Ende Mai wird EU-Datenschutzgrundverordnung (DSGVO) wirksam und löst das bisherige Bundesdatenschutzgesetz (BDSG 2009) als zentrales Datenschutzgesetz in Deutschland ab. Die bis dahin noch verbleibende Zeit sollte auch in der Zahnarztpraxis dringend genutzt werden, um erforderliche Änderungen in der Praxisorganisation umzusetzen und sich auf die Neuregelungen einzustellen. Rechtsanwalt Dr. Robert Kazemi hat die einzelnen Anforderungen in kompakten Beiträgen für die Praxis aufgeschlüsselt.
Ohne externe Dienstleister geht es nicht
Nach Paragraf 203 Absatz 1 und Absatz 2 S. 1 des Strafgesetzbuches (StGB) macht sich strafbar, wer unbefugt ein fremdes Geheimnis offenbart, das ihm in bestimmter beruflicher Eigenschaft anvertraut oder sonst bekannt geworden ist. Die in Paragraf 203 StGB genannten Personen, zu denen auch der Zahnarzt zählt, sind bei ihrer beruflichen oder dienstlichen Tätigkeit auf die Hilfeleistung anderer Personen angewiesen. In vielen Fällen ist es für den Zahnarzt entweder wirtschaftlich sinnvoll oder auf Grund eigener Fachkunde sogar zwingend erforderlich, diese Tätigkeiten nicht durch Berufsgehilfen im Sinne des Paragraf 203 StGB erledigen zu lassen, sondern durch darauf spezialisierte Unternehmen oder selbstständig tätige Personen. Dies gilt vor allem für die Einrichtung, den Betrieb, die Wartung und die Anpassung von IT-Systemen, die zunehmend komplexer werden und für den Anwender in ihren Einstellmöglichkeiten kaum noch durchschaubar sind.
Gesteigert werden diese Anforderungen zukünftig zusätzlich über die erhöhten Anforderungen an die Sicherheit der Verarbeitung nach Artikel 32 DSGVO, die den Zahnarzt als Verantwortlichen zur Etablierung technischer und organisatorischer Maßnahmen nach dem aktuellen Stand der Technik verpflichten. Die Einstellung von versiertem Fachpersonal lohnt sich in aller Regel wirtschaftlich nicht. Naturgemäß ist also auch der Zahnarzt vermehrt dazu gezwungen, sich dritter, außerhalb der eigenen Sphäre stehender Personen im Rahmen der Ausübung seiner Tätigkeit zu bedienen.
In einer Reihe von Beiträgen erläutert Rechtsanwalt Dr. Robert Kazemi die Grundlagen und Auswirkungen der neuen, ab 25. Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) für Zahnarztpraxen.
Teil 1: Wer künftig einen Datenschutzbeauftragten braucht
Teil 2: Daten: Wie Patienten informiert werden müssen
Teil 3: Jede Praxis braucht Verzeichnis über Daten-Verarbeitungstätigkeiten
Teil 4: Sichere Datenverarbeitung nach dem Stand der Technik
Teil 5: Wenn externe Dienstleister in der und für die Praxis tätig werden
Neue Regelung seit November 2017
Bis zum 10. November 2017 bedurfte der Zahnarzt, der sich derartigen Hilfsdienstleistungen bedienen wollte, stets der Einwilligung jedes seiner Mandanten, wollte er sich nicht der Verletzung von Privatgeheimnissen im Sinne des Paragraf 203 StGB schuldig machen. Wer gleichwohl ohne Einwilligung agierte, bewegte sich jedenfalls auf einem sehr schmalen Grad. Jedenfalls für die Einschaltung technischer Dienstleister hat der Bundesgesetzgeber hier zum 10. November 2017 für mehr Rechtssicherheit gesorgt. Seitdem dürfen Zahnärzte fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen Tätigkeit des Zahnarztes mitwirken (Paragraf 203 Absatz 3 S. 2 StGB). Unter die mitwirkenden Tätigkeiten in diesem Sinne fallen nach der Gesetzesbegründung „insbesondere Schreibarbeiten, das Rechnungswesen, die Annahme von Telefonanrufen, die Aktenarchivierung und -vernichtung, die Einrichtung, der Betrieb, die Wartung – einschließlich Fernwartung – und die Anpassung informationstechnischer Anlagen, Anwendungen und Systeme aller Art, die Bereitstellung von informationstechnischen Anlagen und Systemen zur externen Speicherung von Daten [sowie] die Mitwirkung an der Erfüllung von Buchführungs- und steuerrechtlichen Pflichten des Berufsgeheimnisträgers.“
Vertrag verpflichtet zur Geheimhaltung
Die Grundlage der sonstigen Mitwirkung einer nicht in den Betrieb des Geheimnisträgers eingegliederten Person stellt dabei regelmäßig ein Vertragsverhältnis zwischen dem Zahnarzt und seinem Dienstleister dar, mit dem der Zahnarzt sicherstellt, dass Dienstleister zur Geheimhaltung verpflichtet werden und ihrerseits verpflichtet sind, alle in ihrer Einflusssphäre mitwirkenden Personen zur Geheimhaltung zu verpflichten (Paragraf 203 Absatz 4 StGB). Weitergehende Konkretisierungen enthält Paragraf 203 StGB nicht.
Wenn natürlich nicht gezielt auf die Novellierung des StGB ausgerichtet, aber gleichwohl faktisch greift hier das Datenschutzrecht ein und hilft mit seinen – wesentlich ausführlicheren – Vorgaben zur Einschaltung Dritter im Rahmen der Verarbeitung personenbezogener Daten (sogenannte Auftragsverarbeitung), die im Strafgesetzbuch verbleibende Lücke zu schließen. Dabei ist auch das Recht der Auftragsverarbeitung durch die DSGVO einer umfassenden Novellierung unterworfen worden, die – über eine stärkere Einbindung des Dienstleisters in die Verantwortlichkeit – sicherlich dazu beitragen wird, die in Paragraf 203 Absatz 3 und 4 StGB normierten Anforderungen einzuhalten.
DSGVO konkretisiert Auftragsdatenverarbeitung
Artikel 4 Nummer 8 DSGVO definiert den Auftragsverarbeiter als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Diese Definition fand sich bereits in der Datenschutzrichtlinie, für sich genommen ist sie kaum geeignet, den Auftragsverarbeiter von den anderen Beteiligten datenschutzrechtlicher Verarbeitungen abzugrenzen. Die Legaldefinition macht indes deutlich, dass der Auftragsverarbeiter im Auftrage eines „Verantwortlichen“ handelt und damit seinerseits hinsichtlich der im Auftrag durchgeführten Verarbeitung nicht selbst Verantwortlicher ist.
Hierfür spricht auch Artikel 28 Absatz 10 DSGVO, der anordnet, dass nur ein Auftragsverarbeiter, der unter Verstoß gegen die Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf die hiervon betroffenen Verarbeitungen als Verantwortlicher gilt, was im Umkehrschluss bedeutet, dass dies in allen anderen Fällen nicht der Fall sein soll. Der Auftragsverarbeiter ist in diesem Sinne vom Verantwortlichen abzugrenzen und nimmt im Sinne des Paragraf 203 Absatz 3 StGB die Stellung einer sonstigen mitwirkenden Person ein.
Zwingend schriftlicher Vertrag nötig
Die Verarbeitung durch einen Auftragsverarbeiter muss auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der beziehungsweise das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet, erfolgen (Artikel 28 Absatz 3 S. 1 Hs. 1 DSGVO), wobei der Vertrag oder das andere Rechtsinstrument zwingend schriftlich abzufassen ist, was auch in einem elektronischen Format erfolgen kann (Artikel 28 Absatz 9 DSGVO).
Der Vertrag kann wahlweise in Form einer Individualvereinbarung zwischen den Parteien oder über von einer Seite vorformulierte Vertragsbedingungen oder durch Rückgriff auf etwaige von Seiten der Kommission (Artikel 28 Absatz 7 DSGVO) oder einer Aufsichtsbehörde (Artikel 28 Absatz 8 DSGVO) festgelegte Standardvertragsklauseln abgeschlossen werden (Artikel 28 Absatz 6 DSGVO). Erforderlich ist aber in jedem Fall eine zweiseitige Vereinbarung zwischen Verantwortlichem und Auftragsverarbeiter, die durch Angebot und Annahme zustande gekommen ist.
Inhaltlich muss der Vertrag Bestimmungen
• zum Gegenstand und zur Dauer der Verarbeitung,
• zur Art und zum Zweck der Verarbeitung,
• zur Art der personenbezogenen Daten,
• zu den Kategorien betroffener Personen und
• zu den Pflichten und Rechten des Verantwortlichen
beinhalten (Artikel 28 Absatz 3 S. 1 Hs. 2 DSGVO).
Die Darlegung der vorgenannten Kriterien innerhalb des Vertrages muss in einer Art und Weise erfolgen, die es der Aufsichtsbehörde ermöglicht, das Vorliegen einer ordnungsgemäßen Verpflichtung des Auftragsverarbeiters zu überprüfen und festzustellen, ob tatsächlich eine Auftragsverarbeitung und nicht etwa eine rechtfertigungsbedürftige Übermittlung, beispielsweise in Form der Begründung einer „gemeinsamen Verantwortung“ vorliegt.
Sofortige Beendigung des Vertrags muss möglich sein
Die Beschreibung des Gegenstands der Verarbeitung referiert auf die dem Auftragsverarbeiter übertragenen Aufgabenstellungen. Sie kann daher grundsätzlich durch Verweis auf die dem Auftragsverhältnis zu Grunde liegende Leistungsvereinbarung oder auch ein „Service Level Agreement“ der Parteien erfolgen. Natürlich kann der Gegenstand des Auftrags zum Datenumgang durch den Auftragsverarbeiter auch in der Auftragsverarbeitungsvereinbarung selbst niedergelegt werden.
Die Dauer der Verarbeitung bezeichnet die Laufzeit, für die eine Verarbeitung durch den Auftragsverarbeiter vorgesehen ist. Sie wird in der Regel der Laufzeit der Leistungsvereinbarung entsprechen und kann sowohl „einmalig“ als auch auf bestimmte Zeit, aber auch unbefristet zwischen den Parteien vereinbart werden. Wichtig ist, dass dem Verantwortlichen in jedem Fall die Möglichkeit verbleiben muss, die Auftragsverarbeitung „ohne Angabe von Gründen“ jederzeit zu beenden und der Auftragsverarbeiter in diesem Fall – unbeschadet der sich gegebenenfalls aus der Leistungsvereinbarung (dem Dienstleistungsvertrag) ergebenden Schadensersatzansprüche – die Verarbeitung unverzüglich einzustellen und die ihm im Rahmen der Auftragsverarbeitung überlassenen Daten wahlweise zu löschen oder aber an den Verantwortlichen herauszugeben hat. Die Geltendmachung von Zurückbehaltungsrechten muss vor dem Hintergrund der alleinigen Verantwortlichkeit des Auftraggebers nach hiesiger Auffassung ebenso vertraglich ausgeschlossen sein.
Auftraggeber entscheidet allein über Verarbeitung
Das Erfordernis der Festlegung der Arten und Zwecke der von der Auftragsverarbeitung umfassten Verarbeitungen dient in diesem Sinne der Prüfung der „Verantwortlichkeit“ des Auftraggebers. Die Festlegung muss daher hinreichend deutlich zum Ausdruck bringen, dass der Auftraggeber allein über die Zwecke der Verarbeitung und ihre wesentlichen Mittel entscheidet. Die Zweckbestimmung muss insoweit „angemessen ausführlich“ sein und deutlich machen, dass ihre Festlegung allein durch den Verantwortlichen (den Auftraggeber) erfolgt.
Dabei ist zu fordern, dass für jeden Verarbeitungszweck die zu seiner Erreichung angewendeten Mittel (zum Beispiel Versenden von Zahlungsaufforderungen, Vorauswahl geeigneter Bewerber/-innen, Überwachung von Zahlungseingängen, Erfassung der Arbeitszeiten, IT-Supportleistungen etc.), die im Rahmen seiner Verfolgung (potentiell) betroffene Art von Personen (zum Beispiel Kunden des Auftraggebers, Schuldner, Mitarbeiter des Verantwortlichen, Lieferanten des Verantwortlichen, Dienstleister usw.) sowie die Kategorien der im Rahmen der jeweiligen Zweckverfolgung verarbeiteten Daten (Name, Vorname, Geburtsdatum, Anschrift, akad. Grad/Anrede, Bankdaten wie Kontoinhaber, Kreditinstitut, BLZ, Kontonummer usw.) dargestellt werden.
Die Rechte des Verantwortlichen ergeben sich zum einen spiegelbildlich aus den in Artikel 28 Absatz 3 S. 2 lit. a) bis h) DSGVO normierten Pflichten des Auftragsverarbeiters, erschöpfen sich hierin aber nicht. Zum einen steht es den Parteien des Auftragsverarbeitungsvertrags frei, über die hier normierten Pflichten des Auftragsverarbeiters hinaus, weitere Pflichten und damit Rechte des Verantwortlichen zu normieren. Zum anderen kann sich aus der Sicherstellung der Verantwortlichkeit des Auftraggebers die Notwendigkeit ergeben, konkrete Rechte zu normieren, wie beispielsweise das Recht auf jederzeitige Beendigung der Auftragsverarbeitung ohne Angabe von Gründen oder auch die Normierung von Vertragsstrafen für den Fall der Verletzung von Pflichten durch den Auftragsverarbeiter (was neben der regelmäßigen Kontrolle durch den Verantwortlichen ebenso zu einer weiteren Absicherung der Auftragsverarbeitung beitragen kann).
Besondere Verpflichtungen des Auftragsverarbeiters
Artikel 28 Absatz 3 S. 2 DSGVO normiert in seinen Buchstaben a) bis h) weitere besondere Anforderungen, die dem Auftragsverarbeiter vertraglich aufzuerlegen sind. So darf der Auftragsverarbeiter unter anderem nur auf dokumentierte Weisung des Verantwortlichen handeln (Artikel 28 Absatz 3 S. 2 lit. a) DSGVO). Er unterliegt zudem einer besonderen Vertraulichkeits- und Verschwiegenheitspflicht (Artikel 28 Absatz 3 S. 2 b) DSGVO), ist selbst Adressat der Verpflichtungen zur Herstellung der „Sicherheit der Verarbeitung“ nach Artikel 32 DSGVO und ist nach Artikel 28 Absatz 3 S. 2 lit. g) DSGVO zudem verpflichtet, nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben.
Für beide Seiten Ordnungsgelder bei Verstoß möglich
Die Einhaltung dieser Vorgaben wird durch die Androhung eines erheblichen Ordnungsgeldes für den Fall des Verstoßes gegenüber dem Verantwortlichen und(!) dem Auftragsverarbeiter in Artikel 83 Absatz 4 a) DSGVO sichergestellt. Soweit Zahnärzte sich Auftragsverarbeitern und damit auch sonstigen mitwirkenden Personen im Sinne des Paragraf 203 Absatz 3 S. 2 StGB bedienen, haben sie daher für den Abschluss einer entsprechenden Auftragsverarbeitungsvereinbarung Sorge zu tragen.
Vor dem Hintergrund der zu erwartenden regelmäßigen und intensiven Kontrollen der Aufsichtsbehörden sollte die verbleibende Zeit bis zum 25. Mai 2018 daher dringend dazu genutzt werden, bestehende Dienstleistungsverhältnisse zu überprüfen und – soweit noch nicht vorhanden – über entsprechende schriftliche Vereinbarungen nach Maßgabe des Artikel 28 DSGVO abzusichern beziehungsweise bestehende Vereinbarungen unter Beachtung der dortigen Vorgaben zu überarbeiten.
Dr. Robert Kazemi, Rechtsanwalt, Bonn
Dr. Robert Kazemi ist Partner der Sozietät Kazemi & Partner Rechtsanwälte PartG in Bonn. Er arbeitet seit Jahren auf den Gebieten des Wettbewerbs- und Datenschutzrechts. Er ist Autor des Fachbuches „Das neue Datenschutzrecht in der anwaltlichen Beratung“ sowie zahlreicher weiterer Publikationen zum Thema Datenschutzrecht.“ (Foto: Kazemi/Apart Fotodesign – Alexander Pallmer)