Muss in der Zahnarztpraxis eine Datenschutz-Folgenabschätzung gemäß Art. 35 EU-DSGVO durchgeführt werden?

Die neue EU-Datenschutz-Grundverordnung bestimmt in Art. 35, dass im Falle eines hohen Risikos bei der Verarbeitung von personenbezogenen Daten, die oder der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen muss, um die Risiken festzustellen, zu dokumentieren und zu reduzieren.

Gemäß Art. 35 Abs. 4 EU-DSGVO erstellen die Aufsichtsbehörden eine Liste der Verarbeitungsvorgänge, für die eine Folgenabschätzung notwendig ist. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat inzwischen eine solche Liste erstellt und veröffentlicht. Danach ist im Bereich der Behandlung von Patientinnen und Patienten nur dann eine Datenschutz-Folgenabschätzung notwendig, wenn Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten zum Einsatz kommen. Die Veröffentlichung des Landesbeauftragten kann hier abgerufen werden:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Liste-von-Verarbeitungsvorg%C3%A4ngen-nach-Art.-35-Abs.-4-DS-GVO-LfDI-BW.pdf

Die Zahnarztpraxis ist somit nicht dazu verpflichtet eine Datenschutz-Folgenabschätzung gemäß Art. 35 EU-DSGVO durchzuführen.

Darf in einer Zahnarztpraxis eine Videoüberwachung installiert werden?

Eine Videoüberwachung in einer Zahnarztpraxis ist generell nicht zulässig. Wenn in besonderen Einzelfällen eine Videoüberwachung gewünscht ist, so hat die verantwortliche Praxisinhaberin bzw. der verantwortliche Praxisinhaber darzulegen, warum das Interesse an der Videoüberwachung die Interessen der gefilmten Personen, von einer Videoüberwachung verschont zu bleiben, überwiegen.

Es bedarf somit eines konkreten und nachvollziehbaren Bedürfnisses an dieser Videoüberwachung.

Eine abstrakte Schilderung der Gefahr von  Einbrüchen wird dafür nicht ausreichen, da diese Gefahr nicht spezifisch nur die Zahnarztpraxis betrifft. Auch wenn die Praxis bereits von einem Einbruch betroffen war, dürfte sich daraus kein allgemeines Recht der „Rund um die Uhr“ Videoüberwachung ergeben. Hier wird sich das Recht auf eine Überwachung auf die Zeiten beschränken, zu denen die Praxis geschlossen ist.

Wird eine Überwachung zu den Betriebszeiten der Praxis vorgenommen und können somit unbeteiligte Personen (Patientinnen und Patienten, Besucherinnen und Besucher oder Mitarbeiterinnen und Mitarbeiter) von dieser Überwachung betroffen sein, so ist gemäß § 4 Abs. 2 Bundesdatenschutzgesetz (BDSG) auf die Überwachung und den Verantwortlichen (bspw. durch ein Schild) hinzuweisen. Überdies sieht § 4 Abs. 4 BDSG vor, dass Personen, die gefilmt werden, Informationen über die Verarbeitung der Filmdaten gemäß Art. 13 und 14 EU-DSGVO  zugänglich zu machen sind.

Wird eine Videoüberwachung installiert, ist diese auch in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen (siehe Kapitel 5)!

Gespeicherte Filmaufnahmen sind unverzüglich zu löschen, wenn sie nicht mehr benötigt werden. Üblicherweise sollte die Speicherdauer einen Zeitraum von 48 Stunden nicht überschreiten.

Zum jetzigen Zeitpunkt sind uns keine Fallkonstellationen bekannt, die eine „Rund um die Uhr“ Videoüberwachung in der Zahnarztpraxis rechtfertigen. Soweit der Wunsch nach einer solchen Überwachung bestehen sollte, so empfehlen wir, zur Vermeidung von Verstößen gegen das Datenschutzrecht, sich vorab mit der Landesdatenschutzbehörde in Verbindung zu setzen. 

Weitergehende Informationen erhalten sie auch in dem Kurzpapier der Datenschutzkonferenz der Landesdatenschutzbehörden unter:
https://www.datenschutz.bremen.de/sixcms/media.php/13/DSK_Nr15_Video%FCberwachung.pdf

Welche Strafen drohen bei Verstößen gegen das Datenschutzrecht?

In § 83 EU-DSGVO sind Geldstrafen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes genannt. Diese Beträge werden leider von einigen Firmen dazu benutzt, ihre Dienstleistungen weniger gut informierten Ärzten zu verkaufen.

In Abs. 1 und 2 des § 83 EU-DSGVO ist weiter aufgeführt, dass Geldbußen zwar wirksam und abschreckend sein sollen, aber auch verhältnismäßig und der Schwere des Verstoßes angemessen. Bußgelder in der kolportierten Größenordnung für eine Zahnarztpraxis sind daher weder realistisch noch zu befürchten.

Bei der gesamten Diskussion um Bußgelder wird überdies nicht publiziert, dass in Deutschland über  § 41 BDSG die Festlegung der Bußgelder im Regelfall den Vorgaben des Gesetzes über Ordnungswidrigkeiten (OWiG) folgt. Dieses Gesetz eröffnet in § 56 Abs. 1 auch die Möglichkeit der Aussprache einer Verwarnung. Die Aussprache von Verwarnungen hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg bereits früher als Instrumentarium bei kleineren und nicht sehr gewichtigen Verstößen, sowie einem erkennbaren Bemühen aufgezeigte Mängel abzustellen, genutzt. Dies soll nach eigenem Bekunden auch der grundsätzliche Ansatz der Behörde in der Zukunft sein.

Datenschutz muss ernst genommen werden. Für Panikmache besteht jedoch keine Veranlassung.
 

Muss die Patientin bzw. der Patient in die Speicherung der Daten vor Beginn der Behandlung schriftlich einwilligen?

Die Speicherung der Daten der Patientin bzw. des Patienten erfolgt aufgrund eines mit der Patientin bzw. dem Patienten geschlossenen Behandlungsvertrages. Die Verarbeitung der Daten ist somit durch Art. 6 Abs. 1 b) EU-Datenschutzgrundverordnung rechtmäßig. Da es sich um Gesundheits-daten handelt ergibt sich die Berechtigung zur Verarbeitung dieser Daten überdies auch aus Art. 9 Abs. 2 h) EU-Datenschutzgrundverordnung. Einer gesonderten schriftlichen Einwilligungserklärung der Patientin bzw. des Patienten zur Verarbeitung der Daten bedarf es daher nicht. Wir weißen in diesem Zusammenhang auch auf die Erläuterungen im Kapitel 3 hin.

Davon abzugrenzen sind Patientendaten, die über die notwendigen Daten zur Erfüllung des Behandlungsvertrages hinausgehen. Bei dieser Art von Daten muss gewährleistet sein, dass die Patientin bzw. der Patient über die Freiwilligkeit der Angabe dieser Daten informiert wird. Dies kann auf dem Anamnesebogen durch den Zusatz „freiwillige Angabe“ erfolgen. Dabei geht es beispielsweise um die Angaben zur Arbeitgeberin bzw. zum Arbeitgeber und einer privaten Krankenzusatzversicherung. Ein Muster eines entsprechenden Anamnesebogens finden Sie im PRAXIS-Handbuch im Kapitel 3.1.5.13 Qualitätssicherung in der Zahnarztpraxis Anhang/ Formulare/ Praxisverwaltung unter:

https://lzk-bw.de/PHB/html/3.1.5.html

Auch für die in vielen Praxisverwaltungsprogrammen bestehende Möglichkeit, ein Foto der Patientin bzw. des Patienten in der Kartei zu speichern, muss die Einwilligung der Patientin bzw. des Patienten eingeholt werden.

Wie verhalte ich mich, wenn Patientenunterlagen von Gutachterinnen bzw. Gutachtern der Krankenkassen angefordert werden?

Krankenkassen und Kassenzahnärztliche Vereinigungen nehmen im System der Gesundheitsversorgung auch Kontrollrechte und Kontrollpflichten wahr. Zur Erfüllung dieser Aufgaben bedient man sich diverser Kommissionen und bestellter Gutachterinnen bzw. Gutachter. Grundlage hierfür bildet der Bundesmantelvertrag zwischen Kassenzahnärztlicher Bundesvereinigung und den Spitzenverbänden der gesetzlichen Krankenkassen. Es handelt sich um einen sogenannten Normsetzungsvertrag. Hier werden auch Auskunftspflichten der Kassenzahnärztinnen bzw. Kassenzahnärzte gegenüber diesen Institutionen geregelt.

Die EU-DSGVO sieht in Art. 9 Abs. 2 h), sowie in Art. 9 Abs. 2 i)  vor, dass die Verarbeitung von Gesundheitsdaten zum Zwecke der Versorgung und Behandlung im Gesundheits- und Sozialbereich, sowie von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Rechts eines Mitgliedstaats, sowie zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten zulässig ist, wenn der angemessene Schutz der übermittelten Daten gewährleistet ist.

Aufgrund dieser für den Bereich der öffentlichen Gesundheitssysteme der Mitgliedstaaten bestehenden Regelungen, kann nach heutigem Wissenstand von einer rechtmäßigen Verarbeitung der Gesundheitsdaten durch diese Institutionen ausgegangen werden. Eine abschließende Auslegung dieser gesetzlichen Regelungen steht zum jetzigen Zeitpunkt jedoch noch aus.

Wie verhalte ich mich, wenn Patientenunterlagen von privaten Krankenversicherungen angefordert werden?

Hierzu möchten wir auf unser Merkblatt unter

https://lzk-bw.de/fileadmin/user_upload/1.Zahn%C3%A4rzte/70.Geb%C3%BChrenrecht/4.01.05-Anforderung_Unterlagen_2013.pdf

hinweisen.

Wie verhalte ich mich, wenn die Apotheke anruft und Rückfragen zu einem ausgestellten Rezept hat?

Hierbei sind 2 Fälle zu unterscheiden:

1. Patientin bzw. Patient selber (oder die Erziehungsberechtigten bei Kindern) holt die Medikamente in der Apotheke ab.
In diesem Fall kann die Apotheke die Ärztin bzw. den Arzt mit der anwesenden Person kurz verbinden, so dass sich die Ärztin bzw, der Arzt davon überzeugen kann, dass es sich wirklich um eine Patientin bzw. seinen Patienten handelt, um dann mit der Apotheke den fraglichen Sachverhalt zu klären.

2. Eine andere Person holt im Auftrag der Patientin bzw. des Patienten die Medikamente ab.
In diesem Fall darf die Ärztin bzw. der Arzt keine Auskunft geben, da es nicht sicher sein kann, ob die Nachfrage von der Patientin bzw. dem Patienten legitimiert wurde. Die Ärztin bzw. der Arzt sollte sich einen Nachweis der Legitimation übermitteln lassen.

Wie verhalte ich mich, wenn Patientenunterlagen von anderen Zahnärztinnen bzw. Zahnärzten (nicht für Überweisungsfälle – siehe hierzu Kapitel 8) angefordert werden?

Wenn die Patientin bzw. der Patient die Zahnarztpraxis wechselt (z.B. bei einem Wohnortwechsel) ist es natürlich im Interesse der Patientin bzw. des Patienten, das Behandlungsunterlagen (vor allem Röntgenfotos) einer Nachbehandlerin bzw. einem Nachbehandler zur Verfügung gestellt werden. Wenn die Patientin bzw. der Patient selbst darum bittet, die Unterlagen ihr bzw. ihm oder der neuen Zahnarztpraxis zur Verfügung zu stellen, steht diesem Ansinnen nichts im Wege.

Hinsichtlich vor-, mit- oder nachbehandelnder Zahnärztinnen und Zahnärzte besteht nach § 12 Abs. 3 der Berufsordnung die Verpflichtung die Dokumentation vorübergehend zu überlassen, sofern die Patientin bzw. der Patient hiermit einverstanden ist. Das Einverständnis kann alternativ entweder durch Vorlage einer Schweigepflichtentbindung der Patientin bzw. des Patienten, durch dokumentierte telefonische Bestätigung der Patientin bzw. des Patienten, oder durch Verifizierung direkt bei der anfragenden Zahnärztin bzw. beim anfragenden Zahnarzt erfolgen. Eine Verifizierung kann beispielsweise durch Abfrage von Geburtsdatum und Wohnort, sowie ggf. der Versicherungsdaten der Patientin bzw. des Patienten bei der anfragenden Zahnärztin bzw. beim anfragenden Zahnarzt vorgenommen werden.

Eine gewisse Sonderstellung nehmen Röntgenaufzeichnungen ein. Bei diesen besteht nach § 85 Abs. 3 Nr. 3 Strahlenschutzgesetz (StrlSchG) sogar die gesetzliche Pflicht diese an weiter untersuchende oder behandelnde Zahnärztinnen bzw. Zahnärzte herauszugeben. Hintergrund ist die Vermeidung zusätzlich belastender Strahlenexpositionen. Hier ist bei Zweifeln an der Berechtigung, soweit nicht das Einverständnis der Patientin bzw. des Patienten vorliegt, eine Verifizierung wie oben beschrieben bei der anfragenden Zahnärztin bzw. beim anfragenden Zahnarzt zulässig.

Welche Löschfristen gelten für die Behandlungsunterlagen?

Die Löschfristen für die gespeicherten Daten der Patientinnen und Patienten ergeben sich aus den gesetzlichen Aufbewahrungsfristen, insbesondere des § 630f Abs. 3 BGB und § 85 Abs. 2 StrlSchG und betragen regelmäßig mindestens 10 Jahre. Bei komplexen Behandlungsfällen kann auch eine Ausdehnung der Aufbewahrungsfrist bis zur absoluten Verjährungsfrist von 30 Jahren gerechtfertigt sein.

Wie kann die Zahnärztin bzw. der Zahnarzt auf Auskunftsersuchen von Patientinnen und Patienten nach der EU-DSGVO reagieren?

Von Verbraucherverbänden werden zunehmend Musterschreiben zur Verfügung gestellt, mit Hilfe derer Verbraucherinnen und Verbraucher ihre Auskunftsrechte nach der EU-DSGVO vom Verarbeiter Ihrer Daten einfordern können. Zunächst ist Auskunft darüber zu geben, ob überhaupt personenbezogene Daten von der anfragenden Person gespeichert werden. Wenn dies nicht der Fall sein sollte, so können sie dies der anfragenden Person kurz in einem Satz mitteilen. Mehr muss in diesem Fall nicht veranlasst werden. Soweit Daten von der anfragenden Person gespeichert wurden, können Auskünfte nach Art. 15 EU-DSGVO verlangt werden. Die Auskünfte sollten sich daran orientieren, was die anfragende Person geltend macht. Um den Praxen Hilfestellung zu diesen komplexen Anfragen zu geben, haben wir ein Muster eines Antwortschreibens entwickelt, dass sich rechts im Downloadbereich befindet.Wie kann die Zahnärztin bzw. der Zahnarzt auf Auskunftsersuchen von Patientinnen bzw. Patienten nach der EU-DSGVO reagieren?

Von Verbraucherverbänden werden zunehmend Musterschreiben zur Verfügung gestellt, mit Hilfe derer Verbraucherinnen und Verbraucher ihre Auskunftsrechte nach der EU-DSGVO von der Verarbeiterin bzw. vom Verarbeiter Ihrer Daten einfordern können. Zunächst ist Auskunft darüber zu geben, ob überhaupt personenbezogene Daten von der anfragenden Person gespeichert werden. Wenn dies nicht der Fall sein sollte, so können sie dies der anfragenden Person kurz in einem Satz mitteilen. Mehr muss in diesem Fall nicht veranlasst werden. Soweit Daten von der anfragenden Person gespeichert wurden, können Auskünfte nach Art. 15 EU-DSGVO verlangt werden. Die Auskünfte sollten sich daran orientieren, was die anfragende Person geltend macht. Um den Praxen Hilfestellung zu diesen komplexen Anfragen zu geben, haben wir ein Muster eines Antwortschreibens entwickelt, dass sich rechts im Downloadbereich befindet.

Was haben Amazons Alexa oder Googles Home in einer Zahnarztpraxis zu suchen?

Nichts. Diese sogenannten Sprachassistenten benötigen eine Internetanbindung und werden mittels eines Sprachbefehles („Alexa“) aus dem Standby-Modus „geweckt“. Die gesprochenen Befehle werden mittels Spracherkennung umgewandelt und – bei korrekter Umsetzung – ausgeführt. Bei beiden Systemen amerikanischer Hersteller ist unklar, wo die Spracherkennung stattfindet und welche Daten dabei wo und in welchem Umfang gespeichert werden. Ebenfalls ist nicht geklärt, ob auch schon im Standby-Modus eine Datenerfassung und Datenübertragung stattfindet. Da in einer Praxis Gesundheitsdaten von Patientinnen und Patienten kommuniziert werden, entsprechen diese Sprachassistenten nicht den Vorgaben der EU-DSGVO was die Verarbeitung und den Schutz von Patientendaten betrifft.

Da inzwischen auch viele Smartphones mit derartigen Sprachassistenten (z.B. Apples „Siri“) versehen sind, sollten auch Patientenhandys zum eigenen Schutz der Patientinnen und Patienten in Zahnarztpraxen ausgeschaltet oder zumindest in den Flugmodus versetzt werden.

Was hat eine Praxis zu beachten, wenn sie ihren Patientinnen und Patienten einen Newsletter anbietet?

Für die Anmeldung zu einem Newsletter wird die Einwilligung der Patientin bzw. des Patienten über die Nutzung des sogenannten Double-opt-in-Verfahren eingeholt. Dies bedeutet, dass die Patientin bzw. der Patient nach Anmeldung zum Newsletter eine E-Mail bekommt, in der die Anmeldung nochmals mit einem übermittelten Link bestätigen werden muss. Dieses Verfahren dient dem Nachweis, dass die Anmeldung tatsächlich von der Patientin bzw. dem Patienten veranlasst wurde. Des Weiteren muss der Newsletter einen Link enthalten, mit dem die Patientin bzw. der Patient diesen jederzeit einfach wieder abbestellen kann. Enthält der Newsletter keinen Link, so ist zumindest eine E-Mail-Adresse anzugeben, über die eine Abmeldung des Newsletters vorgenommen werden kann.

Für die Bereitstellung eines Newsletters für Patientinnen und Patienten ist ein Verzeichnis der Verarbeitungstätigkeit anzulegen. Einen Mustertext befindet sich im Kapitel 5.

Was hat eine Praxis zu beachten, wenn sie ihren Patientinnen und Patienten einen Recall- oder Terminerinnerung-/ Terminbenachrichtigungsservice anbietet?

Da es sich um einen nicht zwingend notwendigen Service zur Erfüllung des Behandlungsvertrages handelt, ist hierfür die Einwilligung der Patientin bzw. des Patienten einzuholen. Die Patientin bzw. der Patient ist über die dafür notwendige Verarbeitung der Daten aufzuklären. Sie bzw. er muss die Möglichkeit haben, den Service jederzeit wieder abbestellen zu können. Die derzeitigen Praxisverwaltungsprogramme bieten diesen Service heute in Form von E-Mails oder SMS an, die allerdings unverschlüsselt gesendet werden. Auch hierüber ist die Patientin bzw. der Patient zu informieren und das Einverständnis einzuholen.

Zurück zur Übersicht über die EU-DSGVO!