Seit dem 25.05.2018 findet die EU-Datenschutzgrundverordnung (EU-DSGVO) Anwendung. Zeitgleich ist das neue Bundesdatenschutzgesetz (BDSG) in Kraft getreten. Die Grundprinzipien des Datenschutzes bleiben erhalten. Die DSGVO lässt die Verarbeitung (und damit auch die Weitersendung) personenbezogener Daten u. a. dann zu, wenn
- die betroffene Person (der Patient/die Patientin) eingewilligt hat oder
- eine gesetzliche Grundlage vorliegt.
In einer Vielzahl von Fällen in der Vertragszahnarztpraxis ist sowohl die Offenbarung von patientenbezogenen Informationen (in Durchbrechung der ärztlichen Schweigepflicht), als auch spiegelbildlich dazu die Verarbeitung von Gesundheitsdaten gesetzlich erlaubt. So finden sich beispielsweise im Sozialgesetzbuch zahlreiche Rechtsnormen, die eine Erlaubnis bzw. Pflicht zur Weitergabe personenbezogener Daten gegenüber der KZV, den Krankenkassen, den Berufsgenossenschaften/Unfallkassen und der Prüfungsstelle regeln. Ferner können sich Übermittlungspflichten und -befugnisse aus verschiedenen Fachgesetzen, wie z. B. der Röntgenverordnung oder dem Krebsregistergesetz des Landes ergeben.
Wie in der Vergangenheit bedarf es daher keiner Einverständniserklärung des Patienten/der Patientin, wenn an die KZV S-H vertragszahnärztliche Abrechnungen übermittelt oder Behandlungsunterlagen im Rahmen der Abrechnungsprüfung übersandt werden. Gleiches gilt für die Überlassung von Patientendaten bei der Anforderung von Unterlagen durch einen Vertragsgutachter, den PEA/PWA oder die Prüfungsstelle im Rahmen einer Wirtschaftlichkeitsprüfung.
Grundsätzlich muss mit der KZV S-H auch kein Vertrag über die Auftragsverarbeitung geschlossen werden, da die Abrechnungsdaten nicht auf Weisung (nach Art. 29 DSGVO) zur Bearbeitung gelangen, sondern die Datenübermittlung an die KZV auf Basis gesetzlicher Grundlagen in SGB V und SGB X erfolgt. Somit besteht für die KZV S-H auch keine Verpflichtung, den Zahnarztpraxen einen ausgefüllten Vordruck mit der Übersicht von Verarbeitungstätigkeiten der KZV S-H zu überlassen. Die Zahnarztpraxen haben den Datenverarbeitungsvorgang mit der KZV S-H allerdings (gemäß Artikel 30 DSGVO) im Rahmen der Führung Ihres eigenen Verarbeitungsverzeichnisses aufzuführen.
Was den E-Mail-Versand von Patientenunterlagen inkl. Röntgenbildern anbelangt, sollte dieser grundsätzlich nur verschlüsselt erfolgen. Das setzt voraus, dass
- eine Verschlüsselungssystematik zum Einsatz kommt, die bei Empfänger und Sender gleichermaßen vorhanden ist und
- in einem Zweitkontakt (am besten über einen anderen Kanal, z. B. telefonisch) ein Passwort ausgetauscht wird.
Im Rahmen der Telematikinfrastruktur gewährleistet der Dienst „KIM“ optimale Voraussetzungen für einen sicheren Versand von Patientenunterlagen zwischen Fachkollegen. Sollte eine Gegenstelle aus technischen Gründen noch nicht am KIM-Dienst teilnehmen können, stellt z. B. die kostenlose Open-Source-Anwendung 7-zip (www.7-zip.de), die gleichzeitig Kompression und Verschlüsselung von Dateien und Ordnern bietet, eine vorübergehende Möglichkeit dar.
Hinweis: Für die Beratung und Unterstützung bei der Umsetzung der EU-DSGVO bzw. des BDSG ist vorrangig die Zahnärztekammer Schleswig-Holstein (ZÄK S-H) zuständig. Weiterführende Informationen und Hilfestellungen finden Sie entsprechend auf den Internetseiten der ZÄK S-H (Datenschutz-Update) und der Bundeszahnärztekammer (Merkblatt für Zahnärzte „Das neue Datenschutzrecht“), aber auch des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) unter dem Thema „Medizin und Soziales“.
Den von KZBV und Bundeszahnärztekammer (BZÄK) veröffentlichten aktualisierten „Datenschutz- und Datensicherheitsleitfaden für die Zahnarztpraxis-EDV“ stellen wir auf dieser Seite weiter unten zum Download bereit.
Muster zum Datenschutz (z. B. Patienteninformation, Verzeichnis von Verarbeitungstätigkeiten für personenbezogene Daten, Protokoll zur Risikobeurteilung für eine Datenschutz-Folgenabschätzung, Einwilligungserklärung zur Datenverarbeitung) finden Sie u. a. auf der Internetseite der Kassenärztlichen Bundesvereinigung (KBV) sowie im ZQMS-Kompass (Modul Datenschutz). Empfehlenswert ist auch der von ULD, Ärztekammer S-H und ZÄK S-H entwickelte „Selbst-Check für Arzt- und Zahnarztpraxen“.
Zu den Anforderungen an den Schutz der Patientendaten und der zahnärztlichen Schweigepflicht bei der Behandlung in Pflegeheimen verweisen wir auf Punkt 8.4 (Seite 58) des Datenschutzleitfadens. Ist für einen Patienten ein gerichtlicher Betreuer bestellt und umfasst dessen Aufgabenbereich die Gesundheitsvorsorge des Betreuten, so hat der Betreuer einen umfassenden Auskunftsanspruch gegenüber dem (Kooperations-)Zahnarzt. Sollen Patientendaten an andere Personen oder Stellen übermittelt werden, ohne dass hierfür eine gesetzliche Grundlage besteht, bedarf es grundsätzlich der Einwilligung des Patienten (Betreuten). Nur wenn dieser nicht mehr einwilligungsfähig (in Abgrenzung zur Geschäftsfähigkeit) ist, kann der Betreuer anstelle des Patienten rechtswirksam in die Datenübermittlung einwilligen. Kooperationszahnärzte sollten sich vor einer Auskunftserteilung den Betreuerausweis vorlegen lassen.
