DSGVO und die Tierarztpraxis die Zeit läuft
(30.03.2018) Für die Datenschutzgrundverordnung muss ab 25. Mai 2018 auch in der Tierarztpraxis alles vorbereitet sein. Falls Sie noch kein Verfahrensverzeichnis haben, dann ist jetzt höchste Zeit, denn die Erstellung sich nicht in einer Stunde erledigen.
In letzter Zeit wird immer mehr bewusst, was da eigentlich auf sie zukommt. Größere Dienstleister übermitteln neue Verträge, Banken ändern ihre AGB und fordern die Einhaltung strengerer Regeln beim Datenaustausch, Berater haben kaum noch freie Termine etc. Kurz zusammengefasst: Die DSGVO[1] ist los! Diese EU-Verordnung zum Thema Datenschutz gilt für alle gleichermaßen ab 25. Mai 2018.
Genauer gesagt: sie gilt bereits seit 2016, aber mit 25. Mai 2018 endet die Gnadenfrist für die Umsetzung. Ab diesem Datum darf die Datenschutzbehörde ermitteln und strafen. Wenn man informellen Gesprächen Glauben schenken darf, dann hat die Österreichische Bundesregierung nicht nur einen signifikanten Budgetposten an Strafeinnahmen angesetzt, sondern auch die Mitarbeiterzahl dieser Behörde ordentlich aufgestockt. Dabei sind viele Dinge gar nicht so neu Datenschutz ist seit langem verfassungsrechtlich und über Art. 8 der Charta der Grundrechte der Europäischen Union[2] ("Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten") abgesichert. Was neu ist, sind vor allem die drastischen Strafdrohungen und Sanktionen, die die Ernsthaftigkeit des Gesetzgebers untermauern sollen.
Es ist also in etwa so, wie wenn auf einmal alle Tempo-30 Zonen strengstens überwacht und man sofort bestraft werden würde: es wäre zuerst einmal eine sprudelnde Geldquelle bis alle gelernt haben, sich auch wirklich daran zu halten.
Pflicht für Verarbeitungsverzeichnis
Doch zurück zur DSGVO: was ist hier am dringendsten zu tun? Kern aller Aktivitäten ist die Erstellung des Verarbeitungsverzeichnisses nach Art.30 DSGVO. Wer sich hier auf die Erleichterung im Absatz 5 bezieht, wähnt sich ziemlich wahrscheinlich zu Unrecht in Sicherheit. Zwar steht dort:
Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.
Die DSGVO lässt hier unklar, was genau unter gelegentlich zu verstehen ist. Vermutlich wollte man darauf abzielen, dass nicht bereits Einzelfälle wie beispielsweise das Fotografieren auf einem einmaligen Event bereits als Verarbeitung verstanden wird. Sehr wahrscheinlich ist, dass normale unternehmensbezogene Verarbeitungen wie Kundendateien, Personalverwaltung inkl. Bewerbungsverfahren, Rechnungswesen, etc. bereits als nicht nur gelegentlich angesehen wird und damit die Pflicht zur Führung eines Verarbeitungsverzeichnisses auslösen.
Somit hat Absatz 5 eigentlich keine Relevanz und wer will sich schon freiwillig dem Risiko aussetzen, dass gegen einen die genaue Definition von gelegentlich ausjudiziert wird? Der Strafrahmen ist hierbei nach Artikel 83 Abs.4 DSGVO mit einer Geldbuße von bis zu EUR 10.000.000 bemessen. Und Abs.1 lässt hier an Deutlichkeit nichts zu wünschen übrig:
Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Erstellung des Verarbeitungsverzeichnisses
Die Mindestangaben in diesem Dokument werden in Artikel 30 der DSGVO geregelt und können hier nachgelesen werden. Die Wirtschaftskammer Österreich (WKO) hat auf ihrer Website neben umfassenden Informationen auch ein Muster[3] zur Verfügung gestellt, das jeder als Ausgangsbasis nutzen kann. In der Praxis zeigt sich, dass vor allem die Festlegung der rechtlichen Grundlagen für die Verarbeitung an sich sowie die Aufbewahrungs- und Löschfristen ordentlich Zeit in Anspruch nehmen können. Oder wissen Sie wie lange die Frist für Einsprüche bei Gehaltspfändungen ist? Davon ist man aber betroffen, sobald man auch nur eine_n angestellte_n Mitarbeiter_in hat.
Beim Erstellen des Dokuments werden Sie (Verantwortlicher im DSGVO-Terminus) drauf kommen, dass für viele an sich selbstverständliche Aspekte die rechtliche Grundlage gar nicht so klar ist und meist dann doch eine Zustimmungserfordernis der betroffenen Personen (Betroffene im DSGVO-Terminus) entsteht. Beispielhaft sei erwähnt: Als Humanmediziner haben Sie das Medizindokumentationsgesetz, das Sie zur 30-Jährigen Aufbewahrung verpflichtet. Als Veterinär_in sind Sie diesbezüglich aber gar nicht von der DSGVO betroffen, da Tiere juristische Sachen sind und keine personenbezogenen Daten darstellen. Sie haben aber die Besitzer der Tiere als Ihre Kunden. Wie lange dürfen Sie diese Kundendaten nach dem letzten Besuch in der Ordination aufbewahren? Es empfiehlt sich hier eine Regelung (z.B. 10 Jahre) zu definieren und diese dann im Erstaufnahmeformular mittels Unterschrift bestätigen zu lassen.
Weiters müssen im Verarbeitungsverzeichnis allgemein die technisch-organisatorischen Maßnahmen beschrieben werden, die den Schutz der personenbezogenen Daten gewährleisten. Da wird es schnell technisch und beispielsweise sei erwähnt, dass nur aktuelle Versionen der Betriebssysteme und Firewalls der 3. Generation dem Stand der Technik entsprechen. Auch hier haben viele plötzlichen Handlungsbedarf, wenn sie sich nicht einem beträchtlichen Haftungs- und Strafrisiko aussetzen möchten.
[1] EU Datenschutz-Grundverordnung
[2] Charta der Grundrechte der Europäischen Union
[3] Muster der WKO: Verarbeitungsverzeichnis für Verantwortliche
Bilden Sie sich weiter!
Zum Thema der Datenschutzgrundverordnung (DSGVO) bieten wir Ihnen als Tierarzt in Zusammenarbeit mit VETS4VETS und B.Braun unter dem Titel "Datenschutz mit der neuen EU-Verordnung" eine praxisorientierte Fortbildung, wie Sie Ihre Tierarztpraxis gesetzeskonform machen.
Der Vortrag wird von Christoph Illnar gehalten, der als technisch Verantwortlicher im COMMUNITOR Verlag unter anderem auch für den Betrieb des VET-MAGAZIN verantwortlich ist. Als Co-Herausgeber vereint er langjährige Erfahrung im Bereich der IT Security mit profunder Kenntnis der tierärztlichen Praxis.
Die Termine und Anmeldelinks sind:
Für Sie als VET-MAGAZIN-Leser gibt es 25,- Ermäßigung!
Verwenden Sie bitte bei der Buchung den Gutschein-Code: DSGVO4VET