Arztpraxen sind in besonderer Hinsicht von der europäischen Datenschutzgrundverordnung (DSGVO) betroffen, denn

• Arztpraxen verarbeiten sensible Gesundheitsdaten
• Arztpraxen verarbeiten Daten u.a. auf Grundlage von Einwilligungen
• Arztpraxen übermitteln (sensible) Daten an Dritte

Bei Ärzten oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgenabschätzung vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen. Dies kann neben einer umfangreichen Verarbeitung (z.B. große Praxisgemeinschaften), die ohnehin nach Art. 37 Abs. 1 lit. c DS-GVO zu einer Benennungspflicht führt, beispielsweise beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen, der Fall sein. Der Datenschutzbeauftragte ist damit auch dann zu benennen, wenn weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben.

Quelle: Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Düsseldorf, 26. April 2018 (Link)