Datenschutz in Praxen: 10er Schwelle angehoben

Verantwortung des Arztes muss aber am Konnektor enden

Die Bundeszahnärztekammer (BZÄK) begrüßt, dass mit dem heute Nacht verabschiedeten Zweiten Datenschutzanpassungsgesetz die sogenannte „10er Schwelle“ angehoben wurde:

  • Künftig besteht die Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die BZÄK würdigt die Entscheidung der Großen Koalition, die Grenze von derzeit 10 auf 20 Personen zu erhöhen*.

„Die BZÄK hat dies seit langem gefordert, um für eine Bürokratieentlastung in den Zahnarztpraxen zu sorgen“, so BZÄK-Präsident Dr. Peter Engel „denn in der Praxis gab es durch diese neue Einführung unverhältnismäßig hohe Zusatz-Belastungen.“

Im Rahmen der derzeitigen Diskussion um die datenschutzrechtliche Verantwortung für die Telematikinfrastruktur (TI) selbst und die vom Hersteller produzierten Konnektoren könnte sich die aktuelle Entlastung jedoch schnell wieder zu einer riesigen Mehrbelastung wandeln. Es wird in der gematik derzeit darüber diskutiert, ob der (Zahn)Arzt bei Anschluss an die TI mittels Konnektor eine entsprechende Datenschutzfolgeabschätzung vornehmen muss. Die Bundeszahnärztekammer weist darauf hin, dass bei Notwendigkeit einer Datenschutzfolgeabschätzung zwangsläufig ein Datenschutzbevollmächtigter eingeschaltet werden muss. Somit müsste zukünftig jeder (Zahn)Arzt einen Datenschutzbevollmächtigten benennen, unabhängig von der Anzahl der beschäftigten Mitarbeiter und unabhängig vom tatsächlichen Umfang der Verarbeitung von Patientendaten. Damit liefe die beschlossene Regelung völlig ins Leere „Die Verantwortung des Zahnarztes für den Datenschutz endet am technischen Konnektor. Und nicht im Konnektor. Für die technischen Komponenten ist nicht der Zahnarzt verantwortlich. Und damit auch nicht für eine Datenschutzfolgeabschätzung. Dies muss der Gesetzgeber unbedingt ebenfalls klarstellen“, so Engel.

Hintergrund:
* Wenn besondere Umstände hinzutreten, muss ein Datenschutzbeauftragter benannt werden, so der aktuelle Rechtsstand.

Der Konnektor ist für den (Zahn)Arzt nicht frei konfigurierbar, er ist Teil der Telematikinfrastruktur (TI) und bestimmt die Verarbeitungsschritte, die Art und Weise der Verarbeitung. Änderungen der TI können nur in Abstimmung mit dem Verantwortlichen nach Art. 24 DSGVO der TI vorgenommen werden, damit die sichere Kommunikation innerhalb der TI gewährleistet werden kann. Die gematik muss deshalb im Rahmen einer Datenschutzfolgeabschätzung die Folgen der Verarbeitungsvorgänge identifizieren und die Risiken innerhalb der TI abschätzen.

Quelle: Bundeszahnärztekammer e.V., Pressemitteilung vom 28.06.2019