2. DSAnpUG – Änderung der Benennungspflicht
eines DSB bei nicht-öffentlichen Stellen und deren
Auswirkung auf die Arztpraxen

Mit der Mehrheit der Stimmen durch die Fraktionen von CDU, CSU und SPD beschloss der Bundestag am 28.08.2019 das 2. DSAnpUG-EU (Zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680). Das 2. DSAnpUG ist von Seiten des Bundesrates zustimmungsbedürftig und tritt am Tag nach der Verkündigung im Bundesgesetzblatt in Kraft. Durch die Änderungen sind mehr als 150 Gesetze betroffen, insbesondere das BDSG. Durch das 2. DSAnpUG sind sowohl Begriffsbestimmungen und Rechtsgrundlagen für die Datenverarbeitung als auch Regelungen zu den Betroffenenrechten angepasst.

Eine der wichtigsten Änderungen betrifft die Benennungspflicht eines Datenschutzbeauftragten (§ 38 BDSG). Bislang bestand nach § 38, Abs. 1, S. 1 BDSG die Benennungspflicht eines Datenschutzbeauftragten, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Nach der vorgenommenen Änderung lautet dieser folgenderweise: “Ergänzend zu Artikel 38 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“

Ziel dieser Änderung ist der sog. ‘‘Bürokratieabbau‘‘, damit kleinere Betriebe und Vereine nicht unverhältnismäßig belastet sind. Diese Erleichterung bedeutet jedoch nicht, dass auch andere Datenschutzpflichten komplett wegfallen. Unabhängig von der Personenanzahl sind solche Verantwortliche und Auftragsverarbeiter zur Bestellung eines Datenschutzbeauftragten verpflichtet, die nach Art. 35 DSGVO einer Datenschutz-Folgeabschätzung unterliegen, oder wenn sie für Zwecke der Markt- oder Meinungsforschung oder geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung personenbezogene Daten verarbeiten. Ebenfalls unabhängig von der Personenanzahl ist weiter Art. 37, Abs. 1 DSGVO zu berücksichtigen – Benennungspflicht eines Datenschutzbeauftragten besteht auf jeden Fall, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln); wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund Ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen; wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO besteht.

Welche Auswirkung hat das auf die Benennungspflicht eines Datenschutzbeauftragten in den Arztpraxen?

Für eine Arztpraxis kann sich die Benennungspflicht eines Datenschutzbeauftragten aus verschiedenen Gründen ergeben. Mit der letzten Änderung des § 38, Abs. 1, S. 1 BDSG werden kleine Praxen zukünftig entlastet. Obwohl eine Mehrheit von Hinweisen der Datenschutzaufsichtsbehörden vorliegt, welche Bedeutung der Begriff ‚’ständig“ im Sinne des § 38, Abs. 1 BDSG hat, kann immer noch nicht zweifelsfrei festgestellt werden, ob eine Benennungspflicht besteht oder nicht. In manchen Fällen können Praxen verpflichtet sein die Vorschrift des § 38, Abs. 1, S. 1 BDSG zu erfüllen und zwar trotz vorliegender Unterschreitung der Personenanzahl. So ein Fall stellt § 38, Abs. 2 BDSG dar – wenn in einer Arztpraxis eine Datenschutz-Folgeabschätzung erfordert wird, dann ist ein Datenschutzbeauftragter zu benennen.

Wie sieht es aus, wenn rechtlich selbstständige Praxen eine Praxisgemeinschaft bilden? Dann muss jede Mitgliedspraxis für sich prüfen, ob eine Benennungspflicht für sie besteht. In diesem Zusammenhang ist noch zu prüfen, ob die Voraussetzungen der Gemeinsamen für die Verarbeitung Verantwortlichen vorliegen (Art. 26 DSGVO). Da überörtliche Berufsübungsgemeinschaften auch rechtlich selbständige Praxen sind, bei Vorhandensein der o.g. Voraussetzungen besteht auch für sie eine Benennungspflicht.

Welche Rolle hat die Personenanzahl bei Gemeinschaftspraxen wie Einzelpraxen? Aus datenschutzrechtlicher Sicht ist die Anzahl der Personen, die in der Praxis tätig sind entscheidend und deshalb ist unbeträchtlich ob es sich um eine Voll- oder Teilzeit Beschäftigung oder Auszubildende handelt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert