Kapitel 6: Strafrecht, Datenschutz und hoheitliche Sanktionen


In der sozialen Marktwirtschaft ist der Zahnarzt einerseits Unternehmer und andererseits als Leistungserbringer dem Sozialstaat verpflichtet. Daraus haben Rechtsprechung und Gesetzgeber unterschiedliche Pflichten entwickelt, die vom Zahnarzt zu beachten sind. Der Schutz des Patienten und die Verpflichtung zur Verschwiegenheit waren bereits im Eid des Hippokrates (um 460 bis 370 vor Chr.) enthalten: „Meine Verordnungen werde ich treffen zu Nutz und Frommen der Kranken, nach bestem Vermögen und Urteil; ich werde sie bewahren vor Schaden und willkürlichem Unrecht … Was ich bei der Behandlung sehe oder höre oder auch außerhalb der Behandlung im Leben der Menschen, werde ich, soweit man es nicht ausplaudern darf, verschweigen und solches als ein Geheimnis betrachten.“ Besonders wichtig für den Schutz der Patientendaten sind das Datenschutzrecht und vor allem die DSGVO, die die Verarbeitung sensibler Gesundheitsdaten nur unter engen Voraussetzungen erlauben. Damit eine Pflicht auch tatsächlich eingehalten wird, ist eine Kontrolle nebst Sanktion unumgänglich. Deshalb wird die Einhaltung der Pflichten des Zahnarztes durch verschiedene Institutionen, z. B. Staatsanwaltschaft oder KZV, überwacht und erforderlichenfalls durch Strafen sichergestellt.

6.1  Strafrecht

6.1.1  Verstoß gegen die Schweigepflicht, § 203 StGB

Dem Zahnarzt droht, wie jedem anderen Angehörigen eines Heilberufes, eine Freiheitsstrafe bis zu einem Jahr oder eine Geldstrafe, wenn er ein Patientengeheimnis unbefugt offenbart. Das Patientengeheimnis wird sehr weit ausgelegt und umfasst, was der Zahnarzt im Rahmen seiner beruflichen Tätigkeit über den Patienten erfährt. Dazu gehört alles, was der Zahnarzt von dem Patienten gesehen oder gehört hat, auch wenn es mit der eigentlichen Behandlung nichts zu tun hat. Der Zahnarzt darf gegenüber einem Dritten nicht einmal mitteilen, ob er einen Patient überhaupt behandelt.anmelden und weiterlesen

Der Zahnarzt darf aber Patientendaten offenbaren, wenn der Patient zuvor eingewilligt hat (Schweigepflichtsentbindung). Für eine Straflosigkeit reicht ein mutmaßliches Interesse des Patienten nicht aus, z. B. bei Anfragen von Krankenversicherern beim Zahnarzt wegen der Kostenübernahme. Vielmehr darf der Zahnarzt eine solche Anfrage nur beantworten, wenn er zuvor die ausdrückliche Schweigepflichtsentbindung des Patienten erhalten hat.

Die Weitergabe von Gesundheitsdaten kann ausnahmsweise wegen überwiegender Interessen des Zahnarztes gerechtfertigt sein, z. B. bei einem notwendigen Konsil zur Weiterbehandlung des Patienten oder wenn der Zahnarzt eine Forderung aus einer Behandlung gegen einen Patienten durch einen Anwalt geltend macht. Der Zahnarzt darf dann alle erforderlichen Patienteninformationen an den eigenen Rechtsanwalt, Gerichte etc. übermitteln. Aber Vorsicht: Nicht jedes Offenbaren der Patientendaten ist gerechtfertigt, um Ansprüche des Zahnarztes durchzusetzen. Zeigt der Zahnarzt einen Privatpatienten wegen Betrugs an, weil dieser die Zahlung seiner Krankenversicherung nicht weitergeleitet hat, macht sich der Zahnarzt möglicherweise wegen Verstoß gegen § 203 StGB selbst strafbar.

Der Zahnarzt muss Patientengeheimnisse offenbaren, wenn es gesetzlich geregelt ist, z. B. gegenüber

  • der KZV, um die Behandlung gesetzlich Versicherter abzurechnen,
  • der zuständigen Berufsgenossenschaft bei einem Unfall,
  • dem Gesundheitsamt bei bestimmten ansteckenden Krankheiten nach dem Infektionsschutzgesetz,
  • dem Jugendamt bei Verdacht auf Kindesmisshandlung sowie
  • der Prüfungsstelle bzw. dem Beschwerdeausschuss, um eine Wirtschaftlichkeitsprüfung durchzuführen.

Praxistipp: Vergewissern Sie sich vor der Weitergabe von Patienteninformationen an Dritte immer, ob eine Rechtfertigung vorliegt. Bestehen Sie im Zweifel auf einer Einwilligung /Schweigepflichtsentbindung des Patienten.

6.1.2  Vorsätzliche und fahrlässige Körperverletzung, §§ 223, 229 StGB

Jeder zahnärztliche Eingriff gilt nach ständiger Rechtsprechung als Körperverletzung des Patienten im Sinne des Strafrechts. Nur die rechtfertigende Einwilligung des Patienten bewahrt den Zahnarzt vor einer Bestrafung. Die Einwilligung ist nur dann wirksam, wenn der Patient über die Behandlung und mögliche Folgen ausreichend aufgeklärt wurde. Die Aufklärung des Zahnarztes muss dazu führen, dass der Patient versteht, womit er sich einverstanden erklärt.

Nach herrschender Rechtsauffassung ist eine Behandlungsmaßnahme medizinisch notwendig, wenn es nach den objektiven medizinischen Befunden und anerkannten ärztlichen Erkenntnissen zum Zeitpunkt der Behandlung vertretbar war, sie als notwendig anzusehen, BGH, Urteil vom 08.02.2006, IV ZR 131/05. War z. B. die Behandlung mit einem festsitzenden Zahnersatz nach den objektiven Befunden mangels hinreichender Verankerungsmöglichkeit aussichtslos, kann sich der Zahnarzt nicht auf die Einwilligung des Patienten berufen. Der Patient wird regelmäßig keine aussichtslose Behandlung wollen, die nicht de lege artis ist.

Die Anforderungen an die Aufklärung bei nicht zahnmedizinisch indizierten Behandlungen sind deutlich höher als bei einer notwendigen Behandlung. Diese Anforderungen kann der Zahnarzt als juristischer Laie kaum erfüllen. Führt der Zahnarzt auf ausdrücklichen Wunsch des Patienten eine nicht notwendige zahnmedizinische Behandlung durch, kann er sich nicht dadurch rechtfertigen, dass der Patient seine Empfehlung (z. B. ordnungsgemäße Verankerung des festsitzenden Zahnersatzes mit ausreichend Implantaten) abgelehnt hat. In solchen Fällen droht neben dem Verlust des zahnärztlichen Honorars sogar ein Strafverfahren. Der Zahnarzt ist bewusst vom ärztlichen Standard (z. B. festsitzender Zahnersatz nur bei hinreichender Verankerung) abgewichen und hat sogar eine vorsätzliche Körperverletzung begangen.

Praxistipp: Wir erleben es immer wieder, dass Zahnärzte sich von Patienten zu einer medizinisch nicht notwendigen Behandlung überreden lassen. Sehr oft sind besonders wohlwollende Zahnärzte betroffen, die aus allen Wolken fallen, wenn ihr Patient sie nach misslungener Behandlung verklagt.

In der Regel sind Behandlungsfehler fahrlässige Körperverletzungen, § 229 StGB. Fahrlässigkeit bedeutet, dass der Zahnarzt die erforderliche Sorgfalt außer Acht gelassen hat. Dies ist bei einem Behandlungsfehler grundsätzlich der Fall. So genügt z. B. bei einer aussichtslosen Behandlung, dass der Zahnarzt aufgrund seiner Sachkunde bei zutreffender Befundung die Aussichtlosigkeit hätte erkennen müssen. Die fahrlässige Körperverletzung wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe deutlich geringer bestraft als die vorsätzliche Körperverletzung mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe.

Vorsätzliche und fahrlässige Körperverletzung sind Antragsdelikte und werden nur verfolgt, wenn der Patient einen Strafantrag stellt. Ausnahmsweise wird eine Körperverletzung von Amts wegen verfolgt, wenn ein besonderes Interesse der Öffentlichkeit an der Strafverfolgung besteht. Das ist z. B. vorstellbar, wenn ein Zahnarzt bei mehreren Patienten ohne Indikation Zähne zieht und über den Fall auch in der Presse berichtet wurde.

Der Strafantrag des Patienten muss innerhalb von drei Monaten gestellt werden. Viele Patienten beachten diese Frist nicht. Daher werden ärztliche Behandlungsfehler nur selten als Körperverletzung geahndet, obgleich der Tatbestand der fahrlässigen Körperverletzung häufig erfüllt ist. Die Frist beginnt mit Ablauf des Tages, an dem der Patient von der Tat und der Person des Täters Kenntnis erlangt hat. Die Frist beginnt also spätestens dann zu laufen, wenn der Zahnarzt den Behandlungsfehler einräumt oder der Nachweis durch ein Gutachten erfolgt.

Praxistipp: Achten Sie auf eine umfassende Aufklärung und Einwilligung des Patienten in Ihre Behandlung und auf eine gute Dokumentation. Weisen Sie Forderungen des Patienten nach nicht indizierten oder nicht kunstgerechten Behandlungen grundsätzlich zurück. Sind Sie Beschuldigter in einem Strafverfahren wegen Körperverletzung, sollten Sie erst nach Abstimmung mit einem spezialisierten Anwalt zur Sache aussagen.

6.1.3  Bestechlichkeit und Bestechung im Gesundheitswesen, §§ 299a, 299b StGB

Das Verhältnis des Patienten zum Zahnarzt erfordert Vertrauen. Der Vertragszahnarzt wird nicht nur vom Patienten bezahlt, sondern er erhält mittelbar über die KZV öffentliche Mittel. Verordnungen und Rezepte belasten öffentliche Haushalte. Der Zahnarzt darf sich daher weder bestechen lassen noch selbst bestechen.

Bestechung und Bestechlichkeit von Zahnärzten kann aufgrund des Antikorruptionsgesetzes im Gesundheitswesen seit 2016 mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft werden. Voraussetzung ist, dass der Zahnarzt sich bei Verordnung oder Bezug von Arzneimitteln, Medizinprodukten etc. oder bei der Zuführung von Patienten oder Untersuchungsmaterial bestechen lässt, § 299a StGB, oder wenn er selbst einen anderen Heilberufler besticht, § 299b StGB.

Beide Straftatbestände sind sehr weitreichend formuliert. Der Zahnarzt muss Beteiligungen an oder Kooperationen mit Leistungserbringern kritisch darauf prüfen, ob diese Vorschriften einschlägig sind, weil damit möglicherweise Patienten zugeführt werden. Überweist ein Zahnarzt z. B. einem Oralchirurgen häufig Patienten zur Wurzelspitzenresektion, sollte der Zahnarzt ein Dankeschön in Form regelmäßiger Einladungen in ein Sternerestaurant besser ausschlagen.

Der für die Bestechungstatbestände objektiv erforderliche Vorteil wird sehr weit ausgelegt. Unter einem Vorteil i.S. der §§ 299a und 299b StGB wird nicht nur die Zahlung von Geld verstanden, sondern auch sonstige Besserstellungen des Zahnarztes. So kann die unentgeltliche oder verbilligte Überlassung von Praxisgeräten ebenso als Vorteil angesehen werden, wie die kostenlose Einladung zu Kongressen und Fortbildungsveranstaltungen oder gar die bloße Ehrung des Zahnarztes.

Die Strafbarkeit nach §§ 299a und 299b StGB erfordert eine sog. Unrechtsvereinbarung, die die Beteiligten getroffen haben müssen, d. h. jemand muss um des Vorteils willen unlauter bevorzugt worden sein. Oftmals wird es daran fehlen. So kann der Zahnarzt sich verteidigen, dass er bestimmte Implantate ausschließlich aufgrund ihrer hohen Qualität auswählt und nicht, weil ihm die kostenlose Teilnahme an einem von dem Implantathersteller organisierten Kongress ermöglicht wurde. Diese Einlassung kann von den Strafverfolgungsbehörden kaum widerlegt werden, wenn der Zahnarzt zahnmedizinische Gründe für die Zusammenarbeit mit diesem Hersteller nennen kann. Allerdings sollte der Zahnarzt z. B. von Zielvereinbarungen mit dem Implantathersteller absehen, die bei bestimmten Mengen zu Rabatten führen.

6.1.4  Abrechnungsbetrug, § 263 StGB

Abrechnungsbetrug wird Zahnärzten häufiger als Bestechung oder Bestechlichkeit vorgeworfen. Betrug wird mit Freiheitsentzug bis zu fünf Jahren oder Geldstrafe bestraft, § 263 StGB. Ein Betrug liegt vereinfacht gesagt vor, wenn der Zahnarzt eine andere Person täuscht und dadurch einen Vermögensschaden herbeiführt. Der Zahnarzt muss dabei in Bereicherungsabsicht handeln, wobei es nicht darauf ankommt, ob der Zahnarzt oder ein Dritter bereichert wird.

Der klassische Abrechnungsbetrug liegt vor, wenn der Zahnarzt bewusst nicht erbrachte Leistungen gegenüber der KZV abrechnet. Durch die Täuschung des Zahnarztes muss ein Irrtum erweckt werden. Daran fehlt es beim Patienten, wenn er weiß, dass aus Gründen der besseren Erstattungsfähigkeit andere Leistungen abgerechnet werden. Ein Betrug zu Lasten des Patienten scheidet aus. Allerdings liegt ein gemeinschaftlicher Betrug zu Lasten der KK vor. Nicht einfach ist die strafrechtliche Beurteilung, wenn tatsächlich eine Leistung erbracht und sie mit einer unzutreffenden Gebührenziffer abgerechnet wurde. Hier kommt es darauf an, ob der Zahnarzt absichtlich getäuscht hat. Daran fehlt es, wenn die Abrechnung zumindest vertretbar war oder wenn der Zahnarzt die Strafverfolgungsbehörden von einem Versehen überzeugen kann, z. B. weil in der Rechnung aufgrund eines Übertragungsfehlers der falsche Zahn genannt wurde.

Strafbarkeitsrisiken wegen Betrugs bestehen bei der Weiterberechnung von Material- und Fremdlaborkosten an Patienten. Während beispielsweise Handwerker oft Materialien mit einem gewissen Aufschlag an ihre Kunden weiterberechnen, ist dies dem Zahnarzt ausdrücklich verwehrt. Dem Zahnarzt steht allenfalls der handelsübliche Skonto von 2 bis 3 % bei sofortiger Bezahlung zu. Wenn der Zahnarzt ein Eigenlabor betreibt, darf er für die Laborleistungen ebenfalls eine Gewinnspanne ansetzen. Ansonsten muss der Zahnarzt dem Patienten bzw. der KK die tatsächlich entstandenen Aufwendungen berechnen. Räumt ihm z. B. ein Zahnlabor oder ein Hersteller von Implantaten einen Mengenrabatt ein, muss er diesen Vorteil dem Patienten zukommen lassen. Anderenfalls täuscht er vor, dass er Zahlungen geleistet hat, welche (in dieser Höhe) nicht erbracht wurden.

Schließlich können auch Verstöße gegen Berufspflichten als Betrug bewertet werden, wenn sie Voraussetzung für die Abrechnungsfähigkeit sind, z. B. wenn der Zahnarzt Leistungen eines Dritten als persönlich erbrachte, eigene Leistungen berechnet.

Praxistipp: Rechnen Sie Ihre zahnärztlichen Leistungen gewissenhaft ab und dokumentieren Sie die Abrechnung! Seien Sie vorsichtig bei Geschenken oder kostenlosen Angeboten von Herstellern etc. Geben Sie Mengenrabatte an die Patienten weiter. Es ist immer wieder faszinierend, wie oft betrogene Ehefrauen die Strafverfolgungsbehörden über große und kleine Verfehlungen ihrer früheren Ehemänner informieren.

6.1.5  Urkundenfälschung bzw. Datenveränderung bei Patientenunterlagen, §§ 267 ff. StGB

Der Zahnarzt ist berufsrechtlich zur Dokumentation verpflichtet. Wenn der Zahnarzt seine Einträge nach der Behandlung zeitnah nochmals überprüft und überarbeitet, ist das unproblematisch. Davon zu unterscheiden ist aber die gezielte, nachträgliche Manipulation zu Gunsten des Zahnarztes, z. B. weil er seine Chancen in einem Gerichtsverfahren verbessern will. Eine schriftliche Patientenkartei ist eine Urkunde, sodass eine nachträgliche Manipulation eine Urkundenfälschung sein kann. Diese wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe sanktioniert. Heutzutage werden die Behandlungsakten in der Praxis meist elektronisch geführt. Elektronischen Patientenunterlagen gelten nicht als Urkunden im Sinne von § 267 StGB. Eine Manipulation elektronisch gespeicherter Patientendaten kann aber ebenfalls bestraft werden, sei es als Fälschung beweiserheblicher Daten (§ 269 StGB) oder als Fälschung technischer Aufzeichnungen (z. B. bei CT- und MRT-Datensätzen). Zudem kommt eine strafbare Datenveränderung nach § 303a StGB in Betracht.

Der Zahnarzt sollte sich vor solchen Manipulationen hüten. Gerichte reagieren empfindlich, wenn Funktionen der IT, die nachträgliche Änderungen erfassen, deaktiviert wurden. Verdächtig ist auch, wenn gerade die streitgegenständlichen Passagen der Dokumentation im Vergleich zu anderen, ebenso wichtigen, aber nicht streitentscheidenden Passagen besonders ausführlich sind. Gerichte bewerten es oft als unglaubwürdig, wenn ein Befund frühzeitig dokumentiert wird, der eigentlich erst später erkannt wurde (z. B. in einem Konsil) oder wenn der Zahnarzt als juristischer Laie Rechtsbegriffe in seiner Dokumentation benutzt. Besonders misslich ist es, wenn der Patient vor dem Prozess bereits die Patientenunterlagen angefordert hatte und diese sich von den Patientenunterlagen unterscheiden, die dem Gericht oder dem Sachverständigen vorgelegt wurden.

Für die Gerichtsentscheidung kommt es darauf an, dass der Zahnarzt bestimmte Handlungen bzw. Erklärungen tatsächlich durchgeführt hat. Wenn der Zahnarzt das vor Gericht gut und nachvollziehbar mündlich erläutern kann und zumindest ein allgemeiner Hinweis in den Patientenunterlagen existiert, sind die Erfolgsaussichten bei Gericht deutlich höher als bei unerklärbaren Eintragungen in der Patientenkartei. Die Gerichte wissen, dass der Zahnarzt gerade bei häufigen Behandlungen nicht bei jedem Patienten ausführlich dokumentieren kann.

6.1.6  Ausstellen unrichtiger Gesundheitszeugnisse und unterlassene Hilfeleistung

Der Zahnarzt darf – wie jeder andere Mediziner auch – keine falschen Atteste erstellen und muss Personen in Not helfen. Man könnte meinen, dass das Selbstverständlichkeiten sind. Doch Vorsicht: Die Rechtslage ist strenger als viele Zahnärzte glauben.

Zahnärzte, die z. B. Atteste gegen die Maskenpflicht während der Corona- Pandemie ohne Untersuchung oder medizinische Anamnese ausgestellt haben, können wegen Ausstellen unrichtiger Gesundheitszeugnisse mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft werden, § 278 StGB.

Eine unterlassene Hilfeleistung kann schon gegeben sein, wenn der Zahnarzt – z. B. weil der Patient die letzte Rechnung nicht gezahlt hat – die Behandlung bei starken Zahnschmerzen verweigert. Sie wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, § 323c StGB. Allerdings bezieht sich die Hilfeleistungspflicht nur auf eine Notversorgung. So kann der säumige Patient nicht verlangen, dass der Zahnarzt eine umfangreiche prothetische Neuversorgung durchführt.

6.1.7  Rechte gegenüber (Strafverfolgungs-)Behörden und Gerichten

Die ärztliche Schweigepflicht korrespondiert mit dem Zeugnisverweigerungsrecht des Zahnarztes vor Behörden und Gerichten, §§ 383 ZPO, 53 StPO. Ist der Zahnarzt als Zeuge geladen, kann und muss er behördliche und gerichtliche Fragen mit Hinweis auf das Patientengeheimnis verweigern. Meist wird daher vor der Vernehmung eines Zahnarztes eine Schweigepflichtsentbindung des Patienten eingeholt.

Ist der Zahnarzt Beschuldigter eines Strafverfahrens, so steht ihm ergänzend das allgemeine Aussageverweigerungsrecht zu, worüber er von den Ermittlungsbehörden zu belehren ist, § 126 StPO. Einer polizeilichen Vorladung zur Vernehmung muss er als Beschuldigter nicht nachkommen.

Die Durchsuchung seiner Praxis muss der Zahnarzt grundsätzlich nur hinnehmen, wenn ein richterlicher Durchsuchungsbeschluss vorgelegt werden kann. Nach Beendigung einer Durchsuchung kann der Zahnarzt verlangen, dass ihm der Grund der Durchsuchung schriftlich mitgeteilt sowie ein Verzeichnis der beschlagnahmten Gegenstände ausgehändigt wird. Wenn weder der Richter noch der Staatsanwalt selbst anwesend sind, müssen grundsätzlich ein Gemeindebeamter oder zwei Mitglieder der Gemeinde als Zeugen hinzugezogen werden. Der Praxisinhaber bzw. der Inhaber der zu durchsuchenden Räume hat ein Anwesenheitsrecht.

Praxistipp: Nehmen Sie strafrechtliche Ermittlungen ernst. Diezahnärztliche Berufsausübung ist mit Risiken verbunden. Wenn Sie als Beschuldigter vernommen werden, sollten Sie keinesfalls ohne vorherige anwaltliche Beratung zur Sache aussagen.

6.2  Datenschutz

6.2.1  Gesundheitsdatenverarbeitung und Einwilligung

Die Verarbeitung von Gesundheitsdaten ist grundsätzlich jedermann verboten, Art. 9 Abs. 1 DSGVO. Erlaubt ist sie nur, wenn der Betroffene mit der Verarbeitung einverstanden ist oder eine Rechtsgrundlage für die Verarbeitung existiert. Verarbeitung im Sinne der DSGVO ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten wie z. B. das Erheben, Erfassen, das Ordnen oder sogar das Vernichten personenbezogener Daten. Selbst wenn ein Zahnarzt seine Patientenkartei ausschließlich schriftlich führen und in Ordnern ablegen würde, müsste er die DSGVO beachten.anmelden und weiterlesen

Zahnärzte dürfen Gesundheitsdaten ihrer Patienten verarbeiten, sofern die Verarbeitung „aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs … erforderlich“ ist, Art. 9 Abs. 2 Buchstabe h DSGVO. Damit sind alle Datenverarbeitungen in der zahnärztlichen Praxis erlaubt, die für die Behandlung eines Patienten notwendig sind. Für Zahnärzte gibt es also eine gesetzlich geregelte Ausnahme vom grundsätzlichen Verarbeitungsverbot.

Viele Zahnärzte glauben, dass sie zusätzlich eine schriftliche Einwilligung ihres Patienten benötigen, Art. 9 Abs. 2 Buchstabe a DSGVO. Das ist falsch und kann für den Zahnarzt erhebliche Probleme nach sich ziehen! Einwilligungen müssen jederzeit widerruflich sein, worüber der Patient aufgeklärt werden muss. Was soll aber gelten, wenn der Patient seine Einwilligung gegenüber dem Zahnarzt widerruft? Es kann nicht sein, dass der Zahnarzt danach keine Patientenkartei mehr führen darf. Nach Ansicht der Datenschutzbehörden ist zudem „ein willkürliches Wechseln zwischen Einwilligung und anderen Rechtsgrundlagen nicht möglich“, siehe Datenschutzkonferenz, Kurzpapier Nr. 20 „Einwilligung nach der DSGVO“ (Stand: 22.02.19). Ist die Einwilligung unwirksam, darf man sich nicht hilfsweise auf andere Erlaubnistatbestände berufen. Wer also eine schriftliche Einwilligung von seinen Patienten verlangt, kann sich nicht ergänzend auf das Gesetz berufen und verarbeitet Patientendaten ohne rechtliche Grundlage. Die DSGVO sieht sehr hohe Bußgelder vor, die selbst bei kleineren Verstößen ein Viertel des Jahresgewinns des Zahnarztes betragen können.

Allerdings gibt es Verarbeitungen in der Zahnarztpraxis, für die eine Einwilligung des Patienten sinnvoll ist. Bei der Überlegung, welche Datenverarbeitung wirklich erforderlich ist, hilft folgende Kontrollüberlegung: Was würde geschehen, wenn der Patient die Einwilligung widerruft? Könnte der Zahnarzt ihn dennoch behandeln? Wenn die Behandlung trotz des Widerrufs möglich bleibt, sollte eine zusätzliche Einwilligung eingeholt werden. In allen anderen Fällen ist die Verarbeitung gesetzlich erlaubt.

So ist eine Einwilligung des Patienten für die Erinnerung an den nächsten PZR-Termin in der Zahnarztpraxis erforderlich, da die Erinnerung nicht zwingend für die Behandlung erforderlich ist. Widerruft der Patient seine Einwilligung, könnte die Behandlung dennoch durchgeführt werden. Auch Patienten, die nicht erinnert werden, können rechtzeitig erscheinen. Dies gilt gleichgültig, ob die Erinnerung per Post, per E-Mail oder per SMS erfolgt.

6.2.2  Datenschutzrechtliche Information des Patienten

Der Zahnarzt muss dem Patienten, dessen Daten er verarbeitet, bestimmte Informationen erteilen,

  • den Namen und die Kontaktdaten des für die Datenverarbeitung Verantwortlichen (Praxisinhaber),
  • die Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden),
  • die Zwecke, für welche die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für ihre Verarbeitung,
  • die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
  • sein Recht auf Auskunft, Berichtigung oder Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie auf Datenübertragbarkeit,
  • sein Recht bei einer Einwilligung zum jederzeitigen Widerruf, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird,
  • sein Recht zur Beschwerde bei einer Aufsichtsbehörde und
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für den Behandlungsvertrag erforderlich ist.

Angesichts der hohen Sanktionen in der DSGVO sollte der Patient nicht lediglich anhand eines Musters z. B. der ZÄK informiert werden, sondern die konkrete Verarbeitung der Patientendaten in der Zahnarztpraxis sollte dargestellt werden. Die Information der Patienten nach Art. 13 DSGVO sollte keinesfalls vom Patienten zu Beweiszwecken unterschrieben werden. Wenn der Patient die Unterschrift verweigert, muss der Zahnarzt ihn trotzdem behandeln. Würde der Zahnarzt die Behandlung deswegen verweigern, kann dies berufsrechtliche Sanktionen auslösen. Bei einem Notfall könnte sogar eine strafbare unterlassene Hilfeleistung vorliegen.

Da der Zahnarzt lediglich gewährleisten muss, dass die Patienten nach Art. 13 DSGVO informiert wurden, ist ein für jedermann gut leserlicher Aushang der Information in der Praxis vollkommen ausreichend.

Praxistipp: Beschränken Sie sich in Ihrer Zahnarztpraxis auf die Verarbeitungen, die für Behandlungen unerlässlich sind und informieren Sie Ihre Patienten ordnungsgemäß über Art. 13 DSGVO. Vermeiden Sie unnötige Einwilligungen! Sie führen nicht zu höherer Sicherheit, sondern bewirken zusätzliche Risiken.

6.2.3  Patientenkommunikation sowie technische und organisatorische Maßnahmen (TOM)

Von der Erlaubnis zur Datenverarbeitung („Ob“) ist die Art und Weise der Verarbeitung („Wie“) zu unterscheiden. Auch wenn die Verarbeitung der Patientendaten erlaubt ist, muss der Zahnarzt ein angemessenes Schutzniveau durch geeignete TOM sicherstellen. Da der Zahnarzt besonders sensible Gesundheitsdaten verarbeitet, ist das Schutzniveau höher als bei weniger sensiblen Datenverarbeitungen, wie z. B. bei Bestellung eines Fernsehers im Einzelhandel. Dieses hohe Schutzniveau betrifft alle Bereiche der Zahnarztpraxis, d. h. von der Art und Weise der Kommunikation mit Patienten, über die Organisation der Praxisrezeption, bis hin zur Auswahl einer sicheren Praxis-EDV.

So ist z. B. die Benutzung von Messenger-Diensten wie WhatsApp oder die unverschlüsselte E-Mail- Kommunikation mit dem Patienten datenschutzrechtlich problematisch. Wer als Zahnarzt diese Kommunikationswege nutzen will, sollte sich dafür eine ausdrückliche Einwilligung des Patienten einholen. Bei Nutzung unsicherer Kommunikationskanäle sollte der Zahnarzt so wenige personenbezogene Informationen wie möglich preisgeben. Auch wenn der Patient z. B. dem Terminerinnerungsservice per unverschlüsselter E–Mail zugestimmt hat, sollte in der E-Mail auf die Nennung des Patientennamens und des konkreten Behandlungsanlasses (z. B. PZR) verzichtet werden.

Bei der Gestaltung der Praxisräumlichkeiten ist auf eine strikte räumliche Trennung von Empfang, Warteraum und Behandlungsbereich zu achten. Der Zahnarzt muss schon aufgrund der räumlichen Gegebenheiten gewährleisten, dass personenbezogenen Daten des Patienten grundsätzlich nicht von anderen Personen mitgehört werden können. Die Bereiche müssen daher durch Wand und Tür getrennt sein; ein bloßer Sichtschutz oder Vorhänge genügen nicht. Zudem ist, z. B. durch Bodenmarkierungen oder durch Hinweise des Praxispersonals, darauf zu achten, dass bei Aufnahme des Patienten genügend Abstand zu weiteren Wartenden gewahrt wird.

Die EDV muss gegen Fremdzugriffe gesichert sein. Typische Probleme entstehen oftmals, wenn Patienten sich in ein unverschlüsseltes W-LAN der Zahnarztpraxis einwählen können oder im Behandlungszimmer Rechner ohne Passwortschutz vorhanden sind. Das Praxispersonal ist über den richtigen Umgang mit der Software zu schulen, insbesondere wie man das Einschleppen von Verschlüsselungstrojanern verhindern kann. Gerade für größere Zahnarztpraxen bietet es sich an, einen Notfallplan für den Fall der Verschlüsselung durch einen Trojaner zu entwickeln. Die Zahnarztpraxis sollte die vorhandenen Patientendaten durch regelmäßige Backups sichern, sodass bei einer Verschlüsselung durch Schadsoftware die Daten aus aktuellen Backups wiederhergestellt werden können.

{praxistipp}Praxistipp: Legen Sie ein besonderes Augenmerk auf technische und organisatorische Maßnahmen zur Datensicherheit und -vertraulichkeit Ihrer technischen Anwendungen und lassen Sie diese Maßnahmen regelmäßig von dritter Seite prüfen. Falls der Dienstleister Fehler feststellt, arbeiten Sie diese ab. Sollte es dennoch einmal zu einer Datenpanne kommen, können Sie dadurch gegenüber den Behörden nachweisen, dass Sie sich bemüht haben.{/praxistipp}

Es würde den Rahmen dieser Ausführungen sprengen, alle Anforderungen an die Praxis-EDV aufzuführen. Die BÄK hat zusammen mit der KZV im Deutschen Ärzteblatt am 22.06.2018 eine anschauliche Darstellung („Technische Anlage“) veröffentlicht. Auch die ZÄK oder die KZV unterstützen den Zahnarzt.

6.2.4  Beauftragung externer Dienstleistern/Auftragsverarbeitung

Zahnärzte dürfen dritte Dienstleister beauftragen, z. B. Unternehmen zur Wartung der IT der Zahnarztpraxis. Das IT-Unternehmen hat bei der Wartung Zugriff auf die Gesundheitsdaten der Zahnarztpraxis. Mit der Novelle des § 203 Abs. 3 StGB im November 2017 wurde für Zahnärzte Rechtssicherheit geschaffen, weil nun gesetzlich geregelt ist, dass Zahnärzte die ärztliche Schweigepflicht nicht brechen, wenn sie externe Dienstleister beauftragen. Allerdings muss der Zahnarzt seine Dienstleister über deren eigene Strafbarkeit bei Offenbarung von Patientendaten belehren und sie verpflichten, entsprechend bei etwaigen Unterauftragnehmern vorzugehen. Unterlässt der Zahnarzt diese Belehrung, kann er sich strafbar machen, wenn der Dienstleister oder einer seiner Unterauftragnehmer Patientengeheimnisse Dritten offenbart.

Mit dem Dienstleister muss der Zahnarzt in datenschutzrechtlicher Hinsicht zusätzlich einen Auftragsverarbeitervertrag vereinbaren, Art. 4 Nr. 8, 28 DSGVO. Der Dienstleister des Zahnarztes verarbeitet personenbezogenen Daten im Auftrag und nach Weisung des Zahnarztes, sodass der Zahnarzt für die Datenverarbeitung verantwortlich bleibt. Fehler des Auftragsverarbeiters werden ihm zugerechnet. Wenn der Zahnarzt z. B. die Lohnbuchhaltung an einen Steuerberater auslagert oder er Forderungen an ein Abrechnungsunternehmen abtritt, ist der Dritte für die Verarbeitung der Daten verantwortlich. In diesen Fällen darf der Zahnarzt keinen Auftragsverarbeitervertrag abschließen.

Ein Problem stellt die Speicherung der Patientendaten in einer Cloud dar, wenn die Cloud z. B. von einem Anbieter aus den USA betrieben wird. Auch bei den in der Zahnarztpraxis benutzten Geräten kann oft nicht ausgeschlossen werden, dass Patientendaten ins außereuropäische Ausland übermittelt werden. Dieses Thema stellt sich spätestens seit dem Urteil des EuGH vom 16.07.2020, C-311/18 für jeden Zahnarzt. Der EuGH hat den sog. EU – US Privacy Shield für unanwendbar erklärt. Datenübermittlungen in die USA verstoßen oft gegen die DSGVO. Der Zahnarzt muss bei jedem Dienstleister sicherstellen, dass er keine Daten direkt oder indirekt in die USA übermittelt. Das betrifft insbesondere Cloud-Anbieter wie Microsoft OneDrive, Google Drive etc. Sollte sich der Zahnarzt dennoch für eine Cloud-Lösung entscheiden, muss er die sog. EU-Standardvertragsklauseln verwenden; die Server müssen räumlich in der EU installiert sein, und der Anbieter muss schriftlich zusichern, dass unter keinen Umständen personenbezogene Daten in die USA oder ein Drittland gelangen können.

6.2.5  Behandlungsunterlagen, Einsichtsrecht und Datenschutzdokumentation

Der Zahnarzt ist verpflichtet, Befunde und Behandlungsmaßnahmen chronologisch und für jeden Patienten getrennt zu dokumentieren (zahnärztliche Dokumentation) und für zehn Jahre nach Abschluss der Behandlung aufzubewahren.

Dem Patienten ist aufgrund des Behandlungsvertrags und aufgrund der DSGVO auf Verlangen Einsicht in seine Patientenakte zu gewähren. Zwar kann der Zahnarzt ausnahmsweise die Einsichtnahme verweigern, wenn therapeutische Gründe oder erhebliche Rechte anderen Personen dagegen sprechen. Allerdings dürfte es in einer Zahnarztpraxis kaum Gründe geben, die gegen eine tatsächliche Einsichtnahme des Patienten sprechen. Verweigert der Zahnarzt grundlos die Einsichtnahme, muss er mit einer zivilrechtlichen Klage des Patienten rechnen und zusätzlich mit einem Bußgeld der Datenschutzbehörde. Wir raten, der Bitte des Patienten auf Einsicht in die Patientenkartei unverzüglich nachzukommen. Bei der Aufforderung zur Akteneinsicht durch den Anwalt des Patienten muss neben der Anwaltsvollmacht auch die Schweigepflichtsentbindung des Patienten nachgewiesen werden. Der Beauftragung eines Rechtsanwalts durch den Patienten lässt sich nicht ohne weiteres entnehmen, dass der Patient damit einverstanden ist, dass dem Anwalt die gesamte Krankengeschichte des Patienten mitgeteilt wird.

Der Zahnarzt muss die Patientendaten nur zur Verfügung stellen und damit die Einsicht ermöglichen. Zur Herausgabe der Unterlagen an den Patienten ist er nicht verpflichtet.

Praxistipp: Händigen Sie niemals Ihre Original-Dokumentation an den Patienten aus. Wenn es zum Prozess kommt, fehlt Ihnen ansonsten ein wichtiges Beweismittel.

Der Zahnarzt muss die von ihm ergriffenen Maßnahmen zum Schutz der Gesundheitsdaten seiner Zahnarztpraxis schriftlich dokumentieren und auf Verlangen der Datenschutzbehörde zur Verfügung stellen, Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht). Dazu gehört u. a., dass der Zahnarzt ein sog. Verzeichnis von Verarbeitungstätigkeiten anfertigt. Dieses Verzeichnis muss nicht nur alle Verarbeitungstätigkeiten enthalten, sondern

  • die jeweiligen Bearbeitungszwecke,
  • die jeweilige Kategorie betroffener Personen,
  • die jeweilige Kategorie personenbezogener Daten,
  • die Löschfristen,
  • die ergriffenen technischen und organisatorischen Maßnahmen sowie
  • ggf. die Feststellung, ob die Daten an ein Land außerhalb der EU übermittelt werden.

Viele Zahnärzte empfinden ein solches Verarbeitungsverzeichnis als bürokratische Zumutung. Dennoch sollte ein Verzeichnis der Verarbeitungstätigkeiten stichpunktartig in Tabellenform erstellt werden. Sollte es je zu einer Datenpanne z. B. durch einen Hackerangriff kommen, wird die Landesdatenschutzbehörde ein vorhandenes Verarbeitungsverzeichnis bußgeldmindernd berücksichtigen. Umfassende Verarbeitungsverzeichnisse können selbst in einer mittelgroßen Zahnarztpraxis durchaus aufwendig sein und erfordern fachmännische Anleitung. Ein Beispiel für ein Verarbeitungsverzeichnis in derZahnarztpraxis findet sich auf der Website des Bayrischen Landesamtes für Datenschutz („Muster 5: Arztpraxis-Verzeichnis von Verarbeitungstätigkeiten“).

Bei bestimmten Datenverarbeitungen mit besonders hohen Risiken kann es erforderlich sein, eine sog. Datenschutzfolgenabschätzung durchzuführen und zu dokumentieren. Eine solche Risikoanalyse ist für die Zahnarztpraxis regelmäßig nicht notwendig.

Falls eine Zahnarztpraxis so umfangreich Daten verarbeitet, dass eine Datenschutzfolgeabschätzung durchzuführen ist, muss ein Datenschutzbeauftragter bestellt werden. Eine solche Verpflichtung besteht sonst nur, wenn ein Zahnarzt in seiner Praxis mindestens 20 Personen beschäftigt, die ständig personenbezogene Daten automatisiert verarbeiten.

6.2.6  Meldepflicht und Sanktionen der Datenschutzaufsichtsbehörde

Verstöße gegen die DSGVO können hohe Geldbußen nach sich ziehen. Zudem können Aufsichtsbehörden Anordnungen treffen, die vom Zahnarzt zu befolgen sind, und Untersuchungen veranlassen.

Die Untersuchungsbefugnis der Aufsichtsbehörden wird zwar durch die zahnärztliche Schweigepflicht eingeschränkt, § 29 Abs. 3 BDSG. Die ärztliche Schweigepflicht verhindert aber nicht, dass der Zahnarzt gesetzliche Meldepflichten erfüllen muss. Sofern Gesundheitsdaten seiner Patienten unberechtigt an Dritte übermittelt wurden oder eine sonstige erhebliche Datenpanne (z. B. erfolgreicher Hackerangriff) geschah, muss der Zahnarzt innerhalb von 72 Stunden die Datenschutzbehörde informieren. Meist muss auch der betroffene Patient informiert werden. Unterbleibt die Meldung, so kann eine Geldbuße verhängt werden.

Der Bußgeldgeldrahmen reicht von einer bloßen Verwarnung bis zu 20 Millionen €. Die Höhe der Geldbuße muss nach der DSGVO nicht nur angemessen sein, sondern soll auch abschrecken. Geldbußen können schon dann verhängt werden, wenn gesetzlich angeordnete Datenschutzmaßnahmen vom Zahnarzt nicht umgesetzt wurden. Bereits ein fehlendes Verarbeitungsverzeichnis kann zu einer Geldbuße führen.

Die Datenschutzbehörden haben sich inzwischen auf ein Bußgeldkonzept geeinigt, das sich am Jahresumsatz bemisst. Es sieht stark vereinfacht vor, dass der Jahresumsatz durch 360 geteilt und der so ermittelte durchschnittliche Tagesumsatz mit einem bestimmten Faktor – je nach Schwere der Tat – multipliziert wird. Bei leichten Verstößen wird der Tagessatz mit dem Faktor 1 bis 4 multipliziert. Ein leichter Datenschutzverstoß führt bei einem angenommenen Jahresumsatz von 500.000 € zu einem Bußgeld in Höhe von mehr als 5.500 €.

Entsprechend ihres Jahresumsatzes wurde gegen die AOK Baden-Württemberg ein Bußgeld in Höhe von 1,24 Millionen € verhängt, weil sie Versichertendaten für ein Gewinnspiel unzulässig verwendet hat. Aber auch gegen Ärzte wurden schon Bußgelder verhängt. Ebenfalls in Baden-Württemberg hatte ein Arzt zu Schulungszwecken Röntgenbilder im Internet veröffentlicht und dabei übersehen, dass man die Bilder zoomen und dann die Patientennamen erkennen konnte. Diese Veröffentlichung sensibler Gesundheitsdaten wurde mit einem Bußgeld in Höhe von 80.000 € geahndet.

Praxistipp: Dokumentieren Sie Ihre Datenschutzmaßnahmen gewissenhaft und erstellen Sie ein ordnungsgemäßes Verzeichnis Ihrer Verarbeitungstätigkeiten. Sie werden feststellen, dass Sie bestimmte Verarbeitungen hinterfragen und optimieren können.

6.3  Sonstige hoheitliche Sanktionen

6.3.1  Berufsrechtliches Disziplinarverfahren der Zahnärztekammer

Der Zahnarzt unterliegt der Aufsicht der örtlichen Zahnärztekammer. Diese überwacht die Einhaltung der Berufsordnung, d. h. des Standesrechts der Zahnärzte. Meist werden Verstöße gegen die zahnärztliche Kollegialität oder berufswidrige Werbung gerügt. Herabsetzende Äußerungen über die Person, die Behandlungsweise oder das berufliche Wissen eines zahnärztlichen Kollegen sind ebenfalls berufsrechtswidrig. Es ist daher z. B. unzulässig, den zahnärztlichen Kollegen öffentlich als „Pfuscher“ zu bezeichnen.anmelden und weiterlesen

Von ihrer Kammer haben Zahnärzte indes oft nur Verweise zu befürchten. In schwerwiegenderen Fällen oder bei Wiederholungstätern können aber auch Geldbußen verhängt sowie das passive Wahlrecht für Wahlämter der Kammer eingeschränkt werden.

6.3.2  Entzug der Approbation durch die Gesundheitsbehörde

Die Gesundheitsbehörde kann die Approbation des Zahnarztes widerrufen. Zuständig für Erteilung und Entzug der Approbation als Zahnarzt und damit die Erlaubnis, den zahnärztlichen Beruf auszuüben, sind die Gesundheitsbehörden der Länder. Der Entzug der Approbation führt zu einem Berufsverbot und stellt einen gravierenden Eingriff in das Grundrecht des Zahnarztes auf Berufsfreiheit dar. Der Entzug der Approbation kommt nur in Frage, wenn der Zahnarzt wegen schlechter Gesundheit seinen Beruf nicht ausüben oder er sich so unwürdig oder unzuverlässig verhalten hat, dass er nicht mehr als Zahnarzt arbeiten kann.

Nicht jede Verfehlung führt zu einem Berufsverbot. Approbationen werden behördlich nur in Ausnahmefällen und nur bei Straftaten oder ernsten Krankheiten des Zahnarztes entzogen, z. B. bei Abrechnungsbetrug gegenüber vielen Patienten oder bei nachgewiesener Drogensucht. Mittlerweile akzeptiert die Rechtsprechung den Entzug der Approbation auch dann, wenn der Zahnarzt Straftaten außerhalb des unmittelbaren Zahnarzt-Patienten-Verhältnis begeht, z. B. bei erheblicher Steuerhinterziehung (Verwaltungsgerichtshof Bayern, Urteil vom 19.07.2013, 21 ZB 12.2581)

6.3.3  Kassenzahnärztliches Disziplinarverfahren und Entzug der Vertragsarztzulassung

Sanktionen sind auch von der KZV möglich. In erster Linie wird die KZV eine Verwarnung oder einen Verweis aussprechen oder eine Geldbuße verhängen. In gravierenden Fällen kann die KZV das zeitweise Ruhen der Zulassung als Vertragszahnarzt anordnen oder sie sogar ganz entziehen.

Wird dem Zahnarzt die Approbation von der Gesundheitsbehörde entzogen, darf er überhaupt nicht mehr in Deutschland behandeln. Damit ruht auch die Vertragsarztzulassung. Wird dem Zahnarzt dagegen die Vertragsarztzulassung entzogen, kann er grundsätzlich weiter behandeln, darf allerdings nur noch Privatbehandlungen durchführen. In kassenzahnärztlichen Verfahren werden keine berufsständischen, sondern vertragszahnärztliche Pflichtverletzungen geahndet, z. B. wenn eine Wirtschaftlichkeitsprüfung ergibt, dass der Vertragszahnarzt fortwährend gegen das Wirtschaftlichkeitsgebot verstößt.

Der Vollständigkeit halber sei erwähnt, dass bei jeder KZV eine Stelle zur Bekämpfung von Fehlverhalten im Gesundheitswesen eingerichtet wurde, § 81a SGB V. Diese Stelle soll Unregelmäßigkeiten bzw. die rechtswidrige Nutzung von Finanzmitteln beim Vertragszahnarzt untersuchen. Die Stelle verhängt keine Sanktionen, sondern unterrichtet den Vorstand der KZV und bei Verdacht auf eine Straftat mit Bedeutung für die gesetzliche Krankenversicherung die Staatsanwaltschaft. Weitere Maßnahmen werden dann vom Vorstand der KZV bzw. der Staatsanwaltschaft ergriffen.-

Praxistipp: Nehmen Sie Verfahren von Zahnärztekammer, Gesundheitsbehörde und KZV ernst und stimmen Sie sich wie in einem Strafverfahren mit einem medizinrechtlich erfahrenen Anwalt ab. Selbst wenn tatsächlich ein Verstoß vorliegt, kann oft mit Hinweis auf geringe Wiederholungsgefahr ein bloßer Verweis erreicht werden. Zudem wird Ihr Anwalt darauf achten, dass Sie nicht für den gleichen Vorfall von verschiedenen Institutionen mehrfach bestraft werden.