Gratis E-Paper

CME-Punkte sammeln! CME Punkte sammeln >>Zur interaktiven Fortbildung

ZMK-aktuell – der Newsletter

Alle 14 Tage die aktuellsten Meldungen, Tipps und Trends aus der Zahnheilkunde in Ihre Mailbox. >>Jetzt kostenlos abonnieren

Datenschutz und -sicherheit in der qualitätsorientierten zahnärztlichen Praxis

Drucken Von Ingrid Gerlach    aktualisiert am 12.03.2012

Der Zahnarzt muss sich an verschiedene Regelungen des Datenschutzes halten, vor allem wenn sensible Patientendaten betroffen sind. So ist es nicht zulässig, ohne eine schriftliche Einwilligung Befunde an andere Ärzte oder Kliniken weiterzuleiten. Sogar polizeiliche Anfragen dürfen nicht ohne Weiteres beantwortet werden. Auch bei der Weitergabe von Patientendaten zur Abrechnung müssen bestimmte Vorschriften berücksichtigt werden. Damit der Datenschutz in der Praxis eingehalten wird, sieht das Gesetz einen Datenschutzbeauftragten ab einer bestimmten Anzahl in die Datenverarbeitung involvierter Mitarbeiter vor. Die Bestellung eines Datenschutzbeauftragten ist allerdings mit Folgekosten verbunden. Lesen Sie dies und weitere Informationen zum Thema im folgenden Beitrag nach.

Bild: (C) www.jenpix.de / PIXELIO
Bild: (C) www.jenpix.de / PIXELIO


Nach den kürzlich in Kraft getretenen bzw. im kommenden Jahr in Kraft tretenden Novellierungen I1, II2 und III3 des Bundesdatenschutzgesetzes (BDSG) sind einige Änderungen zum Datenschutz und zur Datensicherung zu beachten und ggf. in den Praxisalltag zu implementieren. Grundsätzlich gilt nach wie vor das Sozialgesetzbuch, Kapitel X, das den Umgang mit Daten im Gesundheitssystem regelt. Dies ist eine spezialgesetzliche Vorgabe, die noch vor dem Bundesdatenschutzgesetz beim Umgang mit Patientendaten Anwendung findet. Dass der Datenschutz einerseits eine gesetzliche Vorgabe ist und andererseits als ein Qualitätsmerkmal der Praxis darstellbar ist, sollte bereits im Bewusstsein jedes Zahnarztes verankert sein. 

Die Gesetzeslage



Der Datenschutz ist ein vergleichsweise junges Recht und geht auf das so genannte „Volkszählungsurteil“ von 1983 zurück, gesprochen durch das Bundesverfassungsgericht4. Das oberste Gericht stellte fest, dass der Bundesbürger ein Recht auf informationelle Selbstbestimmung habe gemäß Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 des Grundgesetzes. Daraus ergab sich die Verpflichtung, gesetzliche Regelungen für den Umgang mit personenbezogenen oder personenbeziehbaren Daten zu schaffen und damit einem möglichen Missbrauch vorzubeugen. In diesem Sinne sind das Bundesdatenschutzgesetz bzw. die Länderdatenschutzgesetze Präventivgesetze. Hessen schuf als erstes Bundesland eine entsprechende gesetzliche Regelung; bereits ein halbes Jahr nach Rechtsprechung durch das Bundesverfassungsgericht. Da diese Regelungen größtenteils sehr abstrakt waren und es z. T. auch heute noch sind, ist es für die Erfüllung vor Ort bzw. für die tägliche Praxis oft sehr schwierig, Grenzen einzuhalten oder dieselben überhaupt auszuloten. Es gibt eine Fülle von Regelungen, Erlassen, Urteilen und Verbindungen zu wiederum spezialgesetzlichen Regelungen, die häufig ein Höchstmaß an Spezialwissen nötig machen. Es wundert nicht, dass Klein- und Kleinstunternehmen sich beim Datenschutz vor scheinbar unüberwindliche Hürden gestellt sehen.
Die Sanktionen für die Nichteinhaltung bzw. Übertretungen von Regelungen des Datenschutzes wurden erst jüngst angepasst und deutlich angehoben. Um die Verpflichtung zur Einhaltung von datenschutzrechtlichen Vorgaben scheinbar noch ein bisschen undurchsichtiger zu machen, gelten überdies Passagen des Sozialgesetzbuches V und X sowie des Strafgesetzbuches und der Berufsordnungen für Zahnärzte und Ärzte. Insbesondere seien hier die Verpflichtung zur Verschwiegenheit gem. § 203 StGB und die Einschränkungen hinsichtlich des Umgangs mit zu erhebenden Daten nach den §§ 73 Absatz 1b SGB V sowie das gesamte Kapitel X des Sozialgesetzbuches genannt.

Datenschutzbeauftragter nötig, wenn mehr als neun Personen mit Daten umgehen



Schaut man sich zunächst das Bundesdatenschutzgesetz5 (BDSG) inkl. seiner jüngsten Novellierung an, so stellt man für die Praxis Folgendes fest: Zahnärztliche und ärztliche Praxen unterstehen dem Bundesdatenschutzgesetz und nicht dem Landesdatenschutzgesetz; Ausnahmen können die zahnheilkundlichen Kliniken sein. Die grobe Unterscheidung richtet sich nach der Zuordnung des Unternehmens in öffentlich-rechtlich oder privatrechtlich. Ausgehend von der Hypothese, dass es sich um ein privatrechtliches Unternehmen handelt, gelten die Bestimmungen des BDSG. Danach ist ein Datenschutzbeauftragter in einer nichtöffentlichen Einrichtung (der niedergelassenen Praxis) schriftlich zu benennen, wenn in der Regel mehr als neun Personen automatisiert Daten erheben, verarbeiten, speichern oder übermitteln. Das Gesetz zielt nicht auf Vollkräfte, sondern tatsächlich auf die Anzahl der Personen ab. Der Inhaber muss mitgezählt werden. Einzubeziehen sind zudem nicht nur die Daten, die durch die Praxis-EDV erhoben und verarbeitet werden, sondern auch jegliche Form der Dokumentation, einschließlich der handschriftlichen Notizen in den Karteikarten. Ist ein Datenschutzbeauftragter demnach schriftlich zu bestellen, so werden seitens des Gesetzes gewisse Anforderungen an diesen gestellt. Gem. § 4f BDSG muss er zuverlässig sein und die erforderliche Fachkompetenz besitzen. Zudem ist dem betrieblichen Datenschutzbeauftragten Gelegenheit zu geben, sich fachkundlich weiterzubilden.
Die Kosten für einen betrieblichen Datenschutzbeauftragten trägt der Unternehmer. Auch alle anfallenden Folgekosten müssen von diesem getragen werden: Der Unternehmer ist verpflichtet, dem betrieblichen Datenschutzbeauftragten alle notwendigen Arbeitsmittel einschließlich eines zeitlichen Kontingentes zur Verfügung zu stellen. Diese sind in der wirtschaftlichen Planung zu berücksichtigen. Es stellt sich die Frage, ob dieser Aufwand (Bereitstellung der Ressourcen) für die einzelne Praxis wirtschaftlich tragbar ist. Der Gesetzgeber hat bewusst eine weiche Formulierung bzgl. der Aufgaben gewählt, da die Größe eines Unternehmens und damit die Aufgabenfülle stark variieren kann und nicht immer die gesetzliche Verpflichtung zur Benennung eines betrieblichen Datenschutzbeauftragten – generiert aus dem Mitarbeiterpool – besteht. Es existieren derzeit noch keine offiziellen Kennzahlen, nach denen sich eine Bemessung bezüglich der oben genannten Aufgaben vornehmen lässt. Allerdings gibt es inoffizielle Empfehlungen durch verschiedene Organisationen und entsprechende Arbeitskreise.
Es empfiehlt sich, die Kosten eines internen mit den Kosten eines ebenfalls zulässigen externen Datenschutzbeauftragten in Relation zu setzen, bevor ggf. eine weitreichende Entscheidung getroffen wird, zumal die Novellierung des Bundesdatenschutzgesetzes einen besonderen Kündigungsschutz für den betrieblichen Datenschutzbeauftragten vorsieht (ein Jahr nach Beendigung der Tätigkeit als betrieblicher Datenschutzbeauftragter). Gute Empfehlungen und Materialien zur Bestellung des Datenschutzbeauftragen stellt die Gesellschaft für Datenschutz und Datensicherung e.V. (GDD)7 u. a. auf ihrer Internetpräsenz zur Verfügung.

Verpflichtung zum Datenschutz



Die Verpflichtung zum Datenschutz ergibt sich für die niedergelassene Zahnarztpraxis aus der Verarbeitung personenbezogener und personenbeziehbarer Daten. Bereits die Tatsache, dass Stammdaten aufgenommen werden, ist eine personenbezogene Datenerhebung zum Zwecke der Nutzung. Hier findet sich neben der gesetzlichen Schweigeverpflichtung auch der Bezug zum Datenschutz. Datenschutz ist kaum von der Verpflichtung zur Einhaltung der Schweigepflicht zu trennen. Grundsätzlich gilt, dass zum Erheben, Speichern, Verarbeiten, Nutzen etc. eine gesetzliche Grundlage vorliegen muss. Diese ist durch § 295 SGB V gegeben: Danach besteht die Verpflichtung, entsprechende Daten zur zahnärztlichen Abrechnungsstelle einzureichen. Es sind nur die Daten dort einzureichen, die im Gesetzestext vorgesehen sind, z. B. Versichertendaten, Leistungsziffern, Tag der Leistungserbringung und die notwendige Codierung der Diagnosen nach ICD-10-GM. Nicht mehr und auch nicht weniger, da die gesetzestextliche Aufzählung abschließend ist.

Patientendatenschutz



Die Verpflichtung zum Datenschutz trifft auf die zahnärztliche Praxis zu. Im Fokus stehen dabei zwei Zielgruppen: die Patienten mit teilweise hochsensiblen Daten, wie z. B. Untersuchungsbefunde einschließlich Röntgenbildern, – auch Kassenbücher (Praxisgebühr) und Rechnungen zählen zu den Patientendaten – und die Mitarbeiter. Zunächst zum Patientendatenschutz: Bereits die Tatsache der Behandlung selbst fällt in den Bereich des Datenschutzes bzw. der Schweigepflicht. Ebenso bekannt sollte die Tatsache sein, dass ohne Einwilligung des Patienten nichts an Dritte versandt und Dritten keine Auskunft gegeben werden darf. Die Frage, die sich oft stellt, wer denn nun Dritter sei, ist im Gesetz festgelegt. Dritter ist jede Person, ob natürlich oder juristisch, die nicht mit der Behandlung befasst ist. Das Team der zahnärztlichen Praxis ist insgesamt als Behandlungsteam zu sehen. Alle anderen Personen, Institutionen u. Ä. sind als Dritte anzusehen. An dieser Stelle sei nochmals darauf verwiesen, dass zahnärztliche Abrechnungsstellen, die nicht im Gesetz genannt sind, Dritte sind. Dies erfüllt den Tatbestand einer Auftragsdatenverarbeitung und hier muss der Patient einwilligen. Aus Beweisgründen sollte dies schriftlich erfolgen.
Zwar ist die schriftliche Einwilligung der rechtssicherste Beweis, aber auch hier lauern Gefahren. So wurde höchstrichterlich festgestellt, dass eine allumfassende Einwilligung des Patienten rechtswidrig ist6. Es ist also bei schriftlichen Einverständniserklärungen darauf zu achten, dass ein möglichst exakter Zeitraum der Behandlung angegeben wird. Auch die Widerruflichkeit darf nicht fehlen. Ein solches Formular lässt sich problemlos in die vorhandene Qualitätsmanagement-Dokumentation eingliedern.
Bei Anfragen ist darauf zu achten, dass diese in schriftlich gestellter Form vorliegen, die Entbindung von der Schweigepflicht durch den Patienten vorliegt (zeitnah) und eine gesetzliche Grundlage dies gestattet. Hinweise auf so genannte „Amtshilfe“ finden sich im Gesetz ausdrücklich nicht im Bereich der zahnärztlichen Praxis. Dies trifft auch bei Nachforschungen durch polizeiliche Behörden zu. Häufig kommt ein Verhaltensmuster zum Tragen, das zwar durchaus gesellschaftspolitisch gewollt indoktriniert (polizeilichen Behörden ist Auskunft zu erteilen), aber ohne gesetzliche Grundlage ist und so eine Straftat darstellt. Auch polizeiliche Behörden werden also im Regelfall einen richterlichen Beschluss vorlegen müssen.

Mitarbeiterdatenschutz



Die andere Gruppe umfasst die Gruppe der Mitarbeiterinnen. Dem Arbeitgeber entstehen bestimmte gesetzliche Verpflichtungen (Gehaltszahlungen, Abführen von Sozialversicherungsbeiträgen, Lohnsteuer etc.), denen er nachkommen muss. Grundsätzlich hat jeder Mitarbeiter ein Anrecht auf Stillschweigen über die persönlichen Daten, die das Verhältnis Arbeitnehmer – Arbeitgeber betreffen. Dennoch erwächst hier ein Einverständnis aus der Tatsache, dass jedem Arbeitnehmer die folgenden Tatsachen bekannt sind: Wer ein Arbeitsverhältnis eingeht, darf sich darauf verlassen, dass der Arbeitgeber sein Gehalt auf sein Konto zahlt und dass die ihm abgezogenen Beiträge entsprechend weitergeleitet werden. Es bedarf daher keiner zusätzlichen schriftlichen Einverständniserklärung, da die gesetzliche Grundlage hierzu im § 32 BDSG festgelegt ist.
Steuerberater und deren Gehilfen unterliegen dem § 203 StGB und somit derselben Schweigepflicht wie Zahnärzte, Ärzte, Apotheker usw. Dennoch ist darauf zu verweisen, dass hier eine Auftragsdatenverarbeitung vorliegt, die vertraglich geregelt sein muss. Dazu empfehlen sich durch Landesdatenschützer geprüfte Musterverträge, die im Internet zum Download abrufbar sind. Gleiches wie für den Steuerberater gilt für Rechenzentren, die beispielsweise den technischen Support für die EDV übernehmen. Auch hier ist eine vertragliche Gestaltung vorgeschrieben. In allen Fällen verbleibt die Haftung beim Auftraggeber.

Internet und Datenschutz



Die Internetpräsenz der eigenen Praxis sowie der Umgang mit elektronischem Austausch sind brisante und alltägliche Bereiche. Brisant, weil hier die häufigsten Fehler gemacht werden. Alltäglich, weil Patienten selbst über dieses Medium möglichst viele  Dinge abwickeln möchten. Dabei wird häufig vergessen, mit persönlichen oder personenbeziehbaren Daten vorsichtig umzugehen. Oftmals werden freizügig Kundenkarten beantragt, wird an Befragungen teilgenommen und selbstverständlich wird das Häkchen gesetzt, dass News immer willkommen sind.
Fragen Sie sich selbst, wie gut Ihr internetfähiger Praxis-PC geschützt ist vor Viren, Würmern und Trojanern. Wie viel Wissen besteht über die Vorgehensweise beim Auftreten dieser Gefahren? Was tun Sie, um sich zu schützen? Ist Ihr „Internet-PC“ abgekoppelt vom PC, auf dem Patientendaten gespeichert sind? Und wie sieht es mit kryptografischen Verfahren aus? Welche Verschlüsselungssoftware benutzen Sie in Ihrer Praxis? Sind eine Firewall und eine Antivirensoftware installiert? Sofern technischer Schutz vorhanden ist, sollte dieser auch genutzt werden (z. B. Dongle, Antivirenprogramm, Firewall etc.). Halten Sie Ihre Antivirensoftware mit regelmäßigen Updates auf dem neuesten Stand, am besten täglich und vor allem bevor Sie im Internet auf Suche gehen oder etwas übermitteln wollen.
Die Vorgehensweise von Viren, Würmern und trojanischen Pferden ist bekannt. Während Viren und Würmer üblicherweise auf eine Schädigung des befallenen PCs programmiert sind, kann ein trojanisches Pferd durchaus auch „nur“ zum Ausspähen von Passwörtern oder Dateien eingeschleust werden. Das bedeutet, dass trojanische Pferde über einen langen Zeitraum unerkannt bleiben können. Hier helfen nur regelmäßige Sicherheitsupdates, ggf. eine „Firewall“ und vor allem, den Upload von fremden Dateien nicht durchzuführen. Häufig sind diese Dateien mit der Endung „exe“ versehen. Bestimmte Schutzfunktionen sind darüber hinaus aus Sicht des Datenschutzes zwingend einzuhalten: Passwörter sollten geheim bleiben. Nur der Benutzer darf über das Passwort verfügen und PCs sollten nicht unbeaufsichtigt für jedermann einsehbar und/ oder nutzbar sein (Zugangskontrolle). Sicherlich wäre es empfehlenswert, den Praxis-PC mit sensiblen Daten wie z. B. personenbezogenen Daten der Patienten und Mitarbeiter überhaupt nicht ans Internet anzuschließen und so diese Gefahren zu vermeiden. Programme, auf denen personenbezogene oder personenbeziehbare Daten gespeichert sind, sind durch Passwörter zu sichern (s. o.), die Bildschirmeinstellung ist so vorzunehmen, dass nach einer bestimmten Zeit in der nicht gearbeitet wird, automatisch ein Bildschirmschoner eingeschaltet wird bzw. nur durch die erneute Passwortabfrage das Programm wieder genutzt werden kann. Beim Verlassen des Raumes sind Türen zu verschließen oder der PC ist abzuschalten. Die Zugriffskontrolle hat der Administrator; er legt fest, wer den PC in welcher Weise benutzen darf, indem er Benutzerrechte vergibt. 

Fazit



Das Erheben, Verarbeiten, Verändern, Speichern und Löschen von personenbezogenen oder personenbeziehbaren Daten bedarf immer einer gesetzlichen Grundlage. Neben der durch das Sozialgesetzbuch vorgeschriebenen Übermittlung von Patientendaten an bestimmte Stellen und Institutionen sind Datenweitergaben nur dann legal, wenn der Patient einwilligt. Aus Beweisgründen sollte die Einwilligung des Patienten schriftlich niedergelegt werden, insbesondere wenn sie die Übermittlung von Befunden an Dritte betrifft. Von einer allumfassenden Schweigepflichtsentbindung ist abzusehen und Anforderungen müssen stets konkret gehalten sein. Telefonische Auskünfte und die Beantwortung von Anfragen per Fax stellen den Straftatbestand der Schweigepflichtsverletzung dar.

Die Haftung für die Einhaltung des betrieblichen Datenschutzes trifft den Zahnarzt. Empfohlen kann daher nur die Einhaltung bzw. Beauftragung einer Person in der Praxis sein, die sich für diesen Bereich verantwortlich fühlt und entsprechend beratend tätig wird. Auch der Datenverarbeitung im Auftrag sollte in jedem Fall Beachtung geschenkt werden.
Praxisgebühr nicht bezahlt, Chipkarte vergessen - das leidige Thema eines jeden Praxisteams im täglichen Umgang mit den Patienten.
Ab sofort gibt es eine elegante Lösung für Sie und Ihre Patienten! Lernen Sie die Faltpostkarte Praxisgebühr kennen!

Teilen

Literaturverzeichnis

  1. BDSG-Novelle I: Gesetz vom 29.07.2009, BGBl. I S. 2254; tritt am 01.04.2010 in Kraft
  2. BDSG-Novelle II: Fassung der BT-Drs. 16/12011 mit den Änderungen der BT-Drs. 16/13657; tritt weitestgehend am 01.09.2009 in Kraft mit Übergangsregelungen in § 47 (§ 34 Abs. 1a, Abs. 5 und § 43 Abs.1 Nr. 8a BDSG neuerer Fassung treten am 01.04.2010 in Kraft)
  3. BDSG-Novelle III: Gesetz vom 29.07.2009, BGBl. I S. 2355; tritt am 11.06.2010 in Kraft.
  4. NJW 1984, S. 419
  5. Bundesdatenschutzgesetz i.d.g.F.
  6. BVerfGE 1 BvR 2027/02
  7. https://www.gdd.de/index_html_v
Portrait Gerlach

Ingrid Gerlach

Verband medizinischer Fachberufe e.V.

Kurtstraße 7, 34560 Fritzlar

Tel.: 0163 7110712

E-Mail: igerlach@vmf-online.de

Leser-Kommentare

Sie müssen eingeloggt sein, um einen Kommentar zu verfassen.