Zahnärztliche Mitteilungen Nr. 08

zm 108, Nr. 8, 16.4.2018, (784) Eine Pflicht zur Benennung eines Daten- schutzbeauftragten besteht für alle Praxis- formen mit in der Regel mindestens zehn Personen, die ständig mit der automatisier- ten Datenverarbeitung beschäftigt sind. Es gibt drei konkrete Voraussetzungen, bei deren Vorliegen eine Pflicht zur Benennung eines Datenschutzbeauftragten entsteht: 1. Wer ist mit einer automatisierten Daten- verarbeitung beschäftigt? Zur Beantwortung dieser Frage ist es zu- nächst hilfreich, zu verstehen, was mit einer automatisierten Datenverarbeitung gemeint ist. Die DSGVO und das neue BDSG schwei- gen dazu. Im alten BDSG hingegen findet man in § 3 Absatz 2 eine Definition: „Auto- matisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezo- gener Daten unter Einsatz von Datenverar- beitungsanlagen.“ Damit ist eindeutig, dass die Verarbeitung von Patientendaten in einem Computer automatisierte Datenverarbei- tung ist. Das handschriftliche Eintragen von Patientendaten in eine Papierkarteikarte stellt hingegen keine automatisierte Daten- verarbeitung dar, weil die Papierkarteikarte sicher keine Datenverarbeitungsanlage ist. Mit anderen Worten: Es ist in der Praxis fest- zuhalten, wie viele Personen am Computer arbeiten. 2. Sind in der Regel mindestens zehn Personen mit der automatisierten Daten- verarbeitung beschäftigt? Im zweiten Schritt ist zu klären, ob tatsäch- lich zehn Personen mit der automatisierten Datenverarbeitung beschäftigt sind. Bei der Ermittlung der Personenanzahl kommt es allein auf die tatsächliche Anzahl der tätigen Personen an. Die Art der Beschäftigung (zum Beispiel Voll- oder Teilzeit, Auszubil- dende, Praktikanten, Leiharbeit) ist hierfür unerheblich. Man muss also „Köpfe” zählen. Die Anzahl von mindestens zehn Beschäftigten muss „in der Regel“ gegeben sein. Vorüber- gehende Änderungen (Überschreitungen oder Unterschreitungen) des Personalbestands sind daher nicht maßgeblich. Ausgenommen werden können deshalb Personen, die nur zufällig oder gelegentlich im Rahmen der Erledigung anderer Aufgaben mit der auto- matisierten Verarbeitung personenbezogener Daten zu tun haben (zum Beispiel War- tungstechniker; kurzfristiger Entlastungs- assistent; Mitarbeiter eines externen Dental- labors). KZBV und BZÄK haben ihren „Daten- schutz- und Datensicherheitsleitfaden für die Zahnarztpraxis-EDV“ neu aufgelegt. In dem rund 50-seitigen Leitfaden finden Zahnärzte gemäß den neuen Vorgaben der EU-Datenschutzgrundverordnung (EU-DSGVO) und des Bundesdaten- schutzgesetzes (BDSG) Informationen zu Benutzerkonten, zu Administrations- rechten, zur Verschlüsselung, zur Anbin- dung an das Internet, zu Anforderungen an die Praxissoftware und die Hardware- komponenten sowie zur Online-Übertra- gung der Abrechnungsdaten, zur Einfüh- rung der Telematikinfrastruktur (TI) und zu Rechts- und datenschutzrechtlichen Grundlagen. „Für viele Praxen ist die Anbindung an die TI der Anlass, sich noch intensiver mit Datenschutz und Datensicherheit zu beschäftigen“, erklären Dr. Karl-Georg Pochhammer, stellvertretender Vorsitzen- der der KZBV, und Jürgen Herbert, Vor- standsmitglied der BZÄK und Referent für Telematik, dazu. „Dem trägt die Über- arbeitung des Leitfadens Rechnung, der nun die neue Technikberücksichtigt.“ Der aktualisierte Leitfaden ist ab Ende April auf den Webseiten von KZBV und BZÄK verfügbar. Aktualisierter Datenschutzleitfaden Zahnarztpraxis-EDV Foto: ThinMan – Fotolia Datenschutzgrundverordnung Braucht meine Praxis einen Datenschutzbeauftragten? Am 25. Mai tritt die Europäische Datenschutzgrundverordnung (DSGVO) zusammen mit dem neuen Bundesdatenschutzgesetz (BDSG) in Kraft. Zahlreiche Anbieter preisen ihre Hilfe bei der Umsetzung der neuen Regelungen an. „Jede Zahnarztpraxis braucht einen Datenschutzbeauftragten“ ist nur eine Aussage, die in diesem Zusammenhang immer wieder zu hören ist. Aber stimmt das auch? Die Bundeszahnärztekammer klärt auf. 24 Politik