Datenschutzbeauftragter erforderlich?

[avoelp]

Herr X arbeitet freiberuflich im Bereich klinische Forschung und hat keine weiteren Mitarbeiter ("Ein-Mann-Betrieb"). Im Rahmen seiner Tätigkeit verarbeitet er Gesundheitsdaten von Personen, die an Forschungsprojekten teilnehmen. Die Personen haben in die Teilnahme und in die Weitergabe und Nutzung ihrer Daten eingewilligt. Die Daten sind pseudonymisiert; den Schlüssel zur Depseudonymisierung kennt nur der Arzt, der die Studienteilnehmer bei den Projekten betreut hat - Herr X kennt diesen Schlüssel nicht und kann die Daten daher auch nicht rückverfolgen.

Laut Art. 37 Abs. 1 c) DSGVO und dem darin enthaltenen Verweis auf Art. 9 DSGVO wird bei der Verarbeitung personenbezogener Gesundheitsdaten ein Datenschutzbeauftragter unabhängig von der Betriebsgröße benötigt. Trifft das im vorliegenden Fall auch auf Herrn X zu, obwohl er selbst die Daten ja nicht depseudonymisieren kann? Falls ja, müsste das dann wohl vermutklich ein externer Datenschutzbeauftragter sein, denn Herr X kann sich ja nicht selbst überwachen ...?!

Gruß, AV

[idem]

Art. 4 DSGVO

Begriffsbestimmungen


Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

[avoelp]

... schon klar. Der Punkt ist hier, dass die Personen, um deren Gesundheitsdaten es geht, zwar prinzipiell identifizierbar sind (durch die Pseudonymisierung) - aber nur durch den Arzt, der die Daten dokumentiert hat, nicht für Herrn X, der keinen Zugriff auf diesen Schlüssel hat. Macht das im Hinblick auf die datenschutzrechtlichen Anfürderungen für die Verarbeitung durch Herrn X einen Unterschied?

[Zafilutsche]

Mal ganz pragmatisch zu der Frage ob ein "Datenschutzbeauftragter" erforderlich ist.
Mal angenommen es ist ein 1-Personenbetrieb. Die Daten die gesammelt gespeichert und weiter verarbeitet werden, unterliegen der DSGVO und die Vorschriften sind grundsätzlich einzuhalten.
Chef kann durch Selbststudium oder schneller/einfacher/kostengünstiger sich schulen/Unterweisen lassen oder wie schon selbst erkannt sich Unterstützung durch einen extern Beauftragten die Leistung zukaufen. (Ist auch nicht immer so verkehrt!).
Wichtig ist die Konformität zu den Vorschriften. Daher meine ich, dass bei einem 1-Mann Betrieb die Verantwortlichkeit klar und eindeutig
zweifelsfrei festgelegt sind. Eine extra (obligatorische) Benennung könnte man machen z.B. das Kunden sofort erkennen wer im Unternehmen auch der Ansprechpartner ist (nicht jeder weiss dass nur eine Person dort tätig ist) aber ob zwingend eine Benennung erforderlich ist? Ich glaube eher nicht.