Diese Seite verwendet Cookies. Nährere Informationen finden Sie in unserer Datenschutzerklärung.
VDDS – Verband Deutscher Dentalsoftware Unternehmen
Sprache:
deutsch englisch
Login für Mitglieder

Datenschutz in der Zahnarztpraxis und im zahntechnischen Labor

Mit Einführung der Europäischen Datenschutzgrundverordnung (EU-DSGVO) und des neuen Bundesdatenschutzgesetztes (BDSG neu) am 25. Mai 2018 haben Praxis- und Laborinhaber im Vorfeld einige wichtige Dinge zu beachten.

Handlungsempfehlungen des VDDS

Die Verarbeitung von personenbezogenen Daten ist nur erlaubt, wenn die schriftliche Einwilligung des Betroffenen vorliegt oder eine andere Rechtsgrundlage zur Verfügung steht.

Im Fall einer Zahnarztpraxis ist die Rechtsgrundlage in der Regel der Behandlungsvertrag, der mit dem Patienten geschlossen wird. Die zur Begründung, Durchführung und Beendigung des Vertrags notwendigen Daten dürfen verarbeitet werden.

Dazu gehören in der Zahnarztpraxis z.B. Name, Anschrift, Versicherungsnummer des Patienten, die ärztliche Dokumentation von Anamnese und Behandlung, Arztbriefe, Laborberichte.

Soweit zusätzliche Dienste – wie z.B. ein Recall-Service – angeboten werden, ist die Einwilligung des Betroffenen einzuholen. Dies gilt auch für die Weitergabe der Daten von Privatpatienten an eine private Verrechnungsstelle oder an ein Rechenzentrum. Auch die teilweise praktizierte Bonitäts-überprüfung von potentiellen Privatpatienten mittels Auskunfteien wie der Schufa ist nur mit der Einwilligung der Betroffenen zulässig.

Die Einwilligung muss nicht zwingend schriftlich eingeholt werden. Im Zweifel muss der Arzt allerdings nachweisen, dass die Einwilligung gegeben wurde. Dazu eignet sich ein unterschriebenes Formular oder ein entsprechender Eintrag in der Praxis-EDV.

Patientendaten dürfen nur unter folgenden Voraussetzungen weitergegeben werden:

  1. Der Patient ist einverstanden (schriftliche Einverständniserklärung).
  2. Das Einverständnis des Patienten kann vorausgesetzt werden (Überweisung zum Zwecke der Mit- und Nachbehandlung).
  3. Die Übermittlung ist gesetzlich vorgeschrieben.

Letzteres ist zum Beispiel der Fall zum Zwecke

  • der Abrechnung (§295 SGB V)
  • der Übermittlung an die Krankenkasse
  • der Wirtschaftlichkeitsprüfung (§§296, 297 SGB V)
  • der Qualitätssicherung (§298 SGB V)
  • der Arbeitsunfähigkeitsbescheinigung (§284 i.V. m. §295 SGB V)
  • der Übermittlung an den Medizinischen Dienst (§§ 276, 277 SGB V)

Die Internetseite(n) der Praxis / des Labors benötigen eine Datenschutzerklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. Sie sollte, wie auch das Impressum, von jeder Seite aus gut erreichbar sein. Die Empfehlung ist daher, die Datenschutzerklärung neben dem Impressum im Kopf oder Fuß der Seiten zu platzieren. Ohne rechtskonformes Impressum und Datenschutzerklärung drohen Abmahnkosten.

Praxiswebseiten, die unter http:// erreichbar sind, verfügen nicht über ein anerkanntes Verschlüsselungsverfahren (z.B. TLS) und können daher bei der Übertragung von persönlichen Daten keinen ausreichenden Schutz garantieren. Für eine einfache Visitenkarte der Praxis ist dies ausreichend. Ist jedoch auf der Homepage ein Kontaktformular vorhanden, muss die Webseite über ein SSL - Zertifikat abgesichert werden. Die Domain ist ab dann unter https:// aufrufbar und die Übertragung der Daten erfolgt über ein anerkanntes Verschlüsselungsverfahren.

Damit Bewerber und Patienten die Möglichkeit haben, Ihnen persönliche und sensible Daten (z.B. Bewerbungsunterlagen, ausgefüllte Anamnesebögen, etc.) auch per E-Mail zu übersenden, empfiehlt es sich, eine entsprechende Möglichkeit einzurichten. Dies ist z.B. möglich, indem Sie E-Mails mittels PGP verschlüsseln und hierzu auf Ihrer Homepage den so genannten Public Key veröffentlichen und darauf aufmerksam machen. Alternativ können Sie auch darum bitten, sensible und persönliche Daten nur auf dem Postweg zu übersenden.

Vor Begründung eines Arbeitsverhältnisses, während dessen und nach Ende des Arbeitsverhältnisses werden durch den Datenschutz unterschiedliche Anforderungen an den Arbeitgeber gestellt. Hier sollten Sie sich rechtzeitig fachkundigen Rat einholen.

Prinzipiell sollte man sich im Klaren sein, dass Mitarbeiter ein Informations- und Auskunftsrecht haben und diese über den jeweiligen konkreten Zweck der Datenverarbeitung zu informieren sind. Sie sollten sich von Ihren Mitarbeitern schriftliche Einwilligungen für die Datenverarbeitung einholen. Dabei ist darauf zu achten, dass ein Hinweis auf Freiwilligkeit und Widerrufsrecht enthalten ist.

Beachten Sie auch, dass das Einstellen von Arbeitnehmerdaten im Internet (z.B. Fotos auf Webseite integrieren oder Geburtstagsglückwünsche auf Facebook posten) ohne entsprechende schriftliche Einwilligung des Betroffenen datenschutzrechtlich bedenklich und abmahnfähig ist.

Da es sich bei Gesundheitsdaten nach § 3 Abs. 9 BDSG um sensible Daten handelt und man davon ausgehen kann, dass jeder Arzt in seiner Praxis regelmäßig persönliche Daten verarbeitet, wird vermutlich jede Praxis ein Verzeichnis der Verarbeitungstätigkeiten anlegen müssen. Im Prüffall ist dieses den Behörden vorzulegen.

Das Verzeichnis muss u.a. folgende Informationen beinhalten:

  • Verarbeitungstätigkeit,
  • Verarbeitete Daten,
  • Rechtliche Grundlage,Sicherungsmaßnahmen,
  • verantwortliche Person bzw. Mitarbeiter,
  • Kontaktdaten von Verantwortlichen ggf. des Datenschutzbeauftragten

Typische Verarbeitungstätigkeiten sind:

  • Lohn- und Gehalts -und sonstige Entgeltabrechnung
  • Zeiterfassung
  • Dokumenten- und Datenträgerentsorgung
  • Erfüllung sozialversicherungsrechtlicher und steuerrechtlicher Verpflichtungen
  • Betrieb einer Webseite ggf. mit Online-Terminbuchungsoption
  • Verarbeitung von Patientendaten zur Abrechnung
  • Verarbeitung vom Patientendaten zur Durchführung zahnärztlicher Behandlungsleistungen

Muss ich für meine Praxis / Labor einen Datenschutzbeauftragten benennen?

Ob eine Praxis bzw. ein Labor einen Datenschutzbeauftragten benennen muss oder nicht, hängt von mehreren Parametern ab. Nach Art. 37 Abs. 1 DSGVO muss ein DSB im privatwirtschaftlichen Umfeld unter folgenden Voraussetzungen auf jeden Fall benannt werden:

  • Die Kerntätigkeit des Unternehmens erfordert eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen (z.B. Patienten).
  • Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung von besonders sensiblen Daten (z. B. Gesundheitsdaten)

In Erwägungsgrund 97 der DSGVO wird allgemein erklärt, was unter Kerntätigkeit zu verstehen ist: Demnach sind damit die Haupttätigkeiten des Unternehmens gemeint und nicht die bloße Verarbeitung personenbezogener Daten als Nebentätigkeit. Ausschlaggebend ist also, dass die Haupttätigkeit des Unternehmens auf der Verarbeitung personenbezogener Daten beruht.

Die Art.29-Gruppe führt hier in WP 243 aus, dass sich die Verarbeitung von personenbezogenen Daten durch einen einzelnen Arzt grundsätzlich nicht als umfangreich darstellen soll (siehe auch EG 91 DSGVO).

In der Zahnarztpraxis bzw. im Labor findet in aller Regel keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten statt, die zu einer Benennungspflicht führt. Es ist daher ein Datenschutzbeauftragter nur zu benennen, wenn mindestens 10 Personen sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

„Ständig beschäftigt“ ist z. B. die Abrechnungskraft. „Nicht ständig beschäftigt“ ist dagegen die Putzkraft, die theoretisch Daten zur Kenntnis nehmen kann.

Benennt eine Praxis keinen Datenschutzbeauftragten, obwohl sie die Pflicht dazu hat, drohen aufgrund der fehlenden Bestellung eines Datenschutzbeauftragten Sanktionen.

Bisher wurde die vorsätzliche oder fahrlässige Versäumnis, einen betrieblichen Datenschutzbeauf-tragten zu bestellen, als Ordnungswidrigkeit bestraft. Dafür konnte ein Bußgeld in Höhe von bis zu 50.000 Euro verhängt werden. Die DSGVO sieht nun ein Bußgeld von bis zu 10 Mio. Euro oder 2% des Jahresumsatzes vor, je nachdem, welcher Betrag höher ist.

Ist die Praxis oder das Labor nicht verpflichtet, einen Datenschutzbeauftragten zu benennen, kann sie dies auf freiwilliger Basis tun. Wird kein Datenschutzbeauftragter benötigt und auch nicht bestellt, obliegen dessen Aufgaben unmittelbar dem Praxis- bzw. Laborinhaber.

Meldung einer Datenschutzverletzung

Nach Artikel 33 DSGVO muss ein Datenschutzverstoß, bei dem personenbezogene Daten betroffen sind, unverzüglich, möglichst binnen 72 Stunden ab Kenntnis, von dem Verantwortlichen an die zuständige Aufsichtsbehörde gemeldet werden.

Meldung der Kontaktdaten des DSB der Praxis an die Aufsichtsbehörde

Nach Art. 37 Abs. 7 DS-GVO muss der Verantwortliche die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde melden.

Datenschutz in der Zahnarztpraxis und im zahntechnischen Labor

Mit Einführung der Europäischen Datenschutzgrundverordnung (EU-DSGVO) und des neuen Bundesdatenschutzgesetztes (BDSG neu) am 25. Mai 2018 haben Praxis- und Laborinhaber im Vorfeld einige wichtige Dinge zu beachten.

  • Die Notwendigkeit einer schriftlichen Einwilligung von Patienten und Vertragspartnern für die Erhebung und Verarbeitung von personenbezogenen Daten
  • Die Kommunikation mit Dritten
  • Der Internetauftritt der Praxis / des Labors
  • Der Mitarbeiterdatenschutz
  • Das Verzeichnis der Verarbeitungstätigkeiten
  • Der Datenschutzbeauftragte (DSB)
  • Die Meldepflichten
  • Die Praxis-EDV

Weitere Informationen finden Sie hier.


Weitere Neuigkeiten