DSGVO im Dentallabor: Pflichten die keiner kennt
Patientendaten, Auftragsverarbeitungsverträge, Verarbeitungsverzeichnis — die meisten Dentallabore haben massive DSGVO-Lücken. Was Sie jetzt ändern müssen.
GetDent Redaktion
Branchenexperten für Dentallabor-Management
Ein Patient ruft an. Nicht der Zahnarzt — der Patient selbst. Er hat auf der letzten Rechnung seiner Praxis den Namen Ihres Labors gelesen und will wissen, welche Daten Sie über ihn gespeichert haben. Name, Geburtsdatum, Zahnstatus, digitale Scans, vielleicht Fotos seiner Zähne. Er beruft sich auf Artikel 15 DSGVO — das Auskunftsrecht.
Ihr Empfang weiß nicht, was er sagen soll. Ihre Techniker wissen es auch nicht. Und wenn Sie ehrlich sind: Sie selbst auch nicht.
Willkommen in der Realität des Datenschutzes im Dentallabor. Einem Thema, das die meisten Laborchefs irgendwo zwischen „betrifft uns nicht” und „machen wir irgendwann” einordnen. Bis der Anruf kommt. Oder der Brief von der Aufsichtsbehörde.
Warum die DSGVO auch Ihr Labor betrifft — ohne Ausnahme
Der häufigste Irrtum in der Branche: „Wir sind ein Handwerksbetrieb mit sechs Leuten. Die DSGVO ist für Konzerne.” Falsch. Fundamental falsch.
Jedes Dentallabor verarbeitet personenbezogene Daten. Mindestens diese:
- Patientendaten: Name, Geburtsdatum, Zahnstatus, Farbangaben, digitale Abformungen, Fotos. Das sind nicht nur personenbezogene Daten — es sind Gesundheitsdaten. Artikel 9 DSGVO stuft diese als besonders schützenswert ein. Die strengste Kategorie, die das Gesetz kennt.
- Mitarbeiterdaten: Personalakte, Lohnabrechnung, Krankmeldungen, Arbeitszeiten, Bewerbungsunterlagen.
- Praxisdaten: Ansprechpartner, Kontaktdaten, Zahlungsinformationen, Umsatzhistorie.
Die Mitarbeiterschwelle von 20 Personen, ab der ein Datenschutzbeauftragter bestellt werden muss? Ändert an den Grundpflichten nichts. Die DSGVO gilt für jedes Labor, ab dem ersten Auftragszettel mit Patientenname. Und weil Gesundheitsdaten verarbeitet werden, gelten sogar verschärfte Anforderungen.
Viele Laborchefs glauben, die Daten gehören der Praxis und das Labor sei nur der „verlängerte Arm.” Rechtlich stimmt das nicht. Sobald Patientendaten auf Ihrem Server liegen, in Ihrem Auftragsbuch stehen oder auf dem USB-Stick Ihres Technikers gespeichert sind, verarbeiten Sie personenbezogene Daten. Mit allen Konsequenzen.
Die sieben Pflichten, die fast kein Labor erfüllt
| Pflicht | Was dahinter steckt | Typischer Status im Labor |
|---|---|---|
| Verarbeitungsverzeichnis (Art. 30) | Dokumentation aller Datenverarbeitungen mit Zweck, Rechtsgrundlage und Löschfristen | Existiert nicht |
| Informationspflichten (Art. 13/14) | Praxen und Betroffene informieren, welche Daten wie verarbeitet werden | Nie gemacht |
| Auftragsverarbeitungsvertrag (Art. 28) | Schriftlicher Vertrag mit jeder Praxis über die Datenverarbeitung | Fehlt bei geschätzt 9 von 10 Laboren |
| Technisch-organisatorische Maßnahmen (Art. 32) | Zugriffsschutz, Verschlüsselung, Backup-Konzept | Passwort auf dem Post-it |
| Löschkonzept (Art. 17) | Festgelegte Fristen, wann welche Daten gelöscht werden | „Wir löschen nie etwas” |
| Datenschutz-Folgenabschätzung (Art. 35) | Bei hohem Risiko: dokumentierte Risikoanalyse | Noch nie gehört |
| Meldepflicht bei Datenpannen (Art. 33) | Innerhalb von 72 Stunden an die Aufsichtsbehörde melden | Keine Prozesse vorhanden |
Sieben gesetzliche Pflichten. Die Mehrheit der Labore erfüllt davon keine einzige.
Das liegt nicht an Ignoranz. Es liegt daran, dass Innungen und Verbände das Thema jahrelang stiefmütterlich behandelt haben. Während Arztpraxen und Apotheken längst standardisierte Datenschutz-Pakete nutzen, arbeiten viele Dentallabore mit Strukturen, die aus den Neunzigern stammen. Der Ordner im Regal. Die Excel-Liste auf dem gemeinsamen Laufwerk. Der Auftragszettel, der durch fünf Hände wandert.
Der Auftragsverarbeitungsvertrag — zwischen Ihnen und einem fünfstelligen Bußgeld
Jede Zahnarztpraxis, die Ihnen einen Auftrag schickt, übermittelt personenbezogene Gesundheitsdaten: Patientenname, Geburtsdatum, Zahnstatus, Befunde, digitale Scans. Diese Übermittlung braucht eine rechtliche Grundlage.
In den meisten Konstellationen ist das Labor ein Auftragsverarbeiter im Sinne des Artikels 28 DSGVO. Das bedeutet: Zwischen Labor und Praxis muss ein Auftragsverarbeitungsvertrag (AVV) existieren. Schriftlich. Vor Beginn der Verarbeitung. Nicht irgendwann. Nicht mündlich. Nicht „machen wir noch.”
Schauen Sie in Ihre Akten. Wie viele Ihrer Praxis-Kunden haben einen AVV mit Ihnen unterschrieben?
Die ehrliche Antwort bei den meisten Laboren: kein einziger.
Das ist kein Kavaliersdelikt. Es ist ein bußgeldbewehrter Verstoß — für beide Seiten. Die Praxis verstößt gegen ihre Pflicht, nur mit vertragsgebundenen Auftragsverarbeitern zusammenzuarbeiten. Das Labor verstößt gegen seine Pflicht, die Verarbeitung vertraglich abzusichern.
Und bevor jemand denkt „das kontrolliert doch keiner”: Die Landesdatenschutzbehörden haben in den letzten Jahren gezielt Stichproben bei Gesundheitshandwerkern durchgeführt. Optiker, Hörgeräteakustiker — und auch Dentallabore stehen auf der Liste.
Was in den AVV reingehört
Ein brauchbarer Auftragsverarbeitungsvertrag für die Labor-Praxis-Beziehung regelt mindestens:
- Gegenstand und Dauer der Verarbeitung (Zahnersatzherstellung, Laufzeit der Geschäftsbeziehung)
- Art der Daten (Gesundheitsdaten, Identifikationsdaten)
- Kategorien betroffener Personen (Patienten der beauftragenden Praxis)
- Pflichten des Labors (Weisungsgebundenheit, Vertraulichkeit, technisch-organisatorische Maßnahmen)
- Unterauftragsverarbeiter (Cloud-Dienste, IT-Dienstleister, Fräszentren — jeder, der Zugriff auf die Daten bekommt)
- Löschung oder Rückgabe nach Auftragsende
- Kontrollrechte der Praxis
Vorlagen gibt es bei den Landesdatenschutzbehörden kostenlos. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat ein Muster veröffentlicht, das sich mit überschaubarem Aufwand auf die Labor-Praxis-Beziehung anpassen lässt. Fragen Sie gezielt bei Ihrer Innung oder Ihrem Steuerberater nach — die meisten haben mittlerweile Vorlagen in der Schublade.
Verarbeitungsverzeichnis: Klingt nach Bürokratie, ist Ihr Schutzschild
Artikel 30 DSGVO verlangt ein Verzeichnis aller Verarbeitungstätigkeiten. Das klingt nach dem nächsten Papiertiger. Ist aber der Dreh- und Angelpunkt Ihres gesamten Datenschutzkonzepts — und das Erste, was eine Aufsichtsbehörde bei einer Prüfung anfordert.
Für ein typisches Dentallabor enthält das Verzeichnis drei bis fünf Einträge:
Auftragsbearbeitung — Herstellung von Zahnersatz. Betroffene: Patienten. Daten: Name, Geburtsdatum, Zahnstatus, Scans, Farbangaben, Befunde. Empfänger: ggf. Fräszentren oder CAD-Dienstleister. Löschfrist: 10 Jahre nach Auftragsabschluss (steuerliche Aufbewahrung nach §147 AO). Rechtsgrundlage: Vertragserfüllung in Verbindung mit Auftragsverarbeitung.
Personalverwaltung — Lohnbuchhaltung, Arbeitszeiterfassung, Personalplanung. Betroffene: Mitarbeiter, Azubis, Praktikanten. Löschfrist: 6 Jahre nach Ausscheiden (steuerliche Aufbewahrung), Bewerbungsunterlagen 6 Monate nach Absage.
Buchhaltung und Rechnungsstellung — Fakturierung, Mahnwesen, steuerliche Dokumentation. Betroffene: Praxen, Lieferanten. Löschfrist: 10 Jahre nach §147 AO.
Website und Kontaktformular (falls vorhanden) — Betroffene: Interessenten. Löschfrist: nach Bearbeitung der Anfrage, spätestens 12 Monate.
Das klingt nach Aufwand. Ist es auch — beim ersten Mal. Ein Vormittag, vielleicht zwei. Danach pflegen Sie das Verzeichnis nur noch bei Änderungen. Ein überschaubarer Aufwand, gemessen an dem, was Sie ohne dieses Dokument riskieren.
Wenn der USB-Stick verschwunden ist: Datenpannen und die 72-Stunden-Frist
Freitagabend. Ihr Techniker packt einen USB-Stick mit STL-Dateien und Patientenfotos ein, um am Wochenende eine eilige Implantatarbeit zu designen. Am Montag findet er den Stick nicht mehr. Irgendwo zwischen Auto, Küchentisch und Arbeitsplatz verschwunden.
Das ist eine meldepflichtige Datenpanne.
Artikel 33 DSGVO schreibt vor: Bei einer Verletzung des Schutzes personenbezogener Daten muss die zuständige Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigt werden. Nicht nächste Woche. Nicht „wenn wir Zeit haben.” 72 Stunden ab Kenntnis.
Die Meldung muss enthalten:
- Art der Datenpanne (Verlust, unbefugter Zugriff, Diebstahl)
- Betroffene Datenkategorien und ungefähre Anzahl betroffener Personen
- Wahrscheinliche Folgen der Panne
- Ergriffene oder geplante Gegenmaßnahmen
Wenn das Risiko für die betroffenen Patienten hoch ist — und bei unverschlüsselten Gesundheitsdaten ist die Schwelle niedrig — müssen zusätzlich die Betroffenen selbst informiert werden. Das heißt im Klartext: Die Praxis muss ihren Patienten mitteilen, dass deren Zahndaten auf einem USB-Stick irgendwo unterwegs sind.
Klingt nach einem Albtraum? Ist einer. Und er ist häufiger als gedacht. Nicht nur durch verlorene Sticks. Auch durch:
- Unverschlüsselte E-Mails mit Patientenscans — jeder Mailserver auf dem Weg kann mitlesen
- Fehlgeleitete Faxe — datenschutzrechtlich hochproblematisch, weil weder Absender noch Empfänger kontrollieren können, wer das Blatt aus dem Gerät nimmt
- Laptops und Tablets im Auto, beim Kunden, im Zug
- Ransomware auf dem Laborrechner — verschlüsselt alle Daten, Backup existiert nicht oder ist veraltet
- Gekündigte Mitarbeiter mit weiterhin aktivem Zugriff auf Dateien, E-Mail, Software
Die gute Nachricht: Die meisten dieser Szenarien lassen sich durch einfache technische Maßnahmen verhindern. Festplattenverschlüsselung, sichere Passwörter, zeitnahe Deaktivierung ausgeschiedener Mitarbeiter, verschlüsselter E-Mail-Versand. Keine Raketenwissenschaft, aber konsequente Umsetzung.
Was Sie diese Woche noch tun können
Datenschutz im Dentallabor ist kein Mammutprojekt. Es ist eine Reihe konkreter Schritte, die sich innerhalb weniger Wochen umsetzen lassen. Die wichtigsten, sortiert nach Dringlichkeit:
1. AVV-Vorlage besorgen und an Praxen versenden. Kostenlose Muster bei Ihrer Landesdatenschutzbehörde herunterladen. Anpassen, beiden Seiten zur Unterschrift vorlegen, ablegen. Das allein beseitigt das größte einzelne Risiko.
2. Verarbeitungsverzeichnis erstellen. Ein Vormittag Arbeit. Aufschreiben, welche Daten von wem kommen, wozu sie genutzt werden, wo sie gespeichert sind und wann sie gelöscht werden. Das Format ist zweitrangig — Hauptsache, es existiert und ist aktuell.
3. Technische Grundlagen prüfen. Sind alle Rechner passwortgeschützt? Gibt es eine Bildschirmsperre nach Inaktivität? Werden Backups verschlüsselt? Ist das WLAN mit einem vernünftigen Passwort gesichert — nicht mit dem Standardpasswort des Routers? Werden Patientendaten per E-Mail verschickt? Wenn ja: verschlüsselt?
4. Mitarbeiter sensibilisieren. Keine Wochenschulung nötig. Eine halbe Stunde reicht für die Kernregeln: keine Patientendaten per WhatsApp, keine USB-Sticks mit Patientendaten nach Hause nehmen, Bildschirm sperren wenn man aufsteht, keine Passwörter teilen.
5. Löschkonzept festlegen. Wann werden alte Aufträge gelöscht? Wann verschwinden Scans vom Server? „Wir löschen nie” ist keine zulässige Antwort. Aber: Die steuerlichen und handelsrechtlichen Aufbewahrungspflichten gehen vor. Rechnungsrelevante Unterlagen 10 Jahre aufbewahren (§147 AO). Danach löschen — dokumentiert und nachvollziehbar.
6. Datenschutzbeauftragten klären. Ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, ist ein Datenschutzbeauftragter Pflicht. Bei der Verarbeitung von Gesundheitsdaten kann die Schwelle niedriger liegen — lassen Sie das prüfen. Externe Datenschutzbeauftragte kosten zwischen 100 und 300 Euro im Monat. Nicht billig, aber günstiger als ein Bußgeld.
Die unbequeme Rechnung
Die DSGVO ist kein Papiertiger. Die Aufsichtsbehörden haben Personal aufgebaut, Schwerpunktprüfungen im Gesundheitswesen angekündigt und Bußgelder verhängt — auch gegen Kleinbetriebe.
Die theoretischen Maximalstrafen (20 Millionen Euro oder 4 Prozent des Jahresumsatzes) treffen kleine Labore natürlich nicht. In der Praxis bewegen sich Bußgelder für handwerkliche Betriebe laut veröffentlichten Entscheidungen im Bereich von 5.000 bis 50.000 Euro. Klingt verkraftbar? Für ein Labor mit 500.000 Euro Jahresumsatz und 3 Prozent Nettomarge sind 20.000 Euro Bußgeld mehr als ein ganzer Jahresgewinn.
Dazu kommt der Reputationsschaden. Wenn eine Praxis erfährt, dass ihr Labor keine Auftragsverarbeitungsverträge hat und Patientendaten unverschlüsselt per E-Mail verschickt — bleibt sie Kunde? Die Praxis haftet nämlich mit. Und Zahnärzte, die das verstehen, werden sich ein Labor suchen, das den Datenschutz ernst nimmt.
Es gibt auch die andere Seite der Medaille. Labore, die sauber aufgestellt sind — mit AVVs, Verarbeitungsverzeichnis, verschlüsselter Kommunikation — können das aktiv als Argument nutzen. Nicht als Werbeversprechen, sondern als Vertrauenssignal. In einer Branche, in der Vertrauen das Fundament jeder Geschäftsbeziehung ist, wiegt das schwer.
Wer seine Auftragsdaten digital verwaltet — mit nachvollziehbaren Zugriffsrechten, automatischer Dokumentation und strukturierten Löschprozessen — hat den Großteil der technisch-organisatorischen Maßnahmen schon abgedeckt. Die Alternative aus Zettelwirtschaft, lokalen Ordnerstrukturen und „der Techniker weiß wo das liegt” ist nicht nur ineffizient. Sie ist ein Datenschutzrisiko, das sich kein Labor mehr leisten sollte.
Sprechen Sie mit Ihrem Steuerberater, Ihrer Innung oder einem spezialisierten Datenschutzberater. Die ersten Schritte kosten weniger als ein verlorener Auftrag.
Weiterlesen
Passend zum Thema
Lieferkettenrisiken im Dentallabor: Schutz vor Ausfällen
Wenn der Rohstofflieferant ausfällt, steht das Labor still. Welche Strategien Dentallabore wirklich vor Versorgungsengpässen schützen.
Wissenstransfer im Dentallabor: Wenn Know-how geht
Kritisches Wissen steckt in Dentallaboren oft in einzelnen Köpfen. Was passiert, wenn diese Mitarbeiter gehen — und wie Labore ihr Know-how systematisch sichern.
Arbeitsschutz im Labor: Was Inhaber riskieren
Staub, Chemikalien, fehlende Absaugung — Arbeitsschutz im Dentallabor wird oft vernachlässigt. Was die BG bei der Prüfung erwartet und was Verstöße kosten.
Ein-Mann-Labor: Wachsen oder bewusst klein bleiben?
Viele Zahntechnikermeister stehen vor der Frage: ersten Mitarbeiter einstellen oder Solo bleiben? Die ehrliche Rechnung mit allen versteckten Kosten.