Seit über 20 Jahren sind wir in
Wilmersdorf und seit 2019 in dem
tollen Schmargendorf – mit einer
super Busanbindung direkt vor der
Tür!
Unser Team besteht aus fünf
engagierten Physiotherapeuten und
zwei freundlichen Anmeldekräften.
Gemeinsam bringen wir mehr als 20
Jahre Erfahrung in der
Physiotherapie und Organisation
mit.
Wir behandeln unsere Patienten
nicht nur, sondern klären sie auch
über eigene Aufklärungskampagnen
auf durch Flyer, Poster und
Instagram.
In 8 Behandlungsräume...
Wilmersdorf und seit 2019 in dem
tollen Schmargendorf – mit einer
super Busanbindung direkt vor der
Tür!
Unser Team besteht aus fünf
engagierten Physiotherapeuten und
zwei freundlichen Anmeldekräften.
Gemeinsam bringen wir mehr als 20
Jahre Erfahrung in der
Physiotherapie und Organisation
mit.
Wir behandeln unsere Patienten
nicht nur, sondern klären sie auch
über eigene Aufklärungskampagnen
auf durch Flyer, Poster und
Instagram.
In 8 Behandlungsräume...
gegen Ende letzten Jahres war hier schon mal das Thema der am 25. Mai 2018 auch hier in Kraft tretenden EU-Datenschutzgrundverordnung aufgerufen und welche Konsequenzen dies für unsere Praxen hat, als da wären Datenschutzerklärung der Patienten und ggf. Benennung eines/r Datenschutzbeauftragen in unseren Praxen.
Der bayerische Datenschutzbeauftragte hatte dies für seinen Hoheitsbereich verneint. Da Länderangelegeheit haben wir den hiesigen (NRW) Datenschutzbeauftragten mit der Bitte um Auskunft angeschrieben. Da es von grundsätzlicher Relevanz in allen hiesigen Praxen ist stellen wir die Stellungnahme zur Kenntnis für alle NRWler nachfolgend ins Netz:
Die Pflicht zu Bestellung eines Datenschutzbeauftragten kann sich nach neuer, ab dem 25.5.2018 geltenden Rechtslage, sowohl aus der sogenannten Datenschutz-Grundverordnung (DS-GVO) unmittelbar, als auch aus dem Bundesdatenschutzgesetz in der dann geltenden Fassung (BDSG) ergeben.
Grundsätzlich gilt: Wer bisher einen Datenschutzbeauftragten bestellen musste, muss in der Regel auch weiterhin einen Datenschutzbeauftragten bestellen.
Die grundsätzliche Pflicht zur Bestellung (zukünftig: Benennung) eines Datenschutz-beauftragten kann sich in Deutschland künftig aus einem der folgenden fünf Umstände ergeben:
1. regelmäßig sind mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt ( ä 38 Abs. 1 Satz 1 BDSG-neu)
2. Verantwortlicher ist eine öffentliche Stelle oder Behörde (Art. 37 Abs. 1 Iit. a DS—GVO)
3. die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher VerurteiIungen (Art. 37 Abs. 1 Iit. c DS-GVO)
4. es ist eine Datenschutz-Folgenabschätzung durchzuführen am (§ 38 Abs. 1 Satz 2 BDSG-neu)
5. die Kerntätigkeit ist die umfangreiche oder systematischer Aktenzeichen Überwachung von betroffenen Personen (Art. 37 Abs. 1 lit. c DS-GVO)
Bei Physiotherapiepraxen könnte sich eine Benennungspflicht aus den Ziffern 1, 3 oder 4 ergeben.
Zu Ziff. 1: Unerheblich ist, ob diejeweiiigen Personen in VoII- oder Teilzeit arbeiten. Entscheidend ist, dass die Verarbeitung von personenbezogenen Daten Bestandteil der Tätigkeit ist. Das ist beispielsweise bei Reinigungskräften, Gärtnern etc. in der Regel nicht der Fall, so dass diese bei der Berechnung nicht mit zu berücksichtigen sind. Die Verar-beitung erfolgt nur dann automatisiert, wenn sie unter Einsatz von Da-tenverarbeitungsanlagen (Computer/Tablets etc.) erfolgt.
Zu Ziff. 3: „Kerntätigkeit“ ist die Haupttätigkeit eines Unternehmens. Dazu zählen auch alle Vorgänge, die einen festen Bestandteil der Haupttätigkeit des Verantwortlichen darstellen. Ärzte oder Physiotherapeuten müssen personenbezogene Daten Ihrer Patienten verarbeiten, um die Diagnosen und ggf. Medikationen etc. nachhalten und die BehandlungsIeistungen abrechnen zu können. Folglich gehört dies zu ihren Kerntätigkeiten. Um eine Benennungspflicht auszulösen bedarf es neben der Kerntätigkeit aber auch einer umfangreichen Verarbeitung. Für die Definition des Begriffs „umfangreich“, siehe die Ausführungen zu Ziff. 4.
Zu Ziff. 4: Wann eine Datenschutz-Folgenabschätzung erforderlich ist, muss vom Verantwortlichen im Einzelfall geprüft werden. Die Datenschutz-Folgeabschätzung ist nach Art. 35 Abs. 3 lit. b DS-GVO insbesondere bei der umfangreichen Verarbeitung „besonderer Kategorien Kavmmewaße 2 „ 4 von personenbezogenen Daten" im Sinne des Art. 9 Abs. 1 DS-GVO 40213 Düsseldorf notwendig. Die Verarbeitung von Gesundheitsdaten der Patienten fällt Telefon unter diese Kategorie.
Wie bei Ziff. 3 kommt es jetzt darauf an, ob es sich bei der Verarbeitung um eine ‚umfangreiche‘ Verarbeitung handelt.
Erfolgt die Verarbeitung von Patientendaten durch einen einzalnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufes (darunter werden auch die Physiotherapiepraxen zu subsumieren sein) handelt es sich regelmäßig nicht um eine die Benennungspflicht auslösende umfangreiche Datenverarbeitung, vgl. Erwägungsgrund 91 der DS-GVO.
In Abweichung von den Ausführungen des LDA Bayern kann dies im Einzelfall aber auch in einer Einzelphysiotherapiepraxis anders zu beurteilen sein, weil die Grenze zur „umfangreichen“ Verarbeitung überschritten wird.
Wann diese Grenze überschritten ist, wird derzeit unter den Aufsichtsbehörden unterschiedlich gesehen.
Folgende Kriterien sprechen für eine umfangreiche Verarbeitung (sind aber nur exemplarisch): Die Praxis verarbeitet eine hohe, über das für vergleichbare Praxen übliche Maß deutlich hinaus gehende Menge an personenbezogenen Daten; das Einzugsgebiet der Praxis ist weit überregional (ggf. international) und liegt weit über dem Durchschnitt eines
vergleichbaren niedergelassenen Physiotherapeuten.
Grundsätzlich gilt: Die Benennung eines Datenschutzbeauftragten ist gem. Art. 37 Abs. 4 S. 1 DS-GVO auch auf freiwilliger Basis möglich. Dies ist grundsätzlich zu empfehlen, um die Einhaltung der datenschutzrechtlichen Bestimmungen zu erleichtern und damit ggf. aufsichtsbehördliche Maßnahmen zu vermeiden.
Im Übrigen möchten wir Sie auf unsere Arbeitshilfen (Kurzpapiere) verweisen, konkret das Arbeitspapier zum Thema Datenschutzbeauftragte, das Sie unter folgendem Link aufrufen können: [kaputter Link] AktuelIes/submenu EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/KP 12 Datenschutzbeauftragte.pdf
Ende
Mit kollegialen Grüßen
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Problem beschreiben
Udo Eickenberg schrieb:
Hi,
gegen Ende letzten Jahres war hier schon mal das Thema der am 25. Mai 2018 auch hier in Kraft tretenden EU-Datenschutzgrundverordnung aufgerufen und welche Konsequenzen dies für unsere Praxen hat, als da wären Datenschutzerklärung der Patienten und ggf. Benennung eines/r Datenschutzbeauftragen in unseren Praxen.
Der bayerische Datenschutzbeauftragte hatte dies für seinen Hoheitsbereich verneint. Da Länderangelegeheit haben wir den hiesigen (NRW) Datenschutzbeauftragten mit der Bitte um Auskunft angeschrieben. Da es von grundsätzlicher Relevanz in allen hiesigen Praxen ist stellen wir die Stellungnahme zur Kenntnis für alle NRWler nachfolgend ins Netz:
Die Pflicht zu Bestellung eines Datenschutzbeauftragten kann sich nach neuer, ab dem 25.5.2018 geltenden Rechtslage, sowohl aus der sogenannten Datenschutz-Grundverordnung (DS-GVO) unmittelbar, als auch aus dem Bundesdatenschutzgesetz in der dann geltenden Fassung (BDSG) ergeben.
Grundsätzlich gilt: Wer bisher einen Datenschutzbeauftragten bestellen musste, muss in der Regel auch weiterhin einen Datenschutzbeauftragten bestellen.
Die grundsätzliche Pflicht zur Bestellung (zukünftig: Benennung) eines Datenschutz-beauftragten kann sich in Deutschland künftig aus einem der folgenden fünf Umstände ergeben:
1. regelmäßig sind mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt ( ä 38 Abs. 1 Satz 1 BDSG-neu)
2. Verantwortlicher ist eine öffentliche Stelle oder Behörde (Art. 37 Abs. 1 Iit. a DS—GVO)
3. die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher VerurteiIungen (Art. 37 Abs. 1 Iit. c DS-GVO)
4. es ist eine Datenschutz-Folgenabschätzung durchzuführen am (§ 38 Abs. 1 Satz 2 BDSG-neu)
5. die Kerntätigkeit ist die umfangreiche oder systematischer Aktenzeichen Überwachung von betroffenen Personen (Art. 37 Abs. 1 lit. c DS-GVO)
Bei Physiotherapiepraxen könnte sich eine Benennungspflicht aus den Ziffern 1, 3 oder 4 ergeben.
Zu Ziff. 1: Unerheblich ist, ob diejeweiiigen Personen in VoII- oder Teilzeit arbeiten. Entscheidend ist, dass die Verarbeitung von personenbezogenen Daten Bestandteil der Tätigkeit ist. Das ist beispielsweise bei Reinigungskräften, Gärtnern etc. in der Regel nicht der Fall, so dass diese bei der Berechnung nicht mit zu berücksichtigen sind. Die Verar-beitung erfolgt nur dann automatisiert, wenn sie unter Einsatz von Da-tenverarbeitungsanlagen (Computer/Tablets etc.) erfolgt.
Zu Ziff. 3: „Kerntätigkeit“ ist die Haupttätigkeit eines Unternehmens. Dazu zählen auch alle Vorgänge, die einen festen Bestandteil der Haupttätigkeit des Verantwortlichen darstellen. Ärzte oder Physiotherapeuten müssen personenbezogene Daten Ihrer Patienten verarbeiten, um die Diagnosen und ggf. Medikationen etc. nachhalten und die BehandlungsIeistungen abrechnen zu können. Folglich gehört dies zu ihren Kerntätigkeiten. Um eine Benennungspflicht auszulösen bedarf es neben der Kerntätigkeit aber auch einer umfangreichen Verarbeitung. Für die Definition des Begriffs „umfangreich“, siehe die Ausführungen zu Ziff. 4.
Zu Ziff. 4: Wann eine Datenschutz-Folgenabschätzung erforderlich ist, muss vom Verantwortlichen im Einzelfall geprüft werden. Die Datenschutz-Folgeabschätzung ist nach Art. 35 Abs. 3 lit. b DS-GVO insbesondere bei der umfangreichen Verarbeitung „besonderer Kategorien Kavmmewaße 2 „ 4 von personenbezogenen Daten" im Sinne des Art. 9 Abs. 1 DS-GVO 40213 Düsseldorf notwendig. Die Verarbeitung von Gesundheitsdaten der Patienten fällt Telefon unter diese Kategorie.
Wie bei Ziff. 3 kommt es jetzt darauf an, ob es sich bei der Verarbeitung um eine ‚umfangreiche‘ Verarbeitung handelt.
Erfolgt die Verarbeitung von Patientendaten durch einen einzalnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufes (darunter werden auch die Physiotherapiepraxen zu subsumieren sein) handelt es sich regelmäßig nicht um eine die Benennungspflicht auslösende umfangreiche Datenverarbeitung, vgl. Erwägungsgrund 91 der DS-GVO.
In Abweichung von den Ausführungen des LDA Bayern kann dies im Einzelfall aber auch in einer Einzelphysiotherapiepraxis anders zu beurteilen sein, weil die Grenze zur „umfangreichen“ Verarbeitung überschritten wird.
Wann diese Grenze überschritten ist, wird derzeit unter den Aufsichtsbehörden unterschiedlich gesehen.
Folgende Kriterien sprechen für eine umfangreiche Verarbeitung (sind aber nur exemplarisch): Die Praxis verarbeitet eine hohe, über das für vergleichbare Praxen übliche Maß deutlich hinaus gehende Menge an personenbezogenen Daten; das Einzugsgebiet der Praxis ist weit überregional (ggf. international) und liegt weit über dem Durchschnitt eines
vergleichbaren niedergelassenen Physiotherapeuten.
Grundsätzlich gilt: Die Benennung eines Datenschutzbeauftragten ist gem. Art. 37 Abs. 4 S. 1 DS-GVO auch auf freiwilliger Basis möglich. Dies ist grundsätzlich zu empfehlen, um die Einhaltung der datenschutzrechtlichen Bestimmungen zu erleichtern und damit ggf. aufsichtsbehördliche Maßnahmen zu vermeiden.
Im Übrigen möchten wir Sie auf unsere Arbeitshilfen (Kurzpapiere) verweisen, konkret das Arbeitspapier zum Thema Datenschutzbeauftragte, das Sie unter folgendem Link aufrufen können: [kaputter Link] AktuelIes/submenu EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/KP 12 Datenschutzbeauftragte.pdf
Ende
Mit kollegialen Grüßen
danke!!!!
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Problem beschreiben
morpheus-06 schrieb:
Hallo Udo,
danke!!!!
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Problem beschreiben
Ilium schrieb:
...ich lach mich krank mit dem Datenschutz.....selbst Madame Merkel und ihr gesamter Anhang werden ausspioniert....und in den Gesundheitsberufen wird schon wieder das Feuer geschürt..... :kissing_closed_eyes: :angry: :scream:
Mein Profilbild bearbeiten