Wichtige Hinweise zum Datenschutzbeauftragten in der Arztpraxis

In den letzten Monaten hat es sich gezeigt, dass in der Praxis oft die falschen Angaben zum benannten Datenschutzbeauftragten veröffentlicht und auch noch andere Fehler begangen werden. Nachfolgend zeigen wir noch einmal die korrekte Vorgehensweise auf und stellen klar, wann ein Datenschutzbeauftragter zu benennen ist.

Wann muss ein Datenschutzbeauftragter (= eine Datenschutzbeauftragte) benannt werden?

Auf europäischer Ebene gibt es eine Stellungnahme mit einer weiten Spanne: Ein Einzelarzt muss keinen DSB benennen, ein Krankenhaus schon. Dies konkretisiert das deutsche Recht und die Stellungnahme der Datenschutzaufsichtsbehörden: Wenn mindestens zehn Personen personenbezogene Daten (Patientendaten, Beschäftigtendaten) automatisiert (also am Computer) verarbeiten (eingeben, einsehen, verändern etc.), muss ein DSB benannt werden. Dabei zählen alle Personen mit: Angestellte, ob Voll- oder Teilzeit, Praktikanten, Auszubildende, Ärzte, Praxisinhaber.

Benennung des DSB

Ein Datenschutzbeauftragter des MVZ oder der Arztpraxis ist nach Art. 37 DSGVO (vgl. § 38 BDSG neu) ab mind. 10 Personen, die regelmäßig Daten verarbeiten, zu benennen.

(Datum der Benennung, Name, Anschrift, Tel., E-Mail)

a) Veröffentlichung der Kontaktdaten

Art. 37 Abs. 7 DSGVO:

„Der Verantwortliche ... veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.“

Die Veröffentlichung der Kontaktdaten bedeutet nicht, dass alle möglichen Kontaktdaten oder der Name anzugeben sind, sondern nur, wie der DSB erreichbar ist. Eine Angabe der Telefonnummer ist nicht erforderlich. Die Angabe der Postanschrift und der E-Mail-Adresse genügt.
Die Veröffentlichung erfolgt im Rahmen der Datenschutzinformationen nach Art. 13 Abs. 1b DSGVO. Die Kontaktdaten sind daher in der DSGVO-Info für Mitarbeiter, für Bewerber, für Patienten, für Webseitenbesucher etc. anzugeben.

Postweg:
Datenschutzbeauftragter (persönlich/vertraulich)
c/o MVZ, Arztpraxis …
Straße
PLZ Ort

Entsprechende Schreiben sind dann ungeöffnet in einem verschlossenen Umschlag an den DSB weiterzuleiten.

E-Mail-Adresse:

Hier gibt es zwei Optionen.

1. Die Arztpraxis hat einen internen Datenschutzbeauftragten und richtet eine funktionsbezogene E-Mail-Adresse ein, z. B. datenschutz@praxis-domain.de. Sofern ein externer Datenschutzbeauftragter benannt ist, kann die funktionsbezogene E-Mail-Adresse der Praxis verschlüsselt an diesen weitergeleitet werden.
2. Es wird direkt die E-Mail-Adresse des externen DSB angegeben. Sofern dies auf der Webseite erfolgt, sollte zum Schutz vor Spam diese Adresse nicht verlinkt werden (mailto:). Z.B. nur dsb(at)domain.de schreiben, ohne Link, oder nur eine Grafikdatei der E-Mail-Adresse einbinden.

Bitte auf korrekte Schreibweise achten und E-Mail-Adresse bzw. Weiterleitung testen.

b) Mitteilung an die Aufsichtsbehörde

Kontaktdaten des Datenschutzbeauftragten sind gem. Art. 37 Abs. 7 Alt. 2 DSGVO der zuständigen Datenschutzaufsichtsbehörde zu melden. Die für das jeweilige Bundesland zuständige Aufsichtsbehörde ist unter https://datenschutzkonferenz-online.de/datenschutzaufsichtsbehoerden.html abrufbar.

Die meisten Aufsichtsbehörden bieten inzwischen die Möglichkeit, die Kontaktdaten in ein Online-Meldeformular auf deren Webseite einzutragen.

Bitte eine Kopie der Meldung sichern, ablegen und das Datum der Meldung vermerken.

Etwaige Änderungen bzgl. der Kontaktdaten des DSB oder des Verantwortlichen (MVZ, Arztpraxis) sind ebenfalls der Datenschutzaufsicht zu melden (Änderungsmitteilung).

Stellung des DSB

Der DSB ist gem. Art. 38 DSGVO frühzeitig in datenschutzrelevante Vorgänge einzubinden.

Der Verantwortliche (MVZ/Praxis) unterstützt den DSB bei seiner Aufgabenerfüllung. Der DSB arbeitet weisungsunabhängig und berichtet direkt an die Geschäftsführung.

Betroffene Personen (Mitarbeiter, Patienten etc.) können sich an den DSB wenden. Dieser hat Vertraulichkeit zu wahren. Daher darf die E-Mail-Adresse des DSB auch nicht in der Praxis auflaufen, sondern muss unmittelbar an den DSB gehen.

Aufgaben des DSB

Der DSB hat gem. Art.39 DSGVO keine Weisungsbefugnis, sondern berät nur den Verantwortlichen (einschließlich seiner Mitarbeiter) in Datenschutzbelangen. Die Entscheidung, ob dem Rat gefolgt wird, und die Verantwortung für den Datenschutz liegen beim Verantwortlichen. Der DSB überwacht die Einhaltung der DSGVO und das Schulungskonzept.

Sofern der Verantwortliche eine Datenschutzfolgenabschätzung (DSFA) gem. Art. 35 DSGVO durchführen muss, berät der DSB dabei auf Anfrage. Der DSB ist Ansprechpartner für die Datenschutzaufsicht (weshalb sie auch seine Kontaktdaten benötigt).

Ergänzende Regelungen im BDSG

Für öffentliche Stellen gilt § 5 BDSG (Benennung), § 6 BDSG (Stellung) und § 7 BDSG (Aufgaben). Der Kündigungs- und Abberufungsschutz des § 6 Abs. 4 BDSG gilt auch für Datenschutzbeauftragte externer Stellen und soll auch bei externen DSB nicht durch zu kurze, freie Kündigungsfristen umgangen werden.