· Fachbeitrag · Datenschutz
Datenschutz in der Zahnarztpraxis ‒ auf den Punkt gebracht
von Silke Lehmann-Binder, ZQMS-Beauftragte der LZK Hessen
| Die im Mai letzten Jahres in Kraft getretene Datenschutzgrundverordnung (DS-GVO) hat viele Praxen in Aufruhr versetzt und Fragen aufgeworfen. Dieser Beitrag gibt Ihnen einen Überblick über die wichtigsten Anforderungen nach den neuen Datenschutzregeln, die in jeder Praxis umgesetzt werden können. Wenn Sie die erstellten Dokumente in einem Datenschutzhandbuch zusammenstellen, können Sie diese bei eventuellen Nachfragen von Behörden jederzeit vorlegen. |
Der Datenschutzbeauftragte ‒ notwendig oder nicht?
Zunächst ist zu klären, ob ein Datenschutzbeauftragter (DSB) in Ihrer Praxis notwendig ist. Die Aussagen dazu variieren derzeit noch. Es ist sinnvoll, sich bis auf Weiteres der Auffassung der Bundeszahnärztekammer (BZÄK) und der Bundesärztekammer anzuschließen. Demnach ist die Bestellung eines DSB für Arzt- und Zahnarztpraxen nur verpflichtend, wenn mindestens zehn Personen regelmäßig mit der Datenverarbeitung beschäftigt sind. Das trifft in der Regel auf jeden zu, der in der Praxis arbeitet ‒ also die Chefs und ihr Personal, nicht aber die Reinigungskraft.
Sollte in Ihrer Praxis ein DSB notwendig sein, gibt es zwei Möglichkeiten: Die Praxis kann entweder einen externen DSB beauftragen oder einen internen Datenschutzbeauftragten bestellen. Der Praxisinhaber selbst darf diese Rolle nicht übernehmen, da er sich nicht selber beraten kann. Auch bei nahen Angehörigen geht man davon aus, dass diese in einen Gewissenskonflikt geraten könnten. Einem Mitarbeiter oder einer Mitarbeiterin können die Aufgaben jedoch übertragen werden.
Haben Sie sich für einen DSB entschieden, muss dieser noch der zuständigen Datenschutzbehörde gemeldet werden.
Dokumentationen, Vereinbarungen und Verträge
Die DS-GVO setzt auf Transparenz. Legen Sie daher in jedem Fall die Zuständigkeiten in Sachen Datenschutz der Praxis eindeutig fest. Es muss dokumentiert werden, wer für welchen Bereich des Datenschutzes zuständig ist (z. B. verantwortlich für EDV, Patientenakten, Personalakten, Internetseite etc.). Erfahrungen haben gezeigt, dass in kleineren Praxen diese Aufgaben meistens der Praxisinhaber übernimmt. In größeren Praxen liegen die Zuständigkeiten häufig bei Verwaltungsangestellten.
Es reicht ein einfaches Dokument aus, in dem Sie die Zuständigkeiten mit den entsprechenden Kontaktdaten dokumentieren. Gegliedert werden sollte ein solches Dokument wie folgt:
A. Grundsätzliche Verantwortlichkeit
- 1. Verantwortliche/r Praxisinhaber/in
- 2. Datenschutzbeauftragte/r (wenn in der Praxis vorhanden)
B. Abteilungsbezogene Zuständigkeit
- 1. Zuständige/r für EDV (wenn in der Praxis vorhanden)
- 2. Zuständige/r für Patientenakten
- 3. Zuständige/r für Personalakten
- 4. Zuständige/r für Internetseite (wenn in der Praxis vorhanden)
- 5. Zuständige/r für ... (optional für ggf. in der Praxis bestehende Vorgänge, z. B. Facebook-Auftritt)
C. Maßnahmenbezogene Zuständigkeit (zu Ziffer 1‒4: wenn ein DSB bestellt wurde, ist dieser verantwortlich)
- 1. Zuständige/r für Risikobeurteilung zur Folgenabschätzung
- 2. Zuständige/r für Anfragen der Datenschutzbehörde
- 3. Zuständige/r für Patientenanfragen
- 4. Zuständige/r bei Datenpannen
- 5. Zuständige/r für ... (optional für ggf. in der Praxis anfallende Maßnahmen, z. B. Datenvernichtung)
PRAXISTIPP | Sie erhalten mittlerweile von zahlreichen Anbietern Mustervorlagen für die unterschiedlichen Dokumentationsanforderungen ‒ z. B. aus dem „Zahnärztlichen Qualitätsmanagementsystem ‒ ZQM“ (www.zqms.de, in fast allen Bundesländern wird dieses System von den zuständigen Zahnärztekammern zum Teil kostenfrei und nach erfolgter Registrierung zur Verfügung gestellt). |
Verarbeitungsverzeichnis erstellen ‒ ein „ziemlicher Brocken“
Sie benötigen ein Verarbeitungsverzeichnis, in dem alle in der Praxis stattfindenden Datenverarbeitungsvorgänge dokumentiert sind. Dies betrifft die Verarbeitung von Patientendaten, aber auch von Daten der Arbeitnehmer. Dazu gehören z. B. Erfassen von Stammdaten der Patienten, Führen von Behandlungskarteien, Gehaltszahlungen etc.
Dieses Verzeichnis zu erstellen ist eine Fleißaufgabe. Wenn Sie es aber einmal geschafft haben, muss es bei Bedarf „nur noch“ aktualisiert oder ergänzt werden.
PRAXISTIPP | Die gute Nachricht: Die Zahnärztekammern stellen Ihnen „Musterverarbeitungsverzeichnisse“ zur Verfügung. Diese können Sie an Ihre Praxisgegebenheiten anpassen und verwenden. |
Die Erarbeitung dieses Verzeichnisses können Sie für die von der DS-GVO geforderte „Lückensuche“ (Gap Analysis) nutzen. Hierbei soll jedes einzelne Verfahren im Hinblick auf mögliche Schwachstellen überprüft werden. Zu diesen Schwachstellen zählen laut BZÄK vor allem:
| |
Datensparsamkeit | Ist die Vorhaltung von Daten und deren Verarbeitung tatsächlich notwendig? |
Datenrichtigkeit | Ist gewährleistet, dass Patientendaten stets auf dem neuesten Stand sind, Fehler berichtigt und unrichtige Daten gelöscht werden? |
Rechtmäßigkeit | Ist die Datenverarbeitung überhaupt erlaubt? Dient die Datenverarbeitung der Erfüllung des Behandlungsvertrags, der Gesundheitsvorsorge oder dem Schutz der öffentlichen Gesundheit? Gibt es Einwilligungen der Patienten? |
Löschfristen | Werden Daten gelöscht, sobald sie nicht mehr benötigt werden? Gibt es eine Löschroutine, die ein rechtzeitiges Löschen gewährleistet? |
Zugriffsrechte | Haben Mitarbeiter ausschließlich Zugriff auf Daten, die sie für ihre jeweiligen Aufgaben benötigen? |
Zugangskontrolle | Sind die Rechner in den Praxisräumen ausreichend gegen den Zugang durch Unbefugte geschützt? Gibt es eine Zugangssicherung und Passwörter für die Rechner, Tablets und Smartphones der Praxis? Gibt es abschließbare Praxisräume und Aktenschränke? |
Schutz gegen Hacker und Malware | Gibt es eine Firewall? Sind aktuelle Virenscanner installiert? |
Wofür benötigt man Einwilligungen des Patienten?
Möglicherweise ist es Ihnen im vergangenen Jahr auch so ergangen, dass Sie bei jedem Arztbesuch diverse Einwilligungserklärungen unterschreiben mussten. Allen voran die Einwilligung, dass die Patientendaten überhaupt erhoben und gespeichert werden dürfen.
Grundsätzlich gilt zwar, dass „jeder, der Daten verarbeitet, dafür eine Rechtfertigung benötigt“. Bei Patientendaten ‒ unabhängig ob Kassen- oder Privatpatient ‒ ergibt sich die Erlaubnis aber bereits aus dem Behandlungsvertrag bzw. aus den verschiedenen gesetzlichen Verpflichtungen u. a. zur Dokumentation und Abrechnung. Daher benötigen Sie für die Verwendung dieser Daten keine ausdrückliche Einwilligung der Patienten. Sie könnten ohne die Dokumentation die zahlreichen gesetzlichen Verpflichtungen nicht erfüllen. Auch die Abrechnung der erfolgten Behandlung mit den Krankenkassen wäre nicht möglich.
Eine Einwilligung des Patienten muss dagegen erfolgen, wenn Sie die Daten darüber hinaus verwenden ‒ z. B. für ein Recallsystem, die Versendung von Behandlungsangeboten oder die Weitergabe an ein externes Abrechnungsinstitut.
PRAXISTIPP | Was häufig vergessen wird, ist die freiwillige Einwilligung der Mitarbeiter, wenn z. B. mit Fotos auf der Praxiswebsite oder dem Praxisflyer geworben wird. |
Sichern Sie die Praxis nach außen ab!
Bislang wurden wohl nur sehr wenige Praxen von einer Datenschutzbehörde kontrolliert. Sie müssen jedoch auf die Möglichkeit vorbereitet sein, dass Ihrer Praxis von Patienten oder Anwälten datenschutzrechtliche Versäumnisse vorgeworfen werden. Hinterlegen Sie daher unbedingt auf der Internetseite eine Datenschutzerklärung der Praxis. Auch hierfür existieren zahlreiche Muster, die Sie an die Praxisbesonderheiten anpassen und verwenden können.
PRAXISTIPP | Zudem müssen die Patienten auch in der Praxis die Möglichkeit haben, sich über den Umgang mit ihren Daten zu informieren. Legen Sie daher eine praxisindividuelle Datenschutzerklärung im Wartezimmer oder an der Anmeldung aus. Dann kann sich jeder interessierte Patient darüber informieren. |
Übermittlung personenbezogener Daten
Von Zahnarztpraxen werden auch personenbezogene Daten an externe Stellen und Unternehmen übermittelt. Bitte prüfen Sie, ob es sich dabei um eine Auftragsdatenverarbeitung handelt.
|
|
In Zahnarztpraxen gehören zur Auftragsdatenverarbeitung z. B. die Übermittlung von Daten an einen Aktenvernichter, Zugriffe auf Patienten- und Personaldaten durch EDV-Wartung oder Software Support etc. Für diese Fälle ist es zum Schutz der Daten notwendig, Auftragsdatenverarbeitungsverträge mit den Unternehmen abzuschließen.
Leider ist die für Sie relevante Frage nach der Notwendigkeit der AV-Verträge mit Dentallaboren nicht abschließend geklärt. In Rheinland-Pfalz und Hessen sind z. B. nach erfolgter Prüfung keine Verträge mehr mit Dentallaboren notwendig. Erkundigen Sie sich diesbezüglich am besten bei der jeweiligen Kammer oder der Landesbehörde zum Datenschutz, welche Forderungen in Ihrem Bundesland gestellt werden.
Weiterführende Hinweise
- Inzwischen gibt es im Web viele Mustervorlagen für die unterschiedlichen Dokumentationsanforderungen. Drei wichtige hat das „Zahnärztliche Qualitätsmanagementsystem“ (ZQMS) PPZ zur Verfügung gestellt: „Zuständigkeiten zur Erfüllung von DS-Aufgaben“, „Verarbeitungsverzeichnis“ und „Lokale Datenschutzerklärung (Patienten)“. Sie finden diese Vorlagen auf www.zqms.de sowie auf ppz.iww.de unter „Downloads“.
- Detaillierte Informationen zum Datenschutz erhalten Sie in dem IWW-Webinar „Lösungen für aktuelle DS-GVO-Fragen“. Die Referentin Heike Mareck, Rechtsanwältin und externe Datenschutzbeauftragte, beantwortet Ihre aktuellen Praxisfragen und zeigt, was die Datenschutzbehörden jetzt von den Praxen erwarten (Termin: Mittwoch, 20.02.2019, 14‒16 Uhr; zu Fortbildungspunkten, Inhalten und Anmeldung siehe iww.de/s2326).