27.07.2018

DSGVO: Die wichtigsten Fakten zum Datenschutz in der Zahnarztpraxis

Die neue Datenschutz-Grundverordnung verbreitet zurzeit einige Unruhe in Unternehmen. Auch in Zahnarztpraxen, werden hier doch Gesundheitsdaten verarbeitet. Die Daten Ihrer Patienten zählen laut Art. 9 DSGVO zu einer besonderen Kategorie personenbezogener Daten. In diesem Beitrag versuchen wir die wichtigsten Fragen zur Umsetzung der neuen Datenschutzanforderungen in der Zahnarztpraxis zu klären.

Datenschutz in der Zahnarztpraxis nach DSGVO und BDSG

„Ab wann muss die Datenschutz-Grundverordnung (DSGVO) umgesetzt werden?“

Die DSGVO gilt seit dem 25. Mai 2018 für alle Unternehmen. Dies ist in Art. 99 DSGVO geregelt. In Kraft getreten ist die europäische Verordnung am 25. Mai 2016 mit einer zweijährigen Übergangszeit, in der Unternehmen, Behörden, Vereine, Verbände und andere Institutionen ihre Datenverarbeitung an die DSGVO anpassen sollten. Als europäische Verordnung ist die DSGVO in allen EU-Mitgliedstaaten unmittelbar wirksam.

„Wird die DSGVO in nationales Recht umgesetzt?“

Nationale Regelungen dürfen die DSGVO lediglich spezifizieren, konkretisieren oder ergänzen, sofern dies die DSGVO ausdrücklich zulässt. Das neu gefasste deutsche Bundesdatenschutzgesetz (BDSG) wurde daher im Hinblick auf die Vereinbarkeit mit der DSGVO und weiteren europäischen Regelungen angepasst. Das BDSG gilt ebenfalls seit dem 25. Mai 2018.

Eine hilfreiche Übersicht finden Sie unter https://dsgvo-gesetz.de/. Dort sind die einzelnen Vorschriften von DSGVO und BDSG und die sogenannten „Erwägungsgründe“ zur DSGVO inhaltlich passend miteinander verlinkt.

„Was sind die wichtigsten Änderungen der DSGVO?“

Auf den Punkt gebracht erweitert die DSGVO auch für Zahnarztpraxen die bereits bekannten Pflichten – wie die gemäß dem BDSG –, erhöht aber gleichzeitig die Anforderungen an den Datenschutz.

Als wichtigste Neuerungen der DSGVO gelten:

  • die erweiterten Pflichten im technischen Datenschutz, u.a. die Pflicht zur Führung eines Verarbeitungsverzeichnisses und die Verankerung der Mitverantwortung der Auftragsverarbeiter (externe Dienstleister)
  • die Erweiterung der Transparenz- und Informationspflichten gegenüber Betroffenen
  • das „Recht auf Vergessenwerden“ (Löschung von Daten)
  • die erweiterten Mitwirkungs- und Meldepflichten gegenüber der Aufsichtsbehörde
  • die Einführung einer Datenschutzfolgen-Abschätzung
  • die Erweiterung für die Benennung eines Datenschutzbeauftragten

 

„Welches Ziel verfolgt die DSGVO?“

Mit der DSGVO soll ein einheitlicher Schutz personenbezogener Daten von natürlichen Personen sowie des freien Datenverkehrs innerhalb des europäischen Binnenmarkts gewährleistet werden. Der Begriff der personenbezogenen Daten ist allerdings sehr weit gefasst. Es fallen darunter nicht nur Patientendaten, sondern Daten von Beschäftigten, Bewerbern, Lieferanten und Geschäftspartnern. Ausreichend ist es, wenn die Informationen einer Person irgendwie zugeordnet werden können und sich damit ein Personenbezug herstellen lässt.

Besonders effektiv sind personenbezogene Daten zu verarbeiten, wenn sie in elektronischer Form vorliegen. Das bedeutet jedoch nicht, dass der Datenschutz nicht auch Daten umfasst, die nicht in digitaler Form verarbeitet werden. Gemäß Art. 2 Abs. 1 DSGVO gilt die Verordnung für „die ganz oder teilweise automatisierte Verarbeitung sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“. Personenbezogene Daten sollten also unabhängig von der Technik geschützt werden.

„Was sind personenbezogene Daten?“

Nach europäischem Recht und dem BDSG sind personenbezogene Daten all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf die Person erlauben. Dazu gehören insbesondere Namen, Geburtsdatum, Adresse, Bankverbindungen, Telefonnummern, Familienstand etc.

Unter der DSGVO gilt alles, was einen EU-Bürger identifizierbar macht, als personenbezogene Daten, z.B. Namen, Kennnummern, Standortdaten, Online-Kennungen (z.B. IP-Adressen).

Besondere Kategorien personenbezogener Daten (die DSGVO nennt diese auch „besonders sensiblen Daten“) umfassen Informationen über die rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualität sowie genetische und biometrische Daten. Sie sind besonders schützenswert und ihre Verarbeitung unterliegt besonders strengen Anforderungen.

„Wann ist die Nutzung von Daten erlaubt?“

Die Verarbeitung personenbezogener Daten ist in folgenden Fällen zulässig:

  • zur Erfüllung eines Vertrags (z.B. Behandlungsvertrag)
  • zur Erfüllung einer rechtlichen Verpflichtung (z.B. SGB V bei GKV-Versicherten)
  • wenn die Einwilligung der Person, deren Daten verarbeitet werden sollen, vorliegt (z.B. Einwilligung in Recall)
  • zur Wahrung berechtigter Interessen (z.B. Honorarforderung)

„Wer ist für den Datenschutz in der Praxis verantwortlich?“

Wenn ein Unternehmen personenbezogene Daten verarbeitet, dann trägt es hierfür die Verantwortung. Ein solches Unternehmen nennt die DSGVO den „Verantwortlichen“. Da es sich bei Unternehmen oft um juristische Personen handelt, ist in diesem Fall die Praxisleitung für die Einhaltung der gesetzlichen Regelungen verantwortlich.

„Braucht jede Zahnarztpraxis einen Datenschutzbeauftragten (DSB)?“

Die DSGVO verlangt in zwei Fällen einen Datenschutzbeauftragten:

  • Es besteht eine „umfangreiche“ Verarbeitung von Gesundheitsdaten, wobei die DSGVO nicht konkret darüber Auskunft gibt, was unter umfangreich zu verstehen ist.
  • Die „Datenschutz-Folgenabschätzung“ (DSFA) muss durchgeführt werden.
    Die DSFA ist u. a. bei umfangreicher Verarbeitung von Gesundheitsdaten verpflichtend und wenn zusätzlich ein hohes Risiko für die Rechte der Betroffenen besteht.

Von diesen ersten beiden Regelungen werden i. d. R. Zahnarztpraxen, insbesondere Einzelpraxen, nicht betroffen sein.

Aber es gibt eine weitere Regelung im BDSG, die die Benennung eines Datenschutzbeauftragten festlegt: Soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, besteht u.a. die Pflicht zur Bestellung eines Datenschutzbeauftragten.

„Wer fällt unter die Zehn-Personen-Regel?“

Bei der Feststellung der Zahl der beschäftigten Personen ist die Kopfzahl das entscheidende Kriterium. Es kommt somit nicht darauf an, ob es sich um Vollzeit- oder Teilzeitkräfte handelt. Auch zählen zu diesem Personenkreis Auszubildende sowie nach Auffassung der Aufsichtsbehörden auch der Praxisinhaber selbst.

Praktikanten zählen nur dann bei der Berechnung mit, wenn sie regelmäßig in der Praxis und dabei auch mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden.

„Was gilt für Berufsausübungsgemeinschaften (BAGs)?“

Unabhängig von ihrer Gesellschaftsform ist eine BAG als eine Praxis anzusehen. Bei der Berechnung der Personenzahl sind also sämtliche Beschäftigte der BAG mitzuzählen, die automatisiert Daten verarbeiten.

„Was gilt für Praxisgemeinschaften?“

Anders als bei der BAG üben die an der Praxisgemeinschaft Beteiligten keine gemeinsame Berufsausübung aus. Jede an der Praxisgemeinschaft teilnehmende Praxis handelt wirtschaftlich selbstständig und erhebt und verarbeitet personenbezogene Daten selbstständig. Somit ist für die Berechnung der Personenzahl jede Praxis gesondert zu betrachten.

„Kann jeder Mitarbeiter zum Datenschutzbeauftragten bestellt werden?“

Zum Datenschutzbeauftragten bestellt werden kann derjenige, der eine entsprechende berufliche Qualifikation hat und Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt sowie aufgrund seiner Fähigkeit zur Erfüllung der Aufgaben geeignet ist. Es darf dabei aber nicht zu Interessenkonflikten kommen. Daher sind z.B. der Praxisinhaber oder der IT-Systembetreuer von der Benennung ausgenommen.

„Kann auch ein externer Datenschutzbeauftragter bestellt werden?“

Ja, dies ist erlaubt. Der Datenschutzbeauftragte kann intern wie auch extern bestellt werden. Wichtig ist, dass in beiden Fällen gewährleistet ist, dass er seine Aufgaben unabhängig wahrnehmen kann.

„Welche Aufgaben hat der Datenschutzbeauftragte?“

Der Datenschutzbeauftragte überwacht die Datenverarbeitungsprozesse in der Praxis, unterrichtet und berät die Praxisleitung und wirkt auf die Einhaltung des Datenschutzrechts hin. Zudem soll er die an den Verarbeitungsvorgängen beteiligten Beschäftigten für den Datenschutz und die -sicherheit sensibilisieren und schulen. Er ist im Fall von Datenpannen, Beschwerden betroffener Personen oder Anfragen die erste Anlaufstelle für die Datenschutzbehörde.

„Was ist ein Verzeichnis der Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?“

Gemäß Art. 30 DSGVO sind sämtliche Tätigkeiten im Unternehmen zu dokumentieren, bei denen personenbezogene Daten automatisiert sowie nicht automatisiert verarbeitet werden. Das sind z.B. das Anlegen und die Verwaltung der Patientenkartei, die Abrechnung der Behandlungsleistungen oder die Gehaltsabrechnung für die Mitarbeiter. Dieses Verzeichnis hat bestimmte Angaben zu enthalten, die in Art. 30 DSGVO aufgeführt sind.

Diese Dokumentationspflicht ist keine neue Anforderung aus dem Datenschutz. Bisher war das Verzeichnis unter dem Begriff „Verfahrensverzeichnis“ bekannt und wurde im BDSG geregelt. Die entsprechenden Regelungen werden nun hinfällig und durch die DSGVO abgelöst.

„Muss jede Zahnarztpraxis ein Verarbeitungsverzeichnis führen?“

Für Unternehmen mit weniger als 250 Mitarbeitern ist zwar eine Ausnahme vorgesehen, doch greift die u.a. nur, wenn die Datenverarbeitung „nur gelegentlich erfolgt“. Allein schon aufgrund der regelmäßigen Verarbeitung von Gesundheits- und Personaldaten sind Zahnarztpraxen in der Tat nicht von der Verpflichtung ausgenommen, ein „Verzeichnis aller Verarbeitungstätigkeiten“ anzulegen.

„Welche Anforderungen stellt die DSGVO an die Auftragsverarbeitung?“

Mit jedem Geschäftspartner, der personenbezogene Daten im Rahmen einer Beauftragung durch die Zahnarztpraxis verarbeitet, ist eine Vereinbarung über die Auftragsverarbeitung abzuschließen. Ansonsten ist keine rechtmäßige Datenverarbeitung im Auftrag möglich.

Dabei muss der Verantwortliche zahlreiche Verpflichtungen des Auftragsverarbeiters gemäß Art. 28 DSGVO einfordern, um eine datenschutzkonforme Verarbeitung seiner Daten sicherzustellen. Insbesondere muss der Auftragsverarbeiter vor Vertragsabschluss die technisch-organisatorischen Maßnahmen benennen, unter denen die Daten bei ihm verarbeitet werden. Diese Maßnahmen müssen den Anforderungen von Art. 32 DSGVO genügen. Diese sind:

  • personenbezogene Daten pseudonymisieren und verschlüsseln
  • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen
  • Verfügbarkeit der personenbezogenen Daten und Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherstellen
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen einführen, um die Sicherheit der Verarbeitung zu gewährleisten

Für den Fall, dass Gesundheitsdaten durch Externe im Auftrag verarbeitet werden, muss die Verschwiegenheit der mitwirkenden Personen sichergestellt und diese müssen zur Geheimhaltung verpflichtet werden. Diese Verpflichtung muss unbedingt dokumentiert werden.

„Welche Befugnisse haben die länderspezifischen Aufsichtsbehörden?“

Es ist die vorrangige Aufgabe der zuständigen länderspezifischen Aufsichtsbehörden, sicherzustellen, dass die gesetzlichen Vorschriften zum Datenschutz eingehalten werden und Verstöße erst gar nicht passieren.

Sollten doch datenschutzrechtliche Verstöße festgestellt werden, so ist es die Aufgabe der Behörden, eine Warnung, Verwarnung oder Anweisung bis hin zu einem Verbot der Datenverarbeitung auszusprechen sowie die Geldbußen zu verhängen.

Weitere Befugnisse übt die Aufsichtsbehörde gemäß Art. 58 DSGVO aus:

  • Aufforderung der Praxisleitung, Auskünfte zu erteilen und Informationen/Unterlagen bereitzustellen.
  • Abberufung eines Datenschutzbeauftragten, wenn dieser nicht die erforderliche Fachkunde besitzt oder ein schwerer Interessenkonflikt vorliegt
  • Anordnung der Löschung oder Berichtigung von Daten
  • Beratung und Stellungnahmen, damit der Datenschutz ordnungsgemäß und nach einheitlichem Standard erfolgt.

„Was passiert bei einem Verstoß gegen die DSGVO?“

Durch die DSGVO wird die Haftung erheblich verschärft. Eine natürliche Person, die einen Schaden durch einen Verstoß gegen die DSGVO erleidet, hat Anspruch auf Schadensersatz, sowohl bei materiellen als auch bei immateriellen Schäden. Schadensersatzpflichtig ist der Verantwortliche und jeder an der Verarbeitung Beteiligte, damit auch ein Auftragsverarbeiter (externer Dienstleister), der im Auftrag der Praxis personenbezogene Daten verarbeitet.

Zusätzlich drohen bei Verstößen gegen die DSGVO empfindliche Geldbußen für die Unternehmen. So können Geldbußen  bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Umsatzes des letzten Geschäftsjahres verhängt werden.

„Was muss im Fall von Datenschutzverletzungen bzw. Datenpannen unternommen werden?“

Der Verantwortliche muss möglichst binnen 72 Stunden, nachdem die Datenverletzung bekannt wurde, dies der zuständigen Aufsichtsbehörde melden. Der Auftragsverarbeiter muss eine „Datenpanne“ ebenfalls unverzüglich an den Auftraggeber melden, damit dieser wiederum seiner Meldepflicht nachkommen kann.

Zu melden sind folgende Daten:

  • Name des Unternehmens
  • Anschrift des Unternehmens
  • Telefonnummer des Unternehmens
  • Vor- und Nachname des Datenschutzbeauftragten
  • E-Mail-Adresse des Datenschutzbeauftragten

Die Meldung erfolgt im Regelfall online über die Website der jeweiligen Landesdatenschutzbeauftragten.

Wenn Risiken für die Rechte und Freiheiten von betroffenen Personen ausgeschlossen oder als höchst unwahrscheinlich eingestuft werden, besteht keine Meldepflicht.

„Muss auch der Betroffene der Datenschutzverletzung benachrichtigt werden?“

Führt die Datenpanne voraussichtlich zu einem hohen Risiko für die Rechte betroffener Personen, so muss der Verantwortliche neben der Meldung an die Aufsichtsbehörde auch die betroffenen Personen unverzüglich benachrichtigen.

Eine Pflicht zur Benachrichtigung betroffener Personen besteht in solchen Fällen nur dann nicht, wenn eine der in Art. 34 Abs. 3 DSGVO genannten Bedingungen erfüllt ist.

 

 

Autor*in: Angelika Pindur-Nakamura