Erleichterung bei kleineren Arztpraxen? Doch kein Datenschutzbeauftragter erforderlich?

Ich habe im August letzten Jahres einen Beitrag geschrieben, der sich mit der Pflicht von Arztpraxen beschäftigt, ggf. einen Datenschutzbeauftragten bestellen zu müssen.

Wichtig: Die Aufsichtsbehörden haben nun in einer Entschließung klargestellt, dass nicht immer ein Datenschutzbeauftragter in Arztpraxen zu benennen ist. Dazu habe ich hier einen Beitrag geschrieben.

Auch wenn ich in dem Beitrag zu dem Ergebnis komme, dass viele Arztpraxen wohl einen Datenschutzbeauftragten benennen müssen, bin ich rechtspolitisch nicht der Auffassung, dass dies wirklich erforderlich ist. Nach über 15 Jahren Anwaltspraxis im Datenschutzrecht kann ich recht sicher sagen, dass die alleinige Benennung eines Datenschutzbeauftragten durch eine Arztpraxis nicht automatisch dazu führt, dass die Verarbeitung von personenbezogenen Daten in einer Arztpraxis dadurch im Hinblick auf das Datenschutzrecht besser wird. Natürlich auch nicht schlechter.

Letztlich kommt es darauf an, ob die Arztpraxis Veränderungen möchte und diese ggf. auch für sinnvoll hält. Datenschutz, der in einer Reihe von Aufbürdungen besteht, war bei der Umsetzung im gewerblichen oder freiberuflichen Bereich grundsätzlich noch nie nachhaltig erfolgreich. Ausgenommen sind die Bereiche die extrem stark reguliert sind und in denen durch strikteren Datenschutz im Ergebnis „Erleichterungen“ geschaffen werden. Aber das ist nochmal ein ganz anderes Thema.

Viele Arztpraxen wird es freuen, dass sich vor kurzem nun eine Aufsichtsbehörde zu dem Thema „Datenschutzbeauftragter oder nicht“ mal klar positioniert hat (weitere sind gefolgt, s.u.)

Und zwar – mal wieder – das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Das BayLDA hat übrigens eine wirklich gelungene und extrem hilfreiche Internetseite zur Umsetzung der DSGVO mit Handreichungen für kleine Unternehmen und Vereine veröffentlicht. Ich kann sagen, dass die Seite zu dem Besten gehört, was ich für den Bereich bislang gesehen habe. Wirklich eine Empfehlung!

In diesen „Handreichungen“ gibt es aber nicht nur Hinweise für Vereine, KfZ-Werkstätten, Bäckereien, Beherbungsbetriebe u.ä., sondern eben auch für Arztpraxen. Für Arztpraxen gibt es dann z.B. auch ein Muster für ein „Verarbeitungsverzeichnis“, in dem typische Verarbeitungen in einer Arzpraxis aufgeführt (PDF). Dieses wäre dann zwar noch zu ergänzen, aber das ist schon einmal eine extrem hilfreiche Unterstützung.

Im Hinblick auf eine etwaige Pflicht zur Benennung eines Datenschutzbeauftragten in der Arztpraxis und auch zu einer etwaigen Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) ist dann das Dokument des BayLDA zu „Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an kleine Unternehmen, Vereine, etc. – Muster 5: Arztpraxis“ (PDF) sehr interessant.

Da werden die Anforderungen für die Umsetzung der DSGVO anhand eines Beispiels einer Arztpraxis mal durchgespielt. Dabei wird fiktiv folgendes Szenario einer Arztpraxis angenommen:

Ein Arzt hat eine Hausarztpraxis auf dem Land mit fünf Sprechstundenhilfen/MFAs, einer Putzkraft und einem Sicher- stellungsassistenten. Die Arztpraxis betreibt eine kleine Webseite mit Hilfe eines Content Management Systems, auf dem online Termine angefragt werden können. Ein externer Dienstleister betreut die Webseite und die Praxis-IT. Die Datenverarbeitung bezüglich der Patientendaten erfolgt auf eigenen Computern und Servern innerhalb der Praxis.
Wesentliche Verarbeitungstätigkeiten sind z. B.:

  • Lohn- und Gehaltsabrechnung der Mitarbeiter
  • Verarbeitung von Patientendaten zur Behandlung
  • Verarbeitung von Patientendaten zur Abrechnung über die KVB bzw. PVS
  • Betrieb der Webseite mit der Online-Terminbuchungsmöglichkeit

Und dann werden einzelne Fragen beantwortet. So z.B. gleich die erste Frage:

A Datenschutzbeauftragter (DSB)
Muss ein DSB vom Arzt benannt werden?

Und die Antwort des BayLDA darauf? Nein.

Das hat mich in der Klarheit überrascht und auch erfreut. Begründet wird dies vom BayLDA wie folgt:

In der Arztpraxis findet in aller Regel keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten statt, die zu einer Benennungspflicht führt. Es ist daher ein DSB nur zu benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. „Ständig beschäftigt“ ist z. B. die Sprechstundenhilfe. „Nicht ständig beschäftigt“ ist dagegen bspw., wer als Putzkraft theoretisch Daten zur Kenntnis nehmen kann.

Diese Auffassung scheint sich übrigens durchzusetzen. Denn jetzt hat am 10.04.2018 auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) einen ebenfalls sehr hilfreichen Artikel mit dem Titel „Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbständige Heilberufler beachten“ veröffentlicht. Auch dort geht es – neben anderen Themen – auch um die Frage, ob ein betrieblicher Datenschutzbeauftragter in Arztpraxen benannt werden muss. Sehr interessant. Denn das ULD geht hier ebenfalls einen pragmatischen Weg und kommt zu folgenden Schlüssen:

Nach § 38 Bundesdatenschutzgesetz (BDSG) ist ein betrieblicher Datenschutzbeauftragter (DSB) in jedem Fall dann zu bestellen, wenn in der Arztpraxis, Apotheke etc. in der Regel mindestens zwanzig Personen ständig, d.h. nicht nur gelegentlich, mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Das ist natürlich klar. Umstritten ist aber, ob nun der bzw. die Inhaber der Arztpraxis auch mitzählen. Das ULD gibt zu der Frage, wer nun „mitzählt“, diese Aspekte an:

In einer Arztpraxis zählen zu diesen Personen zunächst die Ärzte selbst, da sie im Hinblick auf ihre Dokumentationspflicht medizinische Daten über die Betroffenen zu verarbeiten haben. Zu den mit der automatisierten Verarbeitung befassten Personen gehört auch medizinisches Hilfspersonal, soweit es die Daten der Patienten verarbeitet. Dies gilt z.B. für Arzthelfer etc., die Laborwerte, Ergebnisse von Tests etc. oder auch Termine in das Praxissystem eingeben. Mitzuzählen sind auch Verwaltungskräfte, die die Abrechnung organisieren oder Daten über die Mitarbeiter der Praxis pflegen. Nicht mitzuzählen sind dagegen z.B. Reinigungskräfte, die normalerweise keinen Zugriff auf die Daten haben.

Die wohl h.M.1 in der rechtswissenschaftlichen Literatur geht davon aus, dass die vertretungsberechtigten Personen einer Organisation, also z.B. Geschäftsführer einer GmbH, Vorstandsmitglieder einer Aktiengesellschaft oder eben der Inhaber einer Arztpraxis oder Gesellschafter einer Arztpraxis GbR nicht mitzählt. Denn diese Personen sind eben nicht „beschäftigt“, sondern „beschäftigend“. Ich halte diese Auffassung für korrekt. Zumal der deutsche Gesetzgeber diesen Streit mit einer Änderung des § 38 BDSG n.F. hätte beenden können, indem er sich von dem Wort „beschäftigt“ gelöst und stattdessen z.B. den Begriff „befasst“ verwendet hätte. Das hat er jedoch nicht getan. Da der Begriff des „Beschäftigten“ auch in § 26 Abs. 8 BDSG weiterhin legaldefiniert ist, ist er auch bei der Auslegung der Benennungspflicht in § 38 BDSG heranzuziehen. Dort steht aber, dass Verantwortliche einen Datenschutzbeauftragte benennen, wenn sie „in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“. Mit dem Wortlaut ist nicht vereinbar, dass der „Verantwortliche“ selbst mitzählt.

Es ist also mitnichten „jeder Arzt“ mitzuzählen. In die Zählung dürfen richtigerweise nur die Ärzte einbezogen werden, die von der Arztpraxis „beschäftigt“ sind. Das sind eben nicht die Inhaber der Arztpraxis.

Unabhängig von der Anzahl der Beschäftigten wäre nach Art. 37 DSGVO aber ein Datenschutzbeauftragter auch dann zu bestellen, wenn zur Kerntätigkeit der Praxis die umfangreiche Verarbeitung von Gesundheitsdaten zählen würde. Und hier positioniert sich nun auch das ULD wie folgt:

Zwar wird man im Hinblick auf die Bedeutung der Dokumentation und der Verwaltung von Patientendaten davon ausgehen können, dass die Verarbeitung solcher Daten zur Kerntätigkeit in Arztpraxen, Apotheken etc. gehört. Allerdings wird in den allermeisten Fällen nicht von einer Verarbeitung in großem Maßstab auszugehen sein.

Etwas anderes gilt nur in besonders gelagerten Fällen, in denen der Umfang der Verarbeitung von Gesundheitsdaten (oder anderen sensiblen Daten wie z.B. genetischen Daten) weit über das hinausgeht, was in einer üblichen Arztpraxis anzutreffen ist.

Ich bin gespannt, ob sich dem auch weitere Aufsichtsbehörden anschließen werden. Eine Tendenz scheint auf jeden Fall in Ansätzen erkennbar.

Die Arztpraxen dürfen also ggf. „aufatmen“. Und ich persönlich finde die hier beschriebenen Stellungnahmen von BayLDA und ULD zu dem Thema erfreulich pragmatisch. Rechtlich habe ich so meine Zweifel, ob das wirklich korrekt ist. Aber rechtspolitisch halte ich die Auffassung für praxisgerecht und richtig.

  1. Vgl. Moos, in: BeckOK Datenschutzrecht, Wolff/Brink, 23. Edition, Stand: 01.05.2015, § 4f BDSG Rn. 11; von dem Bussche, in: Plath, BDSG/DSGVO, 2. Auflage, 2016, § 4f BDSG Rn. 8; Raum, in: Auernhammer, DSGVO/BDSG, 5. Auflage, 2017, § 4f BDSG Rn. 50; a.A. Scheja, in: Taeger/Gabel, BDSG, 2. Auflage, 2013, § 4f Rn. 19