Laborführung

Seit Mai 2018 gilt die neue EU-Datenschutzgrundverordnung

Ist Ihr Dentallabor gut vorbereitet?

Die wichtigsten Daten und Fakten zur neuen EU-Datenschutzgrundverordnung finden Sie im folgenden Beitrag.
Die wichtigsten Daten und Fakten zur neuen EU-Datenschutzgrundverordnung finden Sie im folgenden Beitrag.

Die neue EU-Datenschutzgrundverordnung (kurz: DSGVO), die am 25. Mai 2018 in Kraft getreten ist, regelt und vereinheitlicht den Datenschutz in 99 Artikeln und 173 Erwägungsgründen europaweit. Einige Themen sind für Dentallabore besonders relevant. Zu Ihrer ersten Orientierung haben wir Ihnen im Folgenden wichtige inhaltliche Punkte als einen Frage- Antwort-Katalog zusammengestellt.

Für wen gilt das neue Gesetz?

Die EU-Datenschutzgrundverordnung gilt für alle Unternehmen, die in der EU niedergelassen sind. Außerdem schließt die neue Verordnung auch Unternehmen ein, die sich mit ihren Angeboten an EU-Bürger richten. So hat beispielsweise ein amerikanisches Internetunternehmen mit Sitz in Amerika für seine europäischen Kunden europäisches Datenschutzrecht zu befolgen. Diese Regelung folgt dem sogenannten Marktortprinzip: Beim Datenschutz sind die Gesetze zu befolgen, die dort gelten, wo das Geschäft gemacht wird. Dies ist ein deutlicher Vorteil für die europäischen Verbraucher – und sicherlich auch für die kleinen und mittleren Unternehmen, weil mehr Transparenz entsteht. Große internationale Dentalunternehmen müssen sich an die gleichen Spielregeln halten wie ein Dentallabor und dies jetzt auch nachweisen! Die EU-Datenschutzgrundverordnung ersetzt in weiten Teilen das bisher gültige Bundesdatenschutzgesetz und ist vorrangig vor weiteren deutschen Datenschutzregelungen anzuwenden.

Gibt es eine Kleinunternehmerregelung, nach der Dentallabore mit weniger als neun Mitarbeitern vom Datenschutz befreit sind?

Eine solche Regelung gibt es nicht! Auch für ein Dentallabor ohne oder mit nur einem Mitarbeiter gilt die Datenschutzgrundverordnung: Sie stehen also in der Pflicht, intensiv Datenschutzmaßnahmen zu betreiben und kontinuierlich zu verbessern. Da Gesundheitsdaten verarbeitet werden, gelten sogar strengere Anforderungen als bei vielen anderen Unternehmen. Einziger Ausweg wäre, wenn das Dentallabor alle Patientendaten ohne Übermittlung der Patientennamen erhalten würde. Für die allermeisten Dentallabore ist dieser Weg wenig praktikabel, bzw. entscheiden ja auch die Zahnarztpraxen darüber, ob Patientennamen pseudonymisiert werden.

99 Artikel und 173 Erwägungsgründe – das ist sehr komplex! Gibt es eine kurze und nützliche Zusammenfassung, die eine erste Orientierung bietet?

Sehr hilfreich sind die in einem eigenen Artikel (in der EU-Datenschutzgrundverordnung heißen die Paragraphen „Artikel“) festgeschriebenen Grundsätze. Wer diese kennt, wird zusehends sicherer in der Auslegung und praktischen Anwendung der EU-Datenschutzgrundverordnung. Hier die Grundsätze mit kurzer Erläuterung und praktischen Beispielen:

  1. Rechtmäßigkeit: Ganz wichtig ist, dass Sie eine Rechtsgrundlage für die Verarbeitung nachweisen können oder die Einwilligung der betroffenen Person vorliegt. In der Zahnmedizin ist beispielsweise der Behandlungsvertrag eine sehr wichtige Rechtsgrundlage. Die gesetzlichen Aufbewahrungsfristen in der Abgabenordnung für die Buchführungsunterlagen können ebenfalls eine Rechtsgrundlage sein. Wichtig: Wenn Sie keine solche Rechtsgrundlage nachweisen können und auch keine Einwilligung der betroffenen Person haben (z.B. des Patienten oder Arbeitnehmers), ist die Verarbeitung von personenbezogenen Daten grundsätzlich verboten! Zukünftig wird es also unabdingbar sein, dass Sie nachweisen, auf welcher Rechtsgrundlage Sie personenbezogene Daten verarbeiten. Was sich erst einmal schwierig anhört, ist in der Praxis mit Beratung und Unterstützung durch einen Datenschutzbeauftragten in Dentallaboren gut darstellbar.
  2. Treu und Glauben: Dieser Begriff ist übersetzt aus dem englischen „fair use“. Wer personenbezogene Daten verarbeitet, sollte sich redlich und anständig verhalten. Dieser Grundsatz des neuen Gesetzes wird im Verlauf der Zeit mit Leben gefüllt, indem einzelne Situationen und Fälle durch Rechtsprechung und Fachliteratur beschrieben werden.
  3. Transparenz: Ein ganz wichtiger Grundsatz! Aus der Sicht der Patienten sollte das, was Sie tun, nachvollziehbar und verständlich sein. Dazu wird vom Gesetzgeber eine klare und verständliche Sprache gefordert, also kein „Juristendeutsch“. Wann hat man solch eine Forderung schon einmal in einem Gesetz lesen können? Weiter ist geregelt, dass Informationen leicht erreichbar sein und der Umfang und Zweck der Verarbeitung kommuniziert werden müssen.
  4. Zweckbindung: Daten dürfen nur für die vorher festgelegten, eindeutigen und legitimen Zwecke verwendet werden. So können Unternehmen Kundendaten nicht ohne Weiteres für Werbezwecke an andere Unternehmen weiterleiten. Dies hat eine hohe praktische Bedeutung für Internetunternehmen. In der Dentalbranche sollten Industrie und Handel genauer hinschauen als bisher, wofür Kundendaten genutzt und an wen die Daten weitergegeben werden.
  5. Datenminimierung: Es sollen nur so viele Daten erhoben und verarbeitet werden, wie unbedingt für den verfolgten Zweck notwendig sind. In vielen Fällen benötigt man beispielsweise das exakte Geburtsdatum nicht, da für eine Legitimierung das Geburtsjahr oder die Angabe zur Volljährigkeit ausreicht. Im Gesundheitswesen ist das exakte Geburtsdatum hingegen oft wichtig für eine Überprüfung der Identität und daher legitim. Überlegen Sie bei der Erhebung von personenbezogenen Daten: „Benötige ich Informationen wirklich in diesem Umfang, um den gewünschten Zweck zu erreichen?“. Prüfen Sie dazu beispielsweise den Auftragszettel, der mit der Arbeit ins Labor geht.
  6. Richtigkeit: Die Daten müssen sachlich richtig und auf dem neuesten Stand sein. Praktisch bedeutet das eine Pflicht zur Berichtigung, wenn sich beispielsweise bei Patientendaten etwas ändert.
  7. Speicherbegrenzung: Eine Gewährleistungsfrist läuft ab oder eine Aufbewahrungsfrist geht zu Ende? Sobald der Zweck für die Speicherung der Daten entfällt, müssen diese so bald wie möglich gelöscht werden. Logische Folge daraus: Sie benötigen unterschiedliche Löschfristen für unterschiedliche Datenkategorien. In der Praxis ist das leider weniger klar, als es sich zunächst anhört. In einigen Softwarelösungen sind Löschstrategien für Daten bislang noch gar nicht eingebaut.
  8. Integrität und Vertraulichkeit: Die Daten müssen vor unbefugter und unrechtmäßiger Verarbeitung, vor Verlust und vor Schädigung geschützt werden. Unter diesen Grundsatz fallen alle Maßnahmen zur IT-Sicherheit wie Passwortregelungen, Verschlüsselung bei Datenübertragungen, Datensicherungen und die Vorbeugung von Schadsoftware. Aber auch der Zugangsschutz zu Räumen und Bereichen mit sensiblen Daten, Regelungen zum Telefonverhalten und die Organisation des Empfangs gehören zu den Maßnahmen, die jedes Dentallabor gut im Griff haben sollte.
  9. Nachweispflicht: Alle bisher genannten Maßnahmen zum Datenschutz müssen nachgewiesen werden können. Anders als bisher heißt das: Zukünftig kommt keiner daran vorbei, auch in Sachen Datenschutz eine Dokumentation aufzubauen. Wenn die Dokumentation gut gemacht ist und die Datenschutzziele ernsthaft verfolgt werden, werden hier die Aufsichtsbehörden aber sicherlich andere Maßstäbe ansetzen als bei einem 500-Mann-Unternehmen. Sie benötigen auf jeden Fall ein Verzeichnis von Verarbeitungstätigkeiten. Datenschutzbeauftragte beraten Sie, wie man so ein Verzeichnis für ein Dentallabor sinnvoll und mit einem machbaren Verwaltungsaufwand aufbaut. Sie benötigen keine Zertifizierung für Ihr Datenschutzmanagement.

Was ist zu beachten, wenn Sie personenbezogene Daten an jemanden außerhalb des Dentallabors weitergeben oder Sie einen Einblick in die eigene Datenhaltung gewähren?

Beispiele sind die externe Buchführung oder die Fernwartung durch den IT-Dienstleister oder Softwarehersteller. In solchen Fällen liegt meist eine Auftragsverarbeitung vor, für die ein Vertrag zwischen dem Unternehmen (also Ihrem Dentallabor) und dem Auftragsverarbeiter zu schließen ist. Darin werden Weisungsrechte, die Vertraulichkeit, die Einhaltung der Sicherheit sowie Regelungen vereinbart, was nach Abschluss der Auftragsverarbeitung mit den Daten geschehen soll. Sie sollten im Zuge der Vorbereitung auf die EU-Datenschutzgrundverordnung Ihre bisherigen Verträge überprüfen. Vermutlich werden die allermeisten Dentallabore überhaupt erstmals Verträge zur Auftragsverarbeitung abschließen, weil sie dies bisher vernachlässigt haben.

In jedem Fall sollten Sie Ihre Übermittlungen von personenbezogenen Daten an Dienstleister überprüfen, die außerhalb der EU Ihre Daten verarbeiten und nicht als sicheres Drittland gelten. Ein sicheres Drittland ist beispielsweise die Schweiz. Als unsicheres Drittland gelten die USA oder China. In der täglichen Praxis sind davon mehr Verarbeitungen betroffen, als vielfach bekannt ist (z.B. Dropbox, WhatsApp). Die Voraussetzungen für eine Zulässigkeit müssen im Einzelfall geklärt werden. Sie sollten diese Verarbeitungen mit Ihrem Datenschutzbeauftragten besprechen und abwägen, welche zusätzlichen Maßnahmen für eine Zulässigkeit der Verarbeitung notwendig sind oder ob besser auf alternative Dienste ausgewichen wird.

Im November 2017 trat zudem die Neuregelung des strafrechtlichen Schutzes von Patientengeheimnissen in § 203 StGB in Kraft, die die Einschaltung externer IT-Dienstleister straffrei stellt. Von hoher praktischer Bedeutung können diese Regelungen unter anderem bei der Gestaltung der Vertragsbeziehungen zwischen Zahnarztpraxis und Dentallabor werden. An dieser Stelle verweisen wir auf die Veröffentlichungen der Bundeszahnärztekammer und der Landeszahnärztekammern, die jeweils zeitnah hierzu informieren sollten. Zurzeit sind leider noch wenige Publikationen zu finden. Dies mag vielleicht daran liegen, dass in diesem Jahr mit der elektronischen Gesundheitskarte und der Schaffung der Telematik-Infrastruktur der gesamte Medizinsektor mit einem weiteren Großprojekt beschäftigt ist.

In der nächsten Zeit wird sehr viel für die EU-Datenschutzgrundverordnung durch unterschiedlichste Publikationen sensibilisiert werden. Als Dentallabor sollten Sie die Publikationen der Bundeszahnärztekammer regelmäßig verfolgen, weil mit hoher Wahrscheinlichkeit Anfragen von den Zahnarztpraxen an die Dentallabore gerichtet werden, je mehr es auf den Termin Ende Mai zugeht. Vielleicht werden Ihre Kunden auch bezüglich Datenschutzgarantien oder Verschwiegenheitserklärungen bei Ihnen anfragen. Darauf sollten Sie vorbereitet sein.

Gibt es Vorschriften, die bei der Verarbeitung von Gesundheitsdaten besonders zu beachten sind?

Ja! Gesundheitsdaten sind besonders sensible Daten und vom Gesetzgeber werden daher mehr Schutzmaßnahmen gefordert. Neu in der EU-Datenschutzgrundverordnung ist die sogenannte Datenschutzfolgenabschätzung. Dabei geht es um eine Risikobewertung, die Sie vornehmen müssen, bevor Sie Gesundheitsdaten verarbeiten. Da die Datenschutzfolgenabschätzung vorab erfolgen muss, müssten folglich bis zum 25. Mai 2018 alle Zahnarztpraxen und Dentallabore eine solche Bewertung durchgeführt und schriftlich dokumentiert haben. Das erscheint ziemlich unrealistisch, zumal auch die Aufsichtsbehörden in diesem Punkt noch viel Vorarbeit zu leisten haben. Auch die Bundeszahnärztekammer hat zum Zeitpunkt der Erstellung dieses Artikels noch keinen neuen Datenschutzleitfaden veröffentlicht, der als Arbeitsgrundlage dienen könnte. Sie sollten mit Ihrem Datenschutzbeauftragten gemeinsam überlegen, wie Sie auf einem Mindestniveau mit der notwendigen Arbeit beginnen können, um dann später entsprechend auf die Empfehlungen der Bundeszahnärztekammer und der Datenschutz-Aufsichtsbehörden zu reagieren. Die Aufsichtsbehörden formulieren selber immer wieder, dass Datenschutz keine einmalige Sache ist, sondern als kontinuierlicher Verbesserungsprozess gelebt werden soll.

Müssen Sie einen Datenschutzbeauftragten benennen?

Es muss unabhängig von der Mitarbeiteranzahl ein Datenschutzbeauftragter benannt werden, weil im Dentallabor Gesundheitsdaten verarbeitet werden. Der Datenschutzbeauftragte kann intern benannt werden aus dem Kreis der Mitarbeiter oder es kann ein externer Datenschutzbeauftragter sein. Mitarbeiter, die zum Datenschutzbeauftragten benannt wurden, nehmen mit ihrem notwendigen Spezialwissen einen Sonderstatus ein und unterliegen der Pflicht zur Fortbildung. Deshalb werden bei kleinen Unternehmen aus praktischen Gründen und wegen der Kosten meist externe Datenschutzbeauftragte benannt. Ein externer Datenschutzbeauftragter berät, unterrichtet und überwacht den Datenschutz. Bei Fragen zum Datenschutz und insbesondere bei Datenschutzpannen kann er die Anlaufstelle sein für die Aufsichtsbehörden und die Betroffenen (z.B. die Patienten). Darüber hinaus wird bei kleinen Unternehmen der Datenschutzbeauftragte in der Regel auch die Sensibilisierung und Schulung der Mitarbeiter übernehmen. Der Datenschutzbeauftragte muss an die zuständige Aufsichtsbehörde gemeldet werden, seine Kontaktdaten wie Name und E-Mail-Adresse sollten auf der Webseite des Dentallabors veröffentlicht werden, damit die Betroffenen wissen, an wen sie sich wenden können.

Welche Informationspflichten haben Sie und welche Rechte haben Betroffene wie Kunden, Patienten oder Mitarbeiter?

Sie haben die Pflicht zur transparenten Information. Eine wichtige Aufgabe wird für Sie sein, den Umfang und die Art der Informationen zu überprüfen und den Datenschutz zu verbessern. Wichtig ist die Verwendung einer klaren und einfachen Sprache. Der Umfang der Informationspflichten und der Betroffenenrechte hat es in sich, er sollte nicht unterschätzt werden. Er bezieht sich auf Punkte wie: Namen und Kontaktdaten des Verantwortlichen (also des Dentallabors), Verarbeitungszwecke, Rechtsgrundlage für die jeweilige Verarbeitung, Empfänger der Daten bei Weitergabe, Dauer der Speicherung und Kriterien für die Löschung, Hinweis auf das Auskunftsrecht, Recht auf Berichtigung und Löschung, Widerrufsrecht der Einwilligung, Beschwerderecht bei der Aufsichtsbehörde.

Neu hinzugekommen in der EU-Datenschutzgrundverordnung ist das Recht auf Datenübertragbarkeit. Damit ist gemeint, dass Sie als Unternehmen die Informationen, die Ihnen über die Betroffenen (also z.B. die Mitarbeiter) übermittelt wurden, diesen später auch wieder zur Verfügung stellen können, und zwar in einem gängigen Format. Es kann auch sein, dass Sie die Daten nicht an den Betroffenen selbst übermitteln, sondern auf dessen Wunsch an ein anderes Unternehmen oder an eine andere Organisation übermitteln. Nicht zurückübermitteln müssen Sie dabei die Erkenntnisse, die Sie selbst aus der Verarbeitung gezogen haben.

Denken Sie vor allem daran, Ihre Datenschutzhinweise auf der Unternehmenswebseite bis spätestens Ende Mai an die neuen Anforderungen anzupassen.

Wer ist die zuständige Aufsichtsbehörde und gibt es Meldepflichten?

Die für Sie zuständigen Aufsichtsbehörden sind Landesbehörden. Wenn Sie in der Suchmaschine „Landesdatenschutzbeauftragter“ und den Namen Ihres Bundeslandes eingeben, finden Sie leicht neben den Kontaktdaten viele Informationen und Hilfestellungen rund um das Thema Datenschutz. An die Aufsichtsbehörde muss auch der von Ihnen bestellte Datenschutzbeauftragte namentlich und mit Kontaktdaten gemeldet werden. Sollte es zu einer Schutzverletzung personenbezogener Daten, sprich: einer Datenpanne, gekommen sein, müssen Sie dies unverzüglich der Behörde melden. Ihr Datenschutzbeauftragter wird Sie bei der Umsetzung dieser Vorschriften unterstützen und Sie im Einzelfall beraten, ob eine solche Meldepflicht besteht. Darüber hinaus kann es bei Datenpannen notwendig sein, dass Sie auch die betroffenen Personen unterrichten. Diesen (öffentlichkeitswirksamen) Schritt sollten Sie sorgfältig prüfen und mit dem Datenschutzbeauftragten und auch der Aufsichtsbehörde abstimmen. Je nach Schutzverletzung ist dies vielleicht gar nicht erforderlich.

Haben Sie Strafen zu befürchten, wenn Sie Datenschutzpflichten vernachlässigen?

Neu in der EU-Datenschutzgrundverordnung ist, dass die Sanktionen der Aufsichtsbehörden europaweit einheitlich geregelt sind. Bisher gab es bei Verstößen gegen das alte Bundesdatenschutzgesetz kaum Bußgelder. Hier waren die deutschen Behörden sehr zurückhaltend. Wegen der europäisch einheitlichen Vorgehensweise ist mit hoher Wahrscheinlichkeit davon auszugehen, dass die deutschen Aufsichtsbehörden zukünftig strikter vorgehen werden. Dies wurde auch bereits angekündigt. Großen Unternehmen drohen im Extremfall Geldbußen von bis zu 20 Mio. Euro, also Beträge, die wirklich schmerzen. Für Dentallabore wird der Bußgeldkatalog selbstverständlich in einem sehr viel niedrigeren Bereich liegen als bei den im Gesetz genannten Höchstbeträgen. Der bayerische Landesdatenschutzbeauftragte schreibt hierzu beispielsweise, dass solche Millionengeldbußen gegen kleine Unternehmen selbstverständlich nicht in Betracht kommen, dass auch sie jedoch bei ernsthaften Verstößen mit Geldbußen in vier- oder fünfstelliger Höhe zu rechnen haben.

Bedenken Sie dabei, dass bestimmte Pflichten wie die Benennung eines Datenschutzbeauftragten oder das Führen eines Verzeichnisses der Verarbeitungen leicht von den Aufsichtsbehörden zu kontrollieren sind. Die Aufsichtsbehörden werden sich vermutlich intensiv den Unternehmungen widmen, die besonders sensible Daten verarbeiten. Patientendaten sind Gesundheitsdaten und gehören eindeutig in diese Kategorie. Wie üblich wird auch dieses neue Gesetz erst durch die Auslegung in der Praxis mit Leben gefüllt werden und verlässliche Auskunft zulassen, in welchen Fällen tatsächlich welche Strafen verhängt wurden. Aktuell hilft Ihnen vielleicht folgende Prognose, wie intensiv Sie Maßnahmen zum Datenschutz ergreifen sollten: Wenn Sie vorsätzlich oder fahrlässig handeln, wird eine Geldbuße sehr wahrscheinlich – und diese wird Sie voraussichtlich auch empfindlich treffen. Besser ist es da, wenn Sie nachweisen können, dass Sie Datenschutz im Sinne eines ständigen Verbesserungsprozesses leben: Wenn Sie also auf Anfragen der Aufsichtsbehörden vorbereitet sind, bei Datenschutzpannen kooperativ mit den Aufsichtsbehörden zusammenarbeiten und zeitnah zum Wohle der Betroffenen reagieren und handeln, wird die Gefahr von Geldbußen eher gering sein.

Fazit

Sie haben in diesem Artikel einige gute Gründe erhalten, warum es notwendig und sinnvoll ist, Ihr Dentallabor auf die neue EU-Datenschutzgrundverordnung vorzubereiten. Sie müssen dafür einen Datenschutzbeauftragten benennen, der Sie aber gleichzeitig auch bei der Umsetzung der Vorgaben unterstützt und für Aufsichtsbehörden und betroffene Personen ein wichtiger Ansprechpartner ist. Mit einem pfiffigen Konzept ist Datenschutz auch in Dentallaboren gut machbar und schützt vor Bußgeldern. Darüber hinaus – und das ist mindestens genauso wichtig! – steigern Sie Ihre Außenwirkung als seriöses und gut organisiertes Unternehmen, dem man ohne Bedenken seine Daten anvertrauen kann.

weiterlesen
Näheres zum Autor des Fachbeitrages: Dipl.-Betriebswirt (FH) Hans-Gerd Hebinck



Die September-Ausgabe ist erschienen!

Die aktuelle Ausgabe

Besuchen Sie uns doch mal auf unserer Facebookseite! Wir freuen uns über jeden Like und sind gespannt auf Anregungen, Kommentare, Kritik und Ideen für neue Themen!

Hier geht's direkt zur Seite