150 150 BFS

Datenschutzexperte Dr. Robert Kazemi zur neuen DSGVO

Kurz vor knapp, aber noch rechtzeitig

Am 25. Mai 2018 beginnt ein neues Zeitalter in Sachen Datenschutz und Datensicherheit: Die EU-Datenschutzgrundverordnung (DSGVO) wird wirksam und löst das bisherige BDSG als zentrales Datenschutzgesetz in Deutschland ab. Nach dem Willen des europäischen Gesetzgebers soll es ab Ende Mai nur noch ein einheitliches Datenschutzrecht in ganz Europa geben. In ganz Europa? Nein, ein nicht ganz so kleines Land in der Mitte wehrt sich weiterhin und hat im Rahmen der verbleibenden Möglichkeiten Ausnahmen und Sonderregelungen geschaffen. In Deutschland gelten somit neben der DSGVO weiterhin das BDSG, genauer das BDSG-NEU und andere Spezialgesetze (insbesondere im SGB X). Die Gemengelage, die sich aus der parallelen Anwendung verschiedener gesetzlicher Bestimmungen ergibt, ist selbst für viele Juristen undurchsichtig. Datenschutz galt bislang als Exot unter den Fachgebieten, weswegen nur wenige Berater überhaupt mit der Materie vertraut sind. Den Arzt oder Zahnarzt stellt die neue Rechtslage jedoch vor ganz neue Herausforderungen, die mit seinem beruflichen Alltag und seiner Ausbildung nur wenig gemein haben. Vielleicht haben deshalb viele Ärzte und Zahnärzte eher den Kopf in den Sand gesteckt als das Ohr an den Telefonhörer gelegt und die Neuregelungen einfach auf sich zukommen lassen, anstatt sich rechtzeitig um Unterstützung bei der Umsetzung der Neuregelungen zu kümmern. Noch ist es hierfür allerdings nicht zu spät und die Weichen für einen datenschutzkonformen Praxisbetrieb können noch gestellt werden.

 

Wann benötigt Ihre Praxis einen Datenschutzbeauftragten?

Wenn Sie nicht in einer Einzelpraxis, sondern zusammen mit anderen Kolleginnen und Kollegen, beispielsweise in einer Berufsausübungsgemeinschaft oder einem MVZ, arbeiten, dann benötigen Sie gegebenenfalls einen betrieblichen Datenschutzbeauftragten.

 

Muss der Umgang mit personenbezogenen Daten der Patienten künftig dokumentiert werden?

Jeder Arzt und Zahnarzt (auch derjenige, der in der Einzelpraxis tätig ist) ist zudem dazu verpflichtet, ein sogenanntes „Verzeichnis über die in seiner Praxis vollzogenen Verarbeitungstätigkeiten“ (VTT) zu erstellen und zu führen. Hier sind die wesentlichen Vorgänge, bei denen personenbezogene Daten durch den (Zahn-)Arzt genutzt werden, zu verzeichnen. Dies betrifft nicht nur die (zahn-)ärztliche Berufsausübung (Patientenbehandlung), sondern beispielsweise auch die Personalverwaltung, das Bestell- oder Rechnungswesen oder auch die Buchhaltung. Inhalt und Aufbau des VTT sind durch strenge gesetzliche Vorgaben geregelt. Trotzdem ist seine Erstellung sicherlich kein Hexenwerk, sobald man sich einmal mit den Vorgaben vertraut gemacht hat.

 

Welche neuen Informationspflichten gibt es?

Jeder (Zahn-)Arzt ist dazu verpflichtet, seine Patienten bei Behandlungsbeginn umfassend über datenschutzrechtliche Sachverhalte zu informieren. Diese Information  muss in Textform erfolgen. Auch die neuen Informationspflichten nach Art. 13 DSGVO sind zum Stichtag des 25. Mai 2018 in der Praxis umzusetzen. Die Informationspflichten werden nicht durch spezielle Vorgaben des zahnärztlichen Berufs- oder Standesrecht verdrängt. Das BDSG-NEU sieht ebenfalls keine Bereichsausnahme im Rahmen der (Zahn-)Arzt-Patienten-Beziehung vor.

 

Werden sich die Anforderungen an die technische und organisatorische Ausstattung der Praxis ändern?

Die Anforderungen an die technische und organisatorische Ausstattung der Praxis werden erheblich steigen. IT- und Sicherheitsequipment muss sich zukünftig am aktuellen Stand der Technik orientieren. Das bedeutet: Techniksprünge können zukünftig nicht einfach übergangen werden, sondern müssen im Einzelfall kritisch geprüft werden. Hierbei empfiehlt sich auf die Unterstützung durch versierte Fachexperten zurückzugreifen. Auch die Pflege und Wartung von IT-Systemen wird obligatorisch. Sparsamkeit kann hier schnell teuer werden. Mein Tipp: Organisieren Sie Ihre Praxis auch räumlich so, dass die Datensicherheit gewährleistet ist.

 

Was muss bei der Zusammenarbeit mit externen Dienstleistern beachtet werden?

Auch der (Zahn-)Arzt ist im Rahmen seiner Berufsausübung auf die Hilfeleistung anderer Personen angewiesen. Das gilt insbesondere für die Einrichtung, den Betrieb, die Wartung und die Anpassung von IT-Systemen, die zunehmend komplexer werden und für den Anwender in ihren Einstellmöglichkeiten kaum noch durchschaubar sind. In diesen Fällen ist es oftmals nicht nur sinnvoll, sondern zwingend erforderlich, diese Tätigkeiten durch spezialisierte Unternehmen oder selbstständig tätige Experten durchführen zu lassen. Beachten Sie dabei jedoch, dass auch die Anforderungen an die Einbindung externer Dienstleiter durch die DSGVO erheblich gesteigert werden. Die Einbindung muss auf Grundlage eines schriftlichen Vertrages erfolgen (Artikel 28, Absatz 3, S. 1, Hs. 1 DSGVO), der bestimmte inhaltliche Mindestanforderungen erfüllen muss.

Alle hier genannten Anforderungen können bei Nichterfüllung erhebliche Ordnungsgelder nach sich ziehen, die bis zu 20 Millionen Euro oder mehr erreichen können. Sicherlich wird der (Zahn-)Arzt hier selbst bei einem Verstoß nicht an der oberen Grenze möglicher Bußgelder agieren, doch schon ein Bußgeld von 20.000 bis 50.000 Euro kann den Betrieb erheblich belasten und den Praxisinhaber finanziell in eine Schieflage bringen. Hier nichts zu tun, birgt daher erhebliche Gefahren, denen nur durch ein ordnungsgemäßes Datenschutzmanagement begegnet werden kann.

 

Sie haben noch weitere Fragen? Kommen Sie gerne auf uns zu:

Über den Autor:

Dr. Robert Kazemi

Dr. Robert Kazemi ist Rechtsanwalt mit den Schwerpunkten „Gewerblicher Rechtsschutz“ und „Datenschutz“. Er ist Gründer und Partner der Sozietät Kazemi & Partner Rechtsanwälte. Außerdem ist er Justiziar des Bundesverbandes der Kinderzahnärzte und Autor zahlreicher Fachpublikationen.