Zum Inhalt springen

Arzt

Sascha Kuhrau, Inhaber a.s.k. Datenschutz

War­um ist Daten­schutz für Unter­neh­men und Behör­den wichtig?

Haben Sie sich auch schon die­se Fra­ge gestellt? Sascha Kuhrau, Inha­ber des bun­des­weit täti­gen Bera­tungs­un­ter­neh­mens a.s.k. Daten­schutz gibt Antworten.

Herr Kuhrau, ist Daten­schutz ein Modethema?

Mit­nich­ten! Schau­en Sie ein­fach auf die His­to­rie des Daten­schutz­rechts in Deutsch­land und der EU. 1977 hat­ten wir das ers­te Bun­des­da­ten­schutz­ge­setz (BDSG) in Deutsch­land, seit 1995 gibt es auf EU Ebe­ne ver­bind­li­che Regeln für alle Mitgliedsstaaten.

Wen betrifft die­ses Bundesdatenschutzgesetz?

Das ist ganz ein­fach. Jedes Unter­neh­men, jeden Gewer­be­trei­ben­den, jeden Frei­be­ruf­ler, jede Behör­de und auch jeden Ver­ein, sofern dort per­so­nen­be­zo­ge­ne Daten vor­lie­gen und ver­ar­bei­tet werden.

Man soll­te auch nicht dem Irr­tum unter­lie­gen, ein eige­nes Stan­des­recht wür­de das Daten­schutz­ge­setz erset­zen. Obwohl die Aus­sa­ge der Geset­ze hier klar ist, muss­ten mitt­ler­wei­le Gerich­te bestä­ti­gen, dass sol­ches Recht nicht pau­schal erset­zend wirkt. Die­se Fehl­ein­schät­zung kann gera­de bei Ärz­ten, Steu­er­be­ra­tern oder auch Anwäl­ten schnell zu Kon­flik­ten führen.

Wirk­lich jeden? Es gibt doch bestimmt Ausnahmen?

Da muss ich Sie ent­täu­schen. § 1 BDSG ist hier ein­deu­tig. Es wer­den kei­ne Unter­schie­de nach Bran­che, Mit­ar­bei­ter­zahl oder Umsatz gemacht. Die­sen Irr­glau­ben trifft man öfter in Gesprä­chen mit Geschäfts­füh­rern, Inha­bern oder auch Behördenleitern.

Eine Aus­nah­me gibt es jedoch bei der Bestell­pflicht des soge­nann­ten Daten­schutz­be­auf­trag­ten.

Wel­che Auf­ga­ben hat ein sol­cher Datenschutzbeauftragter?

Salopp gesagt, küm­mert sich die­ser um die rechts­kon­for­me Umset­zung des Daten­schutz­rechts in der Orga­ni­sa­ti­on vor Ort. Er ist Bera­ter , Tipp­ge­ber und Ansprech­part­ner für Lei­tung und Mitarbeiter.

Und wann muss ein sol­cher Daten­schutz­be­auf­trag­ter bestellt werden?

Die­se Vor­schrift fin­det sich in § 4f BDSG und ist bis auf ganz weni­ge Aus­nah­men eben­falls ein­deu­tig. Sobald mehr als 9 Mit­ar­bei­ter mit per­so­nen­be­zo­ge­nen Daten mit­tels IT arbei­ten, muss ein Daten­schutz­be­auf­trag­ter intern oder extern bestellt wer­den. Und bei der Zahl der Mit­ar­bei­ter ist es uner­heb­lich, ob Voll­zeit, Teil­zeit, Aus­hil­fe oder Geschäfts­füh­rung selbst.

Dann liegt die­se Bestell­pflicht recht schnell vor, ohne dass die Ver­ant­wort­li­chen dies viel­leicht wissen?

Das ist in der Pra­xis häu­fig der Fall. Wir bera­ten hier­zu jedoch kos­ten­los und unver­bind­lich, ob eine Bestell­pflicht vorliegt.

Wer küm­mert sich um das The­ma Daten­schutz, wenn kein Daten­schutz­be­auf­trag­ter vor­han­den ist?

Dann liegt die Umset­zung aller Rechts­vor­schrif­ten bei der Geschäfts­füh­rung oder Behör­den­lei­tung. Die­se haf­tet im Zwei­fel dann auch bei Nicht­er­fül­lung oder ein­tre­ten­den Daten­pan­nen. Das BDSG hat hier einen mitt­ler­wei­le sehr emp­find­li­chen Buß­geld­ka­ta­log.

Also soll­te man schon zur Ver­mei­dung von Buß­gel­dern das The­ma Daten­schutz ernst nehmen?

Das ist nach mei­ner Erfah­rung der fal­sche Ansatz. Wenn sich des The­mas nur ange­nom­men wird, weil Ängs­te vor recht­li­chen Risi­ken und Buß­gel­dern bestehen, dann wur­den die Chan­cen eines bewusst geleb­ten Daten­schut­zes nicht erkannt.

Daten­schutz ist mehr als eine Rechtsvorschrift?

Ja! Kun­den und Bür­ger wer­den immer sen­si­bler. Neh­men Sie nur die aktu­el­le Pres­se. Nicht erst seit der NSA Affä­re, aus­ge­löst durch Herrn Snow­den, stei­gen das Bewusst­sein und auch der Anspruch der soge­nann­ten “Betrof­fe­nen” (im Sin­ne des BDSG) rund um das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung.

Kom­me ich die­sem Anspruch als Orga­ni­sa­ti­on nach, dann ist geleb­ter Daten­schutz ein Ele­ment der Kun­den­ak­qui­se, aber auch der Kundenbindung.

Und da Daten­schutz auch sehr weit in Berei­che wie der IT-Sicher­heit ein­greift, kom­men Fak­to­ren wie Sen­kung des Aus­fall­ri­si­kos oder Ver­kür­zung von Wie­der­an­lauf­zei­ten von EDV-Sys­te­men ergän­zend hin­zu. Es geht hier um die Kern­zie­le: Schutz vor Zer­stö­rung, Ver­lust und Miss­brauch von per­so­nen­be­zo­ge­nen Daten. Am Ende spart die Orga­ni­sa­ti­on Zeit und Geld, wenn es zum Stör­fall kommt..

Wie unter­stützt a.s.k. Daten­schutz hierbei?

Wir prü­fen das vor­han­de­ne Daten­schutz– und Daten­si­cher­heits­ni­veau, iden­ti­fi­zie­ren Schwach­stel­len, behe­ben die­se gemein­sam mit unse­ren Auf­trag­ge­bern, betreu­en Einzelprojekte—z.B. die Ein­füh­rung einer geplan­ten Videoüberwachung—oder ste­hen als per­ma­nen­ter Ansprech­part­ner für Fra­gen zu die­sen The­men zur Verfügung.

Selbst­ver­ständ­lich über­neh­men wir auch die Auf­ga­ben des (exter­nen) Daten­schutz­be­auf­trag­ten oder unter­stüt­zen einen inter­nen Daten­schutz­be­auf­trag­ten, wenn die­ser aus Zeit­grün­den Sup­port benö­tigt. Letz­te­res kommt in der Pra­xis recht häu­fig vor. Seit eini­ger Zeit haben wir für baye­ri­sche Kom­mu­nen auch zwei Vari­an­ten des AKDB Sicher­heits­checks im Angebot.

Was steht dabei für Sie im Vordergrund?

Wich­tig sind uns der abso­lu­te Pra­xis­be­zug und die Sicher­stel­lung der recht­li­chen Anfor­de­run­gen. Daten­schutz darf kein Selbst­zweck sein oder sich zu wich­tig neh­men. Nicht umsonst lau­tet unser Mot­to „Aus der Pra­xis für die Praxis“.

Ist Daten­schutz teuer?

Ja, wenn Sie sich nicht dar­um kümmern 🙂

Nein, im Ernst. Wir arbei­ten bei lang­fris­ti­gen Betreu­un­gen und Pro­jek­ten mit Pau­scha­len, damit unser Kun­de stets weiß, mit wel­chen Kos­ten er zu rech­nen hat und vor unlieb­sa­men Über­ra­schun­gen sicher ist.

Und da unse­re Leis­tun­gen modu­lar buch­bar sind, kann der Kun­de selbst ent­schei­den, wel­chen Anteil an Zeit er selbst ein­brin­gen will und kann, und wel­chen er an uns auslagert.

Wenn jemand noch Fra­gen zum The­ma hat?

Ein­fach anru­fen oder eine kur­ze Email schreiben.

Apo­the­ken­re­chen­zen­trum ver­kauft Pati­en­ten­da­ten an Markt­for­schungs­un­ter­neh­men mit unzu­rei­chen­der Verschlüsselung

War­um in die Fer­ne schwei­fen, wo die Daten­pan­ne liegt so nah …

Wer braucht schon einen NSA Abhör­skan­dal aus den USA, wenn vor der eige­nen Haus­tür laut Thi­lo Wei­chert, Lei­ter des Unab­hän­gi­gen Lan­des­zen­trums für Daten­schutz Schles­wig-Hol­stein (ULD), “einer der größ­ten Daten­skan­da­le der Nach­kriegs­zeit” stattfindet.

Was ist passiert?

Das betrof­fe­ne Apo­the­ken­re­chen­zen­trum ver­kauf sei­ne Daten u.a. an das US Unter­neh­men IMS Health.Dieser Kon­zern ver­folgt nach Anga­ben von Spie­gel Online die Krank­hei­ten welt­weit von mehr als 300 Mil­lio­nen Pati­en­ten und von cir­ca 42 Mil­lio­nen gesetz­lich Kran­ken­ver­si­cher­ten aus Deutsch­land. Ein­ge der soge­nann­ten “Pati­en­ten­kar­rie­ren” sind bis 1992 zurück verfolgbar.

Ist das über­haupt zulässig?

Gene­rell ist die Wei­ter­ga­be von Rezept­da­ten in aus­rei­chend ver­schlüs­sel­ter Form (also ohne Rück­führ­bar­keit auf den betrof­fe­nen Pati­en­ten) zuläs­sig. Für ankau­fen­de Phar­ma­un­ter­neh­men sind die­se Infor­ma­tio­nen auch in anony­mi­sier­ter Form noch aus­sa­ge­kräf­tig genug.

Die Beto­nung liegt auf “aus­rei­chend verschlüsselt”

Im kon­kre­ten Fall ist die­ser Schlüs­sel ledig­lich 64-stel­lig und läßt sich, wie Spie­gel Online berich­tet, nach vor­lie­gen­den Doku­men­ten rela­tiv ein­fach auf die ursprüng­li­che Ver­si­cher­ten­num­mer zurück­rech­nen. Zusätz­lich wer­den noch Alter und Geschlecht über­tra­gen. Die unzu­rei­chen­de Ver­schlüs­se­lung birgt das Risi­ko einer Zurück­ver­fol­gung bis hin zu der Infor­ma­ti­on, wel­che Arzt­pra­xis wel­chem Pati­en­ten wel­ches Medi­ka­ment ver­ord­net hat. Das Ver­triebs­con­trol­ling von Phar­ma­un­ter­neh­men wür­de dies freu­en. Lie­ße sich doch so sehr kon­kret nach­voll­zie­hen, ob die ste­ti­gen Außen­dienst­be­su­che den behan­deln­den Arzt auch zum häu­fi­ge­ren Ver­schrei­ben der ange­prie­se­nen, eige­nen Pro­duk­te verleiten.

Thi­lo Wei­chert hofft nun, daß die Apo­the­ken Ihren Dienst­leis­ter auch ohne Gerichts­ver­fah­ren zur aus­rei­chen­den Ver­trau­lich­keit motivieren.

Wie geben Sie im Unter­neh­men eigent­lich Ihre Daten wei­ter? Ihr Daten­schutz­be­auf­trag­ter prüft die recht­li­che Zuläs­sig­keit und emp­fiehlt die pas­sen­de Lösung. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Dann spre­chen Sie uns an. Mög­li­cher­wei­se unter­lie­gen Sie sogar der gesetz­li­chen Bestellpflicht.

Wie­so die Schwei­ge­pflicht nicht den Daten­schutz ersetzt …

Bereits in einem Blog­bei­trag vom 12.11.2010 habe ich auf den Umstand hin­ge­wie­sen, daß Stan­des­re­ge­lun­gen oder Geset­ze das Bun­des­da­ten­schutz­ge­setz nicht zwin­gend erset­zen. Hin­ter­grund war und ist die regel­mä­ßig wie­der­keh­ren­de Fehl­ein­schät­zung sei­tens Anwäl­ten, Ärz­ten und Steu­er­be­ra­tern, daß ihr “Stan­des­recht” die vor­ge­schrie­be­nen Rege­lun­gen des Bun­des­da­ten­schutz­ge­setz (BDSG) obso­let machen würde.

Die­se Pro­ble­ma­tik hat nun eben­falls der Betrei­ber von www​.daten​schutz​be​auf​trag​ter​-info​.de in einem aktu­el­len, lesens­wer­ten Bei­trag auf­ge­nom­men: Wenn der Daten­schutz Ärz­te und Rechts­an­wäl­te zum Schwei­gen bringt. Anschau­lich wird hier noch­mals die Rechts­la­ge nach­voll­zieh­bar dar­ge­stellt: Schwei­ge­pflicht ergänzt Daten­schutz, ersetzt die­sen jedoch nicht. Die Fol­gen — abge­se­hen vom Image­ver­lust und dro­hen­den Man­dan­ten-/Pa­ti­en­ten­schwund — sind emp­find­li­che Buß­gel­der in der Kate­go­rie bis 300.000 EUR. Ger­ne wird bei der gan­zen Dis­kus­si­on dann die mög­li­cher­wei­se vor­lie­gen­de Bestell­pflicht eines Daten­schutz­be­auf­trag­ten über­se­hen. Ein zusätz­li­cher Ver­stoß aus der Kate­go­rie bis 50.000 EUR.

Wel­che Maß­nah­men aus dem BDSG bis hin zur Bestel­lung eines Daten­schutz­be­auf­trag­ten für Ihre Kanz­lei, Ihre Pra­xis oder Ihr Büro not­wen­dig sind, kann der a.s.k. Daten­schutz Quick-Check beant­wor­ten. Eine über­schau­ba­re Inves­ti­ti­on, die Ihnen, Ihren Kun­den und deren meist sen­si­blen Daten zu Gute kommt.

Spre­chen Sie mich an!

Die mobile Version verlassen