Fehlender Datenschutzbeauftragter häufigster Datenschutzverstoß

Datenschutzbeauftragter, als Institution im Datenschutz gibt es ihn nicht erst seit 2018, also dem Jahr der DSGVO. Zwar erschien es bis 2018 vielen Praxen fremd, einen Datenschutzbeauftragten zu benennen und tatsächlich hatte vor der DSGVO kaum eine Arztpraxis, Zahnarztpraxis oder Physiotherapie-Praxis einen Datenschutzbeauftragten. Kaum etwas aus der DSGVO hat damals, 2018, die Gemüter so bewegt und war gleichzeitig so falsch verstanden, wie der Datenschutzbeauftragte. Es wurde Zeter und Mordio geschriehen: Bürokratie, Bürokratie und wer soll das bezahlen? Der damalige Bundeswirtschaftsminister Peter Altmaier sah den Zusammenbruch des Mittelstandes nahen und forderte eine Anhebung der Grenze zur Bennung eines Datenschutzbeauftragten bis 50 Personen (was dann aber nicht kam.)

Datenschutzbeauftragter in einer Praxis, alter Wein in neuen Schläuchen?

Dabei ist der Datenschutzbeauftragte keine Erfindung der DSGVO. Bereits seit 2006 waren Unternehmen in Deutschland – unter gewissen Voraussetzungen – nach dem alten Bundesdatenschutzgesetz zu benennen und auch schon damals galt eine 20 Personen-Grenze…. nur daran gehalten haben sich damals wenige.

Viele Praxen, ob Physiotherapiepraxis, Arztpraxis oder Zahnarztpraxis haben inzwischen Datenschutzbeauftragte benannt. Aber viele auch noch nicht, obwohl sie gut daran täten.

Europäische Datenschutzaufsichtsbehörde EDSA kritisiert fehlende Datenschutzbeauftragte und zu wenige Ressourcen

Das European Data Protection Board – so etwas wie die europäische Datenschutzaufsicht – kritisiert in seinem Bericht vom 16. Januer 2024, dass insgesamt immer noch

  • Zu wenige Datenschutzbeauftragte benannt werden,
  • Die Datenschutzbeauftragten zu wenige Ressourcen für Ihre Arbeit zur Verfügung gestellt bekommen,
  • Viele Datenschutzbeauftragte nicht genügende Expertise aufweisen.

Pflicht zur Benennung eines Datenschuztbeauftragten

Die DSGVO brachte in Bezug auf die Pflicht zur Benennung eines Datenschutzbeauftragten recht wenig Neues. Schwammig – wie bei europäischen “Gesetzen” so eigen – heisst es sinngemäß: Ein Datenschutzbeauftragter ist zu benennen, wenn die Kerntätigkeit des Unternehmens entweder umfangreiche regelmäßige und systematische Überwachung vorsieht oder Daten besonderer Kategorien (wie beispielsweise Patientendaten) umfangreich verarbeitet werden. Wann das der Fall ist, lässt die DSGVO in europäischer Weisheit offen. Lediglich für den Arzt, der in einer Einzelpraxis arbeitet, sollte keine Pflicht zur Benennung gelten. Dann aber im Umkehrschluss für alle anderen?

Nach dem neuen Bundesdatenschutzgesetz ist eine Praxis jedenfalls dann verpflichtet einen Datenschutzbeauftragten zu benennen, wenn mindestens 20 Personen in ihr tätig sind. Die Grenze wurde 2019 von 10 Personen auf 20 Personen angehoben. Begründet wurde dieser Schritt mit einer Entlastung des Mittelstandes. Kompletter Unsinn, wie sich bei nährer Betrachtung herausstellt. Auf dem Altar einer populistischen Symbolpolitik wurde der Datenschutzbeauftragte als (Un-)Kostenfaktor dargestellt, der er gar nicht ist.

Die Benennung eines Datenschutzbeauftragten erweist sich nämlich auch bei kleinen Praxis, egal ob Physiotherapie oder Arztpraxis als absolut sinnvoll. Jede Praxis – vollkommen unabhängig von ihrer Größe – muss nämlich den Datenschutz, wie es sich aus der DSGVO ergibt, vollständig umsetzen. Der Datenschutzbeauftragte ist lediglich ein internes Kontrollorgan, bei dem der Datenschutz zusammenläuft. Der Datenschutzbeauftragte ist ein Gewinn für jede Praxis und keine Belastung… vorausgesetzt er weist ausreichende Fachkenntnisse auf und verfügt über entsprechende Ressourcen…

Datenschutzbeauftragte brauche Expertise und Ressourcen

Kaum eine Branche profitiert im höheren Maße von einem Datenschutzbeauftragten als der Gesundheitssektor. Die ärztliche Schweigepflicht gilt nicht zu Unrecht als eine der ältesten Rechtsinstitute, die wir haben. Der Schutz von Patientendaten ist kompliziert und erfordert auf Seiten des Datenschutzbeauftragten besonder Fachkenntnisse im Datenschutz, Recht und dem Gesundheitswesen.

Ein gewiefter Datenschutzbeauftragter unterstützt die Praxis darin, den Datenschutz entspannt umzusetzen und hilft, das Vertrauen der Patienten in die Praxis zu fördern.