Benennung eines Datenschutzbeauftragten erst ab 20 Mitarbeitern
Mit Beschluss des Bundestages vom 27. Juni 2019 wurde im Rahmen des 2. Datenschutzanpassungs- und Umsetzungsgesetzes der § 38 Bundesdatenschutzgesetz insofern geändert, dass ein Datenschutzbeauftragter erst dann zu benennen ist, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Hintergrund für diese Gesetzesänderung war, die Vorgaben des Datenschutzes für Kleinunternehmen etwas zu lockern. Unabhängig von dem Bestehen einer rechtlichen Verpflichtung sind Praxen jedoch nicht gehindert, einen Datenschutzbeauftragten zu benennen (vergleiche Art. 37 Abs. 4 DS-GVO). Wenn und soweit im Gesundheitssektor Daten verarbeitet werden, müssen auch die einschlägigen datenschutzrechtlichen Rahmenbedingungen insgesamt eingehalten werden. Vor dem Hintergrund der besonderen Schutzbedürftigkeit der in Heilberufspraxen verarbeiteten Patientendaten und der umfassenden Verantwortung der Praxisinhaber für eine datenschutzkonforme Datenverarbeitung empfiehlt es sich immer, ein praxiseigenes Datenschutzkonzept aufzubauen. Angesichts der vielfältigen Aufgaben von Praxisinhabern dürfte es im Regelfall sinnvoll sein, dass auch ohne rechtliche Verpflichtung zur Benennung eines Datenschutzbeauftragten noch zumindest eine weitere Person als Ansprechpartner in datenschutzrechtlichen Fragen installiert und mit den dafür erforderlichen Ressourcen ausgestattet wird. Hier käme durchaus auch ein Mitarbeiter der Praxis in Betracht.