Recht & Steuer

Recht & Steuer

Recht & Steuer


21.06.2022

Achtung: Update!

Achtung: Update!

Datenschutzgrundverordnung – was ist zu tun?

Verbunden mit der Telematikinfrastruktur, an die sich Physiotherapie-Praxen ab 2026 verpflichtend anbinden müssen, tauchen wieder Fragen zum Datenschutz und zur Datenschutzgrundverordnung (DSGVO) auf. Über das, was zu beachten ist, sprach TT-DIGI mit Rechtsanwalt Benjamin Alt.

TT-DIGI: Herr Alt, was gibt es Neues zur DGSVO?

Benjamin Alt: Es gibt eine Entwicklung, die nicht neu, aber vielen nicht bewusst ist. Wenn ein Praxisinhaber in die automatisierte Datenverarbeitung eingebunden ist, dann muss er eine sogenannte Datenschutz-Folgenabschätzung machen, wofür er immer einen betrieblichen Datenschutzbeauftragten braucht – spätestens mit der Einbindung in die Telematikinfrastruktur. Das ist Pflicht, unabhängig von der Größe der Praxis. Alle Praxen sind verpflichtet, einen betrieblichen Datenschutzbeauftragten zu benennen.

Muss ich einen externen Dienstleister damit beauftragen?

Es muss nicht zwingend ein Externer sein, aber es muss jemand im Betrieb sein, der das zulässigerweise machen darf. Zum Beispiel darf es weder ein Ehepartner noch ein leitender Angestellter sein.

Wer könnte das übernehmen?

Beispielsweise rein theoretisch eine Rezeptionskraft. Vor allem im Fitnessbereich wäre das eine Option.

Das betrifft also auch andere Gesundheitseinrichtungen?

Allein, wenn ein Studio-Mitglied in einem Zirkel trainiert, ein Armband mit einem Chip trägt, worauf sich das Gerät auf den Kunden einstellt, brauche ich immer eine DatenschutzFolgenabschätzung und immer einen betrieblichen Datenschutzbeauftragten. Das ist auch nicht neu, nur viele wissen das eben nicht!

Könnten Sie das konkretisieren?

Es gibt beispielsweise Körperwaagen, die den Kunden oder Patienten wiegen und das mit einer Online-Datenbank hinsichtlich der Gewichtsentwicklung abgleichen. Selbst dann bräuchte ich, nur wegen der Waage, einen betrieblichen Datenschutzbeauftragten.

Bedarf es dafür einer besonderen Qualifizierung?

Der Datenschutzbeauftragte muss hinreichend geschult sein. Ein vernünftiger Kurs kostet allerdings mindestens 2.000 bis 3.000 Euro und geht über mehrere Tage. Das ist also ein Kostenfaktor. Der benannte Mitarbeiter muss sich stetig weiterbilden. Das muss nicht unbedingt jedes Jahr sein, aber sollte regelmäßig, also alle ein bis zwei Jahre sein, das kostet nochmals.

Was kommt rechtlich auf Arbeitgeber zu?

Die Regeln geben vor, dass ein Mitarbeiter zehn Prozent seiner Arbeitszeit für den Datenschutz abgestellt werden muss. D.h. ein Vollzeitmitarbeiter mit 40 Stunden in der Woche muss vier Stunden dafür freigehalten werden, um sich um den Datenschutz zu kümmern. Insgesamt gesehen ist das meist teurer, als einen externen betrieblichen Datenschutzbeauftragten zu verpflichten. Zudem genießt der interne betriebliche Datenschutzbeauftragte einen Sonderkündigungsschutz, d.h. ihm darf gar nicht einfach gekündigt werden.

Die Kosten sind ein Argument, das extern zu vergeben?

Genau, es macht doch einfach keinen Sinn. Der Interne kostet mich mindestens 200 bis 300 Euro Lohnkosten, ein normaler externer betrieblicher Datenschutzbeauftragter liegt vielleicht monatlich bei 150 bis 200 Euro. Das wäre so der Durchschnittspreis für eine normale Praxis. Wenn ich das alles hochrechne, ist ein Externer viel günstiger als ein Arbeitnehmer meiner Praxis.

Wie sieht es mit der Haftungsfrage aus?

Der externe Datenschutzbeauftragte haftet bei einem Datenschutzverstoß, wenn der Fehler durch seine Falschberatung entstanden ist. Bei einem internen betrieblichen Datenschutzbeauftragten steht immer der Praxisinhaber in der Haftung. Ein Inhaber muss alles einkalkulieren, von der Arbeitszeit, den Fortbildungskosten und die Haftungsfrage. Deshalb empfehle ich immer einen externen Datenschutzbeauftragten.

Vielen Dank für das Gespräch.

Das Interview führte Reinhild Karasek.


‹ Zurück

© TT-Digi 2022