Ein/e DSB ist immer zu benennen, wenn zehn oder mehr Personen einschließlich der oder dem Verantwortlichen mit der Verarbeitung von Gesundheitsdaten befasst sind.
Bei weniger als zehn Personen benötigen Sie dennoch eine/n DSB, wenn
· eine weit über das normale Maß hinausgehende, umfangreiche Datenverarbeitung erfolgt oder
· eine Pflicht zur Erstellung einer Datenschutzfolgenabschätzung nach Artikel 35 DSGVO besteht. Eine Übersicht, welche Verarbeitungsvorgänge diese Pflicht auslösen, finden Sie auf der von uns veröffentlichten „Blacklist“ auf der Homepage.
Eine durchschnittliche Arztpraxis (unter Einsatz einer üblichen Praxisverwaltungssoftware, ohne Einsatz neuartiger Technologien) wird in der Regel keine/n DSB benennen müssen, sofern weniger als zehn Personen Gesundheitsdaten verarbeiten,
Sofern eine oder ein DSB zu benennen ist, gilt: Die Benennung einer oder eines DSB ist der Aufsichtsbehörde schriftlich zu mitzuteilen. Hierzu steht Ihnen das Meldeformular auf unserer Homepage zur Verfügung.
Die Erreichbarkeit der oder des DSB muss in den Informationspflichten nach Artikel 13 DSGVO und, sofern vorhanden, auch auf der eigenen Homepage genannt werden.
Quelle: lfd.niedersachsen.de
