaufstelle für die Aufsichtsbehörde und zur Zusammenarbeit mit ihr verpflichtet. Zudem ist er Ansprechpartner für betroffene Personen, deren personenbezogene Daten durch eine Praxis verarbeitet werden. Bezüglich der Qualifikation eines DSB ist es ratsam, dass dieser regelmäßig wiederkehrend im Datenschutzrecht geschult wird und dies, ggf. durch eine Zertifizierung, auch nachweisen kann. Nähere Vorgaben gibt die DSGVO hierzu allerdings nicht. Sollten Sie sich eines externen Datenschutzbeauftragten bedienen wollen, so ist es zudem vor dem Hintergrund des hohen Haftungsrisikos ratsam, dass dieser für seine Tätigkeit eine Vermögensschadenshaftpflichtversicherung mit ausreichender Deckungssumme nachweist. 

Wer muss einen DSB benennen?

Diese Frage ist einfach zu beantworten, wenn ständig außer dem Praxisinhaber mindestens 10 Personen in einer Praxis mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dann ist ein DSB nach Art. 37 Abs. 4 in Verbindung mit § 38 BDSG-neu (Bundesdatenschutzgesetz-neu) zu benennen. Schwierig wird es aber, wenn mit dieser Art von Tätigkeit weniger als 10 Personen ständig befasst sind. Im Sinne des Art. 37 Abs. 1 c) DSGVO ist – bezogen auf eine Arzt- und Zahnarztpraxis – dann ein DSB zu benennen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung von Gesundheitsdaten besteht (Hervorhebungen im Text durch Autorin). 

Der erste Punkt „Kerntätigkeit“ ist schnell abzuhaken, denn zu dieser ist im Sinne des DSGVO-Erwägungsgrundes 91 die Dokumentation der zahnmedizinischen Behandlung in einer Zahnarztpraxis zu zählen (Anmerkung: Die Erwägungsgründe sind Formulierungen der Ziele, welche die DSGVO verfolgt und sind hilfreich für die Interpretation der jeweiligen DSGVO-Artikel).

Aber wann ist die Verarbeitung von Gesundheitsdaten „umfangreich“? Die Datenschutzkonferenz (Anm.: alle unabhängigen Datenschutzbehörden des Bundes und der Länder) hat diesbezüglich in ihrem Kurzpapier Nr. 12 vorgegeben, dass Volumen der Datenverarbeitung, geografische Aspekte, Anzahl der betroffenen Personen und die Dauer der Verarbeitung für die Klärung der Frage, ob eine umfangreiche Verarbeitung im Sinne der DSGVO vorliegt, heranzuziehen sind. Sind mehrere der vorgenannten Punkte erfüllt, so könne von einer umfangreichen Datenverarbeitung ausgegangen werden. Daneben gelte die Verarbeitung – bezogen auf eine Arzt- und Zahnarztpraxis – in der Regel dann nicht als umfangreich, wenn die Verarbeitung von Patientendaten durch einen einzelnen Arzt erfolgt (vgl. DSGVO-Erwägungsgrund 91 Satz 4). Allerdings könne auch von einem Einzelarzt im konkreten Einzelfall eine umfangreiche Datenverarbeitung betrieben werden, nämlich dann, wenn er Gesundheitsdaten von einer großen Anzahl von Patienten, die erheblich über den Patientenkreis eines durchschnittlichen Einzelarztes hinausgeht, verarbeitet (vgl. Kurzpapier Nr. 12).  Eine diesbezügliche konkrete Patientenanzahl wird allerdings leider noch nicht seitens einer zuständigen Behörde genannt.

Benennung DSB in größerer Einheit

Arbeiten mehrere Berufsträger (z.B. Partner und Angestellte) gemeinsam in einer zahnärztlichen Kooperation, so wird die Frage, ob ein DSB zu benennen ist, anhand der oben genannten Kriterien der Datenschutzkonferenz zugunsten einer umfangreichen Verarbeitung im Sinne der DSGVO mit ja beantwortet werden müssen (Umkehrschluss zu DSGVO-Erwägungsgrund 91 Satz 4). Auch Praxisgemeinschaften können zur Benennung eines DSB verpflichtet sein, was jedoch stets im konkreten Einzelfall zu überprüfen ist. 

Hinweis: Bestehen Zweifel, ob ein DSB zu benennen ist, so ist es stets ratsam mit dem zuständigen Landesdatenschutzbeauftragten dieses Problem abzuklären. Auch kann natürlich die „Flucht nach vorne“ angetreten und freiwillig ein DSB benannt werden. Dies hat auch den Vorteil, dass, selbst wenn kein DSB bestellt werden muss, ein Zahnarzt einen Berater für sich und seine Mitarbeiter hinsichtlich des Themas Datenschutz und einen Ansprechpartner für Behörden sowie Betroffene an seiner Seite hat. Zudem kann dadurch das eigene Haftungsrisiko minimiert werden.

Was passiert, wenn entgegen der DSGVO kein DSB benannt wird?

Wird kein DSB benannt, obwohl nach der DSGVO oder dem BDSG-neu die Verpflichtung dazu besteht, so ist dies ein datenschutzrechtlicher Verstoß, der nach Art. 83 Abs. 4 a DSGVO mit einem empfindlichen Bußgeld belegt werden kann (im Extremfall bis zu 10 Mio. EUR oder bis zu 2 % des Jahresumsatzes des vergangenen Jahres, beispielsweise bei fehlender Benennung eines Datenschutzbeauftragten in einem großen Unternehmen).  

Und was ist sonst zu beachten?

Wichtig ist, dass die Kontaktdaten des DSB in geeigneter Weise (z.B. auf der Internetseite) veröffentlicht werden. Auch sind der zuständigen Landesdatenschutzbehörde die Benennung des DSB und dessen Kontaktdaten mitzuteilen. Der LDI NRW beispielsweise beabsichtigt diesbezüglich eine Möglichkeit zur Online-Meldung zu schaffen.

RAin Walburga van Hövell
lennmed.de Rechtsanwälte
Bonn | Berlin |Baden-Baden

Stichworte: DGSVO, Arzt, Zahnarzt, Bestellung Datenschutzbeauftragter