Digitale Werte schützen, IT-Security, Datenschutz, Datenschutzberater

Datenschutz ist Chefsache, Datenschutz-beauftragter nicht

Datenschutz ist in (fast) jedem Unternehmen Chefsache, kein Zweifel. Das sollte allerdings kein Grund für den Geschäftsführer sein, die Funktion des Datenschutzbeauftragten gleich selbst zu übernehmen. Weitgehend unbestritten ist nämlich, dass Mitglieder der Geschäftsführung nicht zum Datenschutzbeauftragten bestellt werden dürfen bzw. können. Zum einen ist der Datenschutzbeauftragte nach dem Gesetz direkt der Geschäftsführung oder dem Leiter der Stelle zu unterstellen, was in der beschriebenen Konstellation schlicht nicht möglich wäre.

Zum anderen muss der Datenschutzbeauftragte zuverlässig sein und die erforderliche Fachkenntnis besitzen. Nun erwartet man sicher zu Recht auch von der Geschäftsführung Zuverlässigkeit. In der Datenschutzlogik bedeutet das: der Datenschutzbeauftragte muss frei von Interessenkonflikten seine Fachkenntnis im Datenschutz ausüben. Der IT-Leiter wird bspw. Entscheidungen über die Einführung eines cloudbasierten CRM-Systems nicht zugleich als Budgetverantwortlicher und als Datenschutzbeauftragter in Personalunion treffen können. In einer der beiden Rollen wird er nicht sein Bestes geben können. Die Gesellschafter und die Geschäftsführer werden sich regelmäßig in ähnlichen Konstellationen finden und sind insofern nicht geeignet zum Datenschutzbeauftragten bestellt zu werden.

In der Praxis kommt es aber immer wieder zu Problemen und Skandalen, oftmals in Verbindung mit wichtigen sensiblen Daten. Es kommt immer wieder mal vor, dass der bestellte Datenschutzbeauftragte nicht die erforderliche Zuverlässigkeit besitzt. Im Februar diesen Jahres trat ein Thüringer Klinikum negativ in Erscheinung, hierbei wurden Patientenakten, Dienstpläne von Ärzten und auch komplette Röntgenaufnahmen nicht datenschutzgerecht entsorgt und als Faschingskonfetti genutzt. In diesem Fall wurden die gesamten Datensätze nur unzureichend in kleine Papierreste geschreddert und es konnten zahlreiche Informationen wieder zusammengesetzt werden.

Um solche Vorfälle zu vermeiden, ist es wichtig, dass alle Mitarbeiter im Umgang mit personenbezogenen Daten sensibilisiert werden, damit sich eine solche Datenpanne nicht wiederholt wird. Dies ist im aktuellen Vorfall umso brisanter, da es sich um Patientendaten handelt.

Im Bereich der Krankenhäusergibt es zudem spezielle bereichsspezifische Datenschutzvorgaben, die den Regelungen des BDSG vorausgehen. Für Sachsen gilt beispielsweise u.a. das sächsische Krankenhausgesetz. Insbesondere in den §§ 33SächsKHG finden sich spezielle datenschutzrechtliche Anforderungen. Danach werden z.B. bereits Daten von Angehörigen als Patientendaten definiert und die Stellung, die Rechte, Pflichten und die vereinzelten Aufgaben des Datenschutzbeauftragten konkretisiert

Lessons to learn:

  • Der Datenschutzbeauftragte muss als Berater der Geschäftsführung seine Arbeit frei von Interessenkonflikten ausüben können
  • Die Kontrolle der Einhaltung der allgemeinen und bereichsspezifischen Datenschutzvorschriften müssen höchste Priorität aufweisen
  • Stetiger Besuch von Weiterbildungsveranstaltungen, um der aktuellen Bedrohungslage gewachsen zu sein
  • Schulung und Sensibilisierung aller Mitarbeiter zu aktuellen und bestehenden Datenschutzthemen um Datenpannen vorzubeugen und Digitale Werte zu schützen.

Tags:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.