Eins vorweg: Die Softwareanbieter als Datenverwalter sind sicherlich der Dreh- und Angelpunkt bei dem Ganzen und sind (noch) gelassen. Die meisten wissen, wie der Hase läuft, und haben sich entsprechend vorbereitet, die gefühlt mittelgroße Panik sehen sie als überflüssig. Christian Ukobitz, VQuadrat-Geschäftsführer, meint dazu etwa: „Ich persönlich glaube, die Angst, die derzeit so ein bisschen omnipräsent ist, die ist unbegründet. Die meisten Softwarehersteller sind gerüstet, wir wissen recht genau, was zu tun ist. Glücklicherweise wird ja nichts gefordert, was es nicht vorher auch schon in der einen oder anderen Form gegeben hätte.“ Auch Christian Dumhart, Geschäftsführer bei VET7.well, kann mit den Änderungen gut leben, denn „wir sehen hier keine wirkliche Herausforderung bezüglich der DSGVO, nachdem wir in un­serem Applikationsdesign von Anbeginn an Augenmerk auf Datenschutz und Sicherheit gelegt haben“. Good News für die Tierärzte also, die trotz vieler Infos von unterschiedlichsten Stellen in letzter Zeit nur „Bahnhof“ verstehen. Man ist anbieterseitig gerüstet. Die entscheidende Frage lautet an dieser Stelle: Sind es die Menschen, die künftig damit arbeiten müssen, auch? 

Hintergrundrauschen DSGVO 

ÖTK-Kammeramtsdirektor Mag. Franz Moser hat sich in den letzten Monaten nicht nur naturgemäß viel mit der DSGVO beschäftigt, er und sein Team haben auch jede Menge Workshops und Infoveranstaltungen angeboten. Zusätzlich dazu wurden viele Fragen via Mail und telefonisch beantwortet; Kolumnen in der Rubrik „Recht konkret“ im Vetjournal (siehe S. 67) haben das Infopackage abgerundet. Moser kann vermutlich am besten abschätzen, wo bei den Betroffenen der Schuh drückt. Im Gespräch skizziert er das, was die DSGVO für ihn ausmacht – und wovor auch der größte Respekt besteht: „Da kommt ein durchaus großer Brocken auf uns zu, mit einem großen Aber: Glücklicherweise muss man diese gesamte Neuerung nur ein einziges Mal einrichten und adaptieren. Ist man hier up to date und hat vor allem sein Verarbeitungsverzeichnis gut im Griff, dann läuft das Programm sozu­sagen im Hintergrund mit. Im Gegensatz zur nächstes Jahr kommenden EHAPO übrigens, der elektronischen Hausapotheke: Hier ändert sich nicht viel in Sachen Software, gearbeitet wird damit aber täglich, Stichwort Lagerbestände.“ MyJason-Geschäftsführer Karl Pauritsch stößt ins selbe Horn: „Mit gut adaptierten Unterlagen und einer guten Praxissoftware ist der Aufwand für die DSGVO sicherlich überschaubar. Wenn die Dokumente einmal sauber aufbereitet sind, vor allem das Verarbeitungs­verzeichnis, gibt es de facto keinen Aufwand mehr für den Tierarzt. Die EHAPO wird dagegen unser täglich Brot. Umso wichtiger ist es, dass das Handling der EHAPO in die Praxisprozesse so einfach wie möglich mit eingebunden wird. Auch hier liegt ein großer Teil der Arbeit bei der Wahl der richtigen Praxissoftware: Wenn die EHAPO sauber geführt wird, spart man nicht nur wertvolle Zeit, sondern auch bares Geld.“

Bezüglich der Softwareanbieter sind die Dinge natur­gemäß aktuell noch im Fluss, eine eigene DSGVO-Zertifizierung ist übrigens seitens der Datenschutzbehörde angedacht, die innerhalb eines Jahres zur Verfügung stehen sollte. So weit, so gut. 

Der Versuch eines roten Fadens

Notabene: In diesem Artikel können naturgemäß nur die wichtigsten Fragen, die der Kammer immer wieder gestellt wurden, und die größten Brocken der DSGVO herausgefischt werden, Details lesen Sie bitte in erwähnter „Recht konkret“-Kolumne von Mag. Moser in den Vetjournal-Ausgaben März bis geplantermaßen Juni 2018. Wichtige Vokabel wie etwa Auftragsverarbeiter, Empfänger und Verantwortliche sind zum Beispiel nicht selten verwirrend und gehören vorab genau definiert, bevor man sich in die Untiefen des sogenannten Datenschutzhandbuchs begibt, das vermutlich für die meisten den größten – und definitiv den wichtigsten – Teil der neuen Verordnung darstellt, Stichwort Verarbeitungsverzeichnis. Einen Daten-schutzbeauftragten braucht man als Tierarzt übrigens explizit nicht, weil weder sensible Daten (das sind etwa Daten rund um ethische Herkunft, politische Meinung oder sexuelle Orientierung) im Spiel sind noch Datenverarbeitung durch eine öffentliche Stelle vorliegt. Wer mag, darf sich logischerweise einen solchen holen oder ordinationsintern jemanden bestimmen, Pflicht ist es allerdings nicht. 

Aber der Reihe nach: Oft nachgefragt in der Kammer -wurde eben diese Abgrenzung der Begriffe Empfänger, Auftragsverarbeiter, Verantwortlicher und Betroffener. Wer ist was und wie sehen die Pflichten desjenigen aus? Des Rätsels Lösung: Empfänger ist „nur“ ein Oberbegriff. Ein Empfänger kann also deckungsgleich mit dem Auftragsverarbeiter, dem Verantwortlichen oder Betroffenen sein und ist keine eigene Kategorie.

Der Betroffene wiederum ist derjenige, dessen personenbezogene Daten verarbeitet werden (etwa Patienten-besitzer), der Verantwortliche verfügt über die Daten und verarbeitet sie (meistens der Tierarzt) und der Auftragsverarbeiter ist man dann, wenn man im Namen desjenigen Daten verarbeitet, sprich Labor, Überweisungstierarzt etc. 

Weiter geht’s mit dem mythenumwobenen Verarbeitungsverzeichnis, dem Herzstück des Datenhandbuchs. Ganz wichtig: Dieses Verarbeitungsverzeichnis muss erstellt werden, das dafür aber nur ein Mal. Tierärzte müssen das Rad hier glücklicherweise nicht neu erfinden, sondern können sich ein passendes Muster dazu auf der ÖTK-Webseite herunterladen. Besondere Akkuratesse und Vorsicht braucht es dabei aber trotzdem. Darin stehen z. B. neben Namen und Kontaktdaten des Verantwortlichen der Zweck der Datenverarbeitung, die Kategorie der personenbezogenen Daten oder die Rechtsgrundlage dafür. Als Fundament für alle Daten, die überhaupt in einer Praxis erhoben werden, gilt eines: Ohne Recht-mäßigkeitsgrund ist die Datenerhebung bzw. -verarbeitung unzulässig! Was ein Rechtmäßigkeitsgrund ist? Dafür gibt es einige Bedingungen, von denen allerdings nur eine einzige erfüllt sein muss. So muss etwa eine Einwilligung des Betroffenen (= Patientenbesitzer) passiert sein, die auf den ersten Blick als beste Lösung gelten mag. Dummerweise ist diese Einwilligung widerrufbar, das heißt, alle Daten, die bisher darauf beruht haben, wären dann zu löschen. Ein kurzer Gedanke daran, was das alleine für die Rechnungslegung bedeuten würde, reicht, um umgehend auf einen sympathischeren, sichereren Weg umzuschwenken: Den Rechtmäßigkeitsgrund der Erfüllung des mündlichen/schriftlichen Behandlungsvertrages. Warum das ein guter Grund im wahrsten Sinne des Wortes ist? Fast alle Daten, die ein Tierarzt vom Patientenbesitzer erhebt, sind für die Erfüllung des Behandlungsvertrages nötig – bingo!

Gibt es eine Conclusio aus all der geballten DSGVO-Info? Karl Pauritsch fasst zusammen: „Aus Sicht von uns Tierärzten mag alles etwas übertrieben erscheinen. Sie möchten aber sicherlich auch nicht, dass andere mit Ihren Daten leichtfertig umgehen.“ Und: „Es gibt auf jeden Fall Licht am Ende des Tunnels“, so Moser, der den Tierärzten Mut macht: „Man muss sich zwar einmal hinsetzen und sich ernsthaft mit dem Thema auseinander-setzen, aber tatsächlich ist es keine Hexerei. Und hat man einmal das Tal der Tränen durchschritten und sich durchgekämpft, dann geht es nur noch aufwärts – versprochen!“