DSVGO: Das ändert sich für die Praxis

Die Datenschutzgrundverordnung und ihre Folgen

Im Zeitalter der Digitalisierung nehmen mit den Chancen auch die Risiken und die Gefahren für die geschützten Behandlungsdaten zu. Deshalb hatte der Landesverband Saarland im Sommer alle saarländischen Kollegen zu einer Fortbildung über „das neue Datenschutzrecht (Datenschutzgrundverordnung – Handlungsfelder für die Praxis)“ eingeladen.

Am Ende waren alle zufrieden: der saarländische Landesverband des FVDZ als Veranstalter, der Referent Rechtsanwalt Michael Lennartz sowie insbesondere die, denen es zugutekam, nämlich die über 70 Teilnehmer selbst. Nur wer die rechtlichen Regelungen kennt, kann den Anforderungen der ärztlichen Schweigepflicht gerecht werden. Seit dem 25. Mai 2018 muss die Datenschutzgrundverordnung (DSGVO) europaweit als unmittelbar geltendes Recht in allen Mitgliedstaaten angewendet werden. Bei der Fortbildung beleuchtete Michael Lennartz die grundlegenden Begrifflichkeiten in diesem Themenfeld:

Datenschutz und personenbezogene Daten

Unter Datenschutz versteht man den Schutz aller Informationen, die mit einer bestimmten natürlichen Person direkt in Verbindung stehen, oder die Rückschlüsse auf diese Person zulassen. Dabei sollen nicht die Daten durch die entsprechenden Gesetze geschützt werden, sondern die einzelne natürliche Person, mit deren Informationen Andere professionell umgehen (informationelle Selbstbestimmung ist allgemeines Persönlichkeitsrecht).

Personenbezogene Daten sind Informationen, die sich auf eine identifizierbare natürliche Person beziehen. In einer Zahnarztpraxis sind dies vornehmlich Daten von Patienten, aber auch von Beschäftigten, externe Lieferanten oder Dienstleistern.

Verarbeitung ist jeder automatisierte und jeder nichtautomatisierte Vorgang, der im Zusammenhang mit personenbezogenen Daten durchgeführt wird, wie das Erfassen, das Speichern, die Organisation oder die Verwendung bis hin zur Löschung und Vernichtung. Unerheblich ist, ob dies mit oder ohne EDV geschieht. Auch eine in Papierform geführte Patientenkartei unterliegt daher vollumfänglich der DSGVO.

Beispiele für die Verarbeitung personenbezogener Daten in der Zahnarztpraxis: E-Mail-Kommunikation, Nutzung von Software oder analogem System zur Verwaltung von Patienten-/Personalakten, Inanspruchnahme von Abrechnungsdienstleistern, Aufnahme und Archivierung von Röntgenbildern, Internetseite, Löschung von Patientendaten nach Ablauf der Aufbewahrungsfrist.

Verantwortlich im Sinne der DSGVO ist jede natürliche oder juristische Person (zum Beispiel Einzelzahnarzt, BAG, Praxisgemeinschaft). Die Verarbeitung ist nur mit Einwilligung der betroffenen Person oder wegen einer Rechtsgrundlage erlaubt. Die Einwilligung ist zukünftig mit besonderen Anforderungen verbunden: Freiwilligkeit, Verständlichkeit, Widerrufbarkeit und Nachweisbarkeit.
Grundprinzipien, die bei der Verarbeitung beachtet werden müssen, sind Zweckbestimmtheit und -bindung, die Beschränkung auf den notwendigen Umfang (Erforderlichkeit, Datenminimierung und Speicherbegrenzung) und Transparenz.

Was ist neu seit Mai 2018?

Alte Bestimmungen werden erweitert, geändert; neue Regelungen treten hinzu. Die Sanktionen gehen zur effektiven Durchsetzung des Datenschutzes deutlich nach oben (bis zu 20 Millionen Euro/vier Prozent Jahresumsatz etwa bei illegalem Datenverkauf, bis zu zehn Millionen Euro/zwei Prozent Jahresumsatz beispielsweise bei fehlender Bestellung Datenschutzbeauftragter).

 

Datenschutzbeauftragter

Ein Datenschutzbeauftragter muss benannt werden, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die Kontaktdaten des Datenschutzbeauftragten müssen der Aufsichtsbehörde gemeldet und auf der Webseite der Praxis veröffentlicht werden (Art. 37 Abs.7 DSGVO).

 

Führen eines Verzeichnisses

Zahnarztpraxen sind zukünftig verpflichtet, ein Verzeichnis aller Prozesse, die mit der Verarbeitung personenbezogener Daten zu tun haben, zu erstellen. Verarbeitungstätigkeiten sind beispielsweise das Führen der Patientenkartei, Terminverwaltung, E-Mail-Kommunikation, Nutzung von Software oder analogem System zur Verwaltung von Patienten-/Personalakten, Inanspruchnahme von Abrechnungsdienstleistern, Aufnahme und Archivierung von Röntgenbildern, Internetseite und die Löschung von Patientendaten nach Ablauf der Aufbewahrungsfrist. In Artikel 30 Abs.1 DSGVO ist festgelegt, was über das Verfahren zu dokumentieren ist. Besteht ein Verfahren aus mehreren Einzelschritten zu einem gemeinsamen Zweck, kann eine Zusammenfassung erfolgen. Das Verzeichnis der Verarbeitungstätigkeiten ist vorzuhalten, da es Aufsichtsbehörden auf Anfrage zur Verfügung gestellt werden muss.

 

Datenschutzfolgeabschätzung

Wenn sich wegen der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen absehen lässt, ist die Durchführung einer Datenschutzfolgeabschätzung notwendig. Nach derzeit herrschender Meinung sind Praxen mit einem Behandler hiervon nicht betroffen.

 

Auftragsverarbeitung

Häufig werden Praxen externe Dienstleister in Verarbeitungsvorgänge einbinden müssen, zum Beispiel für die (Fern-)Wartung ihres IT-Systems, der Zusammenarbeit mit einem zahntechnischen Labor oder zur Vernichtung von Patientenunterlagen oder Datenträgern. Sofern dem Externen in diesem Zusammenhang personenbezogene Daten bekannt werden können, muss eine Auftragsverarbeitung schriftlich vereinbart werden, die den Anforderungen von Artikel 28 DSGVO entspricht. Dienstleister müssen zusätzlich zur Geheimhaltung verpflichtet werden, sofern Patientendaten betroffen sind. Mit der KZV muss kein Vertrag über Auftragsverarbeitung geschlossen werden.

 

Technische und organisatorische Maßnahmen

Um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, müssen Praxisinhaber entsprechend Artikel 32 DSGVO technische und organisatorische Maßnahmen ergreifen, die regelmäßig hinsichtlich ihrer Wirksamkeit zu bewerten und zu dokumentieren sind. Beispiele sind: Physischer Schutz der Praxis, Umgang mit Kennwörtern, Benutzerrechte, Datensicherung, Sicherheitsupdates, verschlüsselte Kommunikation und vieles mehr. In der Regel werden diese Anforderungen in den Praxen bereits umfassend erfüllt sein.

 

Benachrichtigungen bei Datenschutzverletzungen

Datenschutzverletzungen etwa durch Hacking-Angriffe oder Diebstahl von Datenträgern müssen künftig nach Bekanntwerden innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden. Ebenso sind die betroffenen Personen zu informieren. Datenschutzverletzungen müssen dokumentiert werden. Es ist zu empfehlen, entsprechende Vorbereitungen zu treffen, damit im Ernstfall schnell und richtig gehandelt werden kann.

 

Rechte der betroffenen Personen

Mit der Datenschutzgrundverordnung wurden die Betroffenenrechte erheblich ausgeweitet.
Wenn Daten direkt beim Patienten erhoben werden, muss zum Zeitpunkt der Erhebung eine Reihe von Informationen mitgeteilt oder bereitgestellt werden. Der Umfang ergibt sich aus Artikel 13 DSGVO. Dies ist auch bei der Gestaltung der Praxiswebsite zu beachten, falls dort ein Kontaktformular oder ähnliches genutzt wird. Werden die Daten über einen Dritten erhoben, beispielsweise einem zahnärztlichen Kollegen, richtet sich der Katalog der bekanntzugebenden Informationen nach Artikel 14 DSGVO.


Auskunftsrecht

Betroffene Personen haben ein Auskunftsrecht ob und falls ja – welche Informationen über sie verarbeitet werden. Rechtsgrundlage hierfür ist Artikel 15 DSGVO, der auch den Katalog der bekanntzugebenden Informationen vorgibt.


Berichtigung, Löschung und Einschränkung

Betroffene Personen können die Berichtigung unrichtiger, ihre Person betreffende, Daten verlangen. Voraussetzung ist, dass diese Daten einem objektiven Beweis zugänglich sind, zum Beispiel ein Geburtsdatum, das falsch erfasst wurde. Zahnärztliche Bewertungen fallen nicht unter den Berichtigungsanspruch. Ein Löschanspruch besteht unter den Voraussetzungen, die in Artikel 17 DSGVO genannt werden. Ein Löschanspruch besteht nicht, wenn etwa gesetzliche Aufbewahrungspflichten oder die Ausübung eigener Rechtsansprüchen (Honorarforderungen, Verteidigung gegen Behandlungsvorwürfe) dem entgegenstehen. An Stelle der Löschung tritt in diesen Fällen die Einschränkung der Verarbeitung.

Recht auf Datenübertragbarkeit

Das Recht auf Übertragbarkeit betrifft ausschließlich Daten, die auf der Grundlage einer Einwilligung zur Verfügung gestellt und elektronisch verarbeitet werden.

Der saarländische Landesverband hat mit dieser Fortbildung den Teilnehmern das notwendige Vokabular an die Hand gegeben, um sich an den absehbaren Diskussionen kritisch zum Thema beteiligen zu können.

Dr. Dr. Mike Jacob