Behörde verlangt von Ärzten und Unternehmen wesentlich größere Sorgfalt.
Wien. Im Stress rund um die Einführung der Datenschutz-Grundverordnung haben viele Unternehmen versucht, in kürzester Zeit die datenschutzrechtlichen Anforderungen „irgendwie“ hinzubekommen. Ohne sich eingehender mit der Materie auseinanderzusetzen, wurden Informationstexte für die eigenen Homepages und Einwilligungen für Kunden nach zirkulierenden Texten erstellt, Informationen und Muster der eigenen Kammern unreflektiert übernommen und vermeintliche „Patentlösungen“ eingeführt. Die Braut wurde für den 25. Mai herausgeputzt, oftmals ohne dass viel dahinter stand.
Was dabei herauskommt, zeigt ein Bescheid der Datenschutzbehörde, der vorige Woche im Rechtsinformationssystem veröffentlicht wurde: Der Datenschutz-Koordinator eines Allergie-Tageszentrums meldete bei der Behörde zweimal (verpflichtend) Sicherheitsverletzungen ein; der Behörde fiel offensichtlich auf, dass laut der Datenschutzinformation auf der Homepage des Allergiezentrums aber ein Datenschutzbeauftragter bestellt war, den es anscheinend aber nicht gab. Darauf leitete die Datenschutzbehörde ein amtswegiges Prüfverfahren gegen das Allergiezentrum ein. Denn ein „Datenschutz-Koordinator“ ist begrifflich jemand, der sich im Unternehmen um Datenschutzrecht „kümmert“; ein „Datenschutzbeauftragter“ hat hingegen eine gesetzlich genau definierte Kontroll- und Beratungsfunktion und muss in bestimmten Fällen verpflichtend bestellt werden, etwa dann, wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung von Gesundheitsdaten besteht.
