Wann muss eine Arztpraxis einen Datenschutzbeauftragten benennen?

Die Landesdatenschutzaufsicht (LDA) Bremen hat in ihrem jüngst erschienen Tätigkeitsbericht für 2021 zum Thema Datenschutzbeauftragte (DSB) in Arztpraxen unter Verweis auf einen Beschluss der Datenschutzkonferenz (DSK) ausgeführt, dass sie die Benennung eines DSB in einer Arztpraxis bereits ab zehn Personen, die sich mit der Verarbeitung personenbezogener Daten beschäftigen, als verpflichtend ansieht.

Zwar erscheint die Diskussion, ab wie vielen datenverarbeitenden Personen in einem Unternehmen bzw. einer Praxis ein DSB benannt werden muss, auf den ersten Blick müßig. Denn unabhängig davon, ob man nun einen oder Tausend Mitarbeiter hat, muss man alle datenschutzrechtliche Vorgaben beachten und umsetzen. Dies klappt nun mal besser, wenn eine Person dafür explizit benannt wurde. Allerdings ist schon die Nichtbenennung eines Datenschutzbeauftragten, wenn eine Pflicht zur Benennung besteht, eine Ordnungswidrigkeit, die mit einem Bußgeld bis zu zehn Millionen Euro geahndet werden kann, Art. 83 Abs. 4a DSGVO. Bevor eine Aufsichtsbehörde jedoch so weit geht, wird sie erst den Verantwortlichen zur Benennung eines DSB auffordern.

Zusammenhänge und Hintergründe

Die Ernennung eines DSB ist in Art. 37 DSGVO mit abstrakten Kriterien ohne konkrete Personenanzahl geregelt. Vielmehr kommt es dort darauf an, ob die Kerntätigkeit in der Verarbeitung personenbezogener Daten nach Art. 9 DSGVO besteht. Allerdings können die Mitgliedstaaten weitere Regelungen erlassen, die vorgeben, wann ein DSB zu benennen ist. Davon hat der deutsche Gesetzgeber im BDSG Gebrauch gemacht. Ursprünglich galt nach § 4 f Abs. 1 S. 4 BDSG a. F. bis 25. Mai 2018: Ab zehn Personen, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, muss ein DSB benannt werden.

Diese Regelung hatte der deutsche Gesetzgeber nach Wirksamwerden der DSGVO ab dem 25. Mai 2018 in die Neufassung des BDSG in § 38 BDSG übernommen. Durch eine Gesetzesänderung am 26. November 2019 wurden aus den 10 nun 20 Personen. Dies sollte, laut Gesetzesbegründung, eine Erleichterung für kleinere Unternehmen bewirken. „Angestrebt wird damit vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine.“ (Beschlussempfehlung vom 26. Juni 2019, BTDr. 19/11181)

Allerdings kann dadurch nicht der Anwendungsbereich des Art. 37 DSGVO verkleinert werden. Danach kommt es gerade nicht auf eine Personenanzahl an, sondern darauf, ob die Datenverarbeitung als Kerntätigkeit anzusehen ist und ob eine umfangreiche Verarbeitung personenbezogener Daten stattfindet. Dazu sagt nun die DSK und die LDA Bremen, dies sei in Arztpraxen jedenfalls dann der Fall, wenn mindestens zehn Personen sich ständig mit der automatisierten Verarbeitung personenbezogener (Gesundheits-)Daten beschäftigen. Somit sei also mindestens ab dieser Personenzahl die Benennung eines DSB verpflichtend. Unter Umständen könne aber auch eine Praxis mit weniger als zehn Personen dazu verpflichtet sein, einen DSB zu benennen, etwa wenn neue Technologie bei der Datenverarbeitung zum Einsatz kommt, die datenschutzrechtlich ein hohes Risiko darstellt.

Insgesamt kann nur dazu geraten werden, in Arztpraxen Datenschutzbeauftragte zu benennen. Weder der Beschluss der DSK noch der Tätigkeitsbericht der LDA Bremen ist rechtlich bindend, aber generell ist zur Umsetzung aller datenschutzrechtlichen Vorgaben die Benennung eines Datenschutzbeauftragten sehr sinnvoll.

Für weitere Fragen steht Ihnen die Redaktion gerne zur Verfügung.

Freundliche Grüße
David Seiler, Rechtsanwalt

Redaktion Datenschutz in Arztpraxen