.

Medizin & Versicherung

Ich berate zu Fragestellungen im Medizinrecht, überprüfe Abrechnungen im Hinblick auf die Gebührenordnung und berate bei Unstimmigkeiten mit Ihrer Krankenversicherung. Wir unterstützen Sie auch bei Fragen zum Datenschutz. Wir bieten Ihnen ein erstes kostenfreies Informationsgespräch an!

Brauchen Ärzte oder Architekten einen DSB?

Die europäische Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz (Art. 37 EU-DSGVO und § 38 BDSG) schreiben die Benennung einer Datenschutzbeauftragten oder eines Datenschutzbeauftragten* unter den folgenden Voraussetzungen vor:

Der Verantwortliche und der Auftragsverarbeiter beschäftigten in der Regel mindestens 20 Personen, die ständig und automatisiert personenbezogene Daten verarbeiten (§ 38 Abs.1 BDSG). Zu der Zahl der Personen zählen auch Teilzeitkräfte, Leiharbeitnehmer, Auszubildende, Praktikanten sowie Geschäftsführer. Personenbezogenen Angaben betreffen Informationen über persönliche oder sachliche Verhältnisse.

Ein Datenschutzbeauftragte ist unabhängig von der Beschäftigtenzahl zu benennen, wenn

  • eine Pflicht zur Datenschutz-Folgenabschätzung besteht, § 38 Abs. 1 S. 2 BDSG, („insbesondere bei Verwendung neuer Technologien…, hohes Risiko…“, Art. 35 DSGVO).
  • personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung, der anonymisierten Übermittlung, § 38 Abs. 1 S. 2 BDSG
  •  personenbezogene Daten für Zwecke Markt – oder Meinungsforschung verarbeitet werden, § 38 Abs. 1 S. 2 BDSG
  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird. Ausgenommen sind hiervon Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln (Art. 37 DSGVO).
  • die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Erfasst werden unter anderem Betreiber von sozialen Netzwerken oder Adresshändler. Viele Unternehmen fallen jedoch nicht unter diese Norm. Beispielsweise bei einem Online-Shop besteht die Haupttätigkeit im Verkauf von Waren. Die Verarbeitung der Kundendaten und die Analyse der Daten, um zielgerichtete Werbung zu schalten, stellt nur eine Nebentätigkeit dar.
  • die Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien von Daten wie Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten oder Sexualleben einer Person (sensitive Daten, Art. 9 DSGVO) umfasst.
  • personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO verarbeitet werden

Die Anforderungen an den Schutz von personenbezogenen Daten zeigen, dass nahezu jedes mittlere oder größere Unternehmen in Europa einen Datenschutzbeauftragten benennen muss. Wenn Unternehmen Datenverarbeitungen mit hohen Risiken für die Betroffenen durchführen, müssen sie entsprechende Datenschutz-Folgenabschätzungen durchführen und bereits aus diesem Grund einen Datenschutzbeauftragten benennen.

Braucht ein Arzt, ein Apotheker oder ein Physiotherapeut einen DSB?

Es muss im Einzelfall abgewägt werden. Nach Artikel 37 Abs. 1 c DSGVO ist ein Datenschutzbeauftragter unabhängig von der Zahl der Beschäftigten zu benennen, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 EU-DSGVO (Gesundheitsdaten) besteht. Das zweite Kriterium (umfangreich) ist in der DSGVO nicht weiter definiert, aber in den Erwägungsgründen (Nr. 91) erläutert. „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten … betrifft und durch einen einzelnen Arzt … erfolgt.“ Ein Arzt oder ein Physiotherapeut mit weniger als 20 Mitarbeiter wird keinen bDSB benennen müssen, weil die Verarbeitung von Gesundheitsdaten im engeren Sinne keine umfangreiche Kerntätigkeit darstellt, sondern die Kerntätigkeit ist die Therapie, die Behandlung des Patienten.

Anders sieht die Rechtslage bei einem Apotheker mit mehr als 20 Mitarbeitern aus, der verschreibungspflichtige und nicht verschreibungspflichtige OTC-Arzneimittel täglich in einer hohen Anzahl an Kunden herausgibt und dabei Kassensysteme einsetzt, Kundendaten sowie Gesundheitsdaten verarbeitet. Der Apotheker muss einen bDSB benennen. Setzt der Apotheker, der weniger als 20 Mitarbeiter hat, ein Videosystem zur Überwachung seiner Apotheke ein, ist eine Datenschutz-Folgenabschätzung notwendig und damit auch ein bDSB erforderlich.

Schriftliche Benennung eines DSB:

Die Benennung des Datenschutzbeauftragten sollte schriftlich nach Aufnahme der Tätigkeit erfolgen. Das Schriftstück sollte die wesentlichen Rechte und Pflichten beider Parteien enthalten.

*Die Verwendung der männlichen Form bei der Nennung von Personen oder Funktionsträgern bedeutet keine geschlechtsspezifische Festlegung. Es sollen Angehörige aller Geschlechter gleichberechtigt angesprochen werden.

Betrieblicher oder externer Datenschutzbeauftragter

Konzernen und Unternehmen haben zwei Möglichkeiten ihrer Bestellpflicht nachzukommen. Entweder sie ernennen einen Mitarbeiter zum betrieblichen Datenschutzbeauftragten (bDSB) oder sie beauftragen einen Dienstleister als externen Datenschutzbeauftragter. Bei der Wahl ist darauf zu achten, dass ein bDSB keinem Interessenskonflikt unterliegt; etwa weil er als Mitarbeiter der IT-Abteilung, Personalabteilung oder der Geschäftsführung sich selbst kontrollieren müsste. Ein DSB muss Fachkunde im Bereich des Datenschutzrechts und der IT-Sicherheit mitbringen, die sich an der Komplexität der Datenverarbeitung und die Größe des Unternehmens orientiert.

 

Aufgaben des Datenschutzbeauftragten

Die wesentlichen Aufgaben des Datenschutzbeauftragten werden in Art. 39 DSGVO genannt. Zu ihnen zählen insbesondere folgende Aufgaben:

      • Unterrichtung und Beratung der Verantwortlichen und Beschäftigten bezüglich ihrer datenschutzrechtlichen Rechten und Pflichten
      • Die Überwachung der Einhaltung der gesetzlichen Datenschutzvorschriften und der internen Datenschutzrichtlinien, etwa durch Prüfungen oder regelmäßige Kontrollen
      • Beratung bei der Datenschutz-Folgeabschätzung
      • Schaffung von Transparenz in der betrieblichen Datenverarbeitung
      • Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme
      • Beratung über technische und organisatorische Maßnahmen in der Datenverarbeitung
      • Schulung der Beschäftigten, die Daten verarbeiten und diesbezügliche Überprüfungen, Erteilung von Auskünften zum Datenschutzes
      • Ansprechpartner für die Aufsichtsbehörden (§40 Abs. 1 BDSG – Ansprechpartner sind die Landesdatenschutzbeauftragten)
      • Prüfung und Umsetzung von Datenschutzstrategien. Dafür prüft er unter anderem die Zuweisung von Zuständigkeiten, die Sensibilisierung und Schulung der datenverarbeitenden Mitarbeiter und die Tauglichkeit der Strategien zur Umsetzung der Anforderungen aus der DSGVO.
      • Identifizierung von datenschutzrechtlichen Risiken der Verarbeitungsvorgänge.
Rechte und Pflichten des Unternehmers/Verantwortlichen

Die Geschäftsführung hat den DSB bei der Tätigkeit aktiv zu unterstützen:

      • Die Geschäftsführung/der Verantwortliche hat ihm die Möglichkeit zur eigenen sowie zur Schulung der Mitarbeiter zu geben (Freistellungspflicht)
      • Ihm sind die notwendigen Mittel wie Hilfspersonal, Geräte, insbesondere auch eigene Räumlichkeiten zur Verfügung zu stellen (Nutzungsrechte)
      • Der DSB erhält Zugang zu Dateien und Datenverarbeitungsprozesse (Zugangs- und Einsichtsrechte)
      • Der DSB ist bei neuen Projekten rechtzeitig zu informieren, um den Datenschutz zu prüfen (Informationsrechte)
      • Der DSB unterliegt bei seinen Tätigkeiten keinen Weisungen (Weisungsfreiheit)
      • Der DSB ist für die Dauer seiner Benennung als DSB nicht ordentlich kündbar. (Sonderkündigungsschutz)
      • Nach Abberufung ist der DSB für die Dauer eines Jahres nicht mehr ordentlich, sondern nur außerordentlich kündbar (nachwirkender Sonderkündigungsschutz).
      • Der Arbeitgeber ist verpflichtet, dem DSB die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen, damit dieser für die Erfüllung seiner Aufgaben die erforderliche Sachkunde erlangt (Kostenerstattungspflicht)
      • Der DSB ist der Geschäftsführung unmittelbar zu unterstellen (Informations- und Berichtspflicht)
      • Der DSB ist zur Geheimhaltung verpflichtet (Geheimhaltungspflicht)

Hinweis: Eine Abberufung des Datenschutzbeauftragten kann nur auf Verlangen der Aufsichtsbehörde erfolgen oder wenn ein wichtiger Grund (§ 626 BGB) vorliegt. Ein wichtiger Grund ist beispielsweise ein nachträglich festgestellter Mangel der Fachkunde oder Verstöße gegen die Verschwiegenheitspflicht. Auch die außerordentliche Kündigung des Arbeitsverhältnisses stellt einen Widerrufsgrund dar.

Die Abberufung muss dabei immer mit einer Teilkündigung der zusätzlichen arbeitsvertraglichen Pflichten durch die Bestellung als Datenschutzbeauftragter einhergehen. (BAG, Urteil vom 13. 3. 2007 – 9 AZR 612/ 05)

Welche persönlichen Anforderungen hat ein Datenschutzbeauftragter zu erfüllen?

Zum Datenschutzbeauftragten darf nur benannt werden, wer die erforderliche Fachkunde besitzt ( Art. 37 Absatz 5 DSGVO). Das Gesetz verlangt eine entsprechende berufliche Qualifikation und das erforderliche Fachwissen im Bereich des Datenschutzrechts. Der DSB kann weitere Tätigkeiten ausüben, sofern kein Interessenkonflikt besteht. Dies wäre immer dann der Fall, wenn der DSB seine eigene Tätigkeit überwachen müsste, also auch neben seiner Tätigkeit als DSB die jeweiligen Zwecke oder Mittel der Datenverarbeitung bestimmt. Der Leiter der IT, der die Mittel der Datenverarbeitung bestimmt, sollte also in der Regel nicht zum DSB benannt werden – aber auch andere Positionen könnten zu einem Interessenkonflikt führen. Dies umfasst alle Positionen des leitenden Managements.

Externe Datenschutzbeauftragte

Externe DSB werden auf Grundlage eines Dienstleistungsvertrages für das Unternehmen tätig. Die Fachkunde wird bei externen DSB vorausgesetzt.

Was droht bei Verstößen?

Bei Verstößen gegen Vorschriften des EU-Datenschutzrechts und Bundesdatenschutzgesetzes können Bußgelder drohen. Dies hat weitreichende Konsequenzen auch für Unternehmen wie Facebook und Google mit Sitz in den USA. Denn die DSGVO gilt auch für Unternehmen, die ihren Sitz außerhalb der EU haben, wenn sich ihre Angebote an EU-Bürger richten. Der Bußgeldrahmen bei Verstößen kann bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen.