58 Seiten sollen Zahnärzte in Westfalen-Lippe davor schützen, verklagt zu werden. Der Flyer „Das neue Datenschutzrecht – Informationen für die Zahnarztpraxis“ klärt darüber auf, was die kommende Datenschutzgrundverordnung (DSGVO) von Ärzten verlangt. Allein: So richtig verstehen können ihn längst nicht alle. Bisher herrscht jedenfalls eher Kopfschütteln als gefügiges Nicken auf den Versammlungen der Ärztekammern, wenn das Datenschutzrecht zur Sprache kommt. „Die Kollegen sind hochgradig verunsichert“, sagt Jost Rieckesmann, Vizepräsident der Zahnärztekammer Westfalen-Lippe.
Nicht nur die Sorgen sind groß, auch der Zeitdruck ist es. Freitag, der 25. Mai, ist Stichtag. Ab dann muss jedes Unternehmen in der EU nachweisen können, wofür es personenbezogene Daten von beispielsweise Bewerbern, Nutzern oder Kunden verwendet. Personenbezogene Daten – das können Namen, Adressen, Telefonnummern, Religionszugehörigkeit oder auch Gesundheitsinformationen sein. Der Hintergrund: Mit der Zunahme von digitaler Datenverwaltung steigt auch das Risiko von Hackerangriffen. Die DSGVO soll sicherstellen, dass Unternehmen alles tun, um Daten zu schützen und ihre Praktiken ernsthaft hinterfragen.
Da schon die Beantwortung von E-Mails darunter fällt, trifft die DSGVO so gut wie jedes Unternehmen. Und viele haben Angst, dass sie sich nicht vor Klagen schützen können. Viele Paragraphen seien schwammig formuliert, klagen Unternehmer. Die potenziellen Strafen dafür umso klarer und beängstigender. Bis zu vier Prozent des Jahresumsatzes sind als Sanktion vorgesehen (siehe Infokasten).
Kurz & knapp: Die Grundsätze der DSGVO
"Datensparsamkeit" ist die Devise der DSGVO. Das heißt, Unternehmen dürfen nur jene Daten ihrer Kunden oder Nutzer abfragen, die für den betreffenden Zweck auch benötigt werden. Dementsprechend müssen auch die Standard-Einstellungen bei der Anmeldung neuer Nutzer oder Kunden gestaltet sein.
Anbieter von Dienstleistungen oder Waren müssen die Sicherheit der erhobenen Kundendaten gewährleisten. Das kann bedeuten, dass Unternehmen diese Informationen verschlüsseln müssen.
Persönliche Daten von Kunden oder Nutzern dürfen nur dann ins außereuropäische Ausland übermittelt werden, wenn die EU-Kommission den betreffenden Staaten ein "angemessenes Schutzniveau" bescheinigt hat. Ist das nicht der Fall, muss der Absender der Daten "geeignete Garantien" für deren Sicherheit abgeben.
Beim Wechsel zu einem anderen Anbieter haben Kunden und Nutzer ein Anrecht darauf, ihre Daten mitzunehmen. Das Unternehmen muss die Daten dann übertragen.
Datenschutzbehörden haben das Recht, das Löschen bestimmter Daten anzuordnen.
Unternehmen drohen bei Verstößen gegen die neuen Regeln hohe Strafen - sie können sich auf bis zu vier Prozent des Jahresumsatzes belaufen. Verstöße gegen die DSGVO müssen Unternehmen innerhalb einer Frist von 72 Stunden den Behörden melden.
Die DSGVO gilt nicht nur für in der EU ansässige Unternehmen. Kriterium für die Anwendung ist das sogenannte Marktort-Prinzip. Das heißt: Anbieter, die sich an Konsumenten in der EU wenden, unterliegen den europäischen Datenschutzregeln, auch wenn der Konzern seinen Hauptsitz etwa in den USA hat.
Für außereuropäische Unternehmen sind die Datenschutzbehörden jenes EU-Landes zuständig, in dem die Unternehmen ihren Hauptsitz haben. So sind etwa die irischen Datenschützer für Facebook zuständig, weil der US-Konzern seine Europa-Zentrale in Dublin hat. Stellen deutsche Datenschützer also bei Facebook einen Verstoß gegen die DSGVO fest, dann kontaktieren sie nicht das Unternehmen direkt. Stattdessen schalten sie die irischen Kollegen ein, die den Fall prüfen und sich dann gegebenenfalls an Facebook wenden.
Bei Unstimmigkeiten zwischen nationalen Datenschutzbehörden wird der Europäische Datenschutz-Ausschuss eingeschaltet, der am 25. Mai seine Arbeit aufnimmt. In diesem Gremium hat jedes EU-Mitglied eine Stimme.
Dass selbst Ärzte sich sorgen, überrascht. Sie gelten schließlich als der Inbegriff der Verschwiegenheit. Doch neben Geheimhaltungsklauseln verlangt die DSGVO von Unternehmen wie von Ärzten diverse Protokolle zu führen.
Jeder Schritt, der mit Daten zu tun hat, muss festgehalten, einer Kategorie zugeordnet und mit Sicherungsmaßnahmen verknüpft werden. Diese Verzeichnisse zu führen kostet Zeit – im Fall eines Arztes die der Patienten. Sich zu weigern, ist keine Option. Die Strafen, die die DSGVO für Verstöße vorsieht, tun richtig weh.
Praxen bereit für die DSGVO zu machen, dauert. Was jedoch voraussichtlich recht schnell passieren kann, ist überprüft zu werden. Sind Patienten unsicher, ob Ärzte mit ihren Daten richtig umgehen, haben sie das Recht, ein detailliertes Protokoll die Verwendung einzusehen. Haben Praxen diese Protokolle nicht innerhalb von vier Wochen parat, folgt eine Untersuchung.
Bisher war es andersherum. Kläger mussten nachweisen, dass mit ihren Daten nicht richtig umgegangen wurde. Ab dem 25. Mai liegt die Beweispflicht beim Unternehmen. Was genau aber unter dem richtigen Umgang mit Daten und der gerichtsfesten Dokumentation im Sinne der DSGVO gemeint ist, ist je nach Paragraph mehr oder weniger klar definiert. Von „angemessenen Maßnahmen“ ist die Rede.
Diese beginnen beim Betreten der Arztpraxis. Ein Patient kommt zum Röntgen in die Praxis, meldet sich an und gibt seine Versichertenkarte ab. So weit, so normal. „Vom 25. Mai an muss ich alle datenschutzrelevanten Tätigkeiten in meiner Praxis genauestens beschreiben und in differenzierten Verzeichnissen hinterlegen“, sagt Rieckesmann. Das bedeute, dass er nicht nur – wie vorher auch schon – seine Patientenakten auf dem neuesten Stand halten muss. Künftig muss er in ein separates Verzeichnis eintragen, dass die Aktenbearbeitung überhaupt Teil seiner Arbeit ist. Es folgen Akteneinträge über jede denkbare Tätigkeit eines Arztes. Irgendwann sei diese Liste dann komplett und alles, was die Praxis tut, steht drin. In welcher Form die Protokolle vorliegen sollen, ist nicht geregelt.