Die DS-GVO ist nun seit dem 25.05.2018 in Kraft und jeder Unternehmer dürfte die erforderlichen Maßnahmen zur Einhaltung der datenschutzrechtlichen Regelungen mittlerweile ergriffen haben. Doch auf was sollen Zahnärzte eigentlich genau achten und wie sehen die aktuellen Tendenzen aus?
Christian Erbacher
/// Wichtig: Vorkehrungen gegen Verschlüsselungstrojaner treffen
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in einer Pressemitteilung im November 2018 verkündet, dass neue flächendeckende Datenschutzkontrollen angestoßen werden. Im Fokus der aktuellen Prüfung stünden neben dem sicheren Betrieb von Online-Shops und der Überprüfung von Großkonzernen auch der Schutz vor Verschlüsselungstrojanern in Arztpraxen.
Ist eine Praxis bzw. ein Unternehmen von dieser Schadsoftware befallen, wird der Zugriff auf die (Patienten-)Daten gesperrt und anschließend Lösegeld gefordert, um die Daten wiederherzustellen.
Ohne eine Datensicherung (Backups) kann nur in wenigen Fällen eine Wiederherstellung der Daten mühelos erfolgen. Aus diesem Grund sind regelmäßige Datensicherungen und die Sensibilisierung der Mitarbeiter wertvolle Vorbeugemaßnahmen.
/// Datenschutzbeauftragter erst ab 20 Mitarbeiten notwendig
Der Bundesrat hat am 20. September 2019 beschlossen, dass Unternehmen nunmehr dann zur Benennung eines Datenschutzbeauftragten (DSB) verpflichtet sind, wenn mindestens zwanzig Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Die Grenze wurde somit von 10 auf 20 angehoben.
Diese Entlastung wird sicherlich vielen Zahnarztpraxen zu Gute kommen. Doch Achtung. Denn unabhängig von einer Pflicht zur Benennung eines DSB gilt natürlich die Pflicht zur Einhaltung der DS-GVO-Regelungen. Insofern sollte in jedem Einzelfall überlegt werden, die Einhaltung der Gesetze durch einen (externen) DSB zu gewährleisten.
/// Behörden einigen sich auf konkretes Berechnungsmodell für Bußgelder
Im Juni dieses Jahrs trafen sich die deutschen Datenschutzexperten zur „Zwischenkonferenz 2019 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ und diskutierten ein neues Rechenmodell.
Das Modell berechnet übersichtlich und sehr schematisch die Höhe der Geldbußen, die künftig für Datenschutzverstöße fällig werden können. Nach Informationen von JUVE arbeitet die Datenschutzbehörde in Niedersachsen bereits mit diesem Modell.
Der festgelegte Bußgeldrahmen soll sich dabei wie folgt berechnen:
Als Bemessungsgrundlage wird zunächst einmal der weltweite Unternehmensumsatz des Vorjahres zu Grunde gelegt. Aus diesem ergibt sich dann der Tagessatz. Dieser wird multipliziert mit einem Faktor, der abhängig vom Schweregrad des Verstoßes ist, etwa Faktor 1 bis 4 bei einem leichten Verstoß, bis hin zu einem Faktor zwischen 12 bis 14,4 bei einem sehr schweren Verstoß.
Der Schweregrad wiederum ist das Ergebnis eines Punktesystems, das senkend, gleichbleibend oder erhöhend wirkt. Maßgeblich für die Punktzahl ist unter anderem die Dauer des Verstoßes, die Zahl der betroffenen Personen und das Ausmaß des erlittenen Schadens.
Für Wiederholungstäter gilt, dass ein erneuter Verstoß einen Aufschlag von 50 Prozent mit sich bringt. Bei einem weiteren Verstoß ist ein Aufschlag von 150 Prozent und bei drei oder mehr Verstößen ein Aufschlag um 300 Prozent vorgesehen.
Das Berechnungsmodell für Bußgelder berücksichtigt außerdem den jeweiligen Verschuldensgrad. Handelt es sich um eine geringe oder unbewusste Fahrlässigkeit, vermindert sich die Summe um 25 Prozent. Bei normaler Fahrlässigkeit bleibt sie gleich, sie erhöht sich um 25 oder sogar 50 Prozent bei Vorsatz oder Absicht.
/// Millionenbußgeld aus Berlin
Die Berliner Datenschutzbeauftragte hat am 30.10.2019 das bislang in Deutschland höchste Bußgeld auf Grundlage der DS-GVO verhängt.
Getroffen hat es zwar nicht die Gesundheitsbranche, sondern die Immobiliengesellschaft Deutsche Wohnen SE. Trotzdem kann der zugrundeliegende Sachverhalt auch auf Zahnarztpraxen übertragen werden.
Denn im Kern ging es um archivierte, personenbezogene Daten der Mieter (wie Gehaltsbescheinigungen, Selbstauskunftsformulare etc.), für die das Unternehmen systembedingt keine Löschfunktion vorhielt. Gleiches würde also gelten, wenn Patientendaten archiviert werden, ohne dass die IT-Software eine Löschfunktion vorsieht.
/// Fazit und Praxistipp
Datenschutzrecht ist wichtig und für die Sicherheit der Patientendaten unerlässlich. Gleichzeitig werden die datenschutzrechtlichen Regelungen weiter angepasst, wie z.B. die Anhebung der Personenzahl auf 20 Mitarbeiter zeigt. Die zukünftigen weiterenEntwicklungen und vor allem die Aktivitäten der Behörden sollte jeder Unternehmer im Blick haben und ernst nehmen. Denn das beschlossene einheitliche Berechnungsmodell für Bußgelder zeigt, dass die Verhängung weiterer Bußgelder zu erwarten ist, wenn der Datenschutz vernachlässigt wird.
– AUTOR
Christian Erbacher, LL.M.
Rechtsanwalt und Fachanwalt für Medizinrecht
– KONTAKT
Lyck+Pätzold. healthcare.recht
Nehringstraße 2
61352 Bad Homburg
Telefon: 06172/13 99 60
Telefax: 06172/13 99 66
E- Mail: kanzlei@medizinanwaelte.de
Internet: www.medizinanwaelte.de