Bestellung von Datenschutzbeauftragten im Gesundheitsbereich nach DSGVO und BDSG-neu

Mit Wirksamwerden der DSGVO am 25. Mai 2018 gelten für die Bestellpflicht von Daten-schutzbeauftragten Artikel 37 DSGVO und § 38 BDSG-neu i. V. m. Artikel 35 DSGVO.

Ergänzend zu den Bestellpflichten des Artikel 37 Abs. 1 DSGVO hat der deutsche Gesetzgeber für die Benennung betrieblicher Datenschutzbeauftragter nationale Sonderregelungen geschaffen und sich dafür entschieden, das bereits aus dem deutschen Recht bekannte Kriterium der quantitativen Bestellpflicht beizubehalten (vgl. § 38 BDSG-neu). Somit ist auch ab dem 25. Mai 2018 ein Datenschutzbeauftragter zu benennen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Die Pflicht zur Bestellung eines Datenschutzbeauftragten im Gesundheitsbereich ergibt sich aus einem der folgenden Umstände:

  1. regelmäßig sind mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 Satz 1 BDSG-neu)
  2. Verantwortlicher ist eine öffentliche Stelle oder Behörde (Artikel 37 Abs. 1 lit. a DSGVO)
  3. die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten (z B. Gesundheitsdaten, Daten zu religiösen oder weltanschaulichen Überzeugungen, Daten zum Sexualleben) (Artikel 37 Abs. 1 lit. c DSGVO)
  4. es ist eine Datenschutz-Folgenabschätzung durchzuführen (§ 38 Abs. 1 Satz 2 BDSG-neu).

10-Personengrenze

Hinsichtlich der 10-Personengrenze stellt § 38 BDSG-neu nicht nur auf Mitarbeiter ab. Dies entspricht der bisherigen Praxis der Aufsichtsbehörden. Weil wir bisher bei der 10-Beschäftigten-Grenze auch den Arzt, Apotheker usw. als Chef der Praxis mitgezählt haben, ist wie bisher ein Datenschutzbeauftragter ab 9 Mitarbeitern zu bestellen. Mitzuzählen sind zudem Auszubildende und die sich in Mutterschutz und Elternzeit befindenden Mitarbeiter. Nicht mitgezählt wird hingegen das Reinigungspersonal.

Umfangreiche Datenverarbeitung

Größere Einheiten, wie Krankenhäuser[1], führen in jedem Fall eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten durch und sind daher sowohl zur Durchführung einer Datenschutz-Folgenabschätzung als auch zur Bestellung eines Datenschutzbeauftragten verpflichtet.

Noch nicht abschließend geregelt ist die Frage, wann von einer umfangreichen Datenverarbeitung im Bereich der Arztpraxen und Apotheken gesprochen werden kann, die im Ergebnis ebenfalls zu einer Bestellpflicht führt.

Aus diesem Grund empfiehlt der Hessische Datenschutzbeauftragte im Gesundheitsbereich in den Fällen einer Personenanzahl zwischen zwei und neun, einen Datenschutzbeauftragten für einen Übergangszeitraum von zwei Jahren zu bestellen. Alternativ hierzu sind die Gründe für die Nicht-Bestellung für etwaige zukünftige Prüfungen durch die Aufsichtsbehörde zu dokumentieren.

Erfordernis einer Datenschutz-Folgenabschätzung

Sind weniger als zehn Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, besteht nach § 38 Abs. 1 Satz 2 BDSG-neu eine Benennungspflicht, wenn der Verantwortliche oder der Auftragsverarbeiter einer Datenschutz-Folgenabschätzung nach Artikel 35 der DSGVO unterliegt.

Grundsätzlich ist es von der DSGVO nicht gewollt, dass jede Arztpraxis oder Apotheke einen Datenschutzbeauftragten bestellen oder eine Datenschutz-Folgenabschätzung durchführen muss, nur weil Gesundheitsdaten verarbeitet werden (siehe auch die vergleichbare Bewertung zur Datenschutz-Folgenabschätzung in ErwGr. 91 Satz 4 zu Artikel 35 Abs. 3 lit. b DSGVO sowie Nr. 2.1.3 des WP 243 der Artikel 29-Gruppe unter http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083 bzw. http://ec.europa.eu/newsroom/document.cfm? doc_id= 44100). Derzeit wird beim Hessischen Datenschutzbeauftragten davon ausgegangen, dass eine Datenschutzfolgenabschätzung in der Arztpraxis tatsächlich nur bei besonderen Verfahren in Betracht zu ziehen ist, die nicht im herkömmlichen Praxisalltag eingesetzt werden (z. B. besondere Analysen von Genmaterial, Einsatz neuer Technologien etc.). In Zweifelsfällen sollte hierzu mit der Aufsichtsbehörde Rücksprache genommen werden.

Zusammenfassend kommt man für die Gesundheitsberufe zu dem folgenden Ergebnis:

  1. Gesundheitsberufe mit zehn oder mehr Beschäftigten müssen wie bisher einen Datenschutzbeauftragten benennen
     
  2. Gesundheitsberufe, bei denen nur eine Person tätig ist, müssen, wenn keine Sonderkonstellation vorliegt, in der Regel keinen Datenschutzbeauftragten benennen
     
  3. Gesundheitsberufe mit weniger als zehn Beschäftigten, bei denen aber mehr als eine Person tätig ist, müssen bei Erfüllung folgender Voraussetzungen einen Datenschutzbeauftragten benennen:
    1. Die Datenverarbeitungen unterfallen einer Datenschutz-Folgenabschätzung nach § 38 Abs. 1 Satz 2 BDSG-neu (hier wären also die Voraussetzungen des Artikel 35 DSGVO zu prüfen).
    2. Es ist nach Artikel 37 Abs. 1 lit. c DSGVO von einer umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO (z. B. Gesundheitsdaten) auszugehen.
  4. Gesundheitsberufen mit weniger als zehn Beschäftigten, bei denen aber mehr als eine Person tätig ist, wird empfohlen, einen Datenschutzbeauftragen für einen Übergangszeitraum von zwei Jahren zu bestellen. Alternativ sind die Gründe für die Nicht-Bestellung zu dokumentieren.

Weiterführende Informationen können neben dem oben genannten WP 243 auch dem/n Kurzpapier(en) zur Datenschutzgrundverordnung entnommen werden (vgl. https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/wp243_Le...).

[1] Auf Krankenhäuser, die in den Landeskrankenhausplan aufgenommen sind, ist das HDSIG anzuwenden.

SERVICE