Datenschutz – der richtige Einstieg für´s Dentallabor

 Die Reaktionen wiederholen sich, denn die EU-Datenschutzgrundverordnung (DSGVO) steht an. Sie wird ab dem 25. Mai rechtskräftig und zwar ohne weitere Übergangsfristen. Zumindest kann man jetzt schon sagen, dass es merklich teurer wird, wenn Unternehmer den Datenschutz ignorieren: Je nach Verstoß kann eine Geldbuße bis zu 20.000.000 Euro oder bis zu 4 Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahres betragen. 

Man muss kein Hellseher sein, um zu behaupten, dass diese drastischen finanziellen Sanktionen sicher bei der Motivation für Unternehmen zur Einhaltung der DSGVO eine große Rolle spielen werden. Andererseits können die Betriebe, die die DSGVO ernst nehmen, diese Tatsache auch als Wettbewerbsvorteil für sich nutzen.

Menschen reagieren immer sensibler, wenn es um den Schutz ihrer persönlichen Daten geht. Und das trifft im besonderen Maße auf die Patienten zu. Insbesondere in der Kombination mit digitalen Verfahren gehen die Patientendaten durch viele „Hände“. Entsprechend muss der Datenverkehr zwischen Dentallabor, der Zahnarztpraxis und mit Fremddienstleistern, wie z. B. Fräszentren, Gutachtern, Soft- und Hardwarebetreuern oder Steuerberatern geregelt sein. Im Gegenzug besteht für ein Dentallabor, das seinen Datenschutz gut organisiert hat, die Chance, sich als ein zuverlässiger Geschäfts- und geschätzter Ansprechpartner für die Zahnarztpraxis zu platzieren. 

Wie in anderen Bereichen gibt es auch beim Datenschutz keine „100%ige" Sicherheit. Dementsprechend schreibt das neue Datenschutzrecht keinen „optimalen Schutz" vor, sondern ein „angemessenes Schutzniveau". Investitionen, die nicht im Verhältnis zur Größe des Betriebs stehen, fordern die DSGVO und auch das bereits gültige Bundesdatenschutzgesetz (BDSG) nicht.

Was die europäische Verordnung unter einem solchen Schutzniveau vorstellt, lässt sich aus ihren Grundsätzen (Artikel 5 DSGVO) herauslesen. Der eigentliche Sinn und Zweck der Verordnung wird hier deutlich.  

Im Mittelpunkt stehen 7 Grundsätze, die auf die Speicherung und Verarbeitung personenbezogener Daten angewendet werden sollen. 

Personenbezogene Daten müssen „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“.

Die erste Frage, die Sie sich als Laborinhaber stellen müssen ist, ob die Datenverarbeitung überhaupt erlaubt bzw. zulässig ist? Dies ist dann der Fall, wenn die Verarbeitung auf der Basis eines Vertrags (Behandlungsvertrag, Werkvertrag, Arbeitsvertrag) erfolgt oder betroffene Personen, wie z. B. Patienten, ihre Einwilligung für die Verarbeitung freiwillig gegeben haben. Die Einwilligung setzt allerdings voraus, dass sie zuvor verständlich und ausreichend über die Datenverarbeitung informiert wurden.  

Die Zweckbindung hängt eng mit der Anforderung zusammen, personenbezogene Daten nur für Zwecke zu verarbeiten, die nach der DSGVO auch rechtmäßig sind. Ein legitimer Zweck ist die Verarbeitung von personenbezogenen Daten im Rahmen eines Vertrages, wie z. B. im Rahmen des Werkvertrags mit dem Zahnarzt. Hingegen ist das Labor nicht berechtigt, die Patientendaten im Einzelnen zu analysieren und daraus z. B. Marketingmaßnahmen zu generieren.  

Alle personenbezogenen Daten, die erhoben werden, müssen „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwenige Maß beschränkt sein“. 

„Datenminimierung“ bedeutet, prinzipiell mit Daten sparsam umzugehen und sich konsequent zu hinterfragen, ob die Vorhaltung von Daten und deren Verarbeitung tatsächlich notwendig ist. Zum Beispiel darf im Rahmen eines Arbeitsvertrages nicht die Personalausweisnummer des Ehemannes der Arbeitnehmerin erhoben werden. Sie wird für diesen Zweck nicht gebraucht.

Der vierte Grundsatz erschließt sich weitgehend von selbst. 

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es muss gewährleistet sein, dass Fehler berichtigt und unrichtige Daten rechtzeitig gelöscht werden.

Dieser Grundsatz begrenzt die Erlaubnis zum Speichern von personenbezogenen Daten. Klarheit muss im Betrieb darüber geschaffen werden, wie lange und in welcher Form Daten gespeichert werden dürfen. Werden und können Daten gelöscht werden, sobald sie nicht mehr benötigt werden? Facebook sucht noch die passende Antwort! 

Der sechste Grundsatz nimmt die Verknüpfung von Recht und Technik auf und verlangt eine Verarbeitung personenbezogener Daten nur in einer Weise, die die Sicherheit und den Schutz der personenbezogenen Daten gewährleistet. Durch technische und organisatorische Maßnahmen wie z. B. Zugriffsrechte, Zugangskontrollen, Schutz gegen Hacker und Malware und die Verschlüsselung bzw. Pseudonymisierung können Sicherheitslücken vermieden werden. 

Im Gesetz heißt es, dass der Verantwortliche die Grundsätze einhalten und deren Einhaltung nachweisen muss. Die Betonung liegt auf nachweisen!

Es wird sicherlich in kleineren Handwerksbetrieben nicht darum gehen, 100%ig alles von Beginn an erfüllt zu haben. Vielmehr ist wichtig, die Bemühungen des Unternehmers nachvollziehen zu können. Und woran ist dies erkennbar?

An der Dokumentation - und diese ist im neuen Gesetz sowieso großgeschrieben.

Es sollte daher Unterlagen geben, die die Bemühungen um „technische und organisatorische Maßnahmen" zur Umsetzung der gesetzlichen Verpflichtungen aufzeigen. Dafür eignet sich gut das ohnehin in der DSGVO geforderte Verzeichnis aller Daten-Verarbeitungsvorgänge, indem jeder Prozess der Datenverarbeitung beschrieben und mit Vorgaben versehen wird, wie er abzulaufen hat. Sie kennen die Vorgehensweise aus Ihrem Qualitätsmanagement.

Die gute Nachricht für Sie: Die meisten Datenschutz-Maßnahmen müssen nur einmal angepackt werden, um für längere Zeit eine zufriedenstellende Lösung zu bieten, und kosten oft wenig.