Foto: Tidarat – stock.adobe.com / KI-Generiert

Können Sie sich vorstellen, dass Datenschutz in der Praxis Spaß machen kann? Nein? Wir eigentlich auch nicht! Die studierte Juristin Lisa Urbaneck ist da aber anderer Meinung: Es komme „nur“ auf verständliche Dokumente, interaktive Schulungen und eine gewisse „Demystifizierung“ an, und schon blickten Mitarbeitende ganz anders auf das Thema und auch Patienten würden den positiven Ansatz spüren und der Praxis mehr vertrauen.

Frau Urbaneck, Sie behaupten, das Thema Datenschutz kann durchaus für gute Laune sorgen. Das müssen Sie uns bitte kurz erklären.

Die Umsetzung von Datenschutz und ein Besuch beim Zahnarzt sind im Grunde vergleichbar. Keiner hat Lust drauf – es könnte ja weh­-tun. Beherrscht der Zahnarzt sein Handwerk, ist das aber gar nicht der Fall. Natürlich ziept und zieht es eventuell mal, aber so schlimm ist es dann doch nicht. So ist das auch mit der Umsetzung der DSGVO. Mit der richtigen Herangehensweise und einem Lächeln im Gesicht ist das Ganze halb so schlimm.

Berate ich Unternehmen oder Praxen, setze ich genau hier an: die DSGVO soll den Arbeitsalltag nicht lähmen – erfahrungs­gemäß aber tut sie das vielerorts. Oft höre ich: Man darf ja gar nichts mehr, oder das ist alles so viel Arbeit. Ich sage: Ein bisschen Fleißarbeit muss – jedenfalls anfangs – gemacht werden. Ist das aber einmal erledigt und die Mitarbeitenden haben verstanden was zu tun ist, läuft das Thema einfach so mit. Es macht sogar Spaß, weil man sich immer wieder darüber freut, wie schön einfach das auf einmal ist, nachdem es schon so lange so sehr ­genervt hat.

Datenschutz ist wie der Elefant im Raum. Man weiß, er ist da – man muss „irgendwie etwas tun“ und trotzdem ist man einfach nur genervt.

Werden wir konkret: Welche DSGVO-Anforderungen müssen Praxen ausnahmslos erfüllen?

Zahnarztpraxen müssen, wie alle anderen Unternehmen auch, die allgemeinen Anforderungen der DSGVO einhalten. Dazu gehört, dass zunächst erfasst wird, welche Daten zu welchen Zwecken verarbeitet werden. Typischerweise geht es hier um die Verarbeitung von Patientendaten, Terminen und Abrechnungsinformationen. Auf dieser Basis wird ein Verarbeitungsverzeichnis erstellt, das alle Verarbeitungstätigkeiten dokumentiert. Zusätzlich müssen sämtliche notwendige Datenschutzerklärungen, wie beispielsweise für Angestellte oder die Website, erstellt werden. Dabei ist zu beachten, dass Zahnarztpraxen aufgrund der sensiblen Gesundheitsdaten, die sie verarbeiten, insgesamt höheren Anforderungen unterliegen.

Es ist wichtig, dass Praxen mit externen Dienstleistern – etwa für IT-Lösungen, Laborservices oder Online-Terminbuchungstools – Auftragsverarbeitungsverträge abschließen. In manchen Situationen muss sichergestellt werden, dass die Patienten ihre Einwilligung zur Datenverarbeitung geben. Einige Auftragsverarbeiter – wie beispielsweise Online-Terminbuchungssysteme – holen diese Einwilligung bereits selbst ein, aber die Praxis sollte dies überprüfen.

Ein weiterer zentraler Punkt ist die Informationspflicht: Patienten müssen in einer klaren und verständlichen Datenschutzerklärung über die Verarbeitung ihrer Daten aufgeklärt werden. Diese Erklärung muss in der Praxis leicht zugänglich sein. So kann man die Datenschutzerklärung beispielsweise im Wartezimmer auslegen und neue Patienten auf diese hinweisen und – ganz wichtig – in der Patientenakte vermerken, dass dieser Hinweis erfolgt ist. Es ist hingegen nicht notwendig, jedem Patienten einen Zettel in die Hand zu drücken, den er am besten noch unterschreiben muss. Wenn wir mal ehrlich sind, das nervt uns doch alle, oder?

Zudem braucht jede Praxis ein gut durchdachtes Lösch­konzept. Nach Ablauf der gesetzlichen Aufbewahrungsfrist müssen Patientendaten sicher gelöscht werden. Dies gilt sowohl für digitale Daten als auch für Papierakten. Ein Löschkonzept sollte klar regeln, wann und wie Daten gelöscht werden, und die Zuständigkeiten hierfür festlegen.

Zusätzlich müssen Mitarbeitende in der Lage sein, Auskunftsansprüche oder Löschungsansprüche, die Patienten gegenüber der Pra­xis geltend machen, fristgerecht zu bearbeiten. Nach Art. 12 Abs. 3 DSGVO ist eine solche Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats, zu beantworten. In Ausnahmefällen kann die Frist um weitere zwei Monate verlängert werden, wenn die Anfrage einmal besonders komplex sein sollte. Damit dieser Prozess reibungslos abläuft, ist es sinnvoll, klare Abläufe und Verantwortlichkeiten in der Praxis zu etablieren. Wichtig ist vor diesem Hintergrund ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH, Az. C-307/22) vom ­Oktober 2023. Der EuGH hat entschieden, dass das Recht auf eine kostenfreie Kopie der personenbezogenen Daten gemäß Art. 15 Abs. 3 DSGVO unabhängig von der Motivlage der Patienten gilt. Dieses Recht kann auch nicht durch nationale Regelungen, wie beispielsweise § 630g BGB, eingeschränkt werden. Für Zahnarztpraxen bedeutet dies, dass Patienten auf Anfrage kostenfrei eine Kopie ihrer Behandlungsunter­lagen erhalten müssen, unabhängig davon, ob sie diese für rechtliche, persönliche oder andere Zwecke anfordern.

„Hinter all dem Frust, den die DSGVO bei vielen ausgelöst hat, steht ein legitimer Gedanke: Transparenz.“

Welches Vorgehen empfehlen Sie, um Datenschutzverstöße effektiv zu verhindern?

Dafür sind technische und organisatorische Maßnahmen (TOMs) unerlässlich. Einige generische TOMs, die für jedes Unternehmen sinnvoll sind, umfassen den Einsatz einer Firewall und eines aktuellen Virenschutzprogramms, regelmäßige Software-Updates zur Schließung von Sicherheitslücken sowie die Verschlüsselung sensibler Daten. Back-ups sollten regelmäßig erstellt und sicher gespeichert werden, idealerweise an einem Ort, der vom Hauptsystem getrennt ist. Zudem ist es wichtig, die Zugriffsrechte klar zu regeln, sodass nur autorisierte Personen Zugang zu sensiblen Daten haben. Ergänzend dazu sollten alle Mitarbeitenden regelmäßig im Umgang mit personenbezogenen Daten geschult werden, um Datenschutzverstöße durch Unachtsamkeit zu vermeiden.In Zahnarztpraxen müssen diese Maßnahmen spezifiziert werden, um den besonderen Anforderungen an den Schutz sensibler Gesundheitsdaten gerecht zu werden. So sollte der Zugriff auf Patientendaten auf die Mitarbeitenden beschränkt sein, die diese tatsächlich für ihre Arbeit benötigen. Dies lässt sich durch ein gut konfiguriertes Rechte- und
Rollensystem in der Praxissoftware umsetzen. Neben der IT-Sicherheit spielt auch die physische Sicherheit eine große Rolle: Patientendaten in Papierform sollten in abschließbaren Schränken aufbewahrt werden, und sensible Bereiche wie Behandlungszimmer oder Aktenräume sollten nur für autorisiertes Personal zugänglich sein. Und noch ein Hinweis: Der Wartebereich sollte so gestaltet sein, dass keine sensiblen Gespräche oder Telefonate mitgehört werden können. Beim Versand von Patientendaten, etwa per E-Mail, ist sicherzustellen, dass dies nur mit ausdrücklicher Einwilligung der Patienten erfolgt. Wichtig ist hier die Formulierung der Einwilligungserklärung.

Je nach Praxisgröße sind gegebenenfalls weitere Maßnahmen wie die Ernennung eines (internen oder externen) Datenschutzbeauftragten oder die Durchführung einer Datenschutzfolgenabschätzung erfor­-derlich. Dies trifft aber zumindest auf kleinere Arztpraxen in aller Regel nicht zu.

Wie können Praxisinhaber sicherstellen, dass alle Mitarbeitenden datenschutzkonform agieren?

Die Sensibilisierung und Schulung der Mitarbeitenden sind für mich der wichtigste Bestandteil des Datenschutzmanagements. Es reicht nicht, Dokumente zu produzieren, die im Zweifelsfall der Behörde vorgelegt werden können. Wenn die Mit­arbeitenden nicht wissen, wie sie mit diesen Dokumenten umgehen sollen, habe ich mein Ziel verfehlt. Datenschutz muss ein kontinuierlicher Prozess sein, und dieser funktioniert nur über ­Menschen, die den Prozess verstehen und ganz automatisch in ihren Arbeitsalltag integrieren. Die Schulungen sollten praxisnah gestaltet sein, um die Teilnehmenden direkt in ihrem Arbeitsalltag abzuholen. Ziel ist es, dass alle verstehen, warum Datenschutz wichtig ist und wie sie konkret dazu beitragen können. Dabei geht es weniger um theo­retische Grundlagen oder Paragrafen, sondern um praktische Szenarien: Wie gehe ich mit einer telefonischen Anfrage um? Wie handhabe ich Patientendaten im Wartebereich oder am Empfang? Solche Beispiele machen das Thema greifbar und schaffen Verständnis.

Dieser Beitrag ist in der ZWP Zahnarzt Wirtschaft Praxis erschienen.