13-426 II#0245
Der Bundesbeauftragte für den Datenschutz
und die Informationsfreiheit
Sehr geehrteAntragsteller/in
vielen Dank für Ihre E-Mail vom 19. Januar 2021.
Diese E-Mail enthält teilweise Rechtsfragen, die dem Informationsfreiheitsgesetz nicht unterliegen und teilweise Fragen nach Fakten, die ich aufgrund des Informationsfreiheitsgesetzes nur insoweit beantworten kann, wie mir diese Fakten vorliegen.
Zunächst zu Ihrer Rechtsfrage:
Gibt es für Krankenhäuser die Pflicht einen Datenschutzbeauftragten zu beschäftigen?
Diese Frage ist ganz einfach zu beantworten: Ja !
Artikel 37 Datenschutz-Grundverordnung schreibt vor, dass "auf jeden Fall" ein Datenschutzbeauftragter / eine Datenschutzbeauftragte zu benennen ist,
- soweit die Verarbeitung von einer öffentlichen Stelle durchgeführt wird (Artikel 37 Absatz 1 Buchstabe a) DSGVO)
(dies gilt zumindest für die öffentlichen Krankenhäuser, d.h. für die Universitätskrankenhäuser und -kliniken, Landeskliniken, Kreis-, Stadt und Gemeindekrankenhäuser, die Bundeswehrkrankenhäuser sowie die Kliniken der gesetzlichen Rentenversicherungsträger und der Berufsgenossenschaften)
- die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Artikel 9 Absatz 1 DSGVO besteht.
(zu den besonderen Kategorien besonderer Kategorien von personenbezogenen Daten im Sinne von Artikel 9 Absatz 1 DSGVO gehören z.B. Gesundheitsdaten und dies ist ja das Kerngeschäft von Datenverarbeitung in Krankenhäusern, nämlich die Verarbeitung von Gesundheitsdaten - dies gilt ausnahmslos für alle Krankenhäuser)
Vorschriften darüber, ob die Tätigkeit als Vollzeit- oder Teilzeitarbeit auszuüben ist, gibt es leider nicht. Dem oder der internen Datenschutzbeauftragten muss jedenfalls so viel Zeit zur Verfügung gestellt werden, dass er diese Tätigkeit auch adäquat ausüben kann. Gegebenenfalls muss ihm oder ihr Hilfspersonal zur Verfügung gestellt werden.
Hinsichtlich Ihrer weiteren Frage, kann ich diese allerding faktisch nicht beantworten. Die ca. 2.400 Krankenhäuser und Kliniken in Deutschland haben unterschiedliche Träger. Es gibt Krankenhäuser und Kliniken in privat-rechtlicher Trägerschaft, Krankenhäuser in Trägerschaft der Bundesländer (Universitätskrankenhäuser und -kliniken, Landeskliniken), Krankenhäuser in kommunaler Trägerschaft (Stadt-, Kreis- und Gemeindekrankenhäuser), Krankenhäuser in Trägerschaft von sonstigen öffentlichen Stellen, z.B. Landschaftsverbänden, Regierungsbezirken etc. und natürlich Krankenhäuser in kirchlicher Trägerschaft. Zudem gibt es noch ca. 40 Krankenhäuser, insbesondere die Bundeswehrkrankenhäuser, und Kliniken (Kliniken der gesetzlichen Rentenversicherungen auf Bundesebene [DRV Bund, DRV Knappschaft Bahn See ], Kliniken der Berufsgenossenschaften), die in der Trägerschaft des Bundes liegen. Soweit mir bekannt ist, haben diese "Krankenhäuser des Bundesrechts" alle einen/eine interne(n) Datenschutzbeauftragte(n).
Hinsichtlich der übrigen ca. 2.350 Krankenhäuser kann ich hierzu nichts sagen, da diese der Datenschutzaufsicht entweder der Landesbeauftragten für den Datenschutz (diese heißen im Saarland und Schleswig-Holstein ULD) oder bei privatrechtlichen Krankenhäusern mit Hauptsitz in Bayern dem Bayerischen Landesamt für Datenschutzaufsicht unterliegen. Die Datenschutzaufsicht hinsichtlich der Krankenhäuser in kirchlicher Trägerschaft liegt bei den zuständigen Datenschutzstellen der katholischen und evangelischen Kirche. Zur Beantwortung Ihrer Frage müssten Sie sich daher auch an diese Stellen wenden. Auf der Homepage des BfDI finden Sie die entsprechenden Adressen.
Ich hoffe, ich habe Ihnen mit dieser Information weiterhelfen können.
Mit freundlichen Grüßen