Eineinhalb Jahre DSGVO – wo steht die Zahnarztpraxis heute?

Am 25. Mai 2018 trat sie in Kraft – die europäische Datenschutz-Grundverordnung, kurz DSGVO.
Selten wurde ein neues Gesetz von so viel Medienpräsenz und Emotionen begleitet.
Die Gemüter haben sich inzwischen beruhigt und von den Aufsichtsbehörden gibt es zahlreiche Detaillierungen und Stellungnahmen.

Eines aber ist geblieben: die datenschutzrechtlichen  Anforderungen an die Zahnarztpraxis sind nach wie vor hoch, oft auch unübersichtlich und die Verantwortung, und damit auch die Haftung, tragen allein die Praxisinhaber.

Aktivitäten der Aufsichtsbehörden

Groß war die Angst vor den erweiterten Rechten der Aufsichtsbehörden und dem neuen Bußgeldrahmen bis zu 20 Mio. Euro.

Seit der DSGVO-Einführung wurden deutlich mehr Kontrollen durchgeführt und auch erste Strafen verhängt.

So hat beispielsweise das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) seit Ende 2018 insgesamt neun Fragebogen-Aktionen durchgeführt, mit bis zu 150 angeschriebenen Unternehmen. Das Ergebnis war zum Teil ernüchternd.

Weitgehend unbeachtet von den Medien gab es die ersten DSGVO-Strafen. Mit 50 Mio. Euro verhängte Frankreich das bisher höchste Bußgeld; gegen Google. 400.000 Euro musste ein portugiesisches Krankhaus wegen falscher Datenverarbeitung zahlen.
Die mit 80.000 Euro bislang höchste Strafe in Deutschland wurde in Baden-Württemberg verhängt, auch hier ging es um Gesundheitsdaten.

Mit Blick auf die Höhe der Bußgelder besteht aktuell offenbar noch eine Schonfrist. Noch – wie viele Aufsichtsbehörden betonen. Denn allein beim BayLDA laufen derzeit 85 Bußgeldverfahren nach der DSGVO.

Was sind die großen Stolperfallen in der Zahnarztpraxis?

DSGVO Zanarztpraxis

Der aus Datenschutzsicht sensibelste Bereich ist und bleibt die Anmeldung. Und hier passieren laut BayLDA auch immer noch die meisten Fehler. Meist bekommen unbefugte Dritte sensible Daten mit.

Als kritisch muss auch der Webauftritt vieler Zahnarztpraxen bezeichnet werden. Oft fehlen elementare Schutzmechanismen, was einen Hackerangriff leicht macht. Ebenso häufig fehlen die Datenschutzerklärung und die entsprechenden Verweise darauf. Ein mögliches Bußgeld ist hier das kleinere Problem. Einen falschen Internetauftritt nutzen manche Anwälte für Abmahnungen über einige tausend Euro.

Auch mit den Rechten der Betroffenen haben sich viele Zahnarztpraxen noch nicht (ausreichend) beschäftigt. Immer mehr Patienten nutzen ihr Auskunftsrecht oder fragen die gesetzlich vorgeschriebenen Patienteninformationen nach.

Und dann sind da noch die DSGVO-Pflichtdokumente: Verzeichnis der Verarbeitungsmaßnahmen, Übersicht der Maßnahmen zum Schutz von Integrität und Vertraulichkeit, Auftragsverarbeitungsverträge, um die wichtigsten zu nennen. Oft sind diese Dokumente lückenhaft oder fehlen ganz.
Dabei kann nach der DSGVO bereits das Fehlen von Pflichtdokumenten mit einem Bußgeld geahndet werden, auch ohne dass ein Schadensfall eingetreten ist.

Datenschutzbeauftragte – ein Dauerdiskussionspunkt

Im Juni beschloss der Bundestag die Schwelle anzuheben, ab der ein Datenschutzbeauftragter zu benennen ist. Sie stieg von aktuell 10 auf künftig 20 Personen. Die Gesetzesänderung ist allerdings noch nicht in Kraft.

Bei aller Euphorie für die vermeintliche Erleichterung, eines bleibt: die datenschutzrechtlichen Anforderungen haben sich nicht geändert.

Datenschutzbeauftragter zahnarztpraxis

Alle Praxisinhaber (PI) sind daher gut beraten eine Person mit dem Thema Datenschutz zu beauftragen. Denn sonst muss der PI selbst das Thema Datenschutz übernehmen.

Diese Datenschutzaufgaben können auch von Externen übernommen werden. Großer Vorteil: das DS-rechtliche Know-how müssen Externe bereits mitbringen, das Einlernen und die Kosten für stetige Fortbildungen von Mitarbeitern entfallen.

Bei der Auswahl eines externen DS-Beauftragten sollte unbedingt auf deren Know-how über Zahnarztpraxen geachtet werden. Sonst kann es schnell passieren, dass man sich mit einer überbordenden Dokumentation konfrontiert sieht, die nicht für Zahnarztpraxen geeignet ist.

Großes Problem – die Vielzahl und Unübersichtlichkeit der Informationen zur DSGVO

Seit letztem Jahr veröffentlichten die Aufsichtsbehörden eine Vielzahl von Konkretisierungen und Stellungnahmen, zeitweise im zweiwöchigen Rhythmus. Bei dieser Unmenge an Informationen ist es für jede Zahnarztpraxis schwierig, den Überblick zu behalten. Und selbst wenn man die Neuerung entdeckt, so bleibt das Problem der Umsetzung. Die Anforderungen sind meist für große Unternehmen formuliert, nicht für eine Zahnarztpraxis.

Sich ständig auf dem Laufenden zu halten und dann auch noch alles richtig umzusetzen kostet Zeit, Nerven und Geld. Und es werden praxisintern Ressourcen blockiert, die an anderer Stelle fehlen.
Immer mehr Zahnarztpraxen nutzen daher die Dienste externer Datenschutz-Profis. Diese informieren die Zahnarztpraxen laufend über aktuelle Neuerungen und unterstützen mit branchenspezifischen Umsetzungsvorschlägen.

Die Quintessenz nach über einem Jahr DSGVO?

Die DSGVO hat bei allen Beteiligten zu mehr Sensibilität für den Datenschutz geführt. Das ist wichtig, da jede Zahnarztpraxis täglich mit besonders schützenswerten Gesundheitsdaten umgeht.
Viele Zahnarztpraxen haben sich seit Mai 2018 intensiv mit dem Thema Datenschutz beschäftigt und einiges umgesetzt. Aber eine ebenso große Zahl an Praxisinhabern hat sich bis heute nur wenig oder gar nicht mit dem Thema befasst. Das kann gefährlich werden – und auch teuer.

Datenschutz geht jeden etwas an! Aus diesem Grund kooperiert die ABZ eG gemeinsam mit Herrn Dr. Steinmann zum Thema Datenschutz. Haben wir Sie neugierig gemacht? Dann freuen wir uns über Ihren Anruf unter 089/ 89 26 33 – 20 oder Ihre E-Mail an service@abzeg.de.