Zum Inhalt springen
| News

Datenschutznovelle: Sinnvoll oder nicht?

Ende vergangener Woche hat der Bundestag eine Lockerung des Bundesdatenschutzgesetzes beschlossen, wonach zukünftig Arzt- und Zahnarztpraxen erst ab einer Anzahl von 20 Mitarbeitern dazu verpflichtet sind, einen Datenschutzbeauftragten zu benennen. Damit wird die in § 38 Bundesdatenschutzgesetz (neue Fassung) beschriebene 10-Personen-Regel kurzerhand über Bord geworfen und verdoppelt. Was bedeutet das für Sie in der Arzt- und Zahnarztpraxis?

Auch wenn Ihre Praxisleitung zukünftig (das Gesetz muss erst noch vom Bundesrat bestätigt werden, bevor es in Kraft tritt) bei einer Mitarbeiterzahl von unter 20 nicht mehr dazu verpflichtet ist, eine Datenschutzbeauftragte zu benennen, ändert sich an den Anforderungen an den Datenschutz nichts. Und die sind seit Inkrafttreten der Europäischen Datenschutzgrundverordnung (EU-DSGVO) im Mai 2018 und der Novellierung des Bundesdatenschutzgesetzes (BDSG n.F.) nicht unerheblich.

Um nur einige Beispiele zu nennen:

  • Ihre Praxis hat umfangreiche Informations-, Dokumentations- und Nachweispflichten, denen sie nachkommen muss
  • Sie sind beispielsweise verpflichtet, ein sogenanntes Verarbeitungsverzeichnis zu erstellen, in dem alle Verarbeitungstätigkeiten detailliert beschrieben werden
  • Sie dokumentieren alle technisch-organisatorischen Maßnahmen zum Schutze aller Betroffenen (Patienten und Mitarbeiter)
  • Mit Ihren Auftragsverarbeitern (externen Dienstleistern) schließen Sie Auftragsverarbeitungsverträge ab, die den gesetzlichen Anforderungen an den Datenschutz genügen müssen
  • Sie melden Ihrer Aufsichtsbehörde Datenschutzverstöße innerhalb von 72 Stunden, sofern der Verstoß die Rechte eines Betroffenen oder mehrerer Betroffener gefährdet
  • Sie nehmen eine Datenschutz-Folgenabschätzung vor, wenn die Größe Ihrer Praxis oder eine Ihrer Verarbeitungstätigkeiten es nötig macht
  • Sie nehmen Ihre gesamte IT unter die Lupe, um durch entsprechende Voreinstellungen und Sicherungsmaßnahmen die Sicherheit gespeicherter und versendeter Daten zu gewährleisten
  • Etc.

 

Wenn eine Praxis gegen eine oder mehrere dieser Pflichten verstößt, kann gegen sie ein Bußgeld verhängt werden. Dazu ist es seit 2018 bereits mehrfach gekommen.

Mit der Anhebung der Mitarbeiterzahl von 10 auf 20 für die Benennung einer Datenschutzbeauftragten glaubt der Gesetzgeber, dem deutschen Mittelstand einen Gefallen zu tun. Moniert wurde in der Vergangenheit immer wieder der Bürokratieaufwand, der mit der Datenschutzgrundverordnung verbunden sei. Doch wir schließen uns der Einschätzung Ulrich Kelbers, dem Bundesdatenschutzbeauftragten, an, der die Hochsetzung für eine falsche Maßnahme hält, weil sie den Datenschutz gefährdet. Die Pflichten bleiben schließlich, die Kompetenz nimmt mit dem Wegfallen einer Datenschutzbeauftragten jedoch ab. Warum?

Benennt eine Praxis eine Datenschutzbeauftragte (intern oder extern), räumt sie dem Datenschutz den Raum ein, den er benötigt. Denn die Aufgaben einer Datenschutzbeauftragten sind umfangreich. Wer soll sich zukünftig um den Datenschutz kümmern? Der Praxisleitung dürfte schlicht die Zeit dafür fehlen. Zur Erinnerung:

Die Aufgaben einer Datenschutzbeauftragten

  • Berät die Praxisleitung über datenschutzrechtliche Sachverhalte und hält die Praxis auf dem Laufenden beim Datenschutz
  • Sensibilisiert das Praxisteam für den Datenschutz und schult es darin
  • Ist Ansprechpartnerin für die Datenschutzaufsichtsbehörde und für Patienten, Beschäftigte und Kooperationspartner
  • Erstellt in Zusammenarbeit mit der Praxisleitung Verarbeitungsverzeichnis, Einwilligungserklärungen, Patienteninformationen, Verträge mit Auftragsverarbeitern etc.
  • Berät die Leitung bei der Durchführung einer Datenschutz-Folgenabschätzung
  • Etc.

 

Sie sehen, das Aufgabengebiet ist umfangreich und mit viel Verantwortung verbunden. Und diese Aufgaben bleiben erhalten, auch wenn ein Großteil der Praxen mit der Novellierung des Gesetzes nicht mehr verpflichtet ist, eine Datenschutzbeauftragte zu benennen. Wir empfehlen Ihnen daher, eine Datenschutzbeauftragte oder -koordinatorin zu benennen, auch wenn Sie das vom Gesetz her nicht müssen. Nur wenn sich eine Mitarbeiterin für den Datenschutz zusammen mit dem Team und der Leitung einsetzt und verantwortlich fühlt, werden Sie beim Datenschutz ein Niveau erreichen, das den Anforderungen entspricht.