Datenschutzkonferenz veröffentlicht Beschluss zur Bestellung eines Datenschutzbeauftragten in Arztpraxen und Apotheken
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes hat am 26. April 2018 eine gemeinsame Position zur Frage beschlossen, wann in einer Arztpraxis, Apotheke oder sonstigen Angehörigen eines Gesundheitsberufs, also beispielsweise einer Physiotherapiepraxis, ein Datenschutzbeauftragter bestellt werden muss.
Danach ist in aller Regel in solchen Einrichtungen nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten auszugehen. Ein Datenschutzbeauftragter muss daher grundsätzlich nur dann bestellt werden, wenn in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Der bzw. die Inhaber sind bei der Ermittlung der Beschäftigtenanzahl zu berücksichtigen.
Bemerkenswert daran ist unter Anderem, dass der Beschluss – anders als die entsprechende Regelung in § 38 Abs. 1 S. 1 BDSG – seinem Wortlaut nach nur von der „Verarbeitung personenbezogener Daten“, nicht aber von der „automatisierten Verarbeitung“ solcher Daten spricht. Da dies eine Verschärfung der gesetzlichen Regelung bedeutet und eine solche nicht in der Zuständigkeit der DSK liegt, kann man diesen Umstand wohl als redaktionelle Unachtsamkeit des Beschlussverfassers deuten. Zudem ist die Frage, ob der Inhaber mitzuzählen ist, durchaus umstritten, die Auffassung der DSK hierzu wird sicherlich bei Gelegenheit gerichtlich überprüft werden.
Ausnahmen sind dann denkbar, wenn Verarbeitungen vorgenommen werden, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen erwarten lassen und daher eine Datenschutzfolgenabschätzung erforderlich machen. Dann ist zwingend ein Datenschutzbeauftragter zu bestellen. Dies kann neben einer umfangreichen Verarbeitung – der Beschluss spricht hier von „großen Praxisgemeinschaften“ – beispielsweise beim Einsatz neuer Technologien der Fall sein. Auch hier ist der Beschluss bedauerlicherweise – wenigstens – unglücklich formuliert: In einer Praxisgemeinschaft findet nämlich allenfalls eine Verarbeitung von Mitarbeiter- und sonstigen Daten statt. Gesundheitsdaten aber haben in einer Praxisgemeinschaft nichts zu suchen, diese werden vielmehr auf Ebene der Praxen verarbeitet, die sich zu einer Praxisgemeinschaft zusammengeschlossen haben. Insofern sollte auch bei großen Gemeinschaftspraxen, wobei bedauerlicherweise offen bleibt, was „groß“ in diesem Zusammenhang heißt, von einer umfangreichen Verarbeitung und damit der Notwendigkeit eines Datenschutzbeauftragten ausgegangen werden. In aller Regel werden solche Praxen aber mehr als 10 Mitarbeiter beschäftigen und damit ohnehin der Pflicht zur Bestellung eines Datenschutzbeauftragten unterliegen.
Anlage:
– Beschluss auf www.ldi.nrw.de…
