Bestellpflicht für den Datenschutzbeauftragten für Ärzte, Mediziner und medizinisch geprägte Berufsbilder

Pixelio: (c) Ligamenta Wirbelsäulenzentrum

Durch die umfangreiche Arbeit der letzten Wochen wird es immer wirrer im Datenschutz – Dschungel.

Diese Seite stellt nur eine Zusammenfassung dar. Bitte bilden Sie sich anhand der Rechtsnormen (besagte Artikel) der DSGVO ein eigenes Bild. Diese haben wir für Sie an diesen Beitrag angehängt. Wir sind keine Juristen und interpretieren dieses Gesetz lediglich als zertifizierte fachkundige Datenschützer.

 

 

Verbände und Vereinigungen verschiedenster Branchen „beraten“ Ihre Mitglieder per  Infoblätter, eMails und Anrufe über das Für und Wider der DSGVO und des BDSG neu. 

Die Inhalte sind teilweise so haarsträubend, dass wir es uns an dieser Stelle zur Aufgabe gemacht haben, auch entgegen der Meinung diverser Landesdatenschützer, die Gesetzeslage so klar wie nur möglich darzustellen.

Vorweg muss klar sein, Europarecht steht in der Hierarchie über dem Bundesrecht. Kollisionen sollen durch die überarbeitete Fassung des BDSG neu vermieden werden. Vorrangig gilt aber in jedem Fall das Europarecht also die DSGVO. Sie ist keine „empfehlende“ Richtlinie, sondern eine „bindende“ Verordnung.

Zur Bestellpflicht; sie ist in Artikel 37 DSGVO klar geregelt. Dort steht zusammengefasst, dass Verantwortliche in jedem Fall einen DSB zu benennen haben, wenn:

1. eine Behörde oder öffentliche Stelle (mit Ausnahme von Gerichten) personenbezogene Daten verarbeitet

2. umfangreiche regelmäßige und systematische Überwachung betroffener Personen  zur Kerntätigkeit gehört

3. die Kerntätigkeit in der Verarbeitung von Daten nach Artikel 9 DSGVO oder Artikel 10 DSGVO liegt.

Artikel 9 DSGVO benennt unter anderem im Absatz 1 Gesundheitsdaten als personenbezogene Daten besonderer Kategorien.

Nun gibt es noch einen Erwägungsgrund 97 der die Kerntätigkeit als Haupttätigkeit definiert und von einer Nebentätigkeit abgrenzt.

Anmerkung von uns:

Mehr ist da nicht und es wird auch nicht eindeutiger.

Jetzt führen diese Vereine und Verbände und Datenschützer Normen ins Feld wie die 10 oder 20 Personenregel aus dem BDSG, die hier aber genauso irrelevant ist, wie die Pflicht zur Vorabkontrolle oder Datenschutzfolgenabschätzung, wie sie nun in der DSGVO genannt wird.

Diese Ableitungen sind aus unserer Sicht (und der von Juristen wie z,B. Kanzlei Michaelis) falsch und nicht einschlägig. Sie sind irreführend und basieren auf dem Fachwissen von Datenschützern, die offenbar noch am alten BDSG kleben und nicht mit der DSGVO vertraut sind.

Zurück zum Thema:

Da nicht abschließend geklärt ist, ob Ihrer Haupttätigkeit die Verarbeitung personenbezogener Daten unterliegt, oder ob sie als nebensächliche, vielleicht auch unwichtige Nebentätigkeit anzusehen ist, müssen Sie diese Entscheidung für sich selbst treffen.

Wir sind jedoch der Meinung, dass z. B. Patientendaten essentiell wichtig für den Arzt sind, denn nur mit Ihnen ist die adäquate Weiterbehandlung z.B. als Facharzt erst möglich. Auch die Abrechnung mit den Krankenkassen und Privatärztlichen Verrechnungsstellen und die Ausstellung von Rezepten kann doch nicht als Nebentätigkeit angesehen werden.

Sicher steht im Mittelpunkt die Heilung, nur kann ein Arzt von der Zufriedenheit der Patienten leben? Sicher nicht! Kern seiner Tätigkeit ist die Abrechnung und somit die Verarbeitung von Patientendaten.

Jetzt ist nur noch ein einziger Punkt im Gesetzestext ungeklärt, nämlich der Begriff „umfangreich“. Eine Definition hierfür findet man in in dem Artikel 35 DSGVO zur Datenschutzfolgenabschätzung, welche die ehemalige Vorabkontrolle aus dem alten BDSG ersetzt. Hier heißt es unter Absatz 3 lit. b)

Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.

Somit sind Einzelkämpfer im medizinischen Sektor und einzelne Rechtsanwälte befreit von der Bestellpflicht. Jetzt muss nur die Rechtsprechung zeigen wie einzeln denn einzeln ist. Sind Arzthelfer ausschlaggebend für umfangreiche Verarbeitung oder muss es ein zweiter Arzt sein, der den Begriff „einzeln“ übersteigt? 

Wir raten im Zweifelsfall einen DSB zu bestellen, oder den Landesdatenschutzbeauftragten zu kontaktieren und sich schriftlich dessen Meinung zu holen, um diese im eigenen Datenschutzordner unter „Befreiung von der Bestellpflicht“ abzulegen, sofern der Bescheid dementsprechend ausfällt. 

Das gilt im Übrigen nicht nur für Ärzte, sondern auch für:

– Physiotherapeuten
– Ergotherapeuten
– Apotheker
– Logopäden
– Psychologen 

und nahezu jeden selbstständig Ausübenden eines medizinischen oder medizinnahen Berufes.

Anhang: Auszug aus den genannten Normen der DSGVO

Die Bezeichnungen der Berufsgruppen wurden aus Gründen der besseren Lesbarkeit nicht genderneutral gewählt. Gemeint sind natürlich in jedem Fall alle in Frage kommenden Geschlechter.