Muss ein/e PhysiotherapeutIn (Einzelpraxis) eine/n Datenschutzbeauftragte/n benennen?

Heute bekam ich die Frage gestellt, ob eine Physiotherapeutin, die eine Einzelpraxis betreibt, mit dem Gültigwerden der DSGVO eine Datenschutzbeauftragte bzw. einen Datenschutzbeauftragten (DSB) benennen müsse.

Meine Antwort:

Art. 37 Abs. 1 Buchst. c) DSGVO regelt, dass ein/e DSB zu bestellen ist, wenn „die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 (…) besteht“. Hierzu steht in Erwägungsgrund 97 Satz 2: „Im privaten Sektor bezieht sich die Kerntätigkeit eines Verantwortlichen auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit“. Die Verarbeitung personenbezogener Daten ist m.E. bei ÄrztInnen und TherapeutInnen die Nebentätigkeit, nicht die Haupttätigkeit. Soweit so gut.

Allerdings haben wir da ja noch § 38 BDSG-neu. Danach ist ein DSB „unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen“ auch zu benennen, wenn Verarbeitungstätigkeiten durchgeführt werden, die eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich machen. Eine solche ist gemäß Art. 35 Abs. 3 Buchst. b DSGVO erforderlich bei einer „umfangreiche[n] Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1“ (hierzu gehören die Gesundheitsdaten, die unstreitig bei TherapeutInnen und ÄrztInnen verarbeitet werden. Erwägungsgrund 91 Satz 4 und 5 besagt allerdings: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“

Daraus folgt aus meiner Sicht: PhysiotherapeutInnen in Einzelpraxen sollten keine DSBs benennen müssen.

Unabhängig davon sind allerdings auch für EinzeltherapeutInnen die Pflichten der DSGVO vollumfänglich zu erfüllen (wie es bisher ja auch gemäß §4g Abs, 2a BDSG galt). Die Ausnahme von der Pflicht zum Führen des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO) greift nicht, da von TherapeutInnen Gesundheitsdaten verarbeitet werden.

Zur Umsetzung der DSGVO auch und gerade in Einzelpraxen hilft hier die Broschüre „Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine“

Auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hält einige Informationen für Heilberufe bereit.

Weitere häufig gestellte Fragen finden sich auch auf der Seite https://dsgvo.expert/FAQ01

Der Kurzlink für diese Seite ist: https://ds-exp.de/lqISW

Über Werner Hülsmann

Geboren 1961; 1982 - 1988: Informatikstudium mit Schwerpunkt Datenschutzrecht, Abschluß Diplom; 1988 - 1991: SW-Entwickler bei Telenorma; 1992 - 1999: Referatsleiter Technik und wissenschaftlicher Mitarbeiter beim Landesbeauftragten für Datenschutz der Freien Hansestadt Bremen; seit 1999 selbständiger Datenschutzberater; seit 2004 anerkannter Datenschutzsachverständiger; seit 2013 intensiv mit der DSGVO beschäftigt. Seit 2010 Beiratsmitglied des FIfF e.V.; von 2015 bis Mai 2022 stellv. Vorsitzender der Deutschen Vereinigung für Datenschutz (DVD) e.V., seit Juni 2021 Vorstandsmitglied im gemeinnützigen Verein Computertruhe e.V. In einem Projekt zur Umsetzung der DSGVO auch als Datenschutz-Nerd bezeichnet.
Dieser Beitrag wurde unter DSGVO-Allgemein, FAQ abgelegt und mit , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.