Datenschutzbeauftragte

Landesarbeitsgericht Mecklenburg-Vorpommern zum erforderlichen Fachwissen bei DSB

Ein Urteil des Landesarbeitsgerichts Mecklenburg-Vorpommern (LAG M-V) befasst sich mit dem erforderlichen Fachwissen, das ein Datenschutzbeauftragter (DSB) aufzuweisen hat, um die Tätigkeit des DSB auszuüben (Urteil vom 25.02.2020, Az.: 5 Sa 108/19).

Gestritten haben im vorliegenden Fall ein Konzerndatenschutzbeauftragter und eine Körperschaft des öffentlichen Rechts, deren behördlicher DSB der Kläger war. Die Beklagte betreibt ein Universitätsklinikum.

Aus mehreren Gründen gab es „Ärger“ zwischen den Parteien. Unter anderem auch deswegen, weil der DSB zudem Mitglied des Gesamtpersonalrats war. Nicht ganz unbedeutend ist in diesem Fallszenario auch, dass der DSB Volljurist war.

Letztlich wurde der DSB „abberufen“. Und zwar mehrfach – mit jeweils unterschiedlicher Begründung.

In dem Urteil musste sich das Gericht mit vielen „Querelen“ der Parteien beschäftigen. Der Punkt, der mich an dem Urteil interessiert hat, ist, dass das Gericht Ausführungen zu dem nach Art. 37 DSGVO erforderlichen Fachwissen des DSB macht. Allerdings macht das Gericht das nicht direkt, verweist aber auf die grundsätzliche Anwendbarkeit der Ausführungen des Gerichts in denselben Urteil zu den Voraussetzungen an die Fachkunde, die nach dem alten Landesdatenschutzgesetz in Mecklenburg-Vorpommern diesbezüglich anzusetzen seien.

Wenn wir die Ausführungen des LAG M-V heranziehen, ergibt sich für das Fachwissen, das nach Art. 37 Abs. 5 DSGVO bei einem DSB vorliegen muss, Folgendes:

  • Der Datenschutzbeauftragte muss über die Fähigkeit verfügen, seine in Artikel 39 DSGVO genannten Aufgaben zu erfüllen.
  • Die Tätigkeit des Datenschutzbeauftragten ist nicht an eine bestimmte Ausbildung oder näher bezeichnete Fachkenntnisse geknüpft.
  • Welche Sachkunde erforderlich ist, richtet sich insbesondere nach der Größe der Organisation, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren und dem Typus der anfallenden Daten.
  • Wenn der DSB nur in einem Teilbereich über eine eigene Qualifikation verfügt, genügt es, wenn er im Übrigen auf fachkundige Mitarbeiter zurückgreifen kann.
  • Fortbildungen des DSB zu neuen technischen Entwicklungen und Gesetzesänderungen bzw. Entwicklungen in der Rechtsprechung sind unerlässlich.
  • Der Datenschutzbeauftragte muss nicht nur die nötigen Fachkenntnisse besitzen, sondern auch die Gewähr bieten, dass er seinen Aufgaben gewissenhaft nachkommt und nicht gegen seine Pflichten als Datenschutzbeauftragter, z. B. gegen seine Verschwiegenheitspflicht, verstößt.
  • Der DSB muss – über die Sachkunde hinaus – eine wirksame Selbstkontrolle der Organisation gewährleisten können.

Ich denke, das ist eine recht gute Zusammenfassung der wesentlichen Vorgaben, die an einen DSB zu stellen sind.

Abberufung der internen Datenschutzbeauftragten bei späterem Wegfall der Benennungspflicht

Letzte Woche hatte ich mich mit dem Thema „Unterschiede bei freiwilliger Benennung eines Datenschutzbeauftragten?“ beschäftigt.

Zu dem Beitrag gab es nun eine Nachfrage:

Die Frage

Wie verhält es sich mit § 6 Abs. 4 BDSG, wenn der DSB noch aufgrund einer Pflicht benannt wurde, diese Pflicht jedoch durch die Erhöhung der möglichen Mitarbeiteranzahl auf 20 jetzt entfällt oder sich aber die Mitarbeiteranzahl im Betrieb reduziert? Ist der interne DSB dann dennoch weiterhin geschützt oder hat er Pech gehabt?

Meine Antwort

Die Lösung ist in diesem Fall – wie so häufig – im Gesetz zu finden. Einschlägig ist hier die Regelung in § 38 Abs. 2 2. Halbsatz BDSG, in der im zweiten Satz auf die Regelung zur Abberufung und zum Kündigungsschutz nach § 6 Abs. 4 BDSG Bezug genommen wird.

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Dort steht wörtlich „verpflichtend ist“. Dort steht nicht „verpflichtend war“.

Es wird also stets auf den aktuellen Stand abgestellt werden müssen.

Allerdings ist zu beachten, dass eine Benennungspflicht nicht nur aufgrund der Anzahl der Beschäftigten bestehen kann (siehe § 38 BDSG).

Und dann ist auch noch das Benachteiligungsverbot des Art. 38 Abs. 3 DSGVO zu beachten. Nur wird man aus diesem schwerlich einen Kündigungsschutz pauschal herleiten können.

Unterschiede bei freiwilliger Benennung eines Datenschutzbeauftragten?

In der letzten Woche kam diese Frage unter Datenschutz-Coaching-Mitgliedern auf:

Die Frage

Was ist bei einer freiwilligen Benennung eines Datenschutzbeauftragten im Gegensatz zur gesetzlich erforderlichen Benennung eines Datenschutzbeauftragten zu beachten?
Besonders in Hinblick auf den Wegfall der Gesetzesgrundlage zur Heraufsetzung der Bestellgrenze. Ändert sich etwas bei der Haftung, den Aufgaben oder der Möglichkeit der Abberufung?

Meine Antwort

Es gibt einige Unternehmen, die einen Datenschutzbeauftragte benennen, obwohl sie weder nach § 38 BDSG noch nach Art. 37 DSGVO verpflichtet sind, einen Datenschutzbeauftragten zu benennen.

Ob nun freiwillig benannte Datenschutzbeauftragte oder nicht…grundsätzlich gibt es nur wenige Unterschiede. Weder die Aufgaben noch die Haftung sind unterschiedlich geregelt.

Die einzige, wesentliche Änderung bei freiwillig benannten sieht § 38 Abs. 2 Satz 2 BDSG vor. Dort ist nämlich für interne Datenschutzbeauftragte geregelt, dass bei freiwilliger Benennung von Datenschutzbeauftragten § 6 Abs. 4 BDSG nicht zur Anwendung kommt.

Und das wiederum bedeutet, dass ein Unternehmen einen freiwillig benannten Datenschutzbeauftragten jederzeit abberufen kann.

Dies bedeutet für externe Datenschutzbeauftragte jedoch nicht zwingend, dass dies auch zur fristlosen Kündigung des „DSB-Vertrages“ berechtigt. Hier ist der Einzelfall häufig entscheidend und sollte dann im Fall der Fälle unter Zuhilfenahme einer Anwältin oder eines Anwaltes erfolgen.

Anforderungen an eine wirksame Benennung eines Datenschutzbeauftragten

Aus dem Kreise der Datenschutz-Coaching-Mitglieder gab es diese Fragen bzw. Fragen:

  1. Welche Tatbestandsmerkmale müssen zwingend erfüllt sein, sodass eine rechtswirksame Benennung eines (e)DSB tatsächlich stattgefunden hat?
  2. Welche Voraussetzungen für das Vorliegen einer rechtswirksamen Benennung eines Konzern(e)DSB müssen erfüllt sein?

Meine Antwort

Zur ersten Frage

Das ist eine sehr gute Frage. Denn genau genommen sieht die DSGVO hier gar keine konkreten Regelungen vor.

Neulich wurde ich auch einmal gefragt, ob ein Unternehmen auch eine Person als Datenschutzbeauftragten benennen kann, die das gar nicht möchte oder dem gar nicht zugestimmt hat.

Aufgrund der Tatsache, dass ein Datenschutzbeauftragte auch einige Pflichten hat, die von ihm zu erfüllen sind, ist jedoch als rechtliche Voraussetzung für eine wirksame Benennung zu fordern, dass die Person bereits ein Vertragsverhältnis mit dem Verantwortlichen (also z.B. dem Unternehmen) hat, das diese Übernahme der Aufgaben des Datenschutzbeauftragten umfasst. Dies ist üblicherweise bei externen Datenschutzbeauftragten der Fall. Hier wird regelmäßig ein entsprechender Vertrag geschlossen.

Datenschutz-Coaching-Mitglieder finden übrigens hier einen Mustervertrag für externe Datenschutzbeauftragte.

Bei internen Datenschutzbeauftragten wird zwar der Arbeitsvertrag bei Teilzeit-DSB regelmäßig keine Regelungen zur Übernahme der Tätigkeit enthalten. Hier kann aber z.B. ein Annex zum Arbeitsvertrag genommen werden oder – was die üblichste Variante in der Praxis sein dürfte – der Arbeitnehmer erklärt sein Einverständnis, dass er künftig die Tätigkeit des Datenschutzbeauftragten im Unternehmen oder der öffentlichen Stelle übernehmen wird.

Wenn diese Voraussetzungen für ein „Grundverhältnis“ vorliegen, kann der Verantwortliche eine Benennung durchführen. Auch wenn es hierfür keine Formanforderungen gibt, macht es schon aus Gründen der Nachweisbarkeit Sinn, die Benennung schriftlich vorzunehmen.

Ein Muster für eine Benennung finden Datenschutz-Coaching-Mitglieder hier:

Zur zweiten Frage

Nach Art. 37 Abs. 2 DSGVO darf eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen, sofern dieser von jeder Niederlassung aus leicht erreicht werden kann.

Daraus ergibt sich schon einmal, dass wohl ein einziger „Benennungsakt“ ausreichend sein kann.

Davon unabhängig ist jedoch die Tatsache, dass ein interner DSB in einer Unternehmensgruppe, der z.B. in der Holding angestellt ist, im Hinblick auf die Benennung bei einer Unternehmenstochter haftungsrechtlich wohl wie ein externer Datenschutzbeauftragter zu bewerten ist. Dieses Haftungsrisiko wegen einer nicht bestehenden Privilegierung durch die Arbeitnehmerhaftung sollte also „behandelt“ werden.

Ebenso unabhängig davon ist, dass jedes Unternehmen als „Verantwortlicher“ für sich den Datenschutzbeauftragten der Aufsichtsbehörde mitzuteilen hat (Art. 37 Abs. 7 DSGVO). Das ist also jeweils von dem jeweiligen Unternehmen der Gruppe selbst zu machen sein.

Neue Versionen der Musterverträge für externe DSB

Für Datenschutz-Coaching-Mitglieder stehen seit heute überarbeite Versionen der Musterverträge für die Tätigkeit des externen DSB zur Verfügung.

Ich habe nur kleine Änderungen vorgenommen. Die neuen Vertragsversionen finden Datenschutz-Coaching-Mitglieder hier:

Die Änderungen sind jeweils hier (Pauschalvergütung) und hier (aufwandsbasierte Vergütung) kenntlich gemacht.

Neuregelung zur Benennung von Datenschutzbeauftragten in Deutschland passiert den Bundesrat

In seiner heutigen Sitzung hat der Bundesrat unter Tagesordnungspunkt 3 diversen Gesetzgebungsvorhaben des Bundestages zugestimmt.

Dazu gehört auch das zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU). Das Gesetz kann man sich in der Bundesrats-Drucksache 380/19 (PDF) ansehen.

Das 2. DSAnpUG-EU enthält aus meiner Sicht auch eine Verbesserung. Denn in § 26 BDSG ist nunmehr geregelt, dass Einwilligungen von Beschäftigten nicht mehr nur in Schriftform, sondern „schriftlich oder elektronisch“ erfolgen kann. Das ist wichtig und richtig, da in vielen Unternehmen die Kommunikation elektronisch erfolgt und das Erfordernis einer Schriftform dort für unnötige Hemmnisse sorgte.

Das 2. DSAnpUG-EU wird ansonsten wegen einer weiteren Änderung zurecht kritisch kommentiert. Denn § 38 BDSG wird in der künftigen Regelung diesen Wortlaut haben (Hervorhebung der Änderung von mir):
§ 38 BDSG – Datenschutzbeauftragte nichtöffentlicher Stellen
(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.


Die ursprüngliche Formulierung von „10“ Personen ist damit gefallen. Das führt nun bei etlichen kleinen Unternehmen dazu, dass diese wohlmöglich freuen, dass sie nun keinen DSB mehr benennen zu brauchen. Und so vermeintlich Kosten sparen.

Die Freude sollte aber dadurch getrübt sein, dass damit eben nicht einher geht, dass man weniger Pflichten im Bereich Datenschutz hat. Nur fehlt jetzt halt ggf. eine Person, die hier mit Sachverstand zur Seite stand.

Da nun im Hinblick auf Datenschutzrecht nur Rechtsanwältinnen und Rechtsanwälte diese Unternehmen beraten dürfen, die in aller Regel wesentlich mehr kosten dürften, als ein Datenschutzbeauftragter, dürfte der Spareffekt sich allenfalls dann auswirken, wenn Unternehmen sich einfach nicht um die Umsetzung von datenschutzrechtlichen Vorgaben kümmern. Das dürfte doch eine ziemliche Fehlkalkulation sein.

Uns Anwälte dürfte es freuen. Nur haben zumindest die Datenschutzrechtler aktuell immer noch den Tisch so voll, dass hier neue Mandate nicht immer auf Begeisterung stoßen dürften.

Was macht eine gute Datenschutzbeauftragte aus?

Wir haben eine ungerade Kalenderwoche. Und in ungeraden Kalenderwoche „gendere“ ich weiblich. Kein Scherz. In geraden Kalenderwochen sind dann die Jungs wieder dran.

Und ja…ich tue mich selbst immer noch schwer, das stringent durchzuhalten. Aber der gute Wille zählt je bekanntlich. Und den habe ich.

In der heutigen Podcast-Episode geht es um das Thema, was Datenschutzbeauftragte denn eigentlich wissen müssen, um ihren Job gut auszuüben. Anlass für diesen Podcast war ein Artikel von Prof. Dr. Katrin Gierhake in diesem NJW-Editorial (PDF), der sich mit der Empfehlung zur Rückbesinnung auf Grundlagenwissen im juristischen Studium bezieht. Ein Ansatz, den ich sehr unterstütze. Denn das juristische Studium ist immer noch mit einer Stofffülle „überfüllt“, das gerade eben nicht „gute“ Juristinnen fördert, sondern Menschen, die in der Lage sind, möglichst viel auswendig zu lernen und zum Zeitpunkt des Examens halbwegs anwenden zu können.

Nur macht das keine gute Juristin aus.

Und ähnlich ist das auch mit Datenschutzbeauftragten. Auch hier wäre ein Fokus in der Ausbildung auf die Grundlagen sehr sinnvoll, meine ich. Und das wird auch in dieser Podcast-Episode thematisiert.

BGH zu Anwälten als Datenschutzbeauftragten – Freiberuflich oder gewerblich

Es ist derzeit noch umstritten, ob die Tätigkeit als Datenschutzbeauftragte/r eine gewerbliche Tätigkeit ist oder ob diese – wenn sie durch Rechtsanwälte durchgeführt wird – auch eine freiberufliche Tätigkeit ist.

Warum ist das wichtig? Das kann steuerliche Konsequenzen für Freiberufler wie Rechtsanwälte haben, weil dann für diese Tätigkeit Gewerbesteuer gezahlt werden müsste. Und noch schlimmer: Es könnte sogar sein, dass diese Tätigkeit dann u.U. die anderen Kanzleiumsätze „infiziert“ und für alle Kanzleiumsätze Gewerbesteuer anfallen kann. Das ist sicher vereinfacht formuliert, reicht aber zum Aufzeigen der Problematik.

Es hat zu dieser Thematik schon mehrere Gerichtsentscheidungen gegeben. Eine alte Entscheidung eines Finanzgerichts, die aber nicht mehr zu den heutigen Tätigkeiten eines Datenschutzbeauftragten passen dürfte. Und dann gab es Entscheidung von Anwaltsgerichtshöfen, die auch eher in die Richtung gingen, dass die Tätigkeit von Datenschutzbeauftragten eine gewerbliche Tätigkeit sei.1 Eine dieser Entscheidungen ist vom BGH bestätigt worden, allerdings musste die Frage der gewerblichen Tätigkeit nicht vom BGH entschieden werden.2 Daher blieb diese Frage „unentschieden“.

Aktuell ist jetzt noch ein Verfahren eines Rechtsanwaltskollegen aus Süddeutschland beim Bundesfinanzhof anhängig, in dem es darum geht, ob seine Tätigkeit als Datenschutzbeauftragter ein Gewerbe darstellt.3

Nun hat aber im Oktober der Bundesgerichtshof (BGH) ein interessantes Urteil gesprochen, das hier abrufbar ist:

Es gibt viele Rechtsanwältinnen und Rechtsanwälte, die als Datenschutzbeauftragte tätig sind. Das ist per se nicht ungewöhnlich. Denn gerade die Aufgaben von Datenschutzbeauftragten sind durch die DSGVO mehr und mehr in den Bereich der Beratung im Hinblick auf die Einhaltung von Datenschutzvorschriften hineingerutscht.

So sieht Art. 39 Abs. 1 lit. a) DSGVO es als Aufgabe von Datenschutzbeauftragten ausdrücklich vor, diese das Unternehmen (oder die öffentliche Stelle) und die Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen, jeweils geltenden Datenschutzvorschriften beraten.

Das klingt schon sehr nach klassischer Anwaltstätigkeit, ist es doch – vereinfacht formuliert – Beratung im Recht, also Rechtsberatung. Und genau darauf hat nun auch der BGH in der o.g. Entscheidung abgestellt.

Worum ging es in dem Verfahren?
In dem Verfahren wollte eine Mitarbeiterin des öffentlichen Rundfunks, die dort als Datenschutzbeauftragte tätig ist, ihre Zulassung als Syndikusanwältin bei der örtlichen Anwaltskammer durchsetzen. Die Rechtsanwaltskammer hat die Zulassung als Syndikusanwältin u.a. damit abgelehnt, dass die Tätigkeit im öffentlichen Dienst (hier: Rundfunk) nicht mit dem Beruf des Rechtsanwalts, insbesondere seiner Stellung als unabhängigem Organ der Rechtspflege, vereinbar sei oder das Vertrauen in seine Unabhängigkeit gefährden kann. So hat es denn auch der Anwaltsgerichtshof in dem Urteil, mit dem sich nun der BGH hier beschäftigt hat, gesehen.4

Aber der BGH nimmt nun – und zwar insbesondere auch wegen der Tätigkeit als Datenschutzbeauftragte – sehr wohl an, dass die Tätigkeit als Datenschutzbeauftragte nach den Umständen des Einzelfalles eine Anwaltstätigkeit sein kann. Und damit eben auch kein Gewerbe.

Interessanter- und richtigerweise begründet der BGH dies insbesondere auch durch die Änderungen an den Aufgaben von Datenschutzbeauftragte durch Einführung der DSGVO. So sei die Komplexität der mit der DSGVO verbundenen rechtlichen Fragen gestiegen. Und auch dass eine Datenschutzbeauftragte andere als rechtliche Kenntnisse vorweisen müsse, spreche nicht gegen die Annahme einer Anwaltstätigkeit. Und dann führt der BGH wörtlich aus:

Denn der Kern und der Schwerpunkt der Tätigkeit eines Datenschutzbeauftragten liegen, wie der Anwaltsgerichtshof richtig gesehen hat, grundsätzlich in der Auslegung und Anwendung der datenschutzrechtlichen Vorgaben sowie in der Überwachung der Einhaltung dieser Vorgaben. Dies ergibt sich bereits aus dem Inhalt der Vorschriften nationalen Rechts und des Unionsrechts über die Aufgaben des Datenschutzbeauftragten.

Boom! Viele Anwälte wird das sehr freuen, wenn sie als Datenschutzbeauftragte tätig sind. Wenn jetzt noch der Bundesfinanzhof im o.g. Verfahren entsprechend entscheidet, besteht kein Bedürfnis für Anwälte und Anwaltskanzleien mehr, die DSB-Tätigkeit in gesonderte Gesellschaften auszulagern.

Aber: Es ändert nichts an dem Problem, dass ein Anwalt eines Unternehmens, der dieses in vielen Bereichen berät, eine Interessenkollision haben kann, wenn er zugleich Datenschutzbeauftragter des Unternehmens ist. Zu dieser Problematik hat sich Kollege Niko Härting aber schon entsprechend ausgelassen:

  • Härting, Alles aus einer Hand – gibt es Grenzen?, Anwaltsblatt 2018, 76 ff – das Heft ist hier als PDF abrufbar.
  1. Vgl. AGH Hamburg, Urt. v. 22.6.2017 – AGH I ZU(SYN) 11/2016 (I-6)
  2. BGH, Urteil vom 15.10.2018 , Az: AnwZ (Brfg) 20/18
  3. Das Verfahren hat beim BFH das Aktenzeichen VIII R 27/17.
  4. AGH Nordrhein-Westfalen, Urteil vom 13.02.2017, Az.: 1 AGH 32/16

Darf der Datenschutzbeauftragte zugleich Informationssicherheitsbeaufragter sein?

Ich bekomme häufiger die Anfrage von Unternehmen und auch Datenschutzbeauftragten, ob es möglich ist, dass der Datenschutzbeauftragte (DSB) zugleich die Aufgabe des Informationssicherheitsbeauftragten (ISB) übernimmt.

Um es vorwegzunehmen: Ja, das ist (mittlerweile) meiner Meinung nach zulässig. Wo die Probleme und Grenzen liegen und warum der früher bestehende Interessenkonflikt jetzt aufgelöst ist, könnt ihr in dieser Podcast-Episode nachhören.

Aufsichtsbehörden zur Pflicht zur Benennung von Datenschutzbeauftragten in Arztpraxen & Apotheken

Die Datenschutzkonferenz (DSK) ist eine Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder.

Diese hat am 26.04.2018 getagt und dabei insbesondere eine lobenswerte Klarstellung hinsichtlich der Pflicht zur Benennung eines Datenschutzbeauftragten in Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs veröffentlicht.

Das Dokument findet ihr hier:

Wie alle Veröffentlichungen der DSK sind die Ausführungen in dem Dokument nicht rechtsverbindlich. Gleichwohl haben sie hohen Praxiswert. Denn die Aufsichtsbehörden werden sich in aller Regel an die Entschließungen der DSK in ihrer Behördenpraxis halten. Und Unternehmen können sich insoweit gegenüber den Aufsichtsbehörden auf die Entschließungen der DSK berufen, da sie darauf vertrauen durften, dass dies von allen Aufsichtsbehörden in Deutschland so praktiziert werden wird.

Ich habe mich ja bereits in mehreren Beiträgen mit der Pflicht zur Benennung von Datenschutzbeauftragten in Arztpraxen beschäftigt (hier und hier). Erfreulich ist, dass die Aufsichtsbehörden sich jetzt einmal gemeinschaftlich in Form einer DSK-Entschließung diesem Thema widmen. Leider sind in der Entschließung m.E. einige rechtliche Fehler enthalten, auf die ich nachfolgend jeweils eingehe.

Wenn ich bei den einzelnen Ausführungen der DSK nur von „Arztpraxen“ spreche, gilt dies in gleicher Weise auch für Apotheken und andere Unternehmen bzw. Unternehmer in Gesundheitsberufen.

Die DSK vertritt im Hinblick auf die Benennungspflicht jetzt folgende Positionen:

Nr. 1:
Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB).

Die Aufsichtsbehörden stellen hier klar, dass bei Arztpraxen mit 10 oder mehr Personen ein Datenschutzbeauftragter zu benennen ist, wenn diese Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Die Bezugnahme auf die „ständige Beschäftigung mit der Verarbeitung“ beruht auf dem Wortlaut von § 38 BDSG n.F.

Genau genommen wird in § 38 BDSG jedoch nur die ständige Beschäftigung mit der „automatisierten“ Verarbeitung genannt. Warum die DSK diesen Begriff nicht in Ziff. 1 der Entschließung aufführt, ist mir unklar. Hier ist leider unsauber gearbeitet worden. Es macht – gerade in Arzpraxen – durchaus einen Unterschied, ob jemand nun ständig mit der Verarbeitung personenbezogener Daten oder der automatisierten Verarbeitung personenbezogener Daten zu tun hat. Die Stellungnahme in Ziff. 1 ist meiner Meinung nach daher so zu lesen, dass es sich um eine „automatisierte“ Verarbeitung handeln muss.

Erstaunlich ist dann aber vor allem, dass die DSK ohne jegliche Erklärung eine Mindermeinung in der rechtswissenschaftlichen Literatur zum König befördert, indem sie „einfach mal so“ den Praxisinhaber im Hinblick auf die Pflicht zur Benennung eines Datenschutzbeauftragten mitzählen möchte.

Dabei spricht schon der Wortlaut des § 38 BDSG n.F. dem entgegen. Denn nach § 38 BDSG n.F. benennt der Verantwortliche (also z.B. der/die Inhaber einer Arztpraxis) einen Datenschutzbeauftragten, soweit er in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Ein „Beschäftigen“ kann aber dem Wortlaut nach nicht so ausgelegt werden, dass der „Beschäftigende“, also der Arbeitgeber, zu diesem Personenkreis dazu zählt.

Entsprechend wird es mehrheitlich in der Literatur so gesehen, dass die Inhaber der Arztpraxis nicht „mitgezählt“ werden. Dazu habe ich hier schon mit weiteren Hinweisen aus der Literatur etwas geschrieben.

All das interessiert aber die DSK scheinbar nicht. Ich würde mir bei den Entschließungen der DSK – gerade dann, wenn Mindermeinungen vertreten werden – zumindest eine Erläuterung wünschen, warum man diese vertritt. So sind diese Entschließungen fachlich leider immer weniger ernst zu nehmen und führen zu einem Bedeutungsverlust dieser Entschließungen.

Was außerdem fehlt, ist eine Handreichung dazu, wann denn nun eine „ständige Beschäftigung“ mit der Datenverarbeitung vorliegt. Auch das ist ja mehr als umstritten. So führt die Ziff. 1 dieser Entschließung dazu, dass sie mehr Verwirrung stiftet als Klarheit.

Aber es geht weiter mit den Entschließungen der DSK:

Nr. 2:
Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DS-GVO auszugehen – in diesen Fällen ist unter Berücksichtigung von Punkt 3 dann kein DSB zu benennen, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Im Gegensatz zu Ziff. 1 handelt es sich hierbei um eine erfreulich klare Empfehlung. Natürlich kann man das anders sehen. Aber hier ist zumindest klar, dass in Arztpraxen nicht generell ein Datenschutzbeauftragter zu benennen ist, wenn weniger als 10 Personen mit der Datenverarbeitung beschäftigt sind.

Mit dieser Empfehlung kann die Datenschutzpraxis also gut leben. Offener Punkt bleibt auch hier wieder die Zählweise (s.o.).

Nr. 3
Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgenabschätzung vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen. Dies kann neben einer umfangreichen Verarbeitung (z.B. große Praxisgemeinschaften), die ohnehin nach Art. 37 Abs. 1 lit. c DS-GVO zu einer Benennungspflicht führt, beispielsweise beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen, der Fall sein. Der Datenschutzbeauftragte ist damit auch dann zu benennen, wenn weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben.

Tja…was soll ich sagen. Diese Aussage hat m.E. „null“ Erklärungsgehalt, der über Art. 37 DSGVO hinausgehen würde. Ich kann aber verstehen, dass dies hier aufgenommen wurden. Denn es kann natürlich auch sehr kleine Arztpraxen geben, die aber z.B. besonders schutzbedürftige Daten verarbeiten. Denken wir mal an eine „Spezial-Arzt-Boutique“, die sich auf die Auswertung von genetischen Daten zur Leistungsoptimierung spezialisiert hat. Hier kann es durchaus ein besonderes Risiko darstellen, wenn genetische Informationen Unbefugten zur Kenntnis gelangen können. In diesen Fällen wäre sicherlich ein Datenschutzbeauftragter unabhängig von der Beschäftigtenzahl zu benennen.

Und die Entschließung der DSK endet dann mit dem letzten Punkt:

Nr. 4
Der Begriff „Gesundheitsberuf“ ist im Sinne der Aufzählung nach § 203 Abs. 1 StGB auszulegen und umfasst die in § 203 Abs. 1 Nr. 1, 2, 4 und 5 StGB aufgezählten Berufsbilder.

Das ist eine gute Feststellung, die für Klarheit sorgt. In den § 203 StGB sind nachfolgende Berufsbilder den Gesundheitsberufen zuzuordnen:

  • Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörige eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert (§ 203 Abs. 1 Nr. 1 StGB)
  • Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung (§ 203 Abs. 1 Nr. 2 StGB)
  • Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist (§ 203 Abs. 1 Nr. 4 StGB)
  • Mitglied oder Beauftragten einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes (§ 203 Abs. 1 Nr. 5 StGB)

Warum hier die in § 203 Abs. 1 Nr. 7 StGB genannten Berufe (Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle) erschließt sich mir zwar nicht, ist aber im Ergebnis auch nicht wirklich praxisrelevant, da Unternehmen aus diesem Bereich in der Regel mehr als 10 Personen mit der automatisierten Datenverarbeitung beschäftigen und damit sowieso schon einen Datenschutzbeauftragten zu benennen haben.

Klar ist jedenfalls jetzt, dass andere Gesundheitsberufe, die nicht zu den o.g. Berufsgruppen zählen, von dieser Entschließung der DSK nicht betroffen sind.

Erleichterung bei kleineren Arztpraxen? Doch kein Datenschutzbeauftragter erforderlich?

Ich habe im August letzten Jahres einen Beitrag geschrieben, der sich mit der Pflicht von Arztpraxen beschäftigt, ggf. einen Datenschutzbeauftragten bestellen zu müssen.

Wichtig: Die Aufsichtsbehörden haben nun in einer Entschließung klargestellt, dass nicht immer ein Datenschutzbeauftragter in Arztpraxen zu benennen ist. Dazu habe ich hier einen Beitrag geschrieben.

Auch wenn ich in dem Beitrag zu dem Ergebnis komme, dass viele Arztpraxen wohl einen Datenschutzbeauftragten benennen müssen, bin ich rechtspolitisch nicht der Auffassung, dass dies wirklich erforderlich ist. Nach über 15 Jahren Anwaltspraxis im Datenschutzrecht kann ich recht sicher sagen, dass die alleinige Benennung eines Datenschutzbeauftragten durch eine Arztpraxis nicht automatisch dazu führt, dass die Verarbeitung von personenbezogenen Daten in einer Arztpraxis dadurch im Hinblick auf das Datenschutzrecht besser wird. Natürlich auch nicht schlechter.

Letztlich kommt es darauf an, ob die Arztpraxis Veränderungen möchte und diese ggf. auch für sinnvoll hält. Datenschutz, der in einer Reihe von Aufbürdungen besteht, war bei der Umsetzung im gewerblichen oder freiberuflichen Bereich grundsätzlich noch nie nachhaltig erfolgreich. Ausgenommen sind die Bereiche die extrem stark reguliert sind und in denen durch strikteren Datenschutz im Ergebnis „Erleichterungen“ geschaffen werden. Aber das ist nochmal ein ganz anderes Thema.

Viele Arztpraxen wird es freuen, dass sich vor kurzem nun eine Aufsichtsbehörde zu dem Thema „Datenschutzbeauftragter oder nicht“ mal klar positioniert hat (weitere sind gefolgt, s.u.)

Und zwar – mal wieder – das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Das BayLDA hat übrigens eine wirklich gelungene und extrem hilfreiche Internetseite zur Umsetzung der DSGVO mit Handreichungen für kleine Unternehmen und Vereine veröffentlicht. Ich kann sagen, dass die Seite zu dem Besten gehört, was ich für den Bereich bislang gesehen habe. Wirklich eine Empfehlung!

In diesen „Handreichungen“ gibt es aber nicht nur Hinweise für Vereine, KfZ-Werkstätten, Bäckereien, Beherbungsbetriebe u.ä., sondern eben auch für Arztpraxen. Für Arztpraxen gibt es dann z.B. auch ein Muster für ein „Verarbeitungsverzeichnis“, in dem typische Verarbeitungen in einer Arzpraxis aufgeführt (PDF). Dieses wäre dann zwar noch zu ergänzen, aber das ist schon einmal eine extrem hilfreiche Unterstützung.

Im Hinblick auf eine etwaige Pflicht zur Benennung eines Datenschutzbeauftragten in der Arztpraxis und auch zu einer etwaigen Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) ist dann das Dokument des BayLDA zu „Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an kleine Unternehmen, Vereine, etc. – Muster 5: Arztpraxis“ (PDF) sehr interessant.

Da werden die Anforderungen für die Umsetzung der DSGVO anhand eines Beispiels einer Arztpraxis mal durchgespielt. Dabei wird fiktiv folgendes Szenario einer Arztpraxis angenommen:

Ein Arzt hat eine Hausarztpraxis auf dem Land mit fünf Sprechstundenhilfen/MFAs, einer Putzkraft und einem Sicher- stellungsassistenten. Die Arztpraxis betreibt eine kleine Webseite mit Hilfe eines Content Management Systems, auf dem online Termine angefragt werden können. Ein externer Dienstleister betreut die Webseite und die Praxis-IT. Die Datenverarbeitung bezüglich der Patientendaten erfolgt auf eigenen Computern und Servern innerhalb der Praxis.
Wesentliche Verarbeitungstätigkeiten sind z. B.:

  • Lohn- und Gehaltsabrechnung der Mitarbeiter
  • Verarbeitung von Patientendaten zur Behandlung
  • Verarbeitung von Patientendaten zur Abrechnung über die KVB bzw. PVS
  • Betrieb der Webseite mit der Online-Terminbuchungsmöglichkeit

Und dann werden einzelne Fragen beantwortet. So z.B. gleich die erste Frage:

A Datenschutzbeauftragter (DSB)
Muss ein DSB vom Arzt benannt werden?

Und die Antwort des BayLDA darauf? Nein.

Das hat mich in der Klarheit überrascht und auch erfreut. Begründet wird dies vom BayLDA wie folgt:

In der Arztpraxis findet in aller Regel keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten statt, die zu einer Benennungspflicht führt. Es ist daher ein DSB nur zu benennen, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. „Ständig beschäftigt“ ist z. B. die Sprechstundenhilfe. „Nicht ständig beschäftigt“ ist dagegen bspw., wer als Putzkraft theoretisch Daten zur Kenntnis nehmen kann.

Diese Auffassung scheint sich übrigens durchzusetzen. Denn jetzt hat am 10.04.2018 auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) einen ebenfalls sehr hilfreichen Artikel mit dem Titel „Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbständige Heilberufler beachten“ veröffentlicht. Auch dort geht es – neben anderen Themen – auch um die Frage, ob ein betrieblicher Datenschutzbeauftragter in Arztpraxen benannt werden muss. Sehr interessant. Denn das ULD geht hier ebenfalls einen pragmatischen Weg und kommt zu folgenden Schlüssen:

Nach § 38 Bundesdatenschutzgesetz (BDSG) ist ein betrieblicher Datenschutzbeauftragter (DSB) in jedem Fall dann zu bestellen, wenn in der Arztpraxis, Apotheke etc. in der Regel mindestens zehn Personen ständig, d.h. nicht nur gelegentlich, mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Das ist natürlich klar. Umstritten ist aber, ob nun der bzw. die Inhaber der Arztpraxis auch mitzählen. Das ULD gibt zu der Frage, wer nun „mitzählt“, diese Aspekte an:

In einer Arztpraxis zählen zu diesen Personen zunächst die Ärzte selbst, da sie im Hinblick auf ihre Dokumentationspflicht medizinische Daten über die Betroffenen zu verarbeiten haben. Zu den mit der automatisierten Verarbeitung befassten Personen gehört auch medizinisches Hilfspersonal, soweit es die Daten der Patienten verarbeitet. Dies gilt z.B. für Arzthelfer etc., die Laborwerte, Ergebnisse von Tests etc. oder auch Termine in das Praxissystem eingeben. Mitzuzählen sind auch Verwaltungskräfte, die die Abrechnung organisieren oder Daten über die Mitarbeiter der Praxis pflegen. Nicht mitzuzählen sind dagegen z.B. Reinigungskräfte, die normalerweise keinen Zugriff auf die Daten haben.

Die wohl h.M.1 in der rechtswissenschaftlichen Literatur geht davon aus, dass die vertretungsberechtigten Personen einer Organisation, also z.B. Geschäftsführer einer GmbH, Vorstandsmitglieder einer Aktiengesellschaft oder eben der Inhaber einer Arztpraxis oder Gesellschafter einer Arztpraxis GbR nicht mitzählt. Denn diese Personen sind eben nicht „beschäftigt“, sondern „beschäftigend“. Ich halte diese Auffassung für korrekt. Zumal der deutsche Gesetzgeber diesen Streit mit einer Änderung des § 38 BDSG n.F. hätte beenden können, indem er sich von dem Wort „beschäftigt“ gelöst und stattdessen z.B. den Begriff „befasst“ verwendet hätte. Das hat er jedoch nicht getan. Da der Begriff des „Beschäftigten“ auch in § 26 Abs. 8 BDSG n.F. weiterhin legaldefiniert ist, ist er auch bei der Auslegung der Benennungspflicht in § 38 BDSG n.F. heranzuziehen. Dort steht aber, dass Verantwortliche einen Datenschutzbeauftragte benennen, wenn sie „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“. Mit dem Wortlaut ist nicht vereinbar, dass der „Verantwortliche“ selbst mitzählt.

Es ist also mitnichten „jeder Arzt“ mitzuzählen. In die Zählung dürfen richtigerweise nur die Ärzte einbezogen werden, die von der Arztpraxis „beschäftigt“ sind. Das sind eben nicht die Inhaber der Arztpraxis.

Unabhängig von der Anzahl der Beschäftigten wäre nach Art. 37 DSGVO aber ein Datenschutzbeauftragter auch dann zu bestellen, wenn zur Kerntätigkeit der Praxis die umfangreiche Verarbeitung von Gesundheitsdaten zählen würde. Und hier positioniert sich nun auch das ULD wie folgt:

Zwar wird man im Hinblick auf die Bedeutung der Dokumentation und der Verwaltung von Patientendaten davon ausgehen können, dass die Verarbeitung solcher Daten zur Kerntätigkeit in Arztpraxen, Apotheken etc. gehört. Allerdings wird in den allermeisten Fällen nicht von einer Verarbeitung in großem Maßstab auszugehen sein.

Etwas anderes gilt nur in besonders gelagerten Fällen, in denen der Umfang der Verarbeitung von Gesundheitsdaten (oder anderen sensiblen Daten wie z.B. genetischen Daten) weit über das hinausgeht, was in einer üblichen Arztpraxis anzutreffen ist.

Ich bin gespannt, ob sich dem auch weitere Aufsichtsbehörden anschließen werden. Eine Tendenz scheint auf jeden Fall in Ansätzen erkennbar.

Die Arztpraxen dürfen also ggf. „aufatmen“. Und ich persönlich finde die hier beschriebenen Stellungnahmen von BayLDA und ULD zu dem Thema erfreulich pragmatisch. Rechtlich habe ich so meine Zweifel, ob das wirklich korrekt ist. Aber rechtspolitisch halte ich die Auffassung für praxisgerecht und richtig.

  1. Vgl. Moos, in: BeckOK Datenschutzrecht, Wolff/Brink, 23. Edition, Stand: 01.05.2015, § 4f BDSG Rn. 11; von dem Bussche, in: Plath, BDSG/DSGVO, 2. Auflage, 2016, § 4f BDSG Rn. 8; Raum, in: Auernhammer, DSGVO/BDSG, 5. Auflage, 2017, § 4f BDSG Rn. 50; a.A. Scheja, in: Taeger/Gabel, BDSG, 2. Auflage, 2013, § 4f Rn. 19

Darf mein IT-Dienstleister zugleich mein Datenschutzbeauftragter sein?

Ob der IT-Dienstleister eines Unternehmens bzw. ein Mitarbeiter dieses Unternehmens zugleich auch der Datenschutzbeauftragte des Kunden sein darf, ist eine Frage, die mir gerade in letzter Zeit sehr häufig gestellt wurde.

Die Antwort gibt es hier im Podcast. Ich war übrigens zu blöde, um den richtigen Audio-Input-Kanal zu wählen. Daher hört sich der Ton etwas fade an. Ich habe versucht, das noch zu optimieren, das hat aber nur bedingt geholfen. Für eine Neuaufnahme hatte ich weder Zeit noch Lust. Da müsst ihr jetzt also durch…