Viel Tamtam um Nichts?

Auf den ersten Blick haben Sie natürlich recht: Sie haben einen erhöhten Aufwand in personeller, zeitlicher und finanzieller Hinsicht zu tragen, verdienen dadurch allerdings nicht einen Euro mehr. Fazit für alle Betroffenen: Die Datenschutz-Grundverordnung (DSGVO) kostet nur Zeit, Geld und Nerven, vor allem dann, wenn man sich die Bußgeldandrohungen vor Augen führt. Dabei gerät leider viel zu oft aus dem Blick, dass die DSGVO dem Schutz personenbezogener Daten dient. Die persönlichen Daten jedes Einzelnen, also auch Ihre …

Die Vorstellungen, die sich um die DSGVO ranken, sind im Wesentlichen von Berichten und Statements geprägt, die ab Februar 2018 zuhauf in der Presse zu lesen waren. Der Höhepunkt dann im Mai, als die drohende Abmahnwelle samt Bußgeldern in Höhe von bis zu 20 Millionen Euro diskutiert wurde. Dabei kam die EU-Datenschutz-Grundverordnung nicht über Nacht. Vielmehr war diese bereits zwei Jahre zuvor am 25. Mai 2016 in Kraft getreten. Allerdings galt eine angeordnete Übergangsfrist von zwei Jahren (Art. 99 DSGVO). Zwei Jahre, in denen so gut wie keine Vorbereitungen für den 25. Mai 2018 getroffen wurden. Dieser Umstand sollte zu denken geben.

Wir betreuen inzwischen bundesweit mehr als 150 Zahnarztpraxen aller Größen als externer Datenschutzbeauftragter. Eine der wichtigsten Erkenntnisse lautet: Datenschutz ist Ländersache! Dass die einzelnen Bundesländer das Thema DSGVO höchst unterschiedlich angehen, ist an sich eine banale Erkenntnis, aber für den Erhalt des eigenen Seelenfriedens wichtig – macht es doch keinen Sinn, sich über Anforderungen und Handhabungen aus den 15 anderen Bundesländern aufschrecken zu lassen.

Dazu zwei Beispiele: Der im März veröffentlichte 8. Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht spricht von einem „regelrechten Ansturm von Beratungsanfragen“, der zeitweise zu einer „Land-unter-Situation“ geführt habe. Und man befürchtet angesichts der Personalsituation die „Beratungsleistungen für kleine und mittlere Unternehmen weitgehend einzustellen“. In Baden-Württemberg geht man anders an die Sache heran. Hier hat der Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) , Stefan Brink, das Jahr 2019 zum „Jahr der Kontrolle“ erklärt. Kontrollen könne es auch geben, „ohne dass konkrete Beschwerden vorliegen“, seine Behörde habe „staatsanwaltliche Befugnisse“, und „wer auf Lücke setzt, wer ins Risiko geht, der muss damit rechnen, dass 2019 ein schwieriges Jahr wird“, sagte Brink im SWR. Dies sei natürlich „keine Drohung, sondern ein Hinweis auf die neuen Befugnisse“.

Im Januar 2019 berichtete das Handelsblatt, dass in Deutschland seit Inkrafttreten der DSGVO 41 Bußgeldbescheide erlassen wurden. Die höchste Anzahl mit 33 Bußgeldern wurde durch den LDI in NRW verhängt. Das bis dato höchste Bußgeld in Höhe von 80.000 Euro wurde in Baden-Württemberg fällig, weil aufgrund unzureichender interner Kontrollmechanismen Gesundheitsdaten im Internet gelandet waren. Elf Bundesländer hatten noch keinerlei Strafen verhängt.

In Anbetracht solcher Summen ist es enorm wichtig, die gegebenen Regeln einzuhalten. Dass nun jede Datenschutzaufsichtsbehörde in den einzelnen Bundesländern ihre eigenen Schwerpunkte setzen kann und wird, macht es natürlich weder für den Verantwortlichen – also Sie als Praxisinhaber – noch für den Datenschutzbeauftragten einfacher, sich auf die Vorgaben einzustellen. Achten Sie also zukünftig darauf, woher eine Meldung zum Thema DSGVO stammt.

Doch zurück zu unseren gemachten Erfahrungen bei den Praxisberatungen. Allein in technischer Hinsicht findet sich eine enorme Anzahl an Versäumnissen. Das geht von nicht einmal in rudimentärer Form vorhandenem Diebstahl- und Einbruchschutz über fehlenden Passwortschutz, frei zugängliche WLAN-Netzwerke bis hin zu nicht vorhandenen Datensicherungen. Oder der Klassiker für Fehlinterpretationen: „Teilzeitkräfte werden nicht mitgezählt, wir sind also weniger als 10 Personen, die regelmäßig Daten verarbeiten.“ Diese – im Übrigen falsche – Einschätzung ist genauso leichtsinnig wie die Aussage eines Zahnarztes, der mir bei einer Vortragsveranstaltung einmal in vollem Ernst mitteilte, dass er sich um Computer-Viren keine Sorgen machen müsse, da es diese im Betriebssystem seiner Praxis in den letzten 20 Jahren nicht gegeben habe.

Besonderes Augenmerk ist auf die Praxiswebseite zu richten. Nach einem Jahr DSGVO hat es bei den von uns geprüften Webseiten keine einzige gegeben, bei der nicht noch etwas zu korrigieren gewesen wäre. Keine! Dabei kann jeder Mensch mit Internet-Zugang sich Ihre Website ansehen. Und ebenso kann dieser dann Ihre Datenschutzerklärung inspizieren und abgleichen, ob Sie die zahlreichen Patientenrechte aufführen, ob Sie die Links zu Kartendiensten und Online-Portalen korrekt nennen oder ob der beziehungsweise die Verantwortliche und Datenschutzbeauftragte samt Kontaktdaten ersichtlich sind.

Und falls das tatsächlich alles in Ordnung sein sollte, meldet sich vielleicht ein ehemaliger Mitarbeiter, von dem Sie sich nicht unbedingt im Guten getrennt haben, bei der Datenschutzbehörde, weil Sie in besseren gemeinsamen Zeiten die Bilderstrecke des Betriebsausflugs im Bereich „Aktuelles“ veröffentlicht hatten. Leider haben Sie es seinerzeit versäumt, eine Einwilligungserklärung Ihrer Mitarbeiter einzuholen ...

Ebenso „interessant“ ist, was ich nicht selten bei Praxisterminen erlebe. Im Vorgespräch hat man mir versichert, dass man im Bereich Datenschutz hervorragend aufgestellt sei und man sich in Fortbildungen alle notwendigen Informationen angeeignet habe. Und dann stehe ich minutenlang vor der unbesetzten Rezeption der Praxis, der Monitor ist bequem einsehbar und während ich die Termine der Arbeitswoche studiere, blättere ich interessiert in den Karteikarten der Patienten ...

Angesichts der Bandbreite der zu beachtenden Vorgaben hat sich folgende Einteilung als sinnvoll erwiesen, um den Datenschutz für die jeweilige Praxis handhabbar zu machen: Organisation und Verantwortlichkeiten, Umgang mit Daten, externe Dienstleister, Transparenz und Informationspflichten, Risikomanagement. Diese Bereiche sollten auch regelmäßig überprüft werden.

Ohne Zweifel macht Datenschutz Arbeit, kostet Zeit und Nerven! Nichtsdestotrotz müssen Sie sich damit beschäftigen – und zwar seriös, zeitnah und dauerhaft. Da das „Ob“ definitiv keine Frage mehr ist, müssen Sie das „Wie“ mit Ihrem Team klären. Wenn Sie Zweifel haben, ob Sie mit Ihrem Team das Thema neben dem Praxisalltag zusätzlich bewältigen können, wählen Sie einen Partner aus, der über die Ressourcen und das Fachwissen verfügt, Sie kompetent zu beraten und begleiten. Denn Nichtstun ist keine Alternative.

In diesem Sinne…
Ihr Christian Henrici

Henrici@opti-hc.de, www.opti-hc.de