Datenschutz – Vieles neu macht der Mai

AdobeStock_49588755_Smileus / Alexander Drobnik

„Zahnfarbe vergessen? Kein Problem, die Patientin ist ja noch da. Schnell ein Foto mit der Handykamera gemacht und via Messenger an das Dentallabor geschickt. Ein kurzer Kommentar: „Das ist die Zahnfarbe von Susanne Müller (48). Ich denke A2/A3. Die Kronen bitte von 13 bis 23 in Zirkon. Vielleicht lieber A2.“ Der Einsetztermin ist gerettet. Aber wurde an den
Datenschutz gedacht?

Die Kronen sind eingesetzt. Frau Müller ist unzufrieden. Ihr Mann findet die neuen Zähne viel zu groß. Nach einigem Hin und Her mit der Zahnarztpraxis sucht sich Frau Müller einen Anwalt. „Dabei hat die Praxis extra noch ein Bild von mir via WhatsApp an den Zahntechniker geschickt, damit die Zähne perfekt werden.“ Jetzt wird der Anwalt richtig hellhörig.

Am 25. Mai 2018 ist es so weit. Die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) tritt in Kraft. Das neue BDSG, korrekt DSAnpUG-EU genannt, tritt zeitgleich in Kraft und ergänzt damit die vorgesehenen Öffnungsklauseln der EU-DSGVO für Deutschland. Auch Sanktionen und Bußgelder werden sich ändern, von bisher maximal 300.000 Euro auf bis zu 20 Millionen Euro. Da heißt es aufpassen.

Vieles an der Einführung der neuen EU-DSGVO erinnert an die Einführung des Qualitätsmanagementsystems in Zahnarztpraxen im Jahr 2012. Wichtig ist, dass Sie für Ihre Praxis ein schlüssiges Konzept für den Datenschutz erstellen und umsetzen. Einen roten Faden für die Einführung des Datenschutzes bieten die Bundeszahnärztekammer und die Kassenärztliche Bundesvereinigung mit ihrer gemeinsamen Veröffentlichung

„Datenschutz- und Datensicherheitsleitfaden für die Zah arztpraxis-EDV“. Da der Leitfaden aus dem Jahr 2015 ist, berücksichtigt er nicht alle Richtlinien der EU-DSGVO, die 2016 veröffentlicht wurde. Das Merkblatt für Zahnärzte „Das neue Datenschutzrecht“ der BZÄK ist eine notwendige Ergänzung. Beide Dokumente sind als PDF kostenfrei im Internet erhältlich. Ebenfalls haben sich seit der Veröffentlichung der EU-DSGVO zahlreiche Dienstleister auf dieses Gebiet spezialisiert. Eine einfache Internetrecherche zum Thema „Externer Datenschutzbeauftragter“ ergibt zahlreiche regionale Ergebnisse.

Wen betrifft die EU-DSGVO?

Der Schutz von personenbezogenen Daten betrifft alle. Die EU-DSGVO spricht in ihrem Text vom Verarbeiten personenbezogener Daten. Das ist bereits dann der Fall, wenn die Telefonnummer und die E-Mail-Adresse eines Kunden oder Patienten erfasst werden.

Wer ist für den Datenschutz verantwortlich?

Der für den Datenschutz Verantwortliche ist die Geschäftsleitung. Ihr obliegen die gesamte Verantwortung für die korrekte Erhebung und Verarbeitung von Personendaten sowie die Benennung eines Datenschutzbeauftragten, sobald die gesetzlichen Vorgaben erreicht sind. Ärzte verarbeiten von Berufs wegen personenbezogene Daten besonderer Kategorien nach Artikel 9 Abs. 1 DSGVO (meist gemäß lit. h). Somit besteht gemäß Artikel 37 Abs. 1, lit. c DSGVO die Pflicht zur Benennung eines Datenschutzbeauftragten.

Der Datenschutzbeauftragte hat ganz klare Aufgaben:

  • Unterrichtung/Schulung und Beratung des Verantwortlichen oder des Auftragsverarbeiters;
  • Unterrichtung/Schulung und Beratung der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
  • Überwachung der Einhaltung der EU-DSGVO und anderer Datenschutzvorschriften sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungs- vorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
  • Einhaltung von Nachweispflichten gem. der Gesetzeslage (Verarbeitungsverzeichnis etc. ) = Dokumentation;
  • Ansprechpartner für Kunden, Patienten, Mitarbeiter und Aufsichtsbehörden und noch vieles

Verantwortlich für den Datenschutz jedoch bleiben die Geschäftsleitung, der Freiberufler oder Selbstständige, genauso wie im Schadenfall.

Für wen und was ist die Geschäftsleitung verantwortlich?

Hierzu nur einige Beispiele:

  • Die Geschäftsleitung ist verantwortlich für die Einhaltung des Datenschutzes durch die Angestellten, Dienstleister und Patienten.
  • Angestellte müssen geschult und zum Datenschutz schriftlich verpflichtet werden (Ergänzung des Arbeitsvertrages).
  • Dienstleister und Rechenzentren gelten als Auftragsverarbeiter, da sie die übermittelten persönlichen Daten im Auftrag verarbeiten. Hierfür muss ein Vertrag geschlossen werden, der den genauen Umfang und Zweck der Auftragsverarbeitung definiert und in dem der Dienstleister garantiert, die überlassenen Daten nach den Normen der EU-DSGVO zu schützen.
  • Es sollte die Dringlichkeit von Diskretion im gesamten Praxisalltag mehr hervorgehoben werden, bis hin zur räumlichen Trennung des Empfangs gegenüber dem Eingangsbereich.

Vorsicht ist bei Auslandszahnersatz oder Dienstleistungen geraten, die nicht innerhalb der EU angeboten werden. Es existiert weltweit aktuell kein Abkommen, das der EU-DSGVO entspricht. Patientendaten sind in diesem Fall stets zu anonymisieren. Sollten Sie Ihr Smartphone oder Tablet dienstlich nutzen, verzichten Sie lieber auf Cloud-Dienste und zahlreiche Apps.

Diese Einschränkungen können mit einer präzisen schriftlichen Einwilligung des Patienten möglicherweise umgangen werden, sofern nicht andere Rechtsvorschriften diese überlagern. Dabei gilt es, die Informationspflicht gegenüber den Patienten zu beachten. Bei Einwilligung oder Anfrage eines Patienten müssen der Umfang der persönlichen Daten, der Verarbeitungszweck (idealerweise unter Bezugnahme auf die Rechtsgrundlage der Verarbeitung) sowie sämtliche Dienstleister genannt werden, die Zugriff auf diese Daten besitzen. Das Auslandsdentallabor, die Factoring-Firma und vielleicht noch die iCloud stoßen wahrscheinlich auf Verständnis. Die WhatsApp, die Instagram-App und die Facebook-App auf dem Dienst-Smartphone erscheinen da erklärungsbedürftiger.

Wer darf Datenschutzbeauftragter werden?

Der Datenschutzbeauftragte schult und berät die Personen, die an den zentralen Punkten der Datenverarbeitung sitzen. Dies sind zum einen die Geschäftsleitung und zum anderen das Pra- xismanagement und die IT-Abteilung.

Als erforderliche Fachkunde legt Artikel 37 Abs.5 EU-DSGVO i.V. m. § 5 Abs. 3 DSAnpUG-EU fest, dass zum Beauftragten für den Datenschutz (DSB) nur bestellt werden darf, wer sowohl über die berufliche Qualifikation als auch das erforderliche Fachwissen in Datenschutzrecht und Datenschutzpraxis ver- fügt. Weitere Ausführungen dazu enthält das Gesetz nicht. Der Düsseldorfer Kreis als Abstimmungsgremium aller deutschen Datenschutz-Aufsichtsbehörden hat hierzu ein Leitbild erstellt, das die Qualifikation des Datenschutzbeauftragten näher bestimmt. Das sind z. B.:

  • Allgemeines Datenschutzrecht,
  • Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten,
  • Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit,
  • betriebswirtschaftliche Grundkompetenz,
  • Kenntnisse der technischen und organisatorischen Struktur,
  • Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle v.m. wer bildet Datenschutzbeauftragte aus?

Eine Ausbildung zum Datenschutzbeauftragten bieten die örtlichen Industrie- und Handelskammern, der TÜV, die DEKRA und viele andere private Institutionen an. Wer nicht auf die Schulbank will, findet einen Fernlehrgang auf www.daten- schutz4you.com. Die Preise variieren je Ausbildungsformat zwischen 1.000 Euro und 3.000 Euro pro Schulung und dauern von drei Tagen bis vier Wochen.

Interner oder externer Datenschutzbeauftragter?

Wer aus dem eigenen Team einen„internen“ Datenschutzbeauftragten bestellt, hat z. B. folgende Vorteile:

  • kurze Wege
  • Kenntnis der technischen und organisatorischen Möglichkeiten und Maßnahmen der Praxis

Es ergeben sich jedoch auch Nachteile, bspw.:

  • Pflicht zur Freistellung der Arbeitskraft für die Tätigkeit
  • Binden einer Vollzeit-Fachkraft in andere gesetzlich vorgeschriebene Aufgaben
  • keine Weisungsbefugnis in Bezug auf die Aufgaben des DSB
  • Kündigungsschutz

Übernimmt eine Person von außen die Aufgaben eines Datenschutzbeauftragten, so wird von einem „externen Dateschutzbeauftragten“ gesprochen. Der externe Datenschutzbeauftragte beginnt vielfach mit einer Analyse des Ist-Zustandes (umfassendes Audit). Danach erstellt er in Zusammenarbeit mit der Geschäftsleitung die nötigen Regeln, Prozesse und Unterlagen. Vorteile dabei sind:

  • Er ist der außenstehende Dritte, somit nicht
  • Er handelt weisungsfrei bei der Umsetzung gesetzlicher Regelungen.
  • keine Bindung medizinischen Fachpersonals für Daten- schutzaufgaben
  • eigene Vertragsgestaltung v.m.

Im zweiten Teil behandeln wir genauer einzelne Regelungen, Gesetzestexte und Maßnahmen des Datenschutzes. Im Juni bieten wir Ihnen abschließend eine Checkliste, mit der Sie die eingeführten Maßnahmen noch einmal überprüfen können.

Sollten sich in der Zwischenzeit bei Ihnen Fragen ergeben haben, schreiben Sie uns! Die wichtigsten Fragen nehmen wir Stück für Stück in diese Serie mit auf. Die Kontaktadresse lautet redaktion@dental-barometer.de

Hinterlassen Sie einen Kommentar

Wir freuen uns auf Ihre Kommentare und Anfragen zum Beitrag, sowie Ihre Diskussionsbeiträge! Die Länge der Kommentare ist auf 160 Zeichen begrenzt. Für ausführlichere Anfragen, benutzen Sie bitte das Kontaktformular auf dieser Webseite. Dieses Angebot soll eine sachliche Diskussion ermöglichen. Das geht am besten mit einem freundlichen Umgangston. Wir verzichten dabei darauf, persönliche Daten von Ihnen zu erheben, behalten uns aber das Recht der Löschung von Kommentaren durch die Redaktion vor.

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

160
wpDiscuz