Warum Zahnarztpraxen besonders betroffen sind

Zahnarztpraxen verarbeiten Gesundheitsdaten im Sinne von Art. 9 DSGVO. Diese Daten gelten als besondere Kategorien personenbezogener Daten und unterliegen einem erhöhten Schutzniveau. Das betrifft nicht nur die digitale Patientenakte, sondern auch Röntgenbilder, Behandlungspläne, Heil- und Kostenpläne und Abrechnungsdaten.

Die DSGVO-Anforderungen gelten unabhängig von der Praxisgröße. Auch Einzelpraxen mit wenigen hundert Patienten müssen die Vorgaben vollständig umsetzen.

Rechtsgrundlagen für die Datenverarbeitung

Die Verarbeitung von Patientendaten stützt sich in der Regel auf mehrere Rechtsgrundlagen:

  • Art. 9 Abs. 2 lit. h DSGVO: Verarbeitung zum Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin.
  • Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Erfüllung des Behandlungsvertrags.
  • Berufsrechtliche Dokumentationspflichten nach dem Patientenrechtegesetz (§ 630f BGB).

Eine gesonderte Einwilligung ist für die Behandlung selbst in der Regel nicht nötig. Sie wird aber erforderlich, wenn Daten an Dritte weitergegeben werden, die nicht unmittelbar an der Behandlung beteiligt sind – beispielsweise für Marketing-Zwecke oder Patientenumfragen.

Informationspflichten

Patienten müssen bei der ersten Datenerhebung über die Verarbeitung ihrer Daten informiert werden. Die Datenschutzinformation muss mindestens enthalten:

  • Name und Kontaktdaten des Verantwortlichen
  • Zwecke und Rechtsgrundlagen der Verarbeitung
  • Empfänger der Daten (Labor, KZV, Abrechnungsstellen)
  • Speicherdauer bzw. Kriterien für die Festlegung der Dauer
  • Hinweis auf Betroffenenrechte (Auskunft, Löschung, Widerspruch)

In der Praxis wird diese Information häufig als Aushang im Wartezimmer oder als Beilage zum Anamnesebogen umgesetzt.

Aufbewahrungsfristen

Die Dokumentationspflicht nach § 630f BGB sieht eine Aufbewahrungsfrist von zehn Jahren nach Abschluss der Behandlung vor. Für Röntgenaufnahmen gilt nach der Röntgenverordnung ebenfalls eine Frist von zehn Jahren. Steuerrechtliche Aufbewahrungspflichten können darüber hinausgehen.

Erst nach Ablauf aller Fristen dürfen – und müssen – die Daten gelöscht werden. Eine vorzeitige Löschung auf Wunsch des Patienten ist in der Regel nicht möglich, solange gesetzliche Aufbewahrungspflichten bestehen.

Technische und organisatorische Maßnahmen

Praxen müssen angemessene Schutzmaßnahmen treffen. Dazu gehören unter anderem:

  • Verschlüsselte Kommunikation bei der Übertragung von Patientendaten
  • Zugangskontrollen: Nicht jeder Mitarbeiter muss auf alle Daten zugreifen können
  • Regelmäßige Datensicherungen mit sicherer Aufbewahrung
  • Passwortschutz und automatische Bildschirmsperren an Praxisrechnern
  • Sichere Entsorgung von Papierdokumenten mit personenbezogenen Daten

Auftragsverarbeitung

Wenn die Praxis externe Dienstleister einsetzt, die Zugriff auf Patientendaten haben, ist in der Regel ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Das betrifft beispielsweise:

  • Cloud-basierte Praxisverwaltungssysteme
  • Externe IT-Dienstleister mit Fernwartungszugang
  • Abrechnungsdienstleister
  • E-Mail-Dienste, über die Patientendaten verarbeitet werden

Datenschutzbeauftragter

Ein Datenschutzbeauftragter muss bestellt werden, wenn in der Praxis mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Mitarbeiterzahl kann eine freiwillige Benennung sinnvoll sein, da sie die interne Kontrolle erleichtert.

Fazit

Die DSGVO ist für Zahnarztpraxen kein optionales Thema. Die Anforderungen sind klar definiert und die Risiken bei Verstößen real – sowohl finanziell als auch reputationsbezogen. Wer die Grundlagen sauber umsetzt, schafft nicht nur Rechtssicherheit, sondern auch Vertrauen bei den Patienten.