Umgang mit Daten und Laborprozessen in der Zahntechnik nach der DSGVO

Als Beispiel möchte ich das von der DSGVO geforderte „Verzeichnis der Verarbeitungstätigkeiten“ vorstellen. Sehr oft stößt das geforderte Verzeichnis auf Unverständnis. Was ist mit dem Verzeichnis gemeint? Welches Formular muss ausgefüllt werden? Dabei geht es bei dem Datenschutzthema keineswegs nur um das Ausfüllen von Formularen. Es ist wie beim Aufbau eines Qualitätsmanagement-Systems: Der Weg ist das Ziel! 

Kernstück des Datenschutzes im Dentallabor

Das „Verzeichnis der Verarbeitungstätigkeiten“ ist das Kernstück des betrieblichen Datenschutzes. Sie beschreiben hier, in welchem Ausmaß Sie den Schutz und die Sicherheit aller Daten, die personenbezogen sind, gewährleisten. Die Verantwortlichen – im Sinne der Grundverordnung sind Sie als Laborinhaber bzw. Geschäftsführer Ihres Betriebs angesprochen – müssen sich mit den Verarbeitungstätigkeiten auseinandersetzen, die ihrer Zuständigkeit unterliegen. 

Den Nachweis erbringen Sie in Form des Verzeichnisses, das Sie der Aufsichtsbehörde auf Anfrage zur Verfügung stellen. Bei Verstößen gegen diese Pflicht ist, so angedroht, mit erheblichen Bußgeldern zu rechnen. 

Dieses Verzeichnis hat bestimmte Angaben zu enthalten, die in Art. 30 DSGVO aufgeführt sind. Sie sind zwar frei, was die Form des Verzeichnisses, aber nicht was den Inhalt anbelangt. Welche Angaben gefordert werden, können Sie dem Gesetzestext  und den zahlreichen Mustervorlagen entnehmen, die am Markt angeboten werden. Will man jedoch die gesetzlichen Forderungen verstehen und den größtmöglichen und nachhaltigen betrieblichen Nutzen aus der Umsetzung der Grundverordnung ziehen, ist ein anderer Zugang empfehlenswert.

Leitfaden Datenschutz im zahntechnischen Labor

Pflichten, Rechte und Maßnahmen zur optimalen Umsetzung der Datenschutzverordnung – inklusive sofort einsetzbaren Checklisten und Textvorlagen

€ 169,00*

Zum Produkt

Daten sind mit Prozessabläufen verknüpft

Daten laufen nicht einfach so durch Ihren Betrieb. Daten sind an Prozesse gekoppelt. 

Ein Prozess, das ist eine Verknüpfung von Tätigkeiten, die materielle und immaterielle Produkte verarbeitet. Immaterielle Produkte sind Informationen und Daten, die unter besonderem Schutz stehen.  

Die folgende Abbildung zeigt ein einfaches Prozessmodell. 

Abb.: Prozess der Auftragsabwicklung zur Herstellung von Zahnersatz

Die Herstellung von Zahnersatz ist Ihr Kerngeschäft, in dem Sie sich selbstverständlich auf die materiellen Produkte in erster Linie konzentrieren müssen. Nun sind Sie aber auch gefordert, den Fokus auf die Verarbeitung der immateriellen Produkte zu lenken. 

Drei Bestandteile sind für einen Prozessablauf elementar: Eingaben, Ergebnisse und die benötigte Infrastruktur.

Eingabe

Die Auftragserteilung an das Dentallabor erfolgt formell durch einen Auftragszettel, der personenbezogene Daten und darunter besonders sensiblen Daten, die Gesundheitsdaten, des Patienten enthält. Jeder zahntechnische Betrieb benötigt diese Daten, ansonsten kann das Kerngeschäft nicht erledigt werden. Aber Hand auf´s Herz, wer hat sich in den Betrieben Gedanken um die Behandlung solcher Daten gemacht. Weil diese Daten so schützenswert sind, geht der Gesetzgeber noch einen Schritt weiter. Er erwartet nicht nur eine Beschreibung dieser Daten, sondern auch, dass Sie bei der Eingabe festlegen

-auf welcher Rechtlichen Grundlage Sie diese Daten verarbeiten,

-woher die Daten überhaupt kommen (aus der Zahnarztpraxis) und 

-welche Personen diese Daten zugeordnet werden (Zahnarzt und Patient).

Tätigkeiten der Auftragsabwicklung

Die Auftragsabwicklung reicht vom Auftragseingang über die Auftragserfassung, die Fertigung bis zur Rechnung und Auslieferung. In jedem Teilprozess werden auch Daten verarbeitet. Sinnvoll ist, die vom Gesetzgeber geforderten „Zwecke der Verarbeitung“ nach diesen Teilprozessen zu bezeichnen. Gesetzeskonform ist weiter, wenn Sie den Datenfluss mit in die Prozessbeschreibungen in Form der sogenannten Flow Charts oder auch in Textform mitaufnehmen.

Es kann auch sein, dass Sie personenbezogene Daten der Patienten an Laborkollegen oder Fräszentren, z. B. im Verlauf der Fertigung zur Herstellung von Zwischenprodukten, oder die Rechnungsdaten an eine externe Buchhaltung weitergeben. Diese externen Empfänger müssen Sie konkret benennen. 

Interessant wird es, wenn Sie z. B. Daten während oder am Ende des Prozessablaufs an Empfänger in Drittändern weitergeben. Drittländer befinden sich außerhalb der EU. Daher muss der Empfänger Garantien vorweisen, die belegen, dass personenbezogene Daten angemessen im Sinne der Grundverordnung behandelt werden.

Ergebnisse

Auch die Ergebnisse sind wie die Eingaben Daten und Produkte. 

Am Ende der Auftragsabwicklung erhält der Patient seine hochwertige prothetische Versorgung vom Labor. Im Sinne des Gesetzgebers müssen Sie jetzt nur noch festlegen, wer die Daten empfängt. Im Beispiel ist das Ihr Kunde Zahnarzt. Er erhält die Möglichkeit, diese Daten weiter für seine Zwecke nutzen zu können.

Infrastruktur

Prozesse können nur dann funktionieren, wenn die notwendige Infrastruktur bereitsteht. Bezogen auf den Datenschutz bedeutet dies, dass im Betrieb technische und organisatorische Maßnahmen –  gemäß Art. 32 DSGVO TOM genannt –  ergriffen werden müssen, die sichere Datenflüsse ermöglichen. Gleichermaßen sorgen Geräte, Werkzeuge und Materialen für sichere Produktionsabläufe.

Um nur einige Beispiele zu nennen, zählen zu diesen technisch-organisatorischen Maßnahmen u. a. 

-die Pseudonymisierung bzw. Verschlüsselung mit dem Ziel, dass Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können,

-die Gewährleistung der Vertraulichkeit mit dem Ziel, dass Daten nicht in falsche Hände geraten und

-die Verfügbarkeit und Belastbarkeit mit dem Ziel, dass Daten gegen zufällige oder mutwillige Zerstörung wie Hacker-Angriffe bzw. Unfälle wie Stromausfall oder Brände geschützt sind.

„Gelebter“ Datenschutz?! – ein Fazit

Wie zeige ich als Verantwortlicher für den Schutz und die Sicherheit sensibler Daten Verantwortung in meinem Betrieb?

Die beste Datenschutzrichtlinie macht keinen Sinn, wenn sie nicht gelebt wird. Letztendlich sind es Ihre Mitarbeiter, die die Vorgaben umsetzen. Ein funktionierender Datenschutz wird maßgeblich dadurch bestimmt, dass die Mitarbeiter die geltenden Anforderungen an die betrieblichen Abläufe kennen und sensibel mit zu schützenden Daten umgehen. 

Deshalb nutzen Sie die Chance und setzen die Datenschutzbrille auf, wenn Sie die betrieblichen Prozesse im Hinblick auf den Datenschutz gemeinsam mit Ihrem Team betrachten.