Skip to main content

Datenschutz – Neuerungen ab 2018

DENTAGEN Info 2018/01

Digitalisierung und Datenschutz sind die wesentlichen Schlag­worte, die derzeit unsere Mandanten beschäftigen. Viele Unter­nehmen haben beides viel zu lange vernachlässigt. Noch immer ignorieren viele den Wandel der digitalen Entwicklung, ebenso, dass sich ab Mai die datenschutzrechtlichen Anforderungen drastisch verschärfen.

Längst werden Zahnersatz, Zahntechnik und Implantate zunehmend digital errechnet, modifiziert und erstellt. Über die Qualität lässt sich vortrefflich streiten, doch ist das beim Handwerk etwas anderes? Letztlich muss man sich mit der digitalen Entwicklung und den möglichen Folgen für das eigene Unternehmen auseinandersetzen. Gleiches gilt für den Datenschutz: Immerhin drohen ab Mai 2018 Geldbußen bis 20 Millionen Euro. Die Sanktionen sollen – so der Wort­laut des Gesetzes – spürbar sein. Nicht­wissen schützt dabei nicht vor Strafe. Sie sind verpflichtet, sich mit diesen Themen auseinanderzusetzen. Wer das ignoriert, wird in der Regel sogar höher bestraft.

Spürbare Änderungen bei Zahnärzten und -technikern habe ich bislang kaum erlebt. Personenbezogene Daten werden unverschlüsselt per E-Mail übertragen. Das betrifft beispielsweise auch Zahlungsaufforderun­gen mit Patientennamen. Selbst wenn die Daten pseudonymisiert sind: Wer glaubt, dass es sich hierbei nicht um personenbezogene Daten handelt, irrt. Versenden Sie mit Einwilligung des Zahnarztes Informationen – zum Beispiel Zahlungsaufforderungen per E-Mail, so können selbst diese personenbezogene Daten Dritter enthalten, deren Einwilligung sie nicht haben. Auf den Namen kommt es bei der Bewertung personenbezogener Daten nicht an. Ein Perso­nenbezug lässt sich nahezu immer ohne einen vollen oder abgekürzten Namen her­stel­len. Unsichere Kontaktformulare im Web übermitteln unverschlüsselt Kunden­anfragen. Die Webseiten sind nicht mit https gesichert. Besucher können uneingeschränkt auf Monitore blicken und Patientendaten erhaschen. Notizzettel liegen einsehbar herum. Dritte werden ohne weitere Belehrung oder Überprüfung in die Behandlungsabläufe einbezogen. Der Zugriff auf die EDV ist mangels Zugriffssperre ungehindert möglich. Überhaupt sind Nutzungs­be­schränkungen nur spärlich vorgesehen – man will den Arbeitsablauf schließlich nicht behindern. Zugriffe auf Jahre alte Patien­tendaten – kein Thema. Das alles sind behebbare Probleme!

Dabei betrifft der Datenschutz nicht nur die Patientendaten, sondern sämtliche personenbezogene Daten, also neben denen der Patienten auch die der Mitarbeiter, der einsendenden oder anderweitig beteiligten Zahnärzte und Dritter.

Datenschutzrechtliche Sachverhalte sind zwar meist schon aus strafrechtlicher Sicht relevant, in der Praxis wird das Antragsdelikt der „Verletzung von Privatgeheimnissen“ in § 203 Strafgesetzbuch (StGB) allerdings nur selten verfolgt. Das bedeutet aber nicht, dass man sich vor dem Datenschutz verschließen oder ihn unbeachtet lassen kann.

Spätestens Ende Mai ist die Europäische Datenschutz-Grundordnung (DSGVO) in der gesamten Union umzusetzen. Deutschland ist dem durch Anpassung des Bundesdaten­schutzgesetzes sowie weiterer spezialgesetzlicher Bestimmungen weitestgehend nachgekommen. Zahlreiche bereits im deutschen Datenschutz verankerte Grundsätze sind erhalten geblieben, einige weitere sind hinzugekommen.

Wesentlich ist, dass zukünftig mit einem höheren Strafmaß zu rechnen ist. Zu erwarten ist derzeit, dass sich die Datenschutzbe­hörden auch mittels standardisierter Abfra­gebögen über die Stellung des Datenschutzes im Unternehmen informieren werden. Wer bis dahin weder etwas von einer Folgeabschätzung oder einem Ver­fahrens­verzeichnis weiß, um den kann es schlecht bestellt sein. Prüfen sollen Sie auch, ob Sie zur Bestellung eines Datenschutzbeauf­tragten verpflichtet sind. Wichtig: Dieser darf nicht der Geschäfts­lei­tung angehören, also nicht mit dem Inhaber oder Geschäfts­führer identisch sein.

Betroffene können Schadensersatzan­sprüche wegen Nichtvermögensschäden geltend machen, wenn sie einen Verstoß bei der Datenverarbeitung nachweisen können. Darüber hinaus haben sie erweiterte Aus­kunftsrechte, denen das Unternehmen nachkommen muss. Neu sind ferner Melde­pflichten bei Datenpannen. Wer eine relevante Datenpanne nicht meldet – beispielsweise das verlorene Geschäftshandy oder einen verlorener USB-Stick mit Firmendaten –, dem drohen weitere Geldbußen. In diesem Zusammenhang sollten Sie – sofern sie das noch nicht getan haben – ihre Prozesse prüfen und an die neuen gesetzlichen Gege­benheiten anpassen; das gilt beispielsweise für Auftragsdatenverarbeitungsverträge.

Der falsche Weg ist der, über das Wecken schlafender Hunde nachzudenken. Sie sollten proaktiv selbständig Lösungen suchen. Sie sind auch gut beraten, Ihre Mitarbeiter für datenschutzrechtliche Themen zu sensibilisieren. Regelmäßige Schulungen der Mitarbeiter und Begehungen sind hier auf jeden Fall sinnvoll. Teils sind darüber hinaus spezielle Fragen rechtlich zu klären. Ob als Einzelnehmer oder Geschäftsführer einer GmbH. Handeln Sie jetzt! Beschäftigen Sie sich mit Ihren eigenen Betriebsabläufen, prüfen Sie Ihre Prozesse sowohl unter den Gesichts­punkten einer möglichen Digita­lisierung als auch unter datenschutzrecht­lichen Aspek­ten. Die Zeit ist knapp. Ihr Verband gibt Ihnen wertvolle Tipps und Hinweise sowie Kontakte zur Unterstützung.

Dr. Andreas Staufer ist Fachanwalt für Medizinrecht und Fachanwalt für Informationstechnologierecht sowie Visionär für zukünftige Geschäftsentwicklungen im digitalen Umfeld. Mit seinem Beratungs­schwer­punkt im medizinischen Datenschutz ist er bundesweit erfolgreich tätig.

Dr. Andreas Staufer
Fachanwalt für Medizinrecht
FASP Finck Sigl & Partner
Nußbaumstraße 12 • 80336 München
Kanzlei Tel.: 089 652001 • Fax: 089 652002
info@fasp.de • www.fasp.de

Quelle: DENTAGEN Info 2018/01