FAQ zum Datenschutz (DSGVO und BDSG) – Teil 1

Kann ein Praxisinhaber selber Datenschutzbeauftragter sein? Kann ein Mitarbeiter einfach so als Datenschutzbeauftragter benannt werden? Und wer ist eigentlich bei der „10 Personen-Regel“ mitzuzählen? Solche und ähnliche Fragen zur Umsetzung der neuen Vorgaben stellen sich spätestens seit dem Inkrafttreten der neuen Datenschutzgrundverordnung (DSGVO) am 25.05.2018 auch für Praxisbetreiber.

Die Zahnärztekammer Nordrhein hat die seit dem 25.05.2018 bei der Zahnärztekammer eingegangenen Fragen zum neuen Datenschutzrecht gesammelt und die häufigsten 22 Fragen mitsamt Antworten in einer FAQ-Liste zusammengefasst.

Der zweite Teil der Liste wird im Dezember 2018 auf www.dentists4dentists.de veröffentlicht.

Hinweis: Der nachfolgende Beitrag soll den Zahnärztinnen und Zahnärzten eine weitere Orientierung und Handlungshilfe im Thema geben. Sicherlich sind einige Fragen auch weiterhin noch unklar und bedürfen einer Rücksprache mit der Landesbeauftragten für Datenschutz (LDI NRW).

Die Fragen und Antworten beziehen sich nicht auf Fragen zur Abrechnung und Datenübermittlung mit und an die Kassenzahnärztliche Vereinigung. Diese Fragen unterfallen den Vorgaben des Sozialgesetzbuchs V und sind daher zuständigkeitshalber von den Kassenzahnärztlichen Vereinigungen zu beantworten.


1.       Wer ist bei der sogenannten „10 Personen-Regel“ (Datenschutzbeauftragter) mitzuzählen?

Es sind grundsätzlich alle Personen mitzuzählen, die in der Regel ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Als vereinfachte Faustformel gilt: „Inhaber plus Mitarbeiter (angestellte Zahnärzte und ZFAs) minus Reinigungskraft“.

Datenverarbeitung ist insbesondere auch die Aufnahme von Patienten- und Gesundheitsdaten in die Patientenkartei.

In der Regel“ bedeutet eine Dauerbeschäftigung von zumindest einem Jahr. Dabei ist es unerheblich, ob die Person in Teil- oder Vollzeit tätig ist.

„Ständig“ beschäftigt ist eine Person, wenn sie für die Aufgabe, die nicht ihre Hauptaufgabe sein muss, auf unbestimmte, zumindest aber längere Zeit vorgesehen ist und sie entsprechend wahrnimmt. Das Merkmal ist auch erfüllt, wenn die Aufgabe nur gelegentlich erfüllt wird (z. B. 1x/Mo), die Person die Aufgabe aber grundsätzlich wahrzunehmen hat. Mitarbeiter in Mutterschutz- und Elternzeit zählen nicht dazu.

 

2.       Gilt die „10 Personen- Regel“ auch bei der ÜBAG?

Die ÜBAG ist im „rechtlichen Kern“ eine Gemeinschaftspraxis. Insofern gelten die Datenbestände der einzelnen Praxissitze als ein „Datenstamm“. Sofern der Zugriff auf die „regionalen“ Datenbestände jeweils auch vom anderen Praxissitz aus möglich ist, muss die „10-Personenregel“ Berücksichtigung finden.

 

3.       Welche Qualifikation muss ein Datenschutzbeauftragter haben?

Die Anforderungen des Gesetzgebers sind hoch angesetzt. Es werden sowohl gute technische als auch rechtliche Kenntnisse (Datenschutz) verlangt. Rechtliche Anforderungen und tatsächliche Umsetzung fallen gerade in diesem Bereich oftmals auseinander. Es sollte jedoch zumindest eine Schulung hierzu besucht werden, um eine gewisse Grundqualifikation zu erwerben. Ein entsprechendes Kurszertifikat wird als Nachweis gegenüber der Datenschutzaufsicht ausreichen.

 

4.       Kann der Praxisinhaber selber Datenschutzbeauftragter sein?

Nein.

 

5.       Können sich die Inhaber einer Praxisgemeinschaft gegenseitig als Datenschutzbeauftragte benennen?

Nein.

Der Datenschutzbeauftragte kann nicht selbst Inhaber der Praxis sein. Die Gesellschafter der Praxisgemeinschaft sind Inhaber.

 

6.       Kann ein Ehegatte bzw. Angehöriger des Praxisinhabers Datenschutzbeauftragter werden?

Ein gesetzliches Verbot besteht nicht.

Der Datenschutzbeauftragte muss aber in seiner Aufgabe und Funktion weisungsfrei agieren können, um den Verantwortlichen (=Praxisinhaber) objektiv beraten zu können.

Sofern die auserwählte Person sich etwa aufgrund ihrer persönlichen Nähe zum Praxisinhaber als „befangen“ ansieht und dadurch eine Beeinflussung ihrer Weisungsfreiheit befürchtet, sollte sie ggf. Abstand von der avisierten Aufgabe nehmen.

 

7.       Kann der Praxisbetreiber einfach von sich aus einen Mitarbeiter für die Aufgabe des Datenschutzbeauftragten benennen?

Nein. Hierzu bedarf es grundsätzlich der Zustimmung des Mitarbeiters, da dies nicht vom sogenannten Direktionsrecht (§ 106 GewO – Gewerbeordnung) des Arbeitgebers umfasst ist. Es bedarf daher immer einer einvernehmlichen Einigung hierüber. Die Einigung sollte aus Beweiszwecken verschriftlich werden.

 

8.       Muss der Datenschutzbeauftragte aus dem Mitarbeiterstamm kommen?

Nein. Es kann sowohl ein interner (Mitarbeiter) als auch externer Datenschutzbeauftragter eingesetzt werden. Auch mit dem externen Datenschutzbeauftragten muss eine schriftliche Vereinbarung hierüber getroffen werden.

 

9.       Genießt der (interne) Datenschutzbeauftragte besonderen Kündigungsschutz?

Ja.

 

10.   Wem gegenüber muss der Datenschutzbeauftragte gemeldet werden?

Der Datenschutzbeauftragte ist der Datenschutzaufsicht zu melden. Diese ist die Landesbeauftragte für Datenschutz und Informationsfreiheit – LDI NRW (nicht die Zahnärztekammer).

                               

Zahnärztekammer Nordrhein

Hilfreiche Links:

 

Kontaktdaten der in NRW für den Datenschutz zuständigen Aufsichtsbehörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Postfach 20 04 44 | 40102 Düsseldorf

Tel. 0211 38424-0 | Fax 0211 38424-10

poststelle(at)ldi.nrw.de

Hinterlassen Sie einen Kommentar

0 Character restriction
Your text should be more than 10 characters