Braucht meine Praxis einen Datenschutzbeauftragten?

Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht für alle Praxisformen mit in der Regel mindestens zehn Personen, die ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Es gibt drei konkrete Voraussetzungen, bei deren Vorliegen eine Pflicht zur Benennung eines Datenschutzbeauftragten entsteht: 

1. Wer ist mit einer automatisierten Datenverarbeitung beschäftigt?

Zur Beantwortung dieser Frage ist es zunächst hilfreich, zu verstehen, was mit einer automatisierten Datenverarbeitung gemeint ist. Die DSGVO und das neue BDSG schweigen dazu. Im alten BDSG hingegen findet man in § 3 Absatz 2 eine Definition: „Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.“ Damit ist eindeutig, dass die Verarbeitung von Patientendaten in einem Computer automatisierte Datenverarbeitung ist. Das handschriftliche Eintragen von Patientendaten in eine Papierkarteikarte stellt hingegen keine automatisierte Datenverarbeitung dar, weil die Papierkarteikarte sicher keine Datenverarbeitungsanlage ist. Mit anderen Worten: Es ist in der Praxis festzuhalten, wie viele Personen am Computer arbeiten.

2. Sind in der Regel mindestens zehn Personen mit der automatisierten Datenverarbeitung beschäftigt?

Im zweiten Schritt ist zu klären, ob tatsächlich zehn Personen mit der automatisierten Datenverarbeitung beschäftigt sind. Bei der Ermittlung der Personenanzahl kommt es allein auf die tatsächliche Anzahl der tätigen Personen an. Die Art der Beschäftigung (zum Beispiel Voll- oder Teilzeit, Auszubildende, Praktikanten, Leiharbeit) ist hierfür unerheblich. Man muss also „Köpfe” zählen. Die Anzahl von mindestens zehn Beschäftigten muss „in der Regel“ gegeben sein. Vorübergehende Änderungen (Überschreitungen oder Unterschreitungen) des Personalbestands sind daher nicht maßgeblich. Ausgenommen werden können deshalb Personen, die nur zufällig oder gelegentlich im Rahmen der Erledigung anderer Aufgaben mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben (zum Beispiel Wartungstechniker; kurzfristiger Entlastungsassistent; Mitarbeiter eines externen Dentallabors).

3. Sind diese Personen ständig mit der automatisierten Datenverarbeitung beschäftigt?

Für eine ständige Beschäftigung müssen die Mitarbeiter ihre Aufgaben aber auf unbestimmte beziehungsweise längere Zeit ausüben, das heißt, immer wenn sie anfällt. Auf den Anteil beziehungsweise Umfang der Verarbeitung an der gesamten Arbeit kommt es nicht an, es muss also keine Hauptaufgabe sein. Daher sollten auch Mitarbeiter berücksichtigt werden, die über einen PC-Arbeitsplatz oder PC-Zugang verfügen. Wann eine ständige Beschäftigung im Einzelnen der Fall ist, hängt also von den konkreten Umständen in der Zahnarztpraxis ab. 

Können diese drei Fragen mit einem Ja beantwortet werden, muss ein Datenschutzbeauftragter in der Praxis benannt werden. Häufig trifft man in der Praxis auch Mischformen an. So findet man durchaus Arbeitsabläufe in den Praxen vor, bei denen zwar insgesamt mehr als zehn Personen tätig sind, aber tatsächlich nur wenige mit der automatisierten Datenverarbeitung beschäftigt sind. Viele Praxen haben ihre internen Arbeitsabläufe dergestalt organisiert, dass nur wenige Mitarbeiter tatsächlich automatisiert Daten verarbeiten. In diesen Fällen ist darauf zu achten, dass die verschiedenen Zuständigkeiten klar und abgrenzbar voneinander eingehalten werden. 

Es gibt natürlich – wie im Recht üblich – die Ausnahme. Es ist aber vorweggenommen festzuhalten, dass diese Ausnahme für die übliche Zahnarztpraxis keine Rolle spielen wird. Unabhängig von den drei obigen Fragen besteht eine Pflicht zur Benennung eines Datenschutzbeauftragten auch dann, wenn die Zahnarztpraxis dazu verpflichtet ist, eine Datenschutzfolgenabschätzung durchzuführen, wenn dort eine umfangreiche Verarbeitung von Gesundheitsdaten erfolgt. Wann eine umfangreiche Verarbeitung von Gesundheitsdaten anzunehmen sein wird, ist hingegen unter Juristen und Datenschützern noch nicht abschließend geklärt. Vielfach wird deshalb die Auffassung vertreten, dass unabhängig von der Beschäftigtenanzahl lediglich der Zahnarzt in Einzelpraxis nicht von der Pflicht zur Benennung eines Datenschutzbeauftragten betroffen sei. Die Bundeszahnärztekammer hat diese Frage inzwischen rechtsgutachterlich klären lassen, um zur Rechtssicherheit in dieser Frage beizutragen. Nach dem Ergebnis des Gutachtens steht fest, dass eine umfangreiche Verarbeitung von Patientendaten in einer normalen Zahnarztpraxis – und zwar unabhängig von ihrer Praxisform – gerade nicht anzutreffen ist. Insoweit gilt ebenfalls: Sofern in der Regel nicht mindestens zehn Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind, besteht keine Pflicht des Praxisinhabers zur Benennung eines Datenschutzbeauftragten. 

Als Datenschutzbeauftragter kommen Mitarbeiter der Praxis genauso in Betracht wie eine externe Lösung durch einen entsprechenden Dienstleistungsanbieter. Welche Variante von Vorteil ist, hängt nicht zuletzt von den konkreten Umständen in der Zahnarztpraxis ab. Die Tätigkeit des Datenschutzbeauftragten darf jedenfalls in keinem Interessenkonflikt mit der eigentlichen Tätigkeit in der Zahnarztpraxis stehen. Was bedeutet, dass weder der Praxisinhaber noch der IT-Verantwortliche der Praxis gleichzeitig Datenschutzbeauftragter sein können.

Eine schriftliche Bestellung ist nach neuem Recht nicht mehr erforderlich. Gleichwohl empfiehlt es sich aus Gründen der Rechtssicherheit und der deutlich gestiegenen Nachweispflichten, die Benennung zum Datenschutzbeauftragten in geeigneter Form zu dokumentieren und die wesentlichen Aufgaben des Datenschutzbeauftragten festzuhalten. 

Der Datenschutzbeauftragte sollte allgemeine Kenntnisse über die Praxis und insbesondere über die Arbeitsabläufe bei der Datenverarbeitung haben. Er muss die gesetzlichen Regelungen kennen und anwenden können.

Bundeszahnärztekammer