Datenschutz im Gesundheitswesen: Ärzte und Apotheken benötigen nicht zwingend einen Datenschutzbeauftragten

Anders als manche Werbung es vielleicht suggeriert ist nicht zwingend in jeder Apotheke oder jeder noch so kleinen Arztpraxis immer ein Datenschutzbeauftragter zu bestellen – auch nicht wegen der Verarbeitung von Gesundheitsdaten! Die Landesbeauftragte für den Datenschutz in NRW fasst es treffend so zusammen:

Auffassung der Datenschutzaufsichtsbehörden in Deutschland ist, dass die Benennung von Datenschutzbeauftragten bei Arztpraxen und sonstigen Angehörigen von Gesundheitsberufen in der Regel erst ab mindestens zehn mit der automatisierten Verarbeitung beschäftigten Personen erforderlich ist oder bei umfangreicher Verarbeitung besonderer Datenkategorien.

Statement LfDI NRW

Es ist also keine Anlass für Panik geboten. Gleichwohl sollte man sich mit der Thematik Datenschutz umfassend auseinandersetzen, etwa in Apotheken, wo inzwischen die Videoüberwachung verbreitet zum Einsatz kommt, aber eben auch in empfindlichem Umfang mit (sensiblen) personenbezogenen Daten Umgang gepflegt wird. Auch was ich in Arztpraxen oder beim Kieferorthopäden im Umgang mit Patientendaten im Alltag erlebe ist regelmäßig über der Grenze des erlaubten – da helfen auch keine „schimpfenden Zettel“ über die DSGVO die man aushängt: Am Telefon etwa mit Namensnennung über Krankheitsbilder sprechen während wartendes Publikum zuhört war schon früher nicht erlaubt und ist es (aus gutem Grund) weiterhin nicht. Losgelöst von der Frage ob ein Datenschutzbeauftragter benötigt wird sollte man daher immer prüfen, wie man im Alltag mit (sensiblen) Daten umgeht und wie man die eigene Praxis optimieren kann, auch was die technische Handhabung angeht.

Generell ist der Rat, dass alle Angehörigen eines Gesundheitsberufs Das Thema bearbeiten sollten, insbesondere wenn es sich um ein in § 203 Abs. 1 Nr. 1, 2, 4 und 5 StGB genanntes Berufsbild handelt (also neben Ärzten insbesondere auch Psychotherapeuten, Hebammen oder Logopäden!). Mit den Datenschutzbehörden ist erst einmal auf die Gesamtzahl der Personen abzustellen, die in der jeweiligen Praxis personenbezogene Daten verarbeiten: Wenn weniger als 10 Personen mit der Datenverarbeitung beschäftigt sind, muss im Regelfall nach aktuellem Stand kein Datenschutzbeauftragter benannt werden.


Hiervon gibt es allerdings auch Ausnahmen, so zur Benennung bei umfangreicher Datenverarbeitung. Die LfDI NRW weist etwa auf folgende Fälle hin (allesamt wörtlich zitiert von der Webseite der LfDI NRW):

  • Das Volumen der Datenverarbeitung liegt in atypischer Weise erheblich über dem Volumen einer entsprechenden Arzt-/ Gesundheitspraxis.
  • Es liegen Verarbeitungsvorgänge vor, die erheblich über das übliche Maß eines vergleichbaren Arztes/Angehörigen eines Gesundheitsberufs im Umgang mit dem Patienten hinausgehen (z. B. umfangreiche Teilnahme an Forschungsprojekten/ Studien etc.)
  • Neue Technologien (etwa Telemedizin, Verwendung einer nicht marktüblichen Praxis-software, Speicherung in einer Cloud in einem Drittstaat etc.) wirken sich auf den Umfang der Datenverarbeitung in der Weise aus, dass dadurch in relevanter Weise erheblich mehr Daten verarbeitet werden als im Vergleich zum Einsatz von Technik des aktuellen Standes.
Fachanwalt für IT-Recht Jens Ferner
Fachanwalt für IT-Recht Jens Ferner
Rechtsanwalt für Datenschutzrecht & Datenschutzbeauftragter: Ich bin als Rechtsanwalt und Fachanwalt für IT-Recht in der Städteregion Aachen auf Fragen des Datenschutzrechts ausgerichtet, biete hier eine Kernkompetenz und stehe Unternehmen und Handwerkern als externer Datenschutzbeauftragter zur Verfügung. Kleinen mittelständischen Unternehmen im Raum Aachen, Heinsberg und Düren wird ein Datenschutzpaket zu pauschalen Preisen angeboten.