Praxis

Schluss mit den Mythen

Am 25. Mai ist die Datenschutz-Grundverordnung (DSGVO) genau ein Jahr wirksam. Zeit, den kursierenden Mythen Fakten entgegenzustellen. Die Datenschutzbeauftragte Heike Mareck aus Dortmund beantwortet häufig gestellte Fragen.

 Im März erhielt ich eine E-Mail mit einer Vorladung ins Polizeipräsidium München – angeblich wegen eines Verstoßes gegen das Bundesdatenschutzgesetz. Ich habe darauf nicht reagiert. War das falsch?

Heike Mareck: Nein, denn es handelte sich wohl um eine Fake-E-Mail. Sollten auch andere eine solche E-Mail erhalten haben, gilt: Öffnen Sie in keinem Fall den Anhang (bezeichnet als „Unterlagen“)! Dieser Anhang ist virenverseucht!
Das Bayerische Landeskriminalamt empfiehlt, die E-Mail im Original aufzubewahren und bei der zuständigen Polizeidienststelle Anzeige zu erstatten. Dies bleibt aber Ihnen überlassen. Im Zweifelsfall kann mit einem Anruf auf der jeweiligen Polizeiinspektion zweifelsfrei geklärt werden, ob es sich um eine echte oder um eine gefälschte Vorladung handelt. Grundsätzlich werden Vorladungen der Bayerischen Polizei mit Briefpost verschickt oder persönlich überbracht.

 Ist ein SSL-Zertifikat für eine Zahnarztpraxis wirklich Pflicht?

Für Zahnarztpraxen, die auf ihrer Website ein Kontaktformular, Bestell-, Online-Widerrufsformulare sowie Newsletter-Anmeldungen haben, ist das SSL-Zertifikat bereits seit Anfang 2016 Pflicht (§ 13 Abs. 7 TMG). Das haben viele Inhaber versäumt, kann allerdings abmahnfähig werden. Bei der Nutzung eines Kontaktformulars werden personenbezogene Daten nach der DSGVO verarbeitet. Und jede Verarbeitung von personenbezogenen Daten braucht eine Rechtsgrundlage. Hier kommen „wirtschaftliche Interessen“ in Betracht für die Erhebung von personenbezogenen Daten durch Kontaktformulare auf Ihrer Website.
Fest steht: Patientendaten dürfen nur verschlüsselt elektronisch übermittelt werden. Zudem sind die Daten nicht nur gegen Ausspähen, sondern auch gegen Verlust zu schützen. Ein ständiges Back-up einzurichten, ist daher unerlässlich.
Praxishinweis: Ob die Verbindung eine gesicherte SSL-Verbindung ist, können Sie mittels der Adresszeile des Browsers prüfen: Der verschlüsselte Aufruf ist erkennbar an der Angabe „https“. Wenn nur „http“ dort steht, ist kein SSL-Zertifikat vorhanden. Gibt man zur Überprüfung „https“ in die Browserleiste ein und es gibt kein SSL-Zertifikat, erscheint eine Fehlermeldung. Zudem erscheint bei einem SSL-Zertifikat neben der Adressleiste des Webbrowsers ein „Schloss-Symbol“. Mit einem Klick darauf erhalten Sie detaillierte Informationen über das verwendete SSL-Zertifikat und den Betreiber der Webseite. Die Adressleiste des Webbrowsers färbt sich dann (teilweise) grün.

 Darf ich als leitende Praxis- oder Personalmanagerin die Position der Datenschutzbeauftragten übernehmen?

 Unter anderem folgende Mitarbeiter sollten nicht als Datenschutzbeauftragte benannt werden: Geschäftsführer, Personalleiter, Leiter IT. Da die Aufsichtsbehörden einen Interessenkonflikt sehen könnten, sollte sich der Praxisinhaber auch nicht selbst als Datenschutzbeauftragter benennen. Dies ergibt sich aus Art. 37 Abs. 6 DSGVO in Verbindung mit § 38 BDSG, die eindeutig von einem Beschäftigungsverhältnis oder Dienstleistungsvertrag zum Verantwortlichen ausgehen.
Praxishinweis: Benennen Sie einen Internetaffinen Mitarbeiter in Ihrer Zahnarztpraxis.

 Wie erstelle und verwalte ich die zahlreichen Passwörter der Praxis am besten?

In den Top Ten der beliebtesten deutschen Passwörter befinden sich „Hallo“, „Password“ und „Schatz“. Kein Wunder, dass Hacker diese zuerst ausprobieren. Unter www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html erhalten Sie wichtige Tipps zum Erstellen sicherer Passwörter und erfahren, was eine „Zwei-Faktor-Authentifizierung“ ist, wie sie funktioniert und für höhere Sicherheit sorgen kann.

 Was kann ich tun, wenn ich zu viele Passwörter habe?

 Hier kann Ihnen ein Passwort-Manager helfen. Das sind Programme, die Passwörter und Benutzernamen mittels Verschlüsselung und eines komplexen Masterpassworts verwahren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt unter anderem den kostenlosen Passwort-Manager Keepass (https://keepass.info).
Sind Sie unsicher, ob persönliche Zugangsdaten bereits von Cyber-Kriminellen genutzt werden, gibt es im Internet unterschiedliche Portale, mit denen man das checken kann. Das BSI nennt hier das deutschsprachige Angebot der HPI Identity Leak Checker (https://sec.hpi.de/ilc) und den internationalen Anbieter haveibeenpwned.com (https://haveibeenpwned.com). Wichtig: Zur Qualität und Aktualität der dort hinterlegten Daten kann man nichts sagen.

 Stimmt es, dass ich als Zahnarzt immer einen Datenschutzbeauftragten benötige, da nach Art. 37 Abs. c DSGVO Gesundheitsdaten als besonders sensibel anzusehen sind!

Das ist so nicht ganz richtig, denn Erwägungsgrund 91 privilegiert Ärzte und Rechtsanwälte in besonderer Form, sofern sie als einzelner Arzt handeln. In diesen Fällen wird die Verarbeitung personenbezogener Daten ausdrücklich nicht als umfangreich gewertet. Sollte aber die Verarbeitung von Patientendaten über den üblichen Umfang hinausgehen, ist auch dann, wenn nicht regelmäßig mehr als zehn Personen ständig mit der Datenverarbeitung nach § 38 Abs. 1 BDSG betraut sind, ein interner/externer Datenschutzbeauftragter zu benennen und zu melden.
Praxishinweis: Sie kommen zu dem Ergebnis, dass Sie doch einen internen/externen Datenschutzbeauftragten brauchen, trauen sich aber nicht mehr, ihn bei der Aufsichtsbehörde zu melden? Keine gute Idee! Melden Sie in jedem Fall. Die Alternative ist nämlich, dass die Aufsichtsbehörde ein Bußgeld wegen des fehlenden Datenschutzbeauftragten verhängt.

Weiterhin sind zusätzlich einige Mythen über die DSGVO im Umlauf. Hier die Fragen und die Fakten:

 Mythos oder Fakt? Es gibt keine Kontrollen und es wird auch keine geben.

Das ist falsch. So verstärkte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) Ende 2018 seine Prüfaktivitäten. Im Mittelpunkt stand unter anderem der IT-Schutz in Arztpraxen. Dabei ging es vor allem um die Ransomware. Das ist eine Schadsoftware, durch die der Zugriff auf Daten gesperrt und anschließend ein Lösegeld gefordert wird, um die Daten wieder im ursprünglichen Zustand verfügbar zu machen. Das BayLDA sieht gerade im medizinischen Bereich solche Angriffe wegen des Zugriffs auf Patienten- und Behandlungsdaten besonders kritisch. Man entschied sich daher, Ärzte zum Umgang mit und zur Prävention von Angriffen mittels Verschlüsselungstrojaner zu kontrollieren. Es kann daher nicht ausgeschlossen werden, dass Zahnarzt- und KFO-Praxen in 2019 ebenfalls geprüft werden – und das nicht nur in Bayern, sondern auch durch die jeweiligen Aufsichtsbehörden in den anderen Bundesländern.
Praxishinweis: Die Kontrolle erfolgte mittels eines Fragebogens mit mehreren Ankreuzmöglichkeiten, abzurufen, unter www.lda.bayern.de/de/kontrollen.html. Die Aufsichtsbehörden geben meist eine Frist zur Stellungnahme ab. Keine Antwort zu geben, ist hier unklug. Halten Sie sich an die Frist!

 Mythos oder Fakt? Wir sind eine Einzelpraxis, haben keine Website und brauchen daher kein Verzeichnis der Verarbeitungstätigkeiten.

Nein! Jeder Verantwortliche muss das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO führen. Denn auch in einer Zahnarztpraxis, die vielleicht nur eine Mitarbeiterin hat, erfolgt regelmäßig die Verarbeitung von Patientendaten und anderen Daten (Labor, Röntgen etc.).
Praxishinweis: Das Verzeichnis der Zahnarztpraxis wird nur der Aufsichtsbehörde vorgelegt, damit die Verarbeitungsvorgänge kontrolliert werden können. Daher gehört es in keinem Fall auf die Website!

Ausblick
In diesem Jahr wird ein Schwerpunkt der Aufsichtsbehörden sicherlich bei der Frage nach der IT-Sicherheit in der Zahnarztpraxis liegen. Sollten Sie sich noch nicht mit den technisch-organisatorischen Maßnahmen beschäftigt haben, sollte dies auf Ihrer Agenda stehen. Überprüfen Sie auch, falls Sie eine Website betreiben, die dort hinterlegten Datenschutzhinweise. Hier fallen Fehler und Unterlassungen schnell auf.

Die Fragen stellte Stefan Grande.

20827082068333206833420683352082709 2082710 2068338
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare