Digitalisierung und Datenschutz sind die wesentlichen Schlagworte, die derzeit unsere Mandanten beschäftigen. Viele Unternehmen haben beides viel zu lange vernachlässigt. Noch immer ignorieren viele den Wandel der digitalen Entwicklung, ebenso, dass sich ab Mai die datenschutzrechtlichen Anforderungen drastisch verschärfen.
Längst werden Zahnersatz, Zahntechnik und Implantate zunehmend digital errechnet, modifiziert und erstellt. Über die Qualität lässt sich vortrefflich streiten, doch ist das beim Handwerk etwas anderes? Letztlich muss man sich mit der digitalen Entwicklung und den möglichen Folgen für das eigene Unternehmen auseinandersetzen. Gleiches gilt für den Datenschutz: Immerhin drohen ab Mai 2018 Geldbußen bis 20 Millionen Euro. Die Sanktionen sollen – so der Wortlaut des Gesetzes – spürbar sein. Nichtwissen schützt dabei nicht vor Strafe. Sie sind verpflichtet, sich mit diesen Themen auseinanderzusetzen. Wer das ignoriert, wird in der Regel sogar höher bestraft.
Spürbare Änderungen bei Zahnärzten und -technikern habe ich bislang kaum erlebt. Personenbezogene Daten werden unverschlüsselt per E-Mail übertragen. Das betrifft beispielsweise auch Zahlungsaufforderungen mit Patientennamen. Selbst wenn die Daten pseudonymisiert sind: Wer glaubt, dass es sich hierbei nicht um personenbezogene Daten handelt, irrt. Versenden Sie mit Einwilligung des Zahnarztes Informationen – zum Beispiel Zahlungsaufforderungen per E-Mail, so können selbst diese personenbezogene Daten Dritter enthalten, deren Einwilligung sie nicht haben. Auf den Namen kommt es bei der Bewertung personenbezogener Daten nicht an. Ein Personenbezug lässt sich nahezu immer ohne einen vollen oder abgekürzten Namen herstellen. Unsichere Kontaktformulare im Web übermitteln unverschlüsselt Kundenanfragen. Die Webseiten sind nicht mit https gesichert. Besucher können uneingeschränkt auf Monitore blicken und Patientendaten erhaschen. Notizzettel liegen einsehbar herum. Dritte werden ohne weitere Belehrung oder Überprüfung in die Behandlungsabläufe einbezogen. Der Zugriff auf die EDV ist mangels Zugriffssperre ungehindert möglich. Überhaupt sind Nutzungsbeschränkungen nur spärlich vorgesehen – man will den Arbeitsablauf schließlich nicht behindern. Zugriffe auf Jahre alte Patientendaten – kein Thema. Das alles sind behebbare Probleme!
Dabei betrifft der Datenschutz nicht nur die Patientendaten, sondern sämtliche personenbezogene Daten, also neben denen der Patienten auch die der Mitarbeiter, der einsendenden oder anderweitig beteiligten Zahnärzte und Dritter.
Datenschutzrechtliche Sachverhalte sind zwar meist schon aus strafrechtlicher Sicht relevant, in der Praxis wird das Antragsdelikt der „Verletzung von Privatgeheimnissen“ in § 203 Strafgesetzbuch (StGB) allerdings nur selten verfolgt. Das bedeutet aber nicht, dass man sich vor dem Datenschutz verschließen oder ihn unbeachtet lassen kann.
Spätestens Ende Mai ist die Europäische Datenschutz-Grundordnung (DSGVO) in der gesamten Union umzusetzen. Deutschland ist dem durch Anpassung des Bundesdatenschutzgesetzes sowie weiterer spezialgesetzlicher Bestimmungen weitestgehend nachgekommen. Zahlreiche bereits im deutschen Datenschutz verankerte Grundsätze sind erhalten geblieben, einige weitere sind hinzugekommen.
Wesentlich ist, dass zukünftig mit einem
höheren Strafmaß zu rechnen ist. Zu erwarten ist derzeit, dass sich die Datenschutzbehörden auch mittels standardisierter Abfragebögen über die Stellung des Datenschutzes im Unternehmen informieren werden. Wer bis dahin weder etwas von einer Folgeabschätzung oder einem Verfahrensverzeichnis weiß, um den kann es schlecht bestellt sein. Prüfen sollen Sie auch, ob Sie zur Bestellung eines Datenschutzbeauftragten verpflichtet sind. Wichtig: Dieser darf nicht der Geschäftsleitung angehören, also nicht mit dem Inhaber oder Geschäftsführer identisch sein.
Betroffene können Schadensersatzansprüche wegen Nichtvermögensschäden geltend machen, wenn sie einen Verstoß bei der Datenverarbeitung nachweisen können. Darüber hinaus haben sie erweiterte Auskunftsrechte, denen das Unternehmen nachkommen muss. Neu sind ferner Meldepflichten bei Datenpannen. Wer eine relevante Datenpanne nicht meldet – beispielsweise das verlorene Geschäftshandy oder einen verlorener USB-Stick mit Firmendaten –, dem drohen weitere Geldbußen. In diesem Zusammenhang sollten Sie – sofern sie das noch nicht getan haben – ihre Prozesse prüfen und an die neuen gesetzlichen Gegebenheiten anpassen; das gilt beispielsweise für Auftragsdatenverarbeitungsverträge.
Der falsche Weg ist der, über das Wecken schlafender Hunde nachzudenken. Sie sollten proaktiv selbständig Lösungen suchen. Sie sind auch gut beraten, Ihre Mitarbeiter für datenschutzrechtliche Themen zu sensibilisieren. Regelmäßige Schulungen der Mitarbeiter und Begehungen sind hier auf jeden Fall sinnvoll. Teils sind darüber hinaus spezielle Fragen rechtlich zu klären. Ob als Einzelnehmer oder Geschäftsführer einer GmbH. Handeln Sie jetzt! Beschäftigen Sie sich mit Ihren eigenen Betriebsabläufen, prüfen Sie Ihre Prozesse sowohl unter den Gesichtspunkten einer möglichen Digitalisierung als auch unter datenschutzrechtlichen Aspekten. Die Zeit ist knapp. Ihr Verband gibt Ihnen wertvolle Tipps und Hinweise sowie Kontakte zur Unterstützung.
Dr. Andreas Staufer ist Fachanwalt für Medizinrecht und Fachanwalt für Informationstechnologierecht sowie Visionär für zukünftige Geschäftsentwicklungen im digitalen Umfeld. Mit seinem Beratungsschwerpunkt im medizinischen Datenschutz ist er bundesweit erfolgreich tätig.
Dr. Andreas Staufer
Fachanwalt für Medizinrecht
Staufer Kirsch GmbH
T +49 89 21530330
legal@stauferkirsch.de • www.stauferkirsch.de