Termine per Postkarte?
Im Zusammenhang mit einer medizinischen Dienstleistung handelt es sich beim Versand von Termin-Erinnerungen um die Verarbeitung von Gesundheitsdaten. Der Praxis muss daher eine Zustimmung des Patienten zur Kontaktaufnahme und der Verwendung seiner Adressdaten vorliegen. Darin sollte sich auch ausdrücklich die Datennutzung für das Recall-Verfahren wiederfinden. Diese Einwilligung kann der Patient jederzeit rückgängig machen. Einen solchen Widerruf sollte man unbedingt in der Patientendatei vermerken, um den automatischen Recall zu stoppen und schließlich mögliche rechtliche Konsequenzen zu vermeiden.
Wenn die Praxis sensible personenbezogene Patientendaten nicht vor Außenstehenden schützt, verstößt sie gegen Artikel 32 der Datenschutz-Grundverordnung (DSGVO) in Bezug auf die Sicherheit der Datenverarbeitung. Auch bei der Nutzung anderer Kanäle wie Telefon, E-Mail, SMS oder Nachrichten via Messenger muss nach Artikel 32 der DSGVO die technische Sicherheit bei der Datenverarbeitung garantiert sein. Um Schwachstellen zu vermeiden, verlangt die IT-Sicherheitsrichtlinie daher, dass die von der Praxis eingesetzten Mobilgeräte ein aktuelles Betriebssystem verwenden und dass alle Apps regelmäßig upgedatet werden.
Während bei anderen Gewerbetreibenden die Erinnerung in Form eines Kundenpflegeschreibens laut Artikel 6 der DSGVO als „berechtigtes Interesse“ definiert wird, ist die Lage für Zahnarztpraxen nicht so eindeutig: Hier ist die Formulierung im Datenschutzrecht eher unscharf. Sobald die Einwilligung des Patienten vorliegt, steht dem Versand der Karte jedoch rechtlich nichts mehr im Weg.
Der Patient muss eine Einwilligung abgeben
Anders sieht es bei der Verwendung von Bestandsdaten aus, die ohne Einwilligung des Patienten in der Praxis vorhanden sind. Hier sollte man die Einwilligung im Nachhinein auf jeden Fall einholen – oder den Recall unterlassen.
Bei einer gerichtlichen oder behördlichen Auseinandersetzung ist das Argument der Gesundheitsvorsorge bei der Recall-Einwilligung wesentlich. Weitere Unterlagen und Informationen sollten neben der Erinnerung auf dem Recall-Weg daher nicht ausgetauscht werden. Wird ein externer Anbieter mit dem Recall beauftragt, ist es wichtig, hier eine Auftragsverarbeitungsvereinbarung anzuschließen und den Patienten darüber ebenfalls zu informieren.
Was in der DSGVO steht
Was in der DSGVO steht
Grundsätzlich gilt: Die Nutzung eines Recall-Systems – sei es via E-Mail, Telefon, SMS oder eben per Postkarte – setzt für die Zahnarztpraxis immer eine wirksame Einwilligung der Patienten nach der Datenschutzgrundverordnung (DSGVO) voraus.
Artikel 7 bezieht sich auf die Verarbeitung ihrer personenbezogenen Daten – dies muss schriftlich und in „leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen“. Die Einwilligung kann jederzeit vom Patienten auf gleiche Weise widerrufen werden.
Darüber hinaus müssen die Patienten gemäß den Anforderungen aus den Artikeln 13 und 14 DSGVO informiert werden. Diese umfassen zum einen die Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person und zum anderen die Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden.
Das EU-weite Datenschutzrecht gilt seit dem 25. Mai 2018 – auch für Zahnarztpraxen. Der Zahnarzt, das Praxispersonal aber auch externe IT-Dienstleister sind verpflichtet, die Vorschriften der DSGVO und die des Bundesdatenschutzgesetzes (BDSG) zu beachten. Die Praxen müssen seitdem jederzeit nachweisen können, dass sie bei der Verarbeitung personenbezogener Daten sowohl die in der Verordnung verankerten Datenschutzgrundsätze als auch die technisch-organisatorischen Anforderungen einhalten.
