04.07.2019

Aus 10 mach 20: Bundestag erhöht Schwelle zur Bestellung eines Datenschutzbeauftragten

Nur gut ein Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) hat der Deutsche Bundestag am 26. Juni 2019 mit großer Mehrheit einem Gesetzesentwurf der Bundesregierung zugestimmt, der das umstrittene europäische Datenschutzrecht schon wieder anpasst.
Trotz, dass die erwarteten Abmahnwellen und das Chaos bei der Umsetzung weitestgehend ausblieben, führte die DS-GVO auch im Gesundheitsbereich zu viel Verunsicherung und bürokratischem Aufwand. Hiervon waren vor allem Kleinbetriebe, wie Einzelpraxen, aber auch die BAG oder die Praxisgemeinschaft betroffenen. Diese mussten nun interne Verarbeitungsverzeichnisse mit Technisch-Organisatorischen-Maßnahmen erstellen, Auftragsverarbeitungsverträge schließen und ab einer Mitarbeiterzahl von 10 Datenschutzbeauftragte bestellen. Letzteres soll nun zumindest geändert werden. Die magische Schwelle zur Bestellung eines Beauftragten für den Datenschutz soll künftig erst bei 20 Mitarbeitern liegen. In der Begründung dazu wird ausgeführt, dass man „vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine“ erreichen wolle.

Aber gilt dies nun auch automatisch für alle Arztpraxen, die weniger als 20 Mitarbeiter haben?

Viele Veröffentlichungen in den vergangenen Tagen erwecken den Eindruck, dass dies nun der Fall wäre und damit eine Entlastung für Ärztinnen und Ärzte komme. Hier ist aber Vorsicht geboten:
Art. 37 Abs. 1 (c) DS-GVO schreibt vor, dass man auf jeden Fall einen Datenschutzbeauftragten bestellen muss, wenn man sogenannte „Daten besonderer Kategorien umfangreich verarbeitet. Was Daten besonderer Kategorie sind, erklärt uns Art. 9 DS-GVO. Hier wird deutlich, dass damit insbesondere auch Gesundheitsdaten gemeint sind. Da Ärztinnen und Ärzte in ihren Praxen die gesamte Krankengeschichte des Patienten speichern und für ihre Behandlung nutzen, ist somit eigentlich immer die Gesundheitsvorsorge betroffen und damit eine Pflicht zur Bestellung eines Datenschutzbeauftragten gegeben. Fraglich ist hier eigentlich nur, ob die Verarbeitung in jeder Arztpraxis auch immer gleich „umfangreich“ ist, wie es in Art. 37 DS-GVO gefordert wird. Schaut man sich die Erwägungsgründe bei der Erstellung der DS-GVO an, wird klar, dass jedenfalls die Verarbeitung von Daten durch einen „einzelnen Arzt“ nicht umfangreich sein soll. In diesem Fall könnte die Einzelpraxis auf einen Datenschutzbeauftragten verzichten.

Was nun aber mit Ärztinnen und Ärzten in Kooperation ist, bleibt leider auch bei der neuesten Anpassung des Datenschutzrechts offen, sodass weiterhin in jedem Einzelfall geprüft werden sollte, ob sich eine Arztpraxis einen Datenschutzbeauftragten bestellen muss. Die ersten Landesdatenschutzbeauftragten haben nun im Frühjahr 2019 entschieden, dass unter der gesetzlichen Schwelle von bisher 10 (jetzt also 20) Mitarbeitern keine umfangreiche Verarbeitung in Arztpraxen vorliegt, sodass kein Datenschutzbeauftragter nötig sei. Dies ist zu begrüßen, jedoch gerichtlich nicht entschieden. Es sollte zudem immer bedacht werden, dass sich die rechtlichen Anforderungen bei der Verarbeitung von personenbezogenen Daten nicht geändert haben, sodass ich mir zwar nun einen Datenschutzbeauftragten sparen darf, aber die weitreichenden Aufgaben dann selbst erledigen muss. Der Bundesrat muss der Gesetzesänderung noch zustimmen.

Ausbau der Telematikinfrastruktur und Datenschutz

Ein ganz besonderes Augenmerk sollten alle Praxisinhaber derzeit auf den Ausbau der Telematikinfrastruktur haben. Für den Einsatz der geplanten elektronischen Gesundheitskarte und der elektronischen Patientenakte müssen sich die Praxen aktuell technisch aufrüsten und dabei datenschutzrechtlich einige Unsicherheiten in Kauf nehmen. Die für die technische Umsetzung verantwortliche gematik lehnt jede haftungsrechtliche Verantwortung ab. Es wird daher derzeit diskutiert, ob Ärzte verpflichtet sind, vor Anschluss an die Telematikinfrastruktur mittels Konnektors eine sogenannte Datenschutzfolgeabschätzung vorzunehmen. Wäre dies tatsächlich der Fall müsste künftig jede Arztpraxis nach § 38 BDSG einen Datenschutzbeauftragten mit dieser Risikobewertung betrauen. Die erhoffte „Entlastung“ wäre daher im Gesundheitsbereich komplett obsolet.