Datenschutz in der Praxis (Teil 1)
Wir sind bereits seit vielen Jahren im Datenzeitalter angekommen. Bemerkt haben wir davon jedoch sehr lange nichts. Während gleichzeitig Billionenkonzerne entstanden sind, die mit unseren Daten nahezu ihren vollständigen Umsatz generieren. Der Gesetzgeber hat erst träge reagiert, um dann in Gesetzesnovellierungen seine Härte darzulegen – und nun ist er entschlossen, die geschaffenen Regelungen auch zu kontrollieren und zu sanktionieren.
Im heutigen Beitrag werfe ich einen kritischen Blick auf das 2. Datenschutz-Anpassungsgesetz. Ganz vermeiden kann ich dabei einen kleinen gesetzlicher Abriss nicht:
Schon jetzt steht das 2. Datenschutz-Anpassungsgesetz mächtig in der Kritik. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, rügt die neue Rechtsprechung: Das neue Gesetz vermittle den Eindruck, dass kleine Unternehmen nun weniger Pflichten beim Datenschutz unterliegen. Das sei aber nicht der Fall. Tatsächlich sei zu erwarten, dass entsprechende Betriebe bald mehr und höhere Bußgelder zahlen müssen, wenn sie auf die Unterstützung eines Datenschutzbeauftragten verzichten.
Nein, kleine Firmen haben nicht weniger Pflichten
Befasst man sich ein wenig genauer mit dem Thema, kann man die Meinung von Herrn Kelber nur teilen. Politik und Presse veröffentlichten Artikel, die mit Überschriften wie „Bund lockert Datenschutz für kleine Betriebe“ für das neue Gesetz werben. Leider sind diese Aussagen falsch, es wurde lediglich die Personengrenze zur Benennung eines Datenschutzbeauftragten von 10 Mitarbeiter auf 20 Mitarbeiter angehoben. Alle anderen Gesetze gelten unverändert: Die Pflichtdokumentation muss weiterhin jeder Betrieb und jedes Unternehmen erfüllen, egal ob man einen Mitarbeiter hat oder 1.000. Diese Bürokratie und der damit verbundene Arbeitsaufwand ist für die Ein-Behandler-Praxis ohne einen (externen) Datenschutzbeauftragten kaum zu stemmen.
Was sagt das Gesetz?
Am 25. Mai 2020 wurde die Datenschutz-Grundverordnung (DSGVO) bereits zwei Jahre alt – wobei der Vorlauf bis ins Jahr 2015 zurückreicht. Fast täglich werden EU-weit Urteile gesprochen und Bußgelder verhängt. Viele dieser Urteile gelten als Präzedenzfälle. In Deutschland müssen sich alle Unternehmen zusätzlich zur DSGVO noch an die neue Fassung des Bundesdatenschutzgesetzes (BDSG) halten, wobei sich hier im vergangenen Jahr eine gravierende Änderung ergab.
2. Datenschutz-Anpassungsgesetz
Nachdem der Bundestag Ende Juni 2019 den Entwurf zum 2. Datenschutz-Anpassungsgesetz beschlossen hatte, stimmte der Bundesrat nach der Sommerpause vergangenen Jahres dem Gesetz ebenfalls zu. Mit der Verkündung im Bundesgesetzblatt am 25. November 2019 wurde das Gesetz zu geltendem Recht.Bisher galt, dass alle Unternehmen, die in der Regel mindestens zehn Personen beschäftigen, die ständig mit der Verarbeitung personenbezogener Daten befasst sind, einen Datenschutzbeauftragten benennen müssen – hierbei spielt es keine Rolle, ob dies intern oder extern geschieht. Diese Personengrenze wurde auf 20 Personen angehoben. Die Politik wollte damit vor allem kleine Unternehmen und Betriebe entlasten, dies scheint aber leider nur auf den ersten Blick so.
Im Jahr 2019 kam es allein in Deutschland zu Bußgeldern in Höhe von circa 25,5 Millionen Euro. Viele dieser Strafen stellen Präzedenzfälle dar und machen klar, wie das Gesetz auszulegen ist. Es sind sozusagen die ersten Flankierungen und das „Zeigen von Zähnen“.
An dieser Stelle ein Beispiel: Der BfDI hat den Telekommunikationsdienstleister „1&1 Telecom GmbH“ mit einer Geldbuße in Höhe von 9,5 Millionen Euro belegt. Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In dem Fall hatte der BfDI erfahren, dass Anrufer bei der Kundenbetreuung allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu seinen weiteren personenbezogenen Daten erhalten konnten. Diese Strafe hatte weitreichende Folgen für alle Unternehmen in Deutschland, besonders jedoch für die Arzt- und Zahnarztpraxen.
Sie müssen die Daten Ihrer Patienten schützen
Gibt eine Praxis am Telefon personenbezogene Daten jeglicher Art heraus, muss vorher eine eindeutige Identifikation erfolgen. Dabei reicht die Abfrage des Geburtsdatums oder der Adresse nicht aus. Die Praxis sollte zur Identifikation stattdessen die Patientennummer oder die Versichertennummer abfragen, um datenschutzrechtlich auf der sicheren Seite zu sein.
Fazit
Durch Urteile ändert sich regelmäßig die Auslegung der Rechtslage im Datenschutz. Besonders bei den Medien wird hierbei aber nicht immer sorgfältig auf die Richtigkeit von Quellen und Aussagen geachtet. Die DSGVO und das Bundesdatenschutzgesetz (BDSG) in der Neufassung gelten weiterhin für jedes Unternehmen in Deutschland. Die Mitarbeiterzahl spielt hierbei keinerlei Rolle! Alle Pflichtdokumente müssen vorhanden sein. Für deren Erstellung kann das Hinzuziehen eines externen Datenschutzbeauftragten sehr sinnvoll sein. Dann sind Sie auf der sicheren Seite. Letztlich ist das aber eine Kosten-Nutzen-Abwägung, die jeder Praxisinhaber selbst anstellen muss. Aber eins steht fest: Es wird das Jahrzehnt der Daten. Das kann ich Ihnen versprechen.
In diesem Sinne ...
Ihr Christian Henrici
zusammen mit Nico Frings,
Mitglied im Praxisflüsterer-Team
Henrici@opti-hc.de, www.opti-hc.de