0,00 €
Zum Warenkorb
  • Quintessence Publishing Deutschland
Filter
3793 Views

Neuerungen im Datenschutzrecht sind auch für Zahnärzte von Bedeutung – Dr. Robert Kazemi zur EU-DSGVO (4)

Ende Mai wird die EU-Datenschutzgrundverordnung (DSGVO) wirksam und löst das bisherige Bundesdatenschutzgesetz (BDSG 2009) als zentrales Datenschutzgesetz in Deutschland ab. Die bis dahin noch verbleibende Zeit sollte auch in der Zahnarztpraxis dringend genutzt werden, um erforderliche Änderungen in der Praxisorganisation umzusetzen und sich auf die Neuregelungen einzustellen. Denn die ab 25. Mai 2018 geltende DSGVO findet auch auf den Zahnarzt und seine Zahnarztpraxis Anwendung. Rechtsanwalt Dr. Robert Kazemi hat die einzelnen Anforderungen in kompakten Beiträgen für die Praxis aufgeschlüsselt.

„Geeignete Datenschutzvorkehrungen“ etablieren

Nach Artikel 24 Absatz 1 DSGVO ist der Verantwortliche – und damit auch der Zahnarzt – verpflichtet, sicherzustellen und nachzuweisen, dass die von ihm vollzogenen Daten-Verarbeitungen unter Einhaltung der DSGVO erfolgen. Hierzu hat er unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen und – dort wo dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht – „geeignete Datenschutzvorkehrungen“ (Artikel 24 Absatz 2 DSGVO) zu etablieren.

In einer Reihe von Beiträgen erläutert Rechtsanwalt Dr. Robert Kazemi die Grundlagen und Auswirkungen der neuen, ab 25. Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) für Zahnarztpraxen.
Teil 1: Wer künftig einen Datenschutzbeauftragten braucht
Teil 2: Daten: Wie Patienten informiert werden müssen
Teil 3: Jede Praxis braucht Verzeichnis über Daten-Verarbeitungstätigkeiten
Teil 4: Sichere Datenverarbeitung nach dem Stand der Technik
Teil 5: Wenn externe Dienstleister in der und für die Praxis tätig werden


Welche technischen und organisatorischen Maßnahmen im Einzelnen in Betracht kommen, legt Artikel 24 DSGVO – mit Ausnahme der Maßnahme der „Anwendung geeigneter Datenschutzvorkehrungen“ – nicht fest; zum Teil werden sie in Artikel 25, Artikel 28 Absatz 1 und Artikel 32 DSGVO umschrieben. Ein der Anlage zu Paragraf 9 Satz. 1 BDSG (alt) vergleichbarer Maßnahmenkatalog existiert nicht. Die hier beschriebenen Maßnahmen der Zutrittskontrolle, der Zugangskontrolle, der Zugriffskontrolle, der Weitergabekontrolle, der Eingabekontrolle, der Auftragskontrolle, der Verfügbarkeitskontrolle, des Gebotes der getrennten Verarbeitung sowie des Einsatzes von Verschlüsselungsverfahren können aber weiterhin Anhaltspunkte für die in Betracht kommenden technischen und organisatorischen Maßnahmen liefern.

Kein detaillierter Maßnahmenkatalog

Die grundlegende Verpflichtung zum Schutz personenbezogener Daten im Rahmen der Verarbeitung konkretisiert Artikel 32 DSGVO, der besondere Anforderungen an die Sicherheit der Verarbeitung stellt. Hiernach sind vom Verantwortlichen und etwaigen Auftragsverarbeitern unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die Kriterien der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung entsprechen den in Artikel 24 DSGVO aufgeführten. Dabei hat der Verantwortliche keine absolute Sicherheit, sondern lediglich ein den festgestellten Risiken angemessenes Schutzniveau sicherzustellen und insbesondere zu verhindern, dass personenbezogene Daten unbeabsichtigt und/oder unrechtmäßig vernichtet, verändert oder unbefugt offengelegt werden oder auf sonstige Weise verloren gehen beziehungsweise Dritte unbefugt Zugang zu verarbeiteten personenbezogenen Daten erhalten (Artikel 32 Absatz 2 DSGVO). Anders als Artikel 24 DSGVO normiert Artikel 32 Absatz 1 DSGVO einen nicht abschließenden Beispielkatalog von Maßnahmen, die im Einzelfall als geeignet angesehen werden können.

Zugriffskonzepte für Hard- und Software

Hierzu zählt die Verpflichtung, die Vertraulichkeit eingesetzter Systeme (Hardware) und Dienste (Software) sicherzustellen, was zwingend die Etablierung eines entsprechenden Zugriffskonzeptes bedingt. Weithin ist Verfügbarkeit sicherzustellen: Damit ist die jederzeitige Betriebsbereitschaft von Systemen und Diensten, im Sinne der Sicherstellung einer „jederzeitigen Nutzbarkeit“, angesprochen. Diese kann durch verschiedene äußere wie innere Einflüsse gefährdet sein. So kann Hardware defekt sein, ein plötzlicher Stromausfall kann Schäden an Datenbanken auslösen, ein Blitzschlag kann Unternehmensnetzwerke ebenso vollständig zerstören wie Feuer oder Wasser; auch Sabotage kann die Integrität von Systemen schädigen.

Entsprechend vielfältig und umfangreich können daher auch die Maßnahmen zur Sicherstellung von Integrität ausfallen. Dies beginnt bei der richtigen Verkabelung, der richtigen Standortwahl und der effektiven Absicherung der Systeme gegen unberechtigten Zugriff durch Dritte. Ebenso können Wartungs- und Austauschpläne erforderlich sein. Gegebenenfalls sind Systeme redundant vorzuhalten, mit einer unabhängigen Stromversorgung (USV) und einem professionellen Blitzschutz zu versehen, RAID-Systeme einzusetzen und/oder eine hinreichende Klimatisierung der IT-Anlagen sowie Brandmeldeeinrichtungen und Löschanlagen im Bereich der zentralen IT oder eine redundante elektrische Versorgung zu installieren.

Regelmäßige Datensicherung unbedingt erforderlich

An dieser Stelle ist zu betonen, dass insbesondere regelmäßige Datensicherungen erforderlich sind. Diese tragen nicht nur elementar zur Sicherung des Fortbestands einer Zahnarztpraxis bei, sondern stellen gleichsam eine effektive und nach dem Stand der Technik zu erwartende Sicherung gegen ungewollte Änderungen oder Löschungen sowie den Verlust von (personenbezogenen) Daten dar. Was bislang lediglich als „nice to have“ gefordert wurde, ist über Artikel 32 DSGVO nunmehr zur datenschutzrechtlichen Verpflichtung erhoben. Ein Backup- und Datensicherungskonzept gehört damit zukünftig in jede Zahnarztpraxis.

Sind Patientenakten vernichtungsreif oder ausgedruckte Schriftsatzentwürfe fertig überarbeitet, dürfen diese nicht einfach in den Altpapiercontainer geworfen werden. Auch dies ist Gegenstand der Sicherheit der Verarbeitung! Wer die „Kenntniserlangung durch Dritte“ gänzlich verhindern will, der besorgt die Vernichtung seiner Handakten im eigenen Haus. Dabei ist darauf zu achten, dass die Akten so zerstört werden, dass eine Kenntnisnahme durch Dritte wirklich ausgeschlossen ist. Ein herkömmlicher Papierkorb reicht hier sicherlich nicht aus, denn dessen Inhalt landet wiederum in der Öffentlichkeit. Wer hier auf Nummer sicher gehen will, orientiert sich an den DIN-Normen EN 15713 und DIN 66399 und greift auf Aktenvernichter der Sicherheitsstufe P-4 oder besser P-5 zurück.

Digitale Akten und alte Computer datensicher entsorgen

Vorsicht ist auch geboten, soweit es um die Vernichtung digitaler Akten geht. Hier werden „alte Computer“ oft zu leichtfertig als Elektroschrott entsorgt oder anlässlich der nächsten Sperrmüllsammlung auf die Straße gestellt. Auch dies geht selbstverständlich nicht, solange und soweit die auf diesen Rechnern vorhandenen Daten nicht zuvor „sicher“ gelöscht worden sind. Auch hier empfiehlt sich, die Datenträger und Festplatten der Praxis physikalisch zu zerstören. Im Übrigen betrifft dies auch Großkopierer, die in der Regel eine Festplatte enthalten und jeden Scan- beziehungsweise Kopiervorgang speichern. Wer bei der Datenvernichtung auf Nummer sicher gehen will, dem sei dringend das Studium der Hinweise zum sicheren Löschen von Daten des Bundesamts für Sicherheit in der Informationstechnik (BSI) empfohlen, die im Internet abgerufen werden können.

Datenvernichtung durch geeignete Dienstleister

Wer sich und seine Mitarbeiter nicht selbst an den Schredder stellen möchte, der kann auch auf externe Dienstleister zurückgreifen, die sich auf eine professionelle Aktenvernichtung spezialisiert haben. Mit Blick auf die strengen Vorgaben des Paragraf 203 Strafgesetzbuch (StGB) sollte die Auswahl dieser Dienstleister indes nicht allein mit Blick auf den Preis getroffen werden, sondern die Durchführung der beauftragten Vernichtung im Mittelpunkt stehen. Hier sollte in jedem Fall nur auf solche Dienstleister zurückgegriffen werden, die ihrerseits Gewähr für die Einhaltung der bereits benannten DIN-Vorgaben bieten. Entsprechende Zertifizierungen des Vernichtungsprozesses durch unabhängige Dritte, beispielsweise durch den TÜV oder auch das Unabhängige Landesdatenschutzzentrum Schleswig-Holstein (ULD), können bei der Auswahl helfen.

Die an den Dienstleister zu übergebenden Daten sollten in entsprechenden Sicherheitsbehältern bereitgestellt werden, die Übernahme der Daten ist zu protokollieren und es ist darauf zu achten, dass auch im Rahmen der Entladung der Sicherheitscontainer beim Dienstleister keine unberechtigte Kenntnisnahme durch Dritte erfolgen kann. Schließlich ist aus datenschutzrechtlicher Sicht der Abschluss einer entsprechenden Auftragsdatenverarbeitungsvereinbarung zwingend erforderlich. Die meisten externen Dienstleister bieten auch die rechtssichere physikalische Vernichtung von Datenträgern wie CDs, Festplatten, USB-Sticks etc. an.

Wer – sei es bei der Vernichtung im eigenen Hause, sei es bei der Vernichtung durch Dritte – auf die Einhaltung der vorstehenden Standards achtet, wird dem zahnärztlichen Berufsgeheimnis gerecht.

Dr. Robert Kazemi, Rechtsanwalt, Bonn

Dr. Robert Kazemi ist Partner der Sozietät Kazemi & Partner Rechtsanwälte PartG in Bonn. Er arbeitet seit Jahren auf den Gebieten des Wettbewerbs- und Datenschutzrechts. Er ist Autor des Fachbuches „Das neue Datenschutzrecht in der anwaltlichen Beratung“ sowie zahlreicher weiterer Publikationen zum Thema Datenschutzrecht.“ (Foto: Kazemi/Apart Fotodesign – Alexander Pallmer)


Titelbild: Joe Prachatree/shutterstock.com
Praxisführung Dokumentation

AdBlocker active! Please take a moment ...

Our systems reports that you are using an active AdBlocker software, which blocks all page content to be loaded.

Fair is fair: Our industry partners provide a major input to the development of this news site with their advertisements. You will find a clear number of these ads at the homepage and on the single article pages.

Please put www.quintessence-publishing.com on your „adblocker whitelist“ or deactivate your ad blocker software. Thanks.

More news

  
22. Nov 2024

Auch bei Betriebsfeiern auf den Geldwert achten

Sachzuwendungen und Geschenke mit steuer- und sozialversicherungsrechtlichen Vergünstigungen
22. Nov 2024

ZFA-Tarifrunde ist gestartet

vmf: ZFA-Durchschnittsgehalt liegt unterhalb der Angemessenheitsschwelle der Europäischen Mindestlohnrichtlinie
21. Nov 2024

Resturlaub: Worauf Arbeitgeber achten sollten

Urlaubsansprüche verjähren nur bei regelmäßigen Hinweisen darauf – Erinnerungen dokumentieren
19. Nov 2024

Den Weg in die eigene Praxis gut vorbereiten

Wieder zwei Plätze zu gewinnen für das Praxisgründerseminar Österreich Anfang Februar 2025 – Einsendeschluss 15. Dezember 2024
18. Nov 2024

Etablierung eines positiven, vertrauensvollen Arbeitsumfelds

BZÄK-Statement zur Bindung von Mitarbeiterinnen und Mitarbeitern in Zahnarztpraxen
14. Nov 2024

Führung und Kommunikation in der Zahnarztpraxis

Neues Buch „Das ICH im WIR – wie Miteinander gelingt“ von Dr. Karin Uphoff
12. Nov 2024

Muss ich eigentlich validieren?

Mathias Lange gibt Antworten auf die wichtigsten Fragen rund um die Validierung
11. Nov 2024

Fachkräfte finden und binden dank digitaler Praxis-Tools?

Im Interview: Zahnärztin Michaela Sehnert liefert Tipps, dem Fachkräftemangel zu begegnen