Zahnärztliche Mitteilungen Nr. 10

zm 109, Nr. 10, 16.5.2019, (1143) com (https://haveibeenpwned.com ). Wichtig: Zur Qualität und Aktualität der dort hinter- legten Daten kann man nichts sagen. Stimmt es, dass ich als Zahnarzt immer einen Datenschutzbeauftrag- ten benötige, da nach Art. 37 Abs. c DSGVO Gesundheitsdaten als besonders sensibel anzusehen sind! Das ist so nicht ganz richtig, denn Erwägungsgrund 91 privilegiert Ärzte und Rechtsanwälte in besonderer Form, sofern sie als einzelner Arzt handeln. In diesen Fällen wird die Verarbeitung personen- bezogener Daten ausdrücklich nicht als umfangreich gewertet. Sollte aber die Ver- arbeitung von Patientendaten über den üblichen Umfang hinausgehen, ist auch dann, wenn nicht regelmäßig mehr als zehn Personen ständig mit der Datenverarbeitung nach § 38 Abs. 1 BDSG betraut sind, ein interner/externer Datenschutzbeauftragter zu benennen und zu melden. Praxishinweis : Sie kommen zu dem Ergeb- nis, dass Sie doch einen internen/externen Datenschutzbeauftragten brauchen, trauen sich aber nicht mehr, ihn bei der Aufsichts- behörde zu melden? Keine gute Idee! Melden Sie in jedem Fall. Die Alternative ist nämlich, dass die Aufsichtsbehörde ein Buß- geld wegen des fehlenden Datenschutz- beauftragten verhängt. Weiterhin sind zusätzlich einige Mythen über die DSGVO im Umlauf. Hier die Fragen und die Fakten: Mythos oder Fakt? Es gibt keine Kontrollen und es wird auch keine geben. Das ist falsch. So verstärkte das Bayerische Landesamt für Datenschutzaufsicht (Bay- LDA) Ende 2018 seine Prüfaktivitäten. Im Mittelpunkt stand unter anderem der IT- Schutz in Arztpraxen. Dabei ging es vor allem um die Ransomware. Das ist eine Schadsoftware, durch die der Zugriff auf Daten gesperrt und anschließend ein Löse- geld gefordert wird, um die Daten wieder im ursprünglichen Zustand verfügbar zu machen. Das BayLDA sieht gerade im medi- zinischen Bereich solche Angriffe wegen des ? ? Zugriffs auf Patienten- und Behandlungs- daten besonders kritisch. Man entschied sich daher, Ärzte zum Umgang mit und zur Prävention von Angriffen mittels Ver- schlüsselungstrojaner zu kontrollieren. Es kann daher nicht ausgeschlossen werden, dass Zahnarzt- und KFO-Praxen in 2019 ebenfalls geprüft werden – und das nicht nur in Bayern, sondern auch durch die je- weiligen Aufsichtsbehörden in den anderen Bundesländern. Praxishinweis: Die Kontrolle erfolgte mittels eines Fragebogens mit mehreren Ankreuz- möglichkeiten, abzurufen, unter https:// www.lda.bayern.de/de/kontrollen.html. Die Aufsichtsbehörden geben meist eine Frist zur Stellungnahme ab. Keine Antwort zu geben, ist hier unklug. Halten Sie sich an die Frist! Mythos oder Fakt? Wir sind eine Einzelpraxis, haben keine Website und brauchen daher kein Verzeichnis der Verarbeitungstätigkeiten. Nein! Jeder Verantwortliche muss das Ver- zeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO führen. Denn auch in einer Zahnarztpraxis, die vielleicht nur eine Mitarbeiterin hat, erfolgt regelmäßig die Verarbeitung von Patientendaten und anderen Daten (Labor, Röntgen etc.). Praxishinweis : Das Verzeichnis der Zahn- arztpraxis wird nur der Aufsichtsbehörde vorgelegt, damit die Verarbeitungsvorgänge kontrolliert werden können. Daher gehört es in keinem Fall auf die Website! Ausblick In diesem Jahr wird ein Schwerpunkt der Aufsichtsbehörden sicherlich bei der Frage nach der IT-Sicherheit in der Zahn- arztpraxis liegen. Sollten Sie sich noch nicht mit den technisch-organisatorischen Maßnahmen beschäftigt haben, sollte dies auf Ihrer Agenda stehen. Überprüfen Sie auch, falls Sie eine Website betreiben, die dort hinterlegten Datenschutzhinweise. Hier fallen Fehler und Unterlassungen schnell auf. Die Fragen stellte Stefan Grande. ?

RkJQdWJsaXNoZXIy MjMxMzg=