Die Pflicht zur datenschutzrechtlichen Schulung trifft jede Zahnarztpraxis

10.03.2020

Die Pflicht zur datenschutzrechtlichen Sensibilisierung und Schulung von Mitarbeitern betrifft jede Zahnarztpraxis - auch wenn diese über keinen eigenen Datenschutzbeauftragten verfügt. Um den für eine solche Schulung nötigen Zeitaufwand auf das Nötige zu beschränken und eine damit eventuell verbundene Abwesenheit der Mitarbeiter*innen zu vermeiden, bietet die DGZMK ihren Mitgliedern und interessierten Zahnärzt*innen in Zusammenarbeit mit dem Dental Online College (GmbH) und dem Datenschutzexperten Dr. Kazemi per Webinar die Möglichkeit, diese Schulung flexibel durchzuführen. So wird verhindert, dass Praxisabläufe blockiert werden. Und in Zeiten der Coronavirus-Problematik wird auch jede Ansteckungsgefahr vermieden.

Machen Sie Ihre Mitarbeiter fit in Sachen Datenschutz. Vermeiden Sie Haftungsrisiken und dokumentieren Sie, dass Sie Ihren Verpflichtungen ordnungsgemäß nachgekommen sind.

Für jeden registrierten Teilnehmen wird am Ende Teilnahmezertifikat ausgestellt. Das Seminar endet mit einem kleinen Wissenstest zur Verständnisprüfung und Wissenskontrolle. Die Kosten pro Teilnehmer betragen 49,00 € zzgl. MwSt.

Interessiert? Hier geht es zur Anmeldung.

Nachfolgend einige Informationen zum rechtlichen Hintergrund und Notwendigkeit einer datenschutzrechtlichen Schulung:  

Nach Art. 39 DSGVO obliegt dem Datenschutzbeauftragten die Aufgabe der Unterrichtung und Beratung der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer datenschutzrechtlichen Pflichten (Art. 39 Abs. 1 lit. a DSGVO). Hierzu zählt die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter (Art. 39 Abs. 1 lit. b DSGVO). Diese – im Einzelnen inhaltlich umstrittene Aufgabenzuweisung – wird oft in dem Sinne missverstanden, dass dort, wo gesetzlich keine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten besteht und damit die Aufgabe der Mitarbeiterschulung nicht vom Datenschutzbeauftragten übernommen werden kann, generell keine Verpflichtung zur Sensibilisierung und Schulung der Mitarbeiter bestehe.

Dies jedoch ist ein Trugschluss und kann – insbesondere bei datenschutzrechtlich nicht beratenen Zahnarztpraxen – schnell in einem (kostspieligen) Datenschutzverstoß münden. Denn die DSGVO geht  davon aus, dass die Unternehmensleitung des Verantwortlichen grundsätzlich selbst für die Einhaltung der DSGVO zu sorgen hat und zwar unbeschadet der Bestellung eines betrieblichen Datenschutzbeauftragten. Art. 24 Abs. 2 DSGVO normiert die Verpflichtung zur Anwendung geeigneter Datenschutzvorkehrungen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Hierzu gehört die Sicherstellung des erforderlichen Niveaus des Fachwissens, welches sich nach den durchgeführten Datenverarbeitungsvorgängen und dem hieraus erforderlich werdenden Schutz für die von dem Verantwortlichen verarbeiteten personenbezogenen Daten richtet (Erwägungsgrund 97). Wenn also, Art. 39 DSGVO die Aufgabe der Sensibilisierung der Mitarbeiter auf den Datenschutzbeauftragten überträgt, so verdeutlicht dies nur eins, nämlich, dass die Sensibilisierung von Mitarbeitern in Datenschutzfragen zu einer wesentlichen Verpflichtung des Verantwortlichen gehört. Der Datenschutzbeauftragte nimmt insofern „bei der Überwachung der internen Einhaltung der Bestimmungen der DSGVO“ mit seinem Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren lediglich eine unterstützende Funktion ein (Erwägungsgrund 97).  Dort, wo Art. 39 DSGVO bestimmte Aufgaben an den betrieblichen Datenschutzbeauftragten „delegiert“, wird daher das „Unterstützungsumfeld“ bestimmt und gleichsam eine hierauf bezogene Verpflichtung des Verantwortlichen selbst normiert.  Auch Art. 32 der Maßnahmen zur Sicherheit der Verarbeitung regelt, hebt in seinem Absatz 4  die Verpflichtung des Verantwortlichen dahingehend, die erforderlichen Schritte zu unternehmen, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, deutlich hervor. Hierzu zählen insbesondere wiederholte Schulungen und Kontrollen der mit der Verarbeitung befassten Mitarbeiter (so Martini, in: Paal/Pauly, DS-GVO BDSG, Art. 32 Rn. 66; Kramer/Meints, in: Auernhammer, DS-GVO, Art. 32 Rn. 54).

Dies ist h.M. im datenschutzrechtlichen Schrifttum und auch im Verständnis der für die Durchsetzung der DSGVO zuständigen Aufsichtsbehörden fest verankert. So nimmt die Unterrichtung und Sensibilisierung der eigenen Beschäftigten beispielsweise in einer vom Bayerischen Landesamt für Datenschutz veröffentlichten Informationsbroschüre (https://www.lda.bayern.de/media/DS-GVO_in_Unternehmen.pdf) Platz 1 der Top 10 der wichtigsten Umsetzungsverpflichtungen für Unternehmen nach der DSGVO ein.  Die im Bundesanzeiger Verlag veröffentlichte Fachmedien-Datenbank für Compliance und Datenschutz veranschaulicht dies im Abschnitt 12 mit der Darstellung von Prüffragen der Aufsichtsbehörden ebenso. Hier werden, die in anlasslosen Kontrollen der Datenschutzaufsichtsbehörden immer vorzufindende Fragen „Gibt es ein Konzept im Unternehmen, wer bezogen auf den Datenschutz für was zuständig ist (z.B. Schulung der Mitarbeiter)?“ und „Wurde die Datenverarbeitung gemäß der Planung implementiert (einschließlich Mitarbeiterschulung und Zuweisung von Verantwortlichkeiten)?“ wiedergegeben. Im Kurzpapier Nr. 19 der Deutschen Datenschutzkonferenz (https://www.datenschutzzentrum.de/uploads/dsgvo/kurzpapiere/DSK_KPNr_19_Verpflichtung-Beschaeftigte.pdf) wird eine Verpflichtung zur laufenden Sensibilisierung der Beschäftigten in regelmäßigen Zeitintervallen im Rahmen von Schulungen ebenso hervorgehoben. Hier heiß es:

„Zur Verpflichtung gehört auch eine Belehrung über die sich ergebenden Pflichten. Die Beschäftigten sind - möglichst anhand typischer Fälle - darüber zu informieren, was sie in datenschutzrechtlicher Hinsicht bei ihrer täglichen Arbeit beachten müssen.“

Die Sensibilisierung der Beschäftigten muss damit in jeder Zahnarztpraxis zum Standard werden. Dort, wo kein Datenschutzbeauftragter bestellt ist, ist es an der Praxisleitung dies sicherzustellen und mit Blick auf Art. 5 Abs. 2 DSGVO nachweisbar zu dokumentieren.  Bei Verstößen gegen diese Verpflichtung können Geldbußen von bis zu 10 000 000 EUR gegen die Praxis verhangen werden (Art. 83 Abs. 4 DSGVO).

Dr. Robert Kazemi