DSGVO:
Regeln für die Zahnarztpraxis
Stichtag 25. Mai 2018 – seit dem gilt die Europäische Datenschutzgrundverordnung (DSGVO). Ihr Ziel: europaweit ein einheitliches Datenschutzniveau zu erreichen sowie den Datenschutz an die fortschreitende Digitalisierung und Globalisierung anzupassen. Die DSGVO hat den Datenschutz zwar nicht neu erfunden und viele ihrer Vorgaben existierten bereits im deutschen Datenschutzrecht. Hinzu gekommen sind allerdings Informations- und Dokumentationspflichten, die alle datenverarbeitenden Unternehmen - auch Zahnarztpraxen - erfüllen und gegenüber der Datenschutzbehörde nachweisen müssen. Auf dieser Seite informieren wir Sie über die für Zahnarztpraxen relevanten Regelungen der DSGVO, geben Ihnen Handlungsempfehlungen und bieten Ihnen Musterformulare an.
DSGVO: Um welche Daten geht es?
Die Vorgaben der Datenschutzgrundverordnung greifen, sobald personenbezogene Daten von EU-Bürgern erhoben, gespeichert oder weitergegeben, sprich verarbeitet werden. Das sind alle Informationen, durch die sich eine natürliche Person (in der Zahnarztpraxis sind das Patienten, Mitarbeiter und Dienstleister) identifizieren lässt. Das ist zum Beispiel der Name, die Anschrift und Telefonnummer, die Sozialversicherungsnummer, die E-Mail- und IP-Adresse sowie Gesundheitsdaten wie Versicherungsnummern, Befunde, Röntgenaufnahmen etc.
Wann ist die Datenverarbeitung erlaubt?
Unter der DSGVO gilt weiterhin das Verbot mit Erlaubnisvorbehalt: Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn die betroffene Person eingewilligt hat oder eine gesetzliche Vorschrift dies erlaubt. Im Rahmen der Behandlung beruht die Datenverarbeitung auf einer gesetzlichen Grundlage, sodass es keiner expliziten Einwilligung des Patienten bedarf.
Diese Daten dürfen allerdings nicht für andere Zwecke genutzt werden. Sollen sie zum Beispiel an Dritte zur Abrechnung weitergeleitet werden, muss der Patient einwilligen. Die Einwilligung kann formfrei, also auch mündlich, erfolgen. Damit der Praxisinhaber die Einwilligung nachweisen kann, sollte sie aber schriftlich auf einem separaten Formular eingeholt werden. Dieses wird der Patientenakte beigelegt.
Wichtig auch: Einwilligungserklärungen müssen einen Hinweis darauf erhalten, dass Patienten ihr Einverständnis jederzeit widerrufen können.
Erste Schritte zur Umsetzung der DSGVO
Der Datenschutz ist auch unter der DSGVO Chefsache. Praxisinhaber sollten sich intensiv mit dem Datenschutzrecht auseinandersetzen und die bestehenden Prozesse, mit denen Daten in ihrer Praxis verarbeitet werden, kritisch prüfen und an die DSGVO anpassen. Insbesondere sollten Sie zunächst
- prüfen, ob Sie einen Datenschutzbeauftragten benötigen und wenn ja, benennen Sie diesen.
- Führen Sie eine Bestandsaufnahme durch, welche Daten Sie in Ihrer Praxis verarbeiten und stellen Sie daraufhin Verzeichnisse der Verarbeitungstätigkeiten auf.
- Prüfen Sie alle Einwilligungserklärungen, Verträge mit Dritten etc. und passen Sie sie an die neuen Datenschutzvorgaben an.
- Sprechen Sie Ihren IT-Dienstleister an, ob Ihr Sicherheitskonzept den DSGVO-Vorgaben entspricht und lassen Sie es bei Bedarf aktualisieren.
- Vergessen Sie nicht Ihre Mitarbeiter. Sensibilisieren Sie sie für die neuen Regelungen und schulen Sie sie bei Bedarf.
Beachten Sie auch unsere Checkliste Datenschutz und unsere ausführliche Information in KZV aktuell 2/2018.
Aktuelle Informationen, Arbeitshilfen und einen Fragen-Antworten-Katalog bietet zudem der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz auf seiner Internetseite www.datenschutz.rlp.de an.
Wie sind Patienten zu informieren?
Zahnarztpraxen müssen ihre Patienten leicht verständlich darüber unterrichten, was mit ihren Daten passiert. Hierfür bietet sich eine Patienteninformation an, die zum Beispiel im Wartezimmer ausgelegt und zusätzlich jedem Alt- und Neupatienten ausgehändigt wird. Dies sollte in der Patientenakte vermerkt werden. Folgende Angaben muss die Information enthalten:
- Kontaktdaten der Praxis und ggf. des Datenschutzbeauftragten
- Zwecke der Datenverarbeitung
- Empfänger der Daten, zum Beispiel KZV, Krankenkassen, private Abrechnungsstellen
- Übermittlung von Daten ins EU-Ausland (z.B. bei der Nutzung von Cloud-Diensten)
- geplante Speicherdauer der Daten
- datenschutzrechtliche Ansprüche des Patienten: Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht auf Datenübertragbarkeit, auf Beschwerde sowie auf Widerruf einer Einwilligung
Wir stellen Ihnen die Vorlage einer Patienteninformation für GKV-Patienten zur Nutzung in Ihrer Praxis zur Verfügung. Da es sich um ein Muster handelt, ist es an die Anforderungen und Gegebenheiten in der jeweiligen Praxis anzupassen. Hier finden Sie zudem die darin erwähnte Übersicht der Aufbewahrungsfristen vertragszahnärztlicher Behandlungsunterlagen.
Wie sind Mitarbeiter zu informieren?
Praxisinhaber müssen all ihre Beschäftigten darüber informieren, welche ihrer personenbezogenen Daten er als Arbeitgeber speichert und wozu er sie verarbeitet. Grundsätzlich dürfen Arbeitgeber nur die Daten ihrer Mitarbeiter erheben und verarbeiten, die zur Beschäftigung zwingend erforderlich sind. Für jede darüber hinausgehende Erhebung und Nutzung der personenbezogenen Daten bedarf es der Einwilligung der Mitarbeiter.
Hier finden Sie ein Muster für eine enstprechende Mitarbeiterinformation. Diese ist natürlich an Ihre Praxisgegebenheiten anzupassen.
Bitte beachten Sie auch, dass bereits in einem Bewerbungsverfahren die Bewerber über die Verarbeitung personenbezogener Daten informiert werden müssen. Hierfür eignet sich diese Information.
Weitere Informationen erhalten Sie in dem Kurzpapier Nr. 14 der Datenschutzkonferenz.
Datenschutzerklärung für Webseiten
Auch Datenschutzerklärungen auf Webseiten müssen den Vorgaben der DSGVO entsprechen und unter anderem enthalten:
- Angabe des Namen und der Kontaktdaten der Praxis und ggf. der Kontaktdaten (jedoch ohne Namen) des Datenschutzbeauftragten
- Für jede Funktion auf der Webseite, die personenbezogene Daten nutzt, muss separat der Zweck der Datenverarbeitung benannt werden. Beispiele: Persönliche Daten, die im Zuge einer Anfrage über ein Kontaktformular übermittelt werden, werden ausschließlich zur Korrespondenz genutzt. E-Mail-Adressen, die zur Anmeldung eines Newsletters übermittelt werden, werden ausschließlich für dessen Versand verwendet.
- Zu informieren ist über den Einsatz von Cookies und Analysetools wie Google Analytics.
- Werden Daten an Dritte übermittelt, müssen diese entweder namentlich aufgeführt werden oder es müssen zumindest die Empfängergruppen, zu denen diese Dritten gehören, genannt werden, zum Beispiel Krankenkassen oder Abrechnungsstellen.
- Die Datenschutzerklärung sollte von jeder Seite der Webseite aus abrufbar sein.
Hilfestellungen zum Verfassen einer Datenschutzerklärung für Webseitenbetreiber nach den Vorgaben der DSGVO gibt es auf der Seite der Landesdatenschutzbehörde.
Benennung eines Datenschutzbeauftragten
Nach der DSGVO benötigen Praxen einen Datenschutzbeauftragten. Das ist dann der Fall, wenn mindestens zehn Mitarbeiter einschließlich des Praxisinhabers Daten verarbeiten. Dazu zählen auch Auszubildende und Teilzeitkräfte. Ausgenommen sind Reinigungskräfte. Diese "10-Personen-Regel" gilt für jede Praxisform (Einzelpraxis, Berufsausübungs- oder Praxisgemeinschaft, MVZ). Unabhängig von dieser Regel kann ein Datenschutzbeauftragter freiwillig benannt werden.
Bei einer umfangreichen Verarbeitung von Daten ist ebenfalls ein Datenschutzbeauftragter zu benennen, wobei der Begriff „umfangreich“ bislang nicht konkretisiert ist. Einzelpraxen sind nach derzeit herrschender juristischer Meinung nicht dazu verpflichtet. Bei BAG oder Praxen mit mehreren angestellten Zahnärzten könnte die Bestellung eines Datenschutzbeauftragten allerdings erforderlich sein. Die deutschen Datenschutzbehörden haben den Sachverhalt inzwischen konkretisiert. Bitte lesen Sie hierzu die Information der Datenschutzkonferenz zur Bestellpflicht eines Datenschutzbeauftragten.
Die Aufgabe des Datenschutzbeauftragten kann ein fachlich qualifizierter Mitarbeiter oder auch ein externer Beauftragter, aber nicht der Praxisinhaber übernehmen. Der Datenschutzbeauftragte ist der Praxisleitung unterstellt, aber weisungsunabhängig. Er überwacht die Datenverarbeitung in der Praxis, unterrichtet und berät die Praxisleitung und wirkt auf die Einhaltung des Datenschutzrechtes und der Datenschutzmaßnahmen hin. Zudem soll er die Mitarbeiter sensibilisieren und schulen.
Die Kontaktdaten des Datenschutzbeauftragten sind betriebsintern und -extern auf der Internetseite zu veröffentlichen und der Aufsichtsbehörde mitzuteilen. Er ist zudem der Ansprechpartner für die Datenschutzbehörde. Bitte nutzen Sie für die Meldung des Datenschutzbeauftragten Ihrer Praxis an die Datenschutzbehörde dieses Online-Formular.
Was sind Verzeichnisse von Verarbeitungstätigkeiten?
Die DSGVO verpflichtet Zahnarztpraxen, jegliche Datenverarbeitung zu dokumentieren. Dazu müssen sie Verzeichnisse über alle Verfahren, mit denen Daten verarbeitet werden, führen. Dazu zählt unter anderem:
- Personalverwaltung
- Verarbeitung von Patientendaten zur Behandlung
- Verarbeitung von Patientendaten zur Abrechnung über die KZV bzw. die PVS
- Betrieb der Internetseite mit Möglichkeit der Online-Terminbuchung
Die Verzeichnisse müssen der Datenschutzbehörde zur Verfügung gestellt werden können. Sie sind schriftlich oder elektronisch (Word- oder Exceldatei) zu führen mit folgenden Inhalten:
- Kontaktdaten der Praxis und ggf. des Datenschutzbeauftragten
- der Zweck der Datenverarbeitung (zum Beispiel Patientenbehandlung, Arbeitszeiterfassung, Gehaltsabrechnung)
- die Personenkreise, deren Daten verarbeitet werden (Patienten, Mitarbeiter, Dienstleister)
- die Art der verarbeiteten Daten
- die Empfänger der Daten (KZV, Krankenkassen, private Abrechnungsstellen etc.)
- die Übermittlung von Daten ins EU-Ausland
- die vorgesehenen Fristen für die Löschung der Daten
- technische und organisatorische Maßnahmen zum Datenschutz
Hier finden Sie Muster für Verzeichnisse wesentlicher Verarbeitungstätigkeiten in einer Zahnarztpraxis mit dem Stand 20. April 2018. Die Verzeichnisse sind als Excel-Dateien angelegt und können von Ihnen am Computer ausgefüllt und elektronisch gespeichert werden. Die Dateien sind zur besseren Verständlichkeit exemplarisch ausgefüllt und müssen an die Gegebenheiten in Ihrer Praxis angepasst werden.
Musterverzeichnis "Personalverwaltung"
Musterverzeichnis "Verarbeitung von Patientendaten zur Behandlung"
Musterverzeichnis "Verarbeitung von Patientendaten zur Abrechnung über die KZV bzw. die PVS"
Musterverzeichnis "Betrieb der Internetseite mit Möglichkeit der Online-Terminbuchung"
Welche technischen und organisatorischen Schutzmaßnahmen sind zu treffen?
Die DSGVO konkretisiert, welche technischen und organisatorischen Maßnahmen (TOM) eine Praxis zur Wahrung des Datengeheimnisses treffen muss:
- Verschlüsselung personenbezogener Daten zur Vermeidung unbefugter Zugriffe
- Pseudonomisierung personenbezogener Daten zur Vermeidung einer missbräuchlichen Nutzung
- Gewährleistung der Integrität, Vertraulichkeit, Verfügbarkeit und Belastbarkeit der IT-Systeme und Dienste
- Wiederherstellbarkeit der Daten nach technischen Zwischenfällen
- regelmäßige Überprüfungen der Systeme und der Schutzmaßnahmen
In der Regel erfüllen Zahnarztpraxen diese Anforderungen bereits. Dennoch ist es ratsam, das praxisinterne Sicherheitskonzept mithilfe von IT-Experten auf den Prüfstand zu stellen und bei Bedarf zu aktualisieren.
Basisschutzmaßnahmen sind zum Beispiel:
- Physischer Schutz: Die Aktenschränke und Serverräume sind stets verschlossen.
- Benutzerverwaltung: Sie haben festgelegt, welcher Mitarbeiter wann auf welche Daten zugreifen darf.
- Datenschutzbeauftragter: Sie beschäftigen zehn Mitarbeiter und mehr haben einen Datenschutzbeauftragten benannt.
- Datenportabilität: Patientendaten verlassen Ihre Praxis nur verschlüsselt. Wie Sie sensible Informationen verschlüsselt per E-Mail versenden, erfahren Sie in dieser Praxisinformation zum Programm 7-Zip.
- IT-Sicherheit: Sie verwenden immer eine aktuelle Virenschutz-Software und eine Firewall.
- Dienstleister: Ihre Dienstleister haben sich zur Wahrung des Datengeheimnisses verpflichtet.
- Mitarbeiter: Ihre Mitarbeiter sind im Datenschutz geschult und dafür sensibilisiert, wie sie in der Kommunikation mit den Patienten die Vertraulichkeit wahren.
Was ist eine Datenschutzfolgeabschätzung?
Darüber hinaus kann es erforderlich sein, dass eine Praxis eine Datenschutzfolgeabschätzung durchführen muss. Dies ist jedoch nur dann der Fall, wenn aufgrund des Umfangs und des Zwecks der Datenverarbeitung ein hohes Datenschutzrisiko besteht. Das kann zum Beispiel bei einer Videoüberwachung der Praxis zutreffen. Wird infolge einer Datenschutzfolgeabschätzung ein hohes Risiko festgestellt, muss die Praxis unabhängig von der Mitarbeiterzahl einen Datenschutzbeauftragten benennen.
Was ändert sich in der Auftragsverarbeitung?
Immer dann, wenn eine Zahnarztpraxis einen Dienstleister beauftragt und dieser Zugriff auf Patienten- oder Mitarbeiterdaten bekommt, muss ein Vertrag zur Auftragsverarbeitung geschlossen werden. Das ist zum Beispiel für die Wartung der Praxis-IT der Fall oder wenn Sie Ihre Praxis-Homepage auf einem externen Server verwalten lassen und dort IP-Adressen gespeichert oder über ein Kontaktformular personenbezogene Daten der Nutzer abgefragt werden.
Auftragsverarbeitung können laut der Datenschutzkonferenz (DSK-Kurzpapier Nr. 13) zudem folgende Dienstleitungen sein:
- DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren
- Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist
- Werbeadressenverarbeitung in einem Lettershop
- Verarbeitung von Kundendaten durch ein Call-Center ohne wesentliche eigene Entscheidungsspielräume dort
- Auslagerung der E-Mail-Verwaltung
- Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
- Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen,
- Datenträgerentsorgung durch Dienstleister
Keine Verträge über die Auftragsverarbeitung gemäß DSGVO müssen geschlossen werden
- mit der Kassenzahnärztlichen Vereinigung.
- mit zahntechnischen Laboren. Nach Ansicht der rheinland-pfälzischen Datenschutzbehörde ist deren Zusammenarbeit keine Auftragsverarbeitung im datenschutzrechtlichen Sinne, da der Auftrag nicht die Datenverarbeitung an sich, sondern die Fertigung von Zahnersatz umfasst. Das entbindet Zahnarzt und Labor allerdings nicht davon, ihre Zusammenarbeit vertraglich zu regeln.
- mit Berufsgeheimnisträgern wie Steuerberatern oder Rechtsanwälten oder mit einem Postdienst für den Brieftransport (siehe DSK-Kurzpapier Nr. 13).
Verträge über die Auftragsverarbeitung sind schriftlich oder elektronisch zu schließen. Bestehende Verträge können fortbestehen. Sie sollten aber überprüfen, ob sie konform mit dem neuen Datenschutzrecht sind. Ein Vertrag muss beinhalten:
- Gegenstand und Dauer der Vereinbarung
- Art und Zweck der Datenverarbeitung
- Art der personenbezogenen Daten und Kategorien betroffener Personen
- Weisungsbefugnisse des Auftraggebers
- Verpflichtung zur Vertraulichkeit des Auftragsverarbeiters
- Sicherstellung von technischen und organisatorischen Maßnahmen
- Unterauftragsverhältnisse mit Subunternehmern
- Unterstützung des Auftraggebers bei der Meldepflicht bei Datenschutzverletzungen
- Datenrückgabe oder -löschung nach Abschluss der Auftragsverarbeitung
- Kontrollrechte des Auftraggebers und Duldungspflichten des Auftragsverarbeiters
Einen Mustervertrag über die Auftragsverarbeitung bietet die Datenschutzbehörde an.
Meldepflicht bei Datenschutzverstößen
Jeder Verstoß gegen das Datenschutzrecht muss künftig binnen 72 Stunden nach Bekanntwerden an die zuständige Datenschutzbehörde gemeldet werden. Die Meldung muss die Art des Verstoßes und der Daten sowie die Art und Zahl der betroffenen Personen enthalten. Nicht fehlen darf eine Beschreibung der wahrscheinlichen Folgen und der ergriffenen oder vorgeschlagenen Gegenmaßnahmen.
Konakt zur Datenschutzbehörde Rheinland-Pfalz:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Postfach 30 40
55020 Mainz
Tel.: 06131 208-2449
Fax: 06131 208-2497
poststelle (at) datenschutz.rlp.de
www.datenschutz.rlp.de
Weitere Informationen
Aktuelle Informationen und Arbeitshilfen bietet ferner der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz auf seiner Internetseite www.datenschutz.rlp.de an. Orientierung und Hinweise gibt auch die Initiative "Mit Sicherheit gut behandelt" unter www.mit-sicherheit-gut-behandelt.de.
Die KZBV und die BZÄK haben zudem ihren „Datenschutz- und Datensicherheitsleitfaden für die Zahnarztpraxis-EDV“ überarbeitet und an die Vorgaben der DSGVO angepasst. Die Landeszahnärztekammer Rheinland-Pfalz hat die rechtlichen Neuerungen in das Zahnärztliche Qualitätsmanagement-System (Z-QMS) integriert.