Tipps vom Rechtsanwalt - Datenschutz jetzt festzurren

  • |
  • Rechtstipp

Es wird viel zum Thema Datenschutz diskutiert und dabei über viele Punkte gestritten. Wir haben uns von dem Rechtsanwalt Volker Wurm Tipps für Ihre Arztpraxis geholt, die wasserdicht sind.

Benötigt eine Artpraxis einen Datenschutzbeauftragten?

Für Arztpraxen gelten bei der Datenerfassung besondere Spielregeln. Eine ist die Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Normalerweise muss ein Unternehmen nur dann einen Datenschutzbeauftragten bestellen, wenn mehr als zehn Personen mit der Verarbeitung personenbezogener Daten befasst sind.

Da jedoch in der Arztpraxis eine besondere Kategorie von personenbezogenen Daten – Gesundheitsdaten – verarbeitet werden, ist die Bestellung eines Datenschutzbeauftragten gemäß Art. 37 DSGVO vorgeschrieben, auch wenn die Anzahl von 10 Personen nicht erreicht wird.

Einzige Ausnahme sind 1-Mann-Praxen wie Psychotherapeuten, die alle anfallenden Tätigkeiten selbst, ohne nachgeordnetes Personal, erbringen.

Wer kann Datenschutzbeauftragter sein?

Grundsätzlich kommt hierbei jeder Mitarbeiter in Betracht. Der Praxisinhaber selbst scheidet allerdings hierbei aus. Es sollten auch keine Mitarbeiter mit leitenden Funktionen sein, wie die Praxismanagerin oder die sogenannte „Erstkraft“. In deren Aufgabenbereich können Überschneidungen eintreten, die zu einer unerwünschten „Selbstkontrolle“ führen.

Die Ernennung eines Mitarbeiters zum Datenschutzbeauftragten belegt diesen nicht nur mit Pflichten, sondern räumt ihm einen Schutz des Arbeitsverhältnisses ein. Es entsteht ein Kündigungsschutz für den Datenschutzbeauftragten, die Abberufung durch den Arbeitgeber folgt den gleichen strengen Maßstäben einer außerordentlichen Kündigung. Darüber hinaus kann der Datenschutzbeauftrage aber im Falle eines eingetretenen Verstoßes haftbar gemacht werden.

Es bietet sich daher an, einen externen Fachmann als Datenschutzbeauftragten zu wählen. Diese Möglichkeit räumt die DSGVO ausdrücklich ein. Im Zweifel wird die Beendigung des Dienstleistungsvertrages mit einem freiberuflich tätigen Fachmann deutlich leichter sein als die Abberufung als Datenschutzbeauftragter oder gar der Kündigung des Mitarbeiters.

Wie bestelle ich einen Datenschutzbeauftragten?

Die DSGVO spricht hier von der „Ernennung“, also einer einseitigen Willenserklärung des Inhabers der Arztpraxis gegenüber dem zu Bestellenden.

Es bedarf keiner förmlichen Annahme dieser Bestellung durch den zukünftigen Datenschutzbeauftragten, allerdings kann der Bestellte diese Verpflichtung ablehnen, was für ihn mit keinerlei arbeitsrechtlichen Konsequenzen verbunden sein darf.

Bei der Bestellung eines externen Datenschutzbeauftragten ist darauf zu achten, einen Dienstleistungsvertrag im Sinne eines Auftragsverarbeitungsvertrages zu schließen ist.

Was ist zu beachten, wenn der Datenschutzbeauftragte bestellt ist?

Die interne Bestellung ist nur der erste Schritt. Der verantwortliche Datenschutzbeauftragte muss auch benannt und gegenüber der Aufsichtsbehörde als solcher registriert werden.

In Hessen beispielsweise kann dies Online über den Link:

Die explizite Benennung muss auch an anderen Stellen erfolgen, beispielweise im Impressum der eigenen Homepage. Dort ist der Datenschutzbeauftragte namentlich, mit der Möglichkeit zur Kontaktaufnahme, aufzuführen.

Um sich bei der Auswahl des Mitarbeiters zum Datenschutzbeauftragten nicht angreifbar zu machen, sollte eine gewisse Eignung des Mitarbeiters vorliegen. Dieser sollte „aufgrund seiner beruflichen Qualifikation und Fachwissens“ benannt werden. Hierbei es geht um Fachwissen der Datenverarbeitung. Da dieses Fachwissen bei Angestellten einer Arztpraxis nur in besonderen Einzelfällen vorliegen dürfte, müssen dem benannten Mitarbeiter die notwendigen Qualifizierungsmaßnahmen zugänglich gemacht werden.

Entsprechende Schulungen und Maßnahmen werden von den Kammern angeboten, auch private Anbieter gibt es in großen Mengen. Dieses Problem ist mit der Beauftragung eines externen Datenschutzbeauftragten leichter gelöst, denn man hat dort keine Fortbildungsverpflichtung zu beachten.

Zusammenfassung

Die zwingend notwendige Bestellung eines Datenschutzbeauftragten für die Arztpraxis ist kein unlösbares Problem, aber gerade wenn man die Verpflichtung intern umsetzen will, mit einem erhöhten Maß an Bürokratie verbunden. Die Bestellung eines externen Datenschutzbeauftragten kann bestimmte Nachteile abmildern, ein Freifahrtschein ist sie aber nicht.

Volker Wurm
Justiziar der advomedic GmbH