DSGVO und die Tierarztpraxis – die Zeit läuft

(30.03.2018) Für die Datenschutzgrundverordnung muss ab 25. Mai 2018 auch in der Tierarztpraxis alles vorbereitet sein. Falls Sie noch kein Verfahrensverzeichnis haben, dann ist jetzt höchste Zeit, denn die Erstellung sich nicht in einer Stunde erledigen.

Bildquelle: pixabay/Creative Commons CC0 In letzter Zeit wird immer mehr bewusst, was da eigentlich auf sie zukommt. Größere Dienstleister übermitteln neue Verträge, Banken ändern ihre AGB und fordern die Einhaltung strengerer Regeln beim Datenaustausch, Berater haben kaum noch freie Termine etc. Kurz zusammengefasst: Die DSGVO[1] ist los! Diese EU-Verordnung zum Thema Datenschutz gilt für alle gleichermaßen ab 25. Mai 2018.

Genauer gesagt: sie gilt bereits seit 2016, aber mit 25. Mai 2018 endet die Gnadenfrist für die Umsetzung. Ab diesem Datum darf die Datenschutzbehörde ermitteln und strafen. Wenn man informellen Gesprächen Glauben schenken darf, dann hat die Österreichische Bundesregierung nicht nur einen signifikanten Budgetposten an Strafeinnahmen angesetzt, sondern auch die Mitarbeiterzahl dieser Behörde ordentlich aufgestockt. Dabei sind viele Dinge gar nicht so neu – Datenschutz ist seit langem verfassungsrechtlich und über Art. 8 der Charta der Grundrechte der Europäischen Union[2] ("Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten") abgesichert. Was neu ist, sind vor allem die drastischen Strafdrohungen und Sanktionen, die die Ernsthaftigkeit des Gesetzgebers untermauern sollen.

Es ist also in etwa so, wie wenn auf einmal alle Tempo-30 Zonen strengstens überwacht und man sofort bestraft werden würde: es wäre zuerst einmal eine sprudelnde Geldquelle bis alle gelernt haben, sich auch wirklich daran zu halten.

Pflicht für Verarbeitungsverzeichnis

Doch zurück zur DSGVO: was ist hier am dringendsten zu tun? Kern aller Aktivitäten ist die Erstellung des Verarbeitungsverzeichnisses nach Art.30 DSGVO. Wer sich hier auf die Erleichterung im Absatz 5 bezieht, wähnt sich ziemlich wahrscheinlich zu Unrecht in Sicherheit. Zwar steht dort:

„Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.

Die DSGVO lässt hier unklar, was genau unter „gelegentlich“ zu verstehen ist. Vermutlich wollte man darauf abzielen, dass nicht bereits Einzelfälle wie beispielsweise das Fotografieren auf einem einmaligen Event bereits als Verarbeitung verstanden wird. Sehr wahrscheinlich ist, dass normale unternehmensbezogene Verarbeitungen wie Kundendateien, Personalverwaltung inkl. Bewerbungsverfahren, Rechnungswesen, etc. bereits als „nicht nur gelegentlich“ angesehen wird und damit die Pflicht zur Führung eines Verarbeitungsverzeichnisses auslösen.

Somit hat Absatz 5 eigentlich keine Relevanz und wer will sich schon freiwillig dem Risiko aussetzen, dass gegen einen die genaue Definition von „gelegentlich“ ausjudiziert wird? Der Strafrahmen ist hierbei nach Artikel 83 Abs.4 DSGVO mit einer Geldbuße von bis zu EUR 10.000.000 bemessen. Und Abs.1 lässt hier an Deutlichkeit nichts zu wünschen übrig:

„Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“

Erstellung des Verarbeitungsverzeichnisses

Die Mindestangaben in diesem Dokument werden in Artikel 30 der DSGVO geregelt und können hier nachgelesen werden. Die Wirtschaftskammer Österreich (WKO) hat auf ihrer Website neben umfassenden Informationen auch ein Muster[3] zur Verfügung gestellt, das jeder als Ausgangsbasis nutzen kann. In der Praxis zeigt sich, dass vor allem die Festlegung der rechtlichen Grundlagen für die Verarbeitung an sich sowie die Aufbewahrungs- und Löschfristen ordentlich Zeit in Anspruch nehmen können. Oder wissen Sie wie lange die Frist für Einsprüche bei Gehaltspfändungen ist? Davon ist man aber betroffen, sobald man auch nur eine_n angestellte_n Mitarbeiter_in hat.

Beim Erstellen des Dokuments werden Sie („Verantwortlicher“ im DSGVO-Terminus) drauf kommen, dass für viele – an sich „selbstverständliche“ – Aspekte die rechtliche Grundlage gar nicht so klar ist und meist dann doch eine Zustimmungserfordernis der betroffenen Personen („Betroffene“ im DSGVO-Terminus) entsteht. Beispielhaft sei erwähnt: Als Humanmediziner haben Sie das Medizindokumentationsgesetz, das Sie zur 30-Jährigen Aufbewahrung verpflichtet. Als Veterinär_in sind Sie diesbezüglich aber gar nicht von der DSGVO betroffen, da Tiere juristische Sachen sind und keine personenbezogenen Daten darstellen. Sie haben aber die Besitzer der Tiere als Ihre Kunden. Wie lange dürfen Sie diese Kundendaten nach dem letzten Besuch in der Ordination aufbewahren? Es empfiehlt sich hier eine Regelung (z.B. 10 Jahre) zu definieren und diese dann im Erstaufnahmeformular mittels Unterschrift bestätigen zu lassen.

Weiters müssen im Verarbeitungsverzeichnis allgemein die technisch-organisatorischen Maßnahmen beschrieben werden, die den Schutz der personenbezogenen Daten gewährleisten. Da wird es schnell technisch und beispielsweise sei erwähnt, dass nur aktuelle Versionen der Betriebssysteme und Firewalls der 3. Generation dem Stand der Technik entsprechen. Auch hier haben viele plötzlichen Handlungsbedarf, wenn sie sich nicht einem beträchtlichen Haftungs- und Strafrisiko aussetzen möchten.


[1] EU Datenschutz-Grundverordnung
[2] Charta der Grundrechte der Europäischen Union
[3] Muster der WKO: Verarbeitungsverzeichnis für Verantwortliche


Bilden Sie sich weiter!

Zum Thema der Datenschutzgrundverordnung (DSGVO) bieten wir Ihnen als Tierarzt in Zusammenarbeit mit VETS4VETS und B.Braun unter dem Titel "Datenschutz mit der neuen EU-Verordnung" eine praxisorientierte Fortbildung, wie Sie Ihre Tierarztpraxis gesetzeskonform machen.

Der Vortrag wird von Christoph Illnar gehalten, der als technisch Verantwortlicher im COMMUNITOR Verlag unter anderem auch für den Betrieb des VET-MAGAZIN verantwortlich ist. Als Co-Herausgeber vereint er langjährige Erfahrung im Bereich der IT Security mit profunder Kenntnis der tierärztlichen Praxis.

Die Termine und Anmeldelinks sind:

Für Sie als VET-MAGAZIN-Leser gibt es € 25,- Ermäßigung!

Verwenden Sie bitte bei der Buchung den Gutschein-Code: DSGVO4VET

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Ist WhatsApp noch erlaubt und wäre Signal eine Alternative?

Der beliebte Instant-Messenger „WhatsApp“ eignet sich für Gruppenchats, Textnachrichten, kostenlose Sprachanrufe sowie für den Austausch von Fotos und Videos. Leider steht er im Konflikt mit der DSGVO und könnte Ihnen eine empfindliche Strafe eintragen. Die alternative App „Signal“ ist davon nicht betroffen.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Software für die Tierarztpraxis

Die ab 25. Mai 2018 geltende Datenschutzgrundverordnung wirft natürlich auch die Frage auf, ob die in der Praxis eingesetzte Software bereits ausreichend darauf vorbereitet ist. Ein Rundruf unter den Anbietern.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Könnten Sie auf einen derartigen Brief bereits korrekt reagieren?

Der kanadische Datenschutzexperte Constantine Karbaliotis von PwC konnte mit seinem „Nightmare Letter“ veranschaulichen, was auf die Unternehmen – und Tierärzte – mit der ab 25. Mai 2018 geltende Datenschutzgrundverordnung zukommt.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Könnten Sie auf einen derartigen Brief bereits korrekt reagieren?

Der kanadische Datenschutzexperte Constantine Karbaliotis von PwC konnte mit seinem „Nightmare Letter“ veranschaulichen, was auf die Unternehmen – und Tierärzte – mit der ab 25. Mai 2018 geltende Datenschutzgrundverordnung zukommt.
Weiterlesen

vets4vets

Datenschutz mit der neuen EU-Verordnung: Wie Sie Ihre Tierarztpraxis gesetzeskonform machen

Seminar mit IT & Security Specialist Christoph Illnar am 29. April 2018 in Maria Enzersdorf
Weiterlesen

myvetlearn

eLearning-Kurs zur EU-Datenschutz-Grundverordnung - Was Tierarztpraxen beachten müssen

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Damit gehen zahlreiche Änderungen der bislang geltenden Datenschutzbestimmungen einher
Weiterlesen

inBehandlung Praxissoftware

Datenschutz mit inBehandlung Tierarztsoftware

Tierärzte haben sicherlich aus den Medien und der Fachpresse entnommen, dass dem Datenschutz in 2018 eine besondere Bedeutung zukommt
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

Seminar: Datenschutz mit der neuen EU-Verordnung

Wie Sie Ihre Tierarztpraxis gesetzeskonform machen. VETS4VETS bietet Ihnen in Kooperation mit dem VET-MAGAZIN eine praxisorientierte Fortbildung zur DSGVO.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Pflicht zur Führung eines Verarbeitungsverzeichnisses

Die Dokumentationspflichten sind ein wichtiger Baustein in der neuen Datenschutz-Grundverordnung. Sie dienen dem Nachweis der Erfüllung der Pflichten, vor allem in Bezug auf die Rechte der Betroffenen. Im Zentrum steht das Verzeichnis aller Datenverarbeitungen, das Verarbeitungsverzeichnis.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Hohe Geldbußen bei Verstößen und zusätzlich zivilrechtliche Haftung

"Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen für Verstöße gegen die DSGVO in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist."
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Aufgaben und Befugnisse der Datenschutzbehörde – mit Strafdrohungen

Zum Jahreswechsel betrachten wir, wie sich die Aufsichtsbehörde nach der ab 25. Mai 2018 geltenden DSGVO verändern wird und warum das alle betrifft.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Angemessene Sicherheit bei der Datenverarbeitung

Das Thema der Datensicherheit nimmt in der ab 25. Mai 2018 geltenden DSGVO eine zentrale Rolle ein. Für die Tierarztpraxis bedeutet das: nicht alles, was bisher gut war, entspricht dann noch den Vorgaben.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Datenschutzrechtliche Zustimmungserklärung beim Tierarzt

Wer ab 25. Mai 2018 mit seinen Klienten in Kontakt treten möchte, benötigt dazu in vielen Fällen eine Zustimmungserklärung.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Ist Ihre Tierarztpraxis schon fit?

Neues EU-weit geltendes Gesetz muss ab 25. Mai 2018 auch von Tierärzten beachtet werden, denn ab diesem Zeitpunkt drohen hohe Geldstrafen!
Weiterlesen

Firmennews

Vetmeduni Vienna

Neuerscheinungen