Praxisgründer

"Datenschutz ist ein Grundrecht"

Ein Rechnercrash, ein bösartiges Virenprogramm - ohne ausreichende Datensicherung kann daraus eine existentielle Bedrohung für die Praxis werden. Dr. Thomas H. Lenhard kennt sich mit gutem Datenschutz aus, online und offline.

Datenschutz sollte fest in die Praxisabläufe integriert werden. Bei Nichteinhaltung der entsprechenden Regeln drohen Bußgelder und sogar Freiheitsstrafen. Silvano Rebai - Fotolia

Wie hoch ist das Datenschutz-Niveau in Deutschlands Zahnarztpraxen?

Dr. Thomas H. Lenhard: Diese Frage ist nicht pauschal zu beantworten, denn hinsichtlich des Datenschutzniveaus reicht das Spektrum in den Praxen und Zahnkliniken von hervorragend bis „nicht vorhanden“. Jede Praxis unterscheidet sich von der anderen, sei es durch räumliche oder technische Parameter, die Anzahl der Mitarbeiter oder die Art der Praxisorganisation. Da Datenschutz nun aber nicht statisch ist, sondern sich ständig weiterentwickelt, wie wir derzeit am Beispiel der Europäischen Datenschutzgrundverordnung sehen, reicht es auch nicht aus, einmal Maßnahmen des Datenschutzes umzusetzen. Vielmehr muss Datenschutz ebenso wie Qualitätsmanagement als Prozess in die Abläufe einer Praxis integriert werden. Zahlreiche Praxen und Kliniken, die von Gesetzes wegen einen Datenschutzbeauftragten benennen müssen, sind aber nach meiner Kenntnis dieser Verpflichtung bis heute nicht nachgekommen. Es besteht also insgesamt noch großer Nachholbedarf. Selbst wenn viele Praxen und Kliniken beim Thema Datenschutz bereits hervorragend aufgestellt sind.

Muss ich als Zahnarzt auch mein eigener Datenschutzbeauftragter sein?

Es macht wenig Sinn, als seine eigene Kontrollinstanz aktiv zu werden. Daher ist es auch nicht zulässig, als Inhaber oder Geschäftsführer eines Unternehmens, einer Klinik oder einer Praxis selbst als Datenschutzbeauftragter dieser Institution zu agieren. Bei Vorliegen einer solchen Konstellation würde die zuständige Aufsichtsbehörde mit hoher Wahrscheinlichkeit von einer Nicht-Bestellung des Datenschutzbeauftragten ausgehen, was empfindliche Geldbußen zur Folge haben kann. Datenschutzbeauftragter ist ein Beruf. Ein solcher setzt auch eine Ausbildung voraus. Wer als Datenschutzbeauftragter nicht über erforderliche fachliche und sachliche Kenntnisse verfügt, der gilt als nicht bestellt.

Vorsicht: Geschäftemacher

 

Und genau hier lauert ein enormes Haftungsrisiko für Praxisbetreiber: Seit dem Hype um Edward Snowden tummeln sich unzählige Geschäftemacher auf dem Datenschutzmarkt, von denen die meisten nicht über ausreichende Fach- und Sachkenntnisse verfügen dürften. Regelmäßig tauchen dabei Namen auf, die sich in den Vorjahren als Experten für Service-orientierte Architekturen, Objektorientierung, digitale Transformation oder andere Modetrends in der IT-Welt ausgegeben hatten, um unbedarfte Kunden abzuzocken. Datenschutz in der Zahnarztpraxis oder in der Zahnklinik sollte in kompetente Hände übergeben werden, wobei die Beauftragung nicht an das Unternehmen vergeben werden sollte, das die IT-Anlagen der Praxis betreut. Denn sonst wäre ein elementarer Interessenkonflikt zu erwarten.

Und wie finde ich eine entsprechend qualifizierte Person?

Bevor eine Bestellung zum Datenschutzbeauftragten erfolgt, sollte der Zahnarzt prüfen, ob der potentielle Vertragspartner über einschlägige Zertifizierungen verfügt und welche Kurse er besucht hat. Da gibt es insbesondere einen Träger von Aus- und Fortbildungen, der auch Personen mit keinerlei Vorkenntnissen ausbildet, wenn sie für einen zwei- bis dreitägigen Kurs bezahlt haben. Am Ende erhalten dann die Teilnehmer eine bunte Urkunde, auf der sie geprüfter Datenschutzbeauftragter genannt werden.

 

Das Bußgeld zahlt nicht etwa der Datenschützer mit der Dreitageausbildung, sondern der Zahnarzt!

Dr. Thomas H. Lenhard

 

Wie bereits erwähnt gilt aber ein Datenschutzbeauftragter, dem die erforderliche Fachkenntnis fehlt, als nicht bestellt. Das Bußgeld zahlt nicht etwa der Datenschützer mit der Dreitageausbildung, sondern der Zahnarzt! Zahnärzte sollten daher darauf achten, dass ihre Datenschutzbeauftragten über einige Jahre Praxiserfahrung und einschlägige Referenzen verfügen. Hilfreich sind z.B. Anerkennungen durch Bundes- oder Landesbehörden oder durch entsprechende Fachverbände.

Bei meinem letzten Zahnarztbesuch konnte ich beim Warten am Empfangstresen auf dem Computer die Daten meines Vorgängers lesen. Was ist da schief gelaufen?

Die Bildschirme sollten generell so aufgestellt sein, dass genau diese Situation vermieden wird. Ebenso wichtig ist es allerdings, die Arbeitskonsole zu sperren, wenn man einen Arbeitsplatz verlässt oder wenn der Patient im entsprechenden Raum einen Moment allein zurück bleibt. Soweit ein Rechner nicht gesichert ist, genügen einem destruktiven Zahnarztbesucher wenige Sekunden, um sich einen Fernzugriff auf den Rechner zu verschaffen oder ein schädliches Programm zu laden. Daher sollte immer darauf geachtet werden, dass kein Patient Zugang zu den Systemen oder Zugriff auf die Daten der Praxis erhält. Gleiches gilt natürlich auch für Patientendaten, die in Papierform vorliegen, wie zum Beispiel Laboranforderungen.

Was bedeutet Datenschutz für die Kommunikation am Telefon?

Das ist ebenfalls ein heikles Thema. In keinem Fall sollte der Anrufer aus einer Aufzählung Parameter auswählen dürfen, die ihn identifizieren. Die Merkmale zur Identifikation sollten vielmehr immer beim Anrufer abgefragt werden. Leider erlebt man immer wieder, dass es etwa heißt: „Sind Sie der Herr Lenhard, der in der Hauptstraße, in der Goethestraße oder in der Bergstraße wohnt?“ Die richtige Vorgehensweise wäre vielmehr, den Anrufer aufzufordern, für seine eindeutige Identifizierung sein Geburtsdatum und die Anschrift zu nennen.
Generell sollte man am Telefon allerdings zurückhaltend sein, was die Mitteilung von Informationen angeht. Denn selbst wenn der Anrufer Geburtsdatum und Anschrift kennt, heißt das noch lange nicht, dass er wirklich die Person ist, die er vorgibt zu sein.

Erleben Sie manchmal, dass eine Praxis vor dem Daten-Aus steht, weil ein totaler Datenverlust eingetreten ist?

Oh ja. Derartige Fälle treten vermutlich häufiger auf, als man annimmt. In den Tagen vor unserem Interview habe ich eine Institution beraten, bei der vor kurzem der gesamte elektronische Datenbestand verloren ging. Computer müssen nicht nur funktionieren, sie müssen auch regelmäßig gesichert werden. Die Sicherungen sollten dann offline stattfinden und räumlich getrennt von den Anlagen sicher aufbewahrt werden.

Spätestens seit den Enthüllungen von Edward Snowden ist klar, dass Daten im Netz ein Sicherheitsrisiko darstellen. Hier finden Sie Tipps zur digitalen Selbstverteidigung.