DSGVO: Ist Ihre Tierarztpraxis schon fit?
(01.12.2017) Neues EU-weit geltendes Gesetz muss ab 25. Mai 2018 auch von Tierärzten beachtet werden, denn ab diesem Zeitpunkt drohen hohe Geldstrafen!
Bisher war es nur einem kleinen Kreis Eingeweihter bekannt, aber schön langsam macht die Kunde von der kommenden Rechtslage auch unter den Veterinären die Runde. Falls Sie noch nichts davon gehört haben: Ab 25. Mai 2018 gilt die neue EU Verordnung zum Thema Datenschutz, kurz DSGVO genannt für Datenschutz-Grundverordnung.
Im April 2016 wurde sie vom Europäischen Parlament beschlossen und im Mai 2018 endet die zweijährige Übergangsfrist für die Umsetzung. Diese Verordnung vereinheitlicht die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen in der gesamten EU. Bis zu diesem Zeitpunkt müssen alle Datenanwendungen an die neue Rechtslage angepasst werden, denn ab dann drohen hohe Geldstrafen!
Im Prinzip ist jeder davon betroffen, auch Sie als Tierarzt! Obwohl die Daten Ihrer Patienten nicht unter die Definition von personenbezogenen Daten fallen (Tiere werden rechtlich wie Sachen behandelt), so haben Sie dennoch die Daten der Patientenbesitzer gespeichert, Sie korrespondieren via E-Mail mit ihnen und Sie schreiben Rechnungen. Das Besondere an der DSGVO ist außerdem, dass sie sich nicht nur auf digitale Daten beschränkt, sondern grundsätzlich alle personenbezogenen Daten umfasst also auch diejenigen, die nur auf Papier vorliegen.
Gleichzeitig wird am 25. Mai 2018 in Österreich das neue Datenschutz Anpassungsgesetz 2018 [1] in Kraft treten, das die lokalen Details der DSGVO regelt und auch das Datenschutzgesetz 2000 novelliert. Ab dann ist die Registrierung einer Datenverarbeitung im DVR nicht mehr nötig und auch nicht mehr möglich. An dessen Stelle treten umfangreiche Dokumentationspflichten.
Was ändert sich im Detail?
Es gilt künftig das Marktortprinzip, mit dem festgelegt wird, dass nahezu alle praxisorientierten Anwendungsfälle von der Verordnung umfasst sind. Dass beispielsweise ein Server, auf dem Daten gespeichert werden, im Ausland liegt, gilt dann nicht mehr als Ausrede.
Es gibt ein Auskunftsrecht und die Pflicht zur Einwilligung in die Verarbeitung der Daten. Sie können künftig also nicht einfach einen Newsletter an Ihre Kunden versenden, wenn nicht jeder einzelne Empfänger explizit dem Empfang des Newsletters zugestimmt hat. Bisher reichte dazu das Bestehen einer aufrechten Geschäftsbeziehung. Sie müssen weiters vollständig und zeitnah auf Auskunftsbegehren reagieren können. Und jetzt kommt es: Zur Vollständigkeit zählen auch E-Mails! In der Praxis bedeutet das: Sie müssen alle E-Mails aufbewahren und auf Verlangen zeitnah beauskunften können.
Sie haben Informationspflichten! Angenommen Ihr Notebook wurde gestohlen und es war das Notebook, mit dem Sie auch Ihre Kundendatei verwaltet haben. Hoffentlich haben Sie ein Backup und das nicht nur aus dem simplen Grund, dass Sie diese Daten weiter für Ihre Praxis benötigen. Nein künftig sind Sie verpflichtet, nicht nur binnen 72h nach dem Vorfall(!) die zuständige Aufsichtsbehörde zu informieren, sondern Sie müssen auch jede/n einzelne/n Betroffene/n direkt informieren. Das wird Ihnen nur gelingen, wenn Sie Zugriff auf das Backup haben.
Es ist aber nicht so heiß wie es auf den ersten Blick aussieht. Durch die Bestimmungen zur Datensicherheit sind Sie ohnehin verpflichtet, alle dem Stand der Technik(!) entsprechenden Maßnahmen zu ergreifen, damit im Fall des Falles kein Schaden eintreten kann. Sie haben doch Ihre Festplatte verschlüsselt und verwenden beim Login ein starkes Passwort bzw. biometrische Authentifizierung, nicht wahr?
Viel klarer geregelt sind jetzt die Verantwortlichkeiten für Sie und Ihre Dienstleister. Wenn Sie eine Online-Praxismanagement-Software wie beispielsweise inBehandlung einsetzen, dann sind Sie in der Rolle als Verantwortlicher und die Firma, die Ihnen das Service zur Verfügung stellt, ist dann ein Auftragsverarbeiter. In einem genauen Vertrag werden alle Rechte und Pflichten definiert und Art und Umfang der Datenverarbeitung dokumentiert. Bei professionellen Dienstleistern ist das natürlich kein Problem und diese werden Ihnen die Unterlagen entsprechend zur Verfügung stellen.
Zusammengefasst ändert sich außer der empfindlichen Erhöhung der Strafandrohung vor allem die Pflicht zur Dokumentation. Sie müssen sich Ihre Prozesse veranschaulichen, diese mit Blick auf die DSGVO analysieren und umfassend dokumentieren, sodass Sie bei einem Besuch der Datenschutzbehörde nur die entsprechenden Ordner mit den Unterlagen aus dem Regal ziehen müssen.
Fazit
Eigentlich galt das bisher auch schon, aber dieses Recht wurde von den meisten mehr als unverbindliche Empfehlung denn als geltendes Recht interpretiert. Zu gering war die Chance, entdeckt zu werden und zu gering war der Strafrahmen. Um ernst genommen zu werden, wurde das nun geändert. Jede/r kann einmal von unzufriedenen Klienten oder Mitarbeitern, die ein Unternehmen im Unfrieden verlassen, betroffen sein. Da ist eine anonyme Anzeige schnell einmal abgesetzt und Sie lernen die Datenschutzbehörde im echten Leben kennen.
Damit Sie im Mai 2018 gut vorbereitet sind, lesen Sie ab jetzt regelmäßig im VET-MAGAZIN zu diesem Thema. In Kürze werden wir Ihnen die Möglichkeit bieten, Ihr Wissen in einem praxisorientierten Seminar zu vertiefen. Für die Ungeduldigen bietet die Wirtschaftskammer Österreich einen guten Online-Überblick: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html
[1]Bundesgesetzblatt: Datenschutz-Anpassungsgesetz 2018
Bilden Sie sich weiter!
Zum Thema der Datenschutzgrundverordnung (DSGVO) bieten wir Ihnen als Tierarzt in Zusammenarbeit mit VETS4VETS und B.Braun unter dem Titel "Datenschutz mit der neuen EU-Verordnung" eine praxisorientierte Fortbildung, wie Sie Ihre Tierarztpraxis gesetzeskonform machen.
Der Vortrag wird von Christoph Illnar gehalten, der als technisch Verantwortlicher im COMMUNITOR Verlag unter anderem auch für den Betrieb des VET-MAGAZIN verantwortlich ist. Als Co-Herausgeber vereint er langjährige Erfahrung im Bereich der IT Security mit profunder Kenntnis der tierärztlichen Praxis.
Die Termine und Anmeldelinks sind:
Für Sie als VET-MAGAZIN-Leser gibt es 25,- Ermäßigung!
Verwenden Sie bitte bei der Buchung den Gutschein-Code: DSGVO4VET