News

Datenschutz im Dentallabor: Die neue EU-Datenschutzgrundverordnung

der artikulator // 04/2016

Die EU-Datenschutzgrundverordnung (EU-DSGV) wurde am 4. Mai 2016 im Europäischen Amtsblatt veröffentlicht und trat 20 Tage später in Kraft.

Wegen der bestehenden zweijährigen Übergangszeit ist sie ab dem 25. Mai 2018 im Betrieb anzuwenden. Die neue EU-Datenschutzgrundverordnung kommt mit neuen Anforderungen, z.B. dem Anspruch auf Entfernung auch von in der Vergangenheit rechtmäßig erhobenen Daten, insbesondere aber kommt sie mit einer neuen Sanktionsqualität. Die beabsichtigte aktive Überwachung und Verfolgung von Datenschutzverstößen und die Höhe der demnächst drohenden Bußen lässt es gerade für in der sensiblen Gesundheitsbranche tätige Betriebe dringend angeraten sein, sich auch in dieser Hinsicht sicher aufzustellen.

Als Grundverordnung ist die EUDSGV direkt in jedem Mitgliedsland wirksam und muss nicht erst in nationales Recht umgesetzt werden. Da in ihr Öffnungsklauseln enthalten sind, die es den einzelnen Mitgliedsstaaten erlauben, Regelungen zu konkretisieren, wird es voraussichtlich im Detail einige Anpassungen in Deutschland geben. Diese werden sich vermutlich an dem heute geltenden Bundesdatenschutzgesetz orientieren.

Wir sollten als zahntechnische Unternehmer die neue EU-Datenschutzgrundverordnung zum Anlass nehmen, unsere Unternehmen zu überprüfen, ob wir gesetzeskonform handeln. Wer bisher seine personenbezogenen Daten nach dem Bundesdatenschutzgesetz verarbeitet hat, für den werden zum 25. Mai 2018 die Anpassungen gut zu bewältigen sein. Da sich mit der EUDSGV die Bußgelder bei Verstößen wesentlich ausweiten und erhöhen, rate ich dazu, sich vorab nochmal mit dem Thema Datenschutz zu beschäftigen.

Doch bevor wir uns ins Technische und Rechtliche begeben, möchte ich einen weit verbreiteten Irrtum ansprechen und die persönliche Note des Datenschutzes betonen.

Datenschutz versus Datensicherheit oder beides das Gleiche?

Datenschutz und Datensicherheit werden beide gern mit dem Kürzel „DS“ bezeichnet. In unserer heutigen vernetzten Welt hat auch beides etwas mit IT zu tun, aber unter sehr unterschiedlichen Blickwinkeln.

Datensicherheit hat die Aufgabe, Daten vor Verlust, Manipulation und Missbrauch zu schützen. Damit liegt der Fokus darauf, unsere IT vor Angriffen, technischen und umweltbedingten Havarien zu schützen.

Datenschutz ist der Schutz der Personen, deren Daten verarbeitet werden. Datenschutz ist Schutz der Persönlichkeits-Rechte. Der Datenschutz umfasst alle Maßnahmen zum Schutz des Individuums vor der missbräuchlichen Verwendung der über seine Person gespeicherten Daten.

Das Bundesverfassungsgericht hat schon 1983 im Volkszählungsurteil das Recht der informellen Selbstbestimmung als Grundrecht formuliert:

„Die freie Entfaltung der Persönlichkeit setzt unter den Bedingungen der modernen Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.“

„Jeder Mensch soll grundsätzlich selbst über Preisgabe und Verwendung seiner persönlichen Daten bestimmen.“

Sind dies nicht Sätze, die wir als eine Berufsgruppe von Individualisten unterschreiben können? Sind nicht gerade wir auf den Schutz unseres persönlichen Freiraums angewiesen, um unsere Kreativität zu entfalten?

Zahntechniker helfen Menschen: gesundheitlich durch die Wiederherstellung ihrer Kaufunktion und sozial durch die wiederhergestellte oder verbesserte Physiognomie oder heute eher Kosmetik genannt. Wir sollten nicht riskieren, Patienten auf dem uns weniger sicheren Boden des Datenschutzes zu schaden.

Was ist zu tun?

Jedes Unternehmen sollte analysieren, welche personenbezogenen Daten mit welchem Gefährdungsniveau im Unternehmen verarbeitet werden, wobei die reine Speicherung schon Verarbeitung ist.

Jedes Dentallabor besitzt Daten seiner Mitarbeiter, Kunden und Patienten, die in der Regel alle digital verarbeitet werden.

Alle diese Daten sind schon heute nach dem Bundedatenschutzgesetz in besonderer Weise zu behandeln und zu schützen. Besonders zu berücksichtigen sind hierbei §§ 4d -Meldepflicht-, 4e -Inhalt der Meldepflicht- Bundesdatenschutzgesetz und die technisch-organisatorischen Maßnahmen nach Anlage zu § 9a BDSG.

Dass Mitarbeiterdaten einem besonderen Schutz nicht nur wegen der Neugierde ihrer Kolleginnen und Kollegen unterliegen, ist aus unternehmerischer Sicht wohl eine Selbstverständlichkeit. Hier sollte nicht nur in IT-Dimensionen gedacht werden, sondern man sollte z.B. auch schauen, dass die Originale in Papier in verschlossenen Schränken aufbewahrt werden.

Aus rechtlicher Sicht ist eine Personalakte schnell eine Akte, die besondere personenbezogene Daten enthält und nach dem Gesetzgeber unter besonders starkem Schutz steht.

Gewisse Vorsicht ist bei der Sammlung von Kundendaten geboten. Unternehmen stehen zwar nicht unter dem Schutz der Datengesetzgebung, aber unsere Kunden sind Freiberufler, also Personen, deren private Daten geschützt sind. Es ist nicht ratsam, aus Marketinggründen möglichst viele private Kundendaten zu sammeln. Dies wäre klar eine Verletzung der Privatsphäre und des Datenschutzrechts.

Worüber wir uns immer aufregen, wie spärlich die Informationen auf dem Auftragszettel sind, ist vom Datenschutz aus gesehen eher positiv und entspricht dem Grundsatz der Datensparsamkeit. Aber trotz dieser spärlichen Arbeitsgrundlagen handelt es sich um personalisierte Gesundheitsdaten, die besonders zu schützen sind.

Und dies ist richtig so! Wir haben uns an die Normalität von prothetischen Versorgungen gewöhnt, für viele Patienten/innen ist dies aber ein absolut intimer Bereich, den sie bis in engste zwischenmenschliche Beziehungen hinein verheimlichen.

Ich erinnere mich an eine Patientin, die sich weigerte, in der Zeit während der Reparatur ihrer totalen Prothese unseren Patientenraum zu verlassen. Ihr Ehemann wusste nicht und sollte es nie erfahren, dass sie zahnlos ist. – Welche Verantwortung, verschwiegen zu sein.

Doch zurück zur nüchternen juristischen Realität: Das Bundesdatenschutzgesetz sieht in bestimmten Fällen vor, dass die Verarbeitung personenbezogener Daten einer Vorabkontrolle unterliegen. Unsere Verantwortung als Unternehmer ist es, zu überprüfen, ob die Kriterien für eine Vorabkontrolle vorliegen. Ist dies der Fall, müssen wir einen Datenschutzbeauftragten bestellen. Seine Aufgaben sind nicht nur die Vorabkontrolle, sondern er muss die Datenverarbeitung von personenbezogenen Daten überwachen, ein Verfahrensverzeichnis führen und das Personal im Datenschutz schulen.

Da wir als Unternehmer auch ohne Datenschutzbeauftragten diese Aufgaben erfüllen müssen, macht es schon Sinn, einen Fachmann zu Rate zu ziehen. Unsere Zeit ist zu knapp bemessen, um uns in die Regelungen einzuarbeiten und bei der Durchführung nicht doch schwerwiegende Fehler zu machen.

Ein Grundsatz gilt übrigens: Die verantwortliche Stelle, das sind wir als Unternehmer, ist verantwortlich für nicht eingehaltene Datenschutzregelungen. Dies kann Bußgelder ebenso wie Schadenersatzforderungen Betroffener bei der Verletzung ihrer Persönlichkeitsrechte zur Folge haben. Die Höhe der bisher ausgesprochenen Schadenssätze empfinde ich für unseren Rechtsraum als hoch.

Die Schadenersatzforderungen lassen sich selbst im Schadensfall oft mindern oder abwenden, wenn die Datenschutzregelungen nachweislich eingehalten wurden. Wenn die geforderten Vorabkontrollen, ein erfahrensverzeichnis mit anschließender Risikobewertung durchgeführt und die technisch-organisatorischen Maßnahmen nach Anlage § 9 im Betrieb berücksichtigt wurden.

Ich weiß, dass es selbst einem Zahntechnikermeister nach vollbrachtem langen Arbeitstag schwer fällt, das Bundesdatenschutzgesetz zu lesen, gedanklich zu verarbeiten und anschließend morgens bei einsetzender telefonischer Dauerbeschallung und Fragen der Techniker (da ist ja noch die Auszubildende mit der
avisierten Unterweisung) umzusetzen.

Die gute Nachricht ist: Sie sind Mitglied einer Innung unserer Kooperation. Die Zahntechniker-Innung Berlin-Brandenburg wird demnächst Seminare zum Datenschutz im Dentallabor für Sie durchführen. Dies ist ein guter Einstieg, sich der Problematik zu nähern und einen Fahrplan zur Umsetzung zu erhalten.

Alle Artikel anzeigen