„Das Bußgeld zahlt immer der Zahnarzt“
Wie hoch ist das Datenschutz-Niveau in Deutschlands Zahnarztpraxen?
Hinsichtlich des Datenschutzniveaus reicht das Spektrum in den Praxen und Zahnkliniken von hervorragend bis „nicht vorhanden“. Jede Praxis unterscheidet sich von der anderen, sei es durch räumliche oder technische Parameter, die Anzahl der Mitarbeiter oder die Art der Praxisorganisation. Da Datenschutz nun aber nicht statisch ist, sondern sich ständig weiterentwickelt, wie wir derzeit am Beispiel der Europäischen Datenschutzgrundverordnung sehen, reicht es auch nicht aus, einmal Maßnahmen des Datenschutzes umzusetzen. Vielmehr muss Datenschutz ebenso wie Qualitätsmanagement als Prozess in die Abläufe einer Praxis integriert werden. Zahlreiche Praxen und Kliniken, die von Gesetzes wegen einen Datenschutzbeauftragten benennen müssen, sind aber nach meiner Kenntnis dieser Verpflichtung bis heute nicht nachgekommen. Es besteht also insgesamt noch großer Nachholbedarf. Selbst wenn viele Praxen und Kliniken beim Thema Datenschutz bereits hervorragend aufgestellt sind.
Muss ich als Zahnarzt auch mein eigener Datenschutzbeauftragter sein?
Es macht wenig Sinn, als seine eigene Kontrollinstanz aktiv zu werden. Daher ist es auch nicht zulässig, als Inhaber oder Geschäftsführer eines Unternehmens, einer Klinik oder einer Praxis selbst als Datenschutzbeauftragter dieser Institution zu agieren. Bei Vorliegen einer solchen Konstellation würde die zuständige Aufsichtsbehörde mit hoher Wahrscheinlichkeit von einer Nicht-Bestellung des Datenschutzbeauftragten ausgehen, was empfindliche Geldbußen zur Folge haben kann. Datenschutzbeauftragter ist ein Beruf. Ein solcher setzt auch eine Ausbildung voraus. Wer als Datenschutzbeauftragter nicht über erforderliche fachliche und sachliche Kenntnisse verfügt, der gilt als nicht bestellt.
Und genau hier lauert ein enormes Haftungsrisiko für Praxisbetreiber: Seit dem Hype um Edward Snowden tummeln sich unzählige Geschäftemacher auf dem Datenschutzmarkt, von denen die meisten nicht über ausreichende Fach- und Sachkenntnisse verfügen dürften. Regelmäßig tauchen dabei Namen auf, die sich in den Vorjahren als Experten für serviceorientierte Architekturen, Objektorientierung, digitale Transformation oder andere Modetrends in der IT-Welt ausgegeben hatten, um unbedarfte Kunden abzuzocken. Datenschutz in der Zahnarztpraxis oder in der Zahnklinik sollte in kompetente Hände übergeben werden, wobei die Beauftragung nicht an das Unternehmen vergeben werden sollte, das die IT-Anlagen der Praxis betreut. Denn sonst wäre ein elementarer Interessenkonflikt zu erwarten.
###more### ###title### Der qualifizierte Datenschutzbeauftragte ###title### ###more###
Der qualifizierte Datenschutzbeauftragte
Und wie finde ich eine entsprechend qualifizierte Person?
Bevor eine Bestellung zum Datenschutz- beauftragten erfolgt, sollte der Zahnarzt prüfen, ob der potenzielle Vertragspartner über einschlägige Zertifizierungen verfügt und welche Kurse er besucht hat. Da gibt es insbesondere einen Träger von Aus- und Fortbildungen, der auch Personen mit keinerlei Vorkenntnissen ausbildet, wenn sie für einen zwei- bis dreitägigen Kurs bezahlt haben. Am Ende erhalten dann die Teilnehmer eine bunte Urkunde, auf der sie als geprüfter Datenschutzbeauftragter genannt werden.
Wie bereits erwähnt gilt aber ein Datenschutzbeauftragter, dem die erforderliche Fachkenntnis fehlt, als nicht bestellt. Das Bußgeld zahlt nicht etwa der Datenschützer mit der Dreitageausbildung, sondern der Zahnarzt! Zahnärzte sollten daher darauf achten, dass ihre Datenschutzbeauftragten über einige Jahre Praxiserfahrung und einschlägige Referenzen verfügen. Hilfreich sind zum Beispiel Anerkennungen durch Bundes- oder Landesbehörden oder durch entsprechende Fachverbände.
Bei meinem letzten Zahnarztbesuch konnte ich beim Warten am Empfangstresen auf dem Computer die Daten meines Vorgängers lesen. Was ist da schief gelaufen?
Die Bildschirme sollten generell so aufgestellt sein, dass genau diese Situation vermieden wird. Ebenso wichtig ist es allerdings, die Arbeitskonsole zu sperren, wenn man einen Arbeitsplatz verlässt oder wenn der Patient im entsprechenden Raum einen Moment allein zurück bleibt. Soweit ein Rechner nicht gesichert ist, genügen einem destruktiven Zahnarztbesucher wenige Sekunden, um sich einen Fernzugriff auf den Rechner zu verschaffen oder ein schädliches Programm zu laden. Daher sollte immer darauf geachtet werden, dass kein Patient Zugang zu den Systemen oder Zugriff auf die Daten der Praxis erhält. Gleiches gilt natürlich auch für Patienten- daten, die in Papierform vorliegen, wie zum Beispiel Laboranforderungen.
###more### ###title### Kommunikation am Telefon ###title### ###more###
Kommunikation am Telefon
Was bedeutet Datenschutz für die Kommunikation am Telefon?
Das ist ebenfalls ein heikles Thema. In keinem Fall sollte der Anrufer aus einer Aufzählung Parameter auswählen dürfen, die ihn identifizieren. Die Merkmale zur Identifikation sollten vielmehr immer beim Anrufer abgefragt werden. Leider erlebt man immer wieder, dass es etwa heißt: „Sind Sie der Herr Lenhard, der in der Hauptstraße, in der Goethestraße oder in der Bergstraße wohnt?“ Die richtige Vorgehensweise wäre vielmehr, den Anrufer aufzufordern, für seine eindeutige Identifizierung sein Geburtsdatum und die Anschrift zu nennen.Generell sollte man am Telefon allerdings zurückhaltend sein, was die Mitteilung von Informationen angeht.
Denn selbst wenn der Anrufer Geburtsdatum und Anschrift kennt, heißt das noch lange nicht, dass er wirklich die Person ist, die er vorgibt zu sein.
Erleben Sie manchmal, dass eine Praxis vor dem Daten-Aus steht, weil ein totaler Datenverlust eingetreten ist?
Oh ja. Derartige Fälle treten vermutlich häufiger auf, als man annimmt. In den Tagen vor unserem Interview habe ich eine Institution beraten, bei der vor kurzem der gesamte elektronische Datenbestand verloren ging. Computer müssen nicht nur funktionieren, sie müssen auch regelmäßig gesichert werden.
Die Sicherungen sollten dann offline stattfinden und räumlich getrennt von den Anlagen sicher aufbewahrt werden. Wenn aktuelle Datensicherungen etwa im Bankschließfach oder im heimischen Tresor des Zahnarztes verfügbar lagern und Daten- sicherung ebenso wie Rücksicherung ausreichend gut geplant sind, kann nach einer Havarie der IT-Anlagen eine Praxis oder eine Zahnklinik üblicherweise nach wenigen Stunden wieder auf ihre Daten zugreifen.
Ist jedoch keine ausreichende Datensicherung vorhanden, kann die Situation schnell zu einer existenziellen Bedrohung für die Institution werden.
###more### ###title### Daten in der Cloud ###title### ###more###
Daten in der Cloud
Würde es helfen, Daten in digitalen Clouds zu sichern?
Cloud-Nutzung ist kein Ersatz für eine ordnungsgemäße Datensicherung! Das haben in den letzten Jahren einige Cloud-Nutzer schmerzlich erfahren müssen, wenn die Daten in der Cloud plötzlich verschwunden waren und ein entsprechender Anbieter dann lapidar auf seine AGB verwiesen hat. Cloud-Computing ist für mich ein rotes Tuch. Es wird von Verkäufern und Anbietern angepriesen, als hätte man den Stein der Weisen gefunden. Tatsächlich schafft Cloud-Computing oft mehr Probleme als dadurch gelöst werden. Es gibt durchaus kostengünstige Alternativen wie etwa der Betrieb eines eigenen Online-Archiv- systems, das auch über sichere Verbindungen über das Internet genutzt werden kann.
Wo passieren Ihrer Erfahrung nach die größten Nachlässigkeiten in der Datensicherung?
Das häufigste Problem ist bereits das Fehlen eines gut durchdachten Datensicherungskonzepts. Auch wenn Datensicherungen erstellt werden, so liegen die Sicherungsdateien oft auf denselben Rechnern, die eigentlich gesichert werden sollen. In vielen Fällen wurde auch noch nie ein Rücksicherungstest durchgeführt. Oft kommt das böse Erwachen, wenn die Sicherung als Ultima Ratio benötigt wird und sich dann zeigt, dass diese unbrauchbar ist oder sich gar nicht zurückspielen lässt. Gestohlene oder ausgebrannte Rechner werden auch zum Problem, wenn die Datensicherung sich auf dem gesicherten Rechner befand.
Bei welchem nicht Datenschutz-gemäßen Verhalten in der Praxis schrillen bei Ihnen alle Alarmglocken?
Seit vielen Jahren wird bereits kommuniziert, dass man in den Praxen doch die Karteikarten der Patienten nicht für jeden lesbar auf der Anmeldung ausbreiten soll. Leider erlebe ich diesen Umstand aber wieder und wieder. Das ist meist auch ein Indiz dafür, dass in einer Praxis Datenschutz noch gar nicht angekommen ist.
Über das Internet verbreiten sich die Bedrohungen unsichtbar. Welche Einfallstore für etwaige Gefahren sollte ich als Praxisinhaber unbedingt schließen?
Zunächst einmal sollte man sich die Frage stellen, ob das Internet beruflich genutzt wird, wie es genutzt wird und wer in der Praxis das Internet überhaupt nutzten darf. Generell sollte die private Nutzung von Email und Internet in der Praxis unterbunden werden. Derzeit kommen viele Bedrohungen über zum Teil recht gut erstellte Fake-Mails. Auch Bedrohungen über Webseiten sind nach wie vor recht verbreitet. Man begegnet dem am besten dadurch, dass Mitarbeiter für die Gefahren des Internets sensibilisiert werden und dass Benutzerkonten, die zur täglichen Arbeit genutzt werden, nicht über Administratorrechte verfügen.
Außerdem sollte ein gut durchdachtes Datensicherungskonzept umgesetzt werden. Natürlich ist auch der Einsatz von Firewalls und Antivirenprogrammen für eine Praxis obligatorisch.
###more### ###title### Die gehackte Zahnarztpraxis ###title### ###more###
Die gehackte Zahnarztpraxis
Haben Sie schon einmal davon gehört, dass eine Zahnarztpraxis gehackt wurde?
Natürlich! Dabei geht es aber nicht unbedingt darum, an die Daten der Patienten zu gelangen. Oftmals werden Rechner auch infiziert oder gehackt, um als Teil eines für kriminelle Zwecke aufgebauten Bot-Netzwerks genutzt zu werden.
Es gibt vielfältigste Intentionen für Hacker und Kriminelle, Rechner anzugreifen. Zahnarztpraxen sind da meiner Einschätzung nach sogar eher gefährdet als IT-Systeme mittelständischer Unternehmen.
Passwort-gesicherte Bildschirmschoner, ständige Datensicherung, mit Kennworten verschlüsselte Festplatten, externe Datenlagerung – kosten diese Sicherheitsmaßnahmen im Praxisalltag nicht übermäßig viel Zeit und Geld?
Einwegkanülen kosten auch Geld, trotzdem käme niemand auf die Idee, diese mehrfach zu verwenden. Datenschutz ist mittlerweile ein Grundrecht und auch untrennbar mit der Schweigepflicht des Zahnarztes verknüpft. Entsprechend ist Datenschutz sowohl Teil wie auch Qualitätsmerkmal der erbrachten Gesundheitsleistung. Wenn Datenschutz in die Prozesse der Praxis integriert ist, wird er zum festen Bestandteil aller Abläufe. Der Aufwand ist anfangs etwas größer, wenn fehlende Maßnahmen umgesetzt werden müssen oder Mitarbeiter zu schulen sind. Ist Datenschutz aber erst einmal in der Praxis etabliert und wird dort auch gelebt, ist der damit verbundene Aufwand kaum der Rede wert. Davon abgesehen ist die Erfordernis technischer und organisatorischer Maßnahmen des Datenschutzes gesetzlich geregelt und nichts, was von einer betriebswirtschaftlichen Betrachtungsweise oder von einer Rentabilitätsberechnung abhängig gemacht werden kann. Es geht beim Datenschutz um die Grundrechte von Mitarbeitern und Patienten.
Was gilt es bei der Zusammenarbeit mit externen Dienstleistern zu beachten, etwa mit Factoring-Unternehmen, Laboren etc.?
Soweit personenbezogene Daten im Auftrag der Zahnarztpraxis oder der Zahnklinik durch Dienstleister verarbeitet werden, spricht man von einer Auftrags- datenverarbeitung. Die Weitergabe von personenbezogenen Daten an Auftrags- datenverarbeiter ist zustimmungspflichtig. Das heißt, dass eine entsprechende Konstellation bereits im Behandlungs- vertrag berücksichtigt werden muss oder das Einverständnis für die Auftragsdaten- verarbeitung von jedem Patienten – der Datenschutz spricht hier von den betroffenen Personen – einzuholen ist. Diesbezüglich sollte sich der Zahnarzt unbedingt fachlich beraten lassen, denn an die Auftrags- datenverarbeitung sind eine Menge zusätzlicher Pflichten geknüpft.
###more### ###title### Die Strafen laut Bundesdatenschutzgesetz ###title### ###more###
Die Strafen laut Bundesdatenschutzgesetz
Die Nichteinhaltung von Datenschutzregeln kann zu Sanktionen führen. Wie oft kommt es tatsächlich zu Strafmaßnahmen – und wie umfangreich können diese sein?
Die Strafvorschriften des Bundesdatenschutzgesetzes sehen je nach Sachverhalt Bußgelder bis zu 50.000 EUR oder auch bis zu 300.000 EUR vor. Dabei sollte man sich allerdings vor Augen halten, dass jeder Fall getrennt betrachtet wird und sich daher auch Bußgelder schnell zu Summen entwickeln, welche die Existenz einer Praxis massiv bedrohen können.
Davon abgesehen können Straftaten rund um den Datenschutz auch mit Freiheitsstrafe geahndet werden. Es ist zu erwarten, dass Bußgelder durch die Europäische Datenschutzgrundverordnung in Zukunft noch deutlich höher ausfallen werden, als das bislang der Fall war.
Die meisten Kontrollen durch Aufsichtsbehörden dürften dann stattfinden, wenn zuvor eine Beschwerde eingegangen ist. In meiner Tätigkeit habe ich in den letzten Jahren den Eindruck gewonnen, dass die Zahl solcher Beschwerden stetig steigt.
Im Rahmen von Datenschutzkontrollen werden dann unter Umständen nicht nur Beschwerdesachverhalte geprüft, sondern mitunter auch die Dokumentationen des Datenschutzbeauftragten in Augenschein genommen. Ist jetzt kein Datenschutzbeauftragter bestellt, kein Verfahrensverzeichnis verfügbar und mit Auftragsdatenverarbeitern auch kein gesetzlich vorgeschriebener Vertrag über die Auftragsdatenverarbeitung geschlossen, so wird die Prüfung kaum ohne ein nachfolgendes Bußgeld zum Abschluss kommen. In der Öffentlichkeit wird allerdings nur über wirklich drastische Vorfälle im Datenschutz berichtet.
Glauben Sie, dass der ganze Sektor der Health-Apps in Zukunft auch Datenschutz-relevante Fragen in der Zahnarztpraxis aufwerfen wird?
Das wird ganz sicher so sein. Der zahnärztliche Sektor ist einer der wesentlichsten Bereiche im Gesundheitswesen unseres Landes. Allgemeine Entwicklungen im Gesundheitswesen, seien sie technischer, organisatorischer oder rechtlicher Natur, werden daher für Zahnärzte ebenso relevant sein wie für andere Heilberufe.
Erstaunlich im Zusammenhang mit sogenannten Apps, aber auch mit konventionellen Softwaresystemen ist, dass die Hersteller zum Teil immer noch Zertifizierungen scheuen wie der Teufel das Weihwasser.
Leider hat sich in den Köpfen vieler Entwickler der Datenschutzgedanke noch nicht ausreichend festgesetzt. Daher sollte der Zahnarzt Vorsicht walten lassen. Auch wenn der Entwickler oder Verkäufer einer App oder eines Softwaresystems noch so gut von einem Produkt spricht, bleibt immer der Zahnarzt für die Daten seiner Patienten verantwortlich.
Haben Sie noch einen besonderen Tipp für Praxisgründer?
Betrachten Sie von Anfang an Datenschutz als Teil der gesamten Gesundheitsdienstleistung in Ihrer Praxis. Das spart Ressourcen und erspart unter Umständen eine Menge Ärger. Nützlich für Sie könnte auch die kostenlose eBroschüre „Datenschutz in der Zahnarztpraxis“ sein.