Datenschutzrecht aktuell:

Pflicht zur Benennung eines Datenschutzbeauftragter (DSB):

Warum in Arztpraxen immer häufiger eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht


Bücher auf Tisch; Gesetz; Pflicht Arzt; Datenschutz;
Pflicht zur Benennung eines Datenschutzbeauftragter (DSB):
Warum in Arztpraxen immer häufiger eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht
Der Deutsche Gesetzgeber hat im Bundesdatenschutzgesetz (BDSG) eine über die Anforderungen der Datenschutz-Grundverordnung (DSGVO) hinausgehende Pflicht zur Bestellung eines Datenschutzbeauftragten angeordnet.
Danach ist ein Datenschutzbeauftragter (DSB) zu bestellen, sobald eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist – unabhängig von der Mitarbeiterzahl (§ 38 Abs. 1 S. 2 BDSG).
In Arztpraxen ist eine DSFA in immer mehr Fällen erforderlich.
Zum Beispiel ist in Praxen, in denen sog. "neue Technologien" (z.B. Anwendungen, die künstliche Intelligenz (KI) nutzen) zur Anwendung kommen, oftmals eine Datenschutzfolgenabschätzung erforderlich. Dies führt automatisch zur Pflicht, einen Datenschutzbeauftragten zu bestellen.
Erwägungsgrund 91 des Europäischen Parlaments und des Rates der Europäischen Union zur DSGVO (VO (EU) 2016/679) privilegiert zwar den „einzelnen Arzt“. So ist die Verarbeitung von Patientendaten durch einen einzelnen Arzt regelmäßig nicht „umfangreich“. Aus der Verarbeitung von Gesundheitsdaten durch einen einzelnen Arzt alleine folgt also noch keine DSFA-Pflicht.
Aber: Neben dem Merkmal „umfangreich“ können andere Hochrisiko-Konstellationen (z. B. künstliche Intelligenz – z.B. zur Diagnostik oder im Falle einiger Chatbots, Videoüberwachung, Telemedizin/Apps, Datenweitergaben) eigenständig die Pflicht zur Erstellung einer DSFA auslösen.
Das bedeutet, dass auch Einzelpraxen einer DSFA- und damit DSB-Pflicht unterliegen können, wenn z.B. „moderne Technologien“ eingesetzt werden. Weitere Faktoren, aufgrund derer ein Datenschutzbeauftragter bestellt werden muss, können die Anzahl der Patienten (oftmals schon bei kleineren Praxen erreicht), die Anzahl der Mitarbeiter oder die Weitergabe von Daten an Dritte (z.B. zur Abrechnung) sein.
Da keine allgemeinverbindlichen Schwellenwerte existieren und sich eine Pflicht zur Bestellung eines Datenschutzbeauftragten aus einer Gesamtschau aller Risikofaktoren ergibt, ist eine Einzelfallbewertung unerlässlich.
Gerne beraten wir Sie hierzu individuell und prüfen, ob in Ihrem Fall eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht.

Die Rundum-Sorglos-Lösung für Datenschutz in Praxen & MVZ.
Mehr
Rechtliches
Kontakt
Rechtsanwalt
Stephan Hendel, LL.M.
Geschäftsführer