Datenschutzbeauftragter für die Zahnarztpraxis – Muss das sein?

Immer wieder kommt die Frage auf, ob ein Datenschutzbeauftragter für die Zahnarztpraxis oder das Dentallabor bestellt werden muss. Vor Wirksamwerden der Datenschutz-Grundverordnung (DSGVO) herrschte zu diesem Thema in der Gesundheitsbranche erhebliche Verunsicherung. Mittlerweile ist die Frage allerdings weitgehend geklärt!

Datenschutzbeauftragter für die Zahnarztpraxis – die Rechtslage

Hintergrund der Diskussionen war die nicht besonders aussagekräftige Rechtslage dazu, wann ein Datenschutzbeauftragter bestellt werden muss. In Art. 37 DSGVO heißt es hierzu:

(1)   Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

a)

die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,

b)

die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c)

die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Das neue Bundesdatenschutzgesetz (BDSG) ergänzt hierzu unter § 38 BDSG noch Folgendes:

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Artikel 37 Abs. 1 lit. a) (Verarbeitung von öffentlichen Stellen) und lit. b) DSGVO (umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen) sind für private Unternehmen üblicherweise nicht relevant. Zusammengefasst ergibt sich damit für sie folgendes Bild:

  • Unabhängig von Art, Umfang und Zweck der Datenverarbeitung ist jedenfalls dann ein Datenschutzbeauftragter zu bestellen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden.
  • Unterhalb der zehn-Personen-Schwelle muss ein Datenschutzbeauftragter nur dann bestellt werden, wenn
    • die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht,
    • die Kerntätigkeit in der umfangreichen Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht,
    • Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung unterliegen oder
    • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder der Markt- oder Meinungsforschung verarbeitet werden.

Für Zahnarztpraxen und Dentallabore stellen sich an dieser Stelle vor allem zwei Fragen:

  1. Was sind “besondere Kategorien von Daten” und wann ist ihre “umfangreiche Verarbeitung” als Kerntätigkeit anzunehmen?
  2. Welche Verarbeitungstätigkeiten unterliegen einer Datenschutz-Folgenabschätzung?

Umfangreiche Verarbeitung besondere Kategorien von Daten?

Was unter “besonderen Kategorien von personenbezogenen Daten” zu verstehen ist, klärt Art. 9 Abs. 1 DSGVO. Demnach zählen dazu insbesondere auch biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person sowie Gesundheitsdaten.

Auf Grundlage dessen liegt die Annahme nahe, dass eine Kerntätigkeit von Zahnarztpraxen und Dentallaboren, die ja tagtäglich mit Gesundheitsdaten arbeiten, in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht. Gemäß Art. 37 Abs. 1 lit. c) DSGVO müssten demnach sämtliche Praxen und Labore – unabhängig von der Beschäftigtenzahl – einen Datenschutzbeauftragten bestellen. Und genau zu diesem Punkt entwickelte sich im Vorfeld des Wirksamwerdens der DSGVO eine breite Diskussion, die zu großer Unsicherheit führte. Als Folge dessen meldete sich am 26. April 2018 die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) mit einer Stellungnahme zur Bestellpflicht von Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs nach Artikel 37 Abs. 1 lit. c DSGVO zu Wort. Darin ist unter Ziff. 2. zu lesen, dass

Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, (…) in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DSGVO auszugehen
ist und somit unterhalb der zehn-Personen-Schwelle keine Bestellpflicht besteht.

Wer benötigt einen Datenschutzbeauftragten

Pflicht zur Datenschutz-Folgenabschätzung?

Die Bestellung eines Datenschutzbeauftragten ist demnach für eine Zahnarztpraxis oder ein Dentallabor unterhalb der zehn-Personen-Schwelle nur dann erforderlich, wenn Verarbeitungstätigkeiten vorliegen, die einer Datenschutz-Folgenabschätzung unterliegen. Dies ist nach Artikel 35 DSGVO immer dann der Fall, wenn eine Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Am 25. Juli 2018 hat die DSK eine Liste von Verarbeitungstätigkeiten veröffentlicht, für die immer eine Datenschutz-Folgenabschätzung vorzunehmen ist. Typische Verarbeitungstätigkeiten einer Zahnarztpraxis oder eines Dentallabors sind darin nicht aufgeführt. Daraus kann geschlussfolgert werden, dass eine Zahnarztpraxis / ein Dentallabor üblicherweise nicht zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet ist und daher im “Normalfall” unterhalb der zehn-Personen-Schwelle auch keinen Datenschutzbeauftragten bestellen muss.

Ergebnis

  • Zahnarztpraxen und Dentallabore müssen einen Datenschutzbeauftragten bestellen, wenn bei ihnen regelmäßig mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Praxisinhaber zählen bei Bestimmung des Schwellenwertes mit. Es wird pro Kopf gezählt, d.h. auch halbe Stellen, Azubis etc. zählen voll.

  • Unterhalb der zehn-Personen-Schwelle besteht eine Verpflichtung dann, wenn umfangreich Gesundheitsdaten verarbeitet werden. Die übliche Praxis- bzw. Labortätigkeit erfüllt dieses Kriterium allerdings nicht.

  • Eine generelle Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht zudem auch dann, wenn Verarbeitungstätigkeiten vorgenommen werden, die aufgrund der Art, des Umfangs, der Umstände oder der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.

By |2018-09-14T16:00:13+00:00September 12th, 2018|Datenschutzbeauftragter, News|