Datenschutz in Zahnarztpaxen - DSGVO und vieles mehr

Das neue Datenschutzgrundverordnungsgesetz - Fünf Schritte zur Umsetzung der DSGVO

Durch das neue DSGVO-Gesetz, welches seit Mai 2018 gilt, wird den Zahnarztpraxen eine umfangreiche datenschutzrechtliche Pflicht auferlegt. 

Zumindest die fundamentalsten Anforderungen des neuen Datenschutzrechts sollten nachweisbar erfüllt werden. Hier werden fünf Schritte aufgezeigt, die den Erfordernissen der DSGVO in größtmöglichem Umfang genügen sollen.

Erster Schritt: Betrieblicher Datenschutzbeauftragter

Wie nach dem bisherigen Recht gilt auch nach Art. 37 Abs. 4 DSGVO in Verbindung mit § 38 Abs. 1 BDSG-neu die 10-Personen-Regel. Sofern mindestens 10 Personen in der Zahnarztpraxis Daten verarbeiten, ist ein Datenschutzbeauftragter zu bestellen. Bei der 10-Personen-Regel ist zu beachten, dass es nur um die Anzahl der Personen geht, welche sich ständig mit der Datenverarbeitung befassen.

Aufgabe des Datenschutzbeauftragten in der zahnärztlichen Praxis

Ein Datenschutzbeauftragter ist der Praxisführung direkt unterstellt, jedoch in der Wahrnehmung seiner gesetzlichen Aufgaben nicht weisungsbefugt (Art. 38 Abs. 3 DSGVO). Der Datenschutzbeauftragte überwacht die Datenverarbeitungsprozesse in der Zahnarztpraxis, unterrichtet und berät die Unternehmensführung und wirkt auf die Einhaltung des Datenschutzrechtes hin. Sofern es Beschwerden geben sollte, ist für die Datenschutzbehörde der Datenschutzbeauftragte die erste Anlaufstelle

Warum handeln? – Nichts ist leichter zu überwachen

Ob eine zahnärztliche Praxis einen Datenschutzbeauftragten hat, ist für die Datenschutzbehörde leicht zu prüfen, da ein Datenschutzbeauftragter in allen Datenschutzinformationen namhaft gemacht werden muss (Art. 37 Abs. 7 DSGVO).

Fazit 1. Schritt

Jede Zahnarztpraxis, in dem mindestens 10 Personen mit EDV-Systemen beschäftigt sind, sollte einen Datenschutzbeauftragten haben. Sofern die Auswahl schwer fällt, ist zu beachten, dass ein schwach geeigneter Datenschutzbeauftragter allemal besser ist als kein Datenschutzbeauftragter.

Zweiter Schritt: Erstellung eines Verzeichnisses

Aufgabe: Erfassen der Verarbeitungstätigkeiten

Art. 30 DSGVO schreibt die Führung eines Verzeichnisses aller Verarbeitungstätigkeiten vor. Das Verzeichnis dient dem Nachweis einer DSGVO-konformen Datenverarbeitung im Unternehmen. Als Verarbeitungstätigkeiten gelten beispielsweise: - elektronische Akten; - Softwareprogramme; - elektronische Diktier- und Spracherkennungsprogramme (überwiegend Anwälte); - Buchhaltungssoftware (Finanzbuchhaltung und Lohnbuchhaltung); - Software zur Versendung und Verwaltung von E-Mails; - Adressdatenbanken; - Software zur Terminverwaltung; - Websites; - Unternehmensauftritte in sozialen Netzwerken (z.B. Twitter, Facebook, Xing); - elektronische Personalakte; - betriebliches Intranet; - Urlaubslisten. Für dieses Verzeichnis ist kein bestimmter Aufbau vorgeschrieben. Er muss schriftlich oder elektronisch (etwa als Word- oder Excel-Datei) geführt werden.

Folgende Angaben sind für jede einzelne Verarbeitungstätigkeit vorgeschrieben:

  • Den Namen und die Kontaktdaten des Unternehmens
  • Den Namen und die Kontaktdaten des betrieblichen Datenschutzbeauftragten (falls erforderlich)
  • Die Zwecke der Datenverarbeitung
  • Die Art der Personen, deren Daten verarbeitet werden (z.B. Patienten, Mandanten Lieferanten, Beschäftigte)
  • Die Art der verarbeiteten Daten
  • Den möglichen Empfänger der Daten, an den die Daten übermittelt werden oder worden sind
  • Die Übermittlung von Daten in die USA oder ein anderes Land außerhalb der EU (z.B. bei der Nutzung von Webmail-Diensten oder anderen Cloud-Diensten)
  • Löschfristen
  • Maßnahmen der Datensicherheit nach Art. 32 DSGVO

Tipp: Der Lohn der Arbeit – Erkenntnisse für das Praxismanagement

Das Verzeichnis zu erstellen ist, ist mühsam. Dies gilt also umso mehr, wenn die Praxis oder Mitarbeiter beruflich Smartphones, Tablets und Laptops ortsungebunden benutzen. Also kann auch die Arbeit auf derartigen Endgeräten als Verarbeitungstätigkeit gelten, für die die Pflicht zur Aufnahme in das Verzeichnis gilt.
Wenn erstmalig ein Verarbeitungsverzeichnis angelegt wird, ist dies nach aller Erfahrung mit einem hilfreichen Klärungsprozess verbunden. Denn stets sind die Verarbeitungszwecke zu definieren, und die Festlegung der Löschfristen gibt Anlass, Daten nicht unüberlegt für alle Ewigkeit auf Datenträgern „verstauben“ zu lassen. 
Die Erstellung des Verzeichnisses erfordert eine Vielzahl von Entscheidungen:

  • Wie werden Speicherfristen für die Datenbank mit den Patientenadressen definiert?
  • Wer entscheidet in welchen zeitlichen Abständen bzw. ob Adressdaten gelöscht werden?
  • Wie verfährt man mit Bewerberdaten?
  • Braucht man Einwilligungen für die Mitarbeiterfotos, welche sich auf der Website befinden?
  • Lässt sich die Speicherung "uralter" Daten noch rechtfertigen? Gibt es einen guten Grund, weshalb Urlaubsanträge, Krankschreibungen, Fristenzettel und Gesprächsvermerke jahrelang gespeichert werden?

Sonderaufgabe: Datensicherheit in der Zahnarztpraxis

Im Verarbeitungsverzeichnis sind Maßnahmen zur Datensicherheit nach Art. 32 DSGVO zu definieren. Dafür ist IT-Sachverstand notwendig. Demzufolge führt kein Weg an der Hinzuziehung entsprechender Fachleute vorbei. Wie funktioniert die Datensicherheit? Wie sind die Zugriffsrechte auf Daten organisiert? 

Sollte es im Unternehmen bislang eher mäßigen Aufwand bei der Datensicherheit gegeben haben, bietet die DSGVO einen Grund, Versäumtes nachzuholen. Das Vertrauen der Patienten ist ein hohes Gut. Dies gerät in Gefahr, wenn die Praxis nachlässig bei der Sicherung ihrer Datenbestände sind. Der Aufwand, den ein Unternehmen bei der Datensicherheit treibt, kann gar nicht groß genug sein. Die Einhaltung der gesetzlichen Anforderungen markiert nur das Mindestmaß für den Aufwand, der notwendig ist.
Sind die Prozesse und Zwecke der Datenverarbeitung definiert, sind Löschroutinen und Maßnahmen der IT-Sicherheit im Verarbeitungsverzeichnis festgelegt, ist das Verzeichnis laufend zu pflegen. Ändern sich Verarbeitungsprozesse oder kommen neue hinzu, muss dies im Verarbeitungsverzeichnis festgehalten werden. Damit können Verarbeitungsprozesse auch in Zukunft Anlass geben, regelmäßig die Rechtmäßigkeit der Datenverwaltung zu überdenken und dabei zugleich die Effizienz der praxisinternen Arbeitsabläufe zu steigern.

Warum handeln? Kontrolle ist Chefsache

Das Verfahrensverzeichnis ist der Grundpfeiler der Dokumentation, zu der die DSGVO umfassend verpflichtet. Eine zahnärztliche Praxis muss auf Anforderung der Aufsichtsbehörde jederzeit in der Lage sein, durch Vorlage des Verzeichnisses nachzuweisen, welche Verarbeitungsprozesse zu einem bestimmten Zeitpunkt aktiv waren. Für die laufende Pflege des Verzeichnisses sollte es klare Regeln geben. Hierfür kein ein betrieblicher Datenschutzbeauftragter oder auch ein IT-Dienstleister zuständig sein. Die Kontrolle, ob alle Regeln eingehalten werden, sollte jedenfalls stets Chefsache sein. Partner, denen es zu mühsam erscheint, sich mit der Datenverarbeitung im eigenen Hause zu befassen, gehen erhebliche (und durch keine Versicherung gedeckte) Risiken ein.

Dritter Schritt: „Gap Analysis“

Aufgabe: Gut sein und besser werden
Das Verarbeitungsverzeichnis ist der Ausgangspunkt für eine „Lückensuche“, die in den DSGVO-Umstellungsprozessen „Gap Analysis“ genannt wird.

Warum handeln? – Maßnahmenplan

Jedes einzelne Verarbeitungsverfahren muss in der „Gap Analysis“ überprüft werden im Hinblick auf die möglichen Schwachstellen. Zu diesen Schwachstellen zählen vor allem:

  • Datensparsamkeit: Ist die Vorhaltung von Daten und deren Verarbeitung tatsächlich notwendig?
  • Datenrichtigkeit: Ist gewährleistet, dass Patientendaten stets auf dem neusten Stand sind, Fehler berichtigt und unrichtige Daten gelöscht werden?
  • Rechtmäßigkeit: Ist die Datenverarbeitung gem. Art. 6 Abs. 1 DSGVO rechtlich zulässig? Dient die Datenverarbeitung der Erfüllung eines Vertrages? Gibt es Einwilligungen der Betroffenen? Lässt sich die Datenverarbeitung durch eigene „berechtigte Interessen“ legitimieren?
  • Löschfristen: Werden Daten gelöscht, sobald sie nicht mehr benötigt werden? Gibt es eine Löschroutine, die eine rechtzeitige Löschung gewährleistet?
  • Zugriffsrechte: Haben Mitarbeiter ausschließlich Zugriff auf Daten, die sie für ihre jeweiligen Aufgaben benötigen?
  • Zugangskontrolle: Sind die Rechner im Unternehmen ausreichend gegen den Zugang durch Unbefugte geschützt?
  • Schutz gegen Hacker und Malware: Gibt es eine Firewall? Sind aktuelle Virenscanner installiert?

Am Ende jeder „Gap Analysis“ steht ein Maßnahmenplan mit dem Ziel der möglichst umfassenden Datenschutzkonformität aller Verfahren.

Vierter Schritt: Datensicherheit

Gerade im Bereich von Electronic Health sind die Datenschutzvorschriften wegen der hochsensiblen Patientendaten enorm wichtig. Mit dem Team der Kanzlei Gedigk & Partner mbB finden Sie Spezialisten, die Ihre Fragen beantworten und dabei die Hindernisse und Tücken der neuen Vorschriften kennen. Zu unserem Aufgabenkatalog gehören unter anderem:

  • Das Aufzeigen von Möglichkeiten innerhalb der E-Health, aus rechtlich stabiler Datenschutz-Perspektive
  • Die rechtliche Beurteilung der Informationsbereitstellung für Patienten oder Ärzte über Informationsportale
  • Das Sicherstellen einer rechtmäßigen Interaktion – dem Austausch von Patientendaten zwischen Beteiligten mit direkter Reaktion eines Kommunikationspartners (Home Monitoring)
  • Der Betreuung von sogenannten elektronischen Gesundheitsakten oder Patientenakten
  • Die rechtliche Überwachung von aktiv-direkten Kommunikationsportalen im Patienten-Arzt-, Arzt- Arzt-, oder auch Dienstleister-Arzt-Verhältnis
  • Die Formulierung von Datenschutzerklärungen, sowie die umfassende Kontrolle aus juristischer Perspektive von Webseiten oder anderen Plattformen
  • Die Ausarbeitung von individuell auf Sie zugeschnittenen Verträgen, beispielsweise denen zur Auftragsdatenverarbeitung im Lichte der DSGVO
  • Wir bieten eine Antwort auf moderne Fragen wie die, ob und in welchem Maße z.B. ein Datenschutzbeauftragter (sog. DSB) vonnöten ist.

 

Kontakt zu unseren Datenschutz-Anwälten: 

Kontakt
Nachname
Vorname