Tagesordnungspunkt 18

Kleine Anfragen für die Fragestunde zur 17. Sitzungsperiode des Landtages von Sachsen-Anhalt

Fragestunde mehrere Abgeordnete - Drs. 7/2011



Gemäß § 45 der Geschäftsordnung des Landtages findet in jeder im Terminplan festgelegten Sitzungsperiode eine Fragestunde statt.

Es liegen Ihnen, meine sehr verehrten Damen und Herren, in der Drs. 7/2011 sieben Kleine Anfragen für die Fragestunde vor.


Ich rufe auf


Frage 1
Datenschutzbeauftragte/r in Praxen der Gesundheitsberufe und der anderen Freien Berufe unter neun Beschäftigte


Der Abg. Olaf Meister von der Fraktion BÜNDNIS 90/DIE GRÜNEN wird die Frage stellen. Herr Meister, Sie haben das Wort.


Olaf Meister (GRÜNE):

Danke, Herr Präsident. Es ist noch etwas unruhig, aber ich versuche es trotzdem.

Ab Mai 2018 gilt in Deutschland die EU-Datenschutzverordnung. Praxisbetriebe, insbesondere Physiotherapeuten und Logopäden, werden derzeit durch Informationen verunsichert, dass ihre umfangreiche Verarbeitung von Gesundheitsdaten zukünftig eine Bestellung eines Datenschutzbeauftragten notwendig machen würde.

Das Bayerische Landesamt für Datenschutz verneint eine solche Notwendigkeit. Von andere Seiten gibt es dazu andere Aussagen. Vor diesem Hintergrund stelle ich die nachfolgende Frage.

Ich frage die Landesregierung:

1.    Löst das Inkrafttreten der ab Mai 2018 geltenden EU-Datenschutzgrundverordnung (DS-GVO) eine Bestellpflicht für einen Datenschutzbeauftragten in Praxen der Gesundheitsberufe und der anderen Freien Berufe unter neun Beschäftigten aus?

2.    Wenn nein, gibt es weiterführende Regelungen, die trotz einer Beschäftigtenzahl unter neun Personen eine Bestellpflicht für einen Datenschutzbeauftragten auslösen können?


Vizepräsident Willi Mittelstädt:

Für die Landesregierung antwortet der Minister für Inneres und Sport Holger Stahlknecht. Herr Minister, Sie haben das Wort.


Holger Stahlknecht (Minister für Inneres und Sport):

Sehr geehrter Herr Präsident! Liebe Kolleginnen und Kollegen! Die Datenschutzverordnung, die im Mai 2018 vollumfänglich in Kraft treten wird, löst keine Bestellungspflicht für einen Datenschutzbeauftragten in Praxen der Gesundheitsberufe unter neun Beschäftigten aus.

Dieses Ergebnis folgt aus Artikel 37 der Datenschutz-Grundverordnung. Auch die auf den ersten Blick einschlägige Regelung von Artikel 37 Abs. 1 Buchstabe c löst keine solche Pflicht aus, weil die in der Tat sensiblen Patientendaten nicht zur umfangreichen Kerntätigkeit einer medizinischen Praxis gehören.

Bei den Angeboten medizinischer Praxen geht es um die Behandlung, Heilung oder Linderung physischer oder psychischer Beschwerden. Die dabei erhobenen Daten sind im Vergleich zur medizinischen Behandlung nur Nebenzweck und dienen der späteren Abrechnung mit den gesetzlichen Krankenkassen oder den Privatpatienten.

Anders ist die Bewertung bei freien privatärztlichen Verrechnungsstellen. Hierbei steht nicht mehr die medizinische Versorgung des Patienten im Vordergrund, sondern die automatisierte Abrechnung der erbrachten ärztlichen Leistungen anhand von Leistungsverzeichnissen.

Der damit verbundene umfangreiche Umgang mit Adress- und Diagnosedaten der Patienten ist Kernbeschäftigung der Mitarbeiter in einer privatärztlichen Verrechnungsstelle. Diagnosen und Therapien sind sensible Gesundheitsdaten, die nach Artikel 9 der Datenschutz-Grundverordnung besonderen Schutz genießen.

Der Umgang mit diesen sensiblen Gesundheitsdaten in einer Abrechnungsstelle dient der Honorarliquidation. Diese automatisierte Datenverarbeitung ist damit unmittelbar Hauptzweck und löst ab einer Größe von zehn Mitarbeitern die Bestellung eines externen oder internen Datenschutzbeauftragten aus.

Die Schlüsselzahl von in der Datenverarbeitung tätigen Personen, auf die Frage 2 abstellt, ist nicht allein entscheidungsfähig für die Bestellung eines Datenschutzbeauftragten. Die Anzahl von zehn oder mehr mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Arbeitnehmern ist nach § 38 des am 25. Mai 2018 in Kraft tretenden Bundesdatenschutzgesetzes nur ein Kriterium für die Bestellung eines Datenschutzbeauftragten im nichtöffentlichen Bereich.

§ 38 des Bundesdatenschutzgesetzes ist aber aufgrund des ausdrücklich erwähnten Verweises auf Artikel 37 Abs. 1 Buchstabe b oder c der Europäischen Datenschutzgrundverordnung mit in diesem Zusammenhang zu lesen. Die umfangreiche automatisierte Verarbeitung personenbezogener Daten muss nach Vorgaben des Europarechts aber immer die Kerntätigkeit des Unternehmens sein.

Die Physiotherapiepraxis mit 15 Mitarbeitern, die Massagen verabreichen oder Rückenschulen durchführen, trifft auch unter der Geltung des neuen Bundesdatenschutzgesetzes keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten, weil die medizinischen Anwendungen im Vordergrund stehen und der Umgang mit personenbezogenen Daten nicht Hauptgeschäftszweck der Physiotherapiepraxis ist.

Auch für die anderen freien Berufe ergibt sich keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Die Mandantendatei eines Steuerberaters oder eines Rechtsanwaltes dient der Abrechnung von Honoraren und ist damit Hilfsmittel zur Praxisorganisation. Die Kanzlei dient nicht vorrangig der massenhaften automatisierten Verarbeitung von personenbezogenen Daten. Der Umgang mit Adressdaten ist nicht Hauptzweck der Geschäftstätigkeit eines Steuerberaters oder Rechtsanwalts. Geschäftszweck ist die individuelle geistige schöpferische Auseinandersetzung mit Problemen des Steuerrechts, des Zivil-, Straf- oder Verwaltungsrechts im konkreten Einzelfall. - Herr Meister, soviel dazu.


Vizepräsident Willi Mittelstädt:

Ich danke Herrn Minister Stahlknecht für die Ausführungen.

Bevor wir zur zweiten Frage kommen, habe ich die ehrenvolle Aufgabe, Damen und Herren vom Bund technischer Beamter Sachsen-Anhalt - Fachgruppe Vermessung - in unserem Hohen Hause begrüßen zu dürfen. Seien Sie herzlich willkommen!

(Beifall im ganzen Hause)