Bestellpflicht eines Datenschutzbeauftragten: Anhebung der Beschäftigtenzahl

Am 6. Juli 2018 hatten wir an dieser Stelle berichtet, dass eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten in einer Praxis besteht, wenn mindestens 10 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Aufgrund des von der Bundesregierung initiierten Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetzes, das am 26.11.2019 in Kraft getreten ist, wurde die Beschäftigtenzahl für die Bestellpflicht eines Datenschutzbeauftragten im Bundesdatenschutzgesetz angehoben. Ziel der Gesetzesänderung ist die Entlastung von Vereinen und kleineren Unternehmen, somit auch von Arztpraxen.

§ 38 Abs. 1 Satz 1 BDSG bestimmt nunmehr, dass ergänzend zu Artikel 37 Abs. 1 lit. b und c DS-GVO eine Bestellpflicht für einen Datenschutzbeauftragten besteht, wenn die Arztpraxis in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Folglich wurde die ehemals geltende Beschäftigtenzahl verdoppelt.

Allerdings kann eine Bestellpflicht nach § 38 Abs. 1 Satz 2 BDSG i. V. m. Art. 37 Abs. 1 lit. c, Art. 35 DS-GVO auch unabhängig von der Beschäftigtenzahl bestehen, nämlich dann, wenn in der Arztpraxis umfangreich Verarbeitungen von Gesundheitsdaten vorgenommen werden bzw. eine Datenschutzfolgeabschätzung notwendig ist.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat zwischenzeitlich beschlossen, dass :

  1. bei Ärzten, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DSGVO auszugehen ist sowie, dass
  2. bei Ärzten i. S. d. Ziffer 1, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, eine Datenschutzfolgenabschätzung vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen ist. Ein solches Risiko kann neben einer umfangreichen Verarbeitung (z.B. bei sehr großen Praxisgemeinschaften/Gemeinschaftspraxen), die ohnehin zu einer Benennungspflicht führt, beispielsweise beim Einsatz von neuen Technologien (z. B. Telemedizin), die ein hohes Risiko mit sich bringen, gegeben sein. In diesem Fall wäre eine Benennungspflicht dann auch bei weniger als künftig 20 Beschäftigten gegeben[1].

Bei weniger als 20 Beschäftigten dürfte aus Sicht des Verfassers wohl künftig bei einer Mehrarztpraxis nach diesem Beschluss in der Regel nicht von einer umfangreichen Datenverarbeitung auszugehen sein, sodass künftig auch bei mehr als einem Arzt und Nichterreichen der Beschäftigtenzahl keine Bestellpflicht gegeben wäre, es sei denn, es liegt gemäß Ziffer 2 der Entschließung eine überdurchschnittlich große Praxis vor bzw. es ist eine Datenschutzfolgenabschätzung notwendig.

Dies bedeutet aus Sicht des Verfassers letztendlich, dass sobald mehrere Ärzte (BAG, PG, Angestellte) in einer Praxis tätig sind, die Pflicht zur Bestellung eines Datenschutzbeauftragten im Einzelfall geprüft werden muss.

Nicht abschließend geklärt ist allerdings, wann von einer solch großen Praxisgemeinschaft/Gemeinschaftspraxis auszugehen ist. Auch wird fraglich sein, ob die Konferenz der unabhängigen Datenschutzbehörden des Bundes den vorgenannten Beschluss nicht aufgrund der Gesetzesänderung in Zukunft anpassen wird, sodass eine abschließend gesicherte Rechtsauskunft für die Zukunft leider nicht erteilt werden kann.

Nach Auffassung des Bayerischen Landesamts für Datenschutzaufsicht ist bei einer normalen Arztpraxis in der Regel auch keine Datenschutzfolgenabschätzung durchzuführen, sodass – außer es liegt ein Ausnahmefall vor – auch hier nach derzeitiger Ansicht des Verfassers bei einer normalen Mehrarztpraxis, worunter der Verfasser jedenfalls lediglich zwei oder drei Ärzte verstehen würde, keine Bestellpflicht bei künftig unter 20 Beschäftigten gegeben wäre.

Aus Gründen der Rechtssicherheit muss jedoch Mehrarztpraxen dringend empfohlen werden, sich bezüglich dieser Voraussetzungen und einer etwaigen Bestellpflicht stets mit dem jeweils zuständigen Landesdatenschutzbeauftragten in Verbindung zu setzen und dies im Einzelfall konkret abzuklären. Denn bei einem Verstoß gegen die Bestellpflicht können gemäß Art. 83 Abs. 4 DS-GVO erhebliche Konsequenzen drohen, da für einen solchen Verstoß eine Geldbuße von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden kann.

Dr. jur. Jörg Heberer
Justitiar BVGD/DGVS
Fachanwalt für Medizinrecht, München


[1] Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Datenschutzbeauftragten-Bestellpflicht nach Artikel 37 Abs. 1 lit. c DS-GVO bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs, Entschließung vom 26.04.2018 unter https://www.datenschutzkonferenz-online.de/media/en/20180426_en_dsb_bestellpflicht.pdf