Mit Einführung der Europäischen Datenschutzgrundverordnung (EU-DSGVO) und des neuen Bundesdatenschutzgesetztes (BDSG neu) am 25. Mai 2018 haben Praxis- und Laborinhaber im Vorfeld einige wichtige Dinge zu beachten.
- Die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten von Patienten und Vertragspartnern
- Die Kommunikation mit Dritten
- Der Internetauftritt der Praxis / des Labors
- Der Mitarbeiterdatenschutz
- Das Verzeichnis der Verarbeitungstätigkeiten
- Der Datenschutzbeauftragte (DSB)
- Die Meldepflichten
- Die Praxis-EDV
Die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten von Patienten und Vertragspartnern
Die Verarbeitung von personenbezogenen Daten ist nur erlaubt, wenn die schriftliche Einwilligung des Betroffenen vorliegt oder eine andere Rechtsgrundlage zur Verfügung steht.
Im Fall einer Zahnarztpraxis ist die Rechtsgrundlage in der Regel der Behandlungsvertrag, der mit dem Patienten geschlossen wird. Die zur Begründung, Durchführung und Beendigung des Vertrags notwendigen Daten dürfen verarbeitet werden.
Dazu gehören in der Zahnarztpraxis z.B. Name, Anschrift, Versicherungsnummer des Patienten, die ärztliche Dokumentation von Anamnese und Behandlung, Arztbriefe, Laborberichte.
Soweit zusätzliche Dienste – wie z.B. ein Recall-Service – angeboten werden, ist die Einwilligung des Betroffenen einzuholen. Dies gilt auch für die Weitergabe der Daten von Privatpatienten an eine private Verrechnungsstelle oder an ein Rechenzentrum. Auch die teilweise praktizierte Bonitäts-überprüfung von potentiellen Privatpatienten mittels Auskunfteien wie der Schufa ist nur mit der Einwilligung der Betroffenen zulässig.
Die Einwilligung muss nicht zwingend schriftlich eingeholt werden. Im Zweifel muss der Arzt allerdings nachweisen, dass die Einwilligung gegeben wurde. Dazu eignet sich ein unterschriebenes Formular oder ein entsprechender Eintrag in der Praxis-EDV.
Die Kommunikation mit Dritten
Patientendaten dürfen nur unter folgenden Voraussetzungen weitergegeben werden:
- Der Patient ist einverstanden (schriftliche Einverständniserklärung).
- Die Weitergabe ist gesetzlich erlaubt, vgl. Artikel 9 Abs. 2 lit. h) DS-GVO.
- Die Übermittlung ist gesetzlich vorgeschrieben.
Letzteres ist zum Beispiel der Fall zum Zwecke
- der Abrechnung (§295 SGB V)
- der Übermittlung an die Krankenkasse
- der Wirtschaftlichkeitsprüfung (§§296, 297 SGB V)
- der Qualitätssicherung (§298 SGB V)
- der Arbeitsunfähigkeitsbescheinigung (§284 i.V. m. §295 SGB V)
- der Übermittlung an den Medizinischen Dienst (§§ 276, 277 SGB V)
Der Internetauftritt der Praxis / des Labors
Die Internetseite(n) der Praxis / des Labors benötigen eine Datenschutzerklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. Sie sollte, wie auch das Impressum, von jeder Seite aus gut erreichbar sein. Die Empfehlung ist daher, die Datenschutzerklärung neben dem Impressum im Kopf oder Fuß der Seiten zu platzieren. Ohne rechtskonformes Impressum und Datenschutzerklärung drohen Abmahnkosten.
Die Datenschutzerklärung muss sich dabei an den Vorgaben des Artikel 13 des DS-GVO orientieren und Folgende Hinweise enthalten:
- den Namen und die Kontaktdaten des Verantwortlichen
- gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland zu übermitteln
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Praxiswebseiten, die unter http:// erreichbar sind, verfügen nicht über ein anerkanntes Verschlüsselungsverfahren (z.B. TLS) und können daher bei der Übertragung von persönlichen Daten keinen ausreichenden Schutz garantieren. Für eine einfache Visitenkarte der Praxis ist dies ausreichend. Ist jedoch auf der Homepage ein Kontaktformular vorhanden, muss die Webseite über ein SSL – Zertifikat abgesichert werden. Die Domain ist ab dann unter https:// aufrufbar und die Übertragung der Daten erfolgt über ein anerkanntes Verschlüsselungsverfahren.
Damit Bewerber und Patienten die Möglichkeit haben, Ihnen persönliche und sensible Daten (z.B. Bewerbungsunterlagen, ausgefüllte Anamnesebögen, etc.) auch per E-Mail zu übersenden, empfiehlt es sich, eine entsprechende Möglichkeit einzurichten. Dies ist z.B. möglich, indem Sie E-Mails mittels PGP verschlüsseln und hierzu auf Ihrer Homepage den so genannten Public Key veröffentlichen und darauf aufmerksam machen. Alternativ können Sie auch darum bitten, sensible und persönliche Daten nur auf dem Postweg zu übersenden.
Der Mitarbeiterdatenschutz
Vor Begründung eines Arbeitsverhältnisses, während dessen und nach Ende des Arbeitsverhältnisses werden durch den Datenschutz unterschiedliche Anforderungen an den Arbeitgeber gestellt. Hier sollten Sie sich rechtzeitig fachkundigen Rat einholen.
Prinzipiell sollte man sich im Klaren sein, dass Mitarbeiter ein Informations- und Auskunftsrecht haben und diese über den jeweiligen konkreten Zweck der Datenverarbeitung zu informieren sind. Bitte beachten Sie, dass Sie nur diejenigen personenbezogenen Daten Ihrer Mitarbeiter verarbeiten dürfen, die für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich sind.
Beachten Sie auch, dass das Einstellen von Arbeitnehmerdaten im Internet (z.B. Fotos auf Webseite integrieren oder Geburtstagsglückwünsche auf Facebook posten) ohne entsprechende schriftliche Einwilligung des Betroffenen datenschutzrechtlich bedenklich und abmahnfähig ist.
In Betriebsvereinbarung können Regelungen zur Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten zum Zwecke der Beschäftigungsverhältnisses getroffen werden.
Das Verzeichnis der Verarbeitungstätigkeiten
Da es sich bei Gesundheitsdaten nach Art. 9 DS-GVO um sensible Daten handelt und man davon ausgehen kann, dass jeder Arzt in seiner Praxis regelmäßig persönliche Daten verarbeitet, wird vermutlich jede Praxis ein Verzeichnis der Verarbeitungstätigkeiten anlegen müssen. Im Prüffall ist dieses den Behörden vorzulegen.
Das Verzeichnis muss u.a. folgende Informationen beinhalten:
- Verarbeitungstätigkeit,
- Verarbeitete Daten,
- Rechtliche Grundlage,Sicherungsmaßnahmen,
- verantwortliche Person bzw. Mitarbeiter,
- Kontaktdaten von Verantwortlichen ggf. des Datenschutzbeauftragten
Typische Verarbeitungstätigkeiten sind:
- Lohn- und Gehalts -und sonstige Entgeltabrechnung
- Zeiterfassung
- Dokumenten- und Datenträgerentsorgung
- Erfüllung sozialversicherungsrechtlicher und steuerrechtlicher Verpflichtungen
- Betrieb einer Webseite ggf. mit Online-Terminbuchungsoption
- Verarbeitung von Patientendaten zur Abrechnung
- Verarbeitung vom Patientendaten zur Durchführung zahnärztlicher Behandlungsleistungen
Der Datenschutzbeauftragte (DSB)
Muss ich für meine Praxis / Labor einen Datenschutzbeauftragten benennen?
Ob eine Praxis bzw. ein Labor einen Datenschutzbeauftragten benennen muss oder nicht, hängt von mehreren Parametern ab. Nach Art. 37 Abs. 1 DSGVO muss ein DSB im privatwirtschaftlichen Umfeld unter folgenden Voraussetzungen auf jeden Fall benannt werden:
- Die Kerntätigkeit des Unternehmens erfordert eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen (z.B. Patienten).
- Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung von besonders sensiblen Daten (z. B. Gesundheitsdaten)
In Erwägungsgrund 97 der DSGVO wird allgemein erklärt, was unter Kerntätigkeit zu verstehen ist: Demnach sind damit die Haupttätigkeiten des Unternehmens gemeint und nicht die bloße Verarbeitung personenbezogener Daten als Nebentätigkeit. Ausschlaggebend ist also, dass die Haupttätigkeit des Unternehmens auf der Verarbeitung personenbezogener Daten beruht.
Die Art.29-Gruppe führt hier in WP 243 aus, dass sich die Verarbeitung von personenbezogenen Daten durch einen einzelnen Arzt grundsätzlich nicht als umfangreich darstellen soll (siehe auch EG 91 DSGVO).
In der Zahnarztpraxis bzw. im Labor findet in aller Regel keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten statt, die zu einer Benennungspflicht führt. Es ist daher ein Datenschutzbeauftragter nur zu benennen, wenn mindestens 10 Personen sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
„Ständig beschäftigt“ ist z. B. die Abrechnungskraft. „Nicht ständig beschäftigt“ ist dagegen die Putzkraft, die theoretisch Daten zur Kenntnis nehmen kann.
Benennt eine Praxis keinen Datenschutzbeauftragten, obwohl sie die Pflicht dazu hat, drohen aufgrund der fehlenden Bestellung eines Datenschutzbeauftragten Sanktionen.
Bisher wurde die vorsätzliche oder fahrlässige Versäumnis, einen betrieblichen Datenschutzbeauf-tragten zu bestellen, als Ordnungswidrigkeit bestraft. Dafür konnte ein Bußgeld in Höhe von bis zu 50.000 Euro verhängt werden. Die DSGVO sieht nun ein Bußgeld von bis zu 10 Mio. Euro oder 2% des Jahresumsatzes vor, je nachdem, welcher Betrag höher ist.
Ist die Praxis oder das Labor nicht verpflichtet, einen Datenschutzbeauftragten zu benennen, kann sie dies auf freiwilliger Basis tun. Wird kein Datenschutzbeauftragter benötigt und auch nicht bestellt, obliegen dessen Aufgaben unmittelbar dem Praxis- bzw. Laborinhaber.
Die Meldepflichten
Meldung einer Datenschutzverletzung
Nach Artikel 33 DSGVO muss ein Datenschutzverstoß, bei dem personenbezogene Daten betroffen sind, unverzüglich, möglichst binnen 72 Stunden ab Kenntnis, von dem Verantwortlichen an die zuständige Aufsichtsbehörde gemeldet werden.
Sollten Sie einen Datenschutzverstoß feststellen, sollten Sie sich zunächst mit Ihren Datenschutzbeauftragten beraten, sofern Sie einen bestellt haben.
Sprechen Sie zum anderen vor einer Meldung an die Aufsichtsbehörde mit einem Rechtsanwalt. Nicht jeder Datenschutzverstoß zieht eine Meldepflicht nach Artikel 33 DS-GVO nach sich. Sie müssen damit rechnen, dass die Meldung bei einer Aufsichtsbehörde öffentlich wird. Dies könnte zu einem erheblichen Reputationsschaden führen!
Meldung der Kontaktdaten des DSB der Praxis an die Aufsichtsbehörde
Nach Art. 37 Abs. 7 DS-GVO muss der Verantwortliche die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde melden.
Die Praxis-EDV
Für den datenschutzkonformen Schutz Ihrer Praxis-EDV wenden Sie sich bitte vertrauensvoll an Ihren EDV-Betreuer und/oder Ihr Systemhaus.
Beachtenswert ist auch der Datenschutzleitfaden der KZBV.