Nicht jede Zahnarztpraxis muss einen Datenschutzbeauftragten bestellen. Sind (bislang mindestens zehn und demnächst) mindestens 20 Personen ständig mit der automatisierten Datenverarbeitung beschäftigt, muss die Praxis einen betrieblichen Datenschutzbeauftragten haben. In der Ermittlung der Personenzahl ist der (oder die mehreren) Praxisinhaber mit einzurechnen. Ebenso ist die Art der Beschäftigung (Zahnarzt oder ZFA, Voll- oder Teilzeit, Auszubildende o. a.) unerheblich. Wichtig ist auch, dass die automatisierte Verarbeitung personenbezogener Daten nicht Hauptaufgabe der beschäftigten Person sein muss, um „ständig“ zur Personenanzahl hinzugezählt werden zu müssen.

Die Datenschutzbehörde kann leicht prüfen, ob eine Praxis einen Datenschutzbeauftragten besitzt. Jede entsprechende Praxis sollte daher bis zum 25. Mai 2018 einen Datenschutzbeauftragten benennen und der in Thüringen zuständigen Stelle mitteilen:

    Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
    Postfach 900455
    99107 Erfurt
    www.tlfdi.de

Die Kontaktdaten des Datenschutzbeauftragten, mindestens die Adresse, Telefonnummer und E-Mail – nicht aber der Name – müssen sowohl innerbetrieblich als auch außerbetrieblich (beispielsweise durch die Angabe auf der Praxis-Webseite) veröffentlicht werden. Gegenüber der Datenschutzbehörde als Aufsichtsbehörde sind die Kontaktdaten einschließlich des Namens des Datenschutzbeauftragten mitzuteilen.

Die Tätigkeit des Datenschutzbeauftragten darf in keinem Interessenkonflikt mit der eigentlichen Tätigkeit in der Zahnarztpraxis stehen. Das führt dazu, dass weder der Praxisinhaber noch der IT-Verantwortliche der Praxis gleichzeitig Datenschutzbeauftragte sein können.

Optimal ist die Bestellung eines angestellten Zahnarztes oder eines anderen Mitarbeiters mit einer gewissen IT-Affinität. Auch die Benennung eines externen Datenschutzbeauftragten ist möglich. Fällt die Auswahl schwer, sollte man beachten, dass ein schwach geeigneter Datenschutzbeauftragter allemal besser ist als kein Datenschutzbeauftragter.

Der Datenschutzbeauftragte ist der Praxisleitung direkt unterstellt, in der Wahrnehmung seiner gesetzlichen Aufgaben aber nicht weisungsgebunden. Er überwacht die Prozesse der Datenverarbeitung in der Praxis, unterrichtet und berät die Praxisleitung, wirkt auf die Einhaltung des Datenschutzrechts hin und sensibilisiert die an den Verarbeitungsvorgängen beteiligten Zahnärzte und Mitarbeiter. Gibt es eine Beschwerde, ist der Datenschutzbeauftragte die erste Anlaufstelle der Datenschutzbehörde in der Praxis

Zugleich können diese Verzeichnisse der Datenverarbeitungstätigkeiten ein Ausgangspunkt für die Suche nach Schwachstellen im Datenschutz der Zahnarztpraxis sein. Dazu zählen vor allem Datensparsamkeit:

Ist die Vorhaltung von Daten und deren Verarbeitung tatsächlich notwendig?

• Datenrichtigkeit: Ist gewährleistet, dass Patientendaten stets auf dem neuesten Stand sind, Fehler berichtigt und unrichtige Daten gelöscht werden?
• Rechtmäßigkeit: Ist die Datenverarbeitung überhaupt erlaubt? Dient die Datenverarbeitung der Erfüllung des Behandlungsvertrages, der Gesundheitsvorsorge oder dem Schutz der öffentlichen Gesundheit? Gibt es Einwilligungen der Patienten?
• Löschfristen: Werden Daten gelöscht, sobald sie nicht mehr benötigt werden? Gibt es eine Löschroutine, die eine rechtzeitige Löschung auch unter Berücksichtigung anderer Löschfristen gewährleistet?
• Zugriffsrechte: Haben Mitarbeiter ausschließlich Zugriff auf jene Daten, die sie für ihre jeweiligen Aufgaben benötigen?
• Zugangskontrolle: Sind die Rechner in den Praxisräumen ausreichend gegen den Zugang durch Unbefugte geschützt? Gibt es eine Zugangssicherung und Passwörter für die Rechner, Tablets und Smartphones der Praxis? Gibt es abschließbare Praxisräume und Aktenschränke?
• Schutz gegen Hacker und Schadsoftware: Gibt es eine Firewall? Sind aktuelle Virenscanner installiert?

Am Ende dieser Analyse steht ein Maßnahmenplan mit dem Ziel der möglichst umfassenden Datenschutzkonformität aller Verfahren.

Mit technischen und organisatorischen Maßnahmen muss die Praxis die Sicherheit der verarbeiteten Personendaten gewährleisten. Folgende Maßnahmen sind vorgeschrieben:

• Verschlüsselung: Soweit möglich, sollen personenbezogene Daten verschlüsselt werden. Dabei empfiehlt sich beispielsweise die Verschlüsselung von E-Mails mit Verschlüsselungsprogrammen.
• Pseudonymisierung: Wenn „Klarnamen“ nicht gebraucht werden, sind diese Namen unkenntlich zu machen und durch Pseudonyme zu ersetzen.
• Stabilität: Die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme ist auf Dauer sicherzustellen. Hierzu bedarf es einer fachkundigen Einschätzung eines IT-Fachdienstleisters oder eines fachkundigen Mitarbeiters.
• Wiederherstellbarkeit: Verarbeitungsprozesse müssen durch eine fachgerechte Datensicherung gegen Datenverlust geschützt werden. Auch hierzu bedarf es der Unterstützung durch IT-Fachleute.
• Regelmäßige Überprüfung: Eine regelmäßige Routineprüfung ist für die Datensicherheit gleichfalls vorgeschrieben.

Wie in anderen Lebensbereichen gibt es auch beim Datenschutz keine hundertprozentige Sicherheit. Dementsprechend schreibt das neue Datenschutzrecht keinen „optimalen Schutz“ vor, sondern ein „angemessenes Schutzniveau“, das anhand der bestehenden Risiken und des Stands der Technik zu bestimmen ist. Investitionen, die außer Verhältnis zur Größe der Praxis stehen, fordert die DSGVO nicht.

Dokumentationspflichten werden im neuen Recht großgeschrieben. Es sollte daher ein Papier geben, das die fortlaufenden Bemühungen der Praxis um „technische und organisatorische Maßnahmen“ der Datensicherheit und deren Durchführung belegt.

Bei der Datenverarbeitung bedienen sich Zahnarztpraxen der Unterstützung durch externe Dienstleister aller Art. Dies können IT-Dienstleister sein, Dentallabore, Abrechnungs- oder Buchhaltungsbüros oder auch Cloud-Dienstleister für die Textverarbeitung, Terminverwaltung oder Spracherkennung.

All diese Arbeiten wurden bereits nach bisherigem Recht als Auftragsdatenverarbeitung angesehen, für die zwischen der Praxis und jedem Dienstleister schriftliche Verträge notwendig waren. Auch nach dem neuem Datenschutzrecht bleibt das so, allerdings müssen bestehende Verträge an das neue Recht angepasst werden. Selbstverständlich müssen dabei auch weiterhin zusätzliche rechtliche Anforderungen eingehalten werden, die sich zum Beispiel aus dem jeweiligen Berufsrecht ergeben. Sofern noch keine Verträge existieren, sollte jede Praxis diese Vertragsschlüsse vor dem 25. Mai 2018 nachholen.

Die Informationspflichten zum Datenschutz sind nach neuem Recht wesentlich umfangreicher als bisher. Zugleich verfügen viele Zahnarztpraxen über eine eigene Webseite oder eine Präsenz in sozialen Medien. Terminerinnerungen per SMS oder Patienten-Newsletter gehören zunehmend zum Serviceangebot. Praxen sollten daher in Abstimmung mit ihrem Webmaster bis spätestens zum 25. Mai 2018 prüfen, ob auf ihrer Internet- und/oder Facebook-Seite eine gültige Datenschutzerklärung mit allen nötigen Angaben veröffentlicht ist. Zudem empfehlen sich allgemeine Hinweise zur Datenverarbeitung, die jeder Patient erhalten und unterschreiben sollte.

Die neuen Informationspflichten umfassen unter anderem:

• Namen und die Kontaktdaten der Praxis
• Kontaktdaten des betrieblichen Datenschutzbeauftragten
• Art der verarbeiteten Daten
• Zwecke der Datenverarbeitung
• Art der Personen, deren Daten verarbeitet werden (Patienten, Beschäftigte oder Lieferanten)
• mögliche Empfänger der Daten, an die die Daten übermittelt werden (zum Beispiel Krankenkassen und Verrechnungsstellen)
• Übermittlung von Daten in ein Land außerhalb der EU (zum Beispiel bei der Nutzung von E-Mail-Diensten oder Cloud-Diensten)
• Löschfristen
• datenschutzrechtlichen Ansprüche des Patienten (Auskunft, Berichtigung, Löschung, Sperrung, Widerspruchsrecht, Datenübertragbarkeit)
• Recht des Patienten auf Widerruf einer Einwilligung
• Recht des Patienten auf Beschwerde bei einer Datenschutzbehörde.

Zusätzlich zum allgemeinen Informationsanspruch stehen den von der Datenverarbeitung betroffenen Personen weitere Rechte zu. Eine Reaktion seitens der Praxis muss innerhalb der Frist eines Monats erfolgen, da ansonsten Bußgelder drohen können. Daher sollten je nach Organisation und Struktur der Praxis folgende Betroffenenrechte rechtzeitig gewährleistet werden:

• Information über Datenerhebung bei Dritten
• Auskunftsanspruch
• Recht auf Datenberichtigung
• Recht auf Datenlöschung
• Recht auf Einschränkung der Datenverarbeitung
• Recht auf Datenübertragung

Die benannten Rechte eines Patienten auf Berichtigung, Löschung, Einschränkung der Verarbeitung bzw. Widerspruch gegen die Verarbeitung patientenbezogener Daten gelten nicht uneingeschränkt. Insbesondere Behandlungsdaten sind aufgrund der gesetzlichen Dokumentationspflicht des Zahnarztes von diesen Rechten ausgeschlossen.

In der Praxis sollte es zudem klare Regeln zum Verfahren geben, wenn beispielsweise ein (früherer) Patient sein gesetzliches Recht auf „Datenübertragbarkeit“ geltend macht und die Herausgabe aller Daten verlangt, die die Praxis über ihn gespeichert hat.

Jeder Datenschutzverstoß muss in Zukunft innerhalb von maximal 72 Stunden bei der zuständigen Datenschutzbehörde gemeldet werden. Auch wenn es für Ärzte einige Ausnahmen von der Meldepflicht gibt, gilt die Meldepflicht grundsätzlich auch für Zahnarztpraxen.

Verliert ein Mitarbeiter beispielsweise sein Dienst-Handy und befinden sich auf dem Handy auch Patientendaten, kann dies zu einer Meldepflicht führen. Bereits der bloße Verstoß gegen die Meldepflicht kann ein Bußgeld nach sich ziehen. Daher muss in jedem Fall gewährleistet werden, dass die Praxisleitung oder der Datenschutzbeauftragte zeitnah von jeder „Datenpanne“ erfahren.