Blog: Hartmann Rechtsanwälte
22.02.2018

Wann muss ein Unternehmen einen Datenschutzbeauftragten stellen?

Bislang hatten Unternehmen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten einen Datenschutzbeauftragten schriftlich zu benennen. Wie aber verhält es sich nun im Rahmen der Datenschutzgrundverordnung? Die europäische Verordnung sieht in seinem Art. 37 Abs. 1 c) vor, dass ein Datenschutzbeauftragter auf jeden Fall bei der Verarbeitung von sensiblen Daten, wie den Gesundheitsdaten, zu benennen ist, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragverarbeiters in der umfangreichen Verarbeitung liegt.

Ergänzend dazu hat der deutsche Gesetzgeber in § 38 Abs. 1 des neuen BDSG von der Öffnungsklausel des Art. 37 Abs. 4 DSGVO Gebrauch gemacht und festgelegt, dass auch dann ein Datenschutzbeauftragter im Falle der Verarbeitung sensibler Daten zu benennen ist, soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Wenn also die Kerntätigkeit des Unternehmens nicht in der umfangreichen Verarbeitung sensibler Daten liegt, bleibt es bei der bisherigen Regelung. Dann ist ein Datenschutzbeauftragter ab zehn Personen zu benennen. Liegt hingegen die Kerntätigkeit in der umfangreichen Verarbeitung sensibler Daten, ist ein Datenschutzbeauftragter auf jeden Fall zu benennen.

Stellt sich zunächst die Frage nach der Bedeutung der „Kerntätigkeit“ – der umfangreichen Verarbeitung von sensiblen Daten. Diese ist dann anzunehmen, wenn sie essentiell für die Zielerreichung des Unternehmens ist.

Des Weiteren stellt sich die Frage nach der „umfangreichen Verarbeitung“. Diese richtet sich nach der Anzahl der Betroffenen, der Menge der betroffenen Daten bzw. der Vielzahl der verschiedenen Datensätze sowie der Dauer der Datenverarbeitung und der geographischen Reichweite der Datenverarbeitung.

In einem Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (sogenannte Datenschutzkonferenz – DSK), Stand 16.01.2018, vertritt die DSK die Auffassung, dass, wenn eine Verarbeitung von Patienten- oder Mandantendaten durch einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufs erfolgt, es sich regelmäßig nicht um eine die Benennungspflicht auslösende umfangreiche Datenverarbeitung handelt. Dies kann unter Berücksichtigung der Umstände des Einzelfalls und der konkreten Elemente einer umfangreichen Verarbeitung – beispielsweise bei einer Anzahl von Betroffenen, die erheblich über den Betroffenenkreis eines durchschnittlichen, privilegierten Einzelarztes hinaus geht – eine umfangreiche Verarbeitung gegeben sein, sodass ein Datenschutzbeauftragter zu benennen ist.

Im Umkehrschluss bedeutet diese Auffassung, dass ab einem weiteren Arzt oder sonstigen Angehörigen eines Gesundheitsberufs eine umfangreiche Verarbeitung der sensiblen Daten vorliegt und eine Benennungspflicht gegeben sein soll.

Ungeachtet dessen ist die Benennung generell zu empfehlen, um die Einhaltung der datenschutzrechtlichen Bestimmungen zu erleichtern und damit ggf. aufsichtsbehördliche Maßnahmen und auch Retaxationen der Krankenkassen zu vermeiden.

The following two tabs change content below.

Rechtsanwältin