Was Zahnärzte wissen müssen
Das Besondere an der neuen DSGVO sind nicht die inhaltlichen Vorgaben, sondern das datenschutzrechtliche gesamteuropäische Rahmenwerk. Vieles ist inhaltlich nicht neu. Gleichwohl war nach dem 25. Mai 2018 im Gesundheitswesen eine gewisse Hektik allgegenwärtig. Obwohl das bestehende deutsche Datenschutzrecht ausgereift war und durchweg – wenn auch unbewusst – Beachtung fand, gab es Gründe für diese Verunsicherung: „Datenschutz“ war für viele bislang wenig konkret.
Begriffe wie Rechenschaftspflicht, Verarbeitungsverzeichnisse, Datenschutzfolgenabschätzung, Verbot mit Erlaubnisvorbehalt und so weiter sind gerade für Zahnärzte wenig greifbar. Viele Aspekte des Datenschutzes haben sich zwischenzeitlich aufgeklärt – dabei haben sich die folgenden „Must-haves“ herauskristallisiert, denen in der (zahnärztlichen) Praxis unbedingt Beachtung geschenkt werden muss:
Erstellung und fortlaufende Aktualisierung eines Verzeichnisses über die Verarbeitungstätigkeiten innerhalb der Praxis
Prüfung und Entscheidung, ob ein Datenschutzbeauftragter für die Praxis benannt werden muss. Ist dies der Fall: Auswahl eines geeigneten Kandidaten und Meldung an die zuständige Landesdatenschutzbehörde
Überprüfung des Datensicherheitsstandards, Erarbeitung eines nachhaltigen Datenschutzmanagements unter Einbeziehung der Mitarbeiter (Stichwort „technische und organisatorische Maßnahmen“)
Einholen der erforderlichen Einwilligungserklärungen bei den Patienten und bei den Mitarbeitern
Erstellung der Datenschutzinformationen für die Patienten und für die Mitarbeiter
Datenschutzerklärung Website (inklusive Einwilligung in den Newsletter-Empfang)
Überprüfung (bestehender) Verträge mit Auftragsverarbeitern
Diese Must-haves müsen alle Zahnärzte beachten. Je größer die jeweilige Praxis ist (Stichwort „überregionale Einrichtung“), umso höher ist die Wahrscheinlichkeit, dass weitere Maßnahmen ergriffen und stärker differenzierte Datenschutzkonzepte erstellt werden müssen – hier bedarf es in jedem Fall einer individuellen Ausrichtung entsprechend den Besonderheiten der Praxis.
Prof. Dr. Bernd Halbe
Rechtsanwalt und Fachanwalt für Medizinrecht
Rechtsanwälte Prof. Dr. Halbe, Rothfuß & Partner mbB
50670 Köln
www.medizin-recht.com
Fragen aus der Praxis
Dürfen Patienten auch zukünftig mit ihrem Namen aufgerufen werden?
Ja! Selbstverständlich dürfen Patienten auch nach dem neuen Datenschutzrecht mit ihrem Namen aufgerufen werden, wenn sie sich etwa im Wartebereich der Praxis aufhalten. Hierbei handelt es sich nicht um eine DSGVO-relevante Fragestellung, da es sich bei dem Aufruf nicht um eine automatisierte Datenverarbeitung handelt; dies ist jedoch Voraussetzung der Anwendbarkeit der DSGVO-Vorschriften.
Wie umfangreich müssen Patienten über den Datenschutz und seine Umsetzung in der Praxis informiert werden? Und auf welche Weise? Muss ich mir hier etwas von den Patienten unterschreiben lassen?
Ausgangslage ist, dass die Patienten über die Datenverarbeitungsvorgänge in der Praxis informiert werden müssen. Welche Datenverarbeitungsvorgänge in der Praxis tatsächlich vorliegen, lässt sich dem Verarbeitungsverzeichnis entnehmen, das jede Praxis haben muss (siehe „Must haves“). Dabei müssen die Patienten auch darüber informiert werden, auf welcher rechtlichen Grundlage die Datenverarbeitung erfolgt; auch diese ergibt sich unmittelbar aus dem Verarbeitungsverzeichnis.
Es ist vollkommen ausreichend, die Datenschutzinformationen durch einen sichtbaren Aushang in den Praxisräumlichkeiten den Patienten zugänglich zu machen. Dabei ist wichtig, dass ein Ort gewählt wird, der regelmäßig von allen Patienten aufgesucht wird. Nur so kann gewährleistet werden, dass alle Patienten die Möglichkeit haben, die Aushänge tatsächlich zur Kenntnis nehmen zu können. Selbstverständlich kann man den Patienten die Datenschutzinformationen – auf Verlangen – in schriftlicher Form aushändigen. In keinem Fall ist es erforderlich, dass die Patienten mit ihrer Unterschrift bestätigen, dass sie die Datenschutzinformationen tatsächlich zur Kenntnis genommen haben!