Wann muss ein Datenschutzbeauftragter bestellt werden?
Prinzipiell könnte davon ausgegangen werden, dass eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten nach Art. 37 Abs. 1 lit. C DS GVO für Arztpraxen, Apotheken und sonstige Angehörige eines Gesundheitsberufs besteht. Dies schon allein aus dem Grund, da in diesen Betrieben vornehmlich besondere personenbezogene Daten, nämlich Gesundheitsdaten, verarbeitet werden. Diese Frage ist jedoch nicht einfach zu beantworten, da viele Praxen weit weniger als zehn Angestellte beschäftigen. Für diesen Fall geht die DSGVO davon aus, dass kein Datenschutzbeauftragter zu bestellen ist.
Um Klarheit zu diesem Thema zu schaffen, hat sich die Konferenz der unabhängigen Landesschutzbehörden des Bundes und der Länder in Düsseldorf am 26.4.2018 getroffen und folgende Leitsätze verfasst:
- Immer dann, wenn ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen betreibt und mindestens zehn Personen dort mit der Verarbeitung personenbezogener Daten beschäftigt sind, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten.
- Für Ärzte, Apotheker oder sonstige Angehörige eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) zusammenarbeiten ist nach Auffassung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder nicht von einer umfangreichen Verarbeitung besondere Kategorien von personenbezogener Daten im Sinne des Artikel 37 Abs. 1 lit. c DS GVO auszugehen. In diesen Fällen sei, immer dann, wenn weniger als zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, kein Datenschutzbeauftragter zu bestellen.
- Jedoch ist zu beachten, dass immer dann, wenn bei der Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zu erwarten ist, eine sogenannte Datenschutzfolgenabschätzung gesetzlich vorgeschrieben ist. In diesem Fall sei auch dann zwingend ein Datenschutzbeauftragter zu benennen. Nach Auffassung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder ist eine Datenschutzfolgenabschätzung mit der Konsequenz der verpflichtenden Bestellung eines Datenschutzbeauftragten dann anzunehmen, wenn von einer umfangreichen Verarbeitung (bei große Praxisgemeinschaften) unter Einsatz von neuen Technologien, die ein hohes Risiko bei der Datenverarbeitung mit sich bringen, auszugehen ist. In diesem Fall ist somit auch dann ein Datenschutzbeauftragter zu benennen, wenn weniger als zehn Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind.
Fazit: Praxen oder Gemeinschaftspraxen mit weniger als 10 Mitarbeiter sollten immer dann einen Datenschutzbeauftragten bestellen, wenn bei der Datenverarbeitung neue Technologien angewandt werden, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen. In diesem Fall gilt die gesetzliche Mindestgrenze von zehn im Betrieb beschäftigten Personen nicht.