Typische Fragen und Antworten zur DSGVO
Frage: In der Praxis arbeiten zwölf Personen (drei Zahnärzte und acht Fachangestellte – hiervon zwei in Teilzeit – und eine Reinigungsfachkraft). Muss ich einen Datenschutzbeauftragten für meine Praxis bestellen?
Antwort: Als Grundregel gilt: Sind in einer Praxis ständig zehn oder mehr Personen mit automatisierter Verarbeitung personenbezogener Daten (Patienten-, Gesundheits- und Mitarbeiterdaten etc.) befasst, ist ein Datenschutzbeauftragter zu bestellen. Bestellt werden kann ein interner (betrieblicher) oder ein externer Datenschutzbeauftragter.
Maßgeblich ist nach deutschem Recht die Personenzahl; sowohl Auszubildende als auch die Inhaber der Praxis selbst sind hierbei einzurechnen. Unerheblich ist, ob die Personen in Vollzeit oder Teilzeit beschäftigt sind – die zwei Fachangestellten in Teilzeit sind folglich zwei vollständige Kräfte – und werden nicht lediglich als zwei halbe gezählt. Hingegen werden Reinigungskräfte nicht hinzugerechnet, da sie nicht mit automatisierter Datenverarbeitung befasst sind.
Sollten Zweifel bei der Pflicht zur Bestellung bestehen, empfiehlt es sich immer, bei der für die Praxis zuständigen Landesdatenschutzbehörde nachzufragen.
Frage: Wofür wird eine Einwilligungserklärung des Patienten benötigt?
Antwort: Patientenstammdaten und Gesundheitsdaten, die im Zusammenhang mit der Behandlung der Patienten selbst – also der Erfüllung der Verpflichtungen aus dem Behandlungsvertrag – benötigt werden, dürfen bereits aufgrund einer gesetzlichen Erlaubnis verarbeitet werden; eine besondere (schriftliche) Einwilligung des Patienten ist in diesen Fällen nicht erforderlich. Derzeit überwiegt die Auffassung, dass dies auch für den Fall der ärztlichen Mit- beziehungsweise Weiterbehandlung gelten soll. In jedem Fall muss der Patient über die Datenverarbeitung und die gesetzliche Erlaubnis – also die konkrete Norm – informiert werden.
Eine Einwilligung des Patienten ist allerdings erforderlich, wenn seine Daten bei Dritten (anderen Zahnärzten/Ärzten oder Einrichtungen) erhoben werden und nicht direkt bei ihm. Auch Verarbeitungssituationen, die nicht unmittelbar mit der Erfüllung des Behandlungsvertrags in Verbindung stehen, bedürfen regelmäßig einer Einwilligung im Einzelfall – ein klassisches Beispiel ist das Recall-System, für das eine Einwilligung des Patienten vorliegen muss.
Grundsätzlich gilt: Liegt eine gesetzliche Erlaubnis zur Weitergabe von Daten an Dritte nicht vor, bedarf es einer Einwilligung. Dies ist beispielsweise der Fall, wenn Rezepte an Dritte ausgehändigt werden sollen. Hier muss der Patient immer seine ausdrückliche Einwilligung erklären. Gleiches gilt, soweit eine Weitergabe von Patientendaten an eine private Abrechnungsstelle beabsichtigt ist; auch hier muss der Patient einwilligen, da eine gesetzliche Erlaubnis fehlt. Dort wo eine Einwilligung benötigt wird, ist diese schriftlich zu dokumentieren.
Frage: Darf ich nach der DSGVO noch mit den Patienten, anderen Zahnärzten und Gesundheitseinrichtungen per Fax kommunizieren oder ist das nicht sicher genug?
Antwort: Die Kommunikation per Fax wird auch im Zeitalter der DSGVO immer dann als zulässig angesehen, wenn sichergestellt werden kann, dass die Patienten- und Gesundheitsdaten, die übermittelt werden sollen, ausschließlich vom Patienten beziehungsweise vom zum Empfang bestimmten Zahnarzt eingesehen werden können und nur ihn erreichen.
Vorsicht ist daher geboten, soweit die Übermittlung eines Fax an allgemeine Faxnummern erfolgen soll (etwa die zentrale Nummer größer Gesundheitseinrichtungen und Behörden); hier kann die Praxis in keinem Fall sicherstellen, dass die übermittelten Daten nur von den Personen zur Kenntnis genommen werden, die Kenntnis nehmen sollten und dürfen.
Mit gleicher Vorsicht sollten auch Fälle behandelt werden, in denen Patienten eine Datenübermittlung an eine Telefaxnummer eines Dritten wünschen – wie des Arbeitsplatzes. Da nicht ausgeschlossen werden kann, dass unberechtigte Dritte Kenntnis von den übermittelten Daten erlangen, sollte in einem solchen Fall eine ausdrückliche Einwilligung des Patienten eingeholt werden.
Frage: Ist die E-Mail-Kommunikation nach der DSGVO ausgeschlossen?
Antwort: Die E-Mail-Kommunikation ist selbstverständlich auch zukünftig weiterhin möglich. Weniger die Frage des „Ob“ der Versendung als vielmehr nach dem „Wie“ des Versands ist hier entscheidend: Erfolgt die Kommunikation mittels einer geeigneten Verschlüsselung, wird sie als DSGVO-konform angesehen; als ausreichend gilt hier derzeit wohl eine Transportverschlüsselung nach dem aktuellen Stand des Technik. Wenn Zweifel bestehen, ob die E-Mails transportverschlüsselt versendet werden, hilft zumeist eine Nachfrage bei ihrem IT-Berater.
Es gilt jedoch: Aufgrund der Einordnung der Gesundheitsdaten als besonders sensible personenbezogene Daten (hohes Schutzgut und Schutzniveau!) sollte eine Kommunikation, die Gesundheitsdaten eines Patienten zum Inhalt hat, stets unter Verwendung einer geeigneten Verschlüsselung erfolgen. Dass dies der Fall ist, muss hinreichend dokumentiert werden (Stichwort: technische und organisatorische Maßnahmen).
Prof. Dr. Bernd Halbe
Rechtsanwalt und Fachanwalt für Medizinrecht
Rechtsanwälte Prof. Dr. Halbe, Rothfuß & Partner mbB
50670 Köln
www.medizin-recht.com