„Es muss nicht gleich Fort Knox sein“
Die Datenschutz-Grundverordnung (DSGVO) stellt viele Zahnarztpraxen vor große Herausforderungen. Wer sich absichern will, sollte gewisse Aspekte beachten, um kein leichtes Opfer für Anschuldigungen verärgerter Patienten oder Ex-Mitarbeiter zu werden.
Wann immer mit personenbezogenen Daten umgegangen wird, greift die DSGVO. Das betrifft die Erhebung, die Speicherung, die Verarbeitung, den Zugriff und auch die Löschung von Daten. Die wichtigsten Punkte im täglichen Praxisbetrieb sind die Sicherheit der Daten, die Informationspflichten der Praxis gegenüber Patienten und Mitarbeitern sowie deren Betroffenenrechte.
Artikel 13 der DSGVO schreibt vor, dass allen Patienten bei der ersten Aufnahme von Daten eine Aufklärung über deren Erhebung, Speicherung, Verwendung etc. vorgelegt werden muss. Mit einem Plakat an der Praxistheke oder einem Aushang im Wartezimmer kann die Praxis die Informierung des Patienten nachweisen. Nicht nur die Art und Weise, sondern auch der Zeitpunkt der Informierung des Patienten spielt eine Rolle. Daher sollte man eine möglichst elegante Lösung wählen. Wenn man den Patienten zum Beispiel vor einer Schmerzbehandlung unterschreiben lässt, kann die Freiwilligkeit der Unterschrift im Nachgang angezweifelt werden. Denn der Patient würde in dieser Situation unter Druck wohl alles unterschreiben, damit ihm geholfen wird. Lässt man das Informationsblatt nach erfolgter Behandlung unterzeichnen, erleichtert dies die Argumentation, dass die Einwilligung freiwillig erfolgt ist.
DSGVO gilt auch für Mitarbeiter
Die DSGVO betrifft allerdings nicht nur die Daten der Patienten, sondern auch die Daten der Mitarbeiter. So kann der Datenschutz problematisch werden, wenn es zu Auseinandersetzungen kommt. Sollten die Aufsichtsbehörden einen Hinweis auf einen Verstoß gegen die DSGVO von einem gekündigten Mitarbeiter oder einem verärgerten Patienten erhalten, sind sie verpflichtet, diesem Hinweis nachzugehen.
Jeder Praxisinhaber sollte eine Mauer um die eigene Praxis bauen, die nicht jeder sofort überspringen kann. Es geht nicht darum, aus dem eigenen Unternehmen ein Fort Knox zu machen. Jedoch sollte ein gewisses Mindestmaß an Schutz geschaffen werden, um Gefahren abzuwenden.
Ein Beispiel sind eingehende Stellenbewerbungen: Diese sollten ausschließlich über eine speziell dafür eingerichtete Mailadresse verarbeitet werden, zum Beispiel „bewerbungen@praxis-xy.de“. So stellt man sicher, dass keine Vermengung mit den sonstigen Praxisdaten vorkommt. Zudem sollte bei diesem E-Mail-Konto eine automatische Antwort eingerichtet werden, die die in Artikel 13 DSGVO geforderte Informierung direkt an den Absender der Bewerbungen schickt. So kann die Praxis lückenlos beweisen, dass ein Bewerber die entsprechende Information erhalten hat. Der Bewerber wird darüber informiert, dass seine Daten aufgenommen wurden und für die Zwecke der Bewerbung sowie gegebenenfalls der Aufnahme und Durchführung eines Arbeitsverhältnisses verwendet werden.
Wichtige Kriterien für den Online-Bereich
Ähnlich sollte man mit Bestellungen verfahren. Diese sollten über eine gesonderte Adresse wie „bestellungen@praxis-xy.de“ abgewickelt werden. So sieht der Bearbeiter bzw. Prüfer nicht alle Patientendaten, die über die reguläre Praxisadresse kommuniziert werden. Im E-Mail-Archiv sollten zudem alle Mails, die Bestellungen betreffen, in einem eigens dafür angelegten, separaten Ordner aufbewahrt werden.
Auch die Praxishomepage kann zum Streitpunkt werden. Möchte der Praxisinhaber sein Team auf der Homepage vorstellen, sollte er im Vorfeld das Einverständnis dafür einholen, dass die Fotos der Mitarbeiter im Internet veröffentlicht werden dürfen. Doch selbst wenn das geschieht, ist man nicht 100-prozentig abgesichert. Wenn der Arbeitnehmer zu einem späteren Zeitpunkt trotz der Einwilligung erklärt, dass ihm nicht bewusst war, dass man das Foto auch über Suchmaschinen wie Google und Co. weltweit finden und abrufen kann, wird ein Richter das mit hoher Wahrscheinlichkeit als berechtigten Einwand werten. Somit würde einem Anspruch auf Schadenersatz stattgegeben.