Von einigen Organisationen, insbesondere aber von politischer Seite wurde in diesem Sommer eine Änderung des § 38 im Bundesdatenschutzgesetz (BDSG) als großer Durchbruch und als wesentliche Vereinfachung des Datenschutzes gefeiert. Sobald diese Änderung im Bundesgesetzblatt veröffentlicht ist, wird sie geltendes Recht sein.
Zu früh gefreut. In ihrer Euphorie über die beschlossene Änderung des entsprechenden Paragrafen wähnten sich bereits einige Personen am Ziel ihrer Wünsche, sich nämlich nicht mehr um den Datenschutz kümmern zu müssen. Diesem teils überschwänglichen Ausbruch an Freude liegt jedoch eine Gesetzesänderung zugrunde, die von etablierten Datenschützern teilweise als kritisch oder sogar als schädlich betrachtet wird. Dabei besteht die Änderung gerade einmal aus einer Ziffer. War vorher die Bemessungszahl für die Bestellung eines Datenschutzbeauftragten im Bundesdatenschutzgesetz mit zehn Personen angegeben, so wurde diese Zahl jetzt auf 20 geändert. Hätte sich der eine oder andere Aktivist einmal intensiver mit dem Datenschutzrecht auseinandergesetzt, wäre uns diese Änderung und eine weitere Konfusion in Zusammenhang mit dem Datenschutz vermutlich erspart geblieben, denn eine wirkliche Verbesserung bringt sie bei genauerer Betrachtung nicht.
Nationales Recht kann EU-Recht allenfalls verschärfen. Gleich vorweg: Durch eine Änderung des Bundesdatenschutzgesetzes können Bestimmungen der Europäischen Datenschutzgrundverordnung (DSGVO) nicht ausgehebelt werden. National darf vielmehr nur dort etwas geregelt werden, wo dies explizit in der DSGVO vorgesehen ist. Üblicherweise sind daher nationale Regelungen i.d.R. „schärfer“ als die Vorgaben der EU, da die DSGVO als Mindeststandard anzusehen ist.
Restriktivere Regelung in Deutschland. Der Deutsche Gesetzgeber hat von der Möglichkeit einer restriktiveren nationalen Regelung im § 38 BDSG darum auch Gebrauch gemacht.
Dabei lohnt es sich, den aktuellen Gesetzestext etwas genauer zu lesen. Während nämlich vor dem 25.05.2018 der Umgang mit personenbezogenen Daten oftmals dann schon als gegeben angesehen wurde, wenn ein Mitarbeiter elektronisch auf ein E-Mail- oder Adressverzeichnis zugreifen konnte, ist die aktuelle Version des Bundesdatenschutzgesetzes deutlich großzügiger ausgelegt. Entsprechend war diese auch bereits vor der neuesten Änderung deutlich weniger restriktiv als das Vorgängergesetz. Das BDSG sagt nämlich in § 38 Folgendes: „Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn (Anm. d. Verf.: zukünftig geändert in 20) Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“.
Was bedeutet „Arbeiten mit Daten“? Die Personen, die zur Bemessung herangezogen werden, arbeiten also nicht nur beiläufig mit personenbezogenen Daten. Wer nur an einem sonst technisch ausgelegten Arbeitsplatz mit E-Mail arbeitet und keine personenbezogenen Daten nachhaltig verarbeitet, wird nicht mitgezählt. In aller Regel dürften Mitglieder der Geschäftsleitung, Personalverantwortliche, Mitarbeiter einer Personalstelle oder eines Lohnbüros sowie Mitarbeiter in der Kundenbetreuung mitgezählt werden.
Für viele technische Unternehmen und Produktionsbetriebe kann dies letztlich bedeuten, dass sie durchaus mehr als 100 Mitarbeiter beschäftigen könnten, ohne dass zwingend ein Datenschutzbeauftragter bestellt werden müsste. Aufgrund dieser ohnehin großzügigen Berechnung der Bemessungsgrundlage bringt auch die Änderung der Personenzahl von zehn auf 20 Personen kaum eine Verbesserung. Liest man also das Gesetz korrekt, so dürfte schnell klar sein, dass die politische Aussage, dass dadurch 80 Prozent der Betriebe in Deutschland entlastet würden, reine Fiktion ist.
Was bedeutet diese Änderung für die Zahnarztpraxis? Natürlich kann diese Regelung theoretisch dazu führen, dass eine Zahnarztpraxis, die bislang einen Datenschutzbeauftragten bestellen musste, nun diesem Erfordernis nicht mehr zwingend nachkommen muss.
Hier ist aber größte Vorsicht geboten. Denn in einigen Medien wurde die Neuerung so dargestellt, dass sich derjenige, der keinen Datenschutzbeauftragten mehr bestellen muss, sich auch sonst nicht mehr um Datenschutz und -sicherheit kümmern müsste. Diese Darstellung ist gleich in mehrfacher Hinsicht falsch und gefährlich.
Die Anforderungen an den Datenschutz bleiben. Zum einen müssen trotzdem alle erforderlichen Maßnahmen realisiert werden, und alle Dokumentationen müssen in der Praxis unabhängig von der Zahl beschäftigter Personen vorhanden sein. Das bedeutet, dass die Erfordernisse der Dokumentation nicht weniger werden, nur weil kein Datenschutzbeauftragter bestellt werden muss.
Im Zuge der Neuerung haben bereits einige Praxen überlegt, ob man den Datenschutzbeauftragten nicht entpflichten könne. In diesem Fall geht der Praxis aber in aller Regel wichtiges Know-how verloren, da auch weiterhin die sonstigen Vorgaben datenschutzrechtlicher Bestimmungen uneingeschränkt zu erfüllen sind. Der Verantwortliche (Inhaber, Zahnarzt) ist vollumfänglich haftbar für datenschutzrelevante Versäumnisse und Vorkommnisse.
Da gerade in kleinen Praxen in aller Regel die Zeit fehlen dürfte, sich als Zahnarzt persönlich intensiv mit Datenschutz und -sicherheit auseinanderzusetzen, und der Themenbereich durch die Europäische Datenschutz-Grundverordnung auch deutlich an Komplexität gewonnen hat, ist es daher selbst für kleine Praxen empfehlenswert, die Bestellung eines externen Datenschutzbeauftragten vorzunehmen. Schließlich wird in den Praxen mit Gesundheitsdaten gearbeitet, die unter besonderem Schutz stehen.
Eine Beschwerde kann teurer werden als der Datenschutzbeauftragte. Eine einzige gerechtfertigte Beschwerde bei der zuständigen Aufsichtsbehörde kann bereits deutlich höhere Kosten verursachen als die Bestellung eines Datenschutzbeauftragten über einen Zeitraum von mehreren Jahren. So gesehen kann die Bestellung eines Datenschutzbeauftragten als eine Art Versicherung betrachtet werden, mit der Haftungsrisiken in der Praxis deutlich verringert werden können, da auf diese Weise ein Spezialwissen zur Verfügung steht, das sich Beschäftigte oder Betreiber einer Praxis in der Regel nur unter großem Aufwand und über einen längeren Zeitraum hin aneignen können.
Aufgrund der unklaren Rechtslage ist vorläufig Vorsicht geboten. Schließlich darf nicht unerwähnt bleiben, dass sich die Bestellung eines Datenschutzbeauftragten für eine Praxis nicht in jedem Fall nach dem nunmehr viel umjubelten § 38 BDSG richten muss. Dieser greift nämlich nur dort, wo die Europäische Datenschutz-Grundverordnung nicht bereits eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten kennt. Während die Erwägungsgründe der Datenschutz-Grundverordnung, insbesondere der Erwägungsgrund Nr. 91, nämlich durchaus so gelesen werden können, dass jede Berufsausübungsgemeinschaft einen Datenschutzbeauftragten haben müsste, wird dies durch die nationale Datenschutzkonferenz dementiert und zugunsten der Praxen ausgelegt. Bis eine abschließende Stellungnahme seitens der EU vorliegt, sollte zumindest von einer unklaren Rechtslage ausgegangen werden. Daher wird auch den Praxis- oder Berufsausübungsgemeinschaften empfohlen, einen Datenschutzbeauftragten zu bestellen.
Bei den Aufsichtsbehörden besteht Optimierungsbedarf bei der Harmonisierung. Das Datenschutzrecht bietet einige Ansatzpunkte für Verbesserungen. So wäre es sicherlich wünschenswert, dass Prozesse und Verfahrensweisen, aber auch die Auslegung von Regelungen bundeseinheitlich für alle Aufsichtsbehörden harmonisiert und standardisiert würden. Derzeit sehen wir uns einer Situation gegenüber, in der Meldungen datenschutzrelevanter Vorfälle bei jeder Aufsichtsbehörde anders erfolgen müssen und die Bearbeitung je nach Behörde zu grundlegend unterschiedlichen Ergebnissen führt.
Hilfreiche Vorlagen und Merkblätter. Eine wirkliche Vereinfachung bieten nicht halbherzige Gesetzesänderungen, sondern vielmehr Initiativen wie jene vom Bayrischen Landesamt für Datenaufsicht zur Verfügung gestellten Vorlagen, die im Internet bereitstehen und heruntergeladen werden können:
www.lda.bayern.de/de/thema_kleine_unternehmen.html
Aber selbst wenn diese Unterlagen eine Übersicht oder auch eine Vereinfachung für den Zahnarzt bieten, weil zum Beispiel ein Verfahrensverzeichnis tabellarisch erstellt werden kann, so muss das entsprechende Verzeichnis doch um einen technisch-organisatorischen Teil ergänzt werden, damit es auch vollständig ist. Darüber hinaus zeigt das Merkblatt des Bayerischen Landesamtes für Datenaufsicht (Muster 5: Arztpraxis), dass auch Verträge über die Auftragsverarbeitung notwendig werden können oder besondere Schutzmaßnahmen zur Absicherung besonders sensibler Daten erforderlich sind.
Fazit
Die Erfüllung datenschutzrechtlicher Erfordernisse wurde durch die Änderung des § 38 BDSG nicht vereinfacht. Vielmehr hat diese zur weiteren Verunsicherung der Verantwortlichen beigetragen. Die Dokumentationspflichten bestehen unabhängig von einer Pflicht zur Bestellung eines Datenschutzbeauftragten und müssen von jedem Zahnarzt beziehungsweise von jeder Praxis erfüllt werden. Durch die Bestellung eines externen Datenschutzbeauftragten kann erforderliches Know-how zugekauft werden, um Haftungsrisiken für die Praxis zu verringern.
Der Autor empfiehlt daher allen Zahnärzten, die nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, eine Bestellung auf freiwilliger Basis vorzunehmen.
