Ende Mai wird EU-Datenschutzgrundverordnung (DSGVO) wirksam und löst das bisherige Bundesdatenschutzgesetz (BDSG 2009) als zentrales Datenschutzgesetz in Deutschland ab. Die bis dahin noch verbleibende Zeit sollte auch in der Zahnarztpraxis dringend genutzt werden, um erforderliche Änderungen in der Praxisorganisation umzusetzen und sich auf die Neuregelungen einzustellen. Denn die ab 25. Mai 2018 geltende DSGVO findet auch auf den Zahnarzt und seine Zahnarztpraxis Anwendung. Dr. Robert Kazemi erläutert in einer kleinen Serie von Fachbeiträgen die Aufgaben für die Praxis.
Artikel 30 DSGVO verpflichtet jeden(!) Verantwortlichen und damit auch den Zahnarzt dazu, ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen (sog. Verarbeitungsverzeichnis), zu führen. Dieses ähnelt dem bereits aus dem BDSG 2009 (Paragraf 4d) bekannten sog. Verfahrensverzeichnis, ist jedoch mit diesem nicht gänzlich identisch. Insbesondere die in Deutschland bislang vorzufindende Unterscheidung zwischen dem sogenannten Jedermanns-Verzeichnis und dem nicht-öffentlichen Verfahrensverzeichnis existiert in der DSGVO nicht. Das Verarbeitungsverzeichnis ist insoweit dem Betroffenen gegenüber nicht offenzulegen, sondern dient allein der Informationsverschaffung durch die zuständige Aufsichtsbehörde.
In einer Reihe von Beiträgen erläutert Rechtsanwalt Dr. Robert Kazemi die Grundlagen und Auswirkungen der neuen, ab 25. Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) für Zahnarztpraxen.
Teil 1: Wer künftig einen Datenschutzbeauftragten braucht
Teil 2: Daten: Wie Patienten informiert werden müssen
Teil 3: Jede Praxis braucht Verzeichnis über Daten-Verarbeitungstätigkeiten
Teil 4: Sichere Datenverarbeitung nach dem Stand der Technik
Teil 5: Wenn externe Dienstleister in der und für die Praxis tätig werden
Verzeichnis muss schriftlich geführt werden
Nach Artikel 30 Absatz 3 DSGVO ist das Verzeichnis über Verarbeitungstätigkeiten „schriftlich zu führen“, was auch in einem elektronischen Format, also auch in der im deutschen Recht bekannten Textform, erfolgen kann. Es muss gem. Artikel 30 Absatz 1 lit. a) bis g) bestimmte inhaltliche Mindestanforderungen erfüllen und über nachfolgende Punkte informieren:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Die Verarbeitungstätigkeiten, die in der Verarbeitungsübersicht darzustellen sind, beziehen sich nicht auf einzelne Datenverarbeitungsvorgänge, sondern auf sinnvoll abgegrenzte und kategorisierbare Teile der beim Verantwortlichen durchgeführten Datenverarbeitungen.
Kleinstbetriebsregelung greift für Zahnarztpraxen nicht
Artikel 30 Absatz 5 normiert Ausnahmen von der Verpflichtung zur Führung eines Verzeichnisses über Verarbeitungstätigkeiten zugunsten solcher Unternehmen, die regelmäßig weniger als 250 Mitarbeiter beschäftigen. Gerade kleine und mittlere Zahnarztpraxen könnten geneigt sein, an dieser Stelle aufzuhören, das Gesetz oder die weiteren Ausführungen zu lesen. Dies wäre ein Fehler, denn wer Artikel 30 Absatz 5 DSGVO bis zum Ende liest, der erkennt schnell, dass hier tatsächlich eine echte und in vielen Konstellationen sicherlich nicht Platz greifende Ausnahme beschrieben wird, die eher restriktiv zu handhaben sein wird. So soll eine Verpflichtung auch bei Unternehmen mit weniger als 250 Mitarbeitern dann bestehen, sofern die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.
Diese „Öffnungsklausel“ ist bereits recht weitreichend, geht doch mit jeder Verarbeitung personenbezogener Daten ein gewisses Risiko für die Rechte und Freiheiten der betroffenen Personen einher, so dass man sich bereits fragen kann, wo vor diesem Hintergrund überhaupt noch ein Anwendungsbereich für die Ausnahme verbleibt. Zu denken ist hier ggf. an wirkliche Kleinstbetriebe, bei denen die Verarbeitung personenbezogener Daten eher „Randerscheinung“, denn eigentlicher Geschäftszweck ist. So mag der einzelunternehmerisch tätige Handwerker, der außer zum Zweck der Terminwahrnehmung und der Rechnungstellung gegenüber seinen Kunden keine personenbezogenen Daten verarbeitet und auch keine Mitarbeiter beschäftigt, von der Verpflichtung nach Artikel 30 Absatz 1 DSGVO ausgenommen sein; ebenso diejenigen Unternehmen, die im reinen B2C-Verkehr agieren und bei denen Verarbeitung nur gelegentlich erfolgt (so im klassischen „Tante-Emma-Laden“).
Dies gilt indes nicht für den Zahnarzt: Dieser ist bereits deshalb von der Verpflichtung nach Artikel 30 DSGVO nicht befreit, weil die Verarbeitung personenbezogener Daten einen Kernbestandteil seiner eigentlichen geschäftlichen Aktivität bildet und der Zahnarzt regelmäßig besondere Kategorien personenbezogene Daten (Gesundheitsdaten) zahlreicher Betroffener (Patienten) verarbeitet, so das durch jeden Zahnarzt generell ein Verarbeitungsverzeichnis zu führen ist.
Zahnarzt sollte sich keine Nachlässigkeit leisten
Der Zahnarzt hat dieses – insoweit kann Nachlässigkeit in diesem Punkte schnell teuer werden – der Aufsichtsbehörde auf Verlangen vorzuzeigen und unterliegt der Prüfung durch die Behörde. Die in Paragraf 29 Absatz 3 BDSG-Neu normierte Beschränkung der aufsichtsrechtlichen Befugnisse greift hier gerade nicht. Ein Verstoß gegen die Verpflichtung zur Führung eines Verarbeitungsverzeichnisses kann dabei nach Artikel 83 Absatz 4 DSGVO mit einer Geldbuße von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden. Wer noch nicht mit der Erstellung eines solchen Verzeichnisses begonnen hat, der sollte hiermit zeitnah beginnen. Die Erfahrung zeigt, dass regelmäßig zehn bis zwanzig Verarbeitungstätigkeiten zu beschreiben sein dürften. Hier kann die Zuhilfenahme externen Sachverstandes durchaus sinnvoll sein. Im Übrigen finden sich zahlreiche Muster, die bei der Erstellung helfen, auf den Internetseiten der zuständigen Aufsichtsbehörden.
Dr. Robert Kazemi, Rechtsanwalt, Bonn
Dr. Robert Kazemi ist Partner der Sozietät Kazemi & Partner Rechtsanwälte PartG in Bonn. Er arbeitet seit Jahren auf den Gebieten des Wettbewerbs- und Datenschutzrechts. Er ist Autor des Fachbuches „Das neue Datenschutzrecht in der anwaltlichen Beratung“ sowie zahlreicher weiterer Publikationen zum Thema Datenschutzrecht.“ (Foto: Kazemi/Apart Fotodesign – Alexander Pallmer)