64 Tage: So lange haben Unternehmen noch Zeit, sich auf die Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) vorzubereiten. Trotz der langen Übergangszeit von zwei Jahren sind viele Unternehmen jetzt erst dabei, die entsprechenden Maßnahmen zu ergreifen. Dies zeigt auch die anwaltliche Praxis von uns Datenschutzanwälte, die wir uns derzeit vor Anfragen nicht mehr „retten“ können.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun Handreichungen für kleine Unternehmen und Vereine veröffentlicht, die diese bei der Umsetzung der Datenschutzmaßnahmen unterstützen sollen.
Arztpraxen
Sie enthalten auch überraschende Äußerungen der Datenschutzbehörde: So soll in Arztpraxen mit weniger als 10 Mitarbeitern, die ständig automatisiert Daten verarbeiten, nach Ansicht des BayLDA kein Datenschutzbeauftragter notwendig sein. Darüber kann man aber trefflich streiten: Art. 37 DSGVO sieht vor, dass ein Datenschutzbeauftragter auch dann bestellt werden soll, wenn
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
Unklar ist, was unter Kerntätigkeit zu verstehen ist. Bei Ärzten ist zwar die Kerntätigkeit die Behandlung von Patienten, man hätte aber durchaus argumentieren können, dass im Rahmen dieser Behandlung ja auch die besonderen Kategorien personenbezogener Daten in Form von Gesundheitsdaten anfallen, sodass sie auch bei weniger als 10 Personen unter die Verpflichtung zur Bestellung eines Datenschutzbeauftragten fallen. Dies sieht das BayLDA offenbar nicht so.
Auch eine Datenschutz-Folgenabschätzung soll bei Arztpraxen nicht standardmäßig erforderlich sein. Art. 35 Abs. 3 DSGVO sieht vor:
(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
a) (…)
b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder (…)
Das BayLDA vertritt die Auffassung, dass „auch bei Gesundheitsdaten nicht immer ein hohes Risiko bei der Datenverarbeitung“ bestehe. Auch dies kann man anders sehen.
Steuerberater
Auch Steuerberater fallen laut BayLDA nicht unter Art. 37 Abs. 1 lit. c DSGVO, obwohl auch diese im Rahmen der Lohnabrechnungen besondere Kategorien personenbezogener Daten verarbeiten in Form der religiösen Überzeugung (Art. 9 Abs. 1 DSGVO).