Es sind ab Mitte März nur noch gut 70 Tage, dann wird die EU-Datenschutzgrundverordnung (DSGVO) wirksam und löst das bisherige Bundesdatenschutzgesetz (BDSG 2009) als zentrales Datenschutzgesetz in Deutschland ab. 70 Tage, die auch in der Zahnarztpraxis dringend genutzt werden sollten, um erforderliche Änderungen in der Praxisorganisation umzusetzen und sich auf die Neuregelungen einzustellen. Denn die ab 25. Mai 2018 geltende DSGVO findet auch auf den Zahnarzt und seine Zahnarztpraxis Anwendung.

Warum aber ist die Beachtung der neuen Gesetzeslage so entscheidend? Welche Handlungspflichten werden begründet und warum bedingen sie eine Neuausrichtung des zahnärztlichen Berufsalltags?

Hohe Ordnungsgelder bei Verstößen

Ein Blick in Artikel 83 DSGVO bringt hier schnell Klarheit: Können Verstöße gegen das neue Datenschutzrecht doch mit Ordnungsgeldern von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes des vergangenen Geschäftsjahres geahndet werden. Ja genau, hier wird von Umsatz, nicht etwa von Gewinn gesprochen, und ja, etwaige Ordnungsgelder können den zahnärztlichen Gewinn bei Weitem übersteigen und damit existenzgefährdenden Charakter haben.

Vielleicht ist gerade dieses Ordnungsgeldrisiko ein Grund dafür, dass in den vergangenen Monaten zahlreiche Unternehmen gegründet wurden, die vermeintliche Datenschutzexpertise verkaufen und mit der Angst Geld verdienen wollen. Sicherlich sind nicht all diese Unternehmen unseriös. Sicher ist aber auch: Datenschutzexpertise erlangt man nicht in wenigen Wochen oder in Wochenendseminaren. Das Datenschutzrecht ist vielmehr ein sehr komplexes Rechtsgebiet, welches – neben umfangreichen Rechtskenntnissen – vor allem technischen Sachverstand und Expertise verlangt. Nicht jedes Angebot ist daher seriös, nicht immer werden erforderliche Leistungen angeboten. Jedem Zahnarzt ist daher anzuraten, die sicherlich zuhauf in der Praxis eingehenden Angebote kritisch zu prüfen und insbesondere die Expertise der Anbietenden zu hinterfragen.

Um Ihnen die Entscheidung in diesem Punkt zu erleichtern und Sie für die zukünftigen Problemlagen zu sensibilisieren, werden nachfolgend einige der kritischen Punkte, die es bei der Umsetzung des Praxisalltages nach Wirksamwerden der DSGVO zu beachten gilt, näher beleuchtet.

Regelungen rund um den Datenschutzbeauftragte

Muss jeder Zahnarzt einen Datenschutzbeauftragten bestellen? In vielen Stellungnahmen zur DSGVO und ihrer Umsetzung im (zahn)ärztlichen Alltag liest man, ausnahmslos jeder Zahnarzt sei zukünftig zur Bestellung eines betrieblichen Datenschutzbeauftragten (DSB) für seine Zahnarztpraxis verpflichten. Dies gelte unbeschadet der in Zahl der in der Praxis tätigen Mitarbeiter und zahnärztlichen Kolleginnen und Kollegen und treffe daher auch den in der Einzelpraxis tätigen Zahnarzt. Dies – insoweit kann Entwarnung gegeben werden – stimmt so nicht. Richtig ist: Anders als das alte Bundesdatenschutzgesetz (BDSG 2009) kennt die neue DSGVO keine Personengrenze, ab deren Erreichen zwingend ein betrieblicher Datenschutzbeauftragter zu bestellen ist.

Doch woher kommt die Aussage, jeder Zahnarzt sei zur Bestellung eines DSB verpflichtet? Ein Blick in Artikel 37 DSGVO hilft. Hier heißt es nämlich, dass derjenige zur Bestellung eines DSB verpflichtet ist, dessen Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO besteht. Zu diesen Daten zählen zweifelsohne Gesundheitsdaten, die in der Zahnarztpraxis verarbeitet werden müssen, um Patienten überhaupt behandeln zu können.

In einer Reihe von Beiträgen erläutert Rechtsanwalt Dr. Robert Kazemi die Grundlagen und Auswirkungen der neuen, ab 25. Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) für Zahnarztpraxen.
Teil 1: Wer künftig einen Datenschutzbeauftragten braucht
Teil 2: Daten: Wie Patienten informiert werden müssen
Teil 3: Jede Praxis braucht Verzeichnis über Daten-Verarbeitungstätigkeiten
Teil 4: Sichere Datenverarbeitung nach dem Stand der Technik
Teil 5: Wenn externe Dienstleister in der und für die Praxis tätig werden

Verarbeitung von Gesundheitsdaten

Auch wenn die Verarbeitung von Gesundheitsdaten damit die Kerntätigkeit der Zahnarztpraxis darstellt, führt dies – anders als vielfach behauptet – nicht per se und unmittelbar in die Verpflichtung zur Bestellung eines DSB. Maßgeblich ist vielmehr, ob sich die Verarbeitungstätigkeit als „umfangreich“ darstellt. Die Artikel 29-Datenschutzgruppe, die ab dem 25. Mai 2018 als sogenannter europäischer Datenschutzausschuss fungieren und die Auslegung der DSGVO in dieser Funktion maßgeblich beeinflussen wird, führt aus, dass für die Klärung der Frage, ob sich von einer umfangreichen Verarbeitung sprechen lässt, die folgenden Faktoren zu berücksichtigen sind:

• die Zahl der betroffenen Personen – entweder als bestimmte Zahl oder als Anteil an der maßgeblichen Bevölkerung
• das Datenvolumen und/oder das Spektrum an in Bearbeitung befindlichen Daten
• die Dauer oder Permanenz der Datenverarbeitungstätigkeit
• die geografische Ausdehnung der Verarbeitungstätigkeit

Dabei soll sich die Verarbeitung von Patientendaten durch einen einzelnen Arzt/Zahnarzt gerade nicht als umfangreich darstellen. Warum, dies lässt die Artikel 29-Datenschutzgruppe offen; auch der Gesetzgeber, der in der Erwägungsgründen der DSGVO eine ähnliche Formulierung findet, gibt keine nähere Begründung. Er stellt jedoch klar, dass die Privilegierung gleichsam für jeden sonstigen Angehörigen eines Gesundheitsberufes gelten soll.

Grenze für die Einzelpraxis bei zehn Personen

Hieraus lässt sich der Schluss ziehen, dass jedenfalls der allein tätige Zahnarzt in einer Einzelpraxis keine umfangreiche Verarbeitung vollzieht und damit gesetzlich nicht zur Bestellung eines DSB verpflichtet werden kann. Dabei muss der Zahnarzt nicht auf Hilfspersonal verzichten, um von der Befreiung zu profitieren. Solange er nicht zusammen mit anderen Zahnärzten oder Angehörigen eines anderen Gesundheitsberufes, sei es in Kooperation oder im Angestelltenverhältnis agiert, ist der Einzelzahnarzt nach der DSGVO nicht zur Bestellung eines DSB verpflichtet. Dies gilt, solange er nicht insgesamt mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt (Paragraf 38 Absatz 1 BDSG-Neu). Bei der Bestimmung dieser Personenzahl ist – wie bereits im BDSG 2009 – der Praxisinhaber selbst nicht mitzuzählen. Mitzuzählen sind indes alles sonst in der Praxis tätigen und mit Patienten und ihren Daten in Kontakt kommenden Mitarbeiter, also ZFA, ZMV, ZFM, Dentalhygienikerinnen, Empfangspersonal, Sekretärinnen und sonstige Mitarbeiter. Erreicht die Zahl dieser Personen (unbeschadet ihres Beschäftigungsstatus) den Faktor 10 oder übersteigt diesen, ist auch der Einzelzahnarzt zur Bestellung eines DSB verpflichtet.

Größere Praxen brauchen einen DSB

Dem Wortlaut der Verordnung nach zur Bestellung verpflichtet sind größere Zusammenschlüsse von Zahnärzten. Dort, wo der Einzelzahnarzt also einen oder mehrere angestellte Zahnärzte beschäftigt oder mit anderen Kolleginnen und Kollegen in einer Berufsausübungsgemeinschaft agiert, besteht ebenso eine Verpflichtung zur Bestellung eines betrieblichen DSB.

Eine Verpflichtung kann darüber hinaus auch Praxisgemeinschaften treffen. Denn diese können als sogenannte gemeinsame Verantwortliche nach Artikel 26 DSGVO zu betrachten sein, was im Einzelfall näher zu prüfen ist. Wenn eine gemeinsame Verantwortung vorliegt, resultieren hieraus nach Artikel 26 Absatz 1 Satz 2, Absatz 2 und 3 DSGVO weitergehende Verpflichtungen. So sind die gemeinsam Verantwortlichen verpflichtet, in einer hierauf bezogenen Vereinbarung festzulegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt. Das Nichtvorliegen der Vereinbarung ist gemäß Artikel 83 Absatz 4 lit. a) DSGVO bußgeldbewehrt.

Vereinbarung bei Praxisgemeinschaften

Inhaltlich muss die Vereinbarung eine Beschreibung der jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen (Artikel 26 Absatz 2 S. 1 DSGVO) enthalten. Hierdurch soll sichergestellt werden, dass „selbst in komplexen Datenverarbeitungsumfeldern, in denen verschiedene für die Verarbeitung Verantwortliche an der Verarbeitung personenbezogener Daten beteiligt sind, die Verantwortung für die Einhaltung der Datenschutzbestimmungen und für mögliche Verletzungen dieser Bestimmungen klar zugewiesen wird, um eine Beeinträchtigung des Schutzes personenbezogener Daten oder die Entstehung von ,negativen Kompetenzkonflikten‘ beziehungsweise von Schlupflöchern zu vermeiden, die dazu führen, dass bestimmte Verpflichtungen oder Rechte nach Maßgabe der Richtlinie von keiner der Parteien erfüllt bzw. gewährleistet werden.“

Dies erfordert Informationen zu den verschiedenen Phasen und Akteuren der Verarbeitung, ebenso wie eine Klarstellung dazu, welcher Verantwortliche für welchen Teil einer Verarbeitung zuständig ist. Dies erfordert Regelungen über die Art und Weise, in der die gemeinsame Verantwortung ausgeübt wird beziehungsweise werden soll; die tatsächlichen Umstände sind zu berücksichtigen, die Vereinbarung muss also die Verarbeitungsrealität widerspiegeln. Praxisgemeinschaftsverträge können insoweit um eine Vereinbarung zur gemeinsamen Verantwortung zu ergänzen sein; hier können dann auch Bestimmungen zur Bestellung eines DSB getroffen werden.

Was ein Datenschutzbeauftragter leisten muss

Fachwissen: Zum Datenschutzbeauftragten darf nur bestellt werden, wer die notwendige Fachkunde besitzt (Artikel 37 Absatz 5 DSGVO), die „mit der Sensibilität, der Komplexität und der Menge der Daten, die eine Einrichtung verarbeitet, im Einklang stehen“ muss. Der Datenschutzbeauftragte bedarf insoweit eines hohen Maßes an Fachkompetenz und Erfahrung sowohl im einzelstaatlichen als auch im europäischen Datenschutzrecht und in der diesbezüglichen Praxis und muss über ein umfassendes Verständnis der DSGVO, der durchgeführten Datenverarbeitungsvorgänge, der betreffenden Informationssysteme sowie der Datensicherheits- und Datenschutzerfordernisse des Zahnarztes verfügen.

Unabhängigkeit: Da der Datenschutzbeauftragte bestimmte Kontrollfunktionen ausüben soll, darf er nicht in die Situation kommen, dass er sich selbst kontrollieren muss. Derartige Interessenkonflikte sind nach Artikel 38 Absatz 6 Satz 2 DSGVO zu vermeiden. Sie bestehen beispielsweise bei der gleichzeitigen Tätigkeit des Datenschutzbeauftragten als Personalverantwortlichem oder Verantwortlichem für die Praxis-IT. Ebenso ungeeignet sind (Mit-)Inhaber.

Kündigungsschutz: Der verpflichtend bestellte Datenschutzbeauftragte genießt einen besonderen Kündigungsschutz (Paragraf 38 Absatz 2 i.V.m. Paragraf 6 Absatz 4 BDSG-Neu) und kann, solange er seine Funktion innehat, lediglich außerordentlich (Paragraf 626 BGB) gekündigt werden. Dieser Kündigungsschutz bleibt auch nach einer Abberufung als betrieblicher Datenschutzbeauftragter für ein weiteres Jahr nach der Beendigung der Bestellung bestehen. Soweit es sich bei dem betrieblichen Datenschutzbeauftragten um einen Angestellten handelt, stellt die Abberufung als Datenschutzbeauftragter zudem eine Teilkündigung des Arbeitsvertrages in Bezug auf die zusätzlichen arbeitsvertraglichen Pflichten durch die Bestellung als Datenschutzbeauftragter dar.

Verschwiegenheitspflicht: Den Datenschutzbeauftragten trifft nach Artikel 38 Absatz 5 DSGVO die Verpflichtung zur Wahrung der Geheimhaltung oder der Vertraulichkeit. Diese Verpflichtung wird in Paragraf 6 Absatz 6 BDSG-Neu dahingehend konkretisiert, dass der Datenschutzbeauftragte, der bei seiner Tätigkeit Kenntnis von Daten erhält, für die dem Verantwortlichen aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, in den Schutzbereich des Zeugnisverweigerungsrechts einbezogen ist.

Interner oder externer betrieblicher Datenschutzbeauftragter: Artikel 37 Absatz 6 DSGVO stellt klar, dass der Datenschutzbeauftragte sowohl ein Angestellter beim Verantwortlichen (interner Datenschutzbeauftragter) als auch ein auf Grundlage eines Dienstvertrages tätiger sogenannter externer Datenschutzbeauftragter sein kann. In letzterem Fall kann es sich beim Beauftragten sowohl um eine natürliche als auch um eine juristische Person handeln. Der mit einem externen Datenschutzbeauftragten zu schließende Dienstvertrag muss so ausgestaltet sein, dass eine unabhängige Erfüllung der gesetzlichen Aufgaben gewährleistet wird. Dies soll durch entsprechende Kündigungsfristen, Zahlungsmodalitäten, Haftungsfreistellungen und Dokumentationspflichten gewährleistet werden.

Was der Datenschutzbeauftragte braucht

Artikel 38 II DSGVO schreibt vor, dass der Datenschutzbeauftragte bei der Wahrnehmung seiner Aufgaben durch den Verantwortlichen zu unterstützen ist und ihm „die für die Erfüllung [seiner] Aufgaben erforderlichen Ressourcen und der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung“ zu stellen sind. Nach den Aussagen der Artikel 29-Datenschutzgruppe beinhaltet dies insbesondere

• eine aktive Unterstützung der Funktion des DSB durch das leitende Management (beispielsweise auf Vorstandsebene)
• die Gewährung von genügend Zeit für die Erfüllung seiner Pflichten. Besonders wichtig ist dies in Fällen, in denen der DSB seiner Arbeit in Teilzeit nachgeht oder der betreffende Mitarbeiter seine Datenschutztätigkeit neben anderen Pflichten wahrnimmt. Andernfalls besteht die Gefahr einer Vernachlässigung der DSB-eigenen Pflichten infolge einander zuwiderlaufender Prioritäten. Über genügend Zeit für die Erledigung der dem DSB obliegenden Aufgaben zu verfügen, ist von größter Wichtigkeit. In Fällen, in denen die DSB-Funktion nicht in Vollzeit geleistet wird, empfiehlt es sich, hierfür einen festen Prozentsatz der Arbeitszeit vorzusehen. Ebenso empfiehlt es sich, die zur Wahrnehmung der Funktion benötigte Zeit sowie die Priorität, die DSB-eigenen Pflichten beizumessen ist, zu ermitteln und von Seiten des DSB (oder der Einrichtung) ein Arbeitsprogramm zu erstellen;
• angemessene Unterstützung durch Finanzmittel, Infrastrukturen (Räumlichkeiten, Einrichtungen, Ausrüstung) sowie gegebenenfalls Personal
• die offizielle Unterrichtung aller Beschäftigten über die Benennung eines DSB, damit dessen Existenz und Funktion einrichtungsweit bekannt sind
• den nötigen Zugang zu anderen Dienststellen wie Personal-, Rechts-, IT-, Sicherheitsabteilung usw., damit DSB unverzichtbare Unterstützung, Anregungen und Informationen von diesen erhalten können
• kontinuierliche Fortbildung: DSB sollte Gelegenheit gegeben werden, sich in Bezug auf Entwicklungen im Bereich des Datenschutzes auf dem aktuellen Stand zu halten. Ziel sollte dabei sein, die Fachkompetenz der DSB kontinuierlich zu erhöhen, und DSB sollten ermuntert werden, an Fortbildungsveranstaltungen über Datenschutz und an sonstigen Formen der beruflichen Weiterbildung (Datenschutzforen, Workshops usw.) teilzunehmen;
• Je nach Größe und Aufbau der Einrichtung kann es erforderlich sein, ein DSB-Team (bestehend aus einem DSB und dessen Mitarbeitern) einzurichten. In solchen Fällen sollten die Zusammensetzung des Teams sowie die Aufteilung der Aufgaben und Zuständigkeiten unter den Mitgliedern klar festgelegt werden. Falls die Funktion des DSB von einem externen Dienstleister wahrgenommen wird, kann ein Team aus für diese Stelle tätigen Personen die Aufgaben eines DSB unter der Verantwortung eines ernannten primären Ansprechpartners für den Kunden in effizienter und entsprechender Weise ausführen.

Aufgaben des Datenschutzbeauftragten und Formalia der Bestellung

Die Aufgaben des Datenschutzbeauftragten sind in Artikel 39 Absatz 1 DSGVO niedergelegt. Hiernach übernimmt der Datenschutzbeauftragte u.a. die Aufgabe der Unterrichtung und Beratung des Verantwortlichen und seiner Beschäftigten und unterstützt den Verantwortlichen bei der Überwachung der internen Einhaltung der Bestimmungen der DSGVO. Im Rahmen seiner Verantwortung ist der Datenschutzbeauftragte u.a. verpflichtet Informationen zur Ermittlung von Datenverarbeitungstätigkeiten zu sammeln, die Einhaltung der Vorgaben bei Datenverarbeitungstätigkeiten zu analysieren und zu kontrollieren sowie den Verantwortlichen zu unterrichten und zu beraten und ihm Empfehlungen zu unterbreiten. Die Artikel 29-Datenschutzgruppe empfiehlt gleichwohl, dass der Verantwortliche – beispielsweise im Vertrag des Datenschutzbeauftragten und auch in an die Beschäftigten, die Unternehmensleitung und etwaige sonstige Interessenträger gerichteten Mitteilungen – die Aufgaben, die des Datenschutzbeauftragten zu erfüllen hat, und deren Umfang genau darlegt.

Ist ein Datenschutzbeauftragter für die Praxis benannt worden, so sind seine Kontaktdaten durch die Praxis zu veröffentlichen und der Aufsichtsbehörde mitzuteilen (Artikel 37 Absatz 7 DSGVO).

Dr. Robert Kazemi, Rechtsanwalt, Bonn

Dr. Robert Kazemi ist Partner der Sozietät Kazemi & Partner Rechtsanwälte PartG in Bonn. Er arbeitet seit Jahren auf den Gebieten des Wettbewerbs- und Datenschutzrechts. Er ist Autor des Fachbuches „Das neue Datenschutzrecht in der anwaltlichen Beratung“ sowie zahlreicher weiterer Publikationen zum Thema Datenschutzrecht.“ (Foto: Kazemi/Apart Fotodesign – Alexander Pallmer)

Titelbild: Den Rise/shutterstock.com