Braucht eine Arztpraxis einen (externen) Datenschutzbeauftragten?
Aus Sicht von Datenschützern und Patienten ist der Datenschutz in Arzt- und Zahnarztpraxen eine besonders sensible Frage. Sie berührt gesetzliche Vorschriften ebenso wie die Patientenrechte. Die ärztliche Schweigepflicht gemäß § 203 des Strafgesetzbuches (StGB), § 9 der Musterberufsordnung (MBO) für die deutschen Ärztinnen und Ärzte sowie § 7 der Musterberufsordnung der Bundeszahnärztekammer regelt den Umfang des Schutzes der personenbezogenen Informationen und Daten von Patienten im Rahmen des Berufsgeheimnisses grundsätzlich und über deren Tod hinaus.
Darüber hinaus müssen Ärzte, Zahnärzte und andere Heilberufe in ihren Praxen auch die Einhaltung der Bestimmungen des Bundesdatenschutzgesetzes (BDSG) sowie der EU-Datenschutz-Grundverordnung (DSGVO) sicherstellen. Es geht hier insbesondere um die Beachtung der Persönlichkeitsrechte und der informationellen Selbstbestimmung der Patienten, die Wahrung des Patientengeheimnisses, die datenschutzrechtlich korrekte Dokumentation sowie die elektronische Übermittlung aller relevanten Daten.
Für Praxen, in denen mehr als neun Personen mit der Verarbeitung personenbezogener Patientendaten in Berührung kommen, ist die Bestellung eines betrieblichen Datenschutzbeauftragten durch § 38 Abs. 1 BDSG zwingend vorgeschrieben. Hierbei spielt es keine Rolle, ob es sich dabei um Angestellte, freie Mitarbeiter, Voll- oder Teilzeitbeschäftigte, Auszubildende, Leihpersonal, ehrenamtliche Mitarbeiter oder Mitarbeiter von externen Dienstleistern handelt.
Erhebt, verarbeitet oder nutzt eine Praxis Daten die eine Vorabkontrolle verlangen, dann ist ein Datenschutzbeauftragter unabhängig von der Anzahl der datenverarbeitenden Personen zu bestellen. Eine Vorabkontrolle ist immer dann vorzunehmen, wenn es sich um Daten über rassische und ethnische Herkunft, die politische Meinung, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit und das Sexualleben handelt. Da Gesundheitsdaten durch das Bundesdatenschutzgesetz als "besondere Arten personenbezogener Daten" und damit als besonders schützenswert betrachtet werden, erfordert die Sensibilität der anfallenden Datensätze jedoch auch bei kleineren Praxen immer die Bestellung eines fachkundigen Datenschutzbeauftragten. Ab Mai 2018 schreibt dies auch die EU-Datenschutzgrundverordnung in Art. 37 Abs. 1 DSGVO vor.