Please activate JavaScript!
Please install Adobe Flash Player, click here for download
ePaper created 2016-05-20, 10:43:08 | version 1.38.0
33 cosmetic dentistry 2 2016 Praxismanagement Spezial | EU-DSGVO über eine „Durchgriffswirkung“. Diese grundsätzliche Vollharmonisierung ersetzt nationa- les Datenschutzrecht. Übergangsfrist und Öffnungsklauseln für nationale Umsetzung Die Verordnung tritt 20 Tage nach der Veröffent- lichung im EU-Amtsblatt in Kraft. Zwei Jahre, bis etwa Mai 2018, haben die einzelnen Länder dann Zeit, die EU-Verordnung mit ihrer nationalen Ge- setzgebung in Einklang zu bringen. In bestimmten Bereichen gibt es Öffnungsklauseln für den nati- onalen Gesetzgeber, die es vor Inkrafttreten der EU-DSGVO zu regeln gilt. Die Liste reicht von Ge- sundheit und Forschung über den Arbeitnehmer- datenschutz und den Datenschutzbeauftragten bis hin zu Berufsgeheimnissen. Auch die Bedeutung des zukünftigen EU-Datenschutzrechts für Unter- nehmen und Betriebe im Detail, sprich für den für die Verarbeitung Verantwortlichen (im BDSG bisher die verantwortliche Stelle), zählt dazu. Was ändert sich mit dem neuen Recht für Zahnarztpraxen? Ob das EU-Datenschutzgesetz wirklich strenger als das bisherige deutsche Recht ist, wird kontrovers diskutiert. Wie so oft kommt es auf den Blickwinkel des Einzelnen an. Die EU schraubt an vielen Stellen: 1. Bußgelder Waren sie bisher kaum ein Thema, macht Brüssel bei den Sanktionen nun Ernst. Sie sollen „wirksam und abschreckend“ sein. Halten sich Zahnarztpraxen nicht an die neuen Vorgaben, drohen empfindliche Geldbußen, z. B. bei Verstößen gegen Organisati- onsregeln bis zu zwei Prozent des Umsatzes oder 10 Mio. Euro – je nachdem, welche Summe höher ist. Bei Verstößen gegen Zulässigkeit und Rechte der Betroffenen sollen zukünftig Bußgelder bis 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsat- zes verhängt werden. Der Bußgeldkatalog ist bin- dend. Die Aufsichtsbehörden haben keinen Ermes- sensspielraum. 2. Haftung betrieblicher Datenschutzbeauftragter Da eine nationale Öffnungsklausel existiert, wird Deutschland vermutlich § 4 BDSG übernehmen. Eine Bestellpflicht besteht, wenn die Bedingungen gege- ben sind: Bereits Unternehmen mit mehr als neun Mitarbeitern, welche computergestützt mit per- sonenbezogenen Daten arbeiten, benötigen einen internen oder externen Datenschutzbeauftragten. Zu den bisherigen Aufgaben des Datenschutzbeauf- tragten – Sicherstellungs- und Hinwirkungsauftrag – wird jedoch ein Überwachungsauftrag hinzu- kommen. Da der Datenschutzbeauftragte die Um- setzung datenschutzrechtlicher Vorschriften nicht selbst vornehmen kann, konnte er bislang auf die Einhaltung von Gesetz und Vorschriften zum Da- tenschutz nur hinwirken. Die EU-DSGVO verlangt zukünftig die Überwachung, dass alle Vorgaben und Regeln eingehalten werden. In der Konsequenz haf- ten Unternehmer und Datenschutzbeauftragte nun auch persönlich. 3. Nachweispflicht und Unterrichtung Zahnarztpraxen müssen, wie bisher auch, wirk- same Datenschutzrichtlinien einführen und ihre Mitarbeiter schulen. Neu ist, dass die Einhaltung nachgewiesen werden muss. Ein effektives Daten- schutz-Managementsystem inklusive Risikoanaly- sen, Strukturen, Prozessen, Kontrollen und Change Management wird notwendig. Des Weiteren müs- sen Praxen betroffene Personen, sprich Patienten, über deren Datenverarbeitung künftig umfassender und früher informieren. Bei Nichtbeachtung drohen hohe Bußgelder. 4. Datenschutz-Folgeabschätzung Neu ist auch die Pflicht zur Datenschutz-Folge- abschätzung. Wobei, so ganz neu ist das Thema nicht, denn § 4d BDSG regelt dies bereits mit der Vorabkontrolle. Setzt eine Zahnarztpraxis eine neue Technik oder ein neues System zur Daten- verarbeitung ein, sollen Risiken für betroffene Per- sonen erkannt und bewertet werden. Angesichts der unterschiedlichen Interessen und Rollen der Beteiligten sollen so Grundrechtsverletzungen verhindert werden. Die sechs Schutzziele wie Ver- fügbarkeit, Integrität und Vertraulichkeit sowie aus den Datenschutzzielen die Nichtverkettbarkeit, Transparenz und Intervenierbarkeit werden nicht nur aus der Praxisperspektive zur Sicherung der Geschäftsprozesse betrachtet. Vielmehr geht es um die Organisation selbst, die Daten verarbeitet und als Risiko betrachtet wird. Wenn also eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten betrof- fener Personen zur Folge hat, muss die Zahnarzt- praxis eine umfassende Vorprüfung vornehmen, dokumentieren und gegebenenfalls später mit der Datenschutzbehörde abstimmen. Neue Rechte für betroffene Personen Datenschutz klingt vordergründig, als müssten Da- ten geschützt werden. Doch vielmehr geht es um den Schutz all der Personen, welche diese Daten „verursachen“. Die Schutzwürdigkeit der Persönlich- keitsrechte liegt dem Datenschutz zugrunde bzw. macht ihn überhaupt erst notwendig. Demzufolge ist es nur logisch, dass die neue EU-Datenschutz- Grundverordnung insbesondere die Rechte der be- troffenen Personen stärkt. dentistry 22016