EU-Datenschutzgrundverordnung (DS-GVO) - ab 25. Mai 2018 für Zahnärzte Pflicht

News

EU-Datenschutzgrundverordnung (DS-GVO) - ab 25. Mai 2018 für Zahnärzte Pflicht

Die EU hat es sich vor einigen Jahren zum Ziel gesetzt, ein einheitliches Datenschutzniveau für alle Mitgliedsstaaten zu schaffen. Verbraucher und damit Patienten sollen besser geschützt werden. Ab dem 25.5.2018 ist es soweit: Der EU-Datenschutz gilt. Für alle Unternehmen - und damit auch für alle zahnärztlichen Praxen in Deutschland. 

Ziel: Das Recht des Einzelnen auf Schutz seiner Daten stärken

Patientendaten gehen durch viele „Hände“. Jede Praxis verarbeitet täglich unzählige personenbezogene Daten – sei es auf Seiten der Patienten, Lieferanten oder aus dem erweiterten Netzwerk. Auch wenn die Vorgaben des Berufsstands, was die Verarbeitung personenbezogener Daten und Schweigeplichten anbetrifft, bereits heute als sehr umfangreich gelten, so sind die Regelungen der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) für jede Praxis umzusetzen. 

Im Kern sieht die Verordnung umfassende Rechte für die Patienten vor. Sie sollen in die Lage versetzt werden, ihre Ansprüche in Sachen Datenschutz besser einfordern zu können. Was heißt das genau? Zunächst: Ohne Erlaubnis dürfen zukünftig keine personenbezogenen Daten mehr verarbeitet werden. Eine Erlaubnis ist der Behandlungsvertrag. Für weitergehende Verarbeitungen, z.B. ein Recall zur nächsten Prophylaxe bedarf es einer ausdrücklichen Einwilligung des Patienten. Diese sollte schriftlich auf einem Formular eingeholt werden. Patienten und auch alle anderen Personen, deren Daten in der Praxis gespeichert werden, können verlangen, dass sie jederzeit Auskunft über die von ihnen vorgehaltenen Daten erhalten. Hier wird natürlich schnell deutlich, wenn Daten ohne Erlaubnis gespeichert wurden, z.B. aufgeschnappte Privatinformationen. Die Patienten haben das Recht auf Berichtigung ihrer Daten, wenn diese falsch sind und auf Löschung, wenn keine Aufbewahrungspflicht eingreift, wie beispielsweise die 10-jährige Aufbewahrungspflicht für Rechnungen oder 30 Jahre bei Röntgentherapieaufzeichnungen. Ist letzteres der Fall, so muss die Praxis sicherstellen, dass die Daten wirklich in allen IT-Systemen entfernt wurden. Sonst drohen empfindliche Bußgelder, theoretisch von bis zu 20 Mio. Euro.

Sind IT-Dienstleister oder sonstige Drittanbieter, beispielsweise zur Abrechnung der Dienstleistung, involviert und werden in diesem Zusammenhang personenbezogene Daten weitergegeben, so sind mit diesen Anbietern Vereinbarungen zur Auftrags(daten)verarbeitung zu schließen. Damit ist sichergestellt, dass diese Unternehmen ebenfalls nach den geltenden Datenschutzregeln arbeiten. Ein Punkt, der besonders wichtig ist, weil die EU-DSGVO eine Haftung des Auftraggebers für die Dienstleister vorsieht.

Dokumentation der datenverarbeitenden Prozesse ist Pflicht

Unser Gesundheitssystem belastet die Praxen mit einer Vielzahl von administrativen Aufgaben. Nun kommt die Umsetzung des EU-Datenschutzes hinzu, die eine überblicksartige  Dokumentation der Datenverarbeitungsprozesse fordert. Das kann man bedauern oder aber als Chance begreifen. Denn überall, wo Prozesse gut beschrieben sind, gibt es in der Folge sehr positive Effekte – sei es in der Einheitlichkeit von Arbeitsweisen, der Einarbeitung neuer Mitarbeiter oder in der Reduktion von Fehlern. Wir empfehlen unseren Mandanten, gemeinsam mit ihrem Team eine Datenschutzrichtlinie zu erstellen. Diese beschreibt, welche datenverarbeitenden Prozesse es im Detail in der Praxis gibt, wie diese ganz konkret ausschauen und welche Risiko- und Folgenabschätzungen möglicherweise erforderlich sind. In der Risiko- und Folgenabschätzung wird u.a. konkret geprüft, ob die Gesundheitsdaten so verarbeitet werden, dass für den Patienten kein datenschutzrechtliches Risiko besteht, also beispielsweise diese nicht leicht in Hände Dritter gelangen können. Die Datenschutzrichtlinie legt auch fest, in welcher Form die Einhaltung sichergestellt und geprüft wird. Bei der Zusammenstellung sollte man nicht nur an die naheliegende Patientenakte denken, sondern die Bereiche weiter fassen (Personalführung, Buchhaltung etc.). Im besten Fall hilft es, alle Schritte der Wertschöpfungskette einmal komplett durchzugehen, vom Patienten, über Lieferanten, Mitarbeiter bis zu eingesetzten externen Dienstleistern wie ein IT-Haus oder ein Dentallabor.

Datenschutz ist kein starres Gebilde

Zahnärzte leben von Ihrer Reputation, von Stammpatienten und deren Empfehlungen. Neupatienten zu gewinnen ist ungleich teurer. Zum perfekten Service und persönlicher Patientenansprache gehört auch der gute Umgang mit Daten. Das Vermeiden von „Datenpannen“ gewinnt an Bedeutung. Somit macht es Sinn, in regelmäßigen Abständen den Stand der Datenschutzrichtlinie und Organisation zu aktualisieren. Wichtig ist es, vor allem neue Prozesse und Änderungen in den täglichen Abläufen auf Konformität zu prüfen. 

Ein Beispiel: Entscheidet sich eine Praxis zur besseren Sicherheitsüberwachung eine Videokamera zu installieren, so stellt sich die Frage, ob diese Maßnahme datenschutzrechtlich zulässig ist. Bei einer Installation einer Videokamera mag dies noch auf der Hand liegen, bei anderen Maßnahmen ist das unter Umständen nicht immer auf den ersten Blick der Fall und rasch stellt sich ein datenschutzrechtliches Problem.

Der IT-Sicherheit kommt eine wichtige Bedeutung zu

Einer der wichtigsten Aspekte des Datenschutzes kommt der Datensicherheit zu. In der Regel verbergen sich dahinter angemessene IT-Sicherheitsmaßnahmen, denn zunehmend sind kleinere Unternehmen im Visier der Datenhacker. Für jede Praxis ist es aber immens wichtig, das eigene Team für Schadsoftware oder Hackerversuche zu sensibilisieren. Zudem sollten Firewall und Virenscanner immer aktuell sein. Anhand von Checklisten kann umfassend geprüft werden, ob die Patienten- und Mitarbeiterdaten in den IT-Systemen sicher sind – oder ein externer Berater testet die IT durch Test-Hacking-Angriffe. 

Der Datenschutzbeauftragte ist ab zehn Bildschirmarbeitsplätzen Pflicht

Ab dem 25.5.2018 müssen zumindest die Praxen, die regelmäßig zehn Bildschirmarbeitsplätze besetzen, einen Datenschutzbeauftragten benennen – auch bei kleineren Praxen sprechen aufgrund der Verarbeitung von Patientendatendaten gute Gründe für die Notwendigkeit eines Datenschutzbeauftragten. Der Datenschutzbeauftragte unterrichtet und berät das Praxisteam. Er überwacht die Einhaltung des Datenschutzes sowie insbesondere die Durchführung der erforderlichen Folgenabschätzungen und ist der Ansprechpartner für die Aufsichtsbehörde. Die Kontaktdaten müssen auf der Homepage veröffentlicht werden. Der Datenschutzbeauftragte kann eine intern oder extern benannte Person sein. Für die externe Beauftragung empfiehlt sich die Auswahl eines Fachmanns mit entsprechender Zertifizierung, z.B. durch den TÜV oder einen Branchenverband.

8 Tipps zur Umsetzung der EU-DSGVO

  1. Stellen Sie sicher, dass Sie für die Speicherung Ihrer Patientendaten eine Rechtsgrundlage (Behandlungsvertrag, Einwilligungserklärung) haben. Dies betrifft auch und insbesondere die Altbestände. 
  2. Prüfen Sie, ob es in der Vergangenheit Patienten gegeben hat, die eine Löschung ihrer Daten verlangt haben und stellen Sie auch dies sicher. Löschen Sie personenbezogene Daten, bei denen nicht das Vorhandensein einer Rechtsgrundlage sicher ist.
  3. Schließen Sie mit Dienstleistern, die in Ihrer Wertschöpfung personenbezogene Daten verarbeiten, eine entsprechende Vereinbarung ab. Sonst haften Sie für deren Fehler. 
  4. Erstellen Sie eine Datenschutzrichtlinie. Sie sorgt dafür, dass alle Beteiligten in der Praxis ein einheitliches Verständnis über den Umgang mit Daten besitzen, sich regelkonform verhalten und Sie allen Dokumentationspflichten nachkommen.
  5. Führen Sie in regelmäßigen Abständen eine Überprüfung Ihrer Datenschutzrichtlinie, Prozesse und Organisation durch.
  6. Legen Sie Wert auf die IT-Sicherheit. Sensibilisieren Sie Ihre Mitarbeiter z. B. hinsichtlich Passwortvergabe, Schweigepflichten, private Nutzung von PCs, Nutzung von Cloud Services zur Datenübermittlung, etc.
  7. Führen Sie wichtige Updates Ihrer Software durch und sichern Sie Ihre Daten regelmäßig.
  8. Ab 10 Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, bedarf es seines internen oder externen Datenschutzbeauftragten. 

Das Bayerische Landesamt für Datenschutzaufsicht hat ein Merkblatt zu den Anforderungen der Datenschutz-Grundverordnung (DS-GVO) speziell für Arztpraxen verfasst.

Die BZÄK stellt ebenfalls ein Merkblatt zum neuen Datenschutzrecht und einen Datenschutz- und Datensicherheits-Leitfaden für die Zahnarztpraxis-EDV bereit. 

Autor: Dr. Christian Lenz ist Rechtsanwalt bei der dhpg und als externer Datenschutzbeauftragter aktiv. In dieser Funktion berät er Unternehmen darin, die anstehenden Fragestellungen umfassend, frist- und regelkonform umzusetzen. Dabei arbeitet er eng mit den Fachleuten aus Risikomanagement, Compliance sowie IT-Sicherheit zusammen.