Ein DSGVO-Update in der Arztpraxis gelingt nur, wenn klar ist, wer für was zuständig ist. Viele Datenschutzverletzungen entstehen nicht aus Unwissen, sondern aus ungeklärten Zuständigkeiten: Niemand fühlt sich verantwortlich, bis ein Vorfall passiert. Diese Checkliste hilft, alle relevanten Ansprechpartner für Datenschutz eindeutig zu benennen.

Die Checkliste

  1. Datenschutzbeauftragten bestellen oder Pflicht prüfen: Ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten, ist ein Datenschutzbeauftragter (DSB) nach Art. 37 DSGVO i. V. m. § 38 BDSG gesetzlich vorgeschrieben. Prüfen Sie, ob diese Schwelle in Ihrer Praxis erreicht ist.
  1. Internen Datenschutzbeauftragten schriftlich benennen: Falls kein externer DSB bestellt wird, benennen Sie intern eine qualifizierte Person und dokumentieren Sie die Bestellung schriftlich. Die Person muss über Fachkenntnisse im Datenschutzrecht verfügen.
  1. Externen Datenschutzbeauftragten beauftragen (falls kein interner): Viele Praxen arbeiten mit externen DSB zusammen. Stellen Sie sicher, dass der Vertrag aktuell ist und der DSB regelmäßig in Praxisabläufe eingebunden wird.
  1. Kontaktdaten des DSB in der Datenschutzerklärung veröffentlichen: Gemäß Art. 37 Abs. 7 DSGVO müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und der Aufsichtsbehörde mitgeteilt werden.
  1. Praxisinhaber als datenschutzrechtlich Verantwortlichen definieren: Der Praxisinhaber ist nach Art. 4 Nr. 7 DSGVO der Verantwortliche für alle Datenverarbeitungsvorgänge in der Praxis. Diese Verantwortung kann nicht delegiert werden.
  1. Stellvertretung bei Abwesenheit des DSB regeln: Wer übernimmt bei Urlaub oder Krankheit des internen DSB? Regeln Sie die Vertretung und informieren Sie das Praxisteam.
  1. Zuständigkeit für Betroffenenanfragen klären: Wer in der Praxis nimmt Auskunftsersuchen von Patienten nach Art. 15 DSGVO entgegen und bearbeitet sie? Legen Sie eine konkrete Person und einen Prozess fest.
  1. Meldewege für Datenschutzverletzungen intern kommunizieren: Art. 33 DSGVO verlangt die Meldung von Datenschutzverletzungen innerhalb von 72 Stunden. Alle Mitarbeiter müssen wissen, wen sie im Verdachtsfall sofort informieren müssen.
  1. Ansprechpartner bei IT-Dienstleistern und Software-Anbietern festhalten: Für Datenschutzfragen rund um PVS, Cloud-Dienste und E-Mail müssen klare Ansprechpartner beim jeweiligen Anbieter bekannt sein und dokumentiert werden.
  1. Aufsichtsbehörde für die eigene Praxis kennen: Jedes Bundesland hat eine eigene Datenschutzaufsichtsbehörde. Notieren Sie die zuständige Behörde, Kontaktdaten und die Meldestelle für Datenschutzverletzungen.

Typische Fehler

  • Keinen DSB bestellt, obwohl Pflicht besteht: Viele Praxen mit mehr als 20 Datenschutz-verarbeitenden Personen haben keinen DSB – das ist ein direkter Verstoß gegen die DSGVO.
  • Zuständigkeit für Patientenanfragen nicht geregelt: Wenn niemand weiß, wer Auskunftsersuchen bearbeitet, können die gesetzlichen Fristen (1 Monat nach Art. 12 DSGVO) nicht eingehalten werden.
  • Externe DSB ohne aktuellen Vertrag: Ein veralteter oder abgelaufener Beratungsvertrag mit dem externen DSB begründet keine wirksame Bestellung im Sinne der DSGVO.

Fazit

Klare Zuständigkeiten sind die Grundlage jedes funktionierenden Datenschutzkonzepts. Wer beim DSGVO-Update zuerst alle Ansprechpartner klärt, schafft die Voraussetzung für alle weiteren Maßnahmen. Ärzteversichert empfiehlt, Datenschutzverantwortlichkeiten schriftlich zu fixieren und mindestens einmal jährlich zu überprüfen. Weitere Artikel finden Sie in der Blog-Übersicht.

Quellen

Persönliche Beratung zu diesem Thema?

Kostenfreie Erstberatung anfragen →