Aufsichtsbehörden zur Pflicht zur Benennung von Datenschutzbeauftragten in Arztpraxen & Apotheken
Die Datenschutzkonferenz (DSK) ist eine Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder.
Diese hat am 26.04.2018 getagt und dabei insbesondere eine lobenswerte Klarstellung hinsichtlich der Pflicht zur Benennung eines Datenschutzbeauftragten in Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs veröffentlicht.
Das Dokument findet ihr hier:
Wie alle Veröffentlichungen der DSK sind die Ausführungen in dem Dokument nicht rechtsverbindlich. Gleichwohl haben sie hohen Praxiswert. Denn die Aufsichtsbehörden werden sich in aller Regel an die Entschließungen der DSK in ihrer Behördenpraxis halten. Und Unternehmen können sich insoweit gegenüber den Aufsichtsbehörden auf die Entschließungen der DSK berufen, da sie darauf vertrauen durften, dass dies von allen Aufsichtsbehörden in Deutschland so praktiziert werden wird.
Ich habe mich ja bereits in mehreren Beiträgen mit der Pflicht zur Benennung von Datenschutzbeauftragten in Arztpraxen beschäftigt (hier und hier). Erfreulich ist, dass die Aufsichtsbehörden sich jetzt einmal gemeinschaftlich in Form einer DSK-Entschließung diesem Thema widmen. Leider sind in der Entschließung m.E. einige rechtliche Fehler enthalten, auf die ich nachfolgend jeweils eingehe.
Wenn ich bei den einzelnen Ausführungen der DSK nur von „Arztpraxen“ spreche, gilt dies in gleicher Weise auch für Apotheken und andere Unternehmen bzw. Unternehmer in Gesundheitsberufen.
Die DSK vertritt im Hinblick auf die Benennungspflicht jetzt folgende Positionen:
Nr. 1:
Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB).
Die Aufsichtsbehörden stellen hier klar, dass bei Arztpraxen mit 10 oder mehr Personen ein Datenschutzbeauftragter zu benennen ist, wenn diese Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Die Bezugnahme auf die „ständige Beschäftigung mit der Verarbeitung“ beruht auf dem Wortlaut von § 38 BDSG n.F.
Update 2021: Die Anzahl der Beschäftigen in § 38 BDSG beträgt mittlerweile nicht mehr zehn, sondern zwanzig Personen. Das ist hier also entsprechend zu berücksichtigen. Das gilt insoweit auch für die weiteren Ausführungen des Beitrages hier.
Genau genommen wird in § 38 BDSG jedoch nur die ständige Beschäftigung mit der „automatisierten“ Verarbeitung genannt. Warum die DSK diesen Begriff nicht in Ziff. 1 der Entschließung aufführt, ist mir unklar. Hier ist leider unsauber gearbeitet worden. Es macht – gerade in Arzpraxen – durchaus einen Unterschied, ob jemand nun ständig mit der Verarbeitung personenbezogener Daten oder der automatisierten Verarbeitung personenbezogener Daten zu tun hat. Die Stellungnahme in Ziff. 1 ist meiner Meinung nach daher so zu lesen, dass es sich um eine „automatisierte“ Verarbeitung handeln muss.
Erstaunlich ist dann aber vor allem, dass die DSK ohne jegliche Erklärung eine Mindermeinung in der rechtswissenschaftlichen Literatur zum König befördert, indem sie „einfach mal so“ den Praxisinhaber im Hinblick auf die Pflicht zur Benennung eines Datenschutzbeauftragten mitzählen möchte.
Dabei spricht schon der Wortlaut des § 38 BDSG n.F. dem entgegen. Denn nach § 38 BDSG n.F. benennt der Verantwortliche (also z.B. der/die Inhaber einer Arztpraxis) einen Datenschutzbeauftragten, soweit er in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Ein „Beschäftigen“ kann aber dem Wortlaut nach nicht so ausgelegt werden, dass der „Beschäftigende“, also der Arbeitgeber, zu diesem Personenkreis dazu zählt.
Entsprechend wird es mehrheitlich in der Literatur so gesehen, dass die Inhaber der Arztpraxis nicht „mitgezählt“ werden. Dazu habe ich hier schon mit weiteren Hinweisen aus der Literatur etwas geschrieben.
All das interessiert aber die DSK scheinbar nicht. Ich würde mir bei den Entschließungen der DSK – gerade dann, wenn Mindermeinungen vertreten werden – zumindest eine Erläuterung wünschen, warum man diese vertritt. So sind diese Entschließungen fachlich leider immer weniger ernst zu nehmen und führen zu einem Bedeutungsverlust dieser Entschließungen.
Was außerdem fehlt, ist eine Handreichung dazu, wann denn nun eine „ständige Beschäftigung“ mit der Datenverarbeitung vorliegt. Auch das ist ja mehr als umstritten. So führt die Ziff. 1 dieser Entschließung dazu, dass sie mehr Verwirrung stiftet als Klarheit.
Aber es geht weiter mit den Entschließungen der DSK:
Nr. 2:
Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DS-GVO auszugehen – in diesen Fällen ist unter Berücksichtigung von Punkt 3 dann kein DSB zu benennen, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Im Gegensatz zu Ziff. 1 handelt es sich hierbei um eine erfreulich klare Empfehlung. Natürlich kann man das anders sehen. Aber hier ist zumindest klar, dass in Arztpraxen nicht generell ein Datenschutzbeauftragter zu benennen ist, wenn weniger als 10 Personen mit der Datenverarbeitung beschäftigt sind.
Mit dieser Empfehlung kann die Datenschutzpraxis also gut leben. Offener Punkt bleibt auch hier wieder die Zählweise (s.o.).
Nr. 3
Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgenabschätzung vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen. Dies kann neben einer umfangreichen Verarbeitung (z.B. große Praxisgemeinschaften), die ohnehin nach Art. 37 Abs. 1 lit. c DS-GVO zu einer Benennungspflicht führt, beispielsweise beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen, der Fall sein. Der Datenschutzbeauftragte ist damit auch dann zu benennen, wenn weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben.
Tja…was soll ich sagen. Diese Aussage hat m.E. „null“ Erklärungsgehalt, der über Art. 37 DSGVO hinausgehen würde. Ich kann aber verstehen, dass dies hier aufgenommen wurden. Denn es kann natürlich auch sehr kleine Arztpraxen geben, die aber z.B. besonders schutzbedürftige Daten verarbeiten. Denken wir mal an eine „Spezial-Arzt-Boutique“, die sich auf die Auswertung von genetischen Daten zur Leistungsoptimierung spezialisiert hat. Hier kann es durchaus ein besonderes Risiko darstellen, wenn genetische Informationen Unbefugten zur Kenntnis gelangen können. In diesen Fällen wäre sicherlich ein Datenschutzbeauftragter unabhängig von der Beschäftigtenzahl zu benennen.
Und die Entschließung der DSK endet dann mit dem letzten Punkt:
Nr. 4
Der Begriff „Gesundheitsberuf“ ist im Sinne der Aufzählung nach § 203 Abs. 1 StGB auszulegen und umfasst die in § 203 Abs. 1 Nr. 1, 2, 4 und 5 StGB aufgezählten Berufsbilder.
Das ist eine gute Feststellung, die für Klarheit sorgt. In den § 203 StGB sind nachfolgende Berufsbilder den Gesundheitsberufen zuzuordnen:
- Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörige eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert (§ 203 Abs. 1 Nr. 1 StGB)
- Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung (§ 203 Abs. 1 Nr. 2 StGB)
- Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist (§ 203 Abs. 1 Nr. 4 StGB)
- Mitglied oder Beauftragten einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes (§ 203 Abs. 1 Nr. 5 StGB)
Warum hier die in § 203 Abs. 1 Nr. 7 StGB genannten Berufe (Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle) erschließt sich mir zwar nicht, ist aber im Ergebnis auch nicht wirklich praxisrelevant, da Unternehmen aus diesem Bereich in der Regel mehr als 10 Personen mit der automatisierten Datenverarbeitung beschäftigen und damit sowieso schon einen Datenschutzbeauftragten zu benennen haben.
Klar ist jedenfalls jetzt, dass andere Gesundheitsberufe, die nicht zu den o.g. Berufsgruppen zählen, von dieser Entschließung der DSK nicht betroffen sind.