Datenschutz-Grundverordnung

Datenschutz-Grundverordnung

Der Königsweg zur Einführung des Datenschutzes in ihrer Zahnarztpraxis

Sie ist der Stoff, aus dem unternehmerische Albträume sind – die Europäische Datenschutz-Grundverordnung. Ihr Inhalt ist hoch abstrakt und erzeugt viel Bürokratie. Die geregelte Materie – „personenbezogene Daten“ – ist durch niemanden zu fassen. Ihre inhaltlichen Anforderungen werden flankiert von zahlreichen Informations- und Auskunftspflichten zulasten des Unternehmers. Dazu enthält sie einen Bußgeldrahmen, der garantiert niemanden kalt lässt. Trotzdem gilt sie für jedermann und damit auch für jede Zahnarztpraxis.

Daniel Selig

/// Darum geht es: Die Europäische Datenschutz-Grundverordnung

Seit 25. Mai 2018 gilt die europäische Datenschutz-Grundverordnung (DS-GVO). Sie regelt das Datenschutzrecht in allen Mitgliedstaaten der Europäischen Union neu und dient dem Zweck, die Bürger vor der unerlaubten rechtsgrundlosen Verarbeitung ihrer personenbezogenen Daten zu schützen. Personenbezogen sind dabei alle Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen. Das ist durchaus weit zu verstehen und bezieht neben allen Patientendaten auch die Daten der Praxismitarbeiter ein. Verpflichteter der DS-GVO ist jeder, der personenbezogene Daten verarbeitet. Auf die Größe des Unternehmens / der Praxis kommt es dabei genauso wenig an, wie auf die Pflicht einen Datenschutzbeauftragten zu bestellen. Für verschiedene Datenkategorien sieht die DS-GVO dabei ein besonders hohes Schutzniveau vor. Hierzu zählen insbesondere die Daten, die hauptsächlich in der Praxis anfallen: Gesundheitsdaten.

/// Anforderungen an die Zahnarztpraxis

Um das Ziel eines dauerhaft hohen Datenschutzniveaus zu erreichen, bedient sich die DS-GVO verschiedener Mittel. Diese sind von jeder datenschutzrechtlich verantwortlichen Stelle – also auch von jeder Zahnarztpraxis – einzuhalten. Dabei hat der Gesetzgeber besonderen Wert darauf gelegt, dass sich jeder Datenverarbeiter individuell mit seinen Datenverarbeitungen auseinandersetzt. Die Übernahme von Mustern und vorgefertigten Erklärungen erfüllt diesen gesetzlichen Zweck gerade nicht.

Vorbehaltlich der konkreten Datenverarbeitungsvorgänge in der Praxis kann die nachfolgende Aufzählung als Überblickgelten.

Mit Blick auf die Patienten sind mindestens folgende Dokumente unentbehrlich:

• Praxisindividuelle Patienteninformation nach Art. 13, 14 DS-GVO und
• Praxisindividuelle Patienteneinwilligung nach Art. 7, 9 Abs. 2 Buchst. a DS-GVO.

Hinsichtlich der Praxismitarbeiter ist mindestens Folgendes erforderlich:

• Verpflichtung der Mitarbeiter auf das Datengeheimnis und
• überblicksartige Datenschutz-Schulung der Mitarbeiter („Sensibilisierung“).

Zur Erfüllung der Dokumentationspflichten einer Praxis braucht es vor allem:

• Praxisindividuelles Verzeichnis der Verarbeitungstätigkeiten,
• Datenschutzleitlinie und
• Dokumentation der Datenschutzfolgenabschätzungen für die Praxis.

Für die Zusammenarbeit mit externen Dienstleistern braucht es unter Berücksichtigung der praxisindividuellen Umstände:

• Auftragsverarbeitungsverträge und
• Änderungsverträge zur Auftragsverarbeitung.

Immer erforderlich, aber in jeder Praxis unterschiedlich sind:

• Technisch-organisatorische Maßnahmen und
• eine ordnungsgemäße Dokumentation derselben.

Abhängig von Größe und Außenauftritt der Praxis braucht es letztlich noch:

• Bestellung eines Datenschutzbeauftragten (intern oder extern) und
• Datenschutzerklärung für die Webseite.

/// Aufsichtsbehörden sind bereits interessiert

Die Datenschutzaufsichtsbehörden haben die Ärzteschaft hinsichtlich der Umsetzung der DS-GVO bereits in Blick genommen. Per Pressemitteilung vom 29. November 2017 informierte die Datenschutzaufsichtsbehörde des Landes Mecklenburg-Vorpommern über die Versendung eines Fragebogens, der von den betroffenen Ärzten verpflichtend zu beantworten war. Wer die Zusammenarbeit der Landesdatenschutzaufsichtsbehörden kennt, weiß, dass die Ergebnisse kein Geheimnis dieser einen Behörde bleiben. Der nur an ausgewählte Ärzte verschickte Fragebogen enthielt einleitend einfach zu beantwortende Fragen nach der Mitarbeiteranzahl (entscheidend für die Pflicht zur Bestellung eines Datenschutzbeauftragten). Enthalten waren aber auch Fragen, die erkennen lassen, ob die betroffene Arztpraxis bereits ein Patienteninformationsblatt nach DS-GVO (s. o.) oder eine aktualisierte Einwilligungserklärung (s. o.) entwickelt hat. Durch die wenigsten Ärzte dürften die Fragen richtig zu beantworten gewesen sein, welches die Rechtsgrundlagen der Verarbeitung von Patientendaten sind und wie man diese zukünftig in der Praxis zu dokumentieren habe.

Aus Anwaltskreisen ist zu hören, dass die DS-GVO auch neuen Treibstoff für die Abmahnindustrie liefert. Richtig ist daran, dass die Verletzung der DS-GVO auch wettbewerbsrechtlich relevant sein kann und damit entsprechende wirtschaftliche Anreize für Abmahnungen durch Anwälte setzt. Den offensichtlichsten Ansatzpunkt bieten dabei die Webseiten der Praxen. Auch diese verarbeiten nämlich personenbezogene Daten, z. B. die IP-Adresse des Besuchers. Hinzu können weitere Daten kommen – z. B. aus dem Kontaktformular, der Online-Terminvereinbarung usw. Damit erkennt man schon bei einem Aufruf der Praxiswebseite leicht von außen, ob sich die Praxis mit der DS-GVO auseinandergesetzt hat.

Am 26. April 2018 haben die Datenschutzaufsichtsbehörden noch eine „Bombe platzen lassen“. In einer gemeinsamen Positionsbestimmung aller Datenschutzaufsichtsbehörden haben sie wesentliche datenschutzrechtliche Vorschriften des Telemediengesetzes mit Inkrafttreten der DS-GVO am 25. Mai 2018 für unanwendbar erklärt. Was für den Laien unscheinbar klingt, hat für den Fachmann enorme Bedeutung. Denn infolge dieser Festlegung der Datenschutzaufsichtsbehörden – die ja die Einhaltung des Datenschutzrechts durchsetzen – ist die Nutzung von Cookies auf Webseiten nun ganz erheblichen Rechtsrisiken ausgesetzt und teilweise rechtlich schlicht unzulässig. Zu Tracking-Cookies gibt es die klare Feststellung der Aufsichtsbehörden, dass diese nur mit vorheriger Einwilligung des Webseitenbesuchers verwendet werden dürfen. Keine vor dem 25. Mai 2018 erstellte Webseite, die Tracking-Cookies verwendet, dürfte diese Anforderungen erfüllen.

Der Königsweg – Mit der DGDG kurzfristig den Datenschutz umsetzen

Damit steht fest: An einer individuellen Umsetzung der Datenschutz-Grundverordnung kommt keine Zahnarztpraxis vorbei.

Die Deutsche Gesellschaft für Datenschutz im Gesundheitswesen – DGDG (www.dgdg.online)führt die erforderlichen Arbeiten für die Zahnarztpraxen unmittelbar durch. Von Seiten der Praxis ist ein einmaliger Aufwand von maximal 2 Stundenfür ein telefonisches Audit erforderlich und nachfolgend praxisabhängig die Umsetzung des von der DGDG erstellten individuellen Maßnahmenplans.

Und so funktioniert das:

In einem telefonischen Audit erläutert ein Mitarbeiter der DGDG zunächst kurz die Hintergründe der Datenschutz-Grundverordnung und worauf es bei der Umsetzung in einer Zahnarztpraxis ankommt. Anschließend nimmt er alle für die Umsetzung der DS-GVO erforderlichen Informationen der Praxis auf. Er orientiert sich dabei an den oben aufgeführten Dokumenten und erläutert diese kurz. Dabei kommt es der Praxis zugute, dass die DGDG ausschließlich im Gesundheitswesen tätig ist und dadurch die in Arztpraxen typischen Datenverarbeitungsvorgänge kennt. Die datenschutzrelevanten Praxisinformationen werden elektronisch erfasst und stehen dem Praxisinhaber später online zur Verfügung (Abb. 1).

Aus den erhaltenen Informationen leitet die DGDG individuell die für die Praxis erforderlichen Dokumente ab (siehe oben) und stellt sie ihr zur Verfügung. Die Praxis kann diese dann ganz nach Ihren individuellen Bedürfnissen verwenden (Abb. 2). Ob auch die innere Organisation der Praxis den datenschutzrechtlichen Anforderungen der DS-GVO entspricht, wird in dem Audit ebenfalls ermittelt. Die festgestellten Defizite nimmt die DGDG in einen von ihr zu erstellenden Maßnahmenplan auf und macht konkrete Vorschläge zur Umsetzung. Dabei gewichtet sie diese nach Dringlichkeit (Abb. 3). Mit Verwendung der bereitgestellten Dokumente macht die Praxis sofort nach außen deutlich, dass sie die datenschutzrechtlichen Anforderungen bereits erfüllt. Den Maßnahmenplan setzt sie Stück für Stück um, um sich auch im Falle von Nachprüfungen – z. B. durch Datenschutzaufsichtsbehörden – abzusichern.

Damit enden die Leistungen der DGDG noch nicht. Sie beobachtet die Tätigkeiten des Gesetzgebers auf europäischer sowie auf Bundes-und Landesebene. Außerdem verfolgt sie die sich herausbildende Verwaltungspraxis der Datenschutzaufsichtsbehörden und die Spruchpraxis der Gerichte. Nötige Änderungen an den zur Verfügung gestellten Dokumenten nimmt die DGDG ohne weiteres Zutun der Praxis vor. Sollten Maßnahmen zur Umsetzung in der Praxis erforderlich werden, wird die Praxis informiert. Gleichzeitig werden konkrete Schritte zur Umsetzung vorschlagen.

/// Positiv bleiben

Die Datenschutz-Grundverordnung ist mehr als eine schlechte Nachricht bestehend aus 99 Artikeln und geschmückt von 173 Erwägungsgründen. Sie zwingt die Praxis zwar zur Auseinandersetzung mit der eigenen Datenverarbeitung, dient damit jedoch sowohl den Interessen der Praxis selbst, als auch den ihren Patienten. So schützen die Anforderungen an die Datensicherheit die Praxis z. B. vor Datenverlust und unberechtigten Zugriffen. Bei Patienten schafft die Umsetzung durch erkennbar verbesserte Geheimhaltung ihrer Gesundheitsdaten und einen Zugewinn an Vertrauen.

Die Umsetzung der Anforderungen des neuen Datenschutzrechts ist letztlich mit überschaubarem Aufwand möglich. Professionelle Hilfe ist dafür allerdings Voraussetzung.