Praxisführung


Datenschutz in der Zahnarztpraxis: Es wird ernst

Durch das neue Datenschutzgesetz sollen die Rechte der Patienten besser geschützt und gewahrt werden.
Durch das neue Datenschutzgesetz sollen die Rechte der Patienten besser geschützt und gewahrt werden.

Das Thema Datenschutz bewegt momentan viele. In der Tat ist zu vermelden: Der Gesetzgeber macht Ernst. Ab dem 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) als unmittelbar geltendes Recht in Kraft, außerdem wird das deutsche Bundesdatenschutzgesetz (BDSG) komplett neu gefasst. Der Datenschutz an sich soll insgesamt gestärkt, die Rechte der Betroffenen – hier also der Patienten – sollen umfassender geschützt und gewahrt werden.

Dabei sind auch und vor allem Zahnarztpraxen von den neuen, strengeren Regeln betroffen, handelt es sich hier doch um Einrichtungen, in denen mit besonders sensiblen persönlichen Daten der Patienten umgegangen wird. Wir fassen für Sie zusammen, wie sich eine Praxis für die neuen Anforderungen an den Datenschutz rüsten kann und sollte. Wenngleich dies aufgrund der Vielzahl an neuen Regeln nicht erschöpfend erfolgen kann, gehen wir zumindest auf die wichtigsten Themen und Pflichten ein.

Allgemeines: Was ist Datenschutz?

Das Thema Datenschutz an sich ist kein neues. Bereits das Bundesverfassungsgericht hat mit dem berühmten „Volkszählungsurteil“ aus dem Jahre 1983 das sogenannte Grundrecht auf informationelle Selbstbestimmung etabliert. Auch in der Vergangenheit gab es also schon Pflichten von Personen, die personenbezogene Daten in irgendeiner Form erhoben haben. Bei personenbezogenen Daten handelt es sich um alle Informationen, die einer bestimmten oder bestimmbaren Person zuzuordnen sind (vgl. Art. 4 Nr. 1 DSGVO). Eine Verarbeitung dieser Daten ist, vereinfacht gesagt, jeder Umgang mit diesen Daten: also das Speichern, Übermitteln, Verwenden oder Verändern sowie viele weitere Vorgänge (vgl. Art. 4 Nr. 2 DSGVO). Auch nach dem alten BDSG gab es bestimmte Pflichten, die ein Verantwortlicher – also jeder, der geschäftsmäßig zumindest auch personenbezogene Daten verarbeitet – einzuhalten hatte, beispielsweise die Bestellung eines Datenschutzbeauftragten bei mehr als 9 datenverarbeitenden Mitarbeitern. Dabei ist und war die Verarbeitung von personenbezogenen Daten grundsätzlich verboten, solange keine besondere Erlaubnis vorliegt.

Wichtigster Erlaubnistatbestand: die Einwilligung

Für Datenverarbeitungen, die jenseits einer Vertragsbeziehung stattfinden, ist eine Einwilligung des Betroffenen die maßgebliche Rechtmäßigkeitsvoraussetzung. Grundsätzlich muss ein Patient in die Verarbeitung seiner Daten, die für die Behandlung in der Praxis (und nur dafür) notwendig sind, also nicht ausdrücklich einwilligen. Die Speicherung, Sammlung und Auswertung der Gesundheitsdaten beim behandelnden Zahnarzt sind für die Erfüllung des Behandlungsvertrags erforderlich. Sollte der Zahnarzt die Daten hingegen beispielsweise an Kollegen weitergeben wollen, von Kollegen Patientendaten anfordern oder solche etwa für eine Studie verwenden wollen, so muss eine gesonderte Einwilligung eingeholt werden. Die Einwilligung zur Verarbeitung von Daten zu einem Zweck, der über den konkreten Behandlungszweck hinausgeht, sollte dabei stets schriftlich eingeholt und dokumentiert werden.

Grundlegender Schutz: technische und organisatorische Maßnahmen

Nur sicherzustellen, dass jede Datenverarbeitung auf einer ausreichenden Grundlage wie der Einwilligung des Patienten fußt, reicht nicht aus. Es ist künftig eine ganze Reihe zusätzlicher Elemente des Datenschutzes zu beachten. Hinter der Abkürzung „TOM“ verbargen sich bereits nach altem Recht die „technischen und organisatorischen Maßnahmen“ zum Schutz der Patientendaten. Diese bezwecken, die sensiblen Daten vor dem Zugriff durch Unbefugte und vor Verlust zu schützen. Auch in der neuen Datenschutzgrundverordnung wird vor allem auf diesen Weg gesetzt, um Datensicherheit zu gewährleisten. In Art. 32 DSGVO kann nachgelesen werden, welche verschiedenen Ansatzpunkte im Wesentlichen dafür vorgesehen sind. Es geht darum, dass von vornherein in einer Praxis Maßnahmen und Standards eingeführt werden sollen, die die Daten schützen.

Dabei ist zu beachten, dass die aufzunehmenden TOMs von mehreren Faktoren abhängen: dem sogenannten „Stand der Technik“, den Implementierungskosten und der Risikolage in der Praxis. Die DSGVO hält in Art. 32 hierzu fest: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Da in Praxen mit den Gesundheitsdaten hochsensible und von Art. 9 DSGVO nochmals besonders geschützte Daten erhoben werden, ist gut beraten, wer die Risiken in seiner Praxis grundsätzlich als hoch einstuft. Im Datenschutzrecht gilt allgemein, dass – jedenfalls ab Inkrafttreten der DSGVO – Vorsicht besser ist als Nachsicht. Als eine der wichtigsten TOMs sind daher zuverlässige Datensicherungen zu nennen. Die DSGVO formuliert die Erwartung, dass die Systeme wiederherstellbar sind, wenn es zur Störung kommt, Störfälle automatisch gemeldet und die personenbezogenen Daten nicht beschädigt werden. Dies lässt sich insbesondere durch automatisch durchzuführende Datensicherungen (Backups) erreichen. Das Medium, auf dem die durch das Backup gesicherten Daten gespeichert werden, muss dabei natürlich ebenfalls sicher verwahrt werden.

Weitere TOMs im Sinne von „Must-haves“ des Datenschutzes

Die folgenden weiteren technischen Maßnahmen sollten umgesetzt werden:

  • Zutritts-, Zugangs- und Zugriffskontrolle
    Zutrittskontrolle meint die Absicherung gegen eine unbefugte physische Betretbarkeit der Praxis, beispielsweise durch besondere Türschlösser. Zugangskontrolle meint, dass der Verantwortliche sicherstellt, dass nur ausgewählte Personen überhaupt Zugang zu den Daten haben. Hier spielt bereits ein Klassiker aus dem Datenschutzrecht in Praxen eine Rolle: die Tür zum Wartezimmer. Ist diese immer oder jedenfalls häufig offen und nebenan die Patientenaufnahme, so kann der wartende Patient die Informationen, die die anderen Patienten in der Aufnahme abgeben, mithören. Dies stellt einen unbefugten Zugang zu Daten dar, den der Zahnarzt zu unterbinden hat. Zugriffskontrolle meint die technische Umsetzung der Anforderung, dass ein Zugriff auch nur auf die Daten erfolgt, die zur Erfüllung der eigenen Aufgaben notwendig sind – beispielsweise eine reine Abrechnungskraft auch nur einen Zugriff auf die Abrechnung hat und keine Einsicht in die Personalakten nehmen kann.
  • Verschlüsselung
    Jedem Praxisinhaber ist ab sofort zu empfehlen, seine Patientendaten zu verschlüsseln, sobald diese erhoben werden. Dies sollte neben den Computern, die in der Praxis verwendet werden, auch für sonstige Endgeräte gelten, auf denen – auf welchem Weg auch immer – Patientendaten landen können. Beispiel: Sie als Praxisinhaber wollen über das Wochenende noch einen OP-Bericht eines Stammpatienten lesen, den Ihnen das Krankenhaus übermittelt hat, und Sie schicken sich das Dokument per E-Mail auf Ihr privates Handy. Verschlüsselte Daten sind so bei einem Einbruch in die Praxis oder bei einem Diebstahl mobiler Endgeräte weiterhin gesichert. Auch entfällt bei einer ordnungsgemäßen Verschlüsselung die Anzeigepflicht bei Datendiebstahl oder einem sonstigen Datenschutzvorfall, die ansonsten jeden Verantwortlichen gegenüber der Aufsichtsbehörde unmittelbar trifft.
  • Pseudonymisierung
    Personenbezogene Daten sollten – jedenfalls bei einer Übermittlung an Dritte – bei der Verarbeitung so früh wie möglich und so weitgehend wie möglich pseudonymisiert werden. Unter Pseudonymisierung versteht man, dass die Daten ohne Hinzuziehen von weiteren Informationen nicht mehr einer bestimmten Person zugeordnet werden können (vgl. Art. 4 Nr. 5 DSGVO). Eine Pseudonymisierung wäre es etwa, wenn Patienten bestimmte Nummern zugeordnet werden und die Zuordnung der Nummern zu Namen nur mit Zusatzinformationen möglich ist. Dies bietet sich vor allem an, wenn Laboruntersuchungen von Proben stattfinden oder Patientendaten zu Studien- und Forschungszwecken weitergegeben werden. Viele Praxismanagementsoftwares bieten diese Möglichkeit bereits an.
  • Passwörter und Passworthygiene
    Wann haben Sie das letzte Mal alle Passwörter in Ihrer Praxis geändert? Alle Rechner oder mobilen Endgeräte, von denen Zugang zu Patientendaten erlangt werden kann, müssen mit einem sicheren Passwort versehen werden. Wichtig ist hier, dass dieses Passwort bestimmten Mindeststandards unterliegt (nicht nur der gern genommene Name oder das Geburtsdatum des Praxisinhabers) und dass es regelmäßig geändert wird. Das Passwort darf selbstverständlich nur an zuständiges Personal und einen möglichst begrenzten Personenkreis weitergegeben werden. Die Passwörter sollten aus mindestens acht Zeichen – sowohl Zahlen als auch Ziffern – bestehen und eine Kombination aus Groß- und Kleinbuchstaben darstellen. Je länger das Passwort ist, desto größer ist naturgemäß der Schutz.

Informationspflichten gegenüber den Patienten

Die neue Datenschutzgrundverordnung bringt zudem weitreichende Informationspflichten mit sich. Während der Hauptanwendungsfall für Datenschutzerklärungen in der Vergangenheit zumeist die Praxis-Website darstellte, so ist jeder Praxisinhaber nun gem. Art. 13 DSGVO verpflichtet, jedem Patienten bei der erstmaligen Datenerhebung eine Datenschutzerklärung zu übergeben. Dies sollte ein – im Einzelfall nötigenfalls zu personalisierender – schriftlicher Bogen für den Patienten sein, den er bei der Erstaufnahme in die Hand gedrückt bekommt. Zu benennen sind dabei unter anderem der Datenschutzbeauftragte (an diesen können sich insbesondere auch die von der Datenerhebung Betroffenen, also die Patienten, wenden), die Empfänger der Daten (im Regelfall die KZV und private Abrechnungsstellen, der Hausarzt oder Fachärzte), die Speicherdauer (bei Zahnärzten grundsätzlich 10 Jahre, Sonderregeln gelten bei Röntgenbildern) und die Aufsichtsbehörde sowie das dortige Beschwerderecht.

Das Verzeichnis der Verarbeitungstätigkeiten

Auf die Praxisinhaber kommt noch eine weitere Pflicht hinzu, die in ähnlicher Form aber bereits zuvor bestand (und von den Landesdatenschutzbeauftragten gar nicht oder nur lax kontrolliert wurde): das Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO. Jeder Verantwortliche hat ein Verzeichnis zu führen, in dem er unter anderem den Zweck der Verarbeitung von Daten – also bei Zahnärzten in Bezug auf Patienten schlicht die gesundheitliche Behandlung, Diagnose und Therapie – benennt sowie zudem auch die Kategorien von Empfängern, den Datenschutzbeauftragten und die unternommenen technischen und organisatorischen Maßnahmen einträgt. Darüber hinaus werden aber auch Datentransfers zum Lohnbüro, externen Abrechnungsstellen, der KZV sowie sonstigen Dritten zu erfassen und zu begründen sein. Auf Verlangen der Aufsichtsbehörde ist dieses Verzeichnis vorzulegen. Es ist anzunehmen, dass die Anforderung des Verarbeitungsverzeichnisses ein Mittel sein wird, zu dem die Aufsichtsbehörden gerne greifen werden. Wer das dann nicht innerhalb der gesetzten Frist vorlegen kann, muss mit weiteren Nachforschungen der Aufsichtsbehörde rechnen.

Auftragsdatenverarbeitung

Wenn der Zahnarzt die Verwaltung seiner Daten an einen externen Dritten überträgt, so gelten auch für diesen die Regeln der Datenschutzverordnung und des neuen BDSG. Dies steht im Kontext der sogenannten Auftragsdatenverarbeitung (ADV) nach Art. 28 DSGVO. Eine Auftragsdatenverarbeitung liegt immer dann vor, wenn sich ein Verantwortlicher zur Verarbeitung von Daten eines externen Dritten bedient und diesem Weisungen erteilt, dem Dritten also keine oder nur sehr geringe eigene Spielräume zustehen. Auftragsbearbeiter und Zahnarzt müssen dabei ein gemeinsames Sicherheitskonzept erarbeiten, was konkret bedeutet, dass ein schriftlicher Vertrag geschlossen werden muss. Dies gilt beispielsweise für die externe Abrechnungskraft, die in die Praxis kommt und für einige Tage die Abrechnung übernimmt, um diese zu optimieren.

Selbiges gilt – auch wenn der Patient zustimmt – für das Factoring. Das Paradebeispiel für die Auftragsdatenverarbeitung in der Zahnarztpraxis ist jedoch die Beauftragung eines externen Labors mit der Fertigung von Prothetik, bei der die Patientendaten an das Labor übersandt werden. Der zwischen Praxisinhaber und allen Auftragsdatenverarbeitern zu schließende Vertrag hat bestimmte Mindestinhalte, die sich aus Art. 28 Abs. 3 DSGVO ergeben, im Detail aber ganz unterschiedlich sein können. Auch die Vorlage der nötigen ADV-Verträge gehört zu den denkbaren Abfragen der Aufsichtsbehörde, bei der Praxisinhaber künftig auf dem falschen Fuß erwischt werden könnten.

Der Datenschutzbeauftragte: Wer ist das und was macht er?

Der Datenschutzbeauftragte hat die Aufgabe, den verantwortlichen Zahnarzt über die Pflichten im Umgang mit Daten nach den neuesten Regeln zu informieren und ihn zu beraten. Ferner überprüft er, ob die Regelungen zum Datenschutz bei den internen Datenverarbeitungsvorgängen eingehalten werden, und ist Ansprechpartner der Aufsichtsbehörde. Der Datenschutzbeauftragte kann ein besonders geschultes Mitglied des Praxisteams sein, aber auch über einen externen Dienstvertrag hinzugezogen werden. Der Praxisinhaber selbst oder Gesellschafter in einer BAG kommt hierfür nicht in Betracht, da eine Selbstüberwachung in diesem zentralen Bereich nicht vorgesehen ist. Der Datenschutzbeauftragte muss „zuverlässig“ sein und über die erforderliche Sachkunde verfügen. Um Letztere sicherzustellen, gibt es eine Vielzahl an Aus- und Fortbildungsangeboten, die die besondere Sachkunde zertifizieren. Auf diese Weise lässt sich bei Rückfragen der Aufsichtsbehörden verifizieren, dass man als Praxisinhaber seiner Sorgfaltspflicht bei der Auswahl und Bestellung eines Datenschutzbeauftragten nachgekommen ist und das Thema ernst nimmt. Denn trotz Bestellung eines Datenschutzbeauftragten bleibt die Umsetzung und Kontrolle stets beim Inhaber: Datenschutz ist Chefsache.

Der Datenschutzbeauftragte: Wer braucht ihn?

Ein Datenschutzbeauftragter muss bestellt werden, wenn in der Zahnarztpraxis in der Regel Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, also mit den Patientendaten umgehen. Besteht das Praxisteam aus mehr als 9 Personen, sollte also ein Datenschutzbeauftragter darunter sein. Daneben ist die Bestellung nach § 38 Abs. 1 BDSG und Art. 37 Abs. 1 lit. c DSGVO jetzt notwendig, wenn eine umfangreiche Verarbeitung einer besonderen Kategorie von personenbezogenen Daten erfolgt. Gesundheitsdaten gehören zu diesen besonderen Daten. Nach der DSGVO liegt eine umfangreiche Bearbeitung zumindest dann nicht vor, wenn ein Einzelzahnarzt und sein Personal mit der Verarbeitung der Patientendaten beschäftigt sind.

Im Umkehrschluss heißt das, dass eine umfangreiche Bearbeitung vorliegt, wenn mehrere Zahnärzte in einer Gemeinschaftspraxis zusammenarbeiten. Dann ist also regelmäßig ein Datenschutzbeauftragter zu bestellen. Konkrete Richtzahlen, ab welcher Patientenanzahl eine umfangreiche Bearbeitung vorliegt, gibt es nicht. Die Praxisgemeinschaft, bei der die Patientenakten und die Abrechnung getrennt sind, stellt damit einen Grenzfall dar, der einzeln geprüft werden muss. Auf der sicheren Seite ist man, wenn man einen Datenschutzbeauftragten bestellt. Nur so kann verhindert werden, dass bei einer Überprüfung durch die Aufsichtsbehörde mitunter teure Defizite festgestellt werden.

Datenschutz-Folgeabschätzung

Als weiteres Element zur Risikokontrolle und -begrenzung hat die DSGVO die sog. Datenschutz-Folgeabschätzung geschaffen. Sie entspricht einer präventiven Risikoeinschätzung, die erforderlich wird, wenn nach Art, Umfang und Zweck der Datenverarbeitung ein besonderes Risiko besteht. Bei Zahnärzten liegt dies – zumindest bei größeren Gemeinschaftspraxen – aufgrund der besonderen Sensibilität von Gesundheitsdaten nahe. Es sind in diesen Fällen Risiken und Sicherungsvorkehrungen gegeneinander abzuwägen, um so Gefahren bereits im Vorfeld ausreichend zu minimieren und auf zu risikoreiche Verarbeitungen zu verzichten.

Mitarbeiterschulungen und praxiseigene Datenschutzrichtlinie

Damit jeder einzelne Mitarbeiter in der Praxis im Datenschutz auf dem neuesten Stand und mit der Sicherheitstechnik vertraut ist, sollten regelmäßig Schulungen besucht oder abgehalten werden. Zudem sollten die wichtigsten Regelungen transparent in einer praxiseigenen Datenschutzrichtlinie festgehalten werden. So wird sichergestellt, dass keine Fehler passieren, die auf den Zahnarzt zurückzuführen sind, und er seiner Aufsichts- und Anleitungspflicht vollumfassend nachgekommen ist.

Meldepflicht bei Verstößen

Sollte doch etwas schiefgegangen sein beim Thema Datensicherheit, so besteht eine Meldepflicht. Das bedeutet, dass der verantwortliche Zahnarzt die Verletzung des Schutzes innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde – im Regelfall also dem jeweiligen Landesdatenschutzbeauftragten – mitteilen muss (Art. 33 Abs. 1 DSGVO, § 40 Abs. 1 BDSG neu). Nur wenn keine Gefahr für die Rechtsgüter natürlicher Personen besteht, muss nichts gemeldet werden. Dies wird aber – vorbehaltlich der bereits empfohlenen Verschlüsselung der Daten – angesichts der Sensibilität von Patientendaten kaum auszuschließen sein.

Außerdem kann es sein, dass die Meldung der Verletzung des Schutzes personenbezogener Daten auch an den betroffenen Patienten weitergegeben werden muss, siehe Art. 34 DSGVO. Dies ist dann der Fall, wenn voraussichtlich eine erhebliche Gefahr für Rechtsgüter des Patienten besteht. Will man dies vermeiden, bieten sich auch insoweit die oben genannten Verschlüsselungsmaßnahmen an. Denn dann sind die Daten für Dritte unzugänglich.

Haftungsrisiken und Bußgelder

Sollten die Anforderungen nicht erfüllt werden, so drohen dem verantwortlichen Zahnarzt erhebliche Haftungsrisiken und Bußgelder. Der Gesetzgeber hat hier an mehreren Stellen betont, dass diese datenschutzrechtlichen Sanktionen nun – erstmals – eine besondere Empfindlichkeit mit sich bringen sollen. Mit anderen Worten: Die Zeiten des Laissez-faire beim Datenschutz sind endgültig vorbei. Zunächst haftet der Zahnarzt gegenüber dem Patienten gem. Art. 82 Abs. 1, 2 DSGVO für den Schaden, der durch die rechtswidrige Verarbeitung personenbezogener Daten entstanden ist. Es droht auch eine Art „Schmerzensgeld“, wenn der Patient keinen Vermögensschaden, sondern einen immateriellen Schaden erlitten hat.

Die Verordnung sieht zudem Bußgelder für verschiedene Verstöße vor, die die Behörde verhängen kann. So kann, je nach Schwere und Folgen des Verstoßes, ein Bußgeld bis zur Höhe von 20 Mio. Euro drohen (Art. 83 Abs. 5 DSGVO). Es findet aber immer eine Einzelfallprüfung statt. Die Aufsichtsbehörde kann auch ein Verbot der Verarbeitung von Daten verhängen. Dies würde teilweise sicher zum Erliegen des Praxisablaufs führen. Wenngleich dies Extremfälle sind, ist mit Sanktionen in einer Schärfe zu rechnen, die man in jedem Fall vermeiden sollte.

Hinzu tritt die reale Gefahr einer Abmahnung durch zahnärztliche Kollegen: Da die Vorschriften des Datenschutzes auch wettbewerbsschützende Normen sind, können rechtskonform agierende Praxen künftig solche Praxen abmahnen, die es mit dem Datenschutz (nachweisbar) nicht so genau nehmen. Die Folge sind Unterlassungsansprüche – und die Abmahnkosten. Eine Warnung zum Ende: Vermeiden Sie in jedem Fall die Nutzung von allgemeinen Mustern aus dem Internet, was beispielsweise die Auftragsdatenverarbeitungsverträge angeht oder das Verzeichnis der Verarbeitungstätigkeiten. Im Kontext der obigen Sanktionen gilt es, sich von Beginn an rechtssicher zu positionieren und nicht an zu allgemeinen, die Besonderheiten der eigenen Praxis nicht widerspiegelnden Mustern zu scheitern.

Fazit

Wer meint, den Datenschutz nach den gesetzlichen Neuerungen noch auf die „leichte Schulter“ nehmen zu können, irrt. Wer hingegen die Herausforderung annimmt und die notwendigen Umstrukturierungen vornimmt, kann sich aus der Masse der Praxen positiv hervorheben. Studien belegen, dass die Sensibilisierung der Patienten für ihre Rechte und auch das Interesse an Datensicherheit insgesamt zunehmen. Daher wird ein umfassendes Datenschutzkonzept in der Praxis künftig ein echtes Qualitätsmerkmal sein, das die Patienten wahrnehmen. Da der Datenschutz sicher keine „Eintagsfliege“ ist, sondern dauerhafte und dauerhaft kontrollierte Pflichten mit sich bringt, ist gut beraten, wer hier bei der Umsetzung der neuen Anforderungen von Beginn an rechtssicher vorgeht.

Näheres zum Autor des Fachbeitrages: RA Dr. Tobias Witte - Dr. Sebastian Berg


Neu: das ePaper der ZMK ist jetzt interaktiv
Banner ZMK 1 2 red Box

Lesen Sie die ZMK jetzt digital mit vielen interaktiven Funktionen. Das ePaper erhalten Sie durch Abonnieren unseres kostenlosen Newsletters.