• Keine Ergebnisse gefunden

Datenschutz-Grundverordnung

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Datenschutz-Grundverordnung "

Copied!
2
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 2 Seite )

Volltext

(1)

233

Ärzteblatt Sachsen 06|2018

Am 25. Mai 2018 ist die Datenschutz- Grundverordnung (DSGVO) in Kraft getreten, die unmittelbare Geltung in den EU-Mitgliedstaaten beansprucht und das bisherige nationale Daten- schutzrecht weitgehend – wenn auch nicht vollständig – ersetzt. Ziel dieser Veröffentlichung ist es, einen Überblick darüber zu geben, wie die rechtliche Bewertung hinsichtlich der Notwendig- keit der Bestellung eines Datenschutz- beauftragten (DSB) in der Arztpraxis ist und welche Aufgaben mit dieser Funk- tion verbunden sind. Zum Teil weisen die geltenden Regelungen Interpreta- tionsspielräume auf, die noch nicht abschließend geklärt sind.

In den Fällen, die Artikel 37 DSGVO auf- führt, besteht in allen Mitgliedstaaten die Pflicht, einen Datenschutzbeauf- tragten zu benennen. Die Mitgliedstaa- ten haben daneben allerdings auch die Möglichkeit, diese Pflicht zur Benen- nung eines Datenschutzbeauftragten auf weitere Fälle auszudehnen. Diese hat der nationale Gesetzgeber im § 38 Bundesdatenschutzgesetz (BDSG – neu) genutzt.

Benennung des Datenschutz­

beauftragten nach Art. 37 DSGVO Gemäß der dort genannten Kategorien wäre für die Arztpraxis ein Daten- schutzbeauftragter zu bestellen, „wenn die Kerntätigkeit des Verantwortlichen […] in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 [hierzu zählen u. A.

genetische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung] … besteht“.

Unter Berücksichtigung von Erwä- gungsgrund (ErwGr.) 97 der DSGVO ist

„Kerntätigkeit“ die Haupttätigkeit eines Unternehmens, die es untrennbar prägt, und nicht die Verarbeitung per- sonenbezogener Daten als Nebentätig- keit beinhaltet. Zu den Kerntätigkeiten gehören danach auch alle Vorgänge, die einen festen Bestandteil der Haupttä- tigkeit des Verantwortlichen bilden.

Nicht erfasst sind die das Kerngeschäft unterstützenden Tätigkeiten.

Zur Beurteilung, ob eine Verarbeitung

„umfangreich“ ist, sind auf Grundlage von ErwGr. 91 zur DSGVO folgende Beurteilungskriterien heranzuziehen:

• Menge der verarbeiteten personen- bezogenen Daten (Volumen),

• Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt),

• Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgröße) und

• Dauer der Verarbeitung (zeitlicher Aspekt).

Sind mehrere dieser Kriterien hoch, so kann dies für eine „umfangreiche“ Ver- arbeitung sprechen.

Die Datenschutzkonferenz der Daten- schutzbeauftragten des Bundes und der Länder hat in einem Kurzpapier (abrufbar unter www.saechsdsb.de/

novellierung-eu-datenschutz) für die Arztpraxis ausgeführt, dass es sich regelmäßig nicht um eine, die Benen- nungspflicht auslösende um fangreiche Datenverarbeitung handelt, wenn „eine Verarbeitung von Patienten- oder Man- dantendaten durch einen einzelnen Arzt …“ erfolgt. Aufgegriffen wird hier- mit ErwGr. 91 der DSGVO sowie eine

Feststellung der sogenannten Artikel- 29-Datenschutzgruppe.

Weiter wird ausgeführt, dass „unter Berücksichtigung der Umstände des Einzelfalles und der konkreten Ele- mente einer umfangreichen Verarbei- tung im Sinne des ErwGr. 91 – beispielsweise bei einer Anzahl von Betroffenen, die erheblich über den Betroffenenkreis eines überdurch- schnittlichen, durch ErwGr. 91 Satz 4 privilegierten Einzelarztes hinausgeht – eine umfangreiche Verarbeitung gege-

ben sein kann, sodass ein DSB zu benennen ist.“ Unklar blieb zunächst, welche Bedeutung in der Praxis dieser Erwägung zukommt.

Benennung eines Datenschutz­

beauftragten nach § 38 BDSG­neu Danach muss ein Datenschutzbeauf- tragter in folgenden Fällen benannt werden:

• es werden in der Regel mindestens zehn Personen ständig mit der auto- matischen Verarbeitung personen- bezogener Daten beschäftigt oder

• es werden – unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen – Verarbei- tungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen.

rEcht und mEdizin

Datenschutz-Grundverordnung

Bestellung eines Datenschutzbeauftragten und dessen Aufgaben

(2)

234

Ärzteblatt Sachsen 06|2018

Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn die Form der Ver- arbeitung aufgrund der Art, des Um - fangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Patienten zur Folge hat, bezogen auch auf die Verarbeitung von Gesundheitsdaten.

Die Regelung geht von einem diesbe- züglichen Erfordernis beim Einsatz neuer Technologien aus:

• bei systematischer umfangreicher Überwachung öffentlich zugäng- licher Bereiche sowie

• umfangreicher Verarbeitung von besonderen Kategorien von perso- nenbezogenen Daten gemäß Art. 9 Absatz 1 [DSGVO] .

Hier gelten die oben genannten Grund- sätze der besonderen Kategorien per- sonenbezogener Daten sowie der Defi- nition „umfangreich“ entsprechend.

Unter Berücksichtigung der Regelungs- inhalte von Art. 37 DSGVO und § 38 BDSG-neu wurden die oben bereits aufgezeigten kontrovers diskutierten Fragestellungen zur Bestellpflicht eines Datenschutzbeauftragten in der Arzt- praxis durch die Datenschutzbehörden des Bundes und der Länder einer Klä- rung zugeführt.

Hierzu hat die Konferenz der unabhän- gigen Datenschutzbehörden des Bun- des und der Länder am 26. April 2018 einen für Ärzte und andere Angehörige von Gesundheitsberufen geltenden Beschluss gefasst. Das Dokument ist einsehbar unter

www.datenschutz-berlin.de/pdf/

publikationen/DSK/2018/2018-DSK- DSB_Bestellpflicht_Arztpraxen.pdf Aufgaben des Datenschutz­

beauftragten

Für die Aufgaben, die ein Datenschutz- beauftragter zu erfüllen hat, macht es

keinen Unterschied aufgrund welcher Regelung er bestellt wurde. Vielmehr ergeben sich seine Aufgaben unmittel- bar aus der Datenschutz-Grundverord- nung. Artikel 38 DSGVO verweist dar- auf, dass der Datenschutzbeauftragte andere Aufgaben und Pflichten wahr- nehmen kann. Allerdings muss der Ver- antwortliche oder der Auftragsverar- beiter sicherstellen, dass derartige Auf- gaben und Pflichten nicht zu einem Interessenkonflikt führen.

Die Pflichtaufgaben eines Daten- schutzbeauftragten nach der DSGVO lassen sich typischerweise in folgende Punkte unterteilen:

• interne Aufgaben in der Arztpraxis,

• Funktion im Verhältnis zur Aufsichtsbehörde und

• Funktion als Kontakt für betroffene Personen.

Artikel 38 DSGVO fordert die Unterrich- tung und Beratung des Verantwortli- chen beziehungsweise des Auftrags- verarbeiters. Hierzu sind auch die Beschäftigten, die Verarbeitungen im Sinne der Datenschutz-Grundverord- nung durchführen, zu zählen. Daneben verlangt die Regelung die Überwachung der Einhaltung der DSGVO anderer Datenschutzvorschriften der Union und der Datenschutzvorschriften der Mit- gliedstaaten zum Beispiel des „BDSG- neu“. Hierunter wiederum fällt auch die Überwachung, ob der Verantwortliche unternehmensinterne Strategien für den Schutz personenbezogener Daten einhält. Eine interne Aufgabe des Datenschutzbeauftragten, die dieser erst auf Anfrage wahrzunehmen hat, ist die Beratung im Zusammenhang mit der Datenschutz-Folgenabschät- zung. Gemäß Artikel 39 DSGVO ist der Datenschutzbeauftragte zum einen Kontaktperson für die Aufsichtsbe- hörde, andererseits zur Zusammenar- beit mit der Aufsichtsbehörde ver- pflichtet.

Stark betont wird in der DSGVO die Funktion des Datenschutzbeauftrag- ten als Anlaufstelle für Betroffene. So haben betroffene Personen das Recht, den Datenschutzbeauftragten zu sämt- lichen Fragestellungen „zu Rate zu zie- hen“, die mit „der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte“ gemäß DSGVO im Zusammenhang stehen.

Schließlich sieht Artikel 37 Abs. 7 DSGVO vor, dass der Verantwortliche oder der Auftragsverarbeiter die Kon- taktdaten des Datenschutzbeauftrag- ten veröffentlicht und diese Daten der Aufsichtsbehörde mitteilt.

Ist ein Datenschutzbeauftragter zu bestellen oder wird ein solcher freiwillig bestellt, kann es sich hierbei um einen Beschäftigten der Arztpraxis (interner DSB) oder eine mittels Dienstleistungs- vertrag bestellte Person (externer DSB) handeln.

Voraussetzung ist, dass der Daten- schutzbeauftragte aufgrund seiner beruflichen Qualifikation und insbeson- dere seines Fachwissens in den Berei- chen Datenschutzrecht und -praxis sowie seiner Fähigkeiten, die ihm über- tragenen Aufgaben erfüllen kann.

Weitere vertiefende Informationen sind in der Veröffentlichung der Bundesärzte- kammer und der Kassenärztlichen Bundesvereinigung „Hinweise und Empfehlungen zur ärztlichen Schwei- gepflicht, Datenschutz und Datenverar- beitung in der Arztpraxis“ zu finden:

www.bundesaerztekammer.de/richtli- nien/empfehlungenstellungnahmen/

beziehungsweise www.kbv.de/html/

datensicherheit.php.

Ass. jur. Michael Kratz Datenschutzbeauftragter der Sächsischen Landesärztekammer

rEcht und mEdizin

Referenzen

Jetzt herunterladen ( PDF - 2 Seite - 62.96 KB )

ÄHNLICHE DOKUMENTE

Datenschutz-Grundverordnung (DSGVO) Informationsbroschüre

Nimmt der Reisende erstmalig Kontakt mit Ihnen auf, indem er persönlich in Ihrem Reisebüro vorstellig wird, so müssen Sie die Informationspflichten gemäß DSGVO erfüllen, BEVOR Sie

Allgemeines Merkblatt zum Datenschutz gemäß EU-Datenschutz-Grundverordnung

Die Zwecke der Datenverarbeitung richten sich in erster Linie nach der konkreten Leistung (Buchhaltungsdienstleistungen, Nutzung der Online- plattform, Bestellung im Onlineshop)

Informationen nach Artikel 14 Datenschutz-Grundverordnung (DSGVO)

Für die Bearbeitung der Leistungen nach dem UVG müssen personenbezogene Daten erhoben und verar- beitet werden. Ihre Daten werden auf Grundlage von Art. 5 und 6 UVG sind auch die nach

Information bei der Erhebung von Daten, Art. 13 und 14 Datenschutz-Grundverordnung der Europäischen Union (DSGVO)

 zur Beteiligung von natürlichen oder juristischen Personen, Behörden, Einrichtungen oder anderen Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen zur

Information bei der Erhebung von Daten, Art. 13 und 14 Datenschutz-Grundverordnung der Europäischen Union (DSGVO)

 zur Beteiligung von natürlichen oder juristischen Personen, Behörden, Einrichtungen oder anderen Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen zur

Information bei der Erhebung von Daten, Art. 13 und 14 Datenschutz-Grundverordnung der Europäischen Union (DSGVO)

 an natürliche Personen, Behörden, Einrichtungen oder andere Stellen innerhalb des Verantwortlichen, die mit der Bearbeitung zur Erfüllung der rechtlichen Verpflichtung, die

Information bei der Erhebung von Daten, Art. 13 und 14 Datenschutz-Grundverordnung der Europäischen Union (DSGVO)

 Sie als betroffene Person Ihre ausdrückliche Einwilligung zu der Verarbeitung der Sie betreffenden personenbezogenen Daten für einen oder mehrere Zweck gegeben haben (Artikel

Datenschutzhinweise nach Datenschutz-Grundverordnung (DSGVO)

Ihre personenbezogenen Daten werden im Zuge der genannten Veröffentlichung an Bürger und Bürgerinnen des Landkreises Zwickau weitergegeben und einer breiten Öffentlichkeit