Anhebung der Benennungsschwelle für Datenschützer – Pyrrhussieg für ein Potemkinsches Dorf
Anhebung der Benennungsschwelle für Datenschützer – Pyrrhussieg für ein Potemkinsches Dorf
-Änderung des Bundesdatenschutzgesetzes: Pflichten bleiben, Umsetzungskompetenz wird abgebaut-
Die Verabschiedung des 2. Datenschutzanpassungs- und Umsetzungsgesetzes, welches jetzt durch den Bundestag verabschiedet wurde, erfährt sowohl positive Resonanz, aber auch heftige Kritik. So feiern Apotheker-, Ärzte- und Handwerkskammern die Änderungen als einen Erfolg zum Abbau von bürokratischen Vorgaben, Datenschützer und Datenschutzaufsichtsbehörden warnen vor einer „Scheinsicherheit“ beim Datenschutz.
Worum genau geht es:
Kernpunkt der Diskussion ist die Erhöhung der Grenze bei der Bestellpflicht von betrieblichen Datenschutzbeauftragten. Bisher musste ein Betrieb mit mindestens 10 Personen, die ständig mit der automatisierten personenbezogenen Datenverarbeitung beschäftigt sind, einen betrieblichen Datenschutzbeauftragten benennen. Diese Bestellschwelle eines betrieblichen Datenschutzbeauftragten wurde nun durch die Änderung des Bundesdatenschutzgesetzes auf mindestens 20 Personen angehoben. Medien und Arbeitgeberverbände betitelten diese Änderung teilweise als „Entschärfung“ der europäischen Datenschutz-Grundverordnung.
Wie die SPD Bundestagsabgeordnete Elvan Korkmaz aus Gütersloh stellvertretend für den Arbeitskreis Digitales der SPD Bundestagsfraktion actus-IT mitteilte, ist die obige Einschätzung falsch, da die europäische Datenschutzgrundverordnung immer noch unmittelbar gilt und nicht durch die Gesetzgebung der Mitgliedstaaten einfach geändert oder „entschärft“ werden kann.
Nach ihrer Aussage kam die Änderung auf Antrag der Unionsfraktionen in die Gesetzesberatungen, wobei ursprünglich nach Ansicht der Union eine Bestellpflicht für einen betrieblichen Datenschutzbeauftragten ab 50 Beschäftigten im Raum stand.
Nach Ansicht von actus-IT ist die Erhöhung der Personenanzahl für die Benennungspflicht eines Datenschutzbeauftragten nur ein kurzfristiger Erfolg, der aber mit dem Abbau von Kompetenzen zu teuer erkauft wurde, ohne dass dies grundsätzlich wirklich nachhaltig zu sein scheint. Denn die Erfüllung der Datenschutzvorgaben der EU-DSGVO gilt für kleine Unternehmen, Vereine, Apotheken oder Arztpraxen unabhängig von der Mitarbeiterzahl weiter. Insbesondere die Umsetzung der Informationspflichten, Meldungen von Datenpannen oder das Führen von Verzeichnissen von Verarbeitungstätigkeiten seien in diesem Zusammenhang genannt.
Dass gerade Ärzte- und Apothekerverbände die Anhebung der Personenanzahl bei der Bestellungspflicht eines Datenschutzbeauftragten als Erfolg feiern, ist mehr als verwunderlich. Denn die Kerntätigkeit einer Apotheke bzw. einer Arztpraxis besteht u. U. aus der umfangreichen Verarbeitung von besonderen Kategorien von Daten (hier insbesondere Gesundheitsdaten). Nach Art. 37 Abs. 1 lit. c der EU-DSGVO ist bei der Verarbeitung von besonderen Kategorien von Daten ein entsprechender Datenschutzbeauftragter unabhängig von der Mitarbeiterzahl zu benennen. Hier springt also die Gesetzesänderung zu kurz. Anstatt kurzfristige Erfolge zu feiern wäre es für die Interessenverbände sinnvoller, entsprechend der Gesetzeslage Aufklärungsarbeit zu leisten und ihre Mitglieder besser zu informieren. Nur, wer soll das demnächst vor Ort übernehmen, insbesondere dann, wenn die betrieblichen Datenschutzbeauftragten wegfallen, da die Praxisinhaber der Auffassung sind, sie bräuchten sich nicht mehr um die Datenschutzvorsorge zu kümmern?
Denn gerade jetzt zeigt eine neue Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV), dass sensible Daten von Patientinnen und Patienten in den Apotheken und Praxen nicht ausreichend geschützt sind. Passwörter werden unsachgemäß vergeben oder gar mit anderen Personen geteilt. E-Mails mit sensiblen Inhalten werden nicht verschlüsselt bzw. ohne Sicherungssignaturen versendet. Ein weiteres Beispiel ist der „alltägliche Datenschutzwahnsinn“ an der Rezeption in einer Arztpraxis mit permanenten Datenschutzverstößen.
Fazit: Die Pflichten zur Umsetzung der Datenschutzgrundverordnung bleiben, aber die vorhandenen Kompetenzen mit der Erhöhung der Benennungsschwelle auf 20 beschäftigte Personen wird abgebaut. Man kann kleineren Unternehmen, Apothekern und auch Ärzten mit weniger als 20 Beschäftigten nur raten, trotzdem eine Person mit der Umsetzung des betrieblichen Datenschutzes zu beauftragen. Ob diese Position dann Datenschutzbeauftragter oder Datenschutzkoordinator heißt, ist zunächst zweitrangig. Wichtig ist, dass die bußgeldbewährten Prozesse zum Datenschutz umgesetzt werden.