Ende Mai wird die EU-Datenschutzgrundverordnung (DSGVO) wirksam und löst das bisherige Bundesdatenschutzgesetz (BDSG 2009) als zentrales Datenschutzgesetz in Deutschland ab. Die bis dahin noch verbleibende Zeit sollte auch in der Zahnarztpraxis dringend genutzt werden, um erforderliche Änderungen in der Praxisorganisation umzusetzen und sich auf die Neuregelungen einzustellen. Denn die ab 25. Mai 2018 geltende DSGVO findet auch auf den Zahnarzt und seine Zahnarztpraxis Anwendung. Rechtsanwalt Dr. Robert Kazemi hat die einzelnen Anforderungen in kompakten Beiträgen für die Praxis aufgeschlüsselt.
„Geeignete Datenschutzvorkehrungen“ etablieren
Nach Artikel 24 Absatz 1 DSGVO ist der Verantwortliche – und damit auch der Zahnarzt – verpflichtet, sicherzustellen und nachzuweisen, dass die von ihm vollzogenen Daten-Verarbeitungen unter Einhaltung der DSGVO erfolgen. Hierzu hat er unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen und – dort wo dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht – „geeignete Datenschutzvorkehrungen“ (Artikel 24 Absatz 2 DSGVO) zu etablieren.
In einer Reihe von Beiträgen erläutert Rechtsanwalt Dr. Robert Kazemi die Grundlagen und Auswirkungen der neuen, ab 25. Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) für Zahnarztpraxen.
Teil 1: Wer künftig einen Datenschutzbeauftragten braucht
Teil 2: Daten: Wie Patienten informiert werden müssen
Teil 3: Jede Praxis braucht Verzeichnis über Daten-Verarbeitungstätigkeiten
Teil 4: Sichere Datenverarbeitung nach dem Stand der Technik
Teil 5: Wenn externe Dienstleister in der und für die Praxis tätig werden
Welche technischen und organisatorischen Maßnahmen im Einzelnen in Betracht kommen, legt Artikel 24 DSGVO – mit Ausnahme der Maßnahme der „Anwendung geeigneter Datenschutzvorkehrungen“ – nicht fest; zum Teil werden sie in Artikel 25, Artikel 28 Absatz 1 und Artikel 32 DSGVO umschrieben. Ein der Anlage zu Paragraf 9 Satz. 1 BDSG (alt) vergleichbarer Maßnahmenkatalog existiert nicht. Die hier beschriebenen Maßnahmen der Zutrittskontrolle, der Zugangskontrolle, der Zugriffskontrolle, der Weitergabekontrolle, der Eingabekontrolle, der Auftragskontrolle, der Verfügbarkeitskontrolle, des Gebotes der getrennten Verarbeitung sowie des Einsatzes von Verschlüsselungsverfahren können aber weiterhin Anhaltspunkte für die in Betracht kommenden technischen und organisatorischen Maßnahmen liefern.
Kein detaillierter Maßnahmenkatalog
Die grundlegende Verpflichtung zum Schutz personenbezogener Daten im Rahmen der Verarbeitung konkretisiert Artikel 32 DSGVO, der besondere Anforderungen an die Sicherheit der Verarbeitung stellt. Hiernach sind vom Verantwortlichen und etwaigen Auftragsverarbeitern unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Die Kriterien der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung entsprechen den in Artikel 24 DSGVO aufgeführten. Dabei hat der Verantwortliche keine absolute Sicherheit, sondern lediglich ein den festgestellten Risiken angemessenes Schutzniveau sicherzustellen und insbesondere zu verhindern, dass personenbezogene Daten unbeabsichtigt und/oder unrechtmäßig vernichtet, verändert oder unbefugt offengelegt werden oder auf sonstige Weise verloren gehen beziehungsweise Dritte unbefugt Zugang zu verarbeiteten personenbezogenen Daten erhalten (Artikel 32 Absatz 2 DSGVO). Anders als Artikel 24 DSGVO normiert Artikel 32 Absatz 1 DSGVO einen nicht abschließenden Beispielkatalog von Maßnahmen, die im Einzelfall als geeignet angesehen werden können.
Zugriffskonzepte für Hard- und Software
Hierzu zählt die Verpflichtung, die Vertraulichkeit eingesetzter Systeme (Hardware) und Dienste (Software) sicherzustellen, was zwingend die Etablierung eines entsprechenden Zugriffskonzeptes bedingt. Weithin ist Verfügbarkeit sicherzustellen: Damit ist die jederzeitige Betriebsbereitschaft von Systemen und Diensten, im Sinne der Sicherstellung einer „jederzeitigen Nutzbarkeit“, angesprochen. Diese kann durch verschiedene äußere wie innere Einflüsse gefährdet sein. So kann Hardware defekt sein, ein plötzlicher Stromausfall kann Schäden an Datenbanken auslösen, ein Blitzschlag kann Unternehmensnetzwerke ebenso vollständig zerstören wie Feuer oder Wasser; auch Sabotage kann die Integrität von Systemen schädigen.
Entsprechend vielfältig und umfangreich können daher auch die Maßnahmen zur Sicherstellung von Integrität ausfallen. Dies beginnt bei der richtigen Verkabelung, der richtigen Standortwahl und der effektiven Absicherung der Systeme gegen unberechtigten Zugriff durch Dritte. Ebenso können Wartungs- und Austauschpläne erforderlich sein. Gegebenenfalls sind Systeme redundant vorzuhalten, mit einer unabhängigen Stromversorgung (USV) und einem professionellen Blitzschutz zu versehen, RAID-Systeme einzusetzen und/oder eine hinreichende Klimatisierung der IT-Anlagen sowie Brandmeldeeinrichtungen und Löschanlagen im Bereich der zentralen IT oder eine redundante elektrische Versorgung zu installieren.
Regelmäßige Datensicherung unbedingt erforderlich
An dieser Stelle ist zu betonen, dass insbesondere regelmäßige Datensicherungen erforderlich sind. Diese tragen nicht nur elementar zur Sicherung des Fortbestands einer Zahnarztpraxis bei, sondern stellen gleichsam eine effektive und nach dem Stand der Technik zu erwartende Sicherung gegen ungewollte Änderungen oder Löschungen sowie den Verlust von (personenbezogenen) Daten dar. Was bislang lediglich als „nice to have“ gefordert wurde, ist über Artikel 32 DSGVO nunmehr zur datenschutzrechtlichen Verpflichtung erhoben. Ein Backup- und Datensicherungskonzept gehört damit zukünftig in jede Zahnarztpraxis.
Sind Patientenakten vernichtungsreif oder ausgedruckte Schriftsatzentwürfe fertig überarbeitet, dürfen diese nicht einfach in den Altpapiercontainer geworfen werden. Auch dies ist Gegenstand der Sicherheit der Verarbeitung! Wer die „Kenntniserlangung durch Dritte“ gänzlich verhindern will, der besorgt die Vernichtung seiner Handakten im eigenen Haus. Dabei ist darauf zu achten, dass die Akten so zerstört werden, dass eine Kenntnisnahme durch Dritte wirklich ausgeschlossen ist. Ein herkömmlicher Papierkorb reicht hier sicherlich nicht aus, denn dessen Inhalt landet wiederum in der Öffentlichkeit. Wer hier auf Nummer sicher gehen will, orientiert sich an den DIN-Normen EN 15713 und DIN 66399 und greift auf Aktenvernichter der Sicherheitsstufe P-4 oder besser P-5 zurück.
Digitale Akten und alte Computer datensicher entsorgen
Vorsicht ist auch geboten, soweit es um die Vernichtung digitaler Akten geht. Hier werden „alte Computer“ oft zu leichtfertig als Elektroschrott entsorgt oder anlässlich der nächsten Sperrmüllsammlung auf die Straße gestellt. Auch dies geht selbstverständlich nicht, solange und soweit die auf diesen Rechnern vorhandenen Daten nicht zuvor „sicher“ gelöscht worden sind. Auch hier empfiehlt sich, die Datenträger und Festplatten der Praxis physikalisch zu zerstören. Im Übrigen betrifft dies auch Großkopierer, die in der Regel eine Festplatte enthalten und jeden Scan- beziehungsweise Kopiervorgang speichern. Wer bei der Datenvernichtung auf Nummer sicher gehen will, dem sei dringend das Studium der Hinweise zum sicheren Löschen von Daten des Bundesamts für Sicherheit in der Informationstechnik (BSI) empfohlen, die im Internet abgerufen werden können.
Datenvernichtung durch geeignete Dienstleister
Wer sich und seine Mitarbeiter nicht selbst an den Schredder stellen möchte, der kann auch auf externe Dienstleister zurückgreifen, die sich auf eine professionelle Aktenvernichtung spezialisiert haben. Mit Blick auf die strengen Vorgaben des Paragraf 203 Strafgesetzbuch (StGB) sollte die Auswahl dieser Dienstleister indes nicht allein mit Blick auf den Preis getroffen werden, sondern die Durchführung der beauftragten Vernichtung im Mittelpunkt stehen. Hier sollte in jedem Fall nur auf solche Dienstleister zurückgegriffen werden, die ihrerseits Gewähr für die Einhaltung der bereits benannten DIN-Vorgaben bieten. Entsprechende Zertifizierungen des Vernichtungsprozesses durch unabhängige Dritte, beispielsweise durch den TÜV oder auch das Unabhängige Landesdatenschutzzentrum Schleswig-Holstein (ULD), können bei der Auswahl helfen.
Die an den Dienstleister zu übergebenden Daten sollten in entsprechenden Sicherheitsbehältern bereitgestellt werden, die Übernahme der Daten ist zu protokollieren und es ist darauf zu achten, dass auch im Rahmen der Entladung der Sicherheitscontainer beim Dienstleister keine unberechtigte Kenntnisnahme durch Dritte erfolgen kann. Schließlich ist aus datenschutzrechtlicher Sicht der Abschluss einer entsprechenden Auftragsdatenverarbeitungsvereinbarung zwingend erforderlich. Die meisten externen Dienstleister bieten auch die rechtssichere physikalische Vernichtung von Datenträgern wie CDs, Festplatten, USB-Sticks etc. an.
Wer – sei es bei der Vernichtung im eigenen Hause, sei es bei der Vernichtung durch Dritte – auf die Einhaltung der vorstehenden Standards achtet, wird dem zahnärztlichen Berufsgeheimnis gerecht.
Dr. Robert Kazemi, Rechtsanwalt, Bonn
Dr. Robert Kazemi ist Partner der Sozietät Kazemi & Partner Rechtsanwälte PartG in Bonn. Er arbeitet seit Jahren auf den Gebieten des Wettbewerbs- und Datenschutzrechts. Er ist Autor des Fachbuches „Das neue Datenschutzrecht in der anwaltlichen Beratung“ sowie zahlreicher weiterer Publikationen zum Thema Datenschutzrecht.“ (Foto: Kazemi/Apart Fotodesign – Alexander Pallmer)