Die Bundesregierung, konkret das Bundesgesundheitsministerium, hat eine schriftliche Frage des Abgeordneten Dr. Kessler im Bundestag beantwortet, die sich mit der Haftung für Verstöße gegen die DSGVO befasst.
Die Frage (BT Drs. 19/11401, pdf S. 87) bezieht sich auf die Haftung für Verstöße gegen die DSGVO im Gesundheitsbereich, konkret in ärztlichen, zahnärztlichen oder psychotherapeutischen Praxen.
Zunächst verweist die Bundesregierung auf Art. 82 DSGVO und auch § 83 BDSG. Der Verweis auf § 83 BDSG ist hier meines Erachtens falsch, da § 83 BDSG eine Umsetzung der Vorgaben der Richtlinie 2016/680 darstellt und diese auf die Tätigkeiten von Praxisinhabern keine Anwendung findet.
Weiter führt die Bundesregierung in ihrer Antwort aus, dass Verantwortlicher (iSd DSGVO) in einer ärztlichen, zahnärztlichen oder psychotherapeutischen Praxis grundsätzlich der oder die Inhaber dieser Praxis sind. Diese Ansicht dürfte nicht weiter überraschen.
Interessant ist meines Erachtens die nachfolgende Einschätzung. Die Bundesregierung verweist auf Art. 24 DSGVO wonach der Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen hat, um sicherzustellen, dass die Verarbeitung gemäß den Vorgaben der DSGVO erfolgt.
Hat er seine diesbezügliche Sorgfaltspflicht nicht erfüllt, haftet er nach Artikel 82 DSGVO und § 83 BDSG für einen daraus resultierenden Schaden.
Die Bundesregierung scheint hier aus Art. 24 DSGVO mithin eine allgemeine Sorgfaltspflicht des Verantwortlichen (nur für diesen gilt Art. 24 DSGVO) abzuleiten. Diese Sorgfaltspflicht bezieht die Bundesregierung ganz generell auf die Verarbeitung, die die Vorgaben der DSGVO einhalten muss. Dabei bleibt die Aussage der Bundesregierung zum Pflichtenumfang vage und weit. Das ist aber wenig verwunderlich, da Art. 24 Abs. 1 DSGVO selbst auch sehr offen formuliert ist. Für die Praxis interessant dürfte an der Aussage in jedem Fall sein, dass die Bundesregierung in Art. 24 DSGVO eine allgemeine Sorgfaltspflicht verortet, deren Nichteinhaltung zur Schadensersatzhaftung führen kann.
Zu beachten ist hierbei, dass Art. 24 DSGVO selbst eigentlich keine weiteren konkreten Pflichten vorgibt, sondern eher als General- bzw. Auffangnorm in der DSGVO zur Verantwortlichkeit des Verantwortlichen angesehen wird. Hinzuweisen ist auch noch darauf, dass Art. 24 DSGVO sich ausdrücklich auf die Verarbeitung bezieht, die gemäß der DSGVO erfolgen muss. Art. 24 DSGVO erstreckt sich mithin nicht auf nicht-verarbeitungsbezogene Pflichten, wie etwa die Benennung eines DSB.