Braucht jede Arztpraxis einen Datenschutzbeauftragten?

Das Gesetz (also weder die DSGVO, noch die Erwägungsgründe der DSGVO noch das deutsche BDSG) enthält keine ausdrückliche Verpflichtung, dass jede Arztpraxis einen Datenschutzbeauftragten benötigt.

Eindeutig ist dies in § 38 BDSG lediglich für Arztpraxen (und alle anderen Unternehmen) vorgeschrieben, soweit diese in der Regel mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Für alle kleineren Arztpraxen muss dies im Einzelfall abgewägt werden. Nach Artikel 37 Abs. 1 c DSGVO ist ein Datenschutzbeauftragter unabhängig von der Zahl der Beschäftigten zu benennen, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 (z.B. Gesundheitsdaten) besteht.

Die Kerntätigkeit jeder Arztpraxis ist es Gesundheitsdaten der Patienten zu verarbeiten und auszuwerten. Und dies sogar oft über einen sehr langen Zeitraum. Das erste Kriterium (Kerntätigkeit) ist also immer erfüllt.

Das zweite Kriterium (umfangreich) ist in der DSGVO nicht weiter definiert, aber in den Erwägungsgründen (Nr. 91) zu einem der Artikel der DSGVO hat der EU-Gesetzgeber geschrieben:

„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten … betrifft und durch einen einzelnen Arzt … erfolgt.“

Also kann man hieraus schließen, dass eine kleine 1-Mann-Praxis (der Landarzt lässt grüßen) nicht als umfangreich eingestuft wird und damit auch nicht in die Kategorie des Artikel 37 Abs. 1 c DSGVO fällt. Eine kleine Arztpraxis benötigt somit keinen Datenschutzbeauftragten.

Etwas anderes gilt natürlich, wenn der Arzt 9 Mitarbeiter hätte. Wer also mit vielen Minijobbern arbeitet, kann allein deswegen verpflichtet sein einen Datenschutzbeauftragten zu beauftragen.

Wenn nun aber der EU-Gesetzgeber eine Verarbeitung eines Einzelarztes als „nicht umfangreich“ eingestuft hat, dann könnte man im Umkehrschluss annehmen, dass eine Gemeinschaftspraxis immer als „umfangreich“ eingestuft wird. So kann der Erwägungsgrund Nr. 91 aber nicht verstanden werden. Bei einer Gemeinschaftspraxis wird man tatsächlich im Einzelfall abwägen müssen, inwieweit hier die eine umfangreiche Datenverarbeitung stattfindet.

Aus meiner Sicht ist dann immer dann der Fall, wenn alle Ärzte der Praxis auf die Patientendaten aller anderen Ärzte auch zugreifen können. Soweit es hier sehr streng getrennte Datenbestände gibt, würde ich die Verarbeitung nicht umfangreicher einstufen, als bei einem Einzelarzt.

Da aber hier eine Fehlentscheidung dazu führen kann, dass man versehentlich keinen Datenschutzbeauftragten benennt und dann die Behörde die Situation anders einstuft, rate ich jeder Gemeinschaftspraxis auch zur Benennung eines Datenschutzbeauftragten oder zu einer förmlichen Anfragen an den zuständigen Landesdatenschutzbeauftragten.

Denn warum sollte man hier unnötig ein empfindliches Bußgeld riskieren, wenn man doch z.B. dann, wenn man mich als externen Datenschutzbeauftragten benennt, nur Vorteile hat 😊.