Datenschutz-Grundverordnung

Typische Fragen und Antworten zur DSGVO

In der vergangenen Ausgabe haben wir gezeigt, welche datenschutzrechtlichen Regeln Sie im Rahmen der Datenschutz-Grundverordnung (DSGVO) unbedingt beachten müssen. In diesem Heft geben wir Antworten auf typische Fragestellungen aus der Praxis.

bsvit – stock.adobe.com

Frage: In der Praxis arbeiten zwölf Personen (drei Zahnärzte und acht Fachangestellte – hiervon zwei in Teilzeit – und eine Reinigungsfachkraft). Muss ich einen Datenschutzbeauftragten für meine Praxis bestellen?
Antwort:
Als Grundregel gilt: Sind in einer Praxis ständig zehn oder mehr Personen mit automatisierter Verarbeitung personenbezogener Daten (Patienten-, Gesundheits- und Mitarbeiterdaten etc.) befasst, ist ein Datenschutzbeauftragter zu bestellen. Bestellt werden kann ein interner (betrieblicher) oder ein externer Datenschutzbeauftragter.

Maßgeblich ist nach deutschem Recht die Personenzahl; sowohl Auszubildende als auch die Inhaber der Praxis selbst sind hierbei einzurechnen. Unerheblich ist, ob die Personen in Vollzeit oder Teilzeit beschäftigt sind – die zwei Fachangestellten in Teilzeit sind folglich zwei vollständige Kräfte – und werden nicht lediglich als zwei halbe gezählt. Hingegen werden Reinigungskräfte nicht hinzugerechnet, da sie nicht mit automatisierter Datenverarbeitung befasst sind.

Sollten Zweifel bei der Pflicht zur Bestellung bestehen, empfiehlt es sich immer, bei der für die Praxis zuständigen Landesdatenschutzbehörde nachzufragen.

Frage: Wofür wird eine Einwilligungserklärung des Patienten benötigt?
Antwort: Patientenstammdaten und Gesundheitsdaten, die im Zusammenhang mit der Behandlung der Patienten selbst – also der Erfüllung der Verpflichtungen aus dem Behandlungsvertrag – benötigt werden, dürfen bereits aufgrund einer gesetzlichen Erlaubnis verarbeitet werden; eine besondere (schriftliche) Einwilligung des Patienten ist in diesen Fällen nicht erforderlich. Derzeit überwiegt die Auffassung, dass dies auch für den Fall der ärztlichen Mit- beziehungsweise Weiterbehandlung gelten soll. In jedem Fall muss der Patient über die Datenverarbeitung und die gesetzliche Erlaubnis – also die konkrete Norm – informiert werden.

Eine Einwilligung des Patienten ist allerdings erforderlich, wenn seine Daten bei Dritten (anderen Zahnärzten/Ärzten oder Einrichtungen) erhoben werden und nicht direkt bei ihm. Auch Verarbeitungssituationen, die nicht unmittelbar mit der Erfüllung des Behandlungsvertrags in Verbindung stehen, bedürfen regelmäßig einer Einwilligung im Einzelfall – ein klassisches Beispiel ist das Recall-System, für das eine Einwilligung des Patienten vorliegen muss.

Grundsätzlich gilt: Liegt eine gesetzliche Erlaubnis zur Weitergabe von Daten an Dritte nicht vor, bedarf es einer Einwilligung. Dies ist beispielsweise der Fall, wenn Rezepte an Dritte ausgehändigt werden sollen. Hier muss der Patient immer seine ausdrückliche Einwilligung erklären. Gleiches gilt, soweit eine Weitergabe von Patientendaten an eine private Abrechnungsstelle beabsichtigt ist; auch hier muss der Patient einwilligen, da eine gesetzliche Erlaubnis fehlt. Dort wo eine Einwilligung benötigt wird, ist diese schriftlich zu dokumentieren.

Frage: Darf ich nach der DSGVO noch mit den Patienten, anderen Zahnärzten und Gesundheitseinrichtungen per Fax kommunizieren oder ist das nicht sicher genug?
Antwort: Die Kommunikation per Fax wird auch im Zeitalter der DSGVO immer dann als zulässig angesehen, wenn sichergestellt werden kann, dass die Patienten- und Gesundheitsdaten, die übermittelt werden sollen, ausschließlich vom Patienten beziehungsweise vom zum Empfang bestimmten Zahnarzt eingesehen werden können und nur ihn erreichen.

Vorsicht ist daher geboten, soweit die Übermittlung eines Fax an allgemeine Faxnummern erfolgen soll (etwa die zentrale Nummer größer Gesundheitseinrichtungen und Behörden); hier kann die Praxis in keinem Fall sicherstellen, dass die übermittelten Daten nur von den Personen zur Kenntnis genommen werden, die Kenntnis nehmen sollten und dürfen.
Mit gleicher Vorsicht sollten auch Fälle behandelt werden, in denen Patienten eine Datenübermittlung an eine Telefaxnummer eines Dritten wünschen – wie des Arbeitsplatzes. Da nicht ausgeschlossen werden kann, dass unberechtigte Dritte Kenntnis von den übermittelten Daten erlangen, sollte in einem solchen Fall eine ausdrückliche Einwilligung des Patienten eingeholt werden.

Frage: Ist die E-Mail-Kommunikation nach der DSGVO ausgeschlossen?
Antwort: Die E-Mail-Kommunikation ist selbstverständlich auch zukünftig weiterhin möglich. Weniger die Frage des „Ob“ der Versendung als vielmehr nach dem „Wie“ des Versands ist hier entscheidend: Erfolgt die Kommunikation mittels einer geeigneten Verschlüsselung, wird sie als DSGVO-konform angesehen; als ausreichend gilt hier derzeit wohl eine Transportverschlüsselung nach dem aktuellen Stand des Technik. Wenn Zweifel bestehen, ob die E-Mails transportverschlüsselt versendet werden, hilft zumeist eine Nachfrage bei ihrem IT-Berater.

Es gilt jedoch: Aufgrund der Einordnung der Gesundheitsdaten als besonders sensible personenbezogene Daten (hohes Schutzgut und Schutzniveau!) sollte eine Kommunikation, die Gesundheitsdaten eines Patienten zum Inhalt hat, stets unter Verwendung einer geeigneten Verschlüsselung erfolgen. Dass dies der Fall ist, muss hinreichend dokumentiert werden (Stichwort: technische und organisatorische Maßnahmen).

Prof. Dr. Bernd Halbe
Rechtsanwalt und Fachanwalt für Medizinrecht
Rechtsanwälte Prof. Dr. Halbe, Rothfuß & Partner mbB
50670 Köln
www.medizin-recht.com

22845692283696228369722836982284570 2284571 2283700
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare