Wann ist der Chefarzt Verantwortlicher im Sinne der DSGVO?

| FRAGE: „Mit großem Interesse habe ich Ihren Beitrag zur Datenschutzgrundverordnung (DSGVO) gelesen (CB 05/2018, Seite 2). Darin schreiben Sie, dass in bestimmten Fällen nicht der Krankenhausträger, sondern der Chefarzt für die Einhaltung der DSGVO verantwortlich ist, wie z. B. in der Chefarztambulanz. Um welche Konstellationen handelt es sich genau?“ |

Antwort: Die Pflichten der DSGVO richten sich grundsätzlich und abstrakt formuliert an den „Verantwortlichen“. Dies ist nach der Legaldefinition des Art. 4 Nr. 7 DSGVO „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Es geht hier nicht um die bloße Verarbeitung von Daten ‒ dann wäre nahezu jeder im Krankenhaus Tätige, also auch der Chefarzt „verantwortlich“.

Verantwortlicher i. S. d. DSGVO wird der Chefarzt nur in den Fällen, in denen er nicht Patienten des Krankenhauses, sondern eigene Patienten behandelt. Der klassische Anwendungsfall ist die Chefarztambulanz. Hier ist der Chefarzt für die Einhaltung der DSGVO insgesamt so verantwortlich wie der niedergelassene Kollege in seiner Praxis. Auch eine „Rückübertragung“ der Pflichten an das Krankenhaus, welches die DSGVO ansonsten ebenfalls einzuhalten hat, scheidet im Außenverhältnis aus, Datenschutz ist hier „Chef-(arzt-)sache“.