Diverses

Allgemeines oder ein Erklärungsversuch für die bestehende Unsicherheit beim Thema "Datenschutz":

Nun: Datenschutz ist keine neue Materie; auf EU-Ebene existiert derzeit die "Datenschutzrichtlinie" - auf nationaler Ebene gibt es in Österreich das Datenschutzgesetz 2000 (kurz DSG 2000). In zahnärztlichen Ordinationen wurden und werden personenbezogene Daten erfasst, verarbeitet und gespeichert - Datenschutz spielte daher von Anfang an eine Rolle in Ihrer Ordination! Neu ist allerdings die Datenschutzgrundverordnung (kurz DSGVO): sie tritt mit 25. Mai 2018 in Geltung und es handelt sich dabei um eine Verordnung der EU, die in Österreich unmittelbar anwendbar ist.

Bislang war die Nichteinhaltung von Datenschutzvorschriften eher vernachlässigbar sanktioniert. Die Sanktionsmöglichkeiten wurden nun durch die neue DSGVO wesentlich umfangreicher gestaltet. Man erwartet sich davon - um in der Sprache der Zahnärzte zu bleiben - eine erhöhte Compliance der Normunterworfenen, also ein Mehr an Einhaltung datenschutzrechtlicher Vorschriften durch jene, die personenbezogene Daten verarbeiten.

Die DSGVO ist - wie viele juristische Regelwerke - gespickt mit auslegungsbedürftigen Formulierungen. Zum reinen Verordnungstext existieren sog. "Erwägungsgründe" (diese könnte man in etwa mit der Kommentierung eines innerstaatlichen Gesetzestextes vergleichen). Aus diesen Erwägungsgründen ist doch in manchen Bereich herauslesbar, was im Verordnungstext gemeint ist. Allerdings existiert zur DSGVO noch keinerlei Judikatur (sie gilt ja eben erst ab 25.5.2018!), sodass es keine gesicherte Auslegung zu den Begrifflichkeiten der Verordnung gibt. Daraus resultiert nun eine gewisse Verunsicherung, weil weder die in Österreich für die Einhaltung der Verordnung berufene Behörde - die Datenschutzbehörde - noch wir als Standesvertretung Antworten auf viele Auslegungsfragen geben können. Erst im Laufe der Zeit - es wird sich dabei sicherlich um Jahre handeln - wird durch Gerichtsentscheidungen geklärt werden, wie der Verordnungstext tatsächlich zu verstehen ist.

Behilflich bei der Auslegung der DSGVO ist auch die sog. "Artikel-29-Datenschutzgruppe". Es handelt sich dabei um ein unabhängiges Beratungsgremium, das die EU-Kommission in Fragen des Datenschutzes berät. Dieses Gremium hat sich in diversen Arbeitspapieren bereits mit der DSGVO beschäftigt. Diese Arbeitspapiere können bei der Auslegung mancher VO-Inhalte hilfreich sein, aber auch hier gibt es eine gewisse Unsicherheit: diese Art.-29-Datenschutzgruppe wird mit dem Zeitpunkt der Geltung der DSGVO, also mit dem 25.5.2018 durch ihren Rechtsnachfolger, und zwar den Europäischen Datenschutzausschuss abgelöst (näher geregelt in Abschnitt 3, Art. 68 ff der DSGVO). Ob der Datenschutzausschuss die Ergebnisse in den Arbeitspapieren der Art.-29-Datenschutzgruppe übernehmen wird, bleibt abzuwarten.

Sie sehen: es existiert zwar ein neues Datenschutz-Regelwerk, die genauen Inhalte sind allerdings über weite Bereiche mangels gesicherter Auslegung noch unklar, was natürlich - insbesondere vor dem Hintergrund der massiven Strafsanktionen - zu Verunsicherung führt. Allerdings sollte die Verunsicherung auch nicht zu raumgreifend werden: wichtig ist, dass Sie das Thema "Datenschutz" in Ihrem Betrieb ernst nehmen und sich des Themas auch annehmen! Wir unterstützen Sie dabei, sobald und soweit wir in der Lage sind, entsprechende Empfehlungen abzugeben!

Folgende grundlegende Informationen können wir Ihnen geben: 

• Es existiert ein sog. "Grundrecht auf Datenschutz". Das bedeutet, jeder hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten. Personenbezogene Daten sind alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen (Art. 4 Z1 DSGVO).
• Eine besondere Kategorie personenbezogener Daten sind sog. "sensible Daten". Es handelt sich dabei um

1. rassische und ethnische Herkunft
2. politische Meinung
3. Gewerkschaftszugehörigkeit
4. religiöse oder philosophische Überzeugung
5. Gesundheit
6. Sexualleben oder
7. genetische bzw. biometrische Daten.

In zahnärztlichen Ordinationen werden solche sensible Daten, nämlich Gesundheitsdaten, verarbeitet.

• Grundsätzlich sind alle Tätigkeiten (das sind beispielsweise: das Ermitteln, Erfassen, Speichern, Löschen, Übermitteln, Verarbeiten) mit personenbezogenen Daten geschützt, und zwar unabhängig davon, ob diese Tätigkeiten automatisiert vorgenommen werden oder nicht. Das bedeutet: unabhängig davon, ob Sie in Ihrer Ordination EDV einsetzen oder nicht, sollten Sie sich mit dem Thema "Datenschutz" befassen, denn auch die nicht automatisierte Verarbeitung von Daten hat geschützt zu erfolgen!

Die DSGVO nennt in ihrem Art. 5 folgende Grundsätze, die bei der Verarbeitung von Daten allgemein zu beachten sind:

Rechtmäßigkeit: personenbezogene Daten müssen auf rechtmäßige Weise verarbeitet werden. Dies ist in zahnärztlichen Ordinationen jedenfalls erfüllt, da die Datenverarbeitung auf den Bestimmungen des Zahnärztegesetzes fußt.

Zweckbindung: eine Datenerhebung und -verarbeitung kommt nur für festgelegte, eindeutige und legitime Zwecke in Frage (in der zahnärztlichen Ordination dient die Datenerhebung dem Zweck der Behandlung; damit ist dieser Grundsatz erfüllt!).

Datenminimierung: die Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Erinnert Sie das eine Bestimmung im zahnärztlichen Gesamtvertrag? Die zahnärztliche Behandlung hat ausreichend und zweckmäßig zu sein und sollte das Maß des Notwendigen nicht überschreiten.....Ähnliches gilt eben auch im Datenschutz.)

Richtigkeit: die Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Dazu erscheint es uns zweckmäßig, dass Ihre Mitarbeiterinnen bei einem Ordinationsbesuch eines Patienten nachfragen, ob sich an den bestehenden Daten etwas verändert hat.

Zeitliche Speicherbegrenzung: dieser Grundsatz besagt, dass Daten zeitlich begrenzt zu speichern sind. In unserem Bereich hilft hier die Bestimmung des § 19 Abs. 3 Zahnärztegesetz weiter: demnach sind Aufzeichnungen - damit gemeint sind sämtliche Patientendaten - zehn Jahre aufzubewahren. Man wird sogar eine Speicherung über diesen 10-Jahres-Zeitraum hinaus argumentieren können, da auch die lange Verjährungsfrist von 30 Jahren im zahnärztlichen Bereich eine Rolle spielen kann.

Integrität und Vertraulichkeit: Daten sind so zu verarbeiten, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet wird. Es ist durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass die Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung geschützt werden.

In den Erwägungsgründen der Verordnung ist zu diesem Grundsatz erläutert, dass personenbezogene Daten so verarbeitet werden sollten, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.

Rechenschaftspflicht: Der Verantwortliche - das sind Sie als niedergelassener Zahnarzt - ist für die Einhaltung der genannten Grundsätze verantwortlich und muss deren Einhaltung nachweisen können.

Die Ermächtigung zur Verarbeitung von Gesundheitsdaten für den ärztlichen bzw. zahnärztlichen Bereich findet sich auch explizit in der DSGVO, und zwar konkret in der Bestimmung des Art. 9 Abs. 2 lit. h. Abs. 3 dieser Bestimmung legt fest, dass eine Verarbeitung von Gesundheitsdaten nur dann zulässig ist, wenn diese durch Fachpersonal oder unter dessen Verantwortung erfolgt, die einem Berufsgeheimnis unterliegt. Das ist sowohl bei Zahnärzten als auch bei zahnärztlichem Assistenzpersonal der Fall.

Die DSGVO beschäftigt sich in Kapitel IV unter anderem mit Datensicherheitsmaßnahmen im allgemeinen und konkret im Bereich der "Verantwortlichen" und "Auftragsverarbeiter" und legt die Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten fest.

Auf unserer Homepage finden Sie seit Anfang Februar erste Empfehlungen der ÖZÄK zur Umsetzung der Regelungen der DSGVO. Dort wurde bereits erläutert, dass Zahnärzte laut DSGVO sogenannte "Verantwortliche" im obigen Sinn sind. "Auftragsverarbeiter" sind natürliche oder juristische Personen, Einrichtungen oder Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.

Beispiele für solche Auftragsverarbeiter wären Zahntechniker oder auch die Abrechnungsstelle der Österreichischen Zahnärztekammer. Wichtig ist, dass Sie mit den Auftragsverarbeitern, die Sie beschäftigen, schriftliche Verträge abschließen. Auch darauf hat die ÖZÄK bereits in ihren Empfehlungen hingewiesen. Solche Verträge sollten Folgendes beinhalten:

1. eine Bindung des Auftragsverarbeiters an den Verantwortlichen
2. Gegenstand und Dauer der Datenverarbeitung
3. die Art und den Zweck der Datenverarbeitung
4. Angabe der Art der personenbezogenen Daten
5. Rechte und Pflichten des Verantwortlichen und
6. Nennung der Kategorien der von der Datenverarbeitung betroffenen Personen.

Verantwortliche und Auftragsverarbeiter müssen nun technische und organisatorische Maßnahmen setzen, die eine ausreichende Datensicherheit bieten. Diese Maßnahmen sollten umfassend dokumentiert werden.

Daten sind zu schützen (iSd Art. 32 DSGVO):

• vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust
• vor unberechtigtem Zugriff und
• vor rechtswidriger Verwendung.

Welche Maßnahmen dafür geeignet sind, hängt ab:

• von der Art, dem Umfang, den Umständen und dem Zweck der Datenverarbeitung
• von der Eintrittswahrscheinlichkeit und der Art der Risiken für Betroffene
• vom Stand der Technik und
• von den Implementierungskosten.

In folgenden Bereichen sind Sicherheitsmaßnahmen erforderlich:

1. Organisation
2. Technik und
3. Infrastruktur.

Bitte denken Sie daran, das von der ÖZÄK zur Verfügung gestellte Formular für ein Verzeichnis von Verarbeitungstätigkeiten für Ihren Ordinationsbetrieb - am besten gemeinsam mit der Sie betreuenden Ordinationssoftwarefirma - auszufüllen. Dieses Verzeichnis ist dann von Ihnen zu archivieren (bitte nicht an die Kammer senden!) und ist auf Anfrage der Datenschutzbehörde zur Verfügung zu stellen.

Sie finden hier technische Tipps zur Umsetzung von Datenschutz und Datensicherheit in der zahnärztlichen Ordination. 

Wichtig ist Folgendes: 

• Achten Sie bei der Türschloss-Technik bei der Eingangstüre zu Ihrer Ordination darauf, dass das Schloss dem heutigen Stand der Technik entspricht. Wichtig ist eine räumliche Trennung zwischen Wartebereich und Behandlungsräumen. Die Anmeldung sollte so situiert sein, dass Wartende Gespräche über personenbezogene Daten bzw. Gesundheitsdaten an der Anmeldung nicht mithören können.
• Der Datenserver sollte vor unbefugten Zugriffen und vor unbeabsichtigter Beschädigung bzw. Zerstörung geschützt werden.
• Schulen Sie Ihre Mitarbeiterinnen und schaffen Sie dadurch bei den zahnärztlichen Assistentinnen Bewusstsein für Datenschutz und – sicherheit. Achten Sie verstärkt darauf, dass Ihre Mitarbeiterinnen - auch telefonisch - keine Auskünfte über Behandlungen geben! Sie sollten die Informationen an Ihre Mitarbeiterinnen im Rahmen der Schulung dokumentieren. Erstellen Sie mit Ihren bzw. für Ihre Mitarbeiterinnen Leitlinien, wie mit Patientendaten in Ihrer Ordination umzugehen ist.
• Lassen Sie von Ihren Mitarbeiterinnen eine Verschwiegenheitserklärung unterzeichnen – ein Muster dazu finden Sie hier.
• Es ist auch zu empfehlen, dass Sie in der Zusammenarbeit mit Ihrem Zahntechniker darauf achten, Daten ohne Hinweis auf die Person des Patienten mit dem Techniker auszutauschen – beispielsweise durch die Verwendung von verschlüsselten Daten oder pseudonymisierten Daten (Namen werden zB durch Nummern ersetzt).

Bitte beachten und besprechen Sie auch die folgenden Punkte für Ihren PC und für Ihre mobilen Endgeräte mit Ihrem IT-Berater:

• Die Hard- und Software sollte dem aktuellen Stand der Technik entsprechen; verwenden Sie Passwörter und machen Sie regelmäßige Sicherheits-Updates.
• Schützen Sie Patientendaten: die Weitergabe von Patientendaten auf elektronischem Weg per E-Mail hat verschlüsselt zu erfolgen. Die Notwendigkeit zur Verschlüsselung von E-Mails basiert bereits seit 1.1.2014 auf dem Gesundheitstelematikgesetz samt entsprechender Verordnung. Konkrete Rechtsgrundlage ist § 6 des GesundheitstelematikG. Welche Algorithmen für die Verschlüsselung zulässig sind, ergibt sich aus der Anlage 2 zur Gesundheitstelematikverordnung und aus dem Anhang der Signaturverordnung 2008.
• Sorgen Sie vor, dass bei einer Internetanbindung eine entsprechende Firewall und ein aktueller Spam- und Virenschutz installiert sind. Es besteht auch die Möglichkeit, dass bestimmte Zugänge (zB zu sozialen Netzwerken) in der Ordination gesperrt werden.
• Achtung bei der Verwendung von USB-Sticks: wenn keine neuen Sticks verwendet werden, besteht stets das Risiko, dass auf einem USB-Stick Trojaner, Viren etc. enthalten sind, die auf Ihre EDV übertragen werden! 
• Sichern Sie regelmäßig Ihre Ordinationsdaten auf aktuellen Sicherheitsmedien.

Zur Verarbeitung/Erhebung/Verwendung von personenbezogener Daten bzw. Gesundheitsdaten benötigen Sie grundsätzlich keine gesonderte Einwilligung Ihrer Patienten (zB auf dem Anamneseblatt)! Ihre Berechtigung zur Datenverarbeitung besteht unmittelbar aufgrund des Gesetzes bzw. des Behandlungsvertrages. Betreiben Sie jedoch ein Recallsystem (beispielsweise im Bereich der Mundhygiene) oder arbeiten Sie mit Terminerinnerung per SMS, sollten Sie dafür die Einwilligung des Patienten einholen.  

Abschließend dürfen wir darauf hinweisen, dass seitens der Kammer für sämtliche Informationen bzw. Tipps im Zusammenhang mit der DSGVO keine Haftung übernommen werden kann, da die Bestimmungen der DSGVO unbestimmt formuliert sind und keine Judikatur existiert!