Vor und seit Einführung der DSGVO im Mai 2018 war Diplom-Informatiker Karsten Schulz, Datenschutzbeauftragter für DENTAGEN und Referent beim TÜV für die DSGVO, in Fortbildungen und Beratungen unterwegs. Hier gibt er Antworten auf die Fragen, die ihm immer wieder gestellt wurden.
Ab welcher Größe muss ein Dentallabor einen Datenschutzbeauftragten benennen?
Aktuell hat die Aussage des ZDH (Zentralverband des Deutschen Handwerks) Bestand: Ein Datenschutzbeauftragter muss sein, wenn im Labor mindestens 10 Personen regelmäßig am Computer arbeiten, also im Fachjargon „ständig mit der automatisierten Verarbeitung von personenbezogenen Daten befasst“ sind.
Konkret werden die Personen gezählt, die z. B. Kostenvoranschläge und Rechnung am PC schreiben, Mitarbeiter, die E-Mails abrufen und Techniker, die am CAD-CAM-Rechner Modelle einscannen und Zahnersatz konstruieren. Gezählt wird neben dem Inhaber die Teilzeitkraft, die nur einen Tag pro Woche im Betrieb ist, ebenso ein Zahntechniker, der meist analog arbeitet, aber mehrmals in der Woche am CAD/CAM-PC tätig ist. Ein Fahrer, der Arbeiten am Terminal nur „auscheckt“, arbeitet nicht ständig am Computer.
Einige Dentallabore, die eigentlich unter der Grenze zur Benennungspflicht liegen, haben ebenfalls einen Datenschutzbeauftragten – also freiwillig. Dies ist natürlich möglich und entlastet die Laborleitung.
Benötigt ein betriebsinterner Datenschutzbeauftragter besondere Voraussetzungen? Muss er an Seminaren teilnehmen?
Natürlich kann ein Datenschutzbeauftragter auch extern benannt werden. Manche Anwälte geben zu bedenken, man solle den Datenschutzbeauftragten eher nicht aus dem Kreis der Arbeitnehmer benennen, da dieser dann einen besseren Kündigungsschutz erhält. Selbstverständlich wählen Sie auch keinen Mitarbeiter aus, der schon eine Abmahnung erhalten hat. Grundsätzlich spricht aber nichts dagegen, jemanden aus dem Betrieb auszuwählen.
Wichtig: Ihr IT-Dienstleister kann nicht gleichzeitig Datenschutzbeauftragter sein, genauso wenig der Laborinhaber selber. Der Verantwortliche muss keine Prüfung ablegen, aber natürlich Aus- und Weiterbildungen nachweisen. Gerade im ersten Jahr empfehle ich etwas mehr Weiterbildung und auch einmal eine externe Beratung mit einzubeziehen. Für Unternehmen mit 1-50 Mitarbeitern sollten pro Jahr zwei Tage Fortbildung eingeplant und nachgewiesen werden. Das lässt sich über Webinare erledigen, die auch DENTAGEN im Programm hat.
Sofern der interne Datenschutzbeauftragte seine Arbeit macht und die Aktivitäten nachweist, muss er keine persönlichen Sanktionen im Falle einer Datenpanne befürchten. Da müsste schon Untätigkeit oder grobe Fahrlässigkeit vorliegen. Es reicht also nicht, wenn der interne Datenschutzbeauftragte nur auf dem Papier benannt wird.
Wie muss die Dokumentation aussehen?
Wo bekomme ich Formulare?
Im Mai 2018 deckten sich viele Dentallabore mit einer Vielzahl von Formularen ein – meistens aus unterschiedlichen Quellen. Natürlich braucht man Formulare an der einen oder anderen Stelle: beispielsweise für eine Verpflichtungserklärung zur Verschwiegenheit für Dienstleister oder für die Einwilligung, dass Sie Fotos Ihrer Mitarbeiterinnen und Mitarbeiter auf Ihrer Webseite veröffentlichen. Doch wie „ticken“ eigentlich die Landesdatenschutzbeauftragten? Was ist ihnen wichtig?
Aufsichtsbehörden wollen, dass Sie ein Datenschutzmanagement nachweisen. Gemeint ist: Sie verbessern sich kontinuierlich und weisen diesen Prozess nach. Als kleines Labor belegen Sie mit einem einfachen Dokumentenmanagement, was Sie wann und wie umgesetzt haben – beispielsweise mit Office-Dokumenten und einem analogen „Datenschutzordner“, wobei Sie auf jedem Ausdruck Versionsnummer und Datum vermerken. Das geht in Richtung QM.
Die Alternative ist eine Spezialsoftware wie Aktisto, die viele Textvorlagen bietet, die auf den neuesten Stand der rechtlichen Vorgaben angepasst sind. Der Vorteil: Sie arbeiten mit einer papierlosen Variante und müssen sich nichts selbst zusammensuchen. Verpflichtend für jedes Dentallabor unabhängig von der Größe sind ein Verarbeitungsverzeichnis und eine Liste zu den technischen und organisatorischen Maßnahmen. Beides muss aktuell gehalten werden.
Ist ein Auftragsverarbeitungsvertrag zwischen Praxis und Dentallabor nötig?
Bis Oktober 2018 haben wir in den unterschiedlichen Bundesländern unterschiedliche Aussagen der Aufsichtsbehörden. Das ist kurios, zumal die DSGVO ja ein Gesetz ist, das europaweit einheitliche Normen schaffen soll. Anfang November tagt die Datenschutzkonferenz, bei der alle Landesdatenschutzbeauftragten aktuelle Fragen klären. Das Ergebnis der Konferenz werden wir in unseren Blog einstellen unter https://www.aktisto.de/blog.html. Dort erfahren Sie auch, welche notwendigen Aktionen dies für Ihr Dentallabor nach sich zieht.
Falls der Vertrag zur Auftragsverarbeitung vorgeschrieben ist, sollten Sie diesen auch mit Ihren Kunden umsetzen. Der Gesetzgeber fordert dafür bestimmte Mindestinhalte, von denen Sie nicht abweichen sollten. Am besten ist, Sie als Auftragsverarbeiter bieten Ihren zahnärztlichen Kunden einen Vertrag an. In den letzten Monaten kam es zu vielen Irritationen, weil in Verträgen von Zahnarztpraxen Vorgaben eingebaut wurden, die nicht umsetzbar waren. Ein Beispiel: In einem Vertrag wurde dem Dentallabor verboten, Unterauftragnehmer zu beauftragen. Allerdings ist das ja Sinn und Zweck der Auftragsverarbeitung. Im Zeitalter des digitalen Workflows wollen Patienten allen Partnern in der Fertigungskette vertrauen können. Das setzt voraus, dass alle Beteiligten auf dem gleichen Datenschutzniveau arbeiten wie der Zahnarzt selber.
Was für Strafen drohen tatsächlich? Welche Gefahren sollte ich ernst nehmen?
„Bis zu 20 Millionen Bußgeld“ – Durch solche Werbeaussagen, die aufs Angstmachen setzen, wurden viele Dentallabore verunsichert. Bußgelder in einer solchen (oder ähnlichen) Höhe für ein Dentallabor sind allerdings Unsinn. Wer jedoch fahrlässig arbeitet, riskiert natürlich ein Bußgeld, das auch empfindlich wehtun kann. Immer berücksichtigt wird dabei auch, ob Sie nachweisen können, dass Sie im Vorfeld Maßnahmen zum Datenschutz umgesetzt haben – und wie ernst Sie das Thema in Ihrem Unternehmen angehen.
Dass die Aufsichtsbehörden bei kleinen Unternehmen wie Dentallaboren diesen Weg verfolgen, wissen wir Datenschützer aus unseren persönlichen Kontakten. Die meisten Aufsichtsbehörden gaben an, dass sie im Startjahr 2018 der DSGVO noch eher wenig aktiv Bußgelder gegen kleine Handwerksunternehmer verhängen. Ich kann dies zurzeit bestätigen. Wie es aber in ein bis zwei Jahren aussehen wird, können wir erst beantworten, wenn die ersten Fälle vorliegen, wie sich Aufsichtsbehörden in bestimmten Situationen verhalten haben.
Andreas Witte (l.) und Karsten Schulz (r.) sind die Gründer von aktisto.
Unabhängig von den Aufsichtsbehörden gibt es noch weitere Gefahrenquelle, die genügend gute Gründe liefern, das Thema Datenschutz ernst zu nehmen und praktisch umzusetzen. So entstanden in diesem Jahr die wenigsten Schäden in Dentallaboren durch Bußgelder der Aufsichtsbehörden. Viel öfter ging es um Vorfälle wie diese:
- Zahnärztliche Kunden reagierten unzufrieden auf das Umsetzungsangebot des Laborpartners in Sachen Datenschutz. Sie forderten mehr Sicherheit. In Einzelfällen kam es sogar dazu, dass Zahnärzte nur solche Labore beauftragten, die ein hohes Datenschutzniveau nachwiesen.
- Es kam ebenfalls zu Auftragseinbrüchen bei Einzelkunden. Der Grund waren Datenpannen im Dentallabor. Die Kunden hatten schlicht das Vertrauen verloren.
- Erhebliche Schäden entstanden durch Trojaner und Schadsoftware. Deshalb hier eine aktuelle Warnung: Derzeit ist ein Erpressungstrojaner im Umlauf, der sich im Dateianhang einer fingierten Initiativ-Bewerbung versteckt. Klicken Sie den Dateianhang nicht an.
- Nicht zu unterschätzen waren auch Datenverluste durch technische Defekte: Die Datensicherung war nicht aktuell oder die Datenrücksicherung war gar nicht einlesbar.
- Unachtsamkeit sorgte ebenfalls für Datenverluste: Am häufigsten sind USB-Sticks und der Transport von Auftragsboxen betroffen.
- Bei Einbrüchen in Dentallaboren besteht unter anderem das Risiko, dass die Aufsichtsbehörden Sie zwingen, Ihre Kunden zu informieren und diese sogar die Patienten. Passieren kann das beispielsweise, wenn ein PC, ein Laptop oder eine Festplatte gestohlen werden – und Sie nicht nachweisen können, dass der Datenträger verschlüsselt war. In Dentallaboren ist mir zwar in diesem Jahr kein solcher Fall bekannt geworden, aber vor der DSGVO gab es dies bereits.
Unter www.aktisto.de/blog.html erfahren Sie, welche notwendigen Aktionen dies für Ihr Dentallabor nach sich zieht.
Kontaktdaten
Karsten Schulz
post@aktisto.de
www.aktisto.de
Quelle: DENTAGEN INFO 2018/04