Mit Wirksamwerden der DSGVO am 25. Mai 2018 gelten für die Bestellpflicht von Datenschutzbeauftragten Artikel 37 DSGVO und § 38 BDSG-neu i. V. m. Artikel 35 DSGVO.
Ergänzend zu den Bestellpflichten des Artikel 37 Abs. 1 DSGVO hat der deutsche Gesetzgeber für die Benennung betrieblicher Datenschutzbeauftragter nationale Sonderregelungen geschaffen und sich dafür entschieden, das bereits aus dem deutschen Recht bekannte Kriterium der quantitativen Bestellpflicht beizubehalten (vgl. § 38 BDSG-neu). Mit Beschluss vom 27.06.2019 hat der Bundestag entschieden, dass ein Datenschutzbeauftragter zu benennen ist, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Die Pflicht zur Bestellung eines Datenschutzbeauftragten im Gesundheitsbereich ergibt sich aus einem der folgenden Umstände:
- regelmäßig sind mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 Satz 1 BDSG-neu)
- Verantwortlicher ist eine öffentliche Stelle oder Behörde (Artikel 37 Abs. 1 lit. a DSGVO)
- die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten (z B. Gesundheitsdaten, Daten zu religiösen oder weltanschaulichen Überzeugungen, Daten zum Sexualleben) (Artikel 37 Abs. 1 lit. c DSGVO)
- es ist eine Datenschutz-Folgenabschätzung durchzuführen (§ 38 Abs. 1 Satz 2 BDSG-neu).
20-Personen-Grenze
Hinsichtlich der 20-Personen-Grenze stellt § 38 BDSG-neu nicht nur auf Mitarbeiter ab. Dies entspricht der bisherigen Praxis der Aufsichtsbehörden. Weil wir bisher bei der Beschäftigten-Grenze auch den Arzt, Apotheker usw. als Chef der Praxis mitgezählt haben, ist ein Datenschutzbeauftragter ab 19 Mitarbeitern zu bestellen. Mitzuzählen sind zudem Auszubildende und die sich in Mutterschutz und Elternzeit befindenden Mitarbeiter. Nicht mitgezählt wird hingegen das Reinigungspersonal.
Umfangreiche Datenverarbeitung
Größere Einheiten, wie Krankenhäuser, führen in jedem Fall eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten durch und sind daher sowohl zur Durchführung einer Datenschutz-Folgenabschätzung als auch zur Bestellung eines Datenschutzbeauftragten verpflichtet. (Hinweis: Auf Krankenhäuser, die in den Landeskrankenhausplan aufgenommen sind, ist das HDSIG anzuwenden.)
Noch nicht abschließend geregelt ist die Frage, wann von einer umfangreichen Datenverarbeitung im Bereich der Arztpraxen und Apotheken gesprochen werden kann, die im Ergebnis ebenfalls zu einer Bestellpflicht führt.
Erfordernis einer Datenschutz-Folgenabschätzung
Sind weniger als 20 Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, besteht nach § 38 Abs. 1 Satz 2 BDSG-neu eine Benennungspflicht, wenn der Verantwortliche oder der Auftragsverarbeiter einer Datenschutz-Folgenabschätzung nach Artikel 35 der DSGVO unterliegt.
Grundsätzlich ist es von der DSGVO nicht gewollt, dass jede Arztpraxis oder Apotheke einen Datenschutzbeauftragten bestellen oder eine Datenschutz-Folgenabschätzung durchführen muss, nur weil Gesundheitsdaten verarbeitet werden (siehe auch die vergleichbare Bewertung zur Datenschutz-Folgenabschätzung in ErwGr. 91 Satz 4 zu Artikel 35 Abs. 3 lit. b DSGVO sowie Nr. 2.1.3 des WP 243 der Artikel 29-GruppeÖffnet sich in einem neuen Fenster). Derzeit geht der HBDI davon aus, dass eine Datenschutzfolgenabschätzung in der Arztpraxis tatsächlich nur bei besonderen Verfahren in Betracht zu ziehen ist, die nicht im herkömmlichen Praxisalltag eingesetzt werden (z. B. besondere Analysen von Genmaterial, Einsatz neuer Technologien etc.). In Zweifelsfällen sollte hierzu mit der Aufsichtsbehörde Rücksprache genommen werden.
Zusammenfassend kommt man für die Gesundheitsberufe zu dem folgenden Ergebnis:
- Gesundheitsberufe mit 20 oder mehr Beschäftigten müssen wie bisher einen Datenschutzbeauftragten benennen
- Gesundheitsberufe, bei denen nur eine Person tätig ist, müssen, wenn keine Sonderkonstellation vorliegt, in der Regel keinen Datenschutzbeauftragten benennen
- Gesundheitsberufe mit weniger als zehn Beschäftigten, bei denen aber mehr als eine Person tätig ist, müssen bei Erfüllung folgender Voraussetzungen einen Datenschutzbeauftragten benennen:
- Die Datenverarbeitungen unterfallen einer Datenschutz-Folgenabschätzung nach § 38 Abs. 1 Satz 2 BDSG-neu (hier wären also die Voraussetzungen des Artikel 35 DSGVO zu prüfen).
- Es ist nach Artikel 37 Abs. 1 lit. c DSGVO von einer umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO (z. B. Gesundheitsdaten) auszugehen.