Fragen rund um den Datenschutzbeauftragten (DSB)

In Art. 37 der EU-Datenschutzgrundverordnung wird lediglich ausgeführt, dass Institutionen, die besondere persönliche Daten, zu den auch Gesundheitsdaten zählen, umfangreich verarbeiten zur Bestellung eines Datenschutzbeauftragten verpflichtet sind.

Es ist jedoch nach derzeitigem Stand davon auszugehen, dass die alte Regelung des Bundesdatenschutzgesetzes, die eine Bestellpflicht anhand der Zahl der Mitarbeiter festlegt, auch nach dem 25. Mai 2018 zunächst maßgeblich bleibt. Danach ist in Zahnarztpraxen, in denen mehr als 9 Personen regelmäßig mit der automatisierten Verarbeitung von Patientendaten befasst sind, zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet. 

Neben dem Praxisinhaber zählen folgende Mitarbeiter zu den für die Bestimmung einer/eines Datenschutzbeauftragten relevanten Personen:

• Vollzeitkräfte
• Teilzeitkräfte
• Minijobber
• freie Mitarbeiter
• Auszubildende
• Praktikanten
• sonstige Hilfskräfte

Wichtig:
Bei der Ermittlung, ob ein Datenschutzbeauftragter in der Praxis ernannt werden muss, ist die Arbeitszeit eines Mitarbeiters nicht relevant.

Eine Teilzeitkraft oder Auszubildende zählt genauso viel wie eine Vollzeitkraft. Das Augenmerk liegt auf der Definition „Dauerbeschäftigung“.

Auch wenn die Praxis noch so klein ist und Sie auf Grund der geringen Mitarbeiterzahl keinen Datenschutzbeauftragten ernennen, so ist die Aufgabe des Datenschutzes von der Praxisleitung zu erfüllen.Die Datenschutzrichtlinien müssen genauso eingehalten und die Schutzmaßnahmen umgesetzt werden. 

Leitfaden Datenschutz im zahntechnischen Labor

Pflichten, Rechte und Maßnahmen zur optimalen Umsetzung der Datenschutzverordnung – inklusive sofort einsetzbaren Checklisten und Textvorlagen

€ 169,00*

Zum Produkt

Erforderliche Fachkunde:
Zu Datenschutzbeauftragten dürfen laut BDSG nur Personen ernannt werden, die die erforderliche Fachkunde und Zuverlässigkeit besitzen. Der Grad der erforderlichen Fachkunde hängt davon ab, in welchem Umfang in der Praxis Daten verarbeitet werden. Weiterhin ist relevant, in welchem Maß die verwendeten personenbezogenen Daten geschützt werden müssen. 

Persönlichen Anforderungen:
Der betriebliche Datenschutzbeauftragte (DSB) sollte die Zahnarztpraxis, die Praxisabläufe und die praxisinterne Datenverar- beitung kennen. Die persönlichen Anforderungen an Datenschutz- beauftragte sind Zuverlässigkeit, Verantwortungsbewusstsein, Ehr- lichkeit und vielleicht auch Durchsetzungs- und Beharrungsvermögen.

Wichtig: 
Es gibt Personen, die mit den Aufgaben und Tätigkeiten eines betrieblichen Datenschutzbeauftragten in einem persönlichen Interessenskonflikt stehen würden und somit als befangen gelten.

Nicht geeignete Personen als Datenschutzbeauftragte:

• Praxisinhaber
• Praxisleitung
• angestellte Familienangehörige der Praxisinhaber
• IT-Administratoren

Diese Personenkreise müssten sich als Datenschutzbeauftragte selbst prüfen und kontrollieren. Das widerspricht dem Sinn der Aufgaben eines Datenschutz-beauftragten.

Der Datenschutzbeauftragte hat die Aufgabe, dafür Sorge zu tragen, dass in der Praxis die Anforderungen des Datenschutzes und der Datensicherheit eingehalten und umgesetzt werden. Das bedeutet, er „unterstützt“ die Praxisinhaber bzw. die Verantwortlichen und überwacht die Erfüllung der gesetzlichen Vorgaben. Das bedeutet jedoch nicht, dass der Datenschutzbeauftragte persönlich dafür verantwortlich ist, wenn ein Verstoß vorliegt. (F „Monitoring of compliance does not mean that it is the DPO who is personally responsible where there is an instance of non-compliance.“ Quelle: Leitfaden Working Paper 243 der Art.-29-Gruppe zum Datenschutzbeauftragten unter der Datenschutz-Grundverordnung)

Bei der Bestimmung des Datenschutzbeauftragten ist vorauszusetzen, dass die gewählte Person die fachliche und auch persönliche Qualifikation für die Aufgaben besitzt.

Der Datenschutzbeauftragte untersteht direkt der Praxisleitung und hat keine verbindlichen Entscheidungsbefugnisse. Bei Nichteinhaltung oder Verstößen gegen den Datenschutz hat der DSB die Aufgabe die Praxisleitung davon zu informieren.

Der Datenschutzbeauftragte fungiert auch als Ansprechpartner für „betroffene Personen“(DSGVO), beispielsweise für Patienten oder Mitarbeiter. Betroffene Personen haben das Recht, den Datenschutzbeauftragten zu kontaktieren und Fragen zu stellen, die mit „der Verarbeitung ihrer personenbezogenen Daten und mit der Wahr- nehmung ihrer Rechte“ gemäß der DSGVO im Zusammenhang stehen (F Art. 38 Abs. 4 DSGVO).

Damit „betroffene Personen“ auch wissen, an wen sie sich mit ihrer Frage wenden können, ist der Praxisinhaber bzw. der für den Datenschutz Verantwortliche verpflichtet, die Kontaktdaten des Datenschutzbeauftragten anzugeben. Unter die Angaben der Kontaktdaten fallen Telefonnummer oder Durchwahl, E-Mail-Adresse und Postanschrift. Der Name des Datenschutzbeauftragten muss nicht unbedingt angegeben werden, jedoch wirkt es persönlicher, wenn der vollständige Name kommuniziert wird. (F Art. 37 Abs. 7 DSGVO und Working Paper 243)

Praxistipp: 
Auf Ihrer Website unter der Ruprik Datenschutz, stellen Sie Ihre Datenschutzerklärung ein und geben Ihren DSB an.

Das Gleiche gilt für die Datenschutzerklärung, die Sie Ihre Patienten in der Praxis unterschreiben lassen oder ausgehängt haben.

Die Verschwiegenheitspflicht des Datenschutzbeauftragten gilt gegenüber den Praxisinhabern als Verantwortlichen der Praxis, aber auch gegenüber der Identität von Betroffenen. Verschwiegenheit muss auch über Umstände, die Rückschlüsse auf den Betroffenen ermöglichen, eingehalten werden, es sei denn, der Betroffene entbindet den Datenschutzbeauftragten von seiner Schweigepflicht.

Wichtig: 
Bei schwerwiegenden Verstößen gegen den Datenschutz und die Datensicherheit ist die Praxis verpflichtet, den Fall bei der Datenschutzbehörde zu melden. Ein Verstoß wäre beispielsweise, wenn Patientendaten an eine nicht befähigte Person oder Stelle übermittelt wurden und daraus dem Patienten schwerwiegende Beeinträchtigungen entstehen oder zu schützende Interessen preisgegeben wurden.

Die Prüfung von Verstößen und Einsteuerung der erforderlichen Maßnahmen, wie der Meldung bei der Datenschutzbehörde, zählt ebenfalls zum Tätigkeitsfeld eines Datenschutzbeauftragten.

Weitere Aufgaben des DSB in der Praxis

• Schulung und Unterweisung von Mitarbeitern
• Erstellen einer IST-Stand-Analyse inkl. umzusetzender Maßnahmen
• Überwachung des Fehler- und Risikomanagements
• Einholen von Verschwiegenheitsverpflichtungen
• Prüfung von Verträgen im Hinblick auf die Einhaltung des Datenschutzes
• (z.B. Bei Auftragsdatenverarbeitung)
• Erstellung eines Verfahrensverzeichnisses: Auflistung aller in der Praxis durchgeführten Verarbeitungsverfahren von personenbezogenen Daten

Praxistipp: 
Der Nachweis der Fachkunde kann z. B. durch Vorlage angeschaffter und durchgearbeiteter Datenschutz-Literatur oder Seminarnachweise belegt werden. Fortbildungsveranstaltungen zum Thema Datenschutz werden von unterschiedlichen Institutionen und privaten Anbietern durchgeführt. In der Broschüre des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit F „Die Datenschutzbeauftragten in Behörde und Betrieb“ (www.bfdi.bund.de) erhalten Sie nähere Informationen über die Aufgaben des betrieblichen Datenschutzbeauftragten.

Während der Bestellung zum Beauftragten für Datenschutz kann das Arbeitsverhältnis nicht gekündigt werden, mit Ausnahme einer fristlosen Kündigung aus wichtigem Grund (F § 4 f Abs. 3 S. 5 BDSG).

Selbst nach Abberufung als Beauftragter für Datenschutz ist die Kündigung innerhalb eines Jahres nach der Bestellung unzulässig, auch hier wieder mit der Ausnahme der fristlosen Kündigung aus wichtigem Grund. Der gleiche Kündigungsschutz gilt auch für bereits berufene Datenschutzbeauftragte.

Zahnarztpraxen haben auch die Möglichkeit, einen externen Daten- schutzbeauftragten zu bestellen. Eine externe Fachkraft für Datenschutz und Datensicherheit macht dann Sinn, wenn eine Praxis die Manpower oder Zeit mit ihren eigenen Mitarbeitern nicht abdecken können.

Der zusätzliche Arbeitsaufwand in der Praxis für die Einhaltung und Umsetzung der Datenschutzvorschriften wird nicht weniger und unkomplizierter, aus diesen Gründen kann es sinnvoll sein, eine externe Fachkraft für Datensicherheit zu beauftragen. 

Der Vorteil ist, dass die Praxismitarbeiter nicht mit den zusätzlichen Aufgaben des Datenschutzes belastet werden.

Der externe Datenschutzbeauftragte hat persönlich für seine datenschutzrechtliche Fach- und Sachkenntnis zu sorgen und unterstützt die Zahnarztpraxis mit Know-how, sodass in der Praxis keine personellen und zeitlichen Kapazitätsengpässe aufgrund der zu erfüllenden Aufgaben eines Datenschutzbeauftragten entstehen. 

Bei externen Datenschutzbeauftragten gilt nicht der arbeitsrechtliche Kündigungsschutz wie bei einem praxisinternen angestellten DSB.

Die Aufsichtsbehörde für Datenschutz kontrolliert, ob die Umsetzung gesetzlicher Richtlinien im Datenschutz und der Datensicherheit eingehalten werden.

Durchgeführt werden können anlassbezogene, wie auch anlassunabhängige Kontrollen.

Laut BDSG darf die Aufsichtsbehörde Auskünfte verlangen, die Praxis betreten und vor Ort Prüfungen, Besichtigungen und Einsichten in Unterlagen vornehmen. 

Weiterhin ist die Aufsichtsbehörde befugt, bei Verstößen in der Datenerhebung, Datenverarbeitung und Datennutzung – technisch wie organisatorisch – die Behebung selbiger zu fordern. 

Die Aufsichtsbehörde kann Bußgelder verhängen und/oder einzelne Verfahren im Umgang mit sensiblen Daten un- tersagen.

Die Aufsichtsbehörde für den Datenschutz (BDSG §38) befindet sich in Bayern und ist unter folgenden Kontaktdaten zu erreichen:

Landesamt für Datenschutzaufsicht
Postfach 606, 91511 Ansbach
Promenade 27 (Schloss), 91522 Ansbach
Telefon: 0981 53 - 1300
Telefax:0981 53 - 5300
E-Mail:poststelle@lda.bayern.de
Internet: www.lda.bayern.de