Die Bundeszahnärztekammer (BZÄK) begrüßt, dass mit dem am späten 27. Juni 2019 verabschiedeten Zweiten Datenschutzanpassungsgesetz die sogenannte „10er-Schwelle“ angehoben wurde: Künftig besteht die Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Die BZÄK würdigt die Entscheidung der Großen Koalition, die Grenze von derzeit zehn auf zwanzig Personen zu erhöhen. (Wenn besondere Umstände hinzutreten, muss aber auch bei weniger als 20 Personen ein Datenschutzbeauftragter benannt werden, so der aktuelle Rechtsstand.) „Die BZÄK hat dies seit langem gefordert, um für eine Bürokratieentlastung in den Zahnarztpraxen zu sorgen“, so BZÄK-Präsident Dr. Peter Engel, „denn in der Praxis gab es durch diese neue Einführung unverhältnismäßig hohe Zusatz-Belastungen.“
Keine neue Mehrbelastung bei der TI schaffen
Im Rahmen der derzeitigen Diskussion um die datenschutzrechtliche Verantwortung für die Telematikinfrastruktur (TI) selbst und die vom Hersteller produzierten Konnektoren könnte sich die aktuelle Entlastung jedoch schnell wieder zu einer riesigen Mehrbelastung wandeln, so die BZÄK: Es werde in der Gematik, die für die Telematikinfrastruktur zuständig ist, derzeit darüber diskutiert, ob der (Zahn)Arzt bei Anschluss an die TI mittels Konnektor eine entsprechende Datenschutzfolgeabschätzung vornehmen muss. Die BZÄK weist darauf hin, dass bei Notwendigkeit einer Datenschutzfolgeabschätzung zwangsläufig ein Datenschutzbevollmächtigter eingeschaltet werden muss. Somit müsste zukünftig jeder (Zahn)Arzt einen Datenschutzbevollmächtigten benennen, unabhängig von der Anzahl der beschäftigten Mitarbeiter und unabhängig vom tatsächlichen Umfang der Verarbeitung von Patientendaten. Damit liefe die beschlossene Regelung völlig ins Leere.
Zahnarzt nicht für technische Komponenten verantwortlich
„Die Verantwortung des Zahnarztes für den Datenschutz endet am technischen Konnektor. Und nicht im Konnektor. Für die technischen Komponenten ist nicht der Zahnarzt verantwortlich. Und damit auch nicht für eine Datenschutzfolgeabschätzung. Dies muss der Gesetzgeber unbedingt ebenfalls klarstellen“, so Engel.
Aufgabe der Gematik
Der Konnektor sei für den (Zahn)Arzt nicht frei konfigurierbar, er ist Teil der Telematikinfrastruktur (TI) und bestimmt die Verarbeitungsschritte, die Art und Weise der Verarbeitung. Änderungen der TI können nur in Abstimmung mit dem Verantwortlichen nach Artikel 24 DSGVO der TI vorgenommen werden, damit die sichere Kommunikation innerhalb der TI gewährleistet werden kann. Die Gematik müsse deshalb im Rahmen einer Datenschutzfolgeabschätzung die Folgen der Verarbeitungsvorgänge identifizieren und die Risiken innerhalb der TI abschätzen, so die BZÄK.