Anhebung der Benennungsschwelle für Datenschützer – Pyrrhussieg für ein Potemkinsches Dorf

-Änderung des Bundesdatenschutzgesetzes: Pflichten bleiben, Umsetzungskompetenz wird abgebaut-

BildDie Verabschiedung des 2. Datenschutzanpassungs- und Umsetzungsgesetz, welches jetzt durch den Bundestag verabschiedet wurde, erfährt sowohl positive Resonanz, aber auch heftige Kritik. So feiern Apotheker-, Ärzte- und Handwerkskammern die Änderungen als einen Erfolg zum Abbau von bürokratischen Vorgaben, Datenschützer und Datenschutzaufsichtsbehörden warnen vor einer „Scheinsicherheit“ beim Datenschutz.

Um was genau geht es:
Kernpunkt der Diskussion ist die Erhöhung der Grenze bei der Bestellpflicht von betrieblichen Datenschutzbeauftragten. Bisher musste ein Betrieb mit mindestens 10 Personen die ständig mit der automatisierten personenbezogenen Datenverarbeitung beschäftigt sind einen betrieblichen Datenschutzbeauftragten benennen. Diese Bestellschwelle eines betrieblichen Datenschutzbeauftragten wurde nun durch die Änderung des Bundesdatenschutzgesetzes auf mindestens 20 Personen angehoben. Medien und Arbeitgeberverbände betitelten diese Änderung teilweise als „Entschärfung“ der europäischen Datenschutz-Grundverordnung.
Wie die SPD Bundestagsabgeordnete Elvan Korkmaz aus Gütersloh stellvertretend für den Arbeitskreis Digitales der SPD Bundestagsfraktion actus-IT mitteilte, ist die obige Einschätzung falsch, da die europäische Datenschutzverordnung immer noch unmittelbar gilt und nicht durch die Gesetzgebung der Mitgliedstaaten einfach geändert oder „entschärft“ werden kann.
Nach Ihrer Aussage kam die Änderung auf Antrag der Unionsfraktionen in die Gesetzesberatungen, wobei ursprünglich nach Ansicht der Union eine Bestellpflicht für einen betrieblichen Datenschutzbeauftragten ab 50 Beschäftigten im Raum stand.
Nach Ansicht von actus-IT ist die Erhöhung der Benennungspflicht eines Datenschutz-beauftragten nur ein kurzfristiger Erfolg, der aber mit dem Abbau von Kompetenz zu teuer erkauft wurde ohne grundsätzlich wirklich nachhaltig zu sein scheint. Denn die Erfüllung der Datenschutzvorgaben der EU-DSGVO gelten für kleine Unternehmen, Vereine, Apotheken oder Arztpraxen unabhängig von der Mitarbeiterzahl weiter. Insbesondere die Umsetzung der Informationspflichten, Meldungen von Datenpannen oder das Führen von Verzeichnissen von Verarbeitungstätigkeiten seien in diesem Zusammenhang genannt.

Das gerade Ärzte- und Apothekerverbände die Anhebung der Bestellungspflicht eines Datenschutzbeauftragten als Erfolg feiern ist mehr als verwunderlich. Denn, die Kerntätigkeit einer Apotheke bzw. einer Arztpraxis besteht u.U. aus der umfangreichen Verarbeitung von besonderen Kategorien von Daten (hier insbesondere Gesundheitsdaten). Nach Art. 37 Abs. 1 lit. c der EU-DSGVO ist bei der Verarbeitung von besonderen Kategorien von Daten ein entsprechender Datenschutzbeauftragter unabhängig von der Mitarbeiterzahl zu benennen. Hier springt also die Gesetzesänderung zu kurz. Anstatt kurzfristige Erfolge zu feiern wäre es für die Interessenverbände sinnvoller entsprechend der Gesetzeslage Aufklärungsarbeit zu leisten, und ihre Mitglieder besser zu informieren. Nur, wer soll das demnächst vor Ort übernehmen, insbesondere dann, wenn der betriebliche Datenschutzbeauftragte wegfällt, da die Praxisinhaber der Auffassung sind, sie bräuchten sich nicht mehr um die Datenschutzvorsorge zu kümmern?

Denn gerade jetzt zeigt eine neue Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) das sensible Daten von Patientinnen und Patienten nicht ausreichend in den Apotheken und Praxen geschützt sind. Passwörter werden unsachgemäß vergeben, oder gar mit anderen Personen geteilt. E-Mails mit sensiblen Inhalten werden nicht verschlüsselt, bzw. ohne Sicherungssignaturen versendet. Ein weiteres Beispiel ist der „alltägliche Datenschutzwahnsinn“ an der Rezeption in einer Arztpraxis mit permanenten Datenschutzverstößen.

Fazit: Die Pflichten zur Umsetzung der Datenschutzgrundverordnung bleiben, aber die vorhandenen Kompetenzen mit der Erhöhung der Benennungsschwelle auf 20 beschäftigte Personen wird abgebaut. Man kann kleineren Unternehmen, Apothekern, und auch Ärzten mit weniger als 20 Beschäftigten nur raten, trotzdem eine Person mit der Umsetzung des betrieblichen Datenschutzes zu beauftragen. Ob diese Position dann Datenschutzbeauftragter, oder Datenschutzkoordinator heißt, ist zunächst zweitrangig. Wichtig ist, dass die bußgeldbewährten Prozesse zum Datenschutz umgesetzt werden.

Verantwortlicher für diese Pressemitteilung:

actus-IT
Herr Frank Sommerfeld
Obere Str. 28a
32108 Bad Salzuflen
Deutschland

fon ..: 05222 921315
web ..: http://www.actus-it.de
email : info@actus-it.de

Als bundesweite Dienstleister ist actus-IT Ihr Partner rund um die Themen „Datenschutz“ und „Datensicherheit“. Actus-IT berät und unterstützt Anbieter im Gesundheitswesen, Unternehmen, Behörden und Verwaltungen bei allen Fragen des Datenschutzes sowie der Daten-, Informations- und IT-Sicherheit.

Unsere Dienstleistungspalette ist flexibel und auf die Anforderungen der Unternehmen und Organisationen individuell abgestimmt. Sie reicht von einem kostenfreien Datenschutz-Basis-Check über die Erstellung der notwendigen Datenschutzakten nach Bundesdatenschutzgesetz (BDSG), die Erstellung der notwendigen Verfahrensverzeichnisse und die Datenschutzdokumentation, bis hin zur Einführung eines Datenschutzmanagementsystems nach ISO 27001. Weiterhin führen wir auf Nachfrage regelmäßige Datenschutzaudits durch und übernehmen für unsere Kunden das Mandat eines externen Datenschutzbeauftragten.

Pressekontakt:

actus-IT
Herr Frank Sommerfeld
Obere Str. 28a
32108 Bad Salzuflen

fon ..: 05222 921315
web ..: http://www.actus-it.de
email : info@actus-it.de