Muss die Arztpraxis zwingend einen Datenschutzbeauftragten haben?

Sehr häufig stellt sich in der Praxis die Frage, ob eine Arztpraxis eigentlich einen Datenschutzbeauftragten benennen muss. Das ist schon nach bisherigem Recht – auf Basis des Bundesdatenschutzgesetzes (BDSG) – nicht ganz einfach zu beantworten. Viel interessanter ist allerdings, wie die Rechtslage ab dem 25.05.2018 mit der dann geltenden neuen Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Verbindung mit der Neuregelung des BDSG aussieht.

Wichtig: Ich habe dazu einen neuen Beitrag veröffentlicht: Erleichterung bei kleineren Arztpraxen? Doch kein Datenschutzbeauftragter erforderlich? Außerdem haben die Aufsichtsbehörden nun in einer Entschließung klargestellt, dass nicht immer ein Datenschutzbeauftragter in Arztpraxen zu benennen ist. Dazu habe ich hier einen Beitrag geschrieben.
Wichtige Aktualisierung: Da § 38 BDSG schon vor geraumer Zeit dahingehend geändert worden ist, dass ein DSB nicht mehr bei mehr als 10, sondern nun 20 Beschäftigten erforderlich ist, habe ich das hier entsprechend angepasst.

Die DSGVO gilt ab dem 25.05.2018 unmittelbar in allen Mitgliedsstaaten der Europäischen Union. Da sie eine ganze Reihe von Öffnungsklauseln enthält, mit denen Mitgliedsstaaten bestimmte Regelungen konkretisieren können, hat die Bundesrepublik Deutschland mit dem sog. Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) das deutsche Datenschutzrecht an die neue Rechtslage angepasst und in dem Zusammenhang auch ein neues Bundesdatenschutzgesetz (BDSG-neu) geschaffen, das zeitgleich mit der DSGVO in Kraft tritt.

Aufgrund des Vorrangs des EU-Rechts vor nationalem Recht gilt jedoch vorrangig erst einmal immer die DSGVO. Was wir jetzt machen, ist Folgendes. Wir schauen uns erst einmal die Rechtslage nach der DSGVO und dann die Rechtslage unter Berücksichtigung des BDSG-neu an.

Jetzt wollen wir aber nicht länger um den heißen Brei herumreden, sondern uns der konkreten Frage zuwenden, die da lautet:

Muss eine Arztpraxis zwingend einen Datenschutzbeauftragten haben?

Die Standard-Juristen-Antwort „Es kommt darauf an“ passt auch hier mal wieder ganz wunderbar. Denn es kommt wirklich auf die konkreten Umstände an. Schauen wir also mal, was die DSGVO dazu sagt. Einschlägige Regelung zur Benennung eines Datenschutzbeauftragten ist Art. 37 DSGVO. Nach Art. 37 Abs. 1 DSGVO ist auf jeden Fall ein Datenschutzbeauftragter in einer Arztpraxis in drei Konstellationen zu benennen:

  1. Die Arztpraxis ist Teil einer Behörde oder öffentlichen Stelle .
  2. Die Kerntätigkeit der Arztpraxis besteht in der Durchführung von Datenverarbeitungen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von Patienten erforderlich macht.
  3. Die Kerntätigkeit der Arztpraxis besteht in der umfangreichen Verarbeitung von besonderen Kategorien von Daten i.S.d. Art. 9 DSGVO (insbesondere Gesundheitsdaten).

Auch wenn eine Arztpraxis theoretisch auch als öffentliche Stelle betrieben werden kann, ist der Regelfall in der Praxis doch der, dass die Arztpraxis eine privatrechtliche Einrichtung ist und damit keine öffentliche Stelle darstellt. Im Ergebnis ist Ziff. 1 der o.g. Auflistung hier nicht einschlägig.

Wie sieht es mit Ziff. 2 aus? Hier wäre ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit der Arztpraxis die Durchführung von Datenverarbeitungen betrifft. Auch wenn in einer Arztpraxis sicher eine Reihe von Daten anfällt, ist es jedoch nicht Kerntätigkeit einer Arztpraxis, Daten zu verarbeiten. Das wäre meiner Meinung nach nur dann zu bejahen, wenn z.B. die Arztpraxis eine klinische Studie durchführt und insoweit umfangreich Daten verarbeitet. Im Ergebnis führt die o.g. Ziff. 2 also hier auch noch nicht zur Pflicht einer Benennung eines Datenschutzbeauftragten in der Arztpraxis.

Kommen wir zu dem wohl entscheidenden und einschlägigen Kriterium, das in Ziff. 3 oben angeführt wurde. Danach ist von der Arztpraxis ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit der Praxis in der umfangreichen Verarbeitung von Gesundheitsdaten besteht.

Die hier entscheidende Frage ist also, ob eine „umfangreiche“ Verarbeitung von Gesundheitsdaten in einer Arztpraxis erfolgt? Der Wortlaut der DSGVO ist hier nicht eindeutig. Das ist zunächst auch für Rechtsnormen nicht unüblich. Es gehört dann zum Handwerkszeug der Juristen, den unbestimmten Wortlaut „bestimmbar“ zu machen. Und das erfolgt durch Auslegung. Bei der Auslegung der DSGVO bietet sich zunächst immer an, die sog. Erwägungsgründe der DSGVO auf Hinweise zu durchforsten.

Die Erwägungsgründe befinden sich vor dem eigentlichen Text der DSGVO. Im Hinblick auf die Benennung von Datenschutzbeauftragten ist vor allem Erwägungsgrund 97 einschlägig. Allerdings hilft der uns hier nicht weiter. Denn auch dort finden sich keine Hinweise darauf, wann eine „umfangreiche“ Verarbeitung vorliegen soll.

Wenn wir die DSGVO und die Erwägungsgründe aber insgesamt angeschaut haben, dann ist uns vielleicht etwas aufgefallen. Denn es gibt noch an anderen Stellen der DSGVO das Thema der „umfangreichen Verarbeitung“. Und bei einer Stelle können wir tatsächlich weitere Hinweise finden? Wo? Tja…beim Thema der Datenschutz-Folgenabschätzung (Art. 35 DSGVO).

Nach Art. 35 Abs. 3 lit. b) DSGVO ist eine Datenschutz-Folgenabschätzung insbesondere erforderlich, wenn eine

umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10

erfolgt. Das ist eine sehr ähnliche Formulierung wie bei Art. 37 Abs. 1 Nr. 3 DSGVO (s.o.). Und mit der beschäftigen wir uns ja gerade.

Wie praktisch…beim Thema der Datenschutz-Folgenabschätzung in der DSGVO gibt es allerdings dann auch etwas in den Erwägungsgründen, das uns bei der Lösung der Frage, ob nun ein Datenschutzbeauftragter von der Arztpraxis zu benennen ist oder nicht, weiterhelfen kann. Dazu müssen wir in Erwägungsgrund 91 hineinschauen.

Denn dort befindet sich auch neben einer Beschreibung, wann eine umfangreiche Verarbeitung vorliegen soll, auch ein Hinweis darauf, wann eine umfangreiche Verarbeitung nicht vorliegen soll:

Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.

Aha…das hilft uns schon einmal weiter. Was lernen wir also daraus? Wenn die Arztpraxis aus einem Einzelarzt (und etwas Personal) besteht, dann liegt in der Regel keine umfangreiche Verarbeitung von Gesundheitsdaten vor. Das führt im Ergebnis dazu, dass keine Datenschutz-Folgenabschätzung durchgeführt werden muss. Und es führt auch dazu, dass ein Einzelarzt keinen Datenschutzbeauftragten benennen muss.

Aber:
Bei einer Arztpraxis mit mehreren Berufsträgern wird man in aller Regel wohl davon ausgehen müssen, dass ein Datenschutzbeauftragter zwingend benannt werden muss. Das wird zumindest für Gemeinschaftspraxen mit mehreren Ärzten gelten.

Aktualisierung, 06.03.2018: In der rechtswissenschaftlichen Literatur wird mittlerweile allerdings auch vertreten, dass dies nicht zwingend der Fall ist, weil es an einer „umfangreichen Datenverarbeitung“ fehle (so z.B. Dochow, Notwendigkeit der Datenschutz-Folgenabschätzung und Benennung eines Datenschutzbeauftragten in der Arztpraxis?, PinG 2018, 51 (53 ff.)). Ob diese Begründung jedoch „trägt“, ist fraglich. Denn so sehr die Rechtsausführungen begründet und vertretbar sein mögen, gibt es ebenfalls gute und vertretbare Gründe für die Gegenauffassung. Mit Blick auf die Bußgeldrisiken sollte hier also im Zweifel die Aufsichtsbehörde befragt oder eben der sichere Weg der Benennung eines Datenschutzbeauftragten gegangen werden.

Streiten wird man darüber können, wie es in Praxisgemeinschaften aussieht, in denen mehrere einzelne Ärzte unter gemeinsamer Nutzung der Infrastruktur aber mit getrennten Patientenakten und -abrechnungen, gemeinsam arbeiten. Im Zweifel sollte hier aber – mit Blick auf die Bußgeldrisiken – besser ein Datenschutzbeauftragter benannt werden.

Okay…und wie sieht es nun nach dem BDSG-neu aus? Die Rechtslage nach der DSGVO deckt sich mit den Regelungen des BDSG-neu. Einschlägige Regelung für Datenschutzbeauftragte in nichtöffentlichen Stellen (wie z.B. Arztpraxen) ist da § 38 BDSG-neu.

Nach § 38 Abs. 1 BDSG-neu ist von der Arztpraxis ein Datenschutzbeauftragter zu benennen, wenn

  1. in der Arztpraxis in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  2. in der Arztpraxis Datenverarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung i.S.d. Artikel 35 DSGVO unterliegen.

Das bedeutet, dass in größeren Arztpraxen, in denen 20 oder mehr Mitarbeiter beschäftigt sind, in jedem Fall ein Datenschutzbeauftragter zu benennen ist.

Und was gilt nach dem BDSG-neu für kleinere Arztpraxen? Nun ja…das gleiche wie das, was wir oben schon herausgefunden haben. Denn das BDSG-neu sieht bei Arztpraxen mit weniger als 20 Beschäftigten (nicht angestellte Berufsträger zählen nicht mit) eine Benennung eines Datenschutzbeauftragten vor, wenn die Arztpraxis Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung unterliegen. Und wann ist das wohl der Fall? Nun ja…bei umfangreichen Verarbeitungen. Und da schließt sich unser Kreis wieder. Denn diese Frage haben wir oben ja schon unter Zuhilfenahme von Erwägungsgrund 91 gelöst. Dort war grds. nur der einzelne Arzt ausgenommen.

So kommen wir also zusammengefasst zu folgendem Fazit, das meiner Meinung nach so ausfällt:

Ergebnis:

  1. Arztpraxen mit 20 oder mehr Beschäftigten müssen einen Datenschutzbeauftragten benennen.
  2. Gemeinschaftspraxen müssen ebenfalls einen Datenschutzbeauftragten benennen.
  3. Praxisgemeinschaften mit weniger als 20 Beschäftigten würde ich aufgrund der Bußgeldrisiken ebenfalls empfehlen, einen Datenschutzbeauftragten zu benennen.
  4. Einzelärzte mit weniger als 20 Beschäftigten können davon absehen, einen Datenschutzbeauftragten zu benennen. Zur Absicherung sollte dies bei Zweifeln mit der zuständigen Aufsichtsbehörde für den Datenschutz besprochen werden.