2018 kommen auf alle Unternehmen weitreichende Änderungen zu: Ab dem 25. Mai 2018 gilt die neue EU Datenschutzgrundverordnung (EU-DSGVO) auch in Deutschland. Diese stellt viele Grundsätze des Datenschutzrechts nach dem alten BDSG auf den Kopf. Vor allem die hohen Bußgelder von bis zu 20 Millionen Euro und viele offene Fragen bereiten vielen Unternehmen Kopfschmerzen. Wir erklären, was Sie beachten müssen, damit Sie bald mit der Umsetzung anfangen können.
Um was geht es bei der DSGVO?
Die Datenschutzgrundverordnung (DSGVO) ist eine EU-Verordnung - also eine Verordnung die in der ganzen EU gilt. Das Datenschutzrecht schützt natürliche Personen bei der Verarbeitung personenbezogener Daten und ist am 25. Mai 2018 in Kraft getreten.
Was sind personenbezogene Daten?
Alle Informationen, die sich auf eine identifizierte Person beziehen und Merkmale der Person beinhaltet, wie die physische, physiologische, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität. Dies ist also z.B. Name, Anschrift, Familienstand, Geburtsdatum, usw. Eine besonders hohe Schutzbedüftigkeit besteht auf Daten wie Religion, ethnische Herkunft, Gesundheitsdaten, usw.
Und um welche Personen geht es?
Jede natürliche Person, über die Sie in Ihrem Unternehmen Daten erfassen und verarbeiten. Es sind also nicht nur die Patienteninformationen, sondern auch Daten zu Mitarbeitern, Kunden, Lieferanten, usw.
Hat das was mit meinem Computer zu tun?
Nicht nur! Die Verarbeitung betrifft nicht nur die Daten auf dem Computer, sondern jeden Prozess bei dem personenbezogene Daten verarbeitet werden, z.B. auch auf dem Auftragszettel aus der Zahnarztpraxis, auf dem der Patientenname steht. Aber das DSGVO betrifft auch die Verarbeitung auf dem Computer. Der Computer muss gegen fremden Zugriff geschützt werden.
Muss ich mit meinem Kunden sprechen?
Ja auf jeden Fall! Jedes Dentallabor sollte die Kommunikation mit seinen Kunden überprüfen. Am besten sollte eine Datenschutzvereinbarung mit jedem Kunden getroffen werden. Austausch von Daten über unsichere Dienste, wie WhatsApp, Dropbox oder ähnliches müssen geregelt werden.
Was kommt in Bezug auf meine Software auf mich zu?
Grundsätzlich muss der Austausch von Informationen sicher sein! Das bedeutet, z.B. E-Mails in und von der Praxis mit personenbezogenen Daten müssen geschützt werden, also Kostenvoranschläge und Rechnungen mit Patienteninformationen. Eine einfache Methode ist die PDF-Anhänge als passwortgeschützte Datei zu sichern. Das bedeutet, Sie vereinbaren mit Ihren Kunden ein Passwort, dass dann verwendet wird, um die PDF-Datei zu öffnen. Zusätzlich können alle E-Mail Anhänge gesichert als ZIP-Datei verschickt werden. Eine weitere, aber aufwendigere, Möglichkeit ist die Verschlüsselung aller E-Mail mittels PGP. Bei der PGP Verschlüsselung muss auch in der Praxis die PGP-Software zum Entschlüsseln installiert werden.
Muss auch die XML-Datei geschützt werden?
Unserer Ansicht nach nicht, da die XML-Datei alleine keine personenbezogenen Daten beinhaltet. Darf ich im E-Mail Betreff oder im E-Mail Text den Patientennamen nennen? Unserer Meinung nach ist es besser, wenn dort kein Patientenname erscheint!
Gerne beraten wir Sie ausführlich, falls Sie nähere Informationen benötigen.