Recht


Datenschutz in der Zahnarztpraxis – ein nicht zu vernachlässigendes Thema

Datenschutzrechtliche Vorgaben sind unabhängig von der Größe der Zahnarztpraxis stets einzuhalten. © Thorben Wengert / pixelio.de
Datenschutzrechtliche Vorgaben sind unabhängig von der Größe der Zahnarztpraxis stets einzuhalten. © Thorben Wengert / pixelio.de
Quelle: © Thorben Wengert /pixelio.de

Der Datenschutz spielt im medizinischen Umfeld eine bedeutende Rolle. Zahnarztpraxen sind immer dann betroffen, wenn es um die Verarbeitung personenbezogener Daten geht, da es sich bei Gesundheitsdaten um besonders sensible personenbezogene Daten handelt. Dennoch sind Praxisinhabern sowie deren Mitarbeitern die zwingenden Vorschriften des Bundesdatenschutzgesetzes oder anderer Datenschutzgesetze ebenso wie die Schweigepflicht oftmals nicht ausreichend bekannt oder werden vernachlässigt.

Dabei kann es in Zahnarztpraxen an den unterschiedlichsten Stellen zu Situationen kommen, in denen Verstöße gegen das Datenschutz- oder Strafrecht verwirklicht werden. Die Folgen eines solchen Verstoßes können erheblich sein, weshalb sich jeder Praxisinhaber mit diesem Thema auseinandersetzen sollte. Dieser Beitrag soll einen ersten Überblick geben.

Einschlägige Gesetze

Die in § 203 Strafgesetzbuch (StGB) normierte Schweigepflicht umfasst alle Informationen und Daten, die einem Zahnarzt oder einem Mitarbeiter im Rahmen seiner beruflichen Tätigkeit anvertraut werden. Umfasst sind Gesundheitsdaten und Befunde, ebenso wie Notizen des Zahnarztes oder Gespräche, die der Patient mit dem Zahnarzt führt. Verstöße gegen § 203 StGB werden mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Aus Sicht des Datenschutzes unterliegen Gesundheitsdaten besonderen Verarbeitungsvorschriften. Fehlt eine entsprechende Einwilligung des Patienten dürfen Gesundheitsdaten nicht verarbeitet werden. Eine Verarbeitung ohne Einwilligung des Patienten ist nur in den Grenzen des Bundesdatenschutzgesetzes (BDSG) gemäß § 28 Absätze 6–8 BDSG zulässig. Dieser begrenzt die Verarbeitungsmöglichkeiten auf einige wenige Fälle. Bei Verstößen gegen datenschutzrechtliche Vorschriften können Bußgelder, je nach Schwere des Vorfalls, von bis zu 300.000 Euro verhängt werden (§ 43 BDSG).

Neben dem BDSG und dem StGB gibt es weitere relevante Gesetze, wie beispielsweise die Strafprozessordnung (StPO) mit § 53 StPO, die Zivilprozessordnung (ZPO) mit § 383 ZPO, die Musterberufsordnung der Bundeszahnärztekammer sowie das Bürgerliche Gesetzbuch (BGB) mit den §§ 630a, 630d, 630e, 630f und 630g BGB.

Datenschutzrechtliche Problembereiche

Nachfolgend werden die in Zahnarztpraxen am häufigsten auftretenden datenschutzrechtlichen Problembereiche kurz dargestellt:

Informationsweitergabe am Telefon

Bei der Weitergabe von Informationen am Telefon kann es leicht und unbeabsichtigt zu einer unzulässigen Weitergabe von Patientendaten kommen. Die Praxismitarbeiter – wie auch der Praxisinhaber – können nicht immer sicher sein, dass tatsächlich der Patient oder ein von ihm Bevollmächtigter am Telefon ist. Daher sollte in diesen Fällen die Identität des Patienten, beispielsweise durch Abfrage des Geburtsdatums sowie der aktuellen Adresse, überprüft werden. In der Regel sind diese Daten aber auch Angehörigen oder dem Patienten nahestehenden Dritten bekannt, die nicht auskunftsberechtigt sind. Für auskunftsberechtigte Personen könnten daher ähnliche Abfragen erfolgen. Grundsätzlich ist jedoch zu empfehlen, keine telefonischen Auskünfte über Patienten zu erteilen.

Kommunikationsweg: E-Mail oder Telefax

Auch wenn die Kommunikation per E-Mail mittlerweile gängige Praxis in unserer Gesellschaft ist, ist die Vertraulichkeit einer E-Mail oder auch eines Faxes nicht mit der eines Briefes gleichzusetzen. Daher müssen entsprechende Schutzmaßnahmen getroffen werden, um eine unbefugte Kenntnisnahme von Patientendaten zu verhindern. Entscheidet man sich für das Senden eines Faxes, genügt es in der Regel, dieses telefonisch anzukündigen und sicherzustellen, dass das Fax von einer berechtigten Person in Empfang genommen wird. Die Kammern empfehlen, keine Dokumente mit Gesundheitsdaten oder anderen sensiblen Daten per Telefax zu versenden. Jedoch ist der Faxversand in dringenden Fällen unter Einhaltung der gebotenen Vorsicht zulässig.

Enthält die E-Mail einen Anhang, sind alle personenbezogenen Daten auf dem Weg vom Absender bis zum Empfänger zu verschlüsseln. Auch mit einem Passwort geschützte Dokumente sind nicht sicher. Die vermeintliche Sicherheit kann schnell rechtliche Konsequenzen nach sich ziehen. Dies deshalb, da der unverschlüsselte Versand einer E-Mail mit Daten, die unter § 203 StGB fallen, als unbefugte Offenbarung durch Unterlassen gilt. Zahnärzte sollten daher grundsätzlich keine Daten, die unter § 203 StGB fallen, per E-Mail versenden.

Einschaltung externer Dritter

Für die meisten Zahnarztpraxen ist es aufgrund der zunehmenden Komplexität von IT-Anwendungen sowie den steigenden Sicherheitsanforderungen mittlerweile unumgänglich, einen Teil des Praxisalltags an externe Spezialisten auszulagern. Die Auslagerung ist allerdings nur dann zulässig, wenn das beauftragte Unternehmen keine Kenntnis von den Inhalten der Daten erlangen kann. Durch diese Einschränkung ist eine Auslagerung fast nicht möglich.

Werden Patientendaten ausgelagert, ist stets eine Verarbeitungsvereinbarung personenbezogener Daten gemäß § 11 BDSG zu schließen. Ein Vertrag zur Auftragsdatenverarbeitung konkretisiert die Rechte und Pflichten der beauftragenden Zahnarztpraxis und der entsprechenden Dienstleister. Der Auftragsdatenverarbeitungsvertrag muss alle Anforderungen des § 11 BDSG erfüllen. Anderenfalls ist eine Auslagerung nicht zulässig.

Eine Auslagerung von Patientendaten verstößt allerdings dann nicht gegen datenschutz- und strafrechtliche Vorgaben, wenn der Patient in die Weitergabe seiner Daten eingewilligt hat. Die Einwilligung unterliegt insoweit den Voraussetzungen des § 4a BDSG.

Auch ohne Einwilligung des Patienten kann die Verarbeitung personenbezogener Daten im Auftrag im Einklang mit den geltenden Geheimhaltungspflichten stehen, wenn durch technische Maßnahmen der Zugriff des Dienstleisters auf die Patientendaten ausgeschlossen werden kann.

Zugriffsberechtigungen

Zur Vermeidung von Datenschutzrechtsverstößen ist auf sämtlichen Geräten zur Verwaltung von Patientendaten von der Möglichkeit zur Vergabe, Änderung und zum Entzug von Zugriffs-, Lese- und sonstigen Rechten Gebrauch zu machen. Der berechtigte Personenkreis zur Vergabe und zum Entzug ist dabei möglichst einzugrenzen und klein zu halten.

Löschung und Vernichtung personenbezogener Daten

Personenbezogene Daten müssen nach Ablauf der Aufbewahrungsfristen gelöscht werden.

Hier empfiehlt sich die Einschaltung externer Spezialunternehmen zur Datenentsorgung jeglicher Art. Auch hier sind die Voraussetzungen an eine Verarbeitung personenbezogener Daten im Auftrag zu erfüllen. Im Jahre 2012 ist zudem eine neue Norm zur Vernichtung von Datenträgern eingeführt worden (DIN 66399). Diese Norm legt fest, wie groß – in Abhängigkeit vom zu vernichtenden Material – die nach der Vernichtung verbleibenden Stücke der Datenträger maximal sein dürfen.

Geheimhaltungsverpflichtung der Mitarbeiter

Nach dem BDSG sind Mitarbeiter in Zahnarztpraxen auf das Datengeheimnis zu verpflichten (§ 5 BDSG). Zudem unterliegen sie der Schweigepflicht nach § 203 StGB. Daher sollten Mitarbeiter vor Antritt der Arbeitsstelle, spätestens aber am Tag der Arbeitsaufnahme, zur Geheimhaltung verpflichtet werden. Darüber hinaus sollte der Mitarbeiter ein Informationsschreiben erhalten, welches über die drohenden Konsequenzen eines Verstoßes gegen die Geheimhaltungspflicht informiert. Sowohl das Dokument zur Verpflichtung als auch der Erhalt des Informationsschreibens sind vom Mitarbeiter durch seine Unterschrift zu quittieren und der Personalakte des Mitarbeiters beizufügen.

Betrieblicher Datenschutzbeauftragter

Ein Datenschutzbeauftragter, dessen Aufgabe es ist, auf die Einhaltung des Datenschutzes in der Zahnarztpraxis hinzuwirken, ist dann zu bestellen, wenn 10 oder mehr Personen mit der Verarbeitung personenbezogener Daten betraut sind. Neben dem Praxisinhaber zählen hierzu auch Auszubildende, Praktikanten, Aushilfen, freie Mitarbeiter sowie sonstige Hilfskräfte. Ab einer Mitarbeiterzahl von 10 Personen ist daher ein Datenschutzbeauftragter zu bestellen. Jede Person, die die erforderliche Sachkunde nachweisen kann, darf als Datenschutzbeauftragter bestellt werden. Als ungeeignet erweisen sich jedoch IT-Administratoren und -leiter sowie Praxisinhaber und -leiter. Im Hinblick auf den Datenschutz und sonstige wahrzunehmende Aufgaben ist bei diesem Personenkreis von einem Interessenskonflikt auszugehen. Zudem müsste sich der Datenschutzbeauftragte in diesen Fällen selbst prüfen und ist daher als befangen anzusehen. Ist die Bestellung eines Datenschutzbeauftragten ordnungsgemäß erfolgt, kann unabhängig von der Pflicht zur Bestellung auf eine Meldung von Verfahren automatisierter Verarbeitungen an die zuständige Aufsichtsbehörde verzichtet werden.

Der Datenschutzbeauftragte muss nicht zwingend Mitarbeiter der Zahnarztpraxis sein. Es kann auch eine externe Fachkraft als Datenschutzbeauftragter einer Zahnarztpraxis fungieren. Gerade in kleineren Zahnarztpraxen kann ein externer Datenschutzbeauftragter wirtschaftlich sinnvoll sein, da ein interner Datenschutzbeauftragter einen ähnlich umfangreichen Kündigungsschutz genießt wie ein Betriebsratsmitglied. Auch der Umstand, dass der interne Datenschutzbeauftragte im Arbeitsalltag fehlt, kann die Bestellung einer externen Kraft als sinnvoll erscheinen lassen. Eine solche bringt zudem häufig zusätzliches, interdisziplinäres Wissen in die Praxis ein, haftet für Fehler sowie Nachlässigkeiten und ist kostenmäßig eigenverantwortlich.

Fazit

Datenschutzrechtliche Vorgaben sind unabhängig von der Größe der Zahnarztpraxis stets einzuhalten. Ignorieren Praxisinhaber oder deren Mitarbeiter datenschutzrechtliche Vorgaben, können Kontrollen durch Aufsichtsbehörden die Folge sein. Bei Verstößen drohen zudem erhebliche Strafen. Handelt es sich bei dem Verstoß um vertrauliche Gesundheitsdaten, die der ärztlichen Schweigepflicht nach § 203 StGB unterliegen, kann dies strafrechtliche Konsequenzen nach sich ziehen. Dabei kann eine wesentliche Verbesserung des Datenschutzes in der Zahnarztpraxis häufig bereits durch rein organisatorische Maßnahmen erreicht werden. Wir empfehlen daher jedem Zahnarzt, den Datenschutz in der eigenen Praxis fest im Blick zu haben, sich mit der Thematik auseinanderzusetzen und die angesprochenen wichtigen Aspekte in seiner Praxis systematisch und konsequent umzusetzen.

weiterlesen
Näheres zum Autor des Fachbeitrages: Rechtsanwältin Stephanie Lamp


Das könnte Sie auch interessieren:

Auf dem 12. Int. Wintersymposium vom 5. bis 9. April 2017 in Zürs sprechen Top-Referenten zum Thema: Knochenregeration – Mit Planung zum Erfolg

Informieren Sie sich hier