Datenschutzbeauftragter?

Eines der am kontroversesten diskutierten Themen ist die Frage, ob ein Datenschutzbeauftragter (DSB) bestellt werden muss. Die DSGVO sieht drei verschiedene gesetzliche Fälle vor, bei denen ein DSB bestellt werden muss:

Wenn in einer Praxis "in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten" beschäftigt werden, ist in jedem Fall ein DSB zu benennen. Dabei sind die Mitarbeiter zu zählen die regelmäßig (also nicht nur gelegentlich) mit der Datenverarbeitung beschäftigt sind. Dies werden üblicherweise Mitarbeiter am Empfang oder mit der Abrechnung beschäftigte sein. Mitgezählt werden auch Angestellte und freie Mitarbeiter, nicht aber der Praxisinhaber selbst. Mit "in der Regel" ist gemeint, dass zumindest längerfristig die Datenerfassung oder -verarbeitung Teil der Aufgabe des Mitarbeiters ist. Es zählen die "Köpfe", also unabhängig von Arbeitszeit.

Unabhängig von der Anzahl der Mitarbeiter ist weiterhin ein DSB zu benennen, wenn eine "Datenschutz-Folgenabschätzung" vorzunehmen ist. Das ist in einer typischen Physiotherapiepraxis nur dann der Fall, wenn ein "hohes Risiko" für die Rechte und Freiheiten der Patienten durch die Datenverarbeitung der Daten besteht. Da in der Regel Daten zur physiotherapeutischen Behandlung keine Hochrisikodaten darstellen, wird dies in den allermeisten Fällen nicht zutreffen. Auch ist eine "Datenschutz-Folgenabschätzung" vorzunehmen, wenn eine "umfangreiche Verarbeitung" von Gesundheitsdaten (z. B. durch eine große Anzahl von Patientendatensätzen) erfolgt. Dies wird nur in einer überdurchschnittlich großen Praxis der Fall sein, nicht aber in einer Praxis durchschnittlicher Größe, die wir hier betrachten.

Im dritten Fall ist ebenfalls unabhängig von der Anzahl der Mitarbeiter ein DSB zu bestellen, wenn die "Kerntätigkeit" des Verantwortlichen in der "umfangreichen Verarbeitung" von Gesundheitsdaten besteht. Die "Kerntätigkeit" einer Physiotherapiepraxis aber ist die Behandlung von Patienten und nicht die Datenverwaltung. Zwar gehört die Dokumentation dazu, sie ist aber nicht der eigentliche Geschäftszweck. Ob eine Verarbeitung "umfangreich" ist, lässt sich wie oben ableiten, wenn besonders viele Patientendaten verarbeitet werden. Auch dies wird bei einer durchschnittlich großen Praxis nicht der Fall sein.

Abschließend lässt sich festhalten: Eine durchschnittlich große Praxis, bei der nicht mehr als neun Mitarbeiter regelmäßig mit Datenerfassung und- verarbeitung beschäftigt sind, muss keinen DSB bestellen.