Arztpraxen und die Datenschutzgrundverordnung: Erste Schritte

Die Datenschutzgrundverordnung (DSGVO) bringt auch für Ärzte und deren Arztpraxen einiges an Arbeit ihre internen Abläufe zu aktualisieren um den aktuellen Vorgaben des Datenschutzes zu genügen. Was müssen Ärzte konkret unternehmen, um die Datenschutzgrundverordnung zu beachten?
Mit der Datenschutzgrundverordnung sollten Ärzte folgende Punkte als ersten besonders im Auge behalten. Der folgende Beitrag soll klären, ob eine Arztpraxis, einen Datenschutzbeauftragten, eine aktuelle Datenschutzerklärung, ein Verfahrensverzeichnis, eine Datenschutzfolgeabschätzung benötigt?

1. Datenschutzbeauftragter nach DSGVO für Arzt erforderlich?

Die erste Frage, die sich Praxisinhaber stellen müssen, ist ob sie einen Datenschutzbeauftragten benötigen. Diese Frage richtet sich nach Art. 37 DSGVO Abs. 1, 38 BDSG (neu). Danach muss ein Datenschutzbeauftragter bestellt werden, „soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener“ beschäftigt sind. Wenn in einer Praxis also 3 Ärzte und vier Sprechstundenhilfen beschäftigt werden, braucht diese Praxis danach keinen Datenschutzbeauftragten.
Etwas anderes kann sich allerdings aus Art. 37 Abs. 1 c DSGVO ergeben, weil dort geregelt ist, dass ein Datenschutzbeauftragter auch dann zwingend zu bestellen ist, wenn die „Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten“ besteht. Dazu gehören Nach Art. 9 DSGVO auch „Gesundheitsdaten“. In der Diskussion hat sich nun herausgearbeitet, dass eine umfangreiche Verarbeitung nicht bei einer Praxis mit einem Arzt stattfindet. Ob nicht drei Ärzte dann doch umfangreich Daten verarbeiten mag man diskutieren, ab vier Ärzten wird über die Sprechstundenhilfen aber sicher wieder die „10 Personen Regel“ nach § 38 BDSG (neu) eingreifen. Es wird auch vertreten, dass Ärzte in der Regel nicht umfangreich Gesundheitsdaten verarbeiten. So führt das Unabhängige Landeszentrum für Datenschutz Schleswig Holstein aus:
„Etwas anderes gilt nur in besonders gelagerten Fällen, in denen der Umfang der Verarbeitung von Gesundheitsdaten (oder anderen sensiblen Daten wie z.B. genetischen Daten) weit über das hinausgeht, was in einer üblichen Arztpraxis anzutreffen ist. In einem solchen Fall ist die Benennung eines betrieblichen DSB verpflichtend.“
Damit ist festzuhalten kleine Arztpraxen mit 1 oder 2 Ärzten brauchen keinen Datenschutzbeauftragten, es sei denn es sind insgesamt mehr als 10 Personen mit der Datenverarbeitung beschäftigt. Allenfalls bei drei Ärzten, die nicht die 10 Personen-Regel erreichen, gibt es leichte Restunsicherheit.

2. Aktuelle Datenschutzerklärung für eine Arztpraxen nach DSGVO

Selbstverständlich brauchen Ärzte auf ihrer Internetseite nun eine aktuelle Datenschutzerklärung. Die alte Datenschutzerklärung ist bereits deswegen unbrauchbar, weil auf alte Gesetze verwiesen wird.  Ungemach droht nicht nur von Aufsichtsbehörden, sondern auch zivilrechtlich. Auch Ärzte müssen sich mit wettbewerbsrechtlichen Abmahnungen herumschlagen, bereits mehrfach musste ich Ärzte hier wegen unterschiedlichen – angeblichen – Verstößen unterstützen.
Abmahner können sehr einfach in diesen Fällen abmahnen, weil sie automatisiert Roboter nach alten Normen und Datenschutzerklärungen das Internet absuchen lassen können. Ärzten ist daher dringend anzuraten, eine aktuelle Datenschutzerklärung zu verwenden, welche die DSGVO angemessen berücksichtigt.

3. Verfahrensverzeichnis für Arzt nach DSGVO nötig?

Arztpraxen müssen ein Verzeichnis von Verarbeitungstätigkeiten führen. Aus diesem Verzeichnis ist unteranderem zu entnehmen, welche Daten wie durch wen gespeichert und verarbeitet werden. Der genaue Inhalt ergibt sich aus Art. 30 DSGVO. Der Umstand, dass ein solches von Ärzten geführt werden muss, folgt bereits aus dem Umstand, dass nach Art. 30 Abs. 5 DSGVO, eine Ausnahme nicht vorgesehen ist, als Gesundheitsdaten im Sinne des Artikel 9 Abs. 1 DSGVO verwandt werden. Wie ein solches bei einer Arztpraxis sehr verkürzt dargestellt aussehen kann, kann aus einem Muster-Vorschlag des Bayerischen Landesamts für Datenaufsicht einsehbar hier, entnommen werden:

4. Datenschutzfolgeabschätzung für Arztpraxen?

Eine sogenannte Datenschutzfolgeabschätzung nach Art. 35 DSGVO müssen Artpraxen zumindest nicht durchführen, als der Art der Verarbeitung der personenbezogenen Daten regelmäßig kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Wer gleichwohl einmal in dieses Thema tiefer eintauchen möchte, dem sei auch hier eine Information des Bayerischen Landesamts für Datenaufsicht als weiterführenden Einstieg an Herz gelegt.

5. Professionelle Hilfe?

Wenn Sie Inhaber einer Praxis sind, haben Sie entweder die Möglichkeit sich selber in die Themenkomplexe der DSGVO einzuarbeiten oder sich professionell durch die Anwälte der Kanzlei Dr. Wachs beraten zu lassen. Wir sind auf die Beratung von Arztpraxen spezialisiert und helfen ihnen schnell, und effektiv durch die Vorschriften und Auflagen rund um die Datenschutzgrundverordnung (DSGVO). Nutzen Sie unsere kostenlose telefonische Ersteinschätzung um sich zu orientieren. Wir helfen gern.