Kapitel 1 - Der betriebliche Datenschutzbeauftragte

Wann muss die Zahnarztpraxis einen Datenschutzbeauftragten bestellen?

Die neue EU-Datenschutzgrundverordnung hat keine Personenzahl festgesetzt, ab der die Bestellung eines Datenschutzbeauftragten zwingend erforderlich ist. In Art. 37 der EU-Datenschutzgrundverordnung wird lediglich ausgeführt, dass Institutionen, die besondere persönliche Daten, zu denen auch Gesundheitsdaten zählen, umfangreich verarbeiten, zur Bestellung eines Datenschutzbeauftragten verpflichtet sind. Wann man von einer umfangreichen Verarbeitung ausgeht, ist bisher noch nicht definiert. Hier besteht bisher auch noch keine einheitliche Auslegung durch die nationalen Datenschutzbehörden. Es ist nach derzeitigem Stand davon auszugehen, dass die alte Regelung des Bundesdatenschutzgesetzes, die eine Bestellpflicht anhand der Zahl der Mitarbeiter festlegt, auch nach dem 25. Mai 2018 maßgeblich bleibt. Danach sind Zahnarztpraxen, in denen mehr als 9 Personen regelmäßig mit der automatisierten Verarbeitung von Patientendaten befasst sind, zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet. Bei der Anzahl der Personen ist der Umfang der Tätigkeit (Teilzeit, Vollzeit, Minijob) nicht entscheidend. Die Bestimmung der Anzahl der Praxismitarbeiter/innen erfolgt allein anhand der Köpfe. Die Datenschutzkonferenz  des Bundes und der Länder hat inzwischen klar gestellt, das der Praxisinhaber ebenfalls mitgezählt werden muss, wenn er mit der Verarbeitung personenbezogener Daten beschäftigt ist.

 

Einen Mustertext zur Erfassung der Praxismitarbeiter finden Sie auf der rechten Seite zum Download. Hiermit dokumentieren Sie, ob bei Ihnen mehr oder weniger als neun Mitarbeiter mit der elektronischen Verarbeitung von personenbezogenen Daten beauftragt sind.

Unabhängig von der Anzahl der Praxismitarbeiter steht es der Zahnarztpraxis immer frei, einen betrieblichen Datenschutzbeauftragten zu bestellen. Dies ist überlegenswert, wenn auch ohne Erreichen der 10 Personen-Grenze die Patientenzahl und damit auch die Verarbeitungsvorgänge nach Einschätzung des Praxisinhabers umfangreich sind.

 

Die grundsätzliche Pflicht zur Einhaltung datenschutzrechtlicher Bestimmungen gilt immer, egal, ob man einen Datenschutzbeauftragten benannt hat oder nicht. 

Wie kann die Zahnarztpraxis einen betrieblichen Datenschutzbeauftragten bestellen?

Zunächst können sich der oder die Praxisinhaber zwischen der Möglichkeit der Bestellung eines internen (Mitarbeiter) oder eines externen (Dienstleister) betrieblichen Datenschutzbeauftragten entscheiden. Beide Möglichkeiten sind gleichwertig.


Für den Fall, dass sich der Praxisinhaber für die Bestellung eines externen Datenschutzbeauftragten entscheidet, muss sich dieser um alles Weitere zum Thema DSGVO in der Praxis kümmern.


Für den Fall, dass sich der Praxisinhaber für die Bestellung eines internen Datenschutzbeauftragten entscheidet, ist zu berücksichtigen, dass der Praxisinhaber nicht zum Datenschutzbeauftragten bestellt werden kann. Allerdings könnten beispielsweise zahnärztliche Mitarbeiter oder angestellte Zahnärzte zum Datenschutzbeauftragten bestellt werden.

Für die Bestellung eines internen Datenschutzbeauftragten gibt es keine Formvorschriften. Allerdings empfiehlt es sich zu Nachweiszwecken diese schriftlich vorzunehmen. Einen Mustertext zur Bestellung eines betrieblichen Datenschutzbeauftragten finden Sie auf der rechten Spalte zum Download.

Der intern bestellte Datenschutzbeauftragte muss über datenschutzrechtliche Kenntnisse verfügen. Für den Fall, dass die Kenntnisse nicht vorhanden sind, können diese auch über den Besuch von entsprechenden Fortbildungsangeboten diverser Fortbildungsanbieter erworben werden.

 

Welche Stellung und Aufgaben hat der Datenschutzbeauftragte?

Der Datenschutzbeauftragte ist der Praxisleitung direkt unterstellt, in der Wahrnehmung seiner gesetzlichen Aufgaben aber nicht weisungsgebunden. Er überwacht die Datenverarbeitungsprozesse in der Praxis, unterrichtet und berät die Praxisleitung und wirkt auf die Einhaltung des Datenschutzrechts hin. Zudem soll er die an den Verarbeitungsvorgängen beteiligten Personen sensibilisieren und schulen. Gibt es eine Beschwerde, ist der Datenschutzbeauftragte die erste Anlaufstelle für die Datenschutzbehörde.

 

Welche Besonderheiten sind bei der Bestellung eines internen betrieblichen Datenschutzbeauftragten zu beachten?

Der interne betriebliche Datenschutzbeauftragte unterliegt einem besonderen Kündigungsschutz.

 

Gemäß § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 des geplanten neuen Bundesdatenschutzgesetztes (BDSG) ist die Abberufung der oder des Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 BGB (Fristlose Kündigung aus wichtigem Grund) zulässig. Eine Abberufung kann somit insbesondere dann erfolgen, wenn die weitere Ausübung der Tätigkeit unmöglich oder zumindest erheblich gefährdet ist (bspw. die notwendige persönliche Integrität oder das Fachwissen fehlt oder ist nicht mehr vorhanden). Auch die Aufsichtsbehörde kann eine Abberufung verlangen.

 

Bei intern bestellten Datenschutzbeauftragten besteht die Möglichkeit die Bestellung zu befristen. Klare Zeitvorgaben damit die Bestellung wirksam ist, gibt es bisher nicht. Nach derzeitigem Stand sollte die Bestellung auf mindestens 4 Jahre ausgesprochen werden.

 

Auch die Kündigung des Arbeitsverhältnisses der oder des Datenschutzbeauftragten ist während seiner Tätigkeit unzulässig, es sei denn, dass Tatsachen vorliegen, welche zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen (§ 626 BGB, siehe oben). Nach dem Ende der Tätigkeit als Datenschutzbeauftragter bzw. der Abberufung als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres (gezählt ab Ende oder Abberufung) unzulässig, es sei denn, dass die Zahnarztpraxis zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt wäre.

 

Diese Vorgaben gelten für extern bestellte Datenschutzbeauftragte nicht.

 

Wo ist die Bestellung eines betrieblichen Datenschutzbeauftragten bekannt zu machen?

Die Kontaktdaten des betrieblichen Datenschutzbeauftragten müssen sowohl intern, z.B. bei einer Mitarbeiterbesprechung, Aushang oder Organigramm im QM, als auch extern auf der Webseite bekanntgegeben werden. Der Name muss auf der Webseite nicht zwingend aufgeführt werden. Es genügen die Kontaktdaten, wie E-Mail und Telefonnummer. Dies ergibt sich aus Art. 37 Absatz 7 EU-DSGVO, wonach die Zahnarztpraxis die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen hat.

Beispieltext für das Impressum der Praxiswebseite:
Unser Datenschutzbeauftragter ist unter folgenden Kontaktdaten zu erreichen:
Praxisadresse ..., E-Mail … , Telefonnummer …


Die Mitteilung über die Bestellung eines betrieblichen Datenschutzbeauftragten hat ab 25.05.2018 innerhalb einer Frist von einem Monat ab Bestellung an die nachstehende Behörde zu erfolgen:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit
Baden-Württemberg
Königstraße 10 a
70173 Stuttgart

Einen Mustertext für die schriftliche Mitteilung an die Datenschutzbehörde über die Bestellung eines betrieblichen Datenschutzbeauftragten finden Sie auf der rechten Seite zum Download.

 

Eine Online-Meldemöglichkeit finden Sie auf der Webseite des Landesdatenschutzbeauftragten hier.

 

Zurück zur Übersicht über die EU-DSGVO!

 

 

Erstellt von: Kristina Hauf, 06.03.2018

Aktualisiert von: Andrea Mader, 29.05.2018