Datenschutzgrundverordnung

Braucht meine Praxis einen Datenschutzbeauftragten?

Bundeszahnärztekammer
Am 25. Mai tritt die Europäische Datenschutzgrundverordnung (DSGVO) zusammen mit dem neuen Bundesdatenschutzgesetz (BDSG) in Kraft. Zahlreiche Anbieter preisen ihre Hilfe bei der Umsetzung der neuen Regelungen an. „Jede Zahnarztpraxis braucht einen Datenschutzbeauftragten“ ist nur eine Aussage, die in diesem Zusammenhang immer wieder zu hören ist. Aber stimmt das auch? Die Bundeszahnärztekammer klärt auf.

Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht für alle Praxisformen mit in der Regel mindestens zehn Personen, die ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Es gibt drei konkrete Voraussetzungen, bei deren Vorliegen eine Pflicht zur Benennung eines Datenschutzbeauftragten entsteht: 

1. Wer ist mit einer automatisierten Datenverarbeitung beschäftigt?

Zur Beantwortung dieser Frage ist es zunächst hilfreich, zu verstehen, was mit einer automatisierten Datenverarbeitung gemeint ist. Die DSGVO und das neue BDSG schweigen dazu. Im alten BDSG hingegen findet man in § 3 Absatz 2 eine Definition: „Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.“ Damit ist eindeutig, dass die Verarbeitung von Patientendaten in einem Computer automatisierte Datenverarbeitung ist. Das handschriftliche Eintragen von Patientendaten in eine Papierkarteikarte stellt hingegen keine automatisierte Datenverarbeitung dar, weil die Papierkarteikarte sicher keine Datenverarbeitungsanlage ist. Mit anderen Worten: Es ist in der Praxis festzuhalten, wie viele Personen am Computer arbeiten.

2. Sind in der Regel mindestens zehn Personen mit der automatisierten Datenverarbeitung beschäftigt?

Im zweiten Schritt ist zu klären, ob tatsächlich zehn Personen mit der automatisierten Datenverarbeitung beschäftigt sind. Bei der Ermittlung der Personenanzahl kommt es allein auf die tatsächliche Anzahl der tätigen Personen an. Die Art der Beschäftigung (zum Beispiel Voll- oder Teilzeit, Auszubildende, Praktikanten, Leiharbeit) ist hierfür unerheblich. Man muss also „Köpfe” zählen. Die Anzahl von mindestens zehn Beschäftigten muss „in der Regel“ gegeben sein. Vorübergehende Änderungen (Überschreitungen oder Unterschreitungen) des Personalbestands sind daher nicht maßgeblich. Ausgenommen werden können deshalb Personen, die nur zufällig oder gelegentlich im Rahmen der Erledigung anderer Aufgaben mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben (zum Beispiel Wartungstechniker; kurzfristiger Entlastungsassistent; Mitarbeiter eines externen Dentallabors).

3. Sind diese Personen ständig mit der automatisierten Datenverarbeitung beschäftigt?

Für eine ständige Beschäftigung müssen die Mitarbeiter ihre Aufgaben aber auf unbestimmte beziehungsweise längere Zeit ausüben, das heißt, immer wenn sie anfällt. Auf den Anteil beziehungsweise Umfang der Verarbeitung an der gesamten Arbeit kommt es nicht an, es muss also keine Hauptaufgabe sein. Daher sollten auch Mitarbeiter berücksichtigt werden, die über einen PC-Arbeitsplatz oder PC-Zugang verfügen. Wann eine ständige Beschäftigung im Einzelnen der Fall ist, hängt also von den konkreten Umständen in der Zahnarztpraxis ab. 

Mischformen erkennen, Zuständigkeiten klären

Können diese drei Fragen mit einem Ja beantwortet werden, muss ein Datenschutzbeauftragter in der Praxis benannt werden. Häufig trifft man in der Praxis auch Mischformen an. So findet man durchaus Arbeitsabläufe in den Praxen vor, bei denen zwar insgesamt mehr als zehn Personen tätig sind, aber tatsächlich nur wenige mit der automatisierten Datenverarbeitung beschäftigt sind. Viele Praxen haben ihre internen Arbeitsabläufe dergestalt organisiert, dass nur wenige Mitarbeiter tatsächlich automatisiert Daten verarbeiten. In diesen Fällen ist darauf zu achten, dass die verschiedenen Zuständigkeiten klar und abgrenzbar voneinander eingehalten werden.

Aktualisierter Datenschutzleitfaden

KZBV und BZÄK haben ihren „Datenschutz- und Datensicherheitsleitfaden für die Zahnarztpraxis-EDV“ neu aufgelegt.

In dem rund 50-seitigen Leitfaden finden Zahnärzte gemäß den neuen Vorgaben der EU-Datenschutzgrundverordnung (EU-DSGVO) und des Bundesdatenschutzgesetzes (BDSG) Informationen zu Benutzerkonten, zu Administrationsrechten, zur Verschlüsselung, zur Anbindung an das Internet, zu Anforderungen an die Praxissoftware und die Hardwarekomponenten sowie zur Online-Übertragung der Abrechnungsdaten, zur Einführung der Telematikinfrastruktur (TI) und zu Rechts- und datenschutzrechtlichen Grundlagen.

„Für viele Praxen ist die Anbindung an die TI der Anlass, sich noch intensiver mit Datenschutz und Datensicherheit zu beschäftigen“, erklären Dr. Karl-Georg Pochhammer, stellvertretender Vorsitzender der KZBV, und Jürgen Herbert, Vorstandsmitglied der BZÄK und Referent für Telematik, dazu. „Dem trägt die Überarbeitung des Leitfadens Rechnung, der nun die neue Technikberücksichtigt.“

  • Der aktualisierte Leitfaden ist ab Ende April auf den Webseiten von KZBV und BZÄK verfügbar.

Es gibt natürlich – wie im Recht üblich – die Ausnahme. Es ist aber vorweggenommen festzuhalten, dass diese Ausnahme für die übliche Zahnarztpraxis keine Rolle spielen wird. Unabhängig von den drei obigen Fragen besteht eine Pflicht zur Benennung eines Datenschutzbeauftragten auch dann, wenn die Zahnarztpraxis dazu verpflichtet ist, eine Datenschutzfolgenabschätzung durchzuführen, wenn dort eine umfangreiche Verarbeitung von Gesundheitsdaten erfolgt. Wann eine umfangreiche Verarbeitung von Gesundheitsdaten anzunehmen sein wird, ist hingegen unter Juristen und Datenschützern noch nicht abschließend geklärt. Vielfach wird deshalb die Auffassung vertreten, dass unabhängig von der Beschäftigtenanzahl lediglich der Zahnarzt in Einzelpraxis nicht von der Pflicht zur Benennung eines Datenschutzbeauftragten betroffen sei. Die Bundeszahnärztekammer hat diese Frage inzwischen rechtsgutachterlich klären lassen, um zur Rechtssicherheit in dieser Frage beizutragen. Nach dem Ergebnis des Gutachtens steht fest, dass eine umfangreiche Verarbeitung von Patientendaten in einer normalen Zahnarztpraxis – und zwar unabhängig von ihrer Praxisform – gerade nicht anzutreffen ist. Insoweit gilt ebenfalls: Sofern in der Regel nicht mindestens zehn Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind, besteht keine Pflicht des Praxisinhabers zur Benennung eines Datenschutzbeauftragten. 

Wer kann Datenschutzbeauftragter sein?

Als Datenschutzbeauftragter kommen Mitarbeiter der Praxis genauso in Betracht wie eine externe Lösung durch einen entsprechenden Dienstleistungsanbieter. Welche Variante von Vorteil ist, hängt nicht zuletzt von den konkreten Umständen in der Zahnarztpraxis ab. Die Tätigkeit des Datenschutzbeauftragten darf jedenfalls in keinem Interessenkonflikt mit der eigentlichen Tätigkeit in der Zahnarztpraxis stehen. Was bedeutet, dass weder der Praxisinhaber noch der IT-Verantwortliche der Praxis gleichzeitig Datenschutzbeauftragter sein können.

Eine schriftliche Bestellung ist nach neuem Recht nicht mehr erforderlich. Gleichwohl empfiehlt es sich aus Gründen der Rechtssicherheit und der deutlich gestiegenen Nachweispflichten, die Benennung zum Datenschutzbeauftragten in geeigneter Form zu dokumentieren und die wesentlichen Aufgaben des Datenschutzbeauftragten festzuhalten. 

Der Datenschutzbeauftragte sollte allgemeine Kenntnisse über die Praxis und insbesondere über die Arbeitsabläufe bei der Datenverarbeitung haben. Er muss die gesetzlichen Regelungen kennen und anwenden können.

Bundeszahnärztekammer  

Bundeszahnärztekammer

Melden Sie sich hier zum zm-Newsletter des Magazins an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Heft-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm Online-Newsletter und zm starter-Newsletter.