Schriftzug LFD Niedersachsen Niedersachsen klar Logo

Datenschutz im Gesundheitswesen

Wann muss ich in meiner Arztpraxis, Physiotherapiepraxis, Apotheke usw. (im Folgenden „Praxis“) eine oder einen betrieblichen Datenschutzbeauftragten (DSB) benennen?


1. Die Benennungspflicht besteht in einer Praxis oder Berufsausübungsgemeinschaft mit mindestens 10 Personen, welche Patientendaten verarbeiten, unabhängig vom jeweiligen Stellenanteil

Im Gesundheitswesen ergibt sich die Pflicht zur Benennung aus Art. 37 Abs. 1 lit. c DS-GVO. Diese Vorschrift besagt, dass eine oder ein DSB zu benennen ist, wenn eine umfangreiche Verarbeitung von Daten gem. Art. 9 Abs. 1 DS-GVO, wie z.B. Gesundheitsdaten, zur Kerntätigkeit der im Gesundheitsbereich Verantwortlichen gehört. Bei allen im Gesundheitsbereich Verantwortlichen, welche zur Führung einer Dokumentation ihrer Tätigkeit verpflichtet sind, gehört die Verarbeitung der Gesundheitsdaten unmittelbar zur Kerntätigkeit.

In der DS-GVO ist der Begriff „umfangreich“ in Bezug auf Art. 37 DS-GVO nicht definiert. Der Begriff „umfangreich“ wird allerdings auch in Art. 35 DS-GVO verwendet, welcher die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung definiert.

Der hier einschlägige Erwägungsgrund 91 zur DS-GVO besagt, dass eine Verarbeitung nur dann nicht als umfangreich eingestuft werden soll, wenn sie durch einen einzelnen Arzt oder Angehörigen eines Gesundheitsberufs ausgeübt wird.

Bei strenger Auslegung wäre daher eine umfangreiche Verarbeitung von Gesundheitsdaten bei allen Verantwortlichen anzunehmen, welche bereits eine weitere Person beschäftigen. Dies würde unmittelbar zu einer DSB-Benennungspflicht nach Art. 37 Abs. 1 lit. c DS-GVO führen.

Die Datenschutz-Aufsichtsbehörden haben sich im Jahr 2018 darauf verständigt, dass eine Verarbeitung von Gesundheitsdaten bei Verantwortlichen mit weniger als 10 mit der Datenverarbeitung beschäftigten Personen weiterhin als nicht umfangreich im Sinne des Art. 37 Abs. 1 lit. c DS-GVO gelten soll.

Hinweis:

Nur, wenn die/der Verantwortliche nicht bereits nach einer anderen Rechtsvorschrift eine oder einen DSB benennen muss, ist die am 26.11.2019 In Kraft getretene Gesetzesänderung gemäß § 38 Absatz 1 Satz 1 BDSG anzuwenden. Danach müssen Verantwortliche erst dann eine/n Datenschutzbeauftragten benennen, wenn 20 oder mehr Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Vorschrift erweitert Art. 37 Absatz 1 Buchstaben b) und c) Datenschutz-Grundverordnung (DS-GVO)

2. Die Benennungspflicht bei Praxen oder Berufsausübungsgemeinschaften unter 10 Personen besteht nur, wenn:

a. aufgrund von Praxisbesonderheiten entgegen Nr. 1 doch eine umfangreiche Verarbeitung von Gesundheitsdaten vorliegt

Art. 37 Abs. 1 lit. c) DS-GVO, siehe auch Kurzpapier Nr. 12 ( hier zum Download)

Folgende, exemplarisch genannte Beispiele können für das Vorliegen einer umfangreichen Verarbeitung sprechen:

  • Einsatz komplexer digitaler Medizinprodukte im Sinne des Medizinproduktegesetzes
  • Nicht nur gelegentliche Nutzung telemedizinischer Anwendungen (z.B. Videokonferenzen)
  • Einsatz von Videotechnik im Behandlungsverfahren (z.B. in der Psychiatrie)
  • Hausarzt-, Kinderarzt- oder internistische Praxen, welche einen umfassenden, generationsübergreifenden Datenbestand zu einer Person oder Familie haben und diese Daten zur Auswertung miteinander abgleichen
  • Überproportional großer Patientenstamm im Vergleich zu anderen Praxen selber Ausrichtung und Beschäftigtenzahl
  • Nutzen von „Big Data“ Anwendungen (z.B. Auswertung großer Datenmengen von Patientendaten)
  • Begleitende Forschungstätigkeit, wenn mehr Daten, als zur Behandlung erforderlich sind, erhoben werden

oder


b. aufgrund eines hohen Risikos bei der Datenverarbeitung oder einer umfangreichen der Datenverarbeitung (s.o.) eine Datenschutz-Folgenabschätzung (DSFA) durchführen ist.

Art. 35 DS-GVO i.V.m. § 38 Abs. 1 Satz 2 BDSG, siehe auch Kurzpapier Nr. 5 ( hier zum Download) sowie die von der Datenschutzkonferenz veröffentlichte Muss-Liste ( hier zum Download) gem. Art. 35 Abs. 4 DS-GVO mit Beispielen, wann zwingend eine DSFA zu erstellen ist.

§ 38 Abs. 1 Satz 2 BDSG besagt, dass Verantwortliche, welche eine DSFA gem. Art. 35 DS-GVO durchführen müssen, unabhängig von der Zahl der Personen, welche personenbezogene Daten verarbeiten, eine oder einen DSB benennen müssen.

Hinweis:

Die neuen datenschutzrechtlichen Vorschriften der DS-GVO und des neuen BDSG sind von allen Stellen zu beachten, welche Daten Dritter verarbeiten, unabhängig davon, ob eine Benennungspflicht einer oder eines DSB vorliegt oder nicht.

Im Rahmen der Umsetzung des neuen Datenschutzrechts, z.B. bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, kann es ratsam sein, auch wenn keine Benennungspflicht vorliegt, wenn Sie sich für einen befristeten Zeitraum externen Datenschutz-Sachverstand hinzuziehen.

Stand: Januar 2020
zum Seitenanfang
zur mobilen Ansicht wechseln