Datenschutz

Keine Panik vor der DSGVO

Am 25. Mai 2018 ist es so weit: Die Datenschutz-Grundverordnung tritt mit voller Wirksamkeit in Kraft. Welche neuen Pflichten dann auf jede Zahnarztpraxis zukommen, hat RA Dr. Robert Kazemi in einem Webinar der DGI, APW und des Dental Online College zusammengefasst.


Datenschutzgrundverordnung

Am 25. Mai 2018 tritt sie in Kraft: Die Datenschutz-Grundverordnung der EU. © mimius/stock.adobe.com


Am 25. Mai 2018 ist es so weit und die neue Datenschutz-Grundverordnung (DSGVO) ist die geltende Gesetzgebung in Bezug auf den Datenschutz. Doch eigentlich ist die DSGVO bereits am 24. Mai 2016 in Kraft getreten – ihre Wirksamkeit entfaltet sie jedoch erst in diesem Jahr. Die Übergangsfrist von zwei Jahren sollte zur Vorbereitung dienen; doch nur die wenigsten haben sie genutzt. Vielen war diese Neuerung nicht frühzeitig bekannt und andere waren sich des Ausmaßes der neuen Pflichten nicht bewusst. Der Aufruhr ist zurzeit dementsprechend groß.

Die DSGVO ersetzt die bisher geltende Richtlinie zum Datenschutz der Europäischen Union und soll den Datenschutz in Europa vereinheitlichen. In seinem Webinar verdeutlicht Kazemi, dass sie die gleiche Wirkung wie ein deutsches Gesetz hat. Kazemi erläutert, welche Neuheiten mit ihr einhergehen neben der Forderung, einen nach aktuellem Stand der Technik angemessenen Datenschutz zu betreiben. Die DSGVO regelt den Schutz personenbezogener Daten – also aller Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählt auch die Patientenakte, die mit einem Aktenzeichen versehen und somit einer Person direkt zuzuordnen ist. Objektive und subjektive Befundungen zählen ebenfalls zu diesen personenbezogenen Daten.

Besondere Regelungen gelten bei Daten, die der Gesetzgeber unter einen speziellen Schutz stellt, sogenannte sensible oder sensitive Daten. Dazu zählen Gesundheitsdaten und demnach auch Daten, die ein Zahnarzt über seinen Patienten sammelt. Der Begriff der Gesundheitsdaten ist sehr breit gefächert und umfasst alle Informationen, die die körperliche oder psychische Gesundheit betreffen. Kazemi erläutert, dass die Patientenakte daher als Gesundheitsdatenspeicher zu sehen ist, der aufgrund der Kategorie „sensible Daten“ besonderen Anforderungen unterliegt.

Innerhalb der DSGVO wird der Bereich der Verarbeitung dieser Daten geregelt. Der Begriff der Verarbeitung wird unter anderem beschrieben mit erheben, erfassen, ordnen, speichern, verbreiten oder auch löschen von Daten. In all diesen Fällen greift die DSGVO. Wichtig zu beachten ist, dass sich die Verarbeitung von Daten nicht nur auf Patientendaten erstreckt, sondern auch auf die Daten von Mitarbeitern: Wer saß bei welchem Patienten mit am Stuhl oder hat eine PZR durchgeführt?

Rechtmässigkeit und Transparenz

Doch die Daten von Personen sind nicht in Gänze geschützt, sondern unterliegen den Grundsätzen der Rechtmäßigkeit und Transparenz. Demnach darf man die Daten von Personen verarbeiten, wenn diese Verarbeitung rechtmäßig erfolgt. In der Regel ist dies über eine Erklärung der Betroffenen zur Einwilligung abgesichert. In manchen Fällen erlaubt der Gesetzgeber jedoch auch eine Verarbeitung der Daten ohne Einwilligung. Dies ist dann der Fall, wenn man seinen zahnärztlichen Behandlungsvertrag erfüllen möchte. Der Zahnarzt muss sich nicht nur an die DSGVO halten, sondern auch an die zahnärztliche Dokumentationspflicht und die Verarbeitung zum Zwecke der Gesundheitsversorgung oder für die medizinische Diagnostik. Somit ist die Ausübung des zahnärztlichen Berufs eine solche Ausnahme, bei der Daten ohne spezifische Einwilligung gesammelt werden dürfen.

Diese Ausnahmen beziehen sich jedoch nur auf absolut notwendige Daten. Kazemi nennt speziell den Anamnesebogen. Die Frage, die man sich stellen sollte: Brauche ich die Daten wirklich für die Behandlung? Erhebungen von Arbeitgeberdaten oder „zum Weg in die Praxis“ sind nicht erforderlich für die zahnärztliche Behandlung und müssen als freiwillige Informationen gekennzeichnet werden. Zudem muss die Transparenz der Verarbeitung der Daten gegeben sein: Die Person muss wissen, dass ihre Daten bearbeitet werden und unter welchen Bedingungen dies geschieht. Auch dieser Grundsatz betrifft jeden verantwortlichen Zahnarzt und verpflichtet ihn zur umfassenden Information gegenüber betroffenen Personen – den Patienten. „Kommt ein neuer Patient in die Praxis und man legt eine Patientenakte an, gilt ab diesem Zeitpunkt die Monatsfrist“, erläutert Kazemi. Die Monatsfrist setzt einen vierwöchigen Zeitraum fest, in dem man der Informationspflicht nachkommen kann und den Patienten darüber informiert, welche Daten man für welchen Zweck verarbeitet. Das gilt jedoch nur für neue Patienten und nicht für Bestandspatienten (Art. 13 DSGVO). Letzteren muss nur auf Nachfrage Auskunft erteilt werden. Die Informationspflicht erstreckt sich auch auf die Website, insbesondere, wenn es dort eine Möglichkeit zur Onlineterminbuchung gibt oder ein Kontaktformular. Eine Überarbeitung der Datenschutzinformationen sei da notwendig.


DSGVO Zahnarztpraxis


Ein kostenfreies Webinar zur DSGVO finden Sie im Dental Online College.


Wer ist verantwortlich?

Eine der wichtigsten Fragen, die sich in diesem Zusammenhang stellen: Wer ist verantwortlich und muss sich um die Einhaltung der Vorgaben der DSGVO kümmern? „Die natürliche oder juristische Person, Behörde, Einrichtung oder Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 4 Nr. 7 DSGVO). Im Bereich zahnärztlicher Praxen ist die Verantwortung wie folgt verteilt:

  • Einzelzahnarztpraxis: der Zahnarzt
  • Berufsausübungsgemeinschaft: die Gesellschaft (GbR, PartG)
  • Medizinisches Versorgungszentrum: die MVZ-Trägergesellschaft
  • Angestellter Zahnarzt: der anstellende Zahnarzt oder die anstellende Gesellschaft
  • Praxisgemeinschaft: die einzelne Zahnarztpraxis und die Gemeinschaft; es liegt eine sogenannte Gemeinsame Verantwortung vor (Art. 26 DSGVO)

Wichtig sei, eine schriftliche Vereinbarung darüber zu verfassen, wer welche Verpflichtungen gemäß der DSGVO erfüllen muss. „Liegt eine solche Vereinbarung nicht vor, droht ein Bußgeld von bis zu zehn Millionen Euro oder zwei Prozent des Umsatzes“, warnt Kazemi. Er rät, diese Vereinbarung nicht in den Vertrag der Praxisgemeinschaft zu integrieren, da sie auf Nachfrage Patienten zur Verfügung gestellt werden muss.

Mit der neuen Datenschutz-Grundverordnung gehen noch viele weitere Neuheiten einher. Die DSGVO sieht auch einen Datenschutzbeauftragten vor, jedoch nicht überall. Hierüber informiert die Bundeszahnärztekammer in einem speziell für die DSGVO neu aufgelegten Merkblatt. Dort wird beschrieben, dass erst ab einer Mitarbeiterzahl von zehn Personen, die regelmäßig Daten verarbeiten, muss ein Datenschutzbeauftragter oder Beauftragte festgelegt werden. Ob dies auch der verantwortliche Zahnarzt selbst sein kann, steht noch zur Debatte.