Wann brauche ich einen Datenschutzbeauftragten?

Nach §38 Bundesdatenschutzgesetz-neu (BDSG-neu) muss ein Datenschutzbeauftragter benannt werden, wenn sich in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Aber: wenn eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO verlangt wird, dann ist schon ab einer Personen ein Datenschutzbeauftragter erforderlich. Diese Datenschutz-Folgenabschätzung ist immer dann vorgeschrieben, wenn besondere Kategorien von Daten verarbeitet werden, etwa Gesundheitsdaten. Das würde dann zum Beispiel für kleine Arztpraxen oder Apotheken gelten.

Da aber in Art. 37 Abs. 1 c DSGVO darauf hingewiesen wird, dass ein Datenschutzbeauftragter benannt werden muss, wenn die „Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten“ liegt, sind die meisten kleinen Gesundheitsbetriebe (Ein-Mann-Arztpraxen oder Apotheken) davon ausgeschlossen. Im Erwägungsgrund 91 DS-GVO heißt es in Satz 4: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.

Damit gilt für Ärzte, Zahnärzte, Psychotherapeuten und Apotheken: Sobald mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss ein Datenschutzbeauftragter benannt werden. In Einzelfällen, sofern im umfangreichen Maße besondere Kategorien von Daten verarbeitet werden, können auch schon kleinere Praxen und Apotheken zur Bennenung eines Datenschutzbeauftragten verpflichtet sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.