Fünf Fragen zum Datenschutzbeauftragten
1. Wann muss meine Praxis eine Datenschutzbeauftragte bestellen?
Die kurze Antwort: ab zehn Mitarbeiter:innen. Die ausführliche Antwort: Heilmittelpraxen müssen eine Datenschutzbeauftragte bestellen, wenn mindestens zehn Personen mit der automatisierten Datenverarbeitung beschäftigt sind (§ 38 Abs. 1 BDSG). Zudem
sieht die DSGVO vor, dass Praxen, die umfangreich Daten verarbeiten, die als besonders schutzwürdig gelten, wie etwa Gesundheitsdaten, ebenfalls eine Datenschutzbeauftragte bestellen müssen – und zwar unabhängig von der Anzahl der Angestellten. Hier hat die Datenschutzkonferenz aber bereits 2018 beschlossen, dass bei Praxen, die weniger als zehn Beschäftigte haben, nicht von einer umfangreichen Datenverarbeitung auszugehen ist.
Wichtig: Nur weil eine Praxis nicht dazu verpflichtet ist, eine Datenschutzbeauftragte zu bestellen, mindern sich dadurch nicht die Ansprüche an den Datenschutz.
2. Was sind die Aufgaben des Datenschutzbeauftragten?
Wie der Titel bereits verrät, kümmert sich eine Datenschutzbeauftragte um den Datenschutz in der Praxis. Zu den Aufgaben gehört es,
- den Praxisinhaber zum Thema Datenschutz zu beraten.
- bei der Erstellung des Datenschutzkonzepts für die Praxis mitzuwirken.
- die Praxisinhaberin sowie die Angestellten über ihre Pflichten beim Datenschutz zu unterrichten und bei Bedarf zu konkreten Fragen diesbezüglich zu beraten.
- alle mit der Datenverarbeitung Beauftragte für den Datenschutz zu sensibilisieren und zum Thema zu schulen.
- die Einhaltung der Datenschutzvorschriften zu überwachen.
- die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen.
- die Praxischefin sowie die Angestellten über Neuerungen zu informieren.
- mit der Aufsichtsbehörde zusammenzuarbeiten.
3. Wen können Praxisinhaber:innen als Datenschutzbeauftragte einsetzen?
Grundsätzlich kann jede Person zum Datenschutzbeauftragten bestellt werden, die über die erforderlichen Fachkenntnisse verfügt, um die Aufgaben zu erfüllen. Die Person sollte also Fachwissen im Datenschutzrecht haben und die erforderlichen organisatorischen und technischen Kenntnisse in Bezug auf die Datenverarbeitungsvorgänge in der Praxis besitzen.
Neben den Fachkenntnissen spielt aber auch die Persönlichkeit und das bisherige Verhalten eine Rolle. Eine Datenschutzbeauftragte sollte zuverlässig und nicht bereits negativ aufgefallen sein, weil sie beispielsweise gegen die Verschwiegenheitspflicht verstoßen hat. Auch eine gewisse Neutralität und Unabhängigkeit gegenüber dem Praxisinhaber wie auch den Kolleginnen und Kollegen sollte gegeben sein. Denn zur Aufgabe des Datenschutzbeauftragten kann es auch gehören, auf unangenehme Tatsachen hinzuweisen.
Auch die Praxisinhaberin selbst oder der Geschäftsführer sind für die Position des Datenschutzbeauftragten nicht geeignet. Denn in dem Fall käme es zu einem Interessenskonflikt mit der eigentlichen Tätigkeit. Die Person wäre dann sowohl für den Datenschutz verantwortlich als auch dafür, zu überprüfen, ob der Datenschutz eingehalten wird.
4. Muss die Datenschutzbeauftragte eine Praxismitarbeiterin sein?
Nein, es gibt auch die Möglichkeit, eine externe Person als Datenschutzbeauftragte zu bestellen. Allerdings sollte diese Person mit den Abläufen in der Praxis vertraut sein und über die erforderlichen Zutritts- und Einsichtsrechte verfügen, um ihre Aufgaben erfüllen
zu können. Eine externe Datenschutzbeauftragte muss natürlich auch entsprechend vergütet werden. Gerade in Zeiten des Fachkräftemangels kann es aber auch ein Vorteil sein, wenn sich alle Angestellten der Praxis auf ihre therapeutische Arbeit konzentrieren können und nicht für die Tätigkeit als Datenschutzbeauftragte sowie entsprechende Fortbildungen freigestellt werden müssen.
Interner bDSB | Externer DSB |
| Kennt Praxis und Abläufe | Kennt Best Practice |
| Vordergründig keine zusätzlichen MA-Kosten | Kostet zusätzlich Geld |
| Kündigungsschutz | Hat alles notwendige Know-how (wenn er die Abläufe der Branche gut kennt) |
| Notwendigkeit zur Ausbildung | Einfachere Akzeptanz bei Mitarbeitern, weil von draußen |
| Im Falle einer Kündigung muss ein neuer bDSB benannt und u. U. ausgebildet werden | Vertretung ist gesichert |
| Arbeitsaufwand schlecht kalkulier- und kontrollierbar – (geringere Produktivität) | Beratungshaftung |
| Wenig Erfahrung und Fachwissen | |
| Arbeitnehmerhaftung |
5. Ist die Praxisinhaberin nicht mehr für den Datenschutz verantwortlich, wenn es einen Datenschutzbeauftragten gibt?
Nein, die Verantwortung für die Einhaltung der rechtlichen Bestimmungen bezüglich des Datenschutzes bleibt bei der Praxisinhaberin. Die Aufgabe des Datenschutzbeauftragten besteht darin, die Praxisinhaberin dabei durch sein Fachwissen zu unterstützen und zu beraten.
Tipp: Im Datenschutzhandbuch für Heilmittelpraxen findet Ihr auch eine ausführliche Checkliste mit den gesetzlichen Anforderungen an einen Datenschutzbeauftragten. Die könnt Ihr einfach durchgehen und abhaken. Dann seid Ihr auf der sicheren Seite.
Diese Artikel gehören zum Themenschwerpunkt Datenschutz 2024:
Gesetzliche Anforderungen an den Datenschutz
Datenschutz umsetzen: Eure Pflichten im Überblick
Fünf Fragen zum Datenschutzbeauftragten
Auftragsdatenverarbeitung: Die Verantwortung bleibt bei der Praxis
Recht auf Vergessenwerden: Datenschutz ist kein Artenschutz