Niedersachen klar Logo

Datenschutz im Gesundheitswesen

Wann muss ich in meiner Arztpraxis, Physiotherapiepraxis, Apotheke usw. (im Folgenden „Praxis“) eine oder einen betrieblichen Datenschutzbeauftragten (DSB) benennen?


  1. Benennungspflicht in einer Praxis oder Berufsausübungsgemeinschaft mit mindestens 10 Personen, unabhängig vom jeweiligen Stellenanteil

    Sofern mindestens 10 Personen (incl. Geschäftsführung, angestellte Ärztinnen oder Ärzte, medizinische Fachangestellte und Auszubildende) ständig mit der Verarbeitung personenbezogener Gesundheitsdaten beschäftigt sind, ist eine oder ein DSB zu benennen. Der Begriff „ständig“ bedeutet in diesem Zusammenhang, dass eine regelmäßige, nicht nur gelegentliche Verarbeitung von Daten erfolgt. Dies ist unabhängig davon zu betrachten, wie hoch der prozentuale Anteil der Datenverarbeitung auf dem jeweiligen Arbeitsplatz ist.

    Art. 37 Abs. 1 lit. c) Datenschutz-Grundverordnung (DS-GVO)
    i.V.m. § 38 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG)



  2. Die Benennungspflicht bei Praxen oder Berufsausübungsgemeinschaften unter 10 Personen besteht nur, wenn:

    1. eine umfangreiche Verarbeitung von Gesundheitsdaten vorliegt

      Art. 37 Abs. 1 lit. c) DS-GVO, siehe auch Kurzpapier Nr. 12 ( hier zum Download)

      Folgende, exemplarisch genannte Beispiele können für das Vorliegen einer umfangreichen Verarbeitung sprechen:

      • Einsatz komplexer digitaler Medizinprodukte im Sinne des Medizinproduktegesetzes
      • Nicht nur gelegentliche Nutzung telemedizinischer Anwendungen (z.B. Videokonferenzen)
      • Einsatz von Videotechnik im Behandlungsverfahren (z.B. in der Psychiatrie)
      • Hausarzt-, Kinderarzt- oder internistische Praxen, welche einen umfassenden, generationsübergreifenden Datenbestand zu einer Person oder Familie haben und diese Daten zur Auswertung miteinander abgleichen
      • Überproportional großer Patientenstamm im Vergleich zu anderen Praxen selber Ausrichtung und Beschäftigtenzahl
      • Nutzen von „Big Data“ Anwendungen (z.B. Auswertung großer Datenmengen von Patientendaten)
      • Begleitende Forschungstätigkeit, wenn mehr Daten, als zur Behandlung erforderlich sind, erhoben werden

      oder

    2. aufgrund eines hohen Risikos bei der Datenverarbeitung eine Datenschutz-folgenabschätzung (DSFA) durchführen ist Art. 35 DS-GVO i.V.m. § 38 Abs. 1 Satz 2 BDSG, siehe auch Kurzpapier Nr. 5 ( hier zum Download) sowie die in Kürze veröffentlichte Liste gem. Art. 35 Abs. 4 DS-GVO mit Beispielen, wann zwingend eine DSFA zu erstellen ist.


Hinweis:

Die neuen datenschutzrechtlichen Vorschriften der DS-GVO und des neuen BDSG sind von allen Stellen zu beachten, welche Daten Dritter verarbeiten, unabhängig davon, ob eine Benennungspflicht einer oder eines DSB vorliegt oder nicht.

Im Rahmen der Umsetzung des neuen Datenschutzrechts, z.B. bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, kann es ratsam sein, auch wenn keine Benennungspflicht vorliegt, wenn Sie sich für einen befristeten Zeitraum externen Datenschutz-Sachverstand hinzuziehen.

Stand: März 2018


Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511 120-4500
Fax 0511 120-4599
E-Mail an Ansprechpartner schreiben
zum Seitenanfang
zur mobilen Ansicht wechseln