Datenschutzbeauftragter ab 20 Personen erforderlich

Eine Stellungnahme des Bundesbeauftragten für Datenschutz stellt klar: Für nichtöffentliche Stellen – wie zum Beispiel Physiotherapiepraxen – wird die Bestellung eines Datenschutzbeauftragten erst notwendig, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden.

Denn zwar legt Artikel 37 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung (DSGVO) die Pflicht zur Benennung eines Datenschutzbeauftragen im Gesundheitswesen fest. Ergänzend hierzu muss gemäß § 38 des Bundesdatenschutzgesetzes (BDSG) aber ein Datenschutzbeauftragter oder eine Datenschutzbeauftragte nur benannt werden, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Bei der Berechnung der Personen zählen auch Teilzeitkräfte und Leiharbeitnehmende mit. Falls jedoch die Datenverarbeitung nur einen völlig untergeordneten Anteil der Aufgaben eines Beschäftigten ausmacht (z.B. nur vereinzelt Schreiben mit personenbezogenen Daten erstellt werden), so müssen diese nicht mitgezählt werden. 

Aufgrund von unterschiedlichen Aussagen der Datenschützer*innen auf Landesebene, ob ab 10 oder 20 Personen ein Datenschutzbeauftragter erforderlich ist, hatte PHYSIO-DEUTSCHLAND den Bundesbeauftragten für Datenschutz um Stellungnahme gebeten.