Die Pflicht zur Bestellung eines Datenschutzbeauftragten

Aufgrund der großen Resonanz zum Artikel in der Ausgabe 2/2018 sowie der Aktualität habe ich mich entschieden eine Fortsetzung zu schreiben. Einen Schwerpunkt möchte ich hier auf den Datenschutzbeauftragten legen. Denn in der Praxis stellt sich die Frage, ob eine Praxis einen Datenschutzbeauftragten benennen muss. Hier hat sich nach der Einführung der DGSVO zum 25.05.2018 einiges geändert, wobei die Beurteilung auch nach altem Recht nicht immer einfach und eindeutig war.

Die DSGVO gilt seit dem 25.05.2018 unmittelbar in allen Mitgliedsstaaten der EU. Die DSGVO enthält sogenannte Öffnungsklauseln, so dass die Mitgliedsstaaten hier eigene Regelungen treffen können, wovon die Bundesrepublik Deutschland durch ein neues Bundesdatenschutzgesetz Gebrauch gemacht hat, welches zeitgleich mit der DGSVO in Kraft getreten ist.

Ist in einer Praxis ein Datenschutzbeauftragter zu benennen?

Da EU-Recht dem nationalen Recht vorgeht, ist zunächst zu prüfen, was die DSGVO diesbezüglich regelt. Anschließend ist zu prüfen, ob es eine Regelung im neuen Bundesdatenschutzgesetzes gibt.

Eine einschlägige Regelungen zur Verpflichtung der Benennung eines Datenschutzbeauftragten findet sich in Art. 37 Abs. 1 DSGVO. Nach dieser Regelung ist auf jeden Fall ein Datenschutzbeauftragter in drei Konstellationen zu benennen:

1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Im Regelfall wird eine Praxis privatrechtlich betrieben und nicht als öffentliche Stelle. Variante 1 scheidet daher aus.

Die zweite Variante setzt voraus, dass die Kerntätigkeit der Praxis die Durchführung von Datenverarbeitungen darstellt. Auch diese Variante scheidet daher aus, lediglich für Kliniken, insbesondere Universitätskliniken, die Studien durchführen, dürfte diese Variante einschlägig sein. In diesem Falle steht der Fokus auf der Erhebung der Daten auf zumindest einer Ebene mit der Behandlung des Patienten.

Kommen wir zur dritten Variante. Selbstverständlich betrifft die Ausführung der Behandlung und Heilung des Patienten den Kern der heilberuflichen Tätigkeit. Allerdings sind im Rahmen dieser Tätigkeit eine Vielzahl von Dokumentationspflichten zu beachten.

In der dritten Variante kommt es maßgeblich auf die umfangreiche Verarbeitung von Gesundheitsdaten an. Stellt sich die Frage, ab wann von einer umfangreichen Verarbeitung von Gesundheitsdaten auszugehen ist. Leider ist dies in der DSGVO nicht eindeutig geregelt. Jedoch helfen die Erwägungsgründe der Verordnung weiter. Nach Erwägungsgrund 91 soll die Verarbeitung personenbezogener Daten nicht als umfangreich gelten, wenn die Verarbeitung personenbezogener Daten von Patienten oder von Mandanten durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalts erfolgt. In diesem Fall sollte eine Datenschutz-Folgeabschätzung nicht zwingend vorgeschrieben sein.

Im Rahmen der europäischen Gesetzgebung wurde auch die Verarbeitung von Daten, insbesondere der besonders geschützten Gesundheitsdaten, als wesentlicher Bestandteil der heilberuflichen Tätigkeit erkannt. Nur wenn ein einzelner Angehöriger der Heilberufe, der über eine geringe Anzahl an Praxispersonal verfügt, soll die Verarbeitung der Daten nicht als umfangreich gelten und eine Datenschutz-Folgeabwägung nicht vorgeschrieben sein.

Dies bedeutet jedoch, dass in allen Praxen, in denen zumindest zwei Berufsträger tätig sind, die Benennung eines Datenschutzbeauftragten zwingend vorgeschrieben ist, da in diesem Fall die Verarbeitung der Daten als umfangreich gilt.

Ein Sonderfall, welcher nicht eindeutig zu bewerten ist, sind Praxisgemeinschaften, in denen mehrere Ärzte für sich eine eigene Patientenkartei und auf eigene Rechnung arbeiten. Hier wird lediglich eine gemeinsame Infrastruktur genutzt, um beispielsweise Kosten zu sparen. Aufgrund der hohen Bußgeldrisiken rate ich auch hier an, entweder die zuständige Aufsichtsbehörde zu befragen oder aber den Weg des geringsten Risikos zu gehen und einen Datenschutzbeauftragten zu benennen.

Jedoch wurde in der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder am 26. 04.2016 Folgendes klargestellt:

1. Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB).
2. Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DS-GVO auszugehen – in diesen Fällen ist unter Berücksichtigung von Punkt 3 dann kein DSB zu benennen, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.
3. Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgenabschätzung vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen. Dies kann neben einer umfangreichen Verarbeitung (z.B. große Praxisgemeinschaften), die ohnehin nach Art. 37 Abs. 1 lit. c DS-GVO zu einer Benennungspflicht führt, beispielsweise beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen, der Fall sein. Der Datenschutzbeauftragte ist damit auch dann zu benennen, wenn weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben.

Bedeutet vereinfacht, wenn 10 oder mehr Personen, wobei der Verantwortliche, also der Praxisinhaber mitgezählt wird, mit der Verarbeitung von Daten beschäftigt werden, so muss zwingend ein Datenschutzbeauftragter benannt werden.

Wenn es sich um eine Praxis handelt, in der eine umfangreiche Verarbeitung von Patientendaten stattfindet, aufgrund derer ein erhöhtes Risiko für die Daten ausgeht, beispielsweise durch die Nutzung von neuen Technologien, muss ein Datenschutzbeauftragter benannt werden. Regelmäßig soll dies nach der Auffassung der unabhängigen Datenschutzbehörden des Bundes und der Länder nicht der Fall sein. Leider handelt es sich hierbei wieder um einen unbestimmten Begriff, welcher im Laufe der Zeit bestimmbar gemacht werden wird. Im Zweifel rate ich dazu, die zuständige Aufsichtsbehörde zu befragen oder aber einen Datenschutzbeauftragten zu bestellen.

In Deutschland wurde durch das neue Bundesdatenschutzgesetz ebenfalls die Möglichkeit genutzt zu regeln, wann zwingend ein Datenschutzbeauftragter zu benennen ist. Die Regelung findet sich in § 38 des neuen Bundesdatenschutzgesetzes. Hiernach ist ein Datenschutzbeauftragter zu benennen, wenn in der Regel mehr als 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind oder in der Praxis Daten verarbeitet werden die einer Datenschutz-Folgeabwägung im Sinn des Art. 35 DSGVO unterliegen.

Hier habe ich bereits dargelegt, dass lediglich die Einzelpraxis von der Verpflichtung zur Benennung eines Datenschutzbeauftragten ausgenommen ist. Wenn dieser jedoch mehr als 10 Personen mit der Verarbeitung der Daten beschäftigt, hat auch dieser einen Datenschutzbeauftragten zu benennen.

Interner oder externer Datenschutzbeauftragter

Nun möchte ich Ihnen noch die Vor- und Nachteile eines internen oder externen Datenschutzbeauftragten darlegen.

Zunächst lassen sich interner und externer Datenschutzbeauftragten hinsichtlich der anfallenden Kosten unterscheiden.

Bei einem internen betrieblichen Datenschutzbeauftragten fallen zusätzlich zum regulären Gehalt jährlich Kosten für Aus- und Fortbildung sowie Erwerb von Literatur vom Arbeitgeber an. Selbstverständlich ist auch während der Aus- und Fortbildungzeit das Gehalt an den internen Datenschutzbeauftragten zu zahlen.

Bei einem externen Datenschutzbeauftragten besteht der Vorteil, dass die Kosten im Vorhinein für die Laufzeit des Vertrages vereinbart werden und somit eine Kostensicherheit besteht.

Hinsichtlich der Kompetenz muss sich ein interner Datenschutzbeauftragter zunächst zeitintensiven und aufwendigen Weiterbildungsmaßnahmen zur Erlangung der Fachkunde unterziehen, während ein externer Datenschutzbeauftragten bereits von Beginn der Kooperation zertifizierte und sofort abrufbare Fachkunde hat. Ein Vorteil des internen Datenschutzbeauftragten besteht jedoch ohne Zweifel darin, dass er die betriebsinternen Abläufe bereits kennt. Diese Kenntnisse hat der externe Datenschutzbeauftragter nicht.

Bezüglich der Haftung besteht ein erheblicher Unterschied. So haftet ein interner Datenschutzbeauftragter mit der beschränkten Arbeitnehmerhaftung, was eine vollumfängliche Haftung des Arbeitgebers zur Folge hat. Im Gegensatz dazu haftet ein externer Datenschutzbeauftragten für seine Beratung und bedeutet somit eine Risikominimierung für die Praxis.

Ein weiterer arbeitsrechtlicher Aspekt ist zu berücksichtigen. Ein interner Datenschutzbeauftragter unterliegt besonderem Kündigungsschutz, der mit der Stellung des Betriebsrats vergleichbar ist. Die Beendigung der Zusammenarbeit eines externen Datenschutzbeauftragten wird vertraglich geregelt und kann daher auch kurzfristig erfolgen.

Aus diesem Grunde bestehen aus meiner Sicht mehr Vorteile bei der Bestellung eines externen Datenschutzbeauftragten.

Fazit:

Ob ein Datenschutzbeauftragter benannt werden muss oder nicht hängt vom Einzelfall ab. Sicher kann sich letztendlich nur der Einzelbehandler in seiner Praxis mit weniger als 9 Angestellten sein, da er ja mitgezählt wird. Für alle anderen Behandler besteht aus meiner Sicht Ungewissheit, auch nach der versuchten Konkretisierung durch die unabhängigen Datenschutzbehörden des Bundes und der Länder. Es bleibt abzuwarten, wie sich dies entwickelt. Ich empfehle daher den sicheren Weg, im Zweifel einen Datenschutzbeauftragten zu bestellen.

Aus meiner Sicht bestehen bei der Bestellung eines externen Datenschutzbeauftragen Vorteile, aber dies stellt meine Auffassung dar.

Weitere Infos zum Thema finden Sie im ersten Teil unserer Datenschutzreihe.

Autor

Bernd Klemp, LL.M.

Rechtsanwalt

Fachanwalt für Medizinrecht
Fachanwalt für Versicherungsrecht

T 0221 925 700-68
F 0221 925700-52
bernd.klemp@bietmann.eu