09.09.2016

Datenschutz in der betrieblichen Praxis

Jeder Betrieb sollte einen Mitarbeiter zum Datenschutzexperten fortbilden, empfiehlt Dr. Markus Peifer, Datenschutzbeauftragter des ZDH, in der Innungszeitschrift "Der Artikulator" (September 2016).

Welche signifikanten Erfahrungen habe Sie bereits zum Thema Datenschutz in Handwerksbetrieben gemacht; gibt es bereits spezielle Erfahrungen mit den Gesundheitshandwerken, speziell mit dem Zahntechniker-HW?

Dr. Peifer: Handwerksbetriebe stehen vor der großen Herausforderung, neben zahlreichen gesetzlichen Auflagen und Pflichten auch die Anforderungen des Datenschutzes zu beachten. Da der Datenschutz mit seinen formalen Dokumentations- und Informationspflichten zudem häufig als bürokratisch empfunden wird, wird dem Thema nicht die gebotene Priorität eingeräumt. Vor allem Betriebe der Gesundheitshandwerke müssen den Datenschutz sehr ernst nehmen. Die Datenschutzgesetze klassifizieren Gesundheitsdaten als sensible und deshalb als besonders schutzwürdige Daten. Die Anforderungen an die Verarbeitung solcher Gesundheitsdaten von Kunden sind deshalb höher als bei anderen Handwerksbetrieben. Ich kann deshalb nur jedem Betrieb empfehlen, sich mit den gesetzlichen Vorschriften vertraut zu machen.
 
Welche sind immer wiederkehrende Fragen zum Thema Datenschutz?

Dr. Peifer: Die häufigste Frage, die Handwerksbetriebe beschäftigt, betrifft den Datenschutzbeauftragten. Wann müssen Betriebe einen Datenschutzbeauftragten bestellen? Die Antwort gibt das Bundesdatenschutzgesetz. Hiernach sind Betriebe zur Bestellung verpflichtet, wenn regelmäßig mehr als neun Mitarbeiter persönliche Daten automatisiert verarbeiten. Hierfür reicht bereits der Zugriff auf die in Excel gespeicherte Kundendatei aus. Die europäische Datenschutzreform wird hieran voraussichtlich nichts ändern.  Aber auch wenn keine Pflicht zur Bestellung besteht, empfiehlt es sich, einen Mitarbeiter als Datenschutzexperten fortzubilden. Die Sensibilität von Kunden für den datenschutzkonformen Umgang mit ihren Daten nimmt spürbar zu. Hierauf sollten sich die Betriebe einstellen.
 
Welche Datenschutzvorschriften werden aus Unwissenheit in Betrieben häufig vernachlässigt und sind im akuten Fall doch von großer Bedeutung?

Dr. Peifer: Es besteht die weit verbreitete Ansicht, dass Daten von Kunden und Mitarbeitern genutzt werden können, solange kein gesetzliches Verbot besteht. Dabei verhält es sich genau anders herum. Jede Erhebung, Speicherung und Nutzung von Kundendaten ist erst einmal verboten. Es gibt nur zwei Ausnahmen: Entweder ein Gesetz erlaubt die beabsichtigte Datennutzung ausdrücklich oder derjenige, dessen Daten genutzt werden sollen, willigt in die Nutzung ein. Handwerksbetriebe müssen diesen Grundsatz verinnerlichen und ihre Datenverarbeitung danach ausrichten. Weit häufiger als gedacht, ist eine Einwilligung der Betroffenen erforderlich. Dies gilt gerade mit Blick auf Werbemaßnahmen.   
 
Was ist zu beachten bei der Weitergabe von Gesundheitsdaten im Falle von Outsourcing von Leistungen, wird dabei die Einwilligung des Patienten benötigt?

Dr. Peifer: Die Notwendigkeit einer Einwilligung hängt stark von den Umständen und der vertraglichen Gestaltung des Outsourcings ab. Hierbei kann es sich je nach Fallgestaltung um eine sogenannte Auftragsdatenverarbeitung handeln. Diese kennt zwar zahlreiche formale Voraussetzungen, erfordert aber keine Einwilligung. Anderenfalls ist bei der Übertragung von Gesundheitsdaten eine Einwilligung der Kunden einzuholen.

Vor kurzem wurde die europäische Datenschutz-Grundverordnung beschlossen. Was kommt infolgedessen auf die Betriebe zu und ab wann gelten die neuen Vorschriften?

Dr. Peifer: Die Reform des europäischen Datenschutzes wurde als Meilenstein angekündigt, entpuppt sich bei genauerer Betrachtung jedoch als moderate Weiterentwicklung des bestehenden Rechts. Neu ist, dass die europäischen Vorschriften unmittelbar gelten und nicht erst in deutsches Recht umgesetzt werden müssen. Die gesetzlichen Pflichten sind deshalb künftig in der Datenschutz-Grundverordnung selbst nachzuschlagen. Inhaltlich ändern sich Anforderungen vor allem im Detail. Dies gilt beispielsweise für die Dokumentation von datenschutzrelevanten Betriebsabläufen. Eine wichtige Neuerung ist mit dem Transparenzgebot verbunden. Kunden müssen künftig bei Erhebung von Daten zahlreiche Informationen zur Verfügung gestellt werden. Diese reichen von Angaben der Kontaktdaten bis hin zu Ausführungen über die Zwecke der Datennutzung.  Weitere Informationen zur europäischen Datenschutzreform, die im Mai 2018 in Kraft tritt, wird der ZDH im Form von Broschüren und Flyern zur Verfügung stellen.

Wer hilft mir bei Nachfragen?

Dr. Peifer: Die Datenschutzbehörden der Bundesländer sind nicht nur für die Aufsicht und Einhaltung des Datenschutzes, sondern auch für die Unterstützung und Beratung in Datenschutzfragen zuständig. Bevor die Aufsichtsbehörde, ein privater Datenschutzdienstleister oder ein spezialisierter Rechtsanwalt kontaktiert wird, empfiehlt es sich jedoch, zunächst Rat bei seiner Innung oder der Handwerkskammer einzuholen. Die Handwerksorganisationen sind mit den Strukturen und typischen Betriebsabläufen von Handwerksbetrieben vertraut und können praxisgerechte Lösungen bieten.


Zur Person: Dr. Markus Peifer arbeitet seit sieben Jahren als Referatsleiter in der ZDH-Rechtsabteilung tätig. Er betreut neben wirtschafts- und allgemeinen zivilrechtlichen Themen, wie etwa dem Verbraucherrecht, auch den Datenschutz. Als betrieblicher Datenschutzbeauftragter des ZDH begleitet er die Entwicklung des Datenschutzes nicht nur im politischen Prozess auf europäischer und nationaler Ebene, sondern verantwortet auch interne datenschutzrechtliche Fragestellungen.

Dr. Peifer zum Aufgabenbereich des Datenschutzbeauftragten: Die Aufgaben als betrieblicher Datenschutzbeauftragter sind vielfältig. So umfasst die Tätigkeit zunächst die Beratung der Geschäftsführung in allen datenschutzrechtlichen Angelegenheiten. Werden beispielsweise neue Verfahrensabläufe eingeführt, sind diese zu prüfen und bei etwaigen Risiken Empfehlungen für alternative Lösungen auszusprechen. Darüber hinaus spielt in der Praxis die Schulung und Sensibilisierung der Mitarbeiter für den Datenschutz eine wichtige Rolle.

Datenschutz umfasst stets eine rechtliche und eine insbesondere IT-technische Komponente. Um den fachlichen Anforderungen an die Beratung der Geschäftsführung gerecht zu werden, teile ich mir die Aufgabe mit einem IT-Experten und konzentriere mich als Jurist auf rechtliche Fragestellungen. Dieses Vorgehen hat sich in der Praxis bewährt. 


Interview: Annett Zosel