Verantwortlichkeit nach der DS-GVO im Bereich der Heilberufspraxen einschließlich der Pflicht zur Benennung eines Datenschutzbeauftragten
Stärkere Eigenverantwortung der Verantwortlichen als Ausgangspunkt der DS-GVO
Im Fokus der ab Mai 2018 wirksam werdenden Regelungen der EU Datenschutz-Grundverordnung (DS-GVO) steht die deutliche Stärkung der Eigenverantwortung der für die Datenverarbeitung Verantwortlichen. Unter anderem mit dem nunmehr ausdrücklich in das Datenschutzrecht übernommenen Grundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) hebt die DS-GVO die Rolle des Verantwortlichen bei der Verarbeitung personenbezogener Daten klar und deutlich hervor und überträgt ihm eine breite Verantwortung nicht nur für die Einhaltung der allgemeinen Grundsätze des Datenschutzes nach Art. 5 Abs. 1 DS-GVO als solche, sondern auch für deren Nachweisbarkeit. Im Ergebnis ist der Verantwortliche verpflichtet, die Ordnungsgemäßheit der Datenverarbeitung nachzuweisen, d.h. dass und in welcher Weise er den in Art. 5 Abs. 1 DS-GVO enthaltenen Anforderungen und daraus resultierenden Pflichten genügt. Die Einführung der Rechenschaftspflicht kann dabei als Triebfeder für eine effektive Umsetzung der datenschutzrechtlichen Vorgaben qualifiziert werden.
Verantwortliche im Bereich der niedergelassenen Heilberufe
Wer Verantwortlicher ist ergibt sich unmittelbar aus Art. 4 Nr. 7 DS-GVO. Nach der Definition, die der bisherigen Rechtslage entspricht, sind hiervon natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen umfasst, die allein oder gemeinsam mit anderen über Verarbeitung personenbezogener Daten entscheiden. Im Bereich der niedergelassenen Heilberufe sind dies die Praxisinhaber.
Umfang der Verantwortlichkeit: Handeln nach Risikoabwägung und Datenschutz-Compliance
Die rechtliche Zuweisung der Verantwortung für die Einhaltung datenschutzrechtlicher Pflichten bzw. deren Umfang ist in Art. 24 Abs. 1 DS-GVO niedergelegt. Der Verantwortliche hat hiernach geeignete technische und organisatorische Maßnahmen umzusetzen, die eine Verarbeitung personenbezogener Daten im Einklang mit der Verordnung ermöglichen und die den Nachweis darüber zulassen. Ob und ggf. welche Maßnahmen zu ergreifen sind hängt von Art, Umfang und Zweck der beabsichtigten Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere denkbarer Risiken für die Freiheiten der hiervon betroffenen Personen ab. Dies entspricht dem risikobasierten Ansatz der DS-GVO. Nach Art. 24 Abs. 1 Satz 2 DS-GVO ist von dem Verantwortlichen regelmäßig zu überprüfen und zu aktualisieren, inwieweit der bisherige Maßnahmenkatalog z.B. an veränderte Rahmenbedingungen oder Risikofaktoren angepasst werden muss.
Je nach Verarbeitungstätigkeit wird der Verantwortliche über Art. 24 Abs. 2 DS-GVO angehalten, zur Erfüllung seiner nach Abs. 1 bestehenden Pflichten bereits im Vorfeld angemessene Datenschutzvorkehrungen zu treffen (Datenschutz-Compliance). Dies bedeutet, dass er beispielsweise bei dem Einsatz automatisierter Verarbeitungsverfahren nur solche Produkte auswählt, die eine datenschutzkonforme Verarbeitung unterstützen. Auch die Sicherstellung eines angemessenen Datensicherheitsniveaus entsprechend Art. 32 DS-GVO zählt zu einer von dem Verantwortlichen zu treffenden Vorkehrung im Sinne von Art. 24 Abs. 2 DS-GVO.
Umfang der Verantwortlichkeit im Bereich der niedergelassenen Heilberufe
Im Bereich der niedergelassenen Heilberufe ändert sich an dieser Verantwortlichkeit nichts. Dies bedeutet, dass die Praxisinhaber persönlich - ungeachtet von Größe oder Mitarbeiterzahl der von ihnen geführten Einrichtung - verantwortlich sind. Die Benennung von Datenschutzbeauftragten führt zu keiner Verlagerung dieser datenschutzrechtlichen Verantwortung. Es ist daher unumgänglich, dass Praxisinhaber in jedem Fall eigene Kompetenzen aufbauen, um die Einhaltung der Vorgaben des Datenschutzes in dem Betrieb ihrer Heilberufspraxis zu gewährleisten. Denn entspricht die Datenverarbeitung in der eigenen Praxis nicht den Vorgaben der DS-GVO, kann ein Verstoß gegen die in Art. 5 DS-GVO verankerten Grundsätze der Datenverarbeitung einschließlich der Rechenschaftspflicht nach Art. 83 Abs. 5 lit. a DS-GVO mit Geldbußen in erheblicher Höhe sanktioniert werden; unabhängig davon, ob im Einzelfall ein Datenschutzbeauftragter benannt worden war.
Pflicht zur Benennung eines Datenschutzbeauftragten
Eine Folge der DS-GVO ist die erstmalige Einführung einer europaweiten Pflicht für alle Verwaltungen und bestimmte Unternehmen zur Bestellung eines Datenschutzbeauftragten (DSB). Ausgehend von dem risikobasierten Ansatz der Verordnung erstreckt sich die Bestellungspflicht im privaten Sektor – zu dem auch die niedergelassenen Heilberufe gehören - zunächst auf solche Stellen, deren Haupttätigkeit entweder in einer systematischen Überwachung von Personen oder der umfangreichen Verarbeitung besonders schutzbedürftiger Daten besteht (z.B. Adresshändler, Auskunfteien, Internetprovider, Krankenhäuser) besteht. Das ab 25. Mai 2018 in Kraft tretende novellierte Bundesdatenschutzgesetz (BDSG-neu) weitet diese Pflicht u.a. auf Stellen aus, bei denen in der Regel mindestens 20 Personen personenbezogene Daten automatisiert verarbeiten oder bei denen eine Datenschutz-Folgenabschätzung durchgeführt werden muss.
Die in der DS-GVO verankerten Anforderungen an die Qualifikation und die Fähigkeiten eines DSB haben sich im Vergleich zu der bisherigen Rechtslage ebenso deutlich ausgeweitet wie dessen gesetzlich vorgesehenen Aufgaben (vgl. Art. 37 -39 DS-GVO). Insbesondere die künftig obligatorische Kontroll- und Evaluationstätigkeit eines DSB im Sinne eines Compliance-Beauftragten stellt eine wesentlich Änderung des Aufgabenspektrums dar (Art. 39 Abs. 1 lit. b DS-GVO). Bei der Personalauswahl müssen die genannten Kriterien berücksichtigt werden.
Die mit der Bestellung eines DSB einhergehenden Pflichten des Verantwortlichen werden von der Verordnung deutlich benannt (insbesondere Art. 38 Abs. 1, Abs. 2, Abs. 3, Abs. 6 Satz 2 DS-GVO). Inhaltlich Gewicht hat dabei insbesondere die klare Verpflichtung des Verantwortlichen, dem DSB die zur Aufgabenerfüllung erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung zu stellen (Art. 38 Abs. 2 DS-GVO). Denn die Bereitstellung ausreichender Personalressourcen war in der Vergangenheit selten gewährleistet.
Datenschutzbeauftragte bei Heilberufspraxen mit weniger als 20 Mitarbeitern
Die Verarbeitung von Gesundheitsdaten kann nach der DS-GVO unter bestimmten zusätzlichen Voraussetzungen dazu führen, dass ein Datenschutzbeauftragter bestellt werden muss. Mit Beschluss des Bundestages vom 27. Juni 2019 wurde im Rahmen des 2. Datenschutzanpassungs- und Umsetzungsgesetzes der § 38 Bundesdatenschutzgesetz insofern geändert, dass ein Datenschutzbeauftragter erst dann zu bestellen ist, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Fraglich ist, welche Konsequenzen sich daraus für Arztpraxen unter dieser Schwelle ergeben. Aus Sicht des LfDI Rheinland-Pfalz sind niedergelassene Heilberufspraxen weniger als 20 Mitarbeitern nach Wirksamwerden der DS-GVO weder verpflichtet noch daran gehindert, einen eigenen DSB zu installieren. Dies hängt vielmehr von der Höhe des Risikos für die Datenschutzrechte der Patientinnen und Patienten ab und damit insbesondere davon, welche Menge personenbezogener Daten verarbeitet wird (Volumen), ob die Verarbeitung auf regionaler, nationaler oder supranationaler Ebene erfolgt (geografischer Aspekt), wie viele Personen von der Verarbeitung betroffen sind und von welcher Dauer die Verarbeitung ist (zeitlicher Aspekt). Eine solche Verpflichtung ergibt sich nicht bereits aus dem Umstand, dass derartige (kleine) Praxen in ihrem Geschäftsbetrieb standardmäßig mit Gesundheitsdaten – also besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DS-GVO – ihrer Patienten umgehen. Denn die in Art. 37 Abs. 1 lit. c DS-GVO enthaltene Benennungspflicht, die besteht, sofern die Kerntätigkeit des Verantwortlichen eine umfangreiche Verarbeitung derartiger Daten umfasst, greift nach dem Verständnis der DS-GVO regelmäßig nicht im Falle einer Verarbeitung von Patientendaten durch einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufs (vgl. Erwägungsgrund 91).
Unabhängig von dem Bestehen einer rechtlichen Verpflichtung sind Praxisinhaber nicht gehindert, einen DSB zu benennen (vgl. Art. 37 Abs. 4 DS-GVO). Die Betrachtung sollte aber nicht auf die Frage des Datenschutzbeauftragten verengt werden. Wenn und soweit im Gesundheitssektor Daten verarbeitet werden, müssen auch die einschlägigen Regeln insgesamt eingehalten werden.
Vor dem Hintergrund der besonderen Schutzbedürftigkeit der in Heilberufspraxen verarbeiteten Patientendaten und der umfassenden Verantwortung der Praxisinhaber für eine datenschutzkonforme Datenverarbeitung empfiehlt der LfDI Rheinland-Pfalz den Aufbau einer praxiseigenen Datenschutzkompetenz. Angesichts der vielfältigen Aufgaben von Praxisinhabern dürfte es im Regelfall sinnvoll sein, dass auch ohne rechtliche Pflicht zur Benennung eines DSB noch zumindest eine weitere Person als Ansprechpartner in datenschutzrechtlichen Fragen installiert und mit den dafür erforderlichen Ressourcen ausgestattet wird. Hierfür kommt durchaus auch ein Praxismitarbeiter in Betracht. Nach Art. 37 Abs. 6 DS-GVO kann zumindest die Funktion des DSB auch von einem externen Dienstleister wahrgenommen werden, wobei immer die o.g. Anforderungen an die Personalauswahl berücksichtigt werden müssen.
Unterstützung der Praxisinhaber
Bei der Erfüllung der datenschutzrechtlichen Pflichten können die Praxisinhaber grundsätzlich auf die Unterstützung der für sie zuständigen Datenschutzaufsicht – für in Rheinland-Pfalz ansässige Praxen der LfDI Rheinland-Pfalz im Rahmen seiner Ressourcen- sowie der Heilberufskammern zurückgreifen. Darüber hinaus stellt auch die Kassenärztliche Vereinigung Rheinland-Pfalz geeignete Hilfen zur Etablierung eines datenschutzgerechten Praxisbetriebs zur Verfügung.
Check
- Ist die Zuordnung der datenschutzrechtlichen Verantwortung im Zusammenhang mit dem Betrieb einer Heilberufspraxis bekannt?
- Inwieweit verfügt der Inhaber der Heilberufspraxis über eine ausreichende eigene Datenschutz-Kompetenz? Besteht ggf. ein Fort- oder Weiterbildungsbedarf?
- Wer kümmert sich praxisintern um die Umsetzung der Vorgaben des Datenschutzes? Gibt es ein Datenschutzmanagement?
- Besteht eine Pflicht zur Benennung eines DSB? Wenn nicht sollte geklärt werden, ob trotzdem ein weiterer Ansprechpartner in datenschutzrechtlichen Angelegenheiten installiert werden soll?
- Erfüllt der DSB die rechtlichen Anforderungen an die Qualifikation und die Fähigkeiten eines DSB nach der DS-GVO?
- Basiert die Einbindung eines externen Dienstleisters in das Datenschutzmanagement der Praxis auf einem wirksamen Vertrag?