Stand: 14. März 2023
Es sind grundsätzlich alle Personen mitzuzählen, die in der Regel ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Als vereinfachte Faustformel gilt: „Inhaber plus Mitarbeiter (angestellte Zahnärzte und ZFAs) minus Reinigungskraft“.
Datenverarbeitung ist insbesondere auch die Aufnahme von Patienten- und Gesundheitsdaten in die Patientenkartei.
In der Regel bedeutet eine Dauerbeschäftigung von zumindest einem Jahr. Dabei ist es unerheblich, ob die Person in Teil- oder Vollzeit tätig ist.
Ständig beschäftigt ist eine Person, wenn sie für die Aufgabe, die nicht ihre Hauptaufgabe sein muss, auf unbestimmte, zumindest aber längere Zeit vorgesehen ist und sie entsprechend wahrnimmt. Das Merkmal ist auch erfüllt, wenn die Aufgabe nur gelegentlich erfüllt wird (z. B. 1x/Mo), die Person die Aufgabe aber grundsätzlich wahrzunehmen hat. Mitarbeiter in Mutterschutz- und Elternzeit zählen nicht dazu.
Die ÜBAG ist im rechtlichen Kern eine Gemeinschaftspraxis. Insofern gelten die Datenbestände der einzelnen Praxissitze als ein Datenstamm. Sofern der Zugriff auf die regionalen Datenbestände jeweils auch vom anderen Praxissitz aus möglich ist, muss die „20-Personen-Regel“ Berücksichtigung finden.
Die Anforderungen des Gesetzgebers sind hoch angesetzt. Es werden sowohl gute technische als auch rechtliche Kenntnisse (Datenschutz) verlangt. Rechtliche Anforderungen und tatsächliche Umsetzung fallen gerade in diesem Bereich oftmals auseinander. Es sollte jedoch zumindest eine Schulung hierzu besucht, um eine gewisse Grundqualifikation zu erwerben. Ein entsprechendes Kurszertifikat wird als Nachweis gegenüber der Datenschutzaufsicht ausreichen.
Nein.
Nein.
Der Datenschutzbeauftragte kann nicht selbst Inhaber der Praxis sein. Die Gesellschafter der Praxisgemeinschaft sind Inhaber.
Ein gesetzliches Verbot besteht nicht.
Der Datenschutzbeauftragte muss aber in seiner Aufgabe und Funktion weisungsfrei agieren können, um den Verantwortlichen (=Praxisinhaber) objektiv beraten zu können.
Sofern die auserwählte Person sich etwa aufgrund ihrer persönlichen Nähe zum Praxisinhaber als befangen ansieht und dadurch eine Beeinflussung ihrer Weisungsfreiheit befürchtet, sollte sie ggf. Abstand von der avisierten Aufgabe nehmen.
Nein. Hierzu bedarf es grundsätzlich der Zustimmung des Mitarbeiters, da dies nicht vom sogenannten Direktionsrecht (§ 106 GewO – Gewerbeordnung) des Arbeitgebers umfasst ist. Es bedarf daher immer einer einvernehmlichen Einigung hierüber. Die Einigung sollte aus Beweiszwecken verschriftlich werden.
Nein. Es kann sowohl ein interner (Mitarbeiter) als auch externer Datenschutzbeauftragter eingesetzt werden. Auch mit dem externen Datenschutzbeauftragten muss eine schriftliche Vereinbarung hierüber getroffen werden.
Ja.
Der Datenschutzbeauftragte ist der Datenschutzaufsicht zu melden. Diese ist die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI NRW), nicht die Zahnärztekammer.
Hierbei handelt es sich um ein allgemeines Informationspapier, welches der Zahnarzt seinen Patienten und Mitarbeitern vorlegen muss, um über die Datenverarbeitung in seinem Betrieb zu informieren. Hierzu besteht eine gesetzliche Verpflichtung. Die Unterschrift der Kenntnisnahme der Information durch den Patienten bzw. den Mitarbeiter ist aus Nachweiszwecken zu empfehlen. Die LDI NRW spricht sich gegen einen Aushang aus.
Zu beachten ist, dass die Unterschrift des Patienten zur Information nach Art. 13 DSGVO nicht automatisch eine Einwilligung des Patienten in die Datenverarbeitung darstellt!
Alle Patienten müssen diese Information erhalten. „Altpatienten“ ist das Informationspapier auszuhändigen, sobald sie wieder einen Termin in der Praxis wahrnehmen.
Ja.
Die Information nach Art. 13 DSGVO muss jedoch von der Anamneseerhebung optisch hervorgehoben werden (z. B. durch einen Kasten). Wir empfehlen zudem entsprechend auch zwei Unterschriften.
Werden die Gesundheitsdaten zur Durchführung des Behandlungsvertrags verarbeitet (Eintragungen in die Patientenakte), bedarf es hierfür keiner ausdrücklichen Einwilligung des Patienten und somit auch keiner besonderen Nachweislegung.
Sofern Daten dergestalt verarbeitet werden, dass z. B. eine Datenweitergabe an Dritte erfolgt, bedarf es hingegen einer ausdrücklichen Einwilligung des Patienten. Diese sollte aus Nachweiszwecken schriftlich erfolgen. Sowohl der Zweck der Datenweitergabe als auch der Datenempfänger müssen benannt werden.
Hier gilt die bisherige Rechtslage weiter. Es ist eine vorherige Einwilligung zum Recall erforderlich. Auf dem zu unterzeichnenden Papier muss der der Hinweis vermerkt werden, dass die Einwilligung jederzeit widerrufen werden kann.
Sofern die Einwilligung vorliegt und der Recall erfolgen kann, sollte die Erinnerung im Umschlag versandt werden.
Das Einstellen von Fotos der Mitarbeiter ins Internet bedarf der vorherigen schriftlichen Einwilligung des jeweiligen Mitarbeiters.
Ja.
Selbstverständlich sollte wie bisher auch auf Diskretion am Empfang geachtet werden. Insbesondere Daten wie der Geburtstag, die Telefonnummer und die Adresse sollten diskret behandelt werden. Der Name ist zwar ebenfalls ein „Datum“ im Sinne des Datenschutzrechts. Dieses ist jedoch im Vergleich zu den zuvor genannten allgemein gesellschaftsfähig und quasi alltäglich im Gebrauch. Sofern ein Patient jedoch ausdrücklich ein Synonym oder eine Nummer wählt, um aufgerufen zu werden, sollte dies auch umgesetzt werden.
Da der Zahnstatus ebenso wie z. B. Muttermale oder Narben der Identifikation einer Person dienen können, sollte vor einer solchen Umsetzung auf jeden Fall im Vorfeld die Einwilligung des Patienten hierzu schriftlich vorliegen.
Laut Auskunft der LDI NRW ist lediglich dann mit Bußgeldern zu rechnen, sofern erkennbar ist, dass sich der Datenschutzverantwortliche überhaupt nicht mit dem Thema Datenschutz beschäftigt bzw. lediglich eine sehr oberflächliche Umsetzung der Vorgaben erfolgt. Sofern die seitens der Zahnärztekammer Nordrhein zur Verfügung gestellten Information praxisindividuell umgesetzt werden, sollten Bußgelder vermeidbar sein.
Hinsichtlich der Vertragsschließung mit einem externen Dentallabor zur Auftragsverarbeitung ist festzuhalten, dass derzeit noch unklar ist, ob die Datenweitergabe vom Zahnarzt an das Labor als Auftragsverarbeitung im Sinne des Art. 28 DSGVO und § 62 BDSG einzustufen ist. Dies ist nach hiesiger Einschätzung derzeit noch klärungsbedürftig. Eine entsprechende Anfrage wurde seitens der Zahnärztekammern Nordrhein und Westfalen-Lippe im Juli 2018 an die LDI NRW gerichtet.
Sofern eine solche Vereinbarung geschlossen wurde, bedarf es für die Weitergabe der Patientendaten an das Labor keiner ausdrücklichen Einwilligung des Patienten in die Datenweitergabe.
Ja.
Es muss ein entsprechender Vertrag geschlossen werden. Auch muss die beauftragte Person zur Verschwiegenheit angehalten werden. Die Beauftragung ist zudem in das Informationspapier für die Patienten nach Art. 13 DSGVO mit aufzunehmen.
Nach derzeitiger Antwort seitens der LDI NRW sei insbesondere entscheidend, ob dem Steuerberater im Rahmen seiner vertraglich vereinbarten Aufgaben eine eigene Entscheidungskompetenz übertragen wird oder nicht: