Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat in einer Entschließung vom 26.04.2018 für Erleichterung bei Zahnarztpraxen gesorgt.
Der Beschluss der Datenschutzbehörden des Bundes und der Länder im Wortlaut:
„1. Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten.
Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DS-GVO auszugehen – in diesen Fällen ist unter Berücksichtigung von Punkt 3 dann kein Datenschutzbeauftragter zu benennen, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgenabschätzung vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen. Dies kann neben einer umfangreichen Verarbeitung (z.B. große Praxisgemeinschaften), die ohnehin nach Art. 37 Abs. 1 lit. c DS-GVO zu einer Benennungspflicht führt, beispielsweise beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen, der Fall sein. Der Datenschutzbeauftragte ist damit auch dann zu benennen, wenn weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben.“
Konsequenzen des Beschlusses der unabhängigen Datenschutzbehörden des Bundes und der Länder
Auch Zahnarztpraxen benötigen in der Regel nur einen Datenschutzbeauftragten, wenn die Schwellenwerte überschritten werden. Teilweise wurde in den Prüfstellen und in der Literatur aufgrund der Verarbeitung besonders geschützter Daten angenommen, dass jede Praxis einen benötigte. Durch den Beschluss ist hinsichtlich dieser Frage Klarheit geschaffen worden. Zu der weitergehenden Streitfrage, ob der oder die Praxisinhaber bei der 10-Personen-Regel mitzuzählen sind, scheinen die Datenschutzbehörden zu vertreten, dass dieser mitgezählt wird, auch wenn er nicht selbst – etwa als angestellter MVZ-Geschäftsführer – Beschäftigter ist.
Zwar handelt es sich um eine Entschließung hinsichtlich des Datenschutzbeauftragten, allerdings ist das Kriterium der „umfangreichen Verarbeitung“ – und damit der Erwägungsgrund 91 der DSGVO – auch bei der Frage einschlägig, ob die Praxis eine „Datenschutzfolgeabschätzung“ durchführen muss. Wenn die „umfangreiche Verarbeitung“ in Zahnarztpraxen nicht vorliegt, dürfte nach diesem Beschluss auch keine Datenschutzfolgeabschätzung notwendig sein.
Allerdings machen die Datenschutzbehörden eine Rückausnahme für „große Praxisgemeinschaften“. Leider wird dazu keine Zahl genannt. Zudem gehen im Beschluss „Berufsausübungsgemeinschaft“, „Gemeinschaftspraxis“ und „Praxisgemeinschaft“ durcheinander. Ebensolche Unbestimmtheit gilt für das Kriterium des „Einsatzes von neuen Technologien, die ein hohes Risiko mit sich bringen“. Im zahnmedizinischen Bereich dürfte letzeres aber unwahrscheinlich sein.
Praxistipp
Sofern Sie sich unsicher sind, ob Sie zur Datenschutzfolgeabschätzung verpflichtet sind, sollte anwaltlicher Rat eingeholt werden. Im Zweifel wird die Auslegung der DSGVO je nach Aufsichtsbehörde derzeit unterschiedlich gehandhabt, so dass Rücksprache notwendig ist. Noch kurz vor dem 25. Mai 2018 bleiben bei allen Beteiligten viele Fragen offen. Der Datenschutzbeauftragte kann Teil des Unternehmens sein oder diese Aufgabe wird outgesourct. Die Abwägung ist jeweils im Einzelfall zu treffen.