Anzeige
Branchenmeldungen 20.06.2019

Datenschutz 4.0: Besonderheiten in der Zahnarztpraxis

Antje Isbaner
E-Mail:
Datenschutz 4.0: Besonderheiten in der Zahnarztpraxis

Seit Mai 2018 sind die EU-Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) in Kraft getreten und verbindlich anzuwenden. Besonders im Gesundheitswesen ist der Umgang mit Patienten- und Mitarbeiterdaten ein hochsensibles Thema und unterliegt erhöhten Anforderungen an Datenschutz und Datensicherheit. Im Interview sprach die Redaktion mit dem Qualitätsmanagement- und Datenschutzexperten Christoph Jäger über die datenschutzrechtlichen Besonderheiten in einer Zahnarztpraxis und die Möglichkeiten der Umsetzung.

Was müssen Zahnarztpraxen seit der Einführung der DSGVO und des BDSG speziell beachten?

Viele der heute thematisierten Anforderungen aus dem Datenschutz gab es schon im alten Bundesdatenschutzgesetz (BDSG). Die Bestellung eines internen oder externen Datenschutzbeauftragten ab neun Mitarbeiter gab es z. B. schon im alten BDSG. Auch der Abschluss von Auftragsverarbeitungsverträgen (AV-Verträge) mit Dienstleistern, die im Auftrag der Praxis personenbezogene Daten verarbeiten, ist nichts Neues, muss aber jetzt in den Praxen umgesetzt werden. Neben den alten Forderungen gibt es aber auch viele neue, die ihre Berücksichtigung finden müssen. Hier möchte ich das Thema der neuen und spezifizierten Rechte der Patienten hervorheben. Mit der neuen DSGVO hat ein Patient unter anderem das Recht (nach Ablauf der gesetzlichen Fristen) auf Löschung seiner Daten. Die Umsetzung einer solchen Forderung muss in der Praxis geplant werden. Denn in den meisten Praxen liegen die sensiblen Patientendaten nicht nur im Patientenverwaltungsprogramm, sondern noch an vielen anderen Ablage- und Speicherorten. Diese müssen analysiert und gebündelt werden.

Das Thema Datenschutz ist aber vor allem aus einem Grund hochaktuell für Zahnarztpraxen: Bei Zuwiderhandlungen und Nichterfüllen der Gesetzesvorgaben sieht die neue DSGVO im Artikel 83 empfindliche und abschreckende Geldstrafen mit maximal vier Prozent des erzielten Praxisumsatzes vor. Das sind keine Peanuts!

Welchen aktuellen und zukünftigen Gefahren sind Praxen denn ausgesetzt?

Viele Praxen bieten noch eine große Angriffsfläche bezüglich der erfassten Patientendaten gegenüber Menschen mit einer hohen Kriminalität. Auch wenn sich viele Verantwortliche das heute noch nicht vorstellen können, werden Gesundheitsdaten zu einem Wirtschaftsgut. Organisationen geben viel Geld dafür aus, um an solche Gesundheitsdaten zu kommen. Kriminell vorgehende Menschen werden hier eine neue Einnahmequelle finden, um Praxen zu erpressen, zum Beispiel in Form der eingeschleusten „Ransomware“ auf dem Server. Erste Praxen haben hier bereits leidvolle Erfahrungen machen müssen.

Werden einer Zahnarztpraxis Patientendaten vom Server gestohlen oder eine Patientenkartei wird entwendet, so kann der Diebstahl unter Umständen in der Praxis erst nach Monaten entdeckt werden. In vielen Praxen steht zum Beispiel der Server noch ungeschützt im Empfangsbereich. Ablageschränke für die Patientenakten können nicht abgeschlossen werden. Der Verlust von Patientendaten wird als Datenschutzpanne deklariert und muss der zuständigen Datenschutzbehörde nach Bekanntwerden innerhalb von 72 Stunden gemeldet werden. Hier drohen ansonsten weitere empfindliche Strafen.

Was unterscheidet eine Gemeinschaftspraxis von einer Praxisgemeinschaft …

Um diese Frage beantworten zu können, muss ich kurz beide Praxiszusammenschlüsse definieren: Eine Gemeinschaftspraxis ist ein wirtschaftlicher und organisatorischer Zusammenschluss von zwei oder mehreren Zahnärzten, die gemeinsamen ihren Beruf ausüben. Hier umfasst der Zusammenschluss das komplette Spektrum der zahnärztlichen Berufsausübung und der damit zusammenhängenden Pflichten und Rechte, die sich aus den unterschiedlichsten gesetzlichen Quellen ergeben.

Diese Kooperation setzt voraus, dass gemeinsame Praxisräume mit einer gemeinsamen Einrichtung und gemeinsamem Praxispersonal genutzt werden. Der entscheidende Unterschied zur Praxisgemeinschaft ist aber, dass eine Gemeinschaftspraxis einen gemeinsamen Patientenstamm und eine gemeinsame Abrechnung der erbrachten Leistungen auf gemeinsamer Rechnung der Gemeinschaftspraxis erbringt.

Somit kann festgehalten werden, dass eine Gemeinschaftspraxis eine einheitliche Praxis ist, die einen gemeinsamen Patientenstamm unterhält. In diesem Aspekt des Patientenstamms unterscheidet sich die Praxisgemeinschaft grundsätzlich zur Gemeinschaftspraxis.

Bei einer Praxisgemeinschaft handelt es sich um eine Organisationsgemeinschaft, in der jeder Zahnarzt seine eigene Praxis mit einem eigenen Patientenstamm unterhält. Es gibt Praxisgemeinschaften, die auch gemeinsame Praxisräume sowie Praxiseinrichtungen nutzen und sich auch das Praxispersonal teilen. Allerdings führen die Mitglieder einer Praxisgemeinschaft ihre Praxis jeder für sich im eigenen Namen und rechnen auch eigenständig die erbrachten zahnärztlichen Leistungen ab. Rechtlich gesehen handelt es sich somit nicht um eine, sondern um mehrere Praxen.

… und wie wirken sich diese Unterschiede im Datenschutz aus?

Diese Unterschiede in den rechtlichen Gebilden haben natürlich auch Auswirkungen auf den erlaubten Umgang mit den personenbezogenen Daten, die in beiden Praxisarten erhoben werden. Die Unterscheidung zwischen Gemeinschaftspraxis und Praxisgemeinschaft ist sowohl datenschutzrechtlich gemäß der neuen DSGVO als auch im Hinblick auf die neu definierte Verschwiegenheitspflicht nach § 203 StGB von enormer Bedeutung.

Datenschutzrechtlich hat in einer Gemeinschaftspraxis jeder Zahnarzt und jeder Mitarbeiter ein Zugriffsrecht auf die Patientendaten (solange der Patient hier sein Einverständnis erklärt hat und keine Einwände geltend macht). Bei einer Praxisgemeinschaft hingegen besteht kein Zugriffsrecht des einen Praxisinhabers auf die Patientendaten des anderen Praxisinhabers. Bei einer Praxisgemeinschaft darf also nur der behandelnde Zahnarzt, nicht aber der andere Behandler Zugriff auf die Daten der Patienten haben. Bei der datenschutzrechtlichen Organisation einer Praxisgemeinschaft muss dieses wichtige Detail seine Berücksichtigung finden.

Doch wie kann dies im laufenden Betrieb einer Praxisgemeinschaft sichergestellt werden?

Nutzen die Praxisinhaber einer Praxisgemeinschaft einen gemeinsamen Server und eine gemeinsame Patientenverwaltungssoftware, so muss diese Software so organisiert sein, dass jeder Praxisinhaber nur Zugriff auf die Daten seiner eigenen Patienten erhält, nicht aber auf die Daten der Patienten der anderen Praxisinhaber.

Die gleiche notwendige Organisation gilt auch für die Patientenunterlagen und weitere personenbezogene Dokumente in Papierform. Diese Patientenunterlagen sind ebenfalls nur dem jeweiligen Zahnarzt zuzuordnen und müssen so gelagert (archiviert) und vor unberechtigten Zugriffen gesichert werden, dass nur der jeweilige Praxisinhaber Zugriff auf die Akten und Unterlagen seiner Patienten hat, nicht aber die anderen Zahnärzte der Praxisgemeinschaft.

Gelten auch für den Zugriff des Praxispersonals ähnlich neue Vorgaben?

Auch auf die Zugriffsrechte des Personals haben die neuen datenschutzrechtlichen Anforderungen ihr Auswirkungen. Falls das Personal gemeinschaftlich von der Praxisgemeinschaft beschäftigt wird, lässt sich rechtfertigen, dass das Personal auf die Daten aller Patienten aller Zahnärzte der Praxisgemeinschaft zugreifen darf.

Achtung, dies gilt aber nur für das gemeinsam beschäftigte Personal, nicht für die Mitarbeiter, die nur von einem Praxisinhaber eingestellt wurden. Diese dürfen gemäß der Datenschutz-Grundverordnung keinen Zugriff auf die personenbezogenen Daten erhalten. Falls hingegen jeder Zahnarzt eigenes Personal beschäftigt, darf wiederum nur das jeweils eigene Personal auf diese personenbezogenen Daten zugreifen.

Weiterhin muss beachtet werden, dass wenn untereinander eine Vertretung der Praxisinhaber zum Beispiel bei Krankheit oder Urlaub erfolgt, der Patient in diese Vertretung und die Einsichtnahme des Vertreters in seine Behandlungsunterlagen (nachweislich) einwilligen muss.

Es scheint, eine Gemeinschaftspraxis hat es weniger schwer unter der neuen Gesetzgebung?

Bei einer Gemeinschaftspraxis stellen sich in der Tat derartige datenschutzrechtliche Fragen, wie ich sie für die Praxisgemeinschaft skizziert habe, nicht oder zumindest nicht im selben Umfang. Eine Gemeinschaftspraxis ist datenschutzrechtlich und im Hinblick auf die Verschwiegenheitspflicht nach § 203 StGB leichter zu organisieren, da es sich rechtlich nicht um mehrere Praxen, sondern um eine Praxis mit gemeinsamem Patientenstamm handelt.

Sie bieten für Zahnarztpraxen individuelle Beratungsleistungen zum Thema „Datenschutzmanagementsystem“ an und erstellen im Anschluss ein maßgeschneidertes Datenschutzhandbuch für die Praxis. Was genau beinhaltet Ihr Datenschutz-Navi-Handbuch und kann es auch ohne einen vorherigen Praxisrundgang bestellt werden?

Das Datenschutz-Navi-Handbuch ist für das zahnärztliche Gesundheitswesen geschrieben worden und sofort einsetzbar. Das Handbuch kann auch ohne die unten beschriebene Beratungsleistung eingesetzt werden. In einer Spezialdruckerei wird in den Kopfzeilen jeder Seite des Handbuches gleich die Adresse der bestellenden Praxis abgedruckt. Für eine Praxis, die aufgrund ihrer Mitarbeiteranzahl (weniger als neun Mitarbeiter) keinen externen Datenschutzbeauftragten benötigt, ist das neue DS-Navi- Handbuch eine Pflichtlektüre.

Ein Großteil der Aufgaben der Praxisleitung dreht sich um die Sensibilisierung der Mitarbeiter zum Datenschutz. Hier benötigt die Belegschaft entsprechende schriftliche Festlegungen, die im DS-Navi-Handbuch individuell für jede Praxis durch ankreuzen der einzelnen Verhaltensmöglichkeiten erstellt werden können. Wird am Empfang z. B. ein handschriftlicher Terminkalender verwendet, so kann dieses im Handbuch entsprechend angekreuzt und die damit verbundenen datenschutzrechtlichen Anweisungen an die Mitarbeiter einfach erstellt werden. Wichtige Formblätter, Verzeichnisse, AV-Verträge, Belehrungsunterlagen und deren Nachweise, Einweisungsbögen und viele weitere notwendigen Unterlagen, die auch zum behördliche Nachweis benötigt werden, sind Inhalte des Handbuches.

Während einer Tagesberatung zum Datenschutz in der Praxis werden alle Mitarbeiter geschult. In einer Praxisbegehung – durch alle sensiblen Bereiche der Praxis – werden die Datenschutzanforderungen begutachtet und besprochen. Notwendige Handlungsempfehlungen zur Anpassung an die neuen Datenschutzanforderungen werden besprochen und in einem Begehungsbericht nachhaltig festgehalten.

Wie viel Zeit muss eine Zahnarztpraxis bei einer Praxisschulung zum Qualitäts-, Hygiene- und/oder Datenschutzmanagementsystem einplanen?

Durch die „schlanken“ Managementhandbücher QM-, HY- und jetzt DS-Navi-Handbücher gelingt es, die Thematik an nur einem Tag (je Managementsystem acht Stunden) den Mitarbeitern und der Praxisleitung zu vermitteln. Im Vorwege einer Beratung gibt es immer Hausaufgaben, die in Form einfacher und verständlicher Checklisten zu erledigen sind. Die Ergebnisse der Hausaufgaben finden in den Handbüchern ihre Anerkennung, die somit bereits abgestimmt zur Beratung mitgebracht werden. Während einer Tagesberatung werden die einzelnen Anforderungen vermittelt und die Unterlagen hierzu besprochen und gegebenenfalls noch verfeinert. Während einer Hygiene- und Datenschutzbeauftragung gibt es am Beratungstag eine Praxisbegehung. Neben den maßgeschneiderten Handbüchern gibt es weitere umfangreiche Handlungsanweisungen an die Praxis für die noch umzusetzenden Aufgaben der einzelnen Managementsysteme. Der enorme Vorteil dieses Beratungskonzeptes ist, dass alle Beteiligten an der Beratung teilnehmen und somit auch alle Mitarbeiter der Praxis wissen, was die Managementsysteme von der Praxis fordern und wie sie einfach umgesetzt werden können.

Können Zahnarztpraxen für die Einführung eines solchen Managementsystems Fördermittel beantragen und wenn ja, in welcher Höhe?

Ja, für die Einführung der Managementhandbücher QM-, HY- und DS-Navi gibt es Fördermittel vom Europäischen Sozialfonds. In den neuen Bundesländern gibt es für Bestandspraxen 2.400 Euro und für Gründerpraxen 3.200 Euro nicht zurückführbare Fördermittel. In den alten Bundesländern gibt es für Bestandspraxen 1.500 Euro und für Gründerpraxen 2.000 Euro. Die Mittel müssen vor einer Beratung beim Europäischen Sozialfonds beantragt werden. Die Beratung selbst muss in der Praxis von einer akkreditierten Beratungsgesellschaft ausgeführt werden.

Ab welcher Mitarbeitergröße muss eine Praxis einen Datenschutzbeauftragten bestellen?

Aus dem Bundesdatenschutzgesetz, neue Fassung, geht hervor, dass ein Datenschutzbeauftragter benannt werden muss, wenn in einer Praxis mehr als neun Personen mit der automatischen Datenverarbeitung beschäftigt sind. Bei der Ermittlung der Personenanzahl geht es um die „Köpfe“, die in einer Praxis arbeiten, somit müssen auch alle Halbtagskräfte mitgezählt werden. Unterschreiten Praxen die notwendige Grenze und müssen keinen DSB beauftragen, so entbindet das natürlich nicht vom Datenschutz. In diesen Praxen muss die Praxisleitung oder ein anderer geeigneter Mitarbeiter die fachliche Voraussetzung erwerben und ein Datenschutzmanagement in die Praxisorganisation einführen.

Welche Voraussetzungen muss ein interner (wie externer) Datenschutzbeauftragter (DSB) erfüllen?

Wird ein interner Mitarbeiter zur DSB ernannt, so besitzt dieser einen weitreichenden Kündigungsschutz. Darüber hinaus können sich weitere arbeitsrechtliche Nachteile ergeben. Es darf kein Interessenskonflikt zwischen dem Amt als DSB und der ausgeübten Tätigkeit vorliegen. Als DSB darf nur eine Person bestellt werden, welche für die Erfüllung der Aufgaben erforderliche Fachkunde, Zuverlässigkeit und organisatorische Kenntnisse im zahnärztlichen Gesundheitswesen besitzt. Ebenfalls von Bedeutung ist, dass ein DSB die wesentlichen betriebswirtschaftlichen Abläufe sowie Datenverarbeitungstätigkeiten einer zahnärztlichen Praxis kennt, um auch hier gegebenenfalls Schwachstellen zu erkennen. Neben der notwendigen Fachkunde spielt auch die Zuverlässigkeit und Persönlichkeit des Beauftragten eine entscheidende Rolle, damit dieser seine Aufgaben in einer Praxis ordnungsgemäß umsetzen kann.

Im Leitbild des Berufsverbandes der Datenschutzbeauftragten Deutschlands e.V. (BvD) werden weitere konkrete Voraussetzungen für die Berufsausübung aufgelistet. So sollte ein externer oder interner DSB folgende Punkte erfüllen:

  • absolvierte Berufsausbildung
  • mindestens zwei Jahre Berufserfahrung
  • Fachkenntnisse in Recht, IT oder BWL
  • und Ausbildung zum Datenschutzbeauftragten

Berät ein interner DSB in Hinblick auf datenschutzrechtlich relevante Maßnahmen fehlerhaft, wird dieser vom Praxisinhaber nur sehr eingeschränkt in Regress genommen werden können. Dies erweist sich im Vergleich zu externen Datenschutzbeauftragten als nachteilig.

Bieten Sie diese Leistung auch in Ihrem Portfolio an?

Seit 19 Jahren entwickle ich Managementsysteme für das zahnärztliche Gesundheitswesen und habe hier in den zahlreichen Beratungstätigkeiten umfangreiches Wissen über die Abläufe der Praxen sammeln dürfen. Im Jahre 2018 habe ich die Prüfung zum Datenschutzbeauftragten (TÜV) erfolgreich bestanden und im Anschluss ein Datenschutzhandbuch für Zahnarztpraxen entwickelt. Neben der Einführung von Datenschutzsystemen in Praxen biete ich auch die Dienstleistung als externer DSB für Zahnarztpraxen an und helfe hier bereits vielen Verantwortlichen bei der komplexen Umsetzung.

Wie schätzen Sie abschließend die Umsetzung der DGSVO und BDSG in den Praxen seit Mai 2018 ein? Besteht hier noch großer Handlungsbedarf?

Wie schon bei der damaligen Umsetzung der Anforderungen an ein Hygienemanagement zu beobachten war, warten auch mit dem neuen Datenschutz die Praxen noch mit der Umsetzung ab. Wenn es um die Absicherung der Daten in einer Praxis handelt, so befindet sich das zahnärztliche Gesundheitswesen noch in der Steinzeit. Es wird noch sehr viel Zeit in Anspruch nehmen, bis wir verstehen, welche große Verantwortung wir im Umgang mit den personenbezogenen Daten unserer Mitarbeiter und unserer Patienten haben. Wir können uns heute nicht vorstellen, welchen hohen Wert die Gesundheitsdaten unserer Patienten für interessierte Dritte haben. Gesundheitsdaten werden zu einem enormen Wirtschaftsgut in den kommenden Jahren. Viele Praxen unterschätzen, dass Patientendaten von Fremden aus einer Praxis entwendet werden können. Schlimm an der Stelle ist auch, dass das Entwenden von Patientendaten unter Umständen erst nach einer langen Zeit vom Praxispersonal entdeckt wird, wenn der Zugang zu den Patientenunterlagen in ungesicherten Schränke erfolgte.

Foto: peterschreiber.media – stock.adobe.com

Mehr News aus Branchenmeldungen

ePaper

Anzeige