Schlagwort: Pflicht zur Bestellung eines Datenschutzbeauftragten

Viele Arztpraxen brauchen seit dem 25.05.2018 einen Datenschutzbeauftragten

12. Juni 2018

Die Verpflichtung für die Benennung eines Datenschutzbeauftragten folgt aus Art. 37 DSGVO. Interessant ist hier insb. Abs. 1 lit. c), wonach ein Datenschutzbeauftragter zu benennen ist, wenn „die Kerntätigkeit des Verantwortlichen […] in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 […] besteht.“

In einer Arztpraxis spielen Gesundheitsdaten eine wichtige Rolle. Um die Patienten angemessen behandeln zu können, ist es unabdingbar die Krankengeschichte und sonstige persönliche und medizinische Informationen einzuholen. Es stellt daher eine Haupttätigkeit eines Arztes und somit eine Kerntätigkeit im Sinne des Gesetzes dar.

Für die Bestimmung, ob ein Datenschutzbeauftragter bestellt werden muss, kommt es somit vorallem darauf an, ob eine „umfangreiche“ Verarbeitung vorliegt. Der Begriff „umfangreich“ ist in der DSGVO selbst nicht weiter definiert, findet allerdings in Art. 35 DSGVO, im Rahmen der Datenschutz-Folgenabschätzung, weitere Verwendung. In Erwägungsgrund 91 heißt es hierzu u.a.: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten […] betrifft und durch einen einzelnen Arzt […] erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“

Daraus lässt sich schließen, dass bei vielen Gemeinschaftspraxen eine Bestellung notwendig sein wird. Gemäß § 38 BDSG (neue Fassung) ist dieses Erfordernis bei einer Beschäftigungszahl von 10 Personen in einer Praxis erfüllt.

Neue Änderungsvorschläge für EU-Datenschutzgrundverordnung

9. Januar 2013

Der EU-Abgeordnete der Grünen und Berichterstatter des federführenden EU-Parlamentsausschusses für die geplante EU-Datenschutzgrundverordnung Jan Philipp Albrecht hat seinen Berichtsentwurf zum Kommissionsvorschlag veröffentlicht, der konkret formulierte Änderungsvorschläge beinhaltet.

Eine wesentliche Neuerung wird insoweit vorgeschlagen, als die Pflicht zur Bestellung eines Datenschutzbeauftragten künftig nicht mehr mit der Beschäftigtenanzahl (> 250) verknüpft sein soll, sondern sich daran bemessen soll, wie viele Betroffene pro Jahr von der Datenverarbeitung umfasst werden. Würde diese Anzahl die Zahl 500 übersteigen, dann soll eine Bestellpflicht vorgesehen sein („…the processing is carried out by a legal person and relates to more than 500 data subjects per year.”). Die bisher vorgesehene Mindestdauer für eine Bestellung als Datenschutzbeauftragter soll ferner von zwei auf vier Jahre angehoben werden.

Weitere Vorschläge beziehen sich u.a. auf den Schutz von Cookies und IP-Adressen, die nach dem Berichtsentwurf geeignet sind, einzelne Menschen hervorzuheben. Diese sollen wie personenbezogene Daten nach der Verordnung behandelt werden.

Die offizielle Vorstellung des Berichtsentwurfes und der Änderungsvorschläge ist für den 10. Januar 2013 vorgesehen.