Laborführung


Gute Argumente! – Warum Sie sich im Labor mit dem Thema Datenschutz befassen sollten

Datenschutz muss auch im Labor ein wichtiges Thema sein.
Datenschutz muss auch im Labor ein wichtiges Thema sein.

Um den Datenschutz kommt auch im Dentallabor niemand mehr herum. Die gute Nachricht an alle Laborleiter: Neben den Pflichten bieten sich in der Umsetzung der Vorgaben auch viele Chancen. Drei gute Gründe aus Rechtsprechung, Marketing und Unternehmenssicherung sprechen dafür, sich näher mit dem Thema Datenschutz zu befassen, sagen unsere Autoren Hans-Gerd Hebinck und Karsten Schulz.

Das gewerbliche Dentallabor unterliegt dem Bundesdatenschutzgesetz, weil in aller Regel personenbezogene Daten gesammelt und verarbeitet werden. Das können Daten von Arbeitnehmern, Zahnarztkunden und natürlich Patienten sein.

1. Gesetzliche Verpflichtung durch das Bundesdatenschutzgesetz und die neue EU-Datenschutz-Grundverordnung

Die Bundeszahnärztekammer und die KZBV bringen es in ihrem Datenschutz-Leitfaden für die Zahnarztpraxis auf den Punkt. Dort heißt es:

Selbstverständlich müssen Zahnärzte aber genauso auch die Verantwortung für die Einhaltung des Datenschutzes tragen, wenn Patientendaten die Praxis verlassen und beispielsweise dem Laborpartner zur Herstellung von Zahnersatz anvertraut werden. Aus diesem Grund sollte jeder Zahnarzt eine schriftliche vertragliche Regelung mit seinem Dentallabor treffen. Diese sogenannte Regelung über die Auftragsdatenverarbeitung stellt für den Zahnarzt sicher, dass der Laborpartner genauso sorgsam mit den Daten umgeht, wie es die Praxis selber tut. Für die Laborleitung ist es wichtig zu wissen, dass sich mit Inkrafttreten der neuen EU-Datenschutzgrundverordnung im Jahr 2018 die Möglichkeiten der Sanktion und Strafen bei Datenschutzverstößen drastisch verschärfen werden. Heute sind Bußgelder noch sehr selten der Fall. Ab 2018 können die Zahnarztpraxis und das Dentallabor unter Umständen gesamtschuldnerisch haften. Dann sind Betroffene in der Lage, sich mit Schadenersatzforderungen direkt ans Labor wenden. – Noch ist genügend Zeit, um das Thema Datenschutz bis 2018 gut und sicher zu lösen.

2. Imagegewinn und wirtschaftliche Vorteile durch effektiven Datenschutz

Ein Dentallabor, das seinen Datenschutz gut organisiert und umgesetzt hat, ist ein wertvoller Partner und geschätzter Ansprechpartner für die Zahnarztpraxis. Jede Zahnärztin und jeder Zahnarzt sollte ein starkes Interesse an einem guten Datenschutz haben, weil die Verletzung der (zahn)ärztlichen Schweigepflicht kein Kavaliersdelikt ist und im Strafgesetzbuch verankert ist. Die Strafen bei Verstößen können gravierend und sogar existenzgefährdend sein. Zahnärzte stehen in der Pflicht, gegenüber Dritten Verschwiegenheit zu bewahren – und das hinsichtlich all dessen, was ihnen in ihrer Eigenschaft als Zahnarzt anvertraut und genannt geworden ist. Durch das Gesetz wird also das besondere Vertrauensverhältnis zwischen Zahnarzt und Patient umfassend geschützt. Genau diese Vertrauensebene ist auch die wichtigste Säule im Praxismarketing. Dies drückt sich dadurch aus, dass zufriedene Patienten die Praxis weiterempfehlen, weil sie sich gut und sicher aufgehoben fühlen. Ein Engagement in Sachen Datenschutz ist somit indirekt auch ein Beitrag für die Patientenbindung und Neupatientengewinnung. An einer positiven Patientenentwicklung bei den eigenen Zahnarztkunden hat jedes Dentallabor naturgemäß ein starkes Interesse.

Ein zahntechnischer Betrieb, der hier Antworten und Lösungen parat hat, nutzt seinen Datenschutz als Werkzeug zur Stärkung der Kundenbeziehungen und zur Vertrauensbildung – und dies auf allen Ebenen bis hin zum Patienten. Die praktische Erfahrung der Autoren zeigt, dass das Thema Datenschutz ein zunehmend positives Image bekommt, also längst aus der Ecke der „weiteren lästigen Pflichten“ heraus ist.

Gut gemachter Datenschutz zeigt darüber hinaus viele Synergien zum Qualitätsmanagement und zur Organisation von effektiven Abläufen. Insbesondere in der Kombination mit neuen digitalen Verfahren gehen die Patientendaten durch viele „Hände“. Entsprechend muss der Datenverkehr zwischen Kunden, Dentallabor und Fräszentren sowohl effektiv als auch datenschutzkonform organisiert werden.

3. Schäden aus Datenschutzpannen vermeiden

  • Achtung! Ohne hinreichenden Datenschutz droht Datenklau!

  • Achtung! Ohne hinreichenden Datenschutz droht Datenklau!
    Quelle: © Rainer Sturm/pixelio.de
Die Liste der möglichen Schäden durch Datenschutzpannen ist lang. Sorgen Sie also in Ihrem Unternehmen vor, um im Fall der Fälle Schaden von Ihrem Dentallabor abzuwenden oder wenigstens gut vorbereitet zu sein. Das spart oftmals Kosten und Stress.

Schon der Fall, dass die Festplatte kaputt ist und die Daten für viel Geld wiederhergestellt werden müssen, ist ein Klassiker. Häufiger als bekannt sorgt auch der Zugriff auf die betrieblichen Daten (beispielsweise auf das E-Mail- Konto) nach der fristlosen Kündigung eines Mitarbeiters für Probleme im Tagesgeschäft oder für Nachteile in der Auseinandersetzung. Aber worauf sollten Sie als Laborleitung Ihren Blick richten? Hier kommt eine Aufzählung von typischen Themen:

  • fehlende oder unregelmäßige Datensicherung; unzureichender Schutz vor Zerstörung und Diebstahl; Wiederherstellungsmöglichkeit der Daten nicht getestet
  • WhatsApp oder andere Dienste genutzt; dienstliche Kontakte zu Zahnärzten oder Patienten an ein fremdes Unternehmen ohne Rechtsgrundlage übermittelt
  • unvollständige, unrichtige Datenschutzerklärung auf der Webseite (Beispiele: fehlende Hinweise auf die Datennutzung z. B. für Kontaktformulare, auf die Anbindung an Facebook, auf die Serverprotokollierung oder auf Google-Analytics)
  • fehlende Hinweise auf das „Opt-Out“ bei der Verwendung von Google-Analytics oder einer anderen Trackingsoftware
  • fehlende Passwortregelung im Betrieb (fatal: „Gemeinschaftspasswort“)
  • fehlende vertragliche Datenschutz-Regelung mit dem IT-Service oder PC-Doctor (ADV)
  • fehlende Schulung oder Sensibilisierung der Labor-Mitarbeiter im Datenschutz; fehlende Verschwiegenheits- Verpflichtung der Mitarbeiter
  • ungeregelte private Nutzung von Firmen-PCs
  • unverschlüsselte Netzwerkverbindungen für die Übermittlung personenbezogener Daten (E-Mails, Kontaktformular Webseite)
  • Nutzen von Dropbox und Co. mit Dokumenten, die personenbezogene Daten enthalten, z. B. Austausch von Patientenbildern zwischen Praxis und Labor über die Dropbox
  • fehlende Dokumentation im Labor – Wie ist Datenschutz geregelt? Was soll bei einer Anfrage eines Patienten oder einer Behörde getan werden?

Die praktische Erfahrung der Autoren in Dentallaboren zeigt, dass für viele Themen eine gute und akzeptable Datenschutzlösung gefunden werden kann – zeitnah und ohne hohe Investitionskosten.

Hinweise zur praktischen Handhabung

Die häufigsten Fragen lauten nun: Wie setze ich den Datenschutz für mein Dentallabor praktisch um? Benötige ich dafür einen Datenschutzbeauftragten? Ja, Sie benötigen einen Datenschutzbeauftragten.

In nahezu jedem Dentallabor tauchen Patientennamen auf – und sei es nur, dass der Zahnarzt den Namen handschriftlich auf den Auftrag schreibt. Schon dann muss das Dentallabor einen Datenschutzbeauftragten haben, weil Gesundheitsdaten verarbeitet werden und diese einen erhöhten Schutz genießen. Der Sächsische Landesdatenschutzbeauftragte hat bereits im Jahr 2010 die Bestellungspflicht für Dentallabore geprüft und in seinem Tätigkeitsbericht eine klare Stellung bezogen. Dort heißt es: „Wie der Aufsichtsbehörde mitgeteilt worden ist, enthalten die von den Zahnärzten an Dentallabore erteilten Aufträge in der Regel Vor- und Zunamen sowie den Versicherungsstatus des jeweiligen Patienten, mithin also personenbezogene Daten. Wegen der Tatsache, dass es Zweck des erteilten Auftrages ist, durch das Dentallabor nach entsprechenden Vorgaben Zahnersatz anfertigen zu lassen, handelt es sich dabei um Angaben zur Gesundheit des Patienten, mithin um besondere Arten personenbezogener Daten gemäß § 3 Abs. 9 BDSG.“ Der Landesdatenschutzbeauftragte jedenfalls zieht das Fazit, dass hieraus die Pflicht zur Bestellung eines Datenschutzbeauftragten folge. „Eine Kleinunternehmerregelung oder sonstige entlastende Regelungen für kleine Betriebe sieht das Bundesdatenschutzgesetz in diesem Zusammenhang nicht vor.“ Für Fragen zu den genauen Rechtsgrundlagen stehen die Autoren dieses einführenden Artikels für Labor-Praktiker Interessierten gern zur Verfügung.

Lösung 1: Die Anonymisierung von Daten

Als einzige Möglichkeit, diese Pflicht zu umgehen, nennt der Landesdatenschutzbeauftragte konkrete organisatorische Lösungen, die verhindern, dass das Labor den Patientennamen kennt. So ließe sich der Datenaustausch zwischen Zahnarztpraxis und Dentallabor so organisieren, dass dem Labor keine Angaben über Vor- und Zunamen der Patienten gemacht werden. Stattdessen könnten Auftragsnummern zur Kennzeichnung der Einzelaufträge vergeben werden, anhand derer nur die Praxis die Verbindung zum Patienten herstellen kann. Aber ist ein solches Vorgehen im normalen Laboralltag praktikabel …?? Kann es wirklich gelingen, Patientendaten vollständig zu anonymisieren? Zumal es viele Gelegenheiten gibt, bei denen Zahntechniker und Patient in persönlichen Kontakt treten – sowohl in der Praxis als auch im Dentallabor (z. B. bei der Farbnahme).

Lösung 2: Der eigene Datenschutzbeauftragte im Labor

Die Pflicht zum Datenschutzbeauftragten kann das Dentallabor durch verschiedene Möglichkeiten praktisch umsetzen. Dabei zeigt sich: Der Datenschutzbeauftragte darf nicht der Geschäftsführer selber sein, kann aber aus dem Kreis der Arbeitnehmer bestellt sein. Natürlich ist hier Spezialwissen von Nöten, das auf dem neuesten Stand gehalten werden muss. Das kostet.

Lösung 3: Der externe Datenschutzbeauftragte

  • Im Alltag funktioniert die dargestellte Handhabung sicher ausgezeichnet, aber: Datenschutz gut organisiert und umgesetzt sieht anders aus ...

  • Im Alltag funktioniert die dargestellte Handhabung sicher ausgezeichnet, aber: Datenschutz gut organisiert und umgesetzt sieht anders aus ...
    Quelle: © Tim Reckmann/pixelio.de
Eine kostengünstigere Alternative für das Dentallabor ist in vielen Fällen die Bestellung eines externen Experten als Datenschutzbeauftragten. Dieser sollte über Branchenerfahrung verfügen sowie mit den Besonderheiten der Dentalwelt und der sensiblen Lieferbeziehung zwischen Zahnarztpraxis und Dentallabor vertraut sein. Unsere praktischen Erfahrungen aus der Zusammenarbeit mit Laboren haben erbracht, dass oft eine effektive und schlanke Umsetzung eines Datenschutzkonzeptes möglich ist. Entscheidend ist dabei immer, wie gut die Organisation im Labor grundsätzlich ist und welche Vorarbeiten schon in der Vergangenheit geleistet wurden.

Lösung 4: Unterstützung aus dem Internet?

Vorsicht ist anzuraten bei verheißungsvoll klingenden Angeboten im Internet. Hier wird für niedrige monatliche Beiträge und wenig Aufwand die Arbeit eines externen Datenschutzbeauftragten in Aussicht gestellt. Natürlich ist es für das Dentallabor verlockend, nur ein paar Mausklicks und Formulare vom umgesetzten Datenschutz entfernt zu sein … Allerdings würde kein seriöser externer Datenschutzbeauftragter ein Prüfsiegel vergeben, ohne Sie vor Ort im Dentallabor besucht zu haben – inklusive ausführlicher Beratung und einer Aufgabenliste für Verbesserungen.

Deshalb gilt: Bleiben Sie kritisch! Natürlich können eine Online-Checkliste oder ein Online-Formulargenerator eine sinnvolle Unterstützung sein – die Arbeit eines als bestellt geltenden externen Datenschutzbeauftragten übernehmen sie nicht. Im Falle einer Datenschutzpanne oder einer Prüfung kann solch ein scheinbar „supergünstiges Prüfsiegel“ schnell zur Falle werden und das Labor teuer zu stehen kommen.

Fazit

Klar ist: Sie als Laborleiter bleiben immer der Verantwortliche. Das gilt im Datenschutz genauso wie in der Zahntechnik, wo Qualität aus der Kombination von Erfahrung, Kenntnis und Engagement entsteht. Datenschutz im Dentallabor erfüllen Verantwortliche vor allem für die Patienten und die Zahnärzte. Er lohnt sich für alle, weil Vertrauen nicht nur rechtliche Sicherheit bedeutet, sondern auch zu wirtschaftlichen Vorteilen führt. Die gute Nachricht für alle Labore: Die meisten Maßnahmen müssen nur einmal angepackt werden, um für längere Zeit eine prima Lösung zu bieten, und kosten oft wenig oder gar nichts zusätzlich. Man muss nur wissen, wie man es macht.

Mit dem Wissen, dass die neue EU-Datenschutzgrundverordnung kommt, zahlt sich Weitsicht aus. Schaffen Sie wichtige Grundlagen, damit Sie bei Inkrafttreten der neuen Regeln fit im Datenschutz sind – und der Zukunft gemeinsam mit Ihren Kunden gelassen entgegenblicken können.