Ende Mai wird EU-Datenschutzgrundverordnung (DSGVO) wirksam und löst das bisherige Bundesdatenschutzgesetz (BDSG 2009) als zentrales Datenschutzgesetz in Deutschland ab. Die bis dahin noch verbleibende Zeit sollte auch in der Zahnarztpraxis dringend genutzt werden, um erforderliche Änderungen in der Praxisorganisation umzusetzen und sich auf die Neuregelungen einzustellen. Denn die ab 25. Mai 2018 geltende DSGVO findet auch auf den Zahnarzt und seine Zahnarztpraxis Anwendung.
Mit der neuen DSGVO kommen auf die Zahnarztpraxis auch neue Informationspflichten, Auskunfts- und sonstige Betroffenenrechte hinsichtlich der Datenverarbeitung und des Datenschutzes gegenüber Patienten zu.
In einer Reihe von Beiträgen erläutert Rechtsanwalt Dr. Robert Kazemi die Grundlagen und Auswirkungen der neuen, ab 25. Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) für Zahnarztpraxen.
Teil 1: Wer künftig einen Datenschutzbeauftragten braucht
Teil 2: Daten: Wie Patienten informiert werden müssen
Teil 3: Jede Praxis braucht Verzeichnis über Daten-Verarbeitungstätigkeiten
Teil 4: Sichere Datenverarbeitung nach dem Stand der Technik
Teil 5: Wenn externe Dienstleister in der und für die Praxis tätig werden
Patienten(erst)information zum Datenschutz erforderlich
Artikel 13 DSGVO verpflichtet den Verantwortlichen dazu, den Betroffenen zum Zeitpunkt der (erstmaligen) „Erhebung“ personenbezogener Daten aktiv über die datenschutzrechtlichen Zusammenhänge der geplanten Verarbeitung zu informieren.
Gegenstand der bereitzustellenden Informationen: Werden personenbezogene Daten bei der betroffenen Person erhoben, so hat der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten nach Artikel 13 Absatz 1 DSGVO Informationen über
• den Namen und die Kontaktdaten des Verantwortlichen;
• die Kontaktdaten des Datenschutzbeauftragten, soweit ein solcher zu bestellen ist;
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen;
• die Rechtsgrundlage für die Verarbeitung;
• die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, wenn eine solche Verarbeitung erfolgt;
• die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
• die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln,
mitzuteilen.
Zusätzlich zu den Informationen gemäß Absatz 1 hat der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Informationen
• über die Dauer beziehungsweise die Kriterien für die Festlegung der Dauer der Datenspeicherung;
• über das Bestehen eines Rechts auf Auskunft;
• über das Bestehen eines Rechts auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung;
• über das Bestehen eines Widerspruchsrechts;
• über das Bestehen eines Rechts auf Datenübertragbarkeit;
• über das Bestehen eines Rechts, eine Einwilligung jederzeit zu widerrufen;
• über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
• dazu, ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist;
• dazu, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte,
zur Verfügung zu stellen.
Auswirkungen für die Zahnarztpraxis: Die Informationspflicht nach Artikel 13 DSGVO trifft den Zahnarzt beziehungsweise die Zahnarztpraxis als Verantwortlichen jedenfalls gegenüber dem eigenen Patienten. Insoweit werden die Informationspflichten nicht durch spezielle Vorgaben des zahnärztlichen Berufs- und/oder Standesrechts verdrängt; auch das BDSG-Neu sieht keine Bereichsausnahme im Rahmen der Zahnarzt-Patientenbeziehung vor. Wie eine Patienteninformation nach Artikel 13 DGSVO aussehen kann, zeigt das Muster in der Abbildung.
Neues Auskunftsrecht des Patienten
Das Auskunftsrecht der betroffenen Person ist in Artikel 15 DSGVO verankert. Der Auskunftsanspruch gestaltet sich zweistufig: So kann jede potenziell betroffene Person allgemein, das heißt nicht anlassbezogen, zunächst eine Bestätigung darüber verlangen, ob der Verantwortliche überhaupt personenbezogene Daten über den Betroffenen verarbeitet. Wenn dies der Fall ist, gewährt Artikel 14 Absatz 1 DSGVO der betroffenen Person einen konkreten Anspruch dahingehend zu erfahren, welche Daten zu welchen Zwecken beim Verantwortlichen verarbeitet werden und ob diese Daten auch Dritten zugänglich gemacht wurden, werden oder werden sollen.
Der Auskunftsanspruch nach Artikel 15 Absatz 1 DSGVO ist insoweit zweistufig aufgebaut. Die betroffene Person kann sich also entscheiden, ob sie fragt: „Verarbeiten Sie personenbezogene Daten über meine Person?“ oder: „Verarbeiten Sie Daten über meine Person und wenn ja, welche und in welcher Form?
Soweit die betroffene Person gegenüber dem Verantwortlichen ihren Auskunftsanspruch aus Artikel 15 Absatz 1 2. Halbsatz DSGVO erhebt, ist der Verantwortliche verpflichtet, der betroffenen Person umfassend Auskunft über die verarbeiteten Daten zu erteilen. Die Auskunft gliedert sich dabei in einen „allgemeinen Teil“ und einen „besonderen Teil“.
Die allgemeine Auskunft erstreckt sich auf Informationen über:
• die Verarbeitungszwecke;
• die Kategorien personenbezogener Daten, die verarbeitet werden;
• die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
• die geplante Dauer beziehungsweise die Kriterien für die Festlegung der Dauer, für die die personenbezogenen Daten gespeichert werden;
• das Bestehen eines Rechts auf Berichtigung oder Löschung;
• das Bestehen eines Rechts auf Einschränkung der Verarbeitung;
• das Bestehen eines Widerspruchsrechts;
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
• alle verfügbaren Informationen über die Herkunft der Daten.
Der besondere Teil der Auskunft umfasst eine Auflistung sämtlicher über die betroffene Person gespeicherten Daten und sonstiger personenbezogenen Informationen, die in Kopie an die betroffene Person auszuhändigen sind; in diesem Zusammenhang ist dem Betroffenen mitzuteilen, aus welcher Quelle die über ihn verarbeiteten personenbezogenen Daten stammen und an wen (genau) diese übermittelt wurden. Die Auskunft ist auf Ebene des jeweiligen sogenannten Datenattributs zu erteilen.
Artikel 15 Absatz 3 DSGVO gibt dem Betroffenen ein Recht auf „Kopie der personenbezogenen Daten“. Dieses beschränkt sich allein auf eine listenmäßige Zusammenstellung der Daten und umfasst nach bislang herrschender Meinung kein Recht auf Aktenkopie. Anders gesprochen: Es reicht aus, lediglich die personenbezogenen Daten, die Verwendung finden, herauszufiltern. Der „Zusammenhang“, in dem sie verwendet werden, also beispielsweise ein komplettes Schreiben, welches personenbezogene und nicht personenbezogene Daten enthält, muss nicht übermittelt werden.
Der Europäische Gerichtshof (EuGH) hat in Bezug auf das Auskunftsrecht in Artikel 12 der Datenschutzrichtlinie ausgeführt, dass dieses Recht kein umfassendes Recht auf Einsicht in Dokumente bedingt und insoweit nicht in ein Akteneinsichtsrecht ausgeweitet werden dürfe. Der Begriff des personenbezogenen Datums ist jedoch weit zu verstehen und umfasst neben den eigentlichen Daten auch rechtliche wie tatsächliche Analysen und Beurteilungen, soweit sie sich auf eine konkrete natürliche Person beziehen und auf der individuellen Situation und den individuellen Merkmalen dieser Person beruhen, so dass sich das Recht auf Datenkopie je nach Fallgestaltung faktisch in einem Recht auf Akteneinsicht und -kopie niederschlagen kann. Dem Verantwortlichen steht es zudem – in den Grenzen des Artikel 15 Absatz 4 DSGVO – frei, dem Betroffen eine Kopie von Dokumenten und/oder der Originaldateien zur Verfügung zu stellen, in denen seine personenbezogenen Daten verarbeitet wurden.
Artikel 15 Absatz 3 Satz 2 DSGVO greift den bereits in Artikel 12 Absatz 5 S. 1 DSGVO normierten Grundsatz der grundsätzlichen Kostenfreiheit der Auskunftserteilung für den Betroffenen auf und normiert, dass nur „für alle weiteren Kopien, die die betroffene Person beantragt“, ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangt werden darf. Sollte sich ein Auskunftsanspruch daher im Einzelfall auf die Patientenakte beziehen, könnte hierfür kein Kostenerstattungsanspruch gegenüber dem Patienten geltend gemacht werden.
Dr. Robert Kazemi, Rechtsanwalt, Bonn
Dr. Robert Kazemi ist Partner der Sozietät Kazemi & Partner Rechtsanwälte PartG in Bonn. Er arbeitet seit Jahren auf den Gebieten des Wettbewerbs- und Datenschutzrechts. Er ist Autor des Fachbuches „Das neue Datenschutzrecht in der anwaltlichen Beratung“ sowie zahlreicher weiterer Publikationen zum Thema Datenschutzrecht.“ (Foto: Kazemi/Apart Fotodesign – Alexander Pallmer)