Die EU-Datenschutzgrundverordnung bringt eine massive Veränderung für Arztpraxen mit sich. Ab Mai 2018 müssen Ärzte häufig einen Datenschutzbeauf-tragten benennen.

Bislang war nach dem Bundesdatenschutzgesetz (BDSG) die Bestellung eines Daten-schutzbeauftragten in einer Arztpraxis nur in seltenen Ausnahmefällen gesetzlich erfor-derlich.

Dies wird sich ab 25. Mai 2018 jedoch grundlegend ändern. Die Benennung eines Datenschutzbeauftragten ist in Deutschland ab diesem Zeitpunkt dann erforderlich, wenn in der Regel mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das fordert die EU-Datenschutzgrundverordnung (EU-DSGVO), die die nationalen Schutzgesetze weitestgehend ablöst. Diese Voraussetzung wird in vielen Arztpraxen allerdings nicht erfüllt sein.

Nach der neuen Verordnung muss ein Datenschutzbeauftragter aber auch benannt werden, wenn die umfangreiche Verarbeitung besonders geschützter Daten den Kern der Tätigkeit bildet oder eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist. Auf die Zahl der Mitarbeiter kommt es dann nicht an. Eine DSFA ist vorzunehmen, wenn ein voraussichtlich hohes Risiko mit der Verarbeitung von Daten – wie bei Patientendaten üblich – verbunden ist.

Selbstverständlich ist die Ausübung der Heilkunde der Kern der ärztlichen Tätigkeit. Allerdings gibt es, gerade für Vertragsärzte, eine Vielzahl von Dokumentations- und Abrechnungspflichten, deren Grundlage die Erhebung umfangreicher Daten bildet. Ein Unternehmen – im datenschutzrechtlichen Sprachgebrauch Verantwortlicher genannt – kann dabei durchaus mehrere Kerntätigkeiten haben. „Bereits dem Wortlaut nach spricht einiges dafür, dass Arztpraxen, in denen regelmäßig und umfangreich besonders geschützte Patienten- oder Gesundheitsdaten zu verarbeiten sind, dem Anwendungsbereich der genannten Bestimmungen unterliegen“, erklärt Tim Müller, Rechtsanwalt und Fachanwalt für Medizinrecht bei Ecovis in München.

Diese Überlegung wird durch die Erwägungsgründe der EU-DSGVO gestützt. In diesen erläutert der europäische Gesetzgeber, aus welchen Motiven und mit welcher Absicht er bestimmte Vorschriften erlassen hat. Sie dienen daher als wichtige Verständnisquelle europäischen Rechts.

Erwägungsgrund 91 (Auszug)
„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufs oder Rechts-anwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“

Der europäische Gesetzgeber hat also erkannt, dass die Verarbeitung besonders ge-schützter Patienten- und Gesundheitsdaten neben der heilberuflichen Ausübung zentral für die ärztliche Tätigkeit ist. Er hat nur die Datenverarbeitung durch einen einzelnen Arzt vom Anwendungsbereich der Vorschrift ausgenommen. Der Gesetzgeber geht davon aus, dass dessen Datenverarbeitung nicht als umfangreich gilt.

Neue Pflichten für Mehrarzteinrichtungen
Dies bedeutet im Umkehrschluss allerdings für alle Mehrarzteinrichtungen, insbesonde-re für alle Gemeinschaftspraxen und Medizinischen Versorgungszentren, aber auch für alle Fälle, in denen (auch) angestellte Ärzte tätig sind, dass deren Datenverarbeitung als umfangreich gilt. „In solchen Praxen ist daher unserer Auffassung nach ab Mai 2018 zwingend ein Datenschutzbeauftragter zu benennen“, hebt Axel Keller, Rechtsanwalt bei Ecovis in Rostock und seit vielen Jahren als Datenschutzbeauftragter in Gesundheitseinrichtungen tätig, besonders hervor. „Ein Verstoß gegen die Pflicht zur Benennung eines Datenschutzbeauftragten kann erhebliche Bußgelder zur Folge haben. Da die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der jeweiligen Aufsichtsbehörde des Bundeslandes zwingend mitzuteilen sind“, erklärt Keller weiter, „ist leicht zu kontrollieren, ob die Ärzte ihren Pflichten nachkommen.“

Der Datenschutzbeauftragte kann sowohl Beschäftigter des Verantwortlichen, also der Praxis, als auch ein externer Beauftragter sein. Die EU-DSGVO bestimmt lediglich, dass der Datenschutzbeauftragte auf der Grundlage
• seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie
• seiner Fähigkeit zur Erfüllung der ihm obliegenden Aufgaben
benannt wird.

Rechte und Pflichten eines Datenschutzbeauftragten
Der Datenschutzbeauftragte sollte stets unabhängig und mit einem gewissen Durchset-zungsvermögen agieren, um seine Aufgaben erfüllen zu können. Ist die Benennung eines Datenschutzbeauftragten verpflichtend, dann sind vor der Benennung eines Mitarbeiters als interner Datenschutzbeauftragter einige Besonderheiten zu berücksichtigen:
• Die Abberufung des Datenschutzbeauftragten ist nur aus wichtigem Grund zulässig.
• Der Beschäftigte genießt während der Zeit seiner Benennung und für die Dauer von einem Jahr nach deren Ende einen Sonderkündigungsschutz. Das Arbeitsverhältnis kann in dieser Zeit also nicht wirksam durch ordentliche Kündigung beendet werden.

Natürlich müssen auch Arztpraxen ohne Pflicht zur Bestellung eines Datenschutzbeauf-tragten die nach der EU-DSGVO bestehenden Pflichten erfüllen. „Unabhängig von den zu erfüllenden Anforderungen kann die Bestellung eines Datenschutzbeauftragten für die Praxis ohnehin sinnvoll sein, um sich möglichst wenig angreifbar zu machen“, erklärt Ecovis-Rechtsanwalt Tim Müller.

Drastische Strafen
Die Aufsichtsbehörden können ab Mai 2018 bei Verstößen gegen das Datenschutzgesetz zwei Gruppen von massiven Bußgeldern verhängen:
• Bis zu 10 Millionen Euro oder 2 Prozent des Vorjahresumsatzes
• Bis zu 20 Millionen oder 4 Prozent des Vorjahresumsatzes

Tim Müller, Rechtsanwalt bei Ecovis in München
Axel Keller, Rechtsanwalt bei Ecovis in Rostock

Über ECOVIS AG Steuerberatungsgesellschaft

Das Beratungsunternehmen Ecovis unterstützt mittelständische Unternehmen. In Deutschland zählt es zu den Top 10 der Branche. Etwa 5.000 Mitarbeiterinnen und Mitarbeiter arbeiten in den mehr als 100 deutschen Büros sowie weltweit in Partnerkanzleien in über 60 Ländern. Ecovis betreut und berät Familienunternehmen, inhabergeführte Betriebe sowie Freiberufler und Privatpersonen. Um das wirtschaftliche Handeln seiner Mandanten nachhaltig zu sichern und zu fördern, bündelt Ecovis die nationale und internationale Fach- und Branchenexpertise aller Steuerberater, Wirtschaftsprüfer, Rechtsanwälte und Unternehmensberater. Jede Ecovis-Kanzlei kann auf diesen Wissenspool zurückgreifen.
Darüber hinaus steht die Ecovis Akademie für fundierte Ausbildung sowie für kontinuierliche und aktuelle Weiterbildung. All dies gewährleistet, dass die Beraterinnen und Berater ihre Mandanten vor Ort persönlich gut beraten.

www.ecovis.com

Firmenkontakt und Herausgeber der Meldung:

ECOVIS AG Steuerberatungsgesellschaft
Ernst-Reuter-Platz 10
10587 Berlin
Telefon: +49 89 5898-266
Telefax: +49 (30) 310008556
http://www.ecovis.com

Ansprechpartner:
Gudrun Bergdolt
ECOVIS AG Steuerberatungsgesellschaft*
Telefon: +49 (89) 5898-266
E-Mail: gudrun.bergdolt@ecovis.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel