Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat in einer Entschließung vom 26.04.2018 für Erleichterung bei (Zahn)arztpraxen gesorgt.
Der Beschluss der Datenschutzbehörden des Bundes und der Länder im Wortlaut
„1. Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten.
Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DS-GVO auszugehen – in diesen Fällen ist unter Berücksichtigung von Punkt 3 dann kein Datenschutzbeauftragter zu benennen, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgenabschätzung vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen. Dies kann neben einer umfangreichen Verarbeitung (z.B. große Praxisgemeinschaften), die ohnehin nach Art. 37 Abs. 1 lit. c DS-GVO zu einer Benennungspflicht führt, beispielsweise beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen, der Fall sein. Der Datenschutzbeauftragte ist damit auch dann zu benennen, wenn weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben.“
Konsequenzen des Beschlusses der unabhängigen Datenschutzbehörden des Bundes und der Länder
Auch (Zahn)arztpraxen benötigen in der Regel nur einen Datenschutzbeauftragten, wenn die Schwellenwerte überschritten werden. Teilweise wurde in den Prüfstellen und in der Literatur aufgrund der Verarbeitung besonders geschützter Daten angenommen, dass jede Praxis einen benötigte. Durch den Beschluss ist hinsichtlich dieser Frage Klarheit geschaffen worden. Zu der weitergehenden Streitfrage, ob der oder die Praxisinhaber bei der 10-Personen-Regel mitzuzählen sind, haben sich die Datenschutzbehörden allerdings noch nicht definitiv geäußert.
Zwar handelt es sich um eine Entschließung hinsichtlich des Datenschutzbeauftragten. Allerdings ist das Kriterium der „umfangreichen Verarbeitung“ – und damit der Erwägungsgrund 91 der DSGVO – auch bei der Frage einschlägig, ob die Praxis eine sog. „Datenschutzfolgeabschätzung“ durchführen muss. Wenn die „umfangreiche Verarbeitung“ in (Zahn)arztpraxen nicht vorliegt, dürfte nach diesem Beschluss auch keine Datenschutzfolgeabschätzung notwendig sein.
Praxistipp
Sofern Sie sich unsicher sind, ob Sie zur Datenschutzfolgeabschätzung verpflichtet sind, können Sie sich gerne an uns wenden. Im Zweifel ist die Auslegung der DSGVO je nach Aufsichtsbehörde derzeit unterschiedlich geregelt. Noch kurz vor dem 25.05.2018 bleiben bei allen Beteiligten viel Fragen offen. Überdies gilt es die Frage zu beantworten, ob Sie den Datenschutzbeauftragten im Unternehmen haben oder diese Aufgabe outsourcen. Die Abwägung in jeweils im Einzelfall zu treffen.
Vielen Dank für die Information, ich glaube das wäre mir sonst durchgegangen. Ein kleiner Hinweis:
„Zu der weitergehenden Streitfrage, ob der oder die Praxisinhaber bei der 10-Personen-Regel mitzuzählen sind, haben sich die Datenschutzbehörden allerdings noch nicht definitiv geäußert.“
Eigentlich schon. Direkt unter 1.: „Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort —EINSCHLIESSLICH— seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB).“
Beste Grüße aus Dortmund
Johannes Rehborn
Zunächst freue ich mich, dass wir weitergeholfen haben. Und vielen Dank für den Hinweis.Ich halte diese Auslegung des Beschlusses der Datenschutzbehörden auch für sehr wahrscheinlich, auch wenn er der gut begründeten und m. E. herrschenden Meinung in der Literatur widerspricht.
Gleichwohl haben die Datenschutzbehörden verzichtet, das Tatbestandsmerkmal „beschäftigt“ auszulegen, dass ja in der Literatur Kern des Anstoßes ist.
Beste Grüße aus dem Taunus ins schöne Westfalen!
Urs Frigger