Neu: Datenschutzbeauftragter ab 20 Personen
Mit der aktuellen Verabschiedung des Zweiten Datenschutzanpassungsgesetzes müssen Praxen ab sofort erst dann einen Datenschutzbeauftragen bestellen, wenn mindestens 20 statt den bisherigen 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Klingt nach Bürokratieentlastung – hat aber einen Haken.
Die Bundeszahnärztekammer (BZÄK) begrüßte die Entscheidung der Großen Koalition zur Anhebung der sogenannten „10er-Schwelle“ im zweiten Datenschutzanpassungsgesetz: „Die BZÄK hat dies seit langem gefordert, um für eine Bürokratieentlastung in den Zahnarztpraxen zu sorgen“, so BZÄK-Präsident Dr. Peter Engel. „Denn in der Praxis gab es durch diese neue Einführung unverhältnismäßig hohe Zusatz-Belastungen.“
TI gefährdet Neuregelung im Datenschutzanpassungsgesetz
Die aktuelle Entlastung könnte sich für die Praxen allerdings schnell in eine Mehrbelastung verwandeln: Derzeit wird in der gematik diskutiert, ob (Zahn-)Mediziner beim Anschluss an die Telematikinfrastruktur (TI) mittels Konnektor eine entsprechende Datenschutzfolgeabschätzung vornehmen müssen. Sollte eine Datenschutzfolgeabschätzung notwendig sein, muss zwangsläufig ein Datenschutzbeauftragter eingeschaltet werden. Unabhängig vom Datenschutzanpassungsgesetz.
Damit müsste zukünftig jeder (Zahn-)Mediziner einen Datenschutzbeauftragten benennen – unabhängig von der Anzahl der beschäftigten Mitarbeiter oder dem tatsächlichen Umfang der Verarbeitung von Patientendaten. Die beschlossene Neuregelung der Datenschutzgesetzanpassung liefe so ins Leere.
„Zahnarzt nicht für technische Komponenten verantwortlich“
„Die Verantwortung des Zahnarztes für den Datenschutz endet am technischen Konnektor. Und nicht im Konnektor. Für die technischen Komponenten ist nicht der Zahnarzt verantwortlich. Und damit auch nicht für eine Datenschutzfolgeabschätzung. Dies muss der Gesetzgeber unbedingt ebenfalls klarstellen“, fordert BZÄK-Präsident Dr. Peter Engel.
Zum Hintergrund
Der Konnektor ist für den Zahnarzt nicht frei konfigurierbar, er ist Teil der TI und bestimmt die Verarbeitungsschritte, die Art und Weise der Verarbeitung. Änderungen der TI können nur in Abstimmung mit dem Verantwortlichen nach Art. 24 DSGVO der TI vorgenommen werden, damit die sichere Kommunikation innerhalb der TI gewährleistet werden kann. Die gematik muss deshalb im Rahmen einer Datenschutzfolgeabschätzung die Folgen der Verarbeitungsvorgänge identifizieren und die Risiken innerhalb der TI abschätzen.