Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) bei Arztpraxen, Apotheken, Ergotherapeuten, Hebammen etc.

June 14, 2018

Es besteht bei vielen Arztpraxen, Apotheken und anderen "Angehörigen der Gesundheitsberufe" (wer darunter fällt, steht weiter unten; Katalog ist nicht abschließend) Unsicherheit, wie man ermitteln soll, ob man einen Datenschutzbeauftragten ("DSB") zu bestellen hat oder nicht. Wer sich ein bißchen mit dem Thema beschäftigt hat, weiß, dass sich die Bestellpflicht aus Art. 37 DSGVO und (wegen der Öffnungsklausel in Art. 37 Abs. 4 DSGVO) aus § 38 BDSG-neu ergeben kann.

 

Besonders relevant ist hier u.a. Art. 37 Abs. 1 lit. c DSGVO: Gemäß lit. c ist ein DSB zu bestellen, wenn "die Kerntätigkeit des Verantwortlichen bzw. Auftragsdatenverarbeiters in der Verarbeitung besonderer Kategorien von personenbezogenen Daten" besteht." Mit den besonderen Kategorien sind die in Art. 9 DSGVO (sensitive Daten) und Art. 10 DSGVO (Daten über strafrechtliche Verurteilungen) genannten Daten gemeint. Viele sind nach Lektüre maximal so "schlau" wie zuvor, denn die Regelung lässt einen eher ratlos zurück. Hinzu kommt, dass nach § 38 Abs. 1 BDSG-neu auch dann ein DSB zu bestellen ist, wenn "in der Regel mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten" beschäftigt sind.

 

Etwas Licht ins Dunkel bringt ein kürzlich veröffentlichtes Papier, eine sog. Entschließung, der Datenschutzkonferenz (DSK), hier abrufbar. Diese enthält allerdings Licht und Schatten:

 

Licht: In Ziff. 2 wird festgehalten, dass bei Praxisgemeinschaften von Ärzten, Apothekern und sonstigen Angehörigen eines Gesundheitsberufs (dazu zählen z.B. Hebammen, Masseure, Krankenschwestern und Krankenpfleger, Physiotherapeuten, Logopäden, Ergotherapeuten) in der Regel kein DSB zu bestellen ist, wenn weniger als 10 Personen mit der (automatisierten) Verarbeitung von personenbezogenen Daten beschäftigt sind.

 

Schatten: Vieles bleibt (leider) indes unklar: (i) Zählt der Inhaber bei der Berechnung der 10 Personen mit (die DSK sagt: Ja, kann man gewiss aber auch anders sehen), (ii) was heißt "ständig" mit der Verarbeitung befasst und warum verzichtet die DSK in Ihrem Papier darauf zu erwähnen, dass es um die automatisierte Verarbeitung geht. Denn diese muss nicht notwendigerweise mit der Verarbeitung im Allgemeinen gleichzusetzen sein. Zudem erwähnt die DSK in Ziff. 3, das dann wiederrum eine Bestellpflicht besteht, wenn die Praxis "neue Technologien" einsetzt, die ein hohes Risiko für die personenbezogenen Daten mit sich bringen.

 

Wenn Sie sich nach Durchsicht dieses Beitrags noch nicht sicher sind, ob Sie einen DSB zu bestellen haben, melden Sie sich gerne bei mir (hier finden Sie meine Kontaktdaten). Ich leite Sie durch die unbestimmten Rechtsbegriffe, damit Sie sich am Ende des Tages sicher sein können, ob die Bestellpflicht besteht.

 

 

Share on Facebook
Share on Twitter
Please reload