Kapitel 10 - Sonstige Fragen zur Umsetzung des Datenschutzes in der Praxis

Muss in der Zahnarztpraxis eine Datenschutz-Folgenabschätzung gemäß Art. 35 EU-DSGVO durchgeführt werden?

Die neue EU-Datenschutz-Grundverordnung bestimmt in Art. 35, dass im Falle eines hohen Risikos bei der Verarbeitung von personenbezogenen Daten, der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen muss, um die Risiken festzustellen, zu dokumentieren und zu reduzieren.

Gemäß Art. 35 Abs. 4 EU-DSGVO erstellen die Aufsichtsbehörden eine Liste der Verarbeitungsvorgänge, für die eine Folgenabschätzung notwendig ist. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat inzwischen eine solche Liste erstellt und veröffentlicht. Danach ist im Bereich der Behandlung von Patienten nur dann eine Datenschutz-Folgenabschätzung notwendig, wenn Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten zum Einsatz kommen. Die Veröffentlichung des Landesbeauftragten kann hier abgerufen werden:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Liste-von-Verarbeitungsvorg%C3%A4ngen-nach-Art.-35-Abs.-4-DS-GVO-LfDI-BW.pdf

Die Zahnarztpraxis ist somit nicht dazu verpflichtet eine Datenschutz-Folgenabschätzung gemäß Art. 35 EU-DSGVO durchzuführen.

 

Darf in einer Zahnarztpraxis eine Videoüberwachung installiert werden?


Eine Videoüberwachung in einer Zahnarztpraxis ist generell nicht zulässig. Wenn in besonderen Einzelfällen eine Videoüberwachung gewünscht ist, so hat der verantwortliche Praxisinhaber darzulegen, warum sein Interesse an der Videoüberwachung die Interessen der gefilmten Personen, von einer Videoüberwachung verschont zu bleiben, überwiegen.

Es bedarf somit eines konkreten und nachvollziehbaren Bedürfnisses an dieser Videoüberwachung.

Eine abstrakte Schilderung der Gefahr von  Einbrüchen wird dafür nicht ausreichen, da diese Gefahr nicht spezifisch nur die Zahnarztpraxis betrifft. Auch wenn die Praxis bereits von einem Einbruch betroffen war, dürfte sich daraus kein allgemeines Recht der „Rund um die Uhr“ Videoüberwachung ergeben. Hier wird sich das Recht auf eine Überwachung auf die Zeiten beschränken, zu denen die Praxis geschlossen ist.

Wird eine Überwachung zu den Betriebszeiten der Praxis vorgenommen und können somit unbeteiligte Personen (Patienten, Besucher) oder Mitarbeiter von dieser Überwachung betroffen werden, so ist gemäß § 4 Abs. 2 Bundesdatenschutzgesetz (BDSG) auf die Überwachung und den Verantwortlichen (bspw. durch ein Schild) hinzuweisen. Überdies sieht § 4 Abs. 4 BDSG vor, dass Personen, die gefilmt werden, Informationen über die Verarbeitung der Filmdaten gemäß Art. 13 und 14 EU-DSGVO  zugänglich zu machen sind.

Wird eine Videoüberwachung installiert, ist diese auch in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen (siehe Kapitel 5)!

Gespeicherte Filmaufnahmen sind unverzüglich zu löschen, wenn sie nicht mehr benötigt werden. Üblicherweise sollte die Speicherdauer einen Zeitraum von 48 Stunden nicht überschreiten.

Zum jetzigen Zeitpunkt sind uns keine Fallkonstellationen bekannt, die eine „Rund um die Uhr“ Videoüberwachung in der Zahnarztpraxis rechtfertigen. Soweit der Wunsch nach einer solchen Überwachung bestehen sollte, so empfehlen wir, zur Vermeidung von Verstößen gegen das Datenschutzrecht, sich vorab mit der Landesdatenschutzbehörde in Verbindung zu setzen. 

Weitergehende Informationen erhalten sie auch in dem Kurzpapier der Datenschutzkonferenz der Landesdatenschutzbehörden unter:

https://www.datenschutz.bremen.de/sixcms/media.php/13/DSK_Nr15_Video%FCberwachung.pdf
https://www.datenschutz.bremen.de/sixcms/media.php/13/DSK_Nr15_Video%FCberwachung.pdf

Welche Strafen drohen bei Verstößen gegen das Datenschutzrecht?

In § 83 EU-DSGVO sind Geldstrafen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes genannt. Diese Beträge werden leider von einigen Firmen dazu benutzt, ihre Dienstleistungen weniger gut informierten Ärzten zu verkaufen.

In Abs. 1 und 2 des § 83 EU-DSGVO ist weiter aufgeführt, dass Geldbußen zwar wirksam und abschreckend sein sollen, aber auch verhältnismäßig und der Schwere des Verstoßes angemessen. Bußgelder in der kolportierten Größenordnung für eine Zahnarztpraxis sind daher weder realistisch noch zu befürchten.

Bei der gesamten Diskussion um Bußgelder wird überdies nicht publiziert, dass in Deutschland über  § 41 BDSG die Festlegung der Bußgelder im Regelfall den Vorgaben des Gesetzes über Ordnungswidrigkeiten (OWiG) folgt. Dieses Gesetz eröffnet in § 56 Abs. 1 auch die Möglichkeit der Aussprache einer Verwarnung. Die Aussprache von Verwarnungen hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg bereits früher als Instrumentarium bei kleineren und nicht sehr gewichtigen Verstößen, sowie einem erkennbaren Bemühen aufgezeigte Mängel abzustellen, genutzt. Dies soll nach eigenem Bekunden auch der grundsätzliche Ansatz der Behörde in der Zukunft sein.

Datenschutz muss ernst genommen werden. Für Panikmache besteht jedoch keine Veranlassung.

Muss der Patient in die Speicherung seiner Daten vor Beginn der Behandlung schriftlich einwilligen?

Die Speicherung der Daten des Patienten erfolgt aufgrund eines mit dem Patienten geschlossenen Behandlungsvertrages. Die Verarbeitung der Daten ist somit durch Art. 6 Abs. 1 b) EU-Datenschutzgrundverordnung rechtmäßig. Da es sich um Gesundheits-daten handelt ergibt sich die Berechtigung zur Verarbeitung dieser Daten überdies auch aus Art. 9 Abs. 2 h) EU-Datenschutzgrundverordnung. Einer gesonderten schriftlichen Einwilligungserklärung des Patienten zur Verarbeitung seiner Daten bedarf es daher nicht. Wir weißen in diesem Zusammenhang auch auf die Erläuterungen im Kapitel 3 hin.

Davon abzugrenzen sind Patientendaten, die über die notwendigen Daten zur Erfüllung des Behandlungsvertrages hinausgehen. Bei dieser Art von Daten muss gewährleistet sein, dass der Patient über die Freiwilligkeit der Angabe dieser Daten informiert wird. Dies kann auf dem Anamnesebogen durch den Zusatz „freiwillige Angabe“ erfolgen. Dabei geht es beispielsweise um die Angaben zum Arbeitgeber und einer privaten Krankenzusatzversicherung. Ein Muster eines entsprechenden Anamnesebogens finden Sie im PRAXIS-Handbuch im Kapitel 3.1.5.13 Qualitätssicherung in der Zahnarztpraxis Anhang/ Formulare/ Praxisverwaltung unter:

https://lzk-bw.de/PHB/html/3.1.5.html

Auch für die in vielen Praxisverwaltungsprogrammen bestehende Möglichkeit, ein Foto des Patienten in der Kartei zu speichern, muss die Einwilligung des Patienten eingeholt werden.

 

Wie verhalte ich mich, wenn Patientenunterlagen von Gutachtern der Krankenkassen angefordert werden?

Krankenkassen und Kassenzahnärztliche Vereinigungen nehmen im System der Gesundheitsversorgung auch Kontrollrechte und Kontrollpflichten wahr. Zur Erfüllung dieser Aufgaben bedient man sich diverser Kommissionen und bestellter Gutachter. Grundlage hierfür bildet der Bundesmantelvertrag zwischen Kassenzahnärztlicher Bundesvereinigung und den Spitzenverbänden der gesetzlichen Krankenkassen. Es handelt sich um einen sogenannten Normsetzungsvertrag. Hier werden auch Auskunftspflichten der Kassenzahnärzte gegenüber diesen Institutionen geregelt.

Die EU-DSGVO sieht in Art. 9 Abs. 2 h), sowie in Art. 9 Abs. 2 i)  vor, dass die Verarbeitung von Gesundheitsdaten zum Zwecke der Versorgung und Behandlung im Gesundheits- und Sozialbereich, sowie von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Rechts eines Mitgliedstaats, sowie zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten zulässig ist, wenn der angemessene Schutz der übermittelten Daten gewährleistet ist.

Aufgrund dieser für den Bereich der öffentlichen Gesundheitssysteme der Mitgliedstaaten bestehenden Regelungen, kann nach heutigem Wissenstand von einer rechtmäßigen Verarbeitung der Gesundheitsdaten durch diese Institutionen ausgegangen werden. Eine abschließende Auslegung dieser gesetzlichen Regelungen steht zum jetzigen Zeitpunkt jedoch noch aus.

 

Wie verhalte ich mich, wenn Patientenunterlagen von privaten Krankenversicherungen angefordert werden?

Hierzu möchten wir auf unser Merkblatt unter

https://lzk-bw.de/fileadmin/user_upload/1.Zahn%C3%A4rzte/70.Geb%C3%BChrenrecht/4.01.05-Anforderung_Unterlagen_2013.pdf

hinweisen.

 

Wie verhalte ich mich, wenn die Apotheke anruft und Rückfragen zu einem ausgestellten Rezept hat?

Hierbei sind 2 Fälle zu unterscheiden:

1. Patient selber (oder Erziehungsberechtigter bei Kindern) holt die Medikamente in der Apotheke ab.

In diesem Fall kann die Apotheke den Arzt mit dem anwesenden Patienten kurz verbinden, so dass sich der Arzt davon überzeugen kann, dass es sich wirklich um seinen Patienten handelt, um dann mit dem Apotheker den fraglichen Sachverhalt zu klären.

2. Eine andere Person holt im Auftrag des Patienten die Medikamente ab.

In diesem Fall darf der Arzt keine Auskunft geben, da er nicht sicher sein kann, ob die Nachfrage von dem Patienten legitimiert wurde. Der Arzt sollte sich einen Nachweis der Legitimation übermitteln lassen.

 

Wie verhalte ich mich, wenn Patientenunterlagen von anderen Zahnärzten (nicht für Überweisungsfälle – siehe hierzu Kapitel 8 - ) angefordert werden?

Wenn der Patient den Zahnarzt wechselt (z.B. bei einem Wohnortwechsel) ist es natürlich im Interesse des Patienten, das Behandlungsunterlagen (vor allem Röntgenfotos) einem Nachbehandler zur Verfügung gestellt werden. Wenn der Patient selber darum bittet, die Unterlagen ihm oder dem neuen Zahnarzt zur Verfügung zu stellen, steht diesem Ansinnen nichts im Wege.

Hinsichtlich vor- mit- oder nachbehandelnder Zahnärzte besteht nach § 12 Abs. 3 der Berufsordnung die Verpflichtung die Dokumentation vorübergehend zu überlassen, sofern der Patient hiermit einverstanden ist. Das Einverständnis kann alternativ entweder durch Vorlage einer Schweigepflichtentbindung des Patienten, durch dokumentierte telefonische Bestätigung des Patienten, oder durch Verifizierung direkt beim anfragenden Zahnarzt erfolgen. Eine Verifizierung kann beispielsweise durch Abfrage von Geburtsdatum und Wohnort, sowie ggf. der Versicherungsdaten des Patienten beim anfragenden Zahnarzt vorgenommen werden.

Eine gewisse Sonderstellung nehmen Röntgenaufzeichnungen ein. Bei diesen besteht nach § 85 Abs. 3 Nr. 3 Strahlenschutzgesetz (StrlSchG) sogar die gesetzliche Pflicht diese an weiter untersuchende oder behandelnde Zahnärzte herauszugeben. Hintergrund ist die Vermeidung zusätzlich belastender Strahlenexpositionen. Hier ist bei Zweifeln an der Berechtigung, soweit nicht das Einverständnis des Patienten vorliegt, eine Verifizierung wie oben beschrieben beim anfragenden Zahnarzt zulässig.

 

Welche Löschfristen gelten für die Behandlungsunterlagen?

Die Löschfristen für die gespeicherten Daten der Patienten ergeben sich aus den gesetzlichen Aufbewahrungsfristen, insbesondere des § 630f Abs. 3 BGB und § 85 Abs. 2 StrlSchG und betragen regelmäßig mindestens 10 Jahre. Bei komplexen Behandlungsfällen kann auch eine Ausdehnung der Aufbewahrungsfrist bis zur absoluten Verjährungsfrist von 30 Jahren gerechtfertigt sein.

 

Wie kann der Zahnarzt auf Auskunftsersuchen von Patienten nach der EU-DSGVO reagieren?

Von Verbraucherverbänden werden zunehmend Musterschreiben zur Verfügung gestellt, mit Hilfe derer Verbraucher ihre Auskunftsrechte nach der EU-DSGVO vom Verarbeiter Ihrer Daten einfordern können. Zunächst ist Auskunft darüber zu geben, ob überhaupt personenbezogene Daten von der anfragenden Person gespeichert werden. Wenn dies nicht der Fall sein sollte, so können sie dies der anfragenden Person kurz in einem Satz mitteilen. Mehr muss in diesem Fall nicht veranlasst werden. Soweit Daten von der anfragenden Person gespeichert wurden, können Auskünfte nach Art. 15 EU-DSGVO verlangt werden. Die Auskünfte sollten sich daran orientieren, was die anfragende Person geltend macht. Um den Praxen Hilfestellung zu diesen komplexen Anfragen zu geben, haben wir ein Muster eines Antwortschreibens entwickelt, dass sich rechts im Downloadbereich befindet.Wie kann der Zahnarzt auf Auskunftsersuchen  von Patienten nach der EU-DSGVO reagieren?

Von Verbraucherverbänden werden zunehmend Musterschreiben zur Verfügung gestellt, mit Hilfe derer Verbraucher ihre Auskunftsrechte nach der EU-DSGVO vom Verarbeiter Ihrer Daten einfordern können. Zunächst ist Auskunft darüber zu geben, ob überhaupt personenbezogene Daten von der anfragenden Person gespeichert werden. Wenn dies nicht der Fall sein sollte, so können sie dies der anfragenden Person kurz in einem Satz mitteilen. Mehr muss in diesem Fall nicht veranlasst werden. Soweit Daten von der anfragenden Person gespeichert wurden, können Auskünfte nach Art. 15 EU-DSGVO verlangt werden. Die Auskünfte sollten sich daran orientieren, was die anfragende Person geltend macht. Um den Praxen Hilfestellung zu diesen komplexen Anfragen zu geben, haben wir ein Muster eines Antwortschreibens entwickelt, dass sich rechts im Downloadbereich befindet.

 

Was haben Amazons Alexa oder Googles Home in einer Zahnarztpraxis zu suchen?

Nichts. Diese sogenannten Sprachassistenten benötigen eine Internetanbindung und werden mittels eines Sprachbefehles („Alexa“) aus dem Standby-Modus „geweckt“. Die gesprochenen Befehle werden mittels Spracherkennung umgewandelt und – bei korrekter Umsetzung – ausgeführt. Bei beiden Systemen amerikanischer Hersteller ist unklar, wo die Spracherkennung stattfindet und welche Daten dabei wo und in welchem Umfang gespeichert werden. Ebenfalls ist nicht geklärt, ob auch schon im Standby-Modus eine Datenerfassung und Datenübertragung stattfindet. Da in einer Praxis Gesundheitsdaten von Patienten kommuniziert werden, entsprechen diese Sprachassistenten nicht den Vorgaben der EU-DSGVO was die Verarbeitung und den Schutz von Patientendaten betrifft.

Da inzwischen auch viele Smartphones mit derartigen Sprachassistenten (z.B. Apples „Siri“) versehen sind, sollten auch Patientenhandys zum eigenen Schutz der Patienten in Zahnarztpraxen ausgeschaltet oder zumindest in den Flugmodus versetzt werden.

 

Was hat eine Praxis zu beachten, wenn sie ihren  Patienten einen Newsletter anbietet?

FFür die Anmeldung zu einem Newsletter wird die Einwilligung des Patienten über die Nutzung des sogenannten Double-opt-in-Verfahren eingeholt. Dies bedeutet, dass der Patient nach Anmeldung zum Newsletter eine E-Mail bekommt, in der er die Anmeldung nochmals mit einem übermittelten Link bestätigen werden muss. Dieses Verfahren dient dem Nachweis, dass die Anmeldung tatsächlich von dem Patienten veranlasst wurde. Des Weiteren muss der Newsletter einen Link enthalten, mit dem der Patient diesen jederzeit einfach wieder abbestellen kann. Enthält der Newsletter keinen Link, so ist zumindest eine E-Mail-Adresse anzugeben, über die eine Abmeldung des Newsletters vorgenommen werden kann.

Für die Bereitstellung eines Newsletters für Patienten ist ein Verzeichnis der Verarbeitungstätigkeit anzulegen. Einen Mustertext befindet sich im Kapitel 5.

 

Was hat eine Praxis zu beachten, wenn sie ihren  Patienten einen Recall- oder Terminerinnerung-/ Terminbenachrichtigungsservice anbietet?

Da es sich um einen nicht zwingend notwendigen Service zur Erfüllung des Behandlungsvertrages handelt, ist hierfür die Einwilligung des Patienten einzuholen. Der Patient ist über die dafür notwendige Verarbeitung seiner Daten aufzuklären. Er muss die Möglichkeit haben, den Service jederzeit wieder abbestellen zu können. Die derzeitigen Praxisverwaltungsprogramme bieten diesen Service heute in Form von E-Mails oder SMS an, die allerdings unverschlüsselt gesendet werden. Auch hierüber ist der Patient zu informieren und sein Einverständnis einzuholen.

 

Zurück zur Übersicht über die EU-DSGVO!

Erstellt von: Andrea Mader, 09.07.2018

Aktualisiert von: Claudia Richter, 11.04.2019