Zu der brisanten und umstrittenen Frage, ob vom Arzt bzw. Zahnarzt ein Datenschutzbeauftragter (DSB) benannt werden muss, lautet die Antwort der BayLDA - nein. Begründet wird dies vom BayLDA wie folgt:
In der Arztpraxis findet in aller Regel keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten statt, die zu einer Benennungspflicht führt. Es ist daher ein DSB nur zu benennen, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. "Ständig beschäftigt" ist z. B. die Sprechstundenhilfe. "Nicht ständig beschäftigt" ist dagegen bspw., wer als Putzkraft theoretisch Daten zur Kenntnis nehmen kann.
Diese Auffassung scheint sich auch durchzusetzen. Denn jetzt hat am 10.04.2018 auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) einen ebenfalls sehr hilfreichen Artikel mit dem Titel "Die Datenschutz-Grundverordnung tritt in Kraft - das müssen selbständige Heilberufler beachten" veröffentlicht. Auch dort geht es - neben anderen Themen - um die Frage, ob ein betrieblicher Datenschutzbeauftragter in Arztpraxen benannt werden muss. Dabei geht auch das ULD einen pragmatischen Weg und kommt zu folgenden Schlüssen: Nach § 38 Bundesdatenschutzgesetz (BDSG) ist ein betrieblicher Datenschutzbeauftragter (DSB) in jedem Fall dann zu bestellen, wenn in der Arztpraxis, Apotheke etc. in der Regel mindestens zehn Personen ständig, d. h. nicht nur gelegentlich mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Umstritten ist insoweit die Frage, ob der bzw. die Inhaber der Arztpraxis auch mitzählen. Die wohl h. M. in der rechtswissenschaftlichen Literatur geht davon aus, dass die vertretungsberechtigten Personen einer Organisation, also z. B. Geschäftsführer einer GmbH, Inhaber einer Arztpraxis oder Gesellschafter einer Arztpraxis GbR nicht mitzählt. Denn diese Personen sind eben nicht "beschäftigt", sondern "beschäftigend". Wir halten diese Auffassung für richtig.
Im Ergebnis dürfte für eine Praxis, in welcher unter 10 Mitarbeitern beschäftigt sind, nach der derzeitigen Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht keine Pflicht bestehen einen Datenschutzbeauftragten zu benennen.
Selbstverständlich steht es jeder Praxis frei, einen Datenschutzbeauftragten dennoch zu bestellen. Insoweit ist zu beachten, dass eine Praxis ungeachtet der Frage nach der Pflicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an eine Praxis zu erfüllen. Die Sanktionen, die ein Verstoß gegen den Datenschutz nach sich ziehen kann, richten sich maßgeblich nach den Angaben im Bundesdatenschutzgesetz (BDSG). Ab Mai 2018 sind zudem für alle EU-Mitgliedstaaten die Strafen verbindlich, die die Datenschutz-Grundverordnung vorsieht. Die Datenschutz-Grundverordnung sieht bei einem Verstoß gegen den Datenschutz Bußgelder bis zu 20 Millionen Euro oder aber bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor.
Die Anforderungen der Datenschutz-Grundverordnung (DSGVO) an eine (Zahn-)Arztpraxis haben wir für Sie wie folgt zusammengestellt:
1. Datenschutzbeauftragter (DSB): Bei weniger als 10 Personen im regelmäßigen Umgang mit personenbezogenen Daten muss ein Datenschutzbeauftragter nicht benannt werden.
2. Verzeichnis von Verarbeitungstätigkeiten: Ein Verzeichnis von Verarbeitungstätigkeiten ist wegen der regelmäßigen Verarbeitung personenbezogener Daten erforderlich.
3. Datenschutz-Verpflichtung von Beschäftigten: Datenschutz-Verpflichtung von Beschäftigten ist, wegen des Umgangs aller Mitarbeiter mit personenbezogenen Daten, erforderlich.
4. Informations- und Auskunftspflichten: Insbesondere in der Praxis durch Flyer/Aushang sowie auf der Webseite in der Datenschutzerklärung bestehen Informations- und Auskunftspflichten.
5. Löschen von Daten: Die gespeicherten Daten müssen gelöscht werden, sobald sie für den Zweck der Verarbeitung nicht mehr erforderlich sind, jedoch erst nach Ablauf gesetzlicher Aufbewahrungspflichten.
6. Sicherheit: Da sensible Daten verarbeitet werden, sind weitere Schutzmaßnahmen erforderlich. Daten müssen besonders gesichert werden.
7. Auftragsverarbeitung: Ein Vertrag zur Auftragsverarbeitung ist sowohl mit dem IT-Betreuer, der die Webseite und die Praxis-IT betreut, notwendig.
8. Datenschutzverletzungen: Datenschutzverletzungen müssen gemeldet werden, wobei eine einfache Online-Meldung ausreicht.
9. Datenschutz-Folgeabschätzung (DSFA): Eine Datenschutz-Folgeabschätzung (DSFA) muss nicht durchgeführt werden.
10. Videoüberwachung: Da davon ausgegangen wird, dass keine Videoüberwachung durchgeführt wird, besteht keine Ausschilderungspflicht.
Sie brauchen eine maßgeschneiderte Beurteilung, ob auch Sie von der Pflicht zur Bestellung eines Datenschutzbeauftragten betroffen sind oder möchten Ihre Datenrechtskonformität prüfen? Die Kanzlei HOS Rechtsanwälte hilft Ihnen gerne dabei, dem Thema Datenschutz eine angemessene und für die heutige Zeit unerlässliche Rolle in Ihrem Unternehmen einzuräumen.
Für Rückfragen stehen unsere Datenschutzexperten - gerne auch telefonisch oder per E-Mail - zur Verfügung.
