Die EU-Datenschutzgrundverordnung und die ab 25. Mai 2018 verbindlichen Anforderungen an Datenschutz und Datensicherheit sorgen derzeit für viele Diskussionen und Verunsicherung in Zahnarztpraxen und Laboren. Das Problem: Viele Dinge sind auch Auslegungssache. Dr. Robert Kazemi, Rechtsanwalt aus Bonn und langjähriger Experte zum Thema Datenschutz, gibt im Interview Antwort auf häufige Fragen und Hinweise, mit denen Praxis und Labor auf der sicheren Seite sind. (Das Interview wurde am 30. April 2018 zu Frage 2 wegen aktueller Informationen aktualisiert, Anm.d.Red.)

Herr Dr. Kazemi, bei vielen Anforderungen aus der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) kommt von Zahnärzten immer die Frage: „Und wo steht das im Gesetz?“ – Auf welche Gesetze und Verordnungen beziehen sich denn die neuen Anforderungen und was muss außer den Gesetzestexten selbst noch für die praktische Umsetzung beachtet werden?

Dr. Robert Kazemi: Die zentralen gesetzlichen Bestimmungen finden sich in der EU-DSGVO. Für den Zahnarzt sind dabei vor allem die Bestimmungen in Artikel 9 (Verarbeitung von Gesundheitsdaten). Artikel 12 bis 15 (Informations- und Auskunftspflichten), Artikel 30 (Verarbeitungsverzeichnis), Artikel 32 (Sicherheit der Verarbeitung) und gegebenenfalls Artikel 37 (Datenschutzbeauftragter, DSB) von Bedeutung.

Daneben sind die Bestimmungen des neuen Bundesdatenschutzgesetzes, kurz BDSG, zu beachten. Hier sind es vor allem Paragraf 22 Absatz 1 (Verarbeitung von Gesundheitsdaten durch ärztliches Personal), Paragraf 26 (Beschäftigtendatenschutz), Paragraf 34 (Ausnahmen von der Auskunftspflicht) und Paragraf 38 (Sonderregelungen zum Datenschutzbeauftragten). Soweit die Verarbeitung von Daten über gesetzlich versicherte Patienten betroffen ist, sind zudem die Sonderschutzregelungen bei der Verarbeitung von Sozialdaten im Sozialgesetzbuch (SGB) X (Paragrafen 67a ff. SGB X neue Fassung) und im SGB V zu beachten.

Vorsicht bei Verzicht auf DSB

Die Bundeszahnärztekammer hat am 18. April 2018 über eine Vereinbarung mit den Landesdatenschutzbeauftragten berichtet, nach der Praxen mit weniger als zehn Mitarbeitern keinen Datenschutzbeauftragten brauchen. Können sich Praxen einfach darauf verlassen? Oder gibt es Besonderheiten, bei denen man auch bei weniger als zehn Mitarbeitern einen DSB benennen muss?

Kazemi:(aktualisierte Antwort) Ich teile diese Auffassung nicht. Sie entspricht auch nicht der Stellungnahme der deutschen Datenschutzkonferenz. Hier heißt es „Erfolgt eine Verarbeitung von Patienten- oder Mandantendaten durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufs oder Rechtsanwalt, handelt es sich regelmäßig nicht um eine die Benennungspflicht auslösende umfangreiche Datenverarbeitung. Unter Berücksichtigung der Umstände des Einzelfalls und der konkreten Elemente einer umfangreichen Verarbeitung im Sinne des ErwGr. 91 – beispielsweise bei einer Anzahl von Betroffenen, die erheblich über den Betroffenenkreis eines durchschnittlichen, durch ErwGr. 91 Satz 4 privilegierten Einzelarztes hinaus geht – kann eine umfangreiche Verarbeitung gegeben sein, sodass ein DSB zu benennen ist. Ungeachtet dessen ist die Benennung generell zu empfehlen, um die Einhaltung der datenschutzrechtlichen Bestimmungen zu erleichtern und damit gegebenenfalls aufsichtsbehördliche Maßnahmen zu vermeiden.“

Ganz aktuell hat sich die DSK in ihrer Sitzung am 26. April 2018 erneut zu dieser Problematik geäußert. Hier heißt es: „Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) beziehungsweise Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker beziehungsweise sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Artikel 37 Absatz 1 lit. c DS-GVO auszugehen – in diesen Fällen ist unter Berücksichtigung von Punkt 3 dann kein DSB zu benennen, wenn weniger als zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.“

Dies könnte für ein generelles Aufatmen sprechen, ginge die Entschließung nicht textlich weiter. Unter Ziffer 3 heiß es nämlich: „Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) beziehungsweise Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker beziehungsweise sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgenabschätzung vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen. Dies kann neben einer umfangreichen Verarbeitung (zum Beispiel große Praxisgemeinschaften), die ohnehin nach Artikel 37 Absatz 1 lit. c DS-GVO zu einer Benennungspflicht führt, beispielsweise beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen, der Fall sein. Der Datenschutzbeauftragte ist damit auch dann zu benennen, wenn weniger als zehn Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben.“

Weniger als zehn Mitarbeitern nicht automatische Befreiung

„Wasch mir den Pelz, aber mach mich nicht nass“, möchte man da sagen. Geklärt hat die DSK mit ihrer Stellungnahme also nichts. Sie hat jedoch klargestellt, dass – entgegen der Aussage der Bundeszahnärztekammer – auch für Zahnarztpraxen mit weniger als zehn Mitarbeitern eine Verpflichtung zur Bestellung eines DSB bestehen kann. Die DSK orientiert sich dabei offensichtlich weiter an den Erwägungsgründen der DSGVO und lässt die Zahnärzte mehr oder minder im Regen stehen.

Größeren Gemeinschaftspraxen ist daher weiterhin zu empfehlen, die Problematik mit der für sie zuständigen Aufsichtsbehörde zu klären und eine verbindliche Entscheidung herbeizuführen. Die Aufsichtsbehörden sind insoweit zu Beratung verpflichtet und daher gehalten, Ihnen hierzu eine verbindliche Auskunft zu erteilen. Diese kann indes immer nur im Einzelfall erfolgen. Es empfiehlt sich, vor Bestellung eines DSB zeitnah vor dem 25. Mai derartige Anfragen zu formulieren oder über versierte Berater an die Behörden richten zu lassen; denn solange Unsicherheit besteht und eine Antwort nicht vorliegt, kann unter Berücksichtigung der neuen Stellungnahme jedenfalls kein vorsätzlicher Verstoß gegen Art. 37 DSGVO angenommen werden; nur ein solche zöge indes die Ordnungsgelder der DSGVO nach sich.

Beratungsangebot der Behörden nutzen

Wer hier jedoch „Vogel Strauss-Politik““ betreibt, dem könnte Ziffer 3 des Beschlusses vom 26. April 2018 teuer zu stehen kommen. Daher meine klare Empfehlung: Handeln Sie und nehmen Sie das Beratungsangebot und die Beratungspflicht der Aufsichtsbehörden in Anspruch!

Dr. Robert Kazemi ist Partner der Sozietät Kazemi & Partner Rechtsanwälte PartG in Bonn. Er arbeitet seit Jahren auf den Gebieten des Wettbewerbs- und Datenschutzrechts. Er ist Autor des Fachbuches „Das neue Datenschutzrecht in der anwaltlichen Beratung“ sowie zahlreicher weiterer Publikationen zum Thema Datenschutzrecht.“ (Foto: Kazemi/Apart Fotodesign – Alexander Pallmer)

Zahnarztpraxis ist kein Handwerksbetrieb

Wenn es um die DSGVO in der Zahnarztpraxis geht, wird auch schon mal auf Hilfestellungen und Empfehlungen für Selbstständige, Kleinbetriebe und Handwerksbetriebe verwiesen, an denen man sich orientieren könne. Ist das eine gute Idee?

Kazemi: Die Idee sehe ich nicht als zielführend an. In der Zahnarztpraxis geht es um die Verarbeitung sogenannter besonderer Kategorien personenbezogener Daten (Artikel 9 DSGVO). Diese unterscheidet sich, sowohl was die Rechtsgrundlagen der Verarbeitung angeht, als auch hinsichtlich der erforderlichen Sicherheitsvorkehrungen, erheblich von der Verarbeitung in einem klassischen Handwerksbetrieb. Zudem müssen stets auch die Besonderheiten des zahnärztlichen Berufsrechts und des Sozialgesetzbuchs beachtet werden.

Welche Fortbildung oder gegebenenfalls Zertifizierung braucht ein Mitarbeiter, der als DSB benannt werden soll?

Kazemi: Ein Datenschutzbeauftragter muss über vertiefte und nachgewiesene Kenntnisse des für den Verantwortlichen maßgeblichen Datenschutzrechts verfügen. Insoweit muss er sowohl in den Fragen der DSGVO, als auch in den Bereichen BDSG-Neu, SGB V und X sowie zahnärztliches Berufsrecht, besonderes geschult sein. Derartige Schulungen können, so viel ist klar, nicht an einem Tag erfolgen; auch Wochenendseminare, die sich nicht konkret auf den DSB in einer Zahnarztpraxis beziehen, sind kaum als ausreichend anzusehen.

Der Praxisinhaber zählt mit

Stichwort Mitarbeiterzahl und DSB: Immer wieder gefragt wird, warum der Praxisinhaber/Laborinhaber/Geschäftsführer nicht mitzählt und wo das denn stünde?

Kazemi: Der Praxisinhaber zählt mit, jedenfalls nach Auffassung einiger Datenschutzaufsichtsbehörden. Hier kann zum Beispiel auf eine aktuelle Stellungnahme aus Schleswig-Holstein verwiesen werden.

Müssen Zahnärzte auch mit ihrem zahntechnischen Labor und vice versa eine Vereinbarung über Auftragsdatenverarbeitung schließen?

Kazemi: Nach meiner Meinung schon. Der Zahntechniker agiert als Auftragsverarbeiter des Zahnarztes, da er auf dessen Weisung tätig wird. Der Zahnarzt allein bestimmt über die Zwecke der zahntechnischen Werkleistung, so dass das Vorliegen einer Auftragsverarbeitung nahe liegt. Rechtsprechung existiert hierzu indes bislang nicht; jedoch legt auch der Umstand, dass der Zahnarzt zivil- und haftungsrechtlich allein für die Zahntechnik verantwortlich ist, die Stellung des zahntechnischen Labors als Auftragsverarbeiter des Zahnarztes nahe. Mit Blick auf die strafrechtlichen Bestimmungen in Paragraf 203 Strafgesetzbuch sollte ohnehin eine schriftliche Vereinbarung vorliegen, weil nur diese die Übermittlung von Patientendaten an das Labor strafrechtlich rechtfertigen kann.

Wer oder was zählt zu externen Dienstleistern/Dienstleistungen, für die man eine Vereinbarung schließen muss? Was ist mit dem Außendienst/Servicetechniker des Depots?

Kazemi: Überall dort, wo ein externer Dienstleister mit personenbezogenen Daten in Kontakt kommt, die beim Verantwortlichen verarbeitet werden, liegt die Erforderlichkeit des Abschlusses einer Auftragsverarbeitungsvereinbarung nahe. Also zum Beispiel bei IT-Dienstleistern, gegebenenfalls auch bei Servicetechnikern.

Etablieren von Sicherheitsmaßnahmen ist besondere Herausforderung

Und wer kontrolliert das dann alles?

Kazemi: Die Kontrolle obliegt der jeweils zuständigen Aufsichtsbehörde, gegebenenfalls auch einem bestellten betrieblichen Datenschutzbeauftragten.

Welche der neuen Vorgaben finden Sie für die Zahnarztpraxis am schwierigsten umzusetzen?

Kazemi: Ich denke, die größte Herausforderung liegt in Artikel 32 DSGVO und der damit verbundenen Pflicht zur Etablierung von Sicherheitsmaßnahmen nach dem Stand der Technik. Vor dem Hintergrund der Verarbeitung von Gesundheitsdaten sind die Anforderungen hier besonders hoch; der Zahnarzt wird hier in der Regel auf technischen Sachverstand zurückgreifen müssen.

Fachbeiträge zur EU-DSGVO

In einer Reihe von Beiträgen erläutert Rechtsanwalt Dr. Robert Kazemi die Grundlagen und Auswirkungen der neuen, ab 25. Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) für Zahnarztpraxen.
Teil 1: Wer künftig einen Datenschutzbeauftragten braucht
Teil 2: Daten: Wie Patienten informiert werden müssen
Teil 3: Jede Praxis braucht Verzeichnis über Daten-Verarbeitungstätigkeiten
Teil 4: Sichere Datenverarbeitung nach dem Stand der Technik
Teil 5: Wenn externe Dienstleister in der und für die Praxis tätig werden