Aus den aktuellen Berichten der Aufsichtsbehörden (59): Feststellungen zu betrieblichen/behördlichen Datenschutzbeauftragten
I. Datenschutzbeauftragte in Krankenhäusern – ein Statusbericht der LDI NRW (26. Bericht 2021; Ziff. 7.1)
Krankenhäuser verarbeiten mit Gesundheitsdaten überwiegend besondere Datenkategorien. Sie sind daher besonders auf die Unterstützung durch eigene Datenschutzbeauftragte bei der Einhaltung datenschutzrechtlicher Vorgaben angewiesen. Für Krankenhäuser, die als privatwirtschaftliches Unternehmen geführt werden, ergibt sich die Pflicht zur Benennung von Datenschutzbeauftragten aus Art. 37 Abs. 1 Buchstabe c Datenschutz-Grundverordnung (DS-GVO). Danach benennen Verantwortliche und Auftragsverarbeiter immer dann Datenschutzbeauftragte, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Verarbeitung besonderer Kategorien von Daten nach Art. 9 besteht. Für Krankenhäuser in öffentlicher Hand ergibt sich die Pflicht zudem aus Art. 37 Abs. 1 Buchstabe a DS-GVO, da öffentliche Stellen in jedem Fall Datenschutzbeauftragte zu benennen haben.
Krankenhäuser verarbeiten nahezu ausschließlich sensible Daten, deshalb kommt der internen Beratung und Kontrolle durch eigene Datenschutzbeauftragte ein besonderes Gewicht zu. Als Datenschutzbeauftragte können geeignete Personen innerhalb oder außerhalb des Verantwortlichen bzw. Auftragsverarbeiters benannt werden.
Eine Prüfung des IST-Zustands bei der DSB-Benennung in großen staatlichen Krankenhäusern in NRW ergab folgendes Bild:
Alle geprüften Krankenhäuser sind der Pflicht zur Benennung von Datenschutzbeauftragten nachgekommen und haben deren Kontaktdaten an geeigneter Stelle veröffentlicht. Sechs von 32 Krankenhäusern wurde allerdings empfohlen, zusätzliche Angaben auf der jeweiligen Homepage zu ergänzen, um Patient/innen sowie anderen Betroffenen die Kontaktaufnahme zu den Datenschutzbeauftragten zu erleichtern. Zwei Krankenhäuser sind dieser Empfehlung gefolgt. Drei Krankenhäuser hatten die Kontaktdaten ihrer Datenschutzbeauftragten der LDI NRW noch nicht gemäß Art. 37 Abs. 7 DS-GVO gemeldet; haben dies aber nachgeholt.
II. Benennung von Datenschutzbeauftragten in Jagdgenossenschaften in Bayern (BayLfDI, 30. TB 2020, Ziff. 6.7)
Die gemäß Art. 11 Abs. 1 Satz 1, 2 Bayerisches Jagdgesetz (BayJG) als Körperschaften des öffentlichen Rechts organisierten Jagdgenossenschaften unterliegen staatlicher Aufsicht und fallen als öffentliche Stellen unter das Bayerische Datenschutzgesetz (Art. 1 Abs. 1 Satz 1 BayDSG). Sie sind daher – unabhängig von ihrer Größe – nach Art. 37 Abs. 1 Satz 1 Buchst. a DS-GVO zur Benennung von Datenschutzbeauftragten verpflichtet. Der LfDI befürchtet einen Interessenkonflikt im Sinne des Art. 38 Abs. 6 DS-GVO, wenn Datenschutzbeauftragte zugleich Mitglieder der Vorstandschaft sind, da die Vorstandschaft als Vertretung der Jagdgenossenschaft nach außen die Aufgaben wahrnimmt, welche die Datenschutz-Grundverordnung dem Verantwortlichen zuweist.
Da gerade bei kleineren Jagdgenossenschaften die Benennung von geeigneten Datenschutzbeauftragten Probleme bereitet, bieten sich die den Jagdgenossenschaften offenstehenden Kooperationsmöglichkeiten an. Beispielsweise könnte nach Art. 37 Abs. 6 DS-GVO etwa eine Jagdgenossin oder ein Jagdgenosse mit datenschutzrechtlichen Kenntnissen die Funktion als Datenschutzbeauftragter für mehrere Jagdgenossenschaften übernehmen. Das gemäß Art. 30 DS-GVO zu führende Verarbeitungsverzeichnis muss zumindest die Führung des Jagdkatasters umfassen. Zu denken ist auch an die Verarbeitung weiterer Daten von Mitgliedern oder Jagdpächtern.