Seit 25.05.2018 gilt die DSGVO (Datenschutz-Grundverordnung) für alle Unternehmen in Deutschland. Nach Gesetzestext Art. 37 Abs.1 lit. c DSGVO erfordert die Verarbeitung besonders sensibler Gesundheitsdaten des Pflegebereichs oder in Arztpraxen die Benennung eines Datenschutzbeauftragten. Dies gilt auch unabhängig von der Anzahl der Mitarbeiter.
Wortwörtlich heißt es, „der Verantwortliche benennt auf jeden Fall einen Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO (Gesundheitsdaten) besteht“.
Als zertifizierter Datenschutzbeauftragter war ich zumindest theoretisch davon überzeugt, dass somit alle Sozialstationen und Arztpraxen einen Datenschutzbeauftragten benötigen. Da ich bereits im Internet (Kurzpapier DSK Nr. 12 und Muster 5 „Anforderungen an kleine Unternehmen“ des Bayerischen Landesamtes für Datenschutzaufsicht) und in Kundengesprächen anders lautende Informationen hinsichtlich der praktischen Umsetzung erfahren hatte, wollte ich es genau wissen.
Am 03.08.2018 habe ich mich mit der Problematik direkt an den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit Herrn Dr. Lutz Hasse in Erfurt gewandt. Innerhalb von einer Woche erhielt ich von Frau Geyer eine ausführliche Antwort:
Die im BDSG angeführte „10-Mitarbeiter-Grenze“ in Arztpraxen oder Sozialstationen findet sich in der DSGVO zwar nicht; jedoch haben sich die Datenschutzbeauftragten der Länder in der Arbeitsgemeinschaft Gesundheit vom 15./16.03.2018 auf die Anwendung des § 38 BDSG insofern geeinigt, dass, wenn keine besonderen Umstände vorliegen, eine Arztpraxis oder eine Sozialstation mit weniger als 10 Personen, die ständig mit der automatisierten Verarbeitung von Daten beschäftigt sind, keinen Datenschutzbeauftragten zu bestellen hat.
Für die praktische Umsetzung ist an dieser Stelle noch die Spezifikation auf „automatisierte Verarbeitung von Daten“ von erheblicher Auswirkung. Dadurch entfällt auch für viele stationäre Einrichtungen mit z.B. 80 Mitarbeitern die Pflicht zur Bestellung eines Datenschutzbeauftragten. Wenn eine Einrichtung beispielsweise mit 2 Mitarbeitern in der Verwaltung die Abrechnung und die dazugehörigen Prozesse bewältigt und der Heimleiter und die PDL (Dienstplanerstellung) noch Zugriff auf die EDV-Technik haben, entfällt auch für solche Einrichtungen die Notwendigkeit der Bestellung eines Datenschutzbeauftragten.
Die Argumentation der Aufsichtsbehörde ist auch aus dem Grund interessant, weil nicht ansatzweise versucht wurde, die korrekte Umsetzung der Formulierungen des Gesetzestextes der DSGVO
- Kerntätigkeit Verarbeitung von sensiblen Gesundheitsdaten und
- Umfangreiche Verarbeitung
zu erläutern.
Aus meiner Sicht könnte ein im Auftrag der Bundeszahnärztekammer erstelltes Kurzgutachten der Kanzlei Härting vom 02.11.2017 die besondere Interpretation der DSGVO durch die Arbeitsgemeinschaft Gesundheit beeinflusst haben. Zu diesem Zeitpunkt war die Bestellungspflicht für einen Datenschutzbeauftragten noch streitig.
Um die Bestellung eines Datenschutzbeauftragten zu vermeiden, wurden folgende Argumente aufgeführt:
- „Jedoch ist aus unserer Sicht vorliegend bereits das Erfordernis der Kerntätigkeit nicht gegeben. Nach dem Erwägungsgrund 97 der DSGVO wird unter dem Begriff „Kerntätigkeit“ die Haupttätigkeit des Unternehmens verstanden. Diese besteht in einer Zahnarztpraxis (und z.B. in einer Sozialstation) gerade nicht in der Datenverarbeitung, sondern in der Behandlung von Zahn-, Mund- und Kiefererkrankungen. Die Dokumentationspflicht des Zahnarztes, die den hauptsächlichen Anteil der Datenverarbeitung erforderlich macht, ist dagegen lediglich Ergebnis einer Nebenpflicht aus dem Behandlungsverhältnis, um im Interesse des Patienten über die durchgeführte Behandlung ausreichende Nachweise zu sichern“
- „Aber auch die in Art. 37 Abs. 1 Buchstabe c DSGVO geforderte „umfangreiche“ Verarbeitung von Gesundheitsdaten ist fraglich. Wann von einer „umfangreichen“ Verarbeitung ausgegangen werden muss, ist aus der DSGVO nicht unmittelbar zu beantworten. In den Erwägungsgründen zur DSGVO gibt es in Nr. 91 zur Datenschutz-Folgenabschätzung eine entsprechende Definition: Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogener Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufs oder Rechtsanwalt erfolgt.
Fazit:
In der Theorie hätten lt. DSGVO Einrichtungen im Gesundheitswesen, die sensible und umfangreiche Gesundheitsdaten als Kerntätigkeit verarbeiten, auch mit weniger als 10 Mitarbeitern einen Datenschutzbeauftragten benötigt.In der Praxis wurde die Interpretation der DSGVO im Frühjahr durch spezielle Sondervereinbarungen neu geregelt.
Abschließend noch ein Zitat aus dem Beschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26.04.2018 (Düsseldorf).
Datenschutzbeauftragten-Bestellpflicht nach Artikel 37 Abs. 1 lit. c DSGVO bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs
Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit .c DSGVO auszugehen – in diesen Fällen ist unter Berücksichtigung von Punkt 3 dann kein Datenschutzbeauftragter zu benennen, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Anmerkungen:
- Punkt 3 weist darauf hin, dass bei der Notwendigkeit einer Datenschutzfolgenabschätzung die „10-Mitarbeiter-Grenze“ nicht mehr gilt.
- Interessanterweise wird bei dem Beschluss vom 26.04.2018 im Gegensatz zur Antwort des Thüringer Datenschutzbeauftragten beim Begriff Verarbeitung personenbezogener Daten die Einschränkung „automatisiert“ weggelassen.