Müssen kleinere Arztpraxen, Apotheken und Anwaltskanzleien einen Datenschutzbeauftragten bestellen, weil sie in größerem Umfang sensible Daten verarbeiten (Art. 37 Abs. 1 lit. c DSGVO)?
Ich meine: eindeutig nein. Und wünsche mir mehr Klartext von Datenschützern aller Couleur. Von den Aufsichtsbehörden, aber auch von Beratern, Kommentatoren und anderen Kollegen.
Keine Bestellpflicht nach DSGVO wegen Kerntätigkeit
Arztpraxen, Apotheken und Anwaltskanzleien sind nach der Terminologie des Datenschutzrechts „nicht-öffentliche Stellen“ und müssen daher einen Datenschutzbeauftragten bestellen, wenn mindestens zehn Personen mit der Datenverabeitung beschäftigt sind. In vielen Kanzleien und Praxen wird diese Zahl nicht erreicht, sodass sich die Frage stellt, ob sich eine Bestellpflicht möglicherweise aus Art. 37 Abs. 1 lit. c DSGVO ergibt. Dies bestimmt sich danach, ob
„die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“
(Hervorhebung hinzugefügt)
Ich würde zu keinem Arzt gehen, dessen „Kerntätigkeit“ die Datenverarbeitung ist. Und ich würde keinen Sozialrechtler oder Medizinrechtler als Anwalt empfehlen, der sich „im Kern“ mit Datenverarbeitung befasst. Auch die kleinen Apotheken meiner Wahl verarbeiten zwar Gesundheitsdaten, verstehen sich jedoch nicht primär als Datenverarbeiter. Daher meine ich, dass Art. 37 Abs. 1 lit.c DSGVO auf Anwälte, Apotheker und Ärzte nicht anwendbar ist. Kleinere Arztpraxen, Apotheken und Anwaltskanzleien müssen keinen Datenschutzbeauftragten bestellen.
Klare Aussage im Mandat
Natürlich lässt sich nicht ausschließen, dass ich mich irre und ein europäisches Gericht den Begriff der „Kerntätigkeit“ eines Tages anders versteht als ich. Wahrheiten gibt es bei der Gesetzesauslegung nie. Und dies erst recht nicht bei einem neuen Gesetzeswerk, zu dem es noch keine einzige gerichtliche Entscheidung gibt. Dennoch meine ich, dass Klienten von uns Beratern klare Aussagen erwarten dürfen.
Klare Aussage im Kommentar?
Klarheit lassen leider auch die Kommentierungen des Art. 37 DSGVO vermissen. In keinem einzigen der äußerst zahlreichen DSGVO-Kommentare findet man eine brauchbare Antwort auf die Frage, ob eine kleine Arztpraxis einen Datenschutzbeauftragten bestellen muss. Stattdessen findet man Gewundendes bis Unverständliches. Nur exemplarisch ein Zitat aus dem frisch in 2. Auflage erschienenen Kommentar von Ehmann/Selmayr:
„Die Verarbeitung dieser sensiblen Daten muss, um die Benennungspflicht auszulösen, die Kerntätigkeit betreffen. Das ist an sich der Fall bei der Verarbeitung von Patienten- oder Mandantendaten, da deren Behandlung, Beratung oder Vertretung dem Geschäftszweck des Arztes oder Anwalts zuzuordnen ist. Jedoch setzt auch diese Fallgruppe voraus, dass die Verarbeitung der sensiblen Daten umfangreich ist. Die Fallgruppe des Buchst. c entspricht damit der des Art. 35 Abs. 3 Buchst. b, die für eine solche Datenverarbeitung die Durchführung einer Datenschutz-Folgenabschätzung erfordert. Beispiele für eine solche umfangreiche Verarbeitung sind die Verarbeitung von Gesundheitsdaten und anderen personenbezogenen Daten durch ein Krankenhaus, einen Anbieter von DNA-Analysen oder eine Kranken- oder Lebensversicherung. Hingegen handelt es sich bei der Verarbeitung personenbezogener Daten von Patienten oder von Mandanten durch einen einzelnen Arzt oder von Angehörigen von Gesundheitsberufen oder einen Rechtsanwalt regelmäßig nicht um eine „umfangreiche“ Datenverarbeitung.“
(Heberlein in Ehmann/Selmayr, DSGVO, 2. Aufl. 2018, Art. 37, Rdnr. 27)
Klare Aussage der DSK?
Wenig hilfreich ist in diesem Punkt auch das Kurzpapier der Datenschutzkonferenz (DSK). Der geneigte Leser erfährt nicht viel mehr als das gefürchtete „Es kommt darauf an“:
„Erfolgt eine Verarbeitung von Patienten- oder Man-dantendaten durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufs oder Rechts-anwalt, handelt es sich regelmäßig nicht um eine die Benennungspflicht auslösende umfangreiche Datenverarbeitung (siehe ErwGr. 91). Unter Berücksichtigung der Umstände des Einzelfalls und der konkreten Elemente einer umfangreichen Verarbei-tung im Sinne des ErwGr. 91 – beispielsweise bei einer Anzahl von Betroffenen, die erheblich über den Betroffenenkreis eines durchschnittlichen, durch ErwGr. 91 Satz 4 privilegierten Einzelarztes hinaus geht – kann eine umfangreiche Verarbeitung gegeben sein, sodass ein DSB zu benennen ist.“
(DSK-Kurzpapier Nr. 12 – Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern)
Klare Aussage des BayLDA
Dass es klipp und klar auch anders geht, zeigt das Bayerische Landesamt für Datenschutz. In einem Hinweisblatt für Arztpraxen heißt es:
„In der Arztpraxis findet in aller Regel keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten statt, die zu einer Benennungspflicht führt. Es ist daher ein DSB nur zu benennen, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.“
(BayLDA, „Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an kleine Unternehmen, Vereine, etc.“, Muster 5: Arztpraxis, Erläuterung A auf Seite 2)