Termin vereinbaren
Termin vereinbaren
Termin vereinbaren

Datenschutzbeauftragten bestellen?

Muss ich einen Datenschutzbeauftragten bestellen?

Die Datenschutzgrundverordnung schreibt eine verpflichtende Benennung eines Datenschutzbeauftragten vor, wenn (Art. 37 Abs. 1 Buchst. c DSGVO) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 […] besteht.

In Artikel 9 werden unter den besonderen Kategorien auch Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung natürlicher Personen aufgeführt. Den Gesetzestext der relevanten Stellen des Artikel 9 finden Sie im Wortlaut am Ende dieses Artikels.

Das sagen die Aufsichtsbehörden:

Die zuständigen Aufsichtsbehörden legen die DSGVO mit Blick auf die Bestellpflicht in Arztpraxen teilweise anders aus. Es werden Interpretationen verschiedener Begriffe als Begründung aufgeführt. Wann spricht man von einer Kerntätigkeit? Was ist eine umfangreiche Verarbeitung? Kann man die Beschäftigtenzahl als Kriterium hinzuziehen? Wenn ja, wer zählt dann als Datenverarbeiter? Das Ziel solcher Überlegungen ist im Grunde die Vermeidung, einen Datenschutzbeauftragten bestellen zu müssen.

Solche Tricksereien sind nach meiner Ansicht gefährlich. Auch wenn man die Bestellpflicht umgeht, bleibt die Verantwortung für die Datenverarbeitung und die Verpflichtung zur Einhaltung aller Vorgaben der DSGVO beim Praxisinhaber. Das ist einer der feinen Unterschiede zwischen Theorie und Praxis.

Die wichtigste Frage stellt sich spätestens an dieser Stelle:

Sind Sie so fachkompetent und können die Aufgaben eines Datenschutzbeauftragten selbst in Ihrer Praxis erfüllen?

Zu diesen Aufgaben zählen:

Sie sind Ansprechpartner:in für die Aufsichtsbehörden bei Fragen oder Datenpannen.

  • Sie organisieren die Datenschutz-Schulung der Mitarbeiter bei Eintritt in die Praxis und nach Empfehlung mindestens 1x pro Jahr, dabei sind Sie für die Planung der Themen bezogen auf Ihre Praxis und Datenverarbeitung verantwortlich.
  • Sie erarbeiten und halten aktuell:
    • Ihr Verfahrensverzeichniss und die Risikofolgenabschätzung
    • Ihr Datenschutzkonzept
    • Den Kriterienkatalog und Prozesse zur Meldung von Datenschutzvorfällen
  • Als Datenschutzverantwortliche:r halten Sie Ihr Wissen immer auf aktuellem Stand, setzen sich mit der aktuellen Rechtsprechung und IT-Sicherheitsaspekten bzw. deren Entwicklung auseinander.
  • Sie kennen die Gesetzlichen Rahmenbedingungen und DSGVO.
  • Sie stellen den Patienten-Datenschutz sicher und wahren ihn
  • Sie stellen den Mitarbeiter-Datenschutz sicher und wahren ihn.
  • Sie stellen die Einhaltung der Betroffenenrechte sicher, von der Aufklärung über diese Rechte bis zur dokumentierten Inanspruch-nahme und Erfüllung.
  • Sie kontrollieren die Verträge mit IT- und sonstigen Dienstleistern, schließen Verträge zu Datenverarbeitung im Auftrag wo nötig
  • Sie verpflichten nachweislich alle Personen in Ihrer Praxis zur Schweigepflicht, die mit personenbezogenen Daten in Kontakt kommen, vom Praktikanten bis zum Arzt, inklusive unmittelbarer Dienstleister.
  • Sie kontrollieren und dokumentieren Datenverarbeitungs- und relevante Praxisprozesse, somit definieren Sie zu Ihrer eigenen Sicherheit ein einzuhaltendes einheitliches Vorgehen.
  • Sie stellen die Einhaltung der IT-Sicherheitsrichtlinie für Ihre Praxis sicher und kontrollieren regelmäßig, dass es so bleibt.
  • Sie verstehen, wann eine technische Maßnahme gut oder schlecht geeignet ist, um Ihre Schutzziele zu erreichen.
  • Sie kennen die IT Ihrer Praxis und deren verwundbare Punkte. Damit können Sie den leitenden Arzt bzw. die leitende Ärztin proaktiv auf Schwachstellen aufmerksam machen.

Das kann guter Datenschutz:

Der Datenschutz erfüllt neben seinem wörtlichen Zweck für die Praxis die Aufgabe der Risikominimierung und der Unterstützung der Qualitätssicherung. Üblicher Weise ist der Datenschutzbeauftragte die einzige Person im Unternehmen, die sich nicht mit der operativen Einhaltung des Datenschutzes befasst. Das soll einer Selbstkontrolle und damit Aufweichung in der Auslegung der Anforderungen vorbeugen.

Datenschutz und IT-Sicherheit sind untrennbar miteinander verbunden. Wenn Sie einen kompetenten Datenschutzberater engagieren, erhöhen Sie automatisch den Schutz vor Cyberattacken in Ihrer Praxis. Natürlich senken Sie die Fehleranfälligkeit Ihrer Prozesse und der Handlungen Ihrer Mitarbeiter:innen.

Aus meiner eigenen Erfahrung kann ich Ihnen eine quartalsweise Kontrolle aller getroffener Regelungen und Vorgaben empfehlen. Zumindest zu Beginn. Das gibt Ihnen Zeit die Vereinbarungen und Prozesse zu dokumentieren und schrittweise anzupassen. Danach können Sie diese „leben“ und anschließend schauen, ob sie praktikabel waren und ggf. nachsteuern. Wenn Sie nach 12 Monaten merken, dass Sie alles im Griff haben und aus der Umstellung Routine wurde, könnten Sie das Review halbjährlich durchführen. Dokumentieren Sie es bitte immer, dann können Sie problemlos nachweisen, Ihrer Pflicht nachgekommen zu sein.

„Wer schreibt, der bleibt“ 😊

Art. 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten

Der folgende Text ist ein Auszug und eine Zusammenstellung der relevanten Textpassagen der DSGVO.

Quelle: https://dsgvo-gesetz.de/art-9-dsgvo/

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,

(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

WordPress Cookie Hinweis von Real Cookie Banner