Wiederholt wurde der LfD im Berichtszeitraum gefragt, ob Arztpraxen, die weniger als zehn Mitarbeiterinnen oder Mitarbeiter beschäftigen, verpflichtet sind, Datenschutz- beauftragte zu bestellen. Dies wurde letztlich verneint. Datenschutzrechtlich legt § 4f Abs. 1 BDSG die Anforderungen für die Bestellung von Datenschutzbeauftragten bei nicht-öffentlichen Stellen und damit auch bei nieder- gelassenen Arztpraxen fest. Maßgeblich ist grundsätzlich die Beschäftigtenzahl, es sei denn, die Stelle nimmt automatisierte Datenverarbeitungen vor, die nach § 4d Abs. 5 BDSG einer Vorabkontrolle unterliegen. Dies ist bei niedergelassenen Ärztinnen und Ärzten im Ergebnis jedoch nicht der Fall (§ 4d Abs. 5 S. 2 2. Halbsatz BDSG).
Auch wenn Arztpraxen, die Patientendaten automatisiert verarbeiten und weniger als zehn Personen damit beschäftigen, nicht verpflichtet sind, eigene Datenschutz- beauftragte zu bestellen, bedeutet dies nicht, dass da- durch die Einhaltung der datenschutzrechtlichen Vorgaben gefährdet ist. Bereits die berufs-, datenschutz- und straf- rechtlichen Vorgaben verpflichten die Ärzteschaft, ihre Schweigepflicht sicherzustellen und somit zwangsläufig auch die hierzu erforderlichen technischen und organisatorischen Maßnahmen vorzunehmen (§ 9 BDSG).