Wann muss die Zahnarztpraxis eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen?

Die neue EU-Datenschutzgrundverordnung hat keine Personenzahl festgesetzt, ab der die Bestellung einer oder eines Datenschutzbeauftragten zwingend erforderlich ist. In Art. 37 der EU-Datenschutzgrundverordnung wird lediglich ausgeführt, dass Institutionen, die besondere persönliche Daten, zu denen auch Gesundheitsdaten zählen, umfangreich verarbeiten, zur Bestellung einer oder eines Datenschutzbeauftragten verpflichtet sind. Wann man von einer umfangreichen Verarbeitung ausgeht, ist bisher noch nicht definiert. Hier besteht bisher auch noch keine einheitliche Auslegung durch die nationalen Datenschutzbehörden. Nach derzeitigem Stand gilt die alte Regelung des Bundesdatenschutzgesetzes, die eine Bestellpflicht anhand der Zahl der Mitarbeiterinnen und Mitarbeiter festlegt, auch nach dem 25. Mai 2018 fort. Danach sind Zahnarztpraxen, in denen mehr als 20 Personen regelmäßig mit der automatisierten Verarbeitung von Patientendaten befasst sind, zur Bestellung einer oder eines betrieblichen Datenschutzbeauftragten verpflichtet. Bei der Anzahl der Personen ist der Umfang der Tätigkeit (Teilzeit, Vollzeit, Minijob) nicht entscheidend. Die Bestimmung der Anzahl der Praxismitarbeiterinnen und Praxismitarbeiter erfolgt allein anhand der Köpfe. Die Datenschutzkonferenz  des Bundes und der Länder hat inzwischen klar gestellt, dass die Praxisinhaberin bzw. der Praxisinhaber ebenfalls mitgezählt werden muss, wenn sie bzw. er mit der Verarbeitung personenbezogener Daten beschäftigt ist.

Einen Mustertext zur Erfassung der Praxismitarbeiterinnen und Praxismitarbeiter finden Sie auf der rechten Seite zum Download. Hiermit dokumentieren Sie, ob bei Ihnen mehr oder weniger als 20 Mitarbeiterinnen und Mitarbeiter mit der elektronischen Verarbeitung von personenbezogenen Daten beauftragt sind.

Unabhängig von der Anzahl der Praxismitarbeiterinnen und Praxismitarbeiter steht es der Zahnarztpraxis immer frei, eine betriebliche Datenschutzbeauftragte oder einen betrieblichen Datenschutzbeauftragten zu bestellen. Dies ist überlegenswert, wenn auch ohne Erreichen der 20-Personen-Grenze die Patientenzahl und damit auch die Verarbeitungsvorgänge nach Einschätzung der Praxisinhaberin oder des Praxisinhabers umfangreich sind.

Die grundsätzliche Pflicht zur Einhaltung datenschutzrechtlicher Bestimmungen gilt immer, egal, ob man eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benannt hat oder nicht. 
 

Wie kann die Zahnarztpraxis eine betriebliche Datenschutzbeauftragte oder einen betrieblichen Datenschutzbeauftragten bestellen?

Zunächst können sich die Praxisinhaberin oder der Praxisinhaber zwischen der Möglichkeit der Bestellung einer internen Mitarbeiterin oder eines internen Mitarbeiters oder einer bzw. eines externen betrieblichen Datenschutzbeauftragten (Dienstleister) entscheiden. Beide Möglichkeiten sind gleichwertig.

Für den Fall, dass sich die Praxisinhaberin oder der Praxisinhaber für die Bestellung einer bzw. eines externen Datenschutzbeauftragten entscheidet, muss sich diese bzw. dieser um alles Weitere zum Thema DSGVO in der Praxis kümmern.

Für den Fall, dass sich die Praxismitarbeiterin bzw. der Praxisinhaber für die Bestellung einer bzw. eines internen Datenschutzbeauftragten entscheidet, ist zu berücksichtigen, dass die Praxisinhaberin bzw. der Praxisinhaber nicht zur bzw. zum Datenschutzbeauftragten bestellt werden kann. Allerdings könnten beispielsweise zahnärztliche Mitarbeiterinnen und Mitarbeiter oder angestellte Zahnärztinnen und Zahnärzte zur bzw. zum Datenschutzbeauftragten bestellt werden.

Für die Bestellung einer oder eines internen Datenschutzbeauftragten gibt es keine Formvorschriften. Allerdings empfiehlt es sich zu Nachweiszwecken diese schriftlich vorzunehmen. Einen Mustertext zur Bestellung einer bzw. eines betrieblichen Datenschutzbeauftragten finden Sie auf der rechten Spalte zum Download.

Die oder der intern bestellte Datenschutzbeauftragte muss über datenschutzrechtliche Kenntnisse verfügen. Für den Fall, dass die Kenntnisse nicht vorhanden sind, können diese auch über den Besuch von entsprechenden Fortbildungsangeboten diverser Fortbildungsanbieter erworben werden.

Welche Stellung und Aufgaben hat die bzw. der Datenschutzbeauftragte?

Die oder der Datenschutzbeauftragte ist der Praxisleitung direkt unterstellt, in der Wahrnehmung der gesetzlichen Aufgaben aber nicht weisungsgebunden. Sie bzw. er überwacht die Datenverarbeitungsprozesse in der Praxis, unterrichtet und berät die Praxisleitung und wirkt auf die Einhaltung des Datenschutzrechts hin. Zudem soll sie bzw. er die an den Verarbeitungsvorgängen beteiligten Personen sensibilisieren und schulen. Gibt es eine Beschwerde, ist die oder der Datenschutzbeauftragte die erste Anlaufstelle für die Datenschutzbehörde.

Welche Besonderheiten sind bei der Bestellung einer bzw. eines internen betrieblichen Datenschutzbeauftragten zu beachten?

Die oder der interne betriebliche Datenschutzbeauftragte unterliegt einem besonderen Kündigungsschutz.

Gemäß § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 des geplanten neuen Bundesdatenschutzgesetztes (BDSG) ist die Abberufung der oder des Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 BGB (Fristlose Kündigung aus wichtigem Grund) zulässig. Eine Abberufung kann somit insbesondere dann erfolgen, wenn die weitere Ausübung der Tätigkeit unmöglich oder zumindest erheblich gefährdet ist (bspw. die notwendige persönliche Integrität oder das Fachwissen fehlt oder ist nicht mehr vorhanden). Auch die Aufsichtsbehörde kann eine Abberufung verlangen.

Bei intern bestellten Datenschutzbeauftragten besteht die Möglichkeit die Bestellung zu befristen. Klare Zeitvorgaben damit die Bestellung wirksam ist, gibt es bisher nicht. Nach derzeitigem Stand sollte die Bestellung auf mindestens 4 Jahre ausgesprochen werden.

Auch die Kündigung des Arbeitsverhältnisses der oder des Datenschutzbeauftragten ist während seiner Tätigkeit unzulässig, es sei denn, dass Tatsachen vorliegen, welche zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen (§ 626 BGB, siehe oben). Nach dem Ende der Tätigkeit als Datenschutzbeauftragte oder Datenschutzbeauftragter bzw. der Abberufung als Datenschutzbeauftragte oder Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres (gezählt ab Ende oder Abberufung) unzulässig, es sei denn, dass die Zahnarztpraxis zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt wäre.

Diese Vorgaben gelten für extern bestellte Datenschutzbeauftragte nicht.

Wo ist die Bestellung einer bzw. eines betrieblichen Datenschutzbeauftragten bekannt zu machen?

Die Kontaktdaten der bzw. des betrieblichen Datenschutzbeauftragten müssen sowohl intern, z.B. bei einer Mitarbeiterbesprechung, Aushang oder Organigramm im QM, als auch extern auf der Webseite bekanntgegeben werden. Der Name muss auf der Webseite nicht zwingend aufgeführt werden. Es genügen die Kontaktdaten, wie E-Mail und Telefonnummer. Dies ergibt sich aus Art. 37 Absatz 7 EU-DSGVO, wonach die Zahnarztpraxis die Kontaktdaten der bzw. des Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen hat.

Beispieltext für das Impressum der Praxiswebseite:
Unsere Datenschutzbeauftragte oder unser Datenschutzbeauftragter ist unter folgenden Kontaktdaten zu erreichen:
Praxisadresse ..., E-Mail … , Telefonnummer …

Die Mitteilung über die Bestellung einer oder eines betrieblichen Datenschutzbeauftragten hat ab 25.05.2018 innerhalb einer Frist von einem Monat ab Bestellung an die nachstehende Behörde zu erfolgen:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit
Baden-Württemberg
Königstraße 10 a
70173 Stuttgart

Einen Mustertext für die schriftliche Mitteilung an die Datenschutzbehörde über die Bestellung einer oder eines betrieblichen Datenschutzbeauftragten finden Sie auf der rechten Seite zum Download.

Eine Online-Meldemöglichkeit finden Sie auf der Webseite des Landesdatenschutzbeauftragten hier.

Zurück zur Übersicht über die EU-DSGVO!