Datenschutzgrundverordnung

Braucht meine Praxis einen Datenschutzbeauftragten?

Am 25. Mai tritt die Europäische Datenschutzgrundverordnung (DSGVO) zusammen mit dem neuen Bundesdatenschutzgesetz (BDSG) in Kraft. Zahlreiche Anbieter preisen ihre Hilfe bei der Umsetzung der neuen Regelungen an. „Jede Zahnarztpraxis braucht einen Datenschutzbeauftragten“ ist nur eine Aussage, die in diesem Zusammenhang immer wieder zu hören ist. Aber stimmt das auch? Die Bundeszahnärztekammer klärt auf.

Foto: ThinMan – Fotolia

Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht für alle Praxisformen mit in der Regel mindestens zehn Personen, die ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Es gibt drei konkrete Voraussetzungen, bei deren Vorliegen eine Pflicht zur Benennung eines Datenschutzbeauftragten entsteht: 

1. Wer ist mit einer automatisierten Datenverarbeitung beschäftigt?

Zur Beantwortung dieser Frage ist es zunächst hilfreich, zu verstehen, was mit einer automatisierten Datenverarbeitung gemeint ist. Die DSGVO und das neue BDSG schweigen dazu. Im alten BDSG hingegen findet man in § 3 Absatz 2 eine Definition: „Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.“ Damit ist eindeutig, dass die Verarbeitung von Patientendaten in einem Computer automatisierte Datenverarbeitung ist. Das handschriftliche Eintragen von Patientendaten in eine Papierkarteikarte stellt hingegen keine automatisierte Datenverarbeitung dar, weil die Papierkarteikarte sicher keine Datenverarbeitungsanlage ist. Mit anderen Worten: Es ist in der Praxis festzuhalten, wie viele Personen am Computer arbeiten.

2. Sind in der Regel mindestens zehn Personen mit der automatisierten Datenverarbeitung beschäftigt?

Im zweiten Schritt ist zu klären, ob tatsächlich zehn Personen mit der automatisierten Datenverarbeitung beschäftigt sind. Bei der Ermittlung der Personenanzahl kommt es allein auf die tatsächliche Anzahl der tätigen Personen an. Die Art der Beschäftigung (zum Beispiel Voll- oder Teilzeit, Auszubildende, Praktikanten, Leiharbeit) ist hierfür unerheblich. Man muss also „Köpfe” zählen. Die Anzahl von mindestens zehn Beschäftigten muss „in der Regel“ gegeben sein. Vorübergehende Änderungen (Überschreitungen oder Unterschreitungen) des Personalbestands sind daher nicht maßgeblich. Ausgenommen werden können deshalb Personen, die nur zufällig oder gelegentlich im Rahmen der Erledigung anderer Aufgaben mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben (zum Beispiel Wartungstechniker; kurzfristiger Entlastungsassistent; Mitarbeiter eines externen Dentallabors).

3. Sind diese Personen ständig mit der automatisierten Datenverarbeitung beschäftigt?

Für eine ständige Beschäftigung müssen die Mitarbeiter ihre Aufgaben aber auf unbestimmte beziehungsweise längere Zeit ausüben, das heißt, immer wenn sie anfällt. Auf den Anteil beziehungsweise Umfang der Verarbeitung an der gesamten Arbeit kommt es nicht an, es muss also keine Hauptaufgabe sein. Daher sollten auch Mitarbeiter berücksichtigt werden, die über einen PC-Arbeitsplatz oder PC-Zugang verfügen. Wann eine ständige Beschäftigung im Einzelnen der Fall ist, hängt also von den konkreten Umständen in der Zahnarztpraxis ab. 

Mischformen erkennen, Zuständigkeiten klären

Können diese drei Fragen mit einem Ja beantwortet werden, muss ein Datenschutzbeauftragter in der Praxis benannt werden. Häufig trifft man in der Praxis auch Mischformen an. So findet man durchaus Arbeitsabläufe in den Praxen vor, bei denen zwar insgesamt mehr als zehn Personen tätig sind, aber tatsächlich nur wenige mit der automatisierten Datenverarbeitung beschäftigt sind. Viele Praxen haben ihre internen Arbeitsabläufe dergestalt organisiert, dass nur wenige Mitarbeiter tatsächlich automatisiert Daten verarbeiten. In diesen Fällen ist darauf zu achten, dass die verschiedenen Zuständigkeiten klar und abgrenzbar voneinander eingehalten werden. 

Zahnarztpraxis-EDV

Aktualisierter Datenschutzleitfaden

KZBV und BZÄK haben ihren „Datenschutz- und Datensicherheitsleitfaden für die Zahnarztpraxis-EDV“ neu aufgelegt.

In dem rund 50-seitigen Leitfaden finden Zahnärzte gemäß den neuen Vorgaben der EU-Datenschutzgrundverordnung (EU-DSGVO) und des Bundesdatenschutzgesetzes (BDSG) Informationen zu Benutzerkonten, zu Administrationsrechten, zur Verschlüsselung, zur Anbindung an das Internet, zu Anforderungen an die Praxissoftware und die Hardwarekomponenten sowie zur Online-Übertragung der Abrechnungsdaten, zur Einführung der Telematikinfrastruktur (TI) und zu Rechts- und datenschutzrechtlichen Grundlagen. 

 „Für viele Praxen ist die Anbindung an die TI der Anlass, sich noch intensiver mit Datenschutz und Datensicherheit zu beschäftigen“, erklären Dr. Karl-Georg Pochhammer, stellvertretender Vorsitzender der KZBV, und Jürgen Herbert, Vorstandsmitglied der BZÄK und Referent für Telematik, dazu. „Dem trägt die Überarbeitung des Leitfadens Rechnung, der nun die neue Technikberücksichtigt.“

  • Der aktualisierte Leitfaden ist ab Ende April auf den Webseiten von KZBV und BZÄK verfügbar.

Es gibt natürlich – wie im Recht üblich – die Ausnahme. Es ist aber vorweggenommen festzuhalten, dass diese Ausnahme für die übliche Zahnarztpraxis keine Rolle spielen wird. Unabhängig von den drei obigen Fragen besteht eine Pflicht zur Benennung eines Datenschutzbeauftragten auch dann, wenn die Zahnarztpraxis dazu verpflichtet ist, eine Datenschutzfolgenabschätzung durchzuführen, wenn dort eine umfangreiche Verarbeitung von Gesundheitsdaten erfolgt. Wann eine umfangreiche Verarbeitung von Gesundheitsdaten anzunehmen sein wird, ist hingegen unter Juristen und Datenschützern noch nicht abschließend geklärt. Vielfach wird deshalb die Auffassung vertreten, dass unabhängig von der Beschäftigtenanzahl lediglich der Zahnarzt in Einzelpraxis nicht von der Pflicht zur Benennung eines Datenschutzbeauftragten betroffen sei. Die Bundeszahnärztekammer hat diese Frage inzwischen rechtsgutachterlich klären lassen, um zur Rechtssicherheit in dieser Frage beizutragen. Nach dem Ergebnis des Gutachtens steht fest, dass eine umfangreiche Verarbeitung von Patientendaten in einer normalen Zahnarztpraxis – und zwar unabhängig von ihrer Praxisform – gerade nicht anzutreffen ist. Insoweit gilt ebenfalls: Sofern in der Regel nicht mindestens zehn Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind, besteht keine Pflicht des Praxisinhabers zur Benennung eines Datenschutzbeauftragten. 

Wer kann Datenschutzbeauftragter sein?

Als Datenschutzbeauftragter kommen Mitarbeiter der Praxis genauso in Betracht wie eine externe Lösung durch einen entsprechenden Dienstleistungsanbieter. Welche Variante von Vorteil ist, hängt nicht zuletzt von den konkreten Umständen in der Zahnarztpraxis ab. Die Tätigkeit des Datenschutzbeauftragten darf jedenfalls in keinem Interessenkonflikt mit der eigentlichen Tätigkeit in der Zahnarztpraxis stehen. Was bedeutet, dass weder der Praxisinhaber noch der IT-Verantwortliche der Praxis gleichzeitig Datenschutzbeauftragter sein können.

Eine schriftliche Bestellung ist nach neuem Recht nicht mehr erforderlich. Gleichwohl empfiehlt es sich aus Gründen der Rechtssicherheit und der deutlich gestiegenen Nachweispflichten, die Benennung zum Datenschutzbeauftragten in geeigneter Form zu dokumentieren und die wesentlichen Aufgaben des Datenschutzbeauftragten festzuhalten. 

Der Datenschutzbeauftragte sollte allgemeine Kenntnisse über die Praxis und insbesondere über die Arbeitsabläufe bei der Datenverarbeitung haben. Er muss die gesetzlichen Regelungen kennen und anwenden können.

Bundeszahnärztekammer  

Spätestens seit den Enthüllungen von Edward Snowden ist klar, dass Daten im Netz ein Sicherheitsrisiko darstellen. Hier finden Sie Tipps zur digitalen Selbstverteidigung.

22606872259770225977122597722240041 2260688 2259775
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
1Kommentar
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Stefan Klaas
"Der Datenschutzbeauftragte sollte allgemeine Kenntnisse über die Praxis und insbesondere über die Arbeitsabläufe bei der Datenverarbeitung haben." Es darf aber keine Führungskraft sein und auch nicht "mein" IT-ler. Wer dann? Und ab
mehr anzeigen ...
wann verliert ein von mir bestellter und auch bezahlter, verantwortlicher externer DSB denn seine Unabhängigkeit von mir und fällt dann in den Kreis derer, die es nicht mehr sein dürfen?

Vor 1 Jahr 7 Monaten
1524078079
Antworten
loginform
Kommentarvorschau
Kommentarvorschau schliessen