Praxisführung


Die neue Datenschutzverordnung – Handlungsempfehlungen für den Zahnarzt

© Stockpics/fotolia
© Stockpics/fotolia

Am 25. Mai 2018 tritt die neue Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Gleichzeitig wird das alte durch das neue Bundesdatenschutzgesetz (BDSG) ersetzt. Für Zahnarztpraxen steht vor allem die Sicherheit der verarbeiteten Personendaten im Fokus. Diese müssen nach DSGVO und BDSG ab Mai 2018 besonders geschützt werden. Bei Nichtbeachtung oder Verstößen sieht die neue Rechtslage Bußgelder von bis zu 20 Millionen Euro vor. Der Autor des vorliegenden Artikels fasst die wichtigsten Neuerungen zusammen und gibt Handlungsempfehlungen für eine praxisnahe Umsetzung.

Zahnärztinnen und Zahnärzte sind es gewohnt, mit den sensiblen Gesundheitsdaten ihrer Patienten sorgsam umzugehen. Die gesetzlich bestehende Schweigepflicht verbietet es, ohne Einwilligung des Patienten oder ohne gesetzliche Rechtsrundlage Berufsgeheimnisse Dritten gegenüber zu offenbaren. Nach § 203 StGB macht sich ein Zahnarzt strafbar, wenn er ein fremdes Geheimnis, welches namentlich zum persönlichen Lebensbereich gehört und ihm in seiner Eigenschaft als Zahnarzt anvertraut worden ist, offenbart. Auch die Berufsordnung kennt in § 7 der Musterberufsordnung der Zahnärzte die Verschwiegenheitspflicht, wonach der Zahnarzt die Pflicht hat, über alles, was ihm in seiner Eigenschaft als Zahnarzt anvertraut worden und bekannt geworden ist (Berufsgeheimnisse), gegenüber Dritten Verschwiegenheit zu wahren. Auch hier bilden nur gesetzliche Vorschriften oder die Entbindung von der Schweigepflicht die Ausnahme.

Neben diesen Regelungen gilt das allgemeine Datenschutzrecht, welches den Umgang und den Schutz personenbezogener Daten regelt und zusätzlich zur zahnärztlichen Schweigepflicht beachtet werden muss. Das Datenschutzrecht greift noch weitergehende Daten auf, die in der Praxis verarbeitet werden. So sind hier auch Daten der Mitarbeiter oder Daten von sonstigen Personen oder Firmen umfasst, mit denen der Zahnarzt zusammenarbeitet. Das allgemeine Datenschutzrecht ist im Kern in den Datenschutzgesetzen der Länder und des Bundes geregelt. Es verwirklicht das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz (GG) bzw. das Recht auf informationelle Selbstbestimmung, welches das Bundesverfassungsgericht in seinem Volkszählungsurteil (BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209/83) entwickelt hat. Da allerdings nicht alle Fallgestaltungen ausreichend im allgemeinen Datenschutzrecht geregelt sind, finden sich in vielerlei Gesetzen spezifische Vorschriften, die den Datenschutz für den jeweiligen Rechtsbereich aufschlüsseln. Beispielhaft sei hier auf die Vorschriften im 10. Sozialgesetzbuch (SGB X) verwiesen, welche die Datenerhebung, -nutzung und -verarbeitung in der gesetzlichen Krankenversicherung regeln.

Das allgemeine Datenschutzrecht nimmt ab dem 25.05.2018 neue Gestalt an. Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union wird ab diesem Zeitpunkt in jedem Mitgliedsland der Europäischen Union unmittelbare Geltung erlangen, ohne dass es weiterer Umsetzungsakte bedarf. Dies ist rechtlich der Unterschied zu europäischen Richtlinien, die für die inhaltliche Geltung eine nationale Umsetzung in den Mitgliedsländern erfordern. Zudem wird die DSGVO von der nationalen Regelung im Bundesdatenschutzgesetz (BDSG) bzw. den speziellen Fachgesetzen ergänzt. Der vorliegende Beitrag wird aus dem Regelungswerk der DSGVO und dem neuen BDSG die für die Zahnarztpraxis relevanten Inhalte aufzeigen und den Schwerpunkt auf die praxisnahe Umsetzung legen.

Datenschutzrechtliche Grundsätze

Die DSGVO regelt den Umgang mit personenbezogenen Daten durch den Verantwortlichen, der über die Datenverarbeitung entscheidet, also in der Regel durch den Zahnarzt. Es muss sich um Daten von natürlichen Personen handeln, die mit den Daten identifizierbar sind. Die Verordnung spricht insofern von der betroffenen Person. In der Zahnarztpraxis sind dies jedenfalls die Daten der Patienten, aber auch die Daten der Mitarbeiter, die in der Praxis verarbeitet werden. Wenn Daten anonymisiert sind, findet das Datenschutzrecht keine Anwendung. Die Daten sind dann anonym, wenn die Zuordnung zum Betroffenen praktisch nicht mehr möglich ist, wenn die Identifikation also einen unverhältnismäßig großen Aufwand von Zeit, Kosten und Arbeitskraft bedeuten würde. Hiervon ist die im Vergleich einfache Pseudonymisierung zu unterscheiden, die nach der DSGVO noch als personenbezogen gilt. Hier wird der Name z.B. durch einen Code ersetzt, sodass die Identifikation nicht ohne diese zusätzliche Information vorgenommen werden kann.

Der Zahnarzt erhebt und verarbeitet in seiner Praxis sensible Gesundheitsdaten seiner Patienten, die auch in der DSGVO besonderen Schutz genießen. Im Rahmen der Behandlung ist das auch erforderlich und gilt genauso für die Abrechnung. Sofern Dritte, wie Privatverrechnungsstellen, eingeschaltet werden, muss die explizite Einwilligung des Patienten eingeholt werden. Das ist allerdings auch schon aus Gründen der zahnärztlichen Schweigepflicht Standard.

Das Datenschutzrecht begründet sich auf wichtige Grundsätze, die sich im Kern in allen Regeln der DSGVO wiederfinden: das Rechtmäßigkeitsprinzip, wonach die Einwilligung des Betroffenen oder eine gesetzliche Grundlage für die Datenverarbeitung erforderlich ist; das Zweckbindungsprinzip, wonach der Zweck eindeutig festgelegt sein muss; Datenminimierung, wonach der Umfang der Daten auf das für den Zweck notwendige Maß beschränkt sein muss, und das Transparenzgebot, wonach erkennbar sein muss, wie die Datenverarbeitung stattfindet. Weitere Grundsätze sind die Richtigkeit der Daten, die Speicherbegrenzung sowie Integrität und Vertraulichkeit (Art. 5 DSGVO). Der Datenschutz muss sich letztlich auch in den entsprechenden technischen Schutzvorkehrungen wiederfinden, die beispielsweise in einem adäquaten Schutz vor Datenverlust oder dem Schutz vor Angriffen von außen bei Zugang zum Internet gewährleistet sein müssen.

Aufklärung und Einwilligung

Wenn der Zahnarzt für die Datenverarbeitung keine gesetzliche Grundlage hat, muss er die Einwilligung des Patienten einholen, wobei der Patient die Einwilligung selbstverständlich freiwillig abgeben muss. Mit anderen Worten, die Einwilligung darf nicht von anderen Erklärungen oder Ähnlichem abhängig gemacht werden. Bespiele sind die schon erwähnten Privatverrechnungsstellen oder die Forschung. Der Patient muss vor der Einwilligung in der Datenverarbeitung entsprechend aufgeklärt werden. Er muss wissen, welche Daten erhoben werden, zu welchem Zweck diese wie verarbeitet werden und wer die Verarbeitung vornimmt. Nur allgemeine und umfassende Informationen werden in der Regel nicht ausreichen. Der Zahnarzt muss dies als Verantwortlicher im Zweifelsfall nachweisen können.

Die Einwilligung kann auf verschiedene Weise eingeholt werden. Sie kann schriftlich, in einfacher Textform oder auch mündlich erteilt werden. Auch kann sie jederzeit widerrufen werden. Da aber im Zweifel die Aufklärung und Einwilligung vom Zahnarzt nachgewiesen werden muss, empfiehlt sich die schriftliche Einholung der Erklärung. Auch können spezielle Vorschriften die schriftliche Einwilligung vorsehen. Im Zweifel sollte also der Einzelfall angesehen werden, ob Formvorschriften bestehen. Wenn der Zahnarzt mit vorgefertigten Bögen die Einwilligung einholen will, sollte er auf Folgendes achten: Wenn die Einwilligung mit anderen Erklärungen zusammen abgegeben werden soll, muss die Einwilligung, die den Datenschutz betrifft, von den übrigen Erklärungen unterscheidbar sein, wie beispielsweise durch eine optische Hervorhebung. Wenn der Zahnarzt die Lösung über ankreuzbare Kästchen wählt, muss der Patient das Kreuz selbst setzen, das Kästchen darf also nicht schon vorab angekreuzt sein.

Wenn es sich um Minderjährige handelt, finden wir in der DSGVO eine neue Altersgrenze von 16 Jahren, die sich jedoch auf Dienste der Informationsgesellschaft bezieht, nicht auf die Einwilligung zur Verarbeitung von Gesundheitsdaten. Bei der zahnärztlichen Behandlung kommt es für die Einwilligung in die Behandlung darauf an, ob der Patient in der Lage ist, Wesen und Tragweite der Behandlung einzusehen und seinen Willen danach auszurichten. Auch bei der Einwilligung in die Datenverarbeitung außerhalb der starren Grenze hängt es davon ab, ob er in der Lage ist, die Tragweite der datenschutzrechtlichen Einwilligung zu übersehen. Allerdings wird wohl auch hier bei einem Minderjährigen ab Vollendung des 16. Lebensjahres davon ausgegangen werden können, dass eine Vermutung für seine Einwilligungsfähigkeit spricht. Wenn dies nicht der Fall ist, sind die Sorgeberechtigten berufen, die Einwilligung für den Minderjährigen abzugeben.

Datenverarbeitung ohne explizite Einwilligung

Wenn die Daten im Rahmen der normalen Behandlung erhoben und verarbeitet werden, bedarf es keiner besonderen Einwilligung. Hier erlauben die Regelungen der DSGVO die Datenverarbeitung, wenn sie zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit der Beschäftigten, für die medizinische Diagnostik, für die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von dortigen Systemen und Diensten verarbeitet werden. Die Daten im Rahmen der üblichen zahnärztlichen Behandlung auf der Grundlage des zahnärztlichen Behandlungsvertrages sind also ohne Weiteres zu erheben. Auch das System der gesetzlichen Krankenversicherung hält Regelungen bereit, die es ohne explizite Zustimmung des betroffenen Patienten ermöglichen, Daten zu erheben und zu verarbeiten, in vielen Fällen auch, die Daten zu melden oder zu übermitteln. Zu denken ist hier an die Pflichten aus dem SGB V, das die Vorschriften über die gesetzliche Krankenversicherung enthält. Die Leistungsträger oder die Kassenzahnärztlichen Vereinigungen haben bestimmte Rechte, Daten auf gesetzlicher Grundlage einzusehen. Wenn der Zahnarzt seine eigenen Rechte wahren muss, wie beispielsweise Honorar geltend zu machen oder Haftungsansprüche abzuwehren, wird allgemein auch die Verarbeitung der Gesundheitsdaten der Patienten anerkannt. Das gilt auch für die hier betroffene zahnärztliche Schweigepflicht.

Patientenrechte

  • Der Patient kann die Löschung seiner Daten verlangen, wenn diese nicht mehr gebraucht werden.

  • Der Patient kann die Löschung seiner Daten verlangen, wenn diese nicht mehr gebraucht werden.
    © shutterstock
Mit der DSGVO wurden in Kapitel III auch besondere Rechte des Betroffenen eingeführt bzw. erweitert und verfeinert. Diese Rechte gilt es zu vergegenwärtigen, falls entsprechende Anfragen an den Zahnarzt herangetragen werden. Wegen des Transparenzgebotes hat der betroffene Patient weitreichende Informationsrechte hinsichtlich seiner gespeicherten Daten. Er muss informiert werden, welche Daten bei ihm direkt oder bei Dritten über ihn erhoben worden sind. Die Information kann in verschiedener Form geschehen; so ist es möglich, vorgefertigte Formulare auszuhändigen oder auch einen entsprechenden, deutlich erkennbaren Aushang in der Praxis zu nutzen. Der Patient kann in der Folge auch vom Zahnarzt verlangen, dass dieser ihn über die ihn betreffenden Daten informiert, die in der Praxis verarbeitet werden. Die Informationen müssen an den Patienten unverzüglich schriftlich oder ggf. mündlich und ohne Vergütung gegeben werden. Ausnahmen bestehen, wenn die Daten aufgrund von Aufbewahrungspflichten nicht gelöscht werden dürfen und die Erteilung der Auskunft unverhältnismäßig hohen Aufwand bedeuten würde. Auch ist es möglich, dass Geheimhaltungspflichten entgegenstehen oder Rechte Dritter durch die Offenbarung verletzt werden könnten. Dieses Recht fußt auf der Grundlage des Datenschutzrechts und ergänzt das Recht des Patienten auf Einsicht in seine Patientenunterlagen. Letzteres kann er aufgrund der Vorschriften zum Behandlungsvertrag nach § 630g BGB verlangen.

Wenn der Patient nach Einsicht feststellt, dass die Daten möglicherweise fehlerhaft sind, hat er das Recht, Berichtigung zu verlangen, und zwar unverzüglich und kostenfrei. Das gilt allerdings nur für Angaben, die prüfbar sind und sich nicht auf z.B. zahnärztliche Bewertungen beziehen. Auch kann der Patient die Löschung der Daten verlangen, wenn diese nicht mehr benötigt werden. Die allgemeine Aufbewahrungspflicht der zahnärztlichen Dokumentation ist hiervon nicht beeinträchtigt. Es soll an diese Stelle eine Einschränkung der Verarbeitung treten. Weitere Einschränkungen sollen aufgrund weiterer rechtlicher Verpflichtungen oder aufgrund von öffentlich-rechtlichen Vorschriften gegeben sein. Dasselbe gilt, wenn die Daten zur Abwehr möglicher Behandlungsfehlervorwürfe benötigt werden. Hier sollte aufgrund der langjährigen Verjährungsfrist für Ansprüche aus Delikt genau geprüft werden, ob diese noch über einen Zeitraum von 10 Jahren hinaus benötigt werden. Der Patient hat nunmehr auch das Recht, seine Daten unentgeltlich in einem strukturierten, gängigen und maschinenlesbaren Format mitnehmen zu dürfen. Es handelt sich hier um das Recht auf Datenübertragbarkeit. Das betrifft allerdings auch nur Daten, die der Patient selbst aufgrund eigener Einwilligung zur Verfügung gestellt hat.

Datenverarbeitung im Auftrag

Heute ist es üblich, eine Praxissoftware zu nutzen und mithilfe dieser die Praxis zu organisieren, die Abrechnung vorzunehmen und die Behandlung zu dokumentieren. Diese Software wird in der Regel von Dritten, also den einschlägigen Softwarehäusern, lizenziert und zur Verfügung gestellt. Hierzu gehören auch Service und (Fern-)Wartung. Auch ist es mitunter erforderlich, dass Daten extern bei der Migration auf andere Systeme oder bei der Löschung verarbeitet werden. Hierbei handelt es sich um Datenverarbeitung im Auftrag.

Neben der strafrechtlichen Komponente bedarf es hierzu einer datenschutzrechtlichen Befugnis (siehe insb. § 203 Abs. 3 S. 2 StGB mit der entsprechenden Neuerung). Um eine solche Auftragsdatenverarbeitung durchführen zu können, benötigt der Zahnarzt eine entsprechende Vereinbarung. Die DSGVO hält hier in Art. 28 ff. besondere Anforderungen vor. Der externe Dienstleister ist sorgfältig auszuwählen. Er muss die Daten nur im Rahmen der Weisung des Auftraggebers (Zahnarzt) verarbeiten dürfen. Er haftet gemeinsam mit dem Auftraggeber für die Einhaltung der Regeln. Der Auftraggeber muss den Auftragnehmer kontrollieren, was durch ein Zertifikat möglich ist.

Verzeichnis von Verarbeitungstätigkeiten

Der Zahnarzt ist datenschutzrechtlich die verantwortliche Person und muss in dieser Funktion ein Verzeichnis von Verarbeitungstätigkeiten führen. Ein solches Verzeichnis betrifft die automatisierten Verarbeitungsvorgänge. Nicht erfasst sind auch hier die handschriftlichen Aufzeichnungen und Notizen, wenn diese nicht im System gespeichert werden sollen. Für Zahnärzte gilt dies insbesondere, weil sie in ihrer Praxis besonders geschützte Gesundheitsdaten verarbeiten. Das Verzeichnis muss die in Art 30 DSGVO enthaltenen Angaben aufführen. Sofern vorhanden, könnten hier auch entsprechende Muster verwendet werden. So sind u.a. Namen und die Kontaktdaten des Verantwortlichen, Zweck der Verarbeitung, Beschreibung der Kategorien betroffener Personen und der personenbezogenen Daten aufzuführen.

Einige weitere Punkte finden sich zusätzlich in Art. 10 DSGVO. Die Erstellung des Verzeichnisses ist insofern von praktischer Bedeutung, als dass Verstöße gegen die Pflicht zur Führung mit erheblichen Geldbußen von bis zu 10 Millionen Euro oder von bis zu 2% des erzielten Gesamtjahresumsatzes des vorangegangen Geschäftsjahres sanktioniert werden können. Hierbei handelt es sich natürlich um Höchstfristen; dennoch ist aufgrund der Neuregelung noch keinerlei Spruchpraxis der Behörden bekannt. Es empfiehlt sich daher keinesfalls, hier im Moment unüberschaubare Risiken einzugehen.

Wenn die möglichen Folgen der Gesundheitsdatenverarbeitung wegen Art und Umfang der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Patienten nach sich ziehen können, muss nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung vorgenommen werden. Genannt werden die Verwendung von Cloud-Diensten oder umfangreiche systematische Videoüberwachung der Praxis. Für die Einschätzung des Umfangs sind die Zahl der Patienten, die verarbeitete Datenmenge, die Dauer der Verarbeitung und die Reichweite im Sinne von regional, national oder supranational entscheidend. Was das Risiko betrifft, sollen die nachfolgenden Szenarien eine Annäherung an den Begriff erleichtern, wenn die Datenverarbeitung hierzu führt: Diskriminierung, finanzieller Verlust, Rufschädigung, Verlust der Vertraulichkeit des Patientengeheimnisses (Schweigepflicht), Hinderung der Kontrolle über die eigenen Daten, Erstellung von Profilen durch Analysen und Prognosen (genetisch), Betroffenheit besonders vulnerabler Gruppen (z.B. Kinder oder Einwilligungsunfähige), sensible Daten (Sexualität, Genetik) oder die Verarbeitung einer großen Menge von personenbezogenen Daten. Es wird derzeit angenommen, dass eine Folgenabschätzung dann vorgenommen werden soll, wenn mindestens zwei Kriterien erfüllt sind.

Datenschutzbeauftragter

Ab einer gewissen Grenze müssen auch Zahnärzte einen Datenschutzbeauftragten benennen. Seine Aufgabe ist die interne Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften. Der wohl bedeutendste Grund für die Pflicht zur Benennung eines Datenschutzbeauftragten ist die Anzahl von mindestens zehn Personen, die in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die Personen müssen also tatsächlich regelhaft damit befasst sein. Es muss sich darüber hinaus um Mitarbeiter handeln. Der Zahnarzt als Inhaber der Praxis bzw. im Falle von Berufsausübungsgemeinschaften seine Partner sind nicht mitzuzählen. Der Datenschutzbeauftragte ist der Aufsichtsbehörde mitzuteilen und muss ggf. auch auf der Homepage benannt werden. Wenn in der Praxis Verletzungen des Datenschutzes auftreten, wie Verlust von Daten(-trägern) oder Hackerangriffe von außen, muss dies der Aufsichtsbehörde gemeldet werden. Die Frist hierfür beträgt 72 Stunden.

Sanktionen

Die DSGVO verfolgt das Ziel eines effektiven Schutzes und hält auch rechtliche Möglichkeiten der zuständigen Behörden bereit, dies durchzusetzen. Hierzu gehört namentlich auch die Möglichkeit, die Einhaltung vor Ort zu prüfen oder Bußgelder zu verhängen, die, wie oben schon ausgeführt, ein drastisches Ausmaß von bis zu 20 Millionen Euro oder 4% des gesamten Vorjahresumsatzes annehmen können. Die Prüfungsmöglichkeiten vor Ort dürfen bei Berufsgeheimnisträgern wie Zahnärzten allerdings nicht dazu führen, dass die Schweigepflicht gebrochen wird. Prüfungen der übrigen datenschutzrechtlichen Anforderungen sind allerdings durchaus möglich.

Fazit

Die Regeln der DSGVO sind zwar in einigen Teilen etwas strenger als die bisherigen Datenschutzvorschriften. Auch sind die Rechte der Patienten deutlich erweitert worden. Dennoch dürfte sich auch der Zahnarzt als, im Vergleich zu den riesigen, internationalen und hauptsächlich datenverarbeitenden Unternehmen, kleiner Datenverarbeiter mit einigen Vorkehrungen gut auf die neue Rechtslage einstellen können. Es empfiehlt sich, u.a. die oben ausgeführten wesentlichen Rechte und Pflichten zu vergegenwärtigen und den „Ordner Datenschutz“ in die Praxisorganisation zu integrieren. Einmal grundlegend richtig ausgerichtet, wird es in Zukunft einfacher sein, die auf den ersten Blick komplexen und herausfordernden sowie zeitintensiven Hürden zu bewältigen. 

Näheres zum Autor des Fachbeitrages: Dr. jur. Oliver Pramann


Neu: das ePaper der ZMK ist jetzt interaktiv
Banner ZMK 1 2 red Box

Lesen Sie die ZMK jetzt digital mit vielen interaktiven Funktionen. Das ePaper erhalten Sie durch Abonnieren unseres kostenlosen Newsletters.