"Brauche ich einen Datenschutzbeauftragten?" — diese Frage stellen sich viele Praxisinhaber. Die Antwort ist nicht immer eindeutig, denn es gelten mehrere Regelungen gleichzeitig. Dieser Artikel erklärt, wann die Pflicht greift, was ein DSB kostet und welche Alternativen es gibt.
Wann ist ein DSB Pflicht?
Es gibt drei unabhängige Regelungen, die eine DSB-Pflicht auslösen können. Es reicht, wenn eine davon zutrifft:
1. Ab 20 Personen (§ 38 BDSG)
Wenn in Ihrer Praxis mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen Sie einen DSB benennen. Gezählt werden alle Personen — Ärzte, MFA, Auszubildende, Teilzeitkräfte, auch Minijobber. Entscheidend ist nicht die Anzahl der Vollzeitstellen, sondern die Köpfe.
2. Kerntätigkeit: besondere Datenkategorien (Art. 37 Abs. 1c DSGVO)
Wenn die Kerntätigkeit Ihrer Praxis in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht — und das ist bei Arztpraxen der Fall (Gesundheitsdaten nach Art. 9 DSGVO) — kann die DSB-Pflicht auch unabhängig von der Mitarbeiterzahl greifen.
Aber: Die Aufsichtsbehörden sind sich hier nicht einig. Die Datenschutzkonferenz (DSK) hat 2019 klargestellt, dass bei Einzelpraxen und kleinen Gemeinschaftspraxen die Verarbeitung in der Regel nicht als "umfangreich" gilt. Erst bei größeren Praxen, MVZ oder Praxisketten greift dieses Kriterium eindeutig.
3. Datenschutz-Folgenabschätzung erforderlich (Art. 37 Abs. 1b DSGVO)
Wenn Ihre Praxis Verarbeitungen durchführt, die eine Datenschutz-Folgenabschätzung (DSFA) erfordern, ist ebenfalls ein DSB Pflicht. Das kann z.B. bei der systematischen Verarbeitung genetischer Daten oder bei umfangreichem Einsatz von Videoüberwachung der Fall sein. Für die meisten normalen Arztpraxen trifft das nicht zu.
Zusammenfassung: Wer braucht einen DSB?
| Praxistyp | DSB-Pflicht? |
|---|---|
| Einzelpraxis, unter 20 Personen | In der Regel nein — aber freiwillig empfohlen |
| Gemeinschaftspraxis, unter 20 Personen | In der Regel nein — Grauzone bei Art. 37 Abs. 1c |
| Praxis mit 20+ Personen | Ja — nach § 38 BDSG |
| MVZ / Praxiskette | Ja — nach § 38 BDSG und/oder Art. 37 Abs. 1c |
Interner vs. externer DSB
Falls Sie einen DSB benennen müssen (oder freiwillig wollen), haben Sie zwei Optionen:
- Interner DSB: Ein Mitarbeiter Ihrer Praxis übernimmt die Rolle. Vorteil: kennt die Praxis. Nachteil: braucht Schulung, hat besonderen Kündigungsschutz, darf keine Interessenkonflikte haben (also nicht der Praxisinhaber selbst).
- Externer DSB: Ein externer Dienstleister übernimmt die Funktion. Vorteil: Fachwissen, keine Personalprobleme. Nachteil: Kosten, muss sich in die Praxis einarbeiten.
Für die meisten Arztpraxen ist der externe DSB die bessere Wahl. Die Kosten liegen je nach Praxisgröße bei ca. 100–300 € pro Monat. Dafür bekommen Sie einen Ansprechpartner mit Fachwissen, der Ihre Dokumentation prüft und Sie bei Datenpannen unterstützt.
Was macht ein DSB eigentlich?
Die Aufgaben des DSB sind in Art. 39 DSGVO definiert:
- Unterrichtung und Beratung — den Verantwortlichen und die Mitarbeiter über Datenschutzpflichten informieren
- Überwachung der Einhaltung — prüfen, ob die DSGVO eingehalten wird
- Schulungen — Mitarbeiter in Datenschutzfragen schulen
- Beratung bei der DSFA — falls eine Datenschutz-Folgenabschätzung nötig ist
- Ansprechpartner für die Aufsichtsbehörde — Kontaktstelle für den LfDI
- Anlaufstelle für Betroffene — Patienten können sich an den DSB wenden
Wichtig: Der DSB ist Berater und Kontrolleur, nicht der Verantwortliche. Die Verantwortung für die Einhaltung des Datenschutzes liegt weiterhin beim Praxisinhaber.
Auch ohne DSB-Pflicht: DSGVO gilt trotzdem
Ein häufiges Missverständnis: Wenn keine DSB-Pflicht besteht, muss man sich nicht um Datenschutz kümmern. Das ist falsch. Alle DSGVO-Pflichten gelten unabhängig davon, ob Sie einen DSB haben oder nicht:
- Verarbeitungsverzeichnis führen (Art. 30)
- Patienten informieren (Art. 13)
- Auftragsverarbeitungsverträge abschließen (Art. 28)
- Technische Schutzmaßnahmen umsetzen (Art. 32)
- Datenpannen melden (Art. 33/34)
- Mitarbeiter schulen und verpflichten
Der DSB hilft Ihnen, diese Pflichten umzusetzen — aber auch ohne DSB müssen Sie sie eigenständig erfüllen.
DSB benennen — wie geht das?
Wenn Sie einen DSB benennen, müssen Sie:
- Benennung schriftlich dokumentieren — interner Vertrag oder externer Dienstleistungsvertrag
- Kontaktdaten veröffentlichen — auf Ihrer Website und im Patienten-Infoblatt
- Aufsichtsbehörde informieren — die Kontaktdaten des DSB müssen dem LfDI mitgeteilt werden
- Im Verarbeitungsverzeichnis eintragen — Name und Kontaktdaten des DSB gehören ins VV
PraxisGuard und der DSB
PraxisGuard ersetzt keinen Datenschutzbeauftragten — aber es macht einen großen Teil seiner Arbeit einfacher. Das Verarbeitungsverzeichnis, das Patienten-Infoblatt und die Compliance-Aufgaben sind genau die Dokumentation, die ein DSB bei Ihnen prüfen würde. Wenn Sie einen externen DSB beauftragen, kann er direkt auf Ihre PraxisGuard-Dokumentation zugreifen und spart sich die aufwändige Bestandsaufnahme.