Die EU-Datenschutzgrundverordnung (EU-DSGVO): Häufige Fragen [aktualisierte Fassung]
- Jahr: 2019
- Autor: Katrin Müseler
1. Benötigt meine Praxis einen Datenschutzbeauftragten? [aktualisiert]
Eine Zahnarztpraxis benötigt nur dann einen Datenschutzbeauftragten, wenn mindestens 20 Personen damit beschäftigt sind, personenbezogene Daten zu verarbeiten. Diese Lockerung der Benennungspflicht (ursprünglich ab 10 Personen) wurde am 27. Juni 2019 im Rahmen eines Gesetzes zur Anpassung des Datenschutzrechts beschlossen. (Mehr Informationen)
2. Wer sollte die Rolle des Datenschutzbeauftragten übernehmen?
Optimalerweise nimmt ein angestellter Zahnarzt oder eine Person mit einer gewissen IT-Affinität die Rolle des Datenschutzbeauftragten wahr. Möglich ist auch, einen externen Datenschutzbeauftragten zu beauftragen. Bei der Benennung des Datenschutzbeauftragten ist darauf zu achten, dass es nicht zu einem Interessenskonflikt kommt.
Was bedeutet das? Beispiel: Ein Interessenskonflikt wäre dann der Fall, wenn der EDV-Verantwortliche der Praxis gleichzeitig Datenschutzbeauftragter wäre, denn: als Datenschutzverantwortlicher müsste er das kontrollieren, was er selbst als EDV-Zuständiger tut. Ob der Praxisinhaber auch gleichzeitig Datenschutzbeauftragter sein kann, ist ebenfalls umstritten.
3. Welche Aufgaben hat ein Datenschutzbeauftragter?
Der Datenschutzbeauftragte ist in einer Zahnarztpraxis dafür zuständig, die Prozesse, in denen Daten verarbeitet werden, zu überwachen. Er ist Ansprechpartner zum Thema Datenschutz und mit dem Datenschutzrecht vertraut. Er berät die Praxisleitung dahingehend, das Datenschutzrecht einzuhalten und unterstützt die Selbstkontrolle der Praxis. Er gibt sein Wissen an die Mitarbeiter weiter und sensibilisiert sie für die rechtlichen Anforderungen an Datenverarbeitungsprozesse und die damit verbundenen Pflichten. Der Datenschutzbeauftragte fungiert auch als Ansprechpartner für die Datenschutzbehörde.
Wichtig: Der Datenschutzverantwortliche ist nicht dafür verantwortlich, wie in der Praxis mit personenbezogenen Daten umgegangen wird. Diese Verantwortung liegt nach wie vor bei der Geschäftsleitung. Datenschutz ist Chefsache.
4. Wie muss ein Datenschutzbeauftragter kenntlich gemacht werden?
Innerhalb der Praxis sollten die Kontaktdaten des Datenschutzbeauftragten inklusive Adresse, Telefonnummer und E-Mail festgehalten werden. Nach außen genügt die Veröffentlichung einer E-Mail-Adresse (z.B. datenschutzbeauftragter@zahnarztpraxis.de). Die Kontaktdaten sowie der Name des Datenschutzbeauftragten müssen außerdem der Datenschutzbehörde mitgeteilt werden. Voraussichtlich stellen die Aufsichtsbehörden, so beispielsweise der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, hierfür ab Mai 2018 ein Online-Formular zur Verfügung.
5. Was ist ein „Verzeichnis von Verarbeitungstätigkeiten“ und was muss darin aufgeführt werden?
Nach der neuen EU-DSGVO ist vorgeschrieben, dass für jedes Datenverarbeitungsverfahren (siehe Frage 6) ein Verzeichnis von Verarbeitungstätigkeiten geführt wird. Darin soll dokumentiert werden, in welchem Zusammenhang personenbezogene Daten verarbeitet werden. Eine bestimmte Form (z.B. Excel-Liste oder Word-Datei) ist nicht vorgeschrieben. Das Verzeichnis kann sowohl schriftlich als auch elektronisch festgehalten werden. Folgende Angaben müssen darin mindestens enthalten sein:
- Name und Kontaktdaten der Praxis
- Name und Kontaktdaten des Datenschutzbeauftragten (falls erforderlich, siehe Frage 1)
- Die Zwecke der Datenverarbeitung
- Beschreibung der Kategorien betroffener Personen, deren Daten verarbeitet werden (Patienten, Beschäftigte oder Lieferanten)
- Beschreibung der verarbeiteten Daten
- Beschreibung der Kategorien von Empfängern der Daten (z.B. Krankenkassen und Verrechnungsstellen)
- Wenn möglich, vorgesehene Löschfristen
6. Welche Prozesse gelten als Datenverarbeitungsverfahren?
Unter diesen Begriff fallen sämtliche Verfahren, bei denen personenbezogene Daten verarbeitet werden, wie beispielsweise:
- Software zur Versendung und Verwaltung von E-Mails
- Adressdatenbanken
- Software zur Terminverwaltung
- elektronische Personalakten
- Die (elektronische) Patientenakte
- Zahnarztinformationssysteme
- Elektronische Diktier- und Spracherkennungsprogramme
- Buchhaltungssoftware
Die Informationen, die hier zusammengefasst wurden, sind nachzulesen in:
- "Erste Hilfe zur Datenschutzgrundverordnung für Unternehmen und Vereine - Das Sofortmaßnahmen-Paket", herausgegeben vom Bayerischen Landesamt für Datenschutzaufsicht sowie
- dem Merkblatt zum Datenschutz, veröffentlicht von der Bundeszahnärztekammer (BZAEK)
Weiterführende Informationen und Muster-Dokumente stellen beispielsweise das
- Bayerische Landesamt für Datenschutzaufsicht in einer Hilfe zur Datenschutzgrundverordnung zur Verfügung,
- die Kassenärztliche Bundesvereinigung sowie ein
- Leitfaden zu Datenschutz und Datensicherheit der KZBV.
Fit für die Telematikinfrastruktur: charly erhält Bestätigung der gematik
Die Zahnarztsoftware charly erhält die offizielle Bestätigung zum Nachweis der Konformität von Primärsystemen zur Konnektorschnittstelle von der gematik für die Telematikinfrastruktur.
Datenschutz & Dokumentation in der Zahnarztpraxis: Auf der sicheren Seite
Gehackte E-Mails und Websites, gestohlene Daten und Identitäten, Sicherheitslücken und Programmfehler: Mit dem Fortschritt in der IT-Branche steigen auch die Risiken. Dies stellt erhöhte Anforderungen an Praxismanagementsysteme, gerade vor dem…