Datenschutzbeauftragte in der Augenoptik

10. April 2018 | Von | Kategorie: Information

Wann müssen Augenoptiker und Hörakustiker mit weniger als 10 Mitarbeitern einen Datenschutzbeauftragten benennen?

Viele Augenoptiker und Hörakustiker fragen uns, wann oder ob Unternehmen im Gesundheitshandwerk einen Datenschutzbeauftragten bestellen muss. Vielen Marktteilnehmern ist bekannt, dass eine Bestellung erfolgen muss, wenn mehr als 9 Mitarbeiter personenbezogene Daten automatisch verarbeiten.

Aber: Nur wenigen Unternehmen ist bekannt, dass es auch die Pflicht zur Bestellung eines Datenschutzbeauftragten gibt, wenn weniger als 10 Mitarbeiter beschäftigt werden.

Leider, muss man hier fasst sagen, trifft dieser Tatbestand im Einzelfall auch auf Augenoptiker und Hörakustiker zu und hat erhebliche Konsequenzen auf Ihr Unternehmen!

Die Voraussetzungen zu Bestellung eines Datenschutzbeauftragten sind nicht immer einfach zu verstehen, treffen aber auf Augenoptiker und Hörakustiker im Einzelfall zu, sofern bestimmte Voraussetzungen zutreffen. Seinen Sie deshalb auf der Hut, falls Ihnen mitgeteilt wird, dass kleine Betriebe (weniger als 10 Mitarbeiter) keinen Datenschutzbeauftragten benötigen. Diese Aussage ist in dieser Form aus meiner Sicht nicht grundsätzlich richtig!

Ein Beispiel dokumentiert hier das Landesdatenschutzamt in Bayern (BayLDA), das expliziert in einer Sonderbroschüre (Erste Hilfe im Datenschutz) aufführt, dass Hörakustiker einen Datenschutzbeauftragten bestellen müssen, wenn die Kerntätigkeit in der Verarbeitung von Gesundheitsdaten besteht.

Die Kerntätigkeit eines Hörakustikers ist zwar nicht die Eingabe von Gesundheitsdaten, aber das BayLDA führt weiter aus, dass ohne die Verarbeitung der Sensiblen Daten zur Hörfähigkeit der Unternehmenszweck nicht erreicht werden kann. Aus diesem Grund folgt hieraus, dass die Datenverarbeitung sensibler Daten (Gesundheitsdaten, Hörfähigkeit) doch zur Kerntätigkeit zählt. (Quelle: Erste Hilfe im Datenschutz, Herausgegeben vom BayLDA)

Zitat: „Die Verarbeitung von bestimmten Daten gehört dann zur „Kerntätigkeit“ eines Unternehmens, wenn der Zweck des Unternehmens sonst nicht erreicht werden könnte.“

Ferner führt das BayLDA als Beispiel auf: Zitat: „Ein Hörakustiker hat lediglich zwei Mitarbeiter. Dies ändert nichts daran, dass die Verarbeitung der Daten (Daten zur Hörfähigkeit) zur Kerntätigkeit seines Unternehmens gehört. Folge des BayLDA: Unabhängig von der Zahl der Mitarbeiter benötigt er einen Datenschutzbeauftragten.“

…UPDATE 20.04.2018:

Das Datenschutzgesetz bleibt weiter spannend und wir erleben wohl gerade seitens der Behörden eine „Rolle rückwärts“.

Wie wir in unserem Beiträgen veröffentlicht habe, nehmen neben der Artikel-29 Datengruppe, dem DSK, Datenschutzverbänden auch Behörden zum neuen Datenschutzgesetz Stellung. In einer Veröffentlichung haben wir aus der Broschüre „Erste-Hilfe zur Datenschutz-Grundverordnung“ zitiert. Unter anderem wurde hier als Beispiel aufgeführt, dass Hörakustiker, mit zwei Mitarbeiter einen Datenschutzbeauftragten bestellen müssen. Wie gesagt, ein Zitat aus einer Broschüre vom Landesdatenschutz Bayern.

Am 20.4.2018 erreicht uns eine E-Mail des Verlags Markt intern mit folgender Information. Vielen Dank hierfĂĽr.

Zitat: In Ihrem am 12. April versendeten Newsletter verweisen Sie in dem verlinkten ausführlichen Bericht ein Beispiel aus der Publikation ‚’Erste Hilfe zur Datenschutz-Grundverordnung’ des bayerischen Landesamtes für Datenschutzsicherheit, das im Originalwortlaut heißt „Ein Hörgeräteakustiker hat lediglich zwei Mitarbeiter. Dies ändert nichts daran, dass die Verarbeitung von Gesundheitsdaten (Daten über die Hörfähigkeit!) zur Kerntätigkeit seines Unternehmens gehört. Folge: Unabhängig von der Zahl der Beschäftigten braucht er einen Datenschutzbeauftragten.“ Diese Bezugnahme verunsichert viele Empfänger. Wie wir mittlerweile ermittelt haben, hält Landesamts-Präsident Kranig an der Auffassung aus der Erste-Hilfe-Broschüre seit einiger Zeit bereits nicht mehr fest. Die anderen Behörden hätten diesen Punkt anders gesehen. Dem bayerischen Landesamt sei an einer einheitlichen Gesetzesanwendung gelegen, deshalb werde man das ändern bzw. nicht so auf der Homepage schreiben. Maßgeblich seien die mit allen Landesdatenschutzbehörden abgestimmten Kurzpapiere auf der Webseite https://www.lda.bayern.de/de/datenschutz_eu.html, zu dem konkreten Punkt das DSK-Kurzpapier zur DS-GVO Nr. 12.

An diesem Beispiel können auch wir wieder sehen, wie „unklar“ die Sachlage zurzeit noch ist und sicher auch noch weiter bleiben wird. Aus unserer Sicht sollte jeder Unternehmer individuell prüfen, welche Verpflichtungen aus dem neuen Datenschutzgesetz entstehen. Eine pauschale Aussage Augenoptiker oder Hörakustiker, die weniger als 10 Mitarbeiter haben benötigen ist genauso mutig, wie zu sagen, dass alle einen Datenschutzbeauftragten benötigen.

Die Behörden haben angekündigt, sofern möglich, im Vorfeld eine sogenannte „Black List“ bzw. „White List“ zu erstellen um Auskunft darüber zu erteilen, ob die Notwendigkeit einer Datenschutzfolgeabschätzung bzw. Bestellung eines Datenschutzbeauftragten besteht.  Es bleibt aber abzuwarten ob Hörakustiker wirklich auf eine Black List erscheinen, die hoffentlich zeitnah veröffentlicht wird.

Wichtige Informationen zum Datenschutz für Augenoptiker und Hörakustiker erhalten Sie hier:Datenschutz in der Augenoptik

Die Artikel-29 Datenschutzgruppe plant, durch Weitergabe und Veröffentlichung von Beispielen für maßgebliche Schwellenwerte einer „umfangreichen“ Verarbeitung für die Bestimmung eines DATENSCHUTZBEAUFTRAGTEN beizutragen.

Ein Beispiel für eine umfangreiche Verarbeitung ist die Verarbeitung von Patientendaten im gewöhnlichen Geschäftsbetrieb eines Krankenhauses. Keine umfangreiche Verarbeitung stellt nach Ausführung der Art. 29 Datenschutzgruppe die Verarbeitung von Patientendaten durch einen einzelnen Arzt dar. So ist es kein Wunder, dass einzelne Ärzte (z.B. Hausarzt) in den Beispielen der Landesämter ohne einen Datenschutzbeauftragten auskommen!

Ein Beispiel hierzu nennt der BayLDA:
„Ein Arzt hat eine Hausarztpraxis auf dem Land mit fünf Sprechstundenhilfen/MFAs, einer Putzkraft und einem Sicherstellungsassistenten. Die Arztpraxis betreibt eine kleine Webseite mit Hilfe eines  Content Management Systems, auf dem online Termine angefragt werden können. Ein externer Dienstleister betreut die Webseite und die Praxis-IT. Die Datenverarbeitung bezüglich der Patientendaten erfolgt auf eigenen Computern und Servern innerhalb der Praxis.“

Muss ein Datenschutzbeauftragter beschäftigt werden? NEIN, weil zunächst die Zahl der Mitarbeiter greift (kleiner als 10). Aber es ist weiter zu prüfen, ob eine Datenschutzfolgeabschätzung erstellt werden muss.

Muss nach dem obigen Beispiel eine Datenschutzfolgeabschätzung (DSFA) durchgeführt werden?

NEIN, da auch bei Gesundheitsdaten nicht immer ein hohes Risiko besteht. Hier wird deutlich, dass bei der Risikobeurteilung des Hausarztes im Umgang mit den Gesundheitsdaten ein geringes Risiko besteht und somit keine Datenschutzfolgeabschätzung durchgeführt werden muss, die zur Folge hätte, einen Datenschutzbeauftragten zu bestellen.

Aber wichtig zu wissen ist, dass die RisikoprĂĽfung individuell erfolgen muss! So schreibt die Landesdatenschutzbeauftragte Niedersachsen auf ihrem Portal:

„Da aus dem Augenhintergrund auf Krankheiten wie Diabetes oder Bluthochdruck geschlossen werden kann, birgt die zentrale Speicherung ein erhebliches Missbrauchs- und Schadenspotential.“

Das bedeutet, dass Augenoptiker/Optometristen nach einer Risikoprüfung der Verarbeitung sensibler Gesundheitsdaten (Fundusaufnahmen etc.) zu einem anderen Ergebnis kommen könnten, wie ein Hausarzt im obigen Beispiel.

Die Aussage der Landesdatenschutzbeauftragten Niedersachsen gibt hier schon einmal eine interessante Einschätzung. Ich gehe aber davon aus, dass zeitnah seitens der Behörden weitere Einschätzungen im Umgang mit Gesundheitsdaten veröffentlicht werden. Wir selber haben hierzu auch eine Anfrage bei der Behörde gestellt, jedoch ist die Behörde derzeit stark überlastet und antwortet nicht unbedingt zeitnah.

Verwendung von Gesundheitsdaten (Quelle ZDH, Das neue Datenschutzrecht)

„Gesundheitsdaten (z.B. Dioptrienzahl, Gehörschädigung etc.) gelten als besonders schutzwürdige Daten (Art. 9 DSGVO). Für Betriebe der Gesundheitshandwerke folgt die Berechtigung zur Verarbeitung von Gesundheitsdaten aus § 22 Abs. 1 Nr. 1 b) BDSG. Diese Vorschrift erlaubt die Verarbeitung von Gesundheitsdaten“

Der ZDH verweist hier auf den Paragrafen 22 Abs. 1 Nr 1b BDSG. Jetzt steht aber in „Absatz 2“: in Fällen des Absatzes 1 sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorzunehmen.

Auszug der Maßnahmen §22 Abs. 2:

  • Technische Organisatorische MaĂźnahmen
  • Sensibilisierung der an Verarbeitungsvorgängen Beteiligten
  • Benennung eines Datenschutzbeauftragten
  • …

Es ist hier weiter offen, inwieweit die Eingabe der Daten umfangreich erfolgt bzw. als Kerntätigkeit.

Fazit: Nach unserer Einschätzung liegen bereits hinreichende Informationen vor, aus denen Augenoptiker oder Hörakustiker im Einzelfall schlieĂźen können, dass ein Datenschutzbeauftragter im Unternehmen zu bestellen ist, auch wenn die Zahl der Mitarbeiter (die mit der Verarbeitung personenbezogener Daten zu tun haben) unter 10 Personen beträgt. In unserem Seminar „Datenschutz in der Augenoptik“ werden wir dieses Thema noch weiter konkretisieren und Beurteilungshilfen fĂĽr Augenoptiker und Hörakustiker geben.

Letztlich obliegt es jedem einzelnen Unternehmer/in zu entscheiden, ob im Rahmen der ĂśberprĂĽfung der Verarbeitung sensibler Daten (Gesundheitsdaten) ein Datenschutzbeauftragter zu bestellen ist. Es ist aber vor allem Optometristen zu empfehlen, die Screenings zu den Themen Augeninnendruck, Fundusbetrachtung, Makularpigmentscreening etc. anbieten, noch vor dem 25.5.2018 zu prĂĽfen, ob die Bestellung eines Datenschutzbeauftragten notwendig ist. Sollte sich herausstellen, dass im Einzelfall ein Datenschutzbeauftragter zu bestellen ist, kann das Nichtbestellen zu BuĂźgeldzahlungen fĂĽhren.

In unserem Seminar „Datenschutz für Augenoptiker und Hörakustiker“ erfahren Sie wichtige Hinweise zur Pflicht und zur Bestellung eines Datenschutzbeauftragten und welcher Mitarbeiter/in diese Aufgabe in Ihrem Unternehmen ausüben kann.

Ferner werden wir Ihnen darüber hinaus praktische und hilfreiche Tipps geben, welche organisatorischen und technischen Maßnahmen bzgl. des neuen Datenschutzgesetzes Augenoptiker und Hörakustiker nach dem 25. Mai 2018 umsetzen müssen.

Weitere Infos erhalten Sie hier unter Datenschutz für Augenoptiker und Hörakustiker

Lassen Sie sich dieses wichtige Seminar zum Thema Datenschutz für Augenoptiker und Hörakustiker nicht entgehen und lernen Sie alle wichtigen Informationen und Maßnahmen zur neuen Datenschutzverordnung im Gesundheitshandwerk kennen. Als Bonus erhalten alle Teilnehmer ein Sofortmaßnahmenpaket zur Sicherstellung der notwendigen gesetzlichen Vorgaben.

 

Hinweis und Haftungsausschluss:

Dieser Artikel bietet eine erste Orientierung zum komplexen Thema der DSGVO. Er ist nach bestem Wissen und Gewissen recherchiert. Ich will und kann mit diesem Artikel keinerlei Rechtsberatung leisten. Dieser Artikel ersetzt auch keine individuelle Rechtsberatung. FĂĽr konkrete MaĂźnahmen, die im Zuge der DSGVO zu Ihren individuellen Aufgabenstellungen passen, konsultieren Sie bitte einem Fachanwalt.

Die o.a. Inhalte/Recherchen basieren auf folgenden Veröffentlichungen:

  • Datenschutzkonferenz (DSK): Kurzpapier Nr. 17, Besondere Kategorien personenbezogener Daten
  • ARTIKEL 29-DATENSCHUTZGRUPPE: Leitlinien in Bezug auf Datenschutzbeauftragte
  • Auszug aus Gesetzestexten: § 22 BDSG (neu)Verarbeitung besonderer Kategorien personenbezogener Daten
  • Erste Hilfe im Datenschutz: veröffentlicht vom BayLDA

Bei Fragen zu unseren Seminaren stehen wir Ihnen gerne telefonisch unter (0228) 323017-0 oder per E-Mail info@ibu-optik.de zur VerfĂĽgung.