Seit dem 25.05.2018 ist die Datenschutz-Grundverordnung in Kraft getreten. Nachdem es in den Wochen davor und unmittelbar danach reichlich Wirbel und Verunsicherung um das neue Gesetz gab, sind diese zwar juristisch nicht kleiner geworden, gleichwohl ist ein wenig Ruhe eingekehrt und bisher Abmahnwellen ausgeblieben.
Allererste Hausaufgaben
Auch die meisten Zahnarztpraxen haben die allerersten (!) Hausaufgaben erledigt: Verzeichnis von Verarbeitungstätigkeiten angelegt, technisch-organisatorische Maßnahmen durchgeführt, ggf. einen Datenschutzbeauftragten bestellt und Auftragsverarbeitungsverträge abgeschlossen. Natürlich gehörte auch eine Überarbeitung der Website und der Datenschutzerklärung dazu. Praxen, die dies noch nicht erledigt haben, sollten so schnell wie möglich aktiv werden.
Wichtig sind auch Hinweise zum Datenschutz an die Patienten auszugeben, in denen diese über Ihre Rechte belehrt werden.
Bei Verstößen drohen ggf. Bußgelder der Datenschutzaufsichtsbehörden, auch wenn diese gerade bei kleinen Unternehmen zunächst beratend tätig sein wollen. Zudem können Betroffene bei Datenschutzverletzungen materiellen und immateriellen („Schmerzensgeld“) Schadensersatz geltend machen. Momentan ist insbesondere eine Anwaltskanzlei dabei, für einen Mandanten wegen mangelnder SSL-Verschlüsselungen von Kontaktformularen auf Homepages Schmerzensgelder zwischen 8.500 und12.500 Euro zu fordern. Wer davon betroffen ist, sollte sich unbedingt wehren. Hier steht sowohl bei der Frage des „Ob“ als auch des „Wie hoch“ eine Rechtswidrigkeit im Raum.
Überforderung der Behörden
Aktuell jedoch stöhnen die Datenschutzbehörden unter der Vielzahl der Informationsanfragen der Unternehmen. Bis zu 140 telefonische Anfragen pro Tag werden nach Medienberichten zum Beispiel in Nordrhein-Westfalen gemeldet. Aber auch die Anzahl der Bürgerbeschwerden hat zugenommen. Erfreulicherweise sind Arzt- und Zahnarztpraxen, Krankenhäuser, Apotheken und Unternehmen aus der Gesundheitswirtschaft noch nicht im Fokus. Sprunghaft stand aber auch die Zahl der Unternehmen die fahrlässige Datenschutzverstöße meldeten – ohne eine solche Meldung droht ebenfalls ein Bußgeld.
Abmahnungen gegen Arztpraxen
Von Abmahnungen gegen Arztpraxen aufgrund DSGVO-Verstößen wird aktuell allerdings aus Nordwestdeutschland berichtet. Die Kassenärztliche Vereinigung Bremen (KVHB) warnt davor auf Ihrer Homepage. Die Abmahnungen richten sich im Wesentlichen gegen mangelhafte Datenschutzerklärungen auf Internetseiten. Die KVHB rät dabei, die Internetseiten vorläufig vom Netz zu nehmen und die Datenschutzerklärungen anzupassen.
Wer Opfer einer solchen Abmahnung geworden ist, sollte jedoch nicht die geforderten Anwaltskosten von ca. 700 Euro an den Abmahner zahlen. Vielmehr sollte er selbst einen Rechtsanwalt konsultieren. Oftmals sind Abmahnungen mangels Konkurrenzverhältnis schon unwirksam. Zudem ist es aktuell unter Juristen sehr streitig, ob überhaupt aufgrund der DSGVO abgemahnt werden kann.
Keine Hilfe aus der Politik
Die Bundestagsfraktionen von CDU/CSU und SPD hatten in Aussicht gestellt, kurzfristig kleinen und mittelständischen Unternehmen sowie Vereinen zu helfen, in dem eine gesetzgeberische Lösung nach österreichischem Vorbild beschlossen wird: Beim ersten Verstoß zunächst eine Beratungspflicht der Behörden und zudem ein – ggf. temporäres – Abmahnverbot. Schließlich konnten sich die Politiker jedoch nicht einigen und präferieren nun mehr eine „große Lösung“, mit der sie das Abmahnwesen an sich stark einschränken wollen.
Zahntechnik als Auftragsverarbeitung?
Unklar bleibt weiterhin, ob das Verhältnis zwischen Zahnärzten und Zahntechnikern ein Auftragsverarbeitungsverhältnis oder eine Gemeinsame Datenverarbeitung vorliegt. Aufgrund der auch medizinrechtlich speziellen Regelungen über die Zusammenarbeit dieser Berufsgruppen gibt es für beide Sichtweisen nachvollziehbare datenschutzrechtliche Argumente. Momentan herrscht in Deutschland ein Flickenteppich bzgl. der Einschätzung der jeweiligen Landesdatenschutzbeauftragten. Verbände und Kammern drängen aktuell auf einer Entscheidung der Konferenz der Datenschutzbeauftragten der Länder und des Bundes. Hier ist hoffentlich bald eine Entscheidung zu erwarten.
Fazit
Zahnarztpraxen müssen den Datenschutzregelungen nachkommen. Die großen Prüf- und Abmahnwellen sind – vielleicht auch aus Kapazitätsgründen und weil noch niemand die Regeln genau auslegen kann – bislang ausgeblieben.
