Darf ich die Patienten noch mit Namen aufrufen? Kann ich auf meiner Homepage noch „Vorher/Nachher"-Bilder von Patienten einstellen? Und muss ich mit meinem Steuerberater einen Auftragsdatenverarbeitungsvertrag abschließen?

Solche und ähnliche Fragen zur Umsetzung der neuen Vorgaben stellen sich spätestens seit dem Inkrafttreten der neuen Datenschutzgrundverordnung (DSGVO) am 25.05.2018 auch für Praxisbetreiber. Die Zahnärztekammer Nordrhein hat die seit dem 25.05.2018 bei der Zahnärztekammer eingegangenen Fragen zum neuen Datenschutzrecht gesammelt und die häufigsten 22 Fragen mitsamt Antworten in einer FAQ-Liste zusammengefasst.

Den ersten Teil der Liste finden Sie hier.

Hinweis: Der nachfolgende Beitrag soll den Zahnärztinnen und Zahnärzten eine weitere Orientierung und Handlungshilfe im Thema geben. Sicherlich sind einige Fragen auch weiterhin noch unklar und bedürfen einer Rücksprache mit der Landesbeauftragten für Datenschutz (LDI NRW).

Die Fragen und Antworten beziehen sich nicht auf Fragen zur Abrechnung und Datenübermittlung mit und an die Kassenzahnärztliche Vereinigung. Diese Fragen unterfallen den Vorgaben des Sozialgesetzbuchs V und sind daher zuständigkeitshalber von den Kassenzahnärztlichen Vereinigungen zu beantworten.

 

11.       Was genau ist die Information nach Art. 13 DSGVO?

Hierbei handelt es sich um ein allgemeines Informationspapier, welches der Zahnarzt seinen Patienten und Mitarbeitern vorlegen muss, um über die Datenverarbeitung in seinem Betrieb zu informieren. Hierzu besteht eine gesetzliche Verpflichtung. Die Unterschrift der Kenntnisnahme der Information durch den Patienten bzw. den Mitarbeiter ist aus Nachweiszwecken zu empfehlen. Die LDI NRW spricht sich gegen einen Aushang aus.

Zu beachten ist, dass die Unterschrift des Patienten zur Information nach Art. 13 DSGVO nicht automatisch eine Einwilligung des Patienten in die Datenverarbeitung darstellt!

 

12.       Müssen lediglich die Patienten eine Information nach Art. 13 DSGVO erhalten, die ab dem 25.05.2018 in der Praxis behandelt werden?

Alle Patienten müssen diese Information erhalten. „Altpatienten“ ist das Informationspapier auszuhändigen, sobald sie wieder einen Termin in der Praxis wahrnehmen.

 

13.       Kann die Information nach Art. 13 DSGVO auch im Rahmen des Anamnesebogens erfolgen?

Ja.

Die Information nach Art. 13 DSGVO muss jedoch von der Anamneseerhebung optisch hervorgehoben werden (z. B. durch einen Kasten). Wir empfehlen zudem entsprechend auch zwei Unterschriften.

 

14.       Für welche „Arten“ von Datenverarbeitungen in der Praxis bedarf es der Einwilligung des Patienten?

Werden die Gesundheitsdaten zur Durchführung des Behandlungsvertrags verarbeitet (Eintragungen in die Patientenakte), bedarf es hierfür keiner ausdrücklichen Einwilligung des Patienten und somit auch keiner besonderen Nachweislegung.

Sofern Daten dergestalt verarbeitet werden, dass z. B. eine Datenweitergabe an Dritte erfolgt, bedarf es hingegen einer ausdrücklichen Einwilligung des Patienten. Diese sollte aus Nachweiszwecken schriftlich erfolgen. Sowohl der Zweck der Datenweitergabe als auch der Datenempfänger müssen benannt werden.

 

15.       Was ist beim Recall zu beachten?

Hier gilt die bisherige Rechtslage weiter. Es ist eine vorherige Einwilligung zum Recall erforderlich. Auf dem zu unterzeichnenden Papier muss der der Hinweis vermerkt werden, dass die Einwilligung jederzeit widerrufen werden kann.

Sofern die Einwilligung vorliegt und der Recall erfolgen kann, sollte die Erinnerung im Umschlag versandt werden.

 

16.       Können Fotos von Mitarbeitern ins Internet (Praxis-Homepage, Facebook etc.) gestellt werden?

Das Einstellen von Fotos der Mitarbeiter ins Internet bedarf der vorherigen schriftlichen Einwilligung des jeweiligen Mitarbeiters.

 

17.       Dürfen die Patienten noch mit Namen angesprochen bzw. im Wartezimmer namentlich aufgerufen werden?

Ja.

Selbstverständlich sollte wie bisher auch auf Diskretion am Empfang geachtet werden. Insbesondere Daten wie der Geburtstag, die Telefonnummer und die Adresse sollten diskret behandelt werden. Der Name ist zwar ebenfalls ein „Datum“ im Sinne des Datenschutzrechts. Dieses ist jedoch im Vergleich zu den zuvor genannten allgemein „gesellschaftsfähig“ und quasi alltäglich im Gebrauch. Sofern ein Patient jedoch ausdrücklich ein Synonym oder eine Nummer wählt, um aufgerufen zu werden, sollte dies auch umgesetzt werden.

 

18.       Dürfen auf der Praxis-Homepage oder in sozialen Netzwerken „Vorher/Nachher-Bilder“ von Patienten aus Werbezwecken eingestellt werden?

Da der Zahnstatus ebenso wie z. B. Muttermale oder Narben der Identifikation einer Person dienen können, sollte vor einer solchen Umsetzung auf jeden Fall im Vorfeld die Einwilligung des Patienten hierzu schriftlich vorliegen.

 

19.       Wann muss der Praxisinhaber ein Bußgeld seitens der Datenschutzaufsicht befürchten?

Laut Auskunft der LDI NRW ist lediglich dann mit Bußgeldern zu rechnen, sofern erkennbar ist, dass sich der Datenschutzverantwortliche überhaupt nicht mit dem Thema Datenschutz beschäftigt bzw. lediglich eine sehr oberflächliche Umsetzung der Vorgaben erfolgt. Sofern die seitens der Zahnärztekammer Nordrhein zur Verfügung gestellten Information praxisindividuell umgesetzt werden, sollten Bußgelder vermeidbar sein.

 

20.   Muss der Praxisinhaber mit einem gewerblichen Labor einen Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) schließen?

Hinsichtlich der Vertragsschließung mit einem externen Dentallabor zur Auftragsverarbeitung ist festzuhalten, dass derzeit noch unklar ist, ob die Datenweitergabe vom Zahnarzt an das Labor als Auftragsverarbeitung im Sinne des Art. 28 DSGVO und § 62 BDSG einzustufen ist. Dies ist nach hiesiger Einschätzung derzeit noch klärungsbedürftig. Eine entsprechende Anfrage wurde seitens der Zahnärztekammern Nordrhein und Westfalen-Lippe im Juli 2018 an die LDI NRW gerichtet.

Hinweis: Sofern eine solche Vereinbarung geschlossen wurde, bedarf es für die Weitergabe der Patientendaten an das Labor keiner ausdrücklichen Einwilligung des Patienten in die Datenweitergabe.

 

21.   Liegt im Fall der Beauftragung einer externen Abrechnungskraft eine Auftragsverarbeitung (Art. 28 DSGVO) vor?

Ja.

Es muss ein entsprechender Vertrag geschlossen werden. Auch muss die beauftragte Person zur Verschwiegenheit angehalten werden. Die Beauftragung ist zudem in das Informationspapier für die Patienten nach Art. 13 DSGVO mit aufzunehmen.

 

22.   Muss mit dem Steuerberater ein Auftragsdatenverarbeitungsvertrag geschlossen werden?

Nach derzeitiger Antwort seitens der LDI NRW sei insbesondere entscheidend, ob dem Steuerberater im Rahmen seiner vertraglich vereinbarten Aufgaben eine eigene Entscheidungskompetenz übertragen wird oder nicht:

1. Führt der Steuerberater ausschließlich die reine Lohn- und Gehaltsabrechnung oder eine rein technische Dienstleistung im Auftrag des Praxisinhabers aus, und hat er dabei keine eigenverantwortliche Entscheidungsbefugnis, sei allgemein von einer Auftragsverarbeitung auszugehen. Dann müsste ein Auftragsdatenverarbeitungsvertrag zwischen Zahnarzt und Steuerberater geschlossen werden.
2. Erbringt der Steuerberater hingegen eine Leistung, die über eine weisungsabhängige, technische Dienstleistung hinausgeht (z.B. Erstellung des Jahresabschlusses, Steuerberatung etc.), handelt der Berater nach § 32 Abs. 2 Steuerberatungsgesetz komplett eigenverantwortlich und damit somit weisungsfrei. In dieser Situation kommt kein Auftragsverarbeitungsvertrag in Betracht. Als Konsequenz folgt daraus, dass für die Weitergabe von Patientendaten an den Steuerberater eine Einwilligung des Patienten vorliegen muss. Nur dann, wenn die Patientendaten (Name, Adresse usw.) vor der Übergabe an den Steuerberater geschwärzt werden, ist eine Einwilligung nicht erforderlich.
3. Sollte der Steuerberater sowohl für die Lohn-/Gehaltsabrechnung als auch für die Steuerberatung beauftragt werden, liegen eine Auftragsverarbeitung und eine Datenverarbeitung in eigener Verantwortung vor.

                               

Zahnärztekammer Nordrhein

Hilfreiche Links:

• Informationen zum Thema Datenschutz auf der Webseite der Zahnärztekammer Nordrhein
• Datenschutzgrundverordnung (DSGVO)
• Bundesdatenschutzgesetz (BDSG) in der Fassung ab dem 25. Mai 2018
• Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI)

 

Kontaktdaten der in NRW für den Datenschutz zuständigen Aufsichtsbehörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Postfach 20 04 44 | 40102 Düsseldorf

Tel. 0211 38424-0 | Fax 0211 38424-10

poststelle(at)ldi.nrw.de