Mit der Mehr­heit der Stim­men durch die Frak­tio­nen von CDU, CSU und SPD beschloss der Bun­des­tag am 28.08.2019 das 2. DSAn­pUG-EU ( Zwei­tes Gesetz zur Anpas­sung des Daten­schutz­rechts an die Ver­ord­nung (EU) 2016/679 und zur Umset­zung der Richt­li­nie (EU) 2016/680). Das 2. DSAn­pUG ist von Sei­ten des Bun­des­ra­tes zustim­mungs­be­dürf­tig und tritt am Tag nach der Ver­kün­di­gung im Bun­des­ge­setz­blatt in Kraft. Durch die Ände­run­gen sind mehr als 150 Geset­ze betrof­fen, ins­be­son­de­re das BDSG. Durch das 2. DSAn­pUG sind sowohl Begriffs­be­stim­mun­gen und Rechts­grund­la­gen für die Daten­ver­ar­bei­tung als auch Rege­lun­gen zu den Betrof­fe­nen­rech­ten ange­passt.

Eine der wich­tigs­ten Ände­run­gen betrifft die Benen­nungs­pflicht eines Daten­schutz­be­auf­trag­ten (§ 38 BDSG). Bis­lang bestand nach § 38, Abs. 1, S. 1 BDSG die Benen­nungs­pflicht eines Daten­schutz­be­auf­trag­ten, wenn in der Regel min­des­tens 10 Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­tigt sind. Nach der vor­ge­nom­me­nen Ände­rung lau­tet die­ser fol­gen­der­wei­se: “Ergän­zend zu Arti­kel 38 Absatz 1 Buch­sta­be b und c der Ver­ord­nung (EU) 2016/679 benen­nen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten, soweit sie in der Regel min­des­tens 20 Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen.“

Ziel die­ser Ände­rung ist der sog. ‘‘Büro­kra­tie­ab­bau‘‘, damit klei­ne­re Betrie­be und Ver­ei­ne nicht unver­hält­nis­mä­ßig belas­tet sind. Die­se Erleich­te­rung bedeu­tet jedoch nicht, dass auch ande­re Daten­schutz­pflich­ten kom­plett weg­fal­len. Unab­hän­gig von der Per­so­nen­an­zahl sind sol­che Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter zur Bestel­lung eines Daten­schutz­be­auf­trag­ten ver­pflich­tet, die nach Art. 35 DSGVO einer Daten­schutz-Fol­ge­ab­schät­zung unter­lie­gen, oder wenn sie für Zwe­cke der Markt- oder Mei­nungs­for­schung oder geschäfts­mä­ßig zum Zweck der Über­mitt­lung, der anony­mi­sier­ten Über­mitt­lung per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten. Eben­falls unab­hän­gig von der Per­so­nen­an­zahl ist wei­ter Art. 37, Abs. 1 DSGVO zu berück­sich­ti­gen – Benen­nungs­pflicht eines Daten­schutz­be­auf­trag­ten besteht auf jeden Fall, wenn die Ver­ar­bei­tung von einer Behör­de oder öffent­li­chen Stel­le durch­ge­führt wird (mit Aus­nah­me von Gerich­ten, soweit sie im Rah­men ihrer jus­ti­zi­el­len Tätig­keit han­deln); wenn die Kern­tä­tig­keit in der Durch­füh­rung von Ver­ar­bei­tungs­vor­gän­gen besteht, wel­che auf­grund Ihrer Art, ihres Umfangs und/oder ihrer Zwe­cke eine umfang­rei­che regel­mä­ßi­ge und sys­te­ma­ti­sche Über­wa­chung von betrof­fe­nen Per­so­nen erfor­der­lich machen; wenn die Kern­tä­tig­keit in der umfang­rei­chen Ver­ar­bei­tung beson­de­rer Kate­go­ri­en von Daten gem. Art. 9 DSGVO oder von per­so­nen­be­zo­ge­nen Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten gem. Art. 10 DSGVO besteht.

Wel­che Aus­wir­kung hat das auf die Benen­nungs­pflicht eines Daten­schutz­be­auf­trag­ten in den Arzt­pra­xen?

Für eine Arzt­pra­xis kann sich die Benen­nungs­pflicht eines Daten­schutz­be­auf­trag­ten aus ver­schie­de­nen Grün­den erge­ben. Mit der letz­ten Ände­rung des § 38, Abs. 1, S. 1 BDSG wer­den klei­ne Pra­xen zukünf­tig ent­las­tet. Obwohl eine Mehr­heit von Hin­wei­sen der Daten­schutz­auf­sichts­be­hör­den vor­liegt, wel­che Bedeu­tung der Begriff ‚’stän­dig“ im Sin­ne des § 38, Abs. 1 BDSG hat, kann immer noch nicht zwei­fels­frei fest­ge­stellt wer­den, ob eine Benen­nungs­pflicht besteht oder nicht. In man­chen Fäl­len kön­nen Pra­xen ver­pflich­tet sein die Vor­schrift des § 38, Abs. 1, S. 1 BDSG zu erfül­len und zwar trotz vor­lie­gen­der Unter­schrei­tung der Per­so­nen­an­zahl. So ein Fall stellt § 38, Abs. 2 BDSG dar – wenn in einer Arzt­pra­xis eine Daten­schutz-Fol­ge­ab­schät­zung erfor­dert wird, dann ist ein Daten­schutz­be­auf­trag­ter zu benen­nen.

Wie sieht es aus, wenn recht­lich selbst­stän­di­ge Pra­xen eine Pra­xis­ge­mein­schaft bil­den? Dann muss jede Mit­glieds­pra­xis für sich prü­fen, ob eine Benen­nungs­pflicht für sie besteht. In die­sem Zusam­men­hang ist noch zu prü­fen, ob die Vor­aus­set­zun­gen der Gemein­sa­men für die Ver­ar­bei­tung Ver­ant­wort­li­chen vor­lie­gen (Art. 26 DSGVO). Da über­ört­li­che Berufs­übungs­ge­mein­schaf­ten auch recht­lich selb­stän­di­ge Pra­xen sind, bei Vor­han­den­sein der o.g. Vor­aus­set­zun­gen besteht auch für sie eine Benen­nungs­pflicht.

Wel­che Rol­le hat die Per­so­nen­an­zahl bei Gemein­schafts­pra­xen wie Ein­zel­pra­xen? Aus daten­schutz­recht­li­cher Sicht ist die Anzahl der Per­so­nen, die in der Pra­xis tätig sind ent­schei­dend und des­halb ist unbe­trächt­lich ob es sich um eine Voll- oder Teil­zeit Beschäf­ti­gung oder Aus­zu­bil­den­de han­delt.