Recht


Der Zahnarzt und das neue Datenschutzrecht

©sebastian duda/fotolia.com
©sebastian duda/fotolia.com

Ab dem 25. Mai 2018 gilt die neue europäische Datenschutz-Grundverordnung (DSGVO). Zudem wird gleichzeitig das alte durch das neue Bundesdatenschutzgesetz (BDSG) ersetzt. Von wenigen Ausnahmen abgesehen, gilt das neue Recht auch für Zahnarztpraxen. Dadurch verschärft sich der Datenschutz.

In der Zahnarztpraxis ist die Verarbeitung personenbezogener Daten nur mit Einwilligung der betroffenen Person oder aufgrund einer gesetzlichen Erlaubnis erlaubt. Dies gilt neben Patientendaten auch für alle personenbezogenen Daten.

Durch den Datenschutz wird die ärztliche Schweigepflicht, welche sich aus dem Berufsrecht und dem Strafrecht ergibt, ergänzt. Der Schweigepflicht unterliegen alle Praxismitarbeiter, ebenso Dienstleister, die Kenntnis von Patientendaten erlangen. Durch die Änderung des § 203 Strafgesetzbuch (StGB) ist der Praxisinhaber nunmehr dazu verpflichtet, jeden Dienstleister zur Geheimhaltung zu verpflichten.

Durch die oben angesprochenen Neuregelungen verschärft sich der Datenschutz in Praxen.

Wer ist für den Datenschutz verantwortlich?

Für die Einhaltung des Datenschutzes ist immer der Inhaber der Praxis verantwortlich. Allerdings sind auch die Mitarbeiter auf die Einhaltung der DSGVO zu verpflichten. Verletzt ein Mitarbeiter das Datenschutzrecht, kann er persönlich dafür verantwortlich gemacht werden. Ein solcher Verstoß kann arbeitsrechtliche Konsequenzen, wie beispielsweise eine Abmahnung oder Kündigung zur Folge haben, aber auch zu Schadensersatz führen. Sogar Bußgelder können die Mitarbeiter persönlich treffen.

Betrieblicher Datenschutzbeauftragter

Sensible Patientendaten befinden sich auf jedem Rechner einer Zahnarztpraxis. Das hat jedoch nicht zur Folge, dass jede Praxis einen Datenschutzbeauftragten haben muss. Ob man einen Datenschutzbeauftragten benötigt oder nicht, hängt grundsätzlich von der Größe der Praxis ab. In der DSGVO konnte man sich nicht auf eine genaue Anzahl von Mitarbeitern einigen. Allerdings hat der deutsche Gesetzgeber ein neues Bundes- ©sebastian duda/fotolia.com datenschutzgesetz verabschiedet, welches gleichzeitig mit der DSGVO wirksam wird. Dieses Gesetz besagt, dass man ab zehn Mitarbeitern, die mit der Datenverarbeitung befasst sind, einen Datenschutzbeauftragten braucht. Die Auslegungshilfe zur DSGVO nennt hingegen eine andere Zahl. Ihr ist zu entnehmen, dass eine Einzelpraxis keinen Datenschutzbeauftragten bestellen muss. Derzeit lässt sich daher nicht genau beantworten, ob man bei einer Mitarbeiterzahl zwischen eins und zehn einen Datenschutzbeauftragten braucht. Im Zweifel ist hier die zuständige Datenschutzaufsichtsbehörde zu kontaktieren.

Aufgabe des Datenschutzbeauftragten ist die Überwachung der Datenverarbeitungsprozesse in der Praxis. Zudem unterrichtet und berät er die Praxisleitung und wirkt auf die Einhaltung des Datenschutzrechts hin. Auch sollte er die mit den Verarbeitungsvorgängen befassten Zahnärzte und Mitarbeiter sensibilisieren und schulen. Im Falle einer Beschwerde ist der Datenschutzbeauftragte erste Anlaufstelle für die zuständige Datenschutzbehörde.

Ist ein Datenschutzbeauftragter zu bestellen, muss er mit seinen Kontaktdaten der Datenschutzbehörde als Aufsichtsbehörde gemeldet werden. Überdies sind die Kontaktdaten des Datenschutzbeauftragten sowohl innerbetrieblich als auch außerbetrieblich zu veröffentlichen.

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung stellt eine Art Vorabkontrolle dar. Sie ist erforderlich, wenn eine „umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten“ vorgenommen wird. Hierzu gehören Gesundheitsdaten. Für das Kriterium „umfangreiche Verarbeitung“ kann man die gleichen Maßstäbe anlegen wie beim Datenschutzbeauftragten: Bei einem Verantwortlichen und einem Mitarbeiter benötigt man sie nicht, bei zehn Mitarbeitern hingegen schon. Bewegt man sich dazwischen, ist abzuwägen, in welche Richtung man tendiert.

Information des Patienten

Der Zahnarzt muss den Patienten über die neue DSGVO informieren. Die Informationspflichten ergeben sich im Wesentlichen aus Artikel 13 bis 14 der DSGVO. Der Zahnarzt muss seine Patienten unter anderem darüber informieren, wer der Verantwortliche ist. Hinzu kommen die Kontaktdaten des Datenschutzbeauftragten, der Zweck der Datenverarbeitung sowie die Rechtsgrundlage für die Datenverarbeitung, hier also die Durchführung des Behandlungsvertrages. Überdies muss der Zahnarzt über die Dauer der Verarbeitung aufklären. Wichtig sind in diesem Zusammenhang die sogenannten Betroffenenrechte. Das heißt, eine Aufklärung darüber, dass der Betroffene Auskunft verlangen kann, aber auch die Berichtigung von falschen Daten oder die Löschung von Daten. Letzteres allerdings nur, soweit keine Kollision mit Aufbewahrungspflichten des Zahnarztes bestehen. Zudem ist der Patient über sein Beschwerderecht beim Verantwortlichen, beim Datenschutzbeauftragten und bei der Datenschutzaufsichtsbehörde aufzuklären.

Der Patient muss in klarer und einfacher Sprache zu Beginn der Datenerhebung informiert werden. Sinnvoll ist es, neue Patienten im Rahmen der Praxisaufnahme zu informieren. Bestandspatienten können beispielsweise mittels eines Aufklärungszettels informiert werden, wenn sie wieder in die Praxis kommen. Die Datenschutzinformation ist zwar kein Vertrag und muss auch nicht unterschrieben werden. Dennoch werden sich Zahnärzte absichern wollen. Daher sollte der Patient zumindest unterschreiben, dass er die Information erhalten hat.

Einsatz von E-Mail-Verschlüsselungsverfahren

Der Zahnarzt ist verpflichtet, bei der Übermittlung personenbezogener Daten per E-Mail, Verschlüsselungsverfahren einzusetzen. Dieser besondere Schutz durch technisch-organisatorische Maßnahmen, den der Gesetzgeber fordert, wird nach Ansicht der Aufsichtsbehörden durch eine Verschlüsselung erreicht. Wer eine solche Verschlüsselung nicht vorhalten kann, darf diesen Kommunikationsweg nicht wählen.

Unproblematisch ist hingegen die Kommunikation per Telefon. Dieser Kommunikationsweg ist eine Eins-zu-Eins-Verbindung und unterliegt dem Telekommunikationsgeheimnis. Problematisch wird es allerdings dann, wenn Daten an Unberechtigte herausgegeben werden, nämlich dann, wenn jemand in der Praxis anruft und die Mitarbeiterin den Patienten nicht identifizieren kann. In diesem Fall sollten keine Daten herausgegeben werden.

Melden von Datenschutzverstößen

Praxen sind künftig verpflichtet, Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an den Bundesdatenschutzbeauftragten zu melden. Nur dann, wenn voraussichtlich keine Gefahr für Rechtsgüter der betroffenen Person besteht, gilt dies nicht. Ebenso ist der vom Schutz-Leck betroffene Patient zu informieren, wenn sich aus der „Datenschutzpanne“ Nachteile für ihn ergeben könnten.

Sanktionen

Bei Verstößen gegen das neue Datenschutzrecht drohen Bußgelder bis zu 20 Millionen Euro oder in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Um den Rahmen von Null bis 20 Millionen auszuloten, gibt es einen Kriterienkatalog.

Zudem kann die Behörde in bestimmten Fällen auch verlangen, das System abzuschalten und die Daten zu löschen. Auch kann der Patient im Falle eines Verstoßes Ansprüche geltend machen. Bislang gab es nur einen Schadensersatz für materielle Schäden. Nun müssen auch sogenannte immaterielle Schäden ersetzt werden.

Fazit

An die Vorgaben der neuen europäischen Datenschutzgrundverordnung müssen sich ausnahmslos alle Zahnarztpraxen halten. Daher sollten sich Praxisinhaber spätestens jetzt mit diesem Thema beschäftigen und sich auf die umfangreichen Anforderungen vorbereiten, um die drohenden empfindlichen Sanktionen zu vermeiden.  

weiterlesen
Näheres zum Autor des Fachbeitrages: Rechtsanwältin Stephanie Lamp


Das könnte Sie auch interessieren:

Nach drei gelungenen Events mit über 350 Teilnehmer findet die nächste Tagung am Institut für Anatomie der Universität Jena statt. Die Teilnehmer erwarten Aktuelles aus der Implantologie im zahnmedizinischen Zusammenhang.

Details lesen Sie hier