Recht

Datenschutzbeauftragte in der Zahnarztpraxis

Anforderungen an die Qualifikation steigen

Datensicherheit – mit der jüngsten Attacke auf Politiker und Prominente ist das Thema wieder ins allgemeine Bewusstsein gespült worden.
the_lightrider-stock.adobe.com

Datensicherheit – mit der jüngsten Attacke auf Politiker und Prominente ist das Thema wieder ins allgemeine Bewusstsein gespült worden.

Das Thema Datenschutzrecht ist mit dem massiven Datendiebstahl bei Politikern und Prominenten Anfang 2019 hochaktuell geworden. In dieser Affäre um den Hackerangriff auf Politiker-Daten sind vor allem die Verantwortlichkeiten des Bundesamtes für Sicherheit in der Informationstechnik und die des Blog-Dienstes Twitter in den Fokus gerückt.

In der Zahnarztpraxis entledigt sich der verantwortliche Praxisinhaber seiner datenschutzrechtlichen Pflichten durch Zuweisung von Datenschutzaufgaben an Angestellte. Dass es mit der Bestellung eines internen Datenschutzbeauftragten nicht einfach so getan ist, und welche Anforderungen an Datenschutzbeauftragte zu stellen sind, soll im Folgenden skizziert werden.

Qualifikation und Fachwissen

Die Anforderungen an einen Datenschutzbeauftragten werden in Art. 37 Abs. 5 Datenschutz-Grundverordnung (im Folgenden: DSGVO) festgelegt. Grundlage dafür, einen Datenschutzbeauftragten zu benennen, sind seine berufliche Qualifikation und vor allem sein Fachwissen auf dem Gebiet des Datenschutzrechts.

Darüber hinaus müssen für die Zahnarztpraxis benannte Datenschutzbeauftragte in der Lage sein, die in Art. 39 DSGVO genannten Aufgaben zu erfüllen. Bei der Auswahl einer Person als interner Datenschutzbeauftragter ist zu berücksichtigen, dass sich die in einer Zahnarztpraxis durchgeführten Datenverarbeitungsvorgänge auf die Qualifikation auswirken. In Arztpraxen und Zahnarztpraxen werden Gesundheitsdaten verarbeitet und damit besonders sensible Daten (Art. 9 DSGVO). Dies erhöht das Anforderungsprofil des Datenschutzbeauftragten.

„Wunsch-Kandidat“ mit Doppel-Studium

Im Verlauf des gesetzgeberischen Verfahrens zur DSGVO ist zur Mindestqualifikation eines Datenschutzbeauftragten ausgeführt worden, dass der Datenschutzbeauftragte umfassende Kenntnis des Datenschutzrechts und seiner Anwendung haben müsste. Genauso sollten ihm technische und organisatorische Maßnahmen und Verfahren bekannt sein. Die fachlichen Anforderungen an den Datenschutz durch Technik, datenschutzfreundliche Voreinstellungen und Datensicherheit sollten beherrscht werden.

Des Weiten wurden sektorspezifische Kenntnisse und damit spezifische Kenntnisse aus dem besonderen Datenschutzrecht (beispielsweise spezielles Datenschutzrecht aus dem Vertragszahnarztrecht oder im Gesundheitswesen) erwartet. Dieses Qualifikationsprofil ist in die DSGVO so konkret zwar nicht mehr aufgenommen worden. Die Praxis macht dennoch keine Abstriche bei der Qualifikation. Es läuft also im Idealfall auf einen Datenschutzbeauftragten hinaus, der über einen doppelten Abschluss in Rechtswissenschaften und Informatik verfügt.

Budget für Datenschutzbeauftragten

Wenn ein Datenschutzbeauftragter die geforderte Qualifikation nur teilweise erfüllt, muss die verantwortliche Zahnarztpraxis dem Datenschutzbeauftragten die Möglichkeit einräumen, externen Rechtsrat oder technischen Rat einzuholen. Dafür ist dem Datenschutzbeauftragten von vornherein ein Budget zur Verfügung zu stellen, dass nicht erst einer Freigabe bedarf.

Neues BGH-Urteil: Tätigkeit von Datenschutzbeauftragten ist schwieriger

Die gestiegenen Anforderungen an einen Datenschutzbeauftragten hat Ende 2018 der Bundesgerichtshof in einem Urteil dargestellt. Die obersten Richter haben dabei auf die herausgehobene Bedeutung des Amtes eines Datenschutzbeauftragten, die Verantwortung des Datenschutzbeauftragten und die Anforderungen an seine Qualifikation hingewiesen.

Dabei wurde insbesondere herausgearbeitet, dass der Pflichtenkreis und die Komplexität der Rechtsfragen sich gegenüber der alten Rechtslage vor der DSGVO deutlich erhöht haben.

Dies führt dazu, dass der Bundesgerichtshof Kern und Schwerpunkt der Tätigkeit eines Datenschutzbeauftragten vom Grundsatz in der Auslegung und Anwendung der datenschutzrechtlichen Vorgaben sowie in der Überwachung der Einhaltung dieser Vorgaben sieht. Im Vergleich von technischer und rechtlicher Sachkunde ist damit das rechtliche Fachwissen dominierend.

Externe Datenschutzbeauftragte

Praxisinhaber sollten also sicherstellen, dass die internen Datenschutzbeauftragten über dieses rechtliche Fachwissen verfügen oder ihnen ein Budget eingeräumt wird, das fehlende rechtliche Wissen auszugleichen durch Einholung von externen Rechtsrat. Als Alternative kann sich natürlich auch die Bestellung eines externen Datenschutzbeauftragten anbieten.

Dr. Tim Oehler

• Fachanwalt für Medizinrecht

• Zertifizierter Datenschutzbeauftragter