Nach §38 Bundesdatenschutzgesetz-neu (BDSG-neu) muss ein Datenschutzbeauftragter benannt werden, wenn sich in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Aber: wenn eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO verlangt wird, dann ist schon ab einer Personen ein Datenschutzbeauftragter erforderlich. Diese Datenschutz-Folgenabschätzung ist immer dann vorgeschrieben, wenn besondere Kategorien von Daten verarbeitet werden, etwa Gesundheitsdaten. Das würde dann zum Beispiel für kleine Arztpraxen oder Apotheken gelten.
Da aber in Art. 37 Abs. 1 c DSGVO darauf hingewiesen wird, dass ein Datenschutzbeauftragter benannt werden muss, wenn die „Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten“ liegt, sind die meisten kleinen Gesundheitsbetriebe (Ein-Mann-Arztpraxen oder Apotheken) davon ausgeschlossen. Im Erwägungsgrund 91 DS-GVO heißt es in Satz 4: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.“
Damit gilt für Ärzte, Zahnärzte, Psychotherapeuten und Apotheken: Sobald mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss ein Datenschutzbeauftragter benannt werden. In Einzelfällen, sofern im umfangreichen Maße besondere Kategorien von Daten verarbeitet werden, können auch schon kleinere Praxen und Apotheken zur Bennenung eines Datenschutzbeauftragten verpflichtet sein.
Zu beachten ist aber auch: Die Verpflichtungen aus der DSGVO und dem BDSG gelten weiterhin. Es ist deshalb empfehlenswert, wenn sich Ärzte, Zahnärzte, Psychotherapeuten und Apotheken professionell durch Datenschutzexperten unterstützen lassen.