In jeder Zahnarztpraxis werden Daten von Patienten verwendet. Für den Umgang mit diesen Daten benötigen Sie eine Rechtfertigung.

Bei Patientendaten ergibt sich die Erlaubnis bereits aus dem Behandlungsvertrag bzw. aus den verschiedenen gesetzlichen Verpflichtungen (u. a. zur Dokumentation und Abrechnung). Daher benötigen Sie für die Verwendung dieser Daten keine ausdrückliche Einwilligung Ihrer Patienten.

Eine Einwilligung des Patienten muss dagegen bei folgenden Punkten eingeholt werden:

• Recall-System
• Abrechnung über eine externe Abrechnungsgesellschaft, -kraft
• Zusendung allgemeiner Informationen über die Praxis und das Behandlungsangebot

Da Sie die Einwilligung des Patienten in die Verarbeitung seiner personenbezogenen Daten nachweisen müssen, empfiehlt es sich regelmäßig, diese Einwilligung schriftlich einzuholen, beispielsweise auf dem Anamneseformular.

Weitere Informationen finden Sie im Internetportal ZQMS www.zqms.de, Modul Datenschutz.

Eine Unterschrift des Patienten wird immer dann benötigt, wenn eine gesetzliche Grundlage dies fordert. Dabei ist im Einzelfall nach persönlicher Absprache zwischen Zahnarzt und Zahlungspflichtigem vor Erbringung der Leistung des Zahnarztes eine schriftliche Vereinbarung zu treffen. Beispiele:

• abweichende Vereinbarungen gemäß § 2 Abs. 1 GOZ i.V.m. Abs. 2
• Mehrkostenvereinbarungen, z. B. Füllungstherapie (§ 28 Abs. 2 SGB V)
• privatzahnärztliche Behandlung auf eigene Kosten für gesetzlich krankenversicherte Patienten gemäß § 8 Abs. 7 S. 3 BMV-Z (Soll-Bestimmung)

Ja, gemäß Artikel 13 Datenschutz-Grundverordnung (DSGVO) besteht eine Informationspflicht.

Eine Unterschrift des Patienten kann, muss aber nicht zwingend eingeholt werden. Im letzteren Fall müssen Sie als Praxisinhaber allerdings nachweisen können, dass Sie Ihre Patienten über die Erhebung der personenbezogenen Daten informiert haben. Dies muss im zeitlichen Zusammenhang mit der Erhebung der Daten geschehen.

Die Informationen können dem Patienten zum Beispiel mit einem Flyer oder Handzettel zur Verfügung gestellt werden, der an die Patienten bei der Aufnahme ausgegeben oder dort bereitgehalten wird. Es genügt auch, wenn der Zettel nur die wichtigsten Informationen zusammenfasst und im Übrigen auf die Homepage der Praxis verweist, wo sich die Einzelheiten finden lassen.

Es ist zum Beispiel ausreichend, wenn den Patienten standardmäßig bei der Aufnahme der Zettel übergeben wird und dies für jeden Patienten im Praxissystem vermerkt wird; alternativ ist es auch möglich, dass der Praxisinhaber festgelegt hat, dass jeder Patient standardmäßig auf den bereitgehaltenen Zettel hingewiesen und dieser Hinweis anschließend im Praxissystem für jeden Patienten vermerkt wird.

Alternativ ist auch ein Zusatz auf dem Anamneseformular möglich, dass dem Patienten bei dem ersten Kontakt in der Praxis und bei der Anamnesewiederholung ausgehändigt und mit dem Formular vom Patienten unterschrieben wird.

Formulierungsvorschlag:
„Diese Angaben unterliegen selbstverständlich der Schweigepflicht und den Regelungen zum Datenschutz. Eine Erklärung zu Datenschutz nach Art. 13 DSGVO halten wir für Sie zur Einsicht und auf Wunsch auch zur Mitnahme bereit.“
ggf. mit dem Zusatz „und auf unserer Internetseite“.

Nein, ein solches Verfahren ist nicht möglich. Es reicht nicht aus, wenn beim Abschluss eines Behandlungsvertrages pauschal für alle denkbaren Fälle der Datenweitergabe eine vorweggenommene Einwilligungserklärung des Patienten eingeholt wird.

Einzelpraxen, Gemeinschaftspraxen und Praxisgemeinschaften, in denen in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personen­bezogener Daten beschäftigt werden, benötigen die Bestellung eines Datenschutzbeauftragten (DSB).

Die Anzahl der Personen berechnet sich wie folgt:

• Praxisinhaber + Mitarbeiter – Reinigungskraft

Auch Mitarbeiterinnen, die sich im Mutterschutz befinden, werden mitgezählt.

Nicht berücksichtigt werden Mitarbeiterinnen und Mitarbeiter, die sich in Elternzeit befinden. Reinigungskräfte werden ebenfalls nicht eingerechnet, weil sie in der Regel an der Erhebung personenbezogener Daten nicht beteiligt sind.

Der betriebliche Datenschutzbeauftragten (bDSB) steht als Ansprechperson für alle Fragen des Datenschutzes zur Verfügung und berät und überwacht den Praxisbetreiber, der für die Einhaltung des Datenschutzrechts verantwortlich ist. Für die Beschäftigten ist der bDSB Ansprechpartner in Datenschutzfragen.

Der bDSB muss für seine Tätigkeit die notwendige Fachkenntnis in Fragen des Datenschutzes und der Datensicherheit besitzen. Die Fachkunde umfasst sowohl das allgemeine Grundwissen, das jeder bDSB aufweisen muss, als auch betriebsspezifische Kenntnisse.

Der Arbeitgeber hat dem Bestellten eine angemessene Einarbeitung und Weiterbildung in diesem Fachgebiet (z. B. durch den Bezug einer Fachzeitschrift, den Erwerb von Fachliteratur und den Besuch von Fortbildungsveranstaltungen) zu ermöglichen. Hierzu gibt es z. B. bei der Zahnärztekammer oder beim Unabhängigen Landeszentrum für Datenschutz (ULD) entsprechende Lehrgänge.

Weitere Informationen finden Sie in der ULD-Broschüre „Datenschutzbeauftragte“ über diesen Link.

Die Abberufung der oder des Datenschutzbeauftragten ist nur zulässig, wenn ein wichtiger Grund vorliegt, d. h. es muss ein Grund vorliegen, der Sie als Praxisinhaber zur fristlosen Kündigung des Arbeitsverhältnisses berechtigen würde.

Nach dem Ende der Tätigkeit als Datenschutz­beauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass Sie zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt sind.

Diese Besonderheiten finden nur Anwendung, wenn die Benennung eines Datenschutz­beauftragten verpflichtend ist.

Ja: Mitarbeiter, Ehepartner (nach Aussagen des ULD zulässig, aber nicht ideal)

Nein: Personen, die folgende Funktionen in der Praxis ausüben:

• Praxisinhaber
• Leiter der Informationstechnologie
• Personalleitung

Unabhängigkeit
Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten in der Praxis wahrnehmen. Die Zahnarztpraxis stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenskonflikt führen.
Die Zahnarztpraxis stellt sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält.

Zuverlässigkeit
Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben an die Wahrnehmung der Geheimhaltung oder der Vertraulichkeit gebunden.

Der Datenschutzbeauftragte sollte

• zertifiziert sein (z. B. TÜV Rheinland) und
• über Berufserfahrung als Datenschutzbeauftragter im Gesundheitswesen verfügen.

Weitere Informationen u. a. eine Auflistung über zertifizierte Datenschutzbeauftragte finden Sie auf der Homepage des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD).

Ja, dies ist meldepflichtig gegenüber dem Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ULD, die Meldung können Sie über das auf Internetseite eingerichtete Meldeportal abgeben.

Ja, folgende Kontaktdaten des Datenschutzbeauftragten (mit Angabe einer eigenen E-Mail- Adresse) sind zu veröffentlichen (z. B. auf der Praxishomepage).

Werden personenbezogene Daten Ihrer Praxis an externe Stellen und Unternehmen übermittelt, kann es sich um eine Auftragsdatenverarbeitung handeln, denn gegenüber dem von der Datenüberlassung betroffenen Patienten sind Sie nach wie vor für die Datensicherheit verantwortlich.

In einem solchen Fall müssen Sie den Schutz zugunsten der Daten Ihrer Praxis durch den Abschluss von Auftragsdatenverarbeitungsverträgen mit den externen Stellen und Unternehmen absichern.

Beispiele für die Zahnarztpraxis:

• Patienten- oder Personaldaten an Aktenvernichter
• Zugriff auf Patienten- oder Personaldaten durch EDV-Wartung
• Zugriff auf Patienten- oder Personaldaten durch Software-Support
• Patientendaten an externes Dentallabor, wenn nicht pseudonymisiert
  (Bezüglich des Dentallabors ist die Rechtslage noch nicht endgültig geklärt)

Das Dentallabor benötigt für die Anfertigung von Zahnersatz keine personenbezogenen Daten. Nach dem MPG ist es ausreichend, wenn der Patient anhand eines von der Praxis vergebenen Pseudonyms identifiziert werden kann. Dieses Pseudonym (z. B. die eindeutige Patientennummer aus der Praxis-EDV) wird auf den Auftragszettel geschrieben und findet sich dann auf der Laborrechnung wieder. Da die Patientennummer auch auf der Eigenanteil- oder GOZ-Rechnung steht, ist eine eindeutige Zuordnung der Laborrechnung gewährleistet, die auch von den Kostenträgern akzeptiert wird.

Würden personenbezogene Daten an das Dentallabor, kann es sich um eine Auftragsdatenverarbeitung handeln, denn gegenüber dem von der Datenüberlassung betroffenen Patienten sind Sie nach wie vor für die Datensicherheit verantwortlich.

Die Pseudonymisierung hat folgende Vorteile:

• Nach Art. 5 DSGVO Abs. 1 c müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“). Mit diesem Verfahren wird dieser Datenschutzgrundsatz wirksam umgesetzt.
• Ein Auftragsdatenverarbeitungsvertrag ist nicht erforderlich.

Grundsätzlich reicht für die Pseudonymsierung die Patientennummer der Praxis-EDV aus. Für eine einfachere Zuordnung in der Kommunikation kann diese ggf. durch die Initialen des Patienten ergänzt werden.

Durch die Verpflichtung zur papierlosen Abrechnung mit der KZV seit 2012 wird für den Laborauftrag aus der Praxis-EDV automatisch eine pseudonymisierte Auftragsnummer errechnet. Der Algorithmus wurde damals von KZBV und dem Verband der Dentalsoftwareunternehmen (VDDS) vereinbart. Diese Auftragsnummer setzt sich u.a. aus einer eindeutigen Identifikation der Praxis und der Patientennummer zusammen.

Sie gehen dabei wie folgt vor:

• Die oben genannte Auftragsnummer (AN) wird von den Praxen auf den Laborauftrag übertragen.
  Die Laborrechnung übernimmt diese AN, dadurch ist eine eindeutige Identifizierung von Praxis und Patient möglich.
• Vom Labor kommt dann per Mail eine XML-Datei mit dem Inhalt der Rechnung, auf dem wieder die AN eingefügt ist.
• Die XML-Datei wird dann in die Praxis-EDV eingelesen; dadurch sind alle relevanten Informationen der Rechnung in Ihrem System und werden bei der Monatsabrechnung papierlos zur KZV geschickt. Auf der gedruckten Laborrechnung (für den Patienten) sind sowohl die AN als auch die Patientennummer angegeben.

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Holstenstraße 98
24103 Kiel
Telefon: +49 (0) 431 988-1200
Telefax: +49 (0) 431 988-1223
E-Mail: mail@datenschutzzentrum.de
datenschutzzentrum.de

Wird der Schutz personenbezogener Daten Ihrer Praxis verletzt (z. B. Datenverlust durch Cyberkriminalität, Diebstahl etc.), müssen Sie dies unverzüglich und möglichst binnen 72 Stunden dem ULD melden. Ein entsprechendes Meldeformular finden Sie hier.

Außerdem müssen die von der Datenpanne betroffenen Patienten, Angestellten oder sonstigen Personen von Ihnen informiert werden. Dafür ist eine Verfahrensanweisung für das Vorgehen bei Datenschutzverstößen vorzuhalten. Ein Muster findet sich im Internetportal ZQMS www.zqms.de, Service-Portal – Ordner Datenschutz oder im ZQMS-Kompass – Modul Datenschutz – Frage 16.

Die Verletzung ist nicht zu melden, wenn sie voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Wichtig: Wird die Aufsichtsbehörde von der Praxis über eine Datenpanne unterrichtet, können die mitgeteilten Informationen nicht mehr für die Durchführung eines Verfahrens nach Gesetz über Ordnungswidrigkeiten verwendet werden. Die Aufsichtsbehörde berät bei der Aufklärung der Datenpanne und unterstützt bei der Suche nach Sicherungsmaßnahmen.

Eine von der Praxis nicht gemeldete Datenpanne kann hingegen ein Verfahren wegen Ordnungswidrigkeit nach sich ziehen, wenn das ULD auf andere Weise, z. B. durch eine Patientenbeschwerde Kenntnis erhält.