Datenschutz Update

DSGVO in der Zahnarztpraxis umsetzen 

Seit 2018 bereitet die neue Datenschutzgrundverordnung (DSGVO) vielen Praxisinhaber:innen Kopfzerbrechen. Häufig bestehen große Unsicherheiten darüber, wie Arbeitsabläufe angepasst werden müssen. Muss ich eine:n Datenschutzbeauftragte:n bestimmen? Muss ich baulich in meiner Praxis etwas ändern? Was darf ich überhaupt speichern? Welche Dokumente muss ich ausfüllen und bereithalten? Wir haben hier deshalb ein paar hilfreiche Hinweise zusammengefasst, die die Einhaltung der DSGVO in der Zahnarztpraxis erleichtern sollen.
 

Keine Zahnarztpraxis kommt nicht umhin, sich über die Umsetzung und Dokumentation der DSGVO Gedanken zu machen. Denn eine Nichtbeachtung der Vorgaben kann im Zweifel zu hohen Bußgeldern und Haftungsansprüchen führen. Erster Ansprechpartner für Zahnarztpraxen bei Fragen zur Umsetzung der DSGVO sind die zuständigen Kassenzahnärztlichen Vereinigungen und Landeszahnärztekammern, aber auch die jeweils zuständigen Datenschutzbehörden LDI. Als zusätzliche Hilfestellung haben KZBV und BZÄK einen umfangreichen Praxisleitfaden zum Thema veröffentlicht, der auf ihren Webauftritten zu finden ist.


Daten sichern
Einer der wichtigsten Punkte für die Einhaltung der DSGVO ist, dass die Daten vor dem Zugriff Unbefugter geschützt werden – sowohl physisch als auch virtuell. Das bedeutet unter anderem, es dürfen keine Dokumente offen einsehbar in der Praxis herumliegen und Desktop-PCs oder mobile Geräte müssen entsprechend gesichert sein.

Als Unbefugte gelten zum Beispiel Mitarbeiter:innen des Reinigungspersonals oder andere Patient:innen, aber auch Mitarbeiter:innen der Zahnarztpraxis, die nicht mit der Verarbeitung von Daten betraut sind. In diesem Zusammenhang ist es daher wichtig, dass nur die Mitarbeiter:innen Zugriffsrechte erhalten, die tatsächlich mit den Daten arbeiten. Zugänge für ausgeschiedene Mitarbeiter:innen sind umgehend zu löschen.

Um die Daten auch von außerhalb vor Zugriffen zu schützen und beispielsweise Hackerangriffe abzuwehren, ist es essentiell, sichere Passwörter zu vergeben und eine zuverlässige Virenschutz-Software und Firewall einzusetzen. Es sollte zudem nur zugelassene Praxisverwaltungssoftware und zertifizierte TI-Hardware (eHealth-Terminal, Konnektor) verwendet werden.


Datenschutzbeauftragte:n bestellen
Für Zahnarztpraxen gilt seit dem 27. Juni 2019 eine 20-Personen-Regelung. Das heißt, Praxen müssen erst dann eine:n Datenschutzbeauftragte:n bestimmen, wenn mindestens 20 Mitarbeiter:innen ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Im Rahmen der Anpassung des Datenschutzgesetzes hatte man die ursprüngliche Regelung von Mai 2018, in der ein:e Datenschutzbeauftragte:r bereits ab zehn Personen gefordert wurde, aufgelockert. Allerdings ist noch nicht sicher, inwiefern sich die Regelung im Zuge der Einführung der Telematikinfrastruktur ändern könnte. Gegebenenfalls müsste dann jede Zahnarztpraxis eine Datenschutzfolgeabschätzung vornehmen, die wiederum zwangsläufig mit der Benennung einer oder eines Datenschutzbeauftragten verknüpft ist.

 
Datenspeicherung, -löschung und -verlust
Technisch organisatorischen Maßnahmen

Für die Speicherung und Verarbeitung von personenbezogenen Daten bedarf es stets der Zustimmung. Es muss also eine Einwilligungserklärung von den Patient:innen eingeholt werden. Gespeichert werden dürfen die Daten unter bestimmten Bedingungen auch in der Cloud. Allerdings nur dann, wenn die Zahnarztpraxis gewährleisten kann, dass die DSGVO vom Anbieter und den damit zusammenhängenden Diensten ebenfalls eingehalten. Das dürfte in den meisten Fällen nicht ganz so einfach sein.

Wenn Daten von Patient:innen zur Verarbeitung an Dritte übermittelt werden müssen, zum Beispiel an ein Fremdlabor zum Zwecke der Zahnersatzherstellung, dann muss ein Auftragsdatenverarbeitungsvertrag vorliegen. Für die Datenübermittlung selbst gilt: Wenn Gesundheitsdaten oder andere personenbezogene Daten von Patient:innen digital versendet werden, muss das verschlüsselt geschehen. In allen anderen Fällen steht es der Zahnarztpraxis allerdings frei, ob sie verschlüsselt kommuniziert oder nicht.

Um einem Datenverlust vorzubeugen sind regelmäßige Back-Ups auf transportablen Speichermedien zu empfehlen. Gehen Daten dennoch verloren, muss der Verlust innerhalb von 72  Stunden (Kenntnis der zuständigen Datenschutzaufsichtsbehörde sowie Wissen über die Meldeverpflichtungen nach Art. 33 und 34
DSGVO (Verletzung der Sicherheit)), an die Datenschutzbehörde gemeldet werden. Dasselbe gilt im Falle eines Datendiebstahls. Sobald eine solche Verletzung des Datenschutzes festgestellt wird, ist Meldung zu machen – idealerweise zunächst telefonisch und dann auch schriftlich.

Wer Computer, Geräte oder Speichermedien entsorgen will, auf denen Daten gespeichert sind, muss vor der Entsorgung für die restlose Löschung der Daten sorgen. Andernfalls kann es auch hier zu einer Verletzung des Datenschutzes kommen.


Organisation und Dokumentation

Es müssen regelmäßige Überprüfungen der Wirksamkeit der technischen und organisatorischen Maßnahmen nach dem PDCA-Zyklus (Plan-Do-Check-Act)  implementiert werden.

Es besteht für Praxisinhaber:innen eine Pflicht zur Erstellung eines Verzeichnisses aller Verarbeitungstätigkeiten personenbezogener Daten (früher „Verfahrensverzeichnis“ oder „Dateibeschreibung“). Darin wird aufgelistet, wer genau für die Verarbeitung verantwortlich ist, zu welchem Zwecke und von wem personenbezogene Daten erfasst werden sowie an wen die Daten von der Praxis weitergegeben werden (zum Beispiel das Dentallabor). In welcher Form, das Verzeichnis von Verarbeitungstätigkeiten geführt wird, ist nicht vorgegeben. Es kann sowohl handschriftlich als auch elektronisch angelegt werden.


Generell sollten alle Vorgänge, Maßnahmen und Verstöße bezüglich des Datenschutzes lückenlos in einem Datenschutzmanagementsystem dokumentiert sowie
regelmäßige Audits des DSB nach Art. 32 DSGVO zur Sicherheit der Verarbeitung durchgeführt werden .

Damit einhergehend sollten hierzu regelmäßig Schulungen zur Sensibilisierung erfolgen, im besten Fall bei Aufnahme eines Beschäftigungsverhältnisses.

Wir beraten Sie gern umfassend zu diesem Thema.