Was TierärztInnen zum neuen Datenschutzrecht

ab 25.5.2018 wissen sollten

Dipl.-Ing. (FH) Dietrich Andert (IT-Management)
IT-Experte

Dr. Maria-Luise Plank (Gillhofer & Plank Rechtsanwälte)
Medizin-, Pharma-, und Datenschutzrechtsexpertin

Was ändert sich und wie können Sie sich auf die neue Situation vorbereiten?

Angesichts der zunehmenden Digitalisierung unserer Welt gewinnt der Datenschutz an Bedeutung. Dieser Entwicklung hat der Gesetzgeber Rechnung getragen. Ab 25.5.2018 gilt in Österreich ein neues Datenschutzrecht. Die Änderungen treffen vor allem Unternehmen, da das Meldungssystem eingestellt und die Datenschutzbehörde vermehrt Kontrollen direkt in Unternehmen durchführen wird. 

1. Was regelt das Datenschutzrecht?

Die neue, EU-weit einheitliche Datenschutz-Grundverordnung (DSGVO) legt fest, wie personenbezogene Daten erhoben und verarbeitet, an Dritte weitergegeben und gelöscht werden müssen. Österreich hat die EU-Verordnung DSGVO um ein österreichisches Datenschutzanpassungsgesetz ergänzt, in dem vor allem die österreichische Datenschutzbehörde und bestimmte Spezialthemen wie u. a. Videoaufzeichnungen geregelt sind.

2. Welche Daten sind zu schützen?

2.1 Personenbezogene Daten

Personenbezogene Daten: Alle Daten, anhand derer eine konkrete Person identifiziert werden kann, wie der Name und die Post- und E-Mail-Adresse, der Fingerabdruck, etwaige Tonaufnahmen der Stimme oder Bildaufnahmen etc.
 

2.2 Besondere Kategorien von Daten 

Neben den „normalen“ Daten gibt es noch besondere Kategorien von Daten (sensible Daten), etwa die ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung. Diese Daten müssen besonders behandelt werden und genießen einen besonderen Schutz.

3. Was versteht man unter „Verarbeiten von personenbezogenen Daten“?

Verarbeiten ist jede Art der Handhabung der Daten wie etwa Erhebung, Speicherung, Sortierung. Dabei unterscheidet das Gesetz nicht zwischen der „händischen“ auf Papier und der elektronischen Verarbeitung von Daten. Es sind daher auch in Papierform geführte Akten von der DSGVO erfasst.

4. In welcher Form sind Tierarztpraxen betroffen?

In einer Tierarztpraxis erfolgt die Verarbeitung der Daten fast immer zur Erfüllung des Behandlungsvertrags oder zur Erfüllung der vorgeschriebenen Dokumentationspflichten. Tierärzte brauchen daher in den meisten Fällen keine Einwilligung ihrer Klienten, um deren persönliche Daten verarbeiten zu dürfen. 

Verantwortlich für die korrekte Verarbeitung ist in einer Ordination immer die Tierärztin bzw. der Tierarzt. Sollten mehrere TierärztInnen gemeinsam eine Ordination führen, sind diese in der Regel allesamt verantwortlich und haften daher auch – in der Regel – solidarisch für etwaige Verstöße. Die Strafdrohung im österreichischen Datenschutzgesetz liegt bei bis zu 50.000 Euro, das EU-Recht wird große Konzerne mit bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes bestrafen. Derzeit ist noch unklar, wie streng die Datenschutzbehörde vorgehen wird und in welcher Höhe die Strafen tatsächlich sein werden.

5. Was ist ein Verarbeitungsverzeichnis? Müssen Tierärzte ein solches führen?

In der Vergangenheit mussten Verarbeitungsvorgänge (z. B. Erhebung, Speicherung, Sortierung) beim Datenverarbeitungsregister gemeldet werden bzw. waren in gewissen Ausnahmefällen von der Meldung ausgenommen. In Zukunft lastet die gesamte Verantwortung bei den UnternehmerInnen, indem die Vorgänge im Datenschutzrecht betriebsintern in Form eines Verarbeitungsverzeichnisses zu dokumentieren sind.

Führende Datenschutzexperten in Österreich empfehlen die Führung eines Verzeichnisses für alle Betriebe, die regelmäßig Rechnungen stellen. Aus diesem Grund ist es auch für niedergelassene Tierärzte empfehlenswert, ein derartiges Verzeichnis zu führen. Im Rahmen dieses Verzeichnisses muss dokumentiert werden, woher die Daten stammen, zu welchen Zwecken diese verarbeitet werden und was mit diesen passiert. Bereits jetzt sind online Muster verfügbar, die helfen, den Aufwand zu reduzieren. 

6. Technische Anforderungen an den Datenschutz

Die DSGVO sieht vor, dass Schutzmaßnahmen umzusetzen sind, die dem aktuellen Stand der Technik entsprechen. Mindestens sollte die Schutzstrategie Folgendes berücksichtigen:

7. Was ist eine Datenschutzfolgenabschätzung und ist eine solche für Tierärzte erforderlich?

Eine Datenschutzfolgenabschätzung beschreibt im Zuge der Dokumentation die datenschutzrechtlichen Risiken, die im Rahmen eines Unternehmens, oder einer Praxis, vorliegen können. Diese Abschätzung muss verfasst werden, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung von Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, wenn die Daten veröffentlicht werden. Wenn nur zur Rechnungslegung erforderliche Daten gesammelt werden, ist mit einer sehr hohen Wahrscheinlichkeit keine Datenschutzfolgenabschätzung erforderlich.

8. Benötigen Tierarztpraxen einen Datenschutzbeauftragten?

Da Tierarztpraxen keine medizinischen Daten von Menschen sammeln, ist für den normalen Betrieb keine Bestellung eines Datenschutzbeauftragten erforderlich.

Ab 25.05.2018 gilt: Jeder Betrieb muss seine Pflichten laut DSGVO erfüllen und seine Hausaufgaben gemacht haben. Weiters muss jeder Betrieb im Sinne der Sorgfalt seine Daten ausreichend vor Angriffen von außen schützen und diese auch – sollte die Datenschutzkommission eine Prüfung durchführen – entsprechend dokumentiert haben. Die ÖTK unterstützt Sie gerne bei den Vorbereitungen auf die neuen Regelungen und wird ab nun regelmäßig Informationen zum Thema Datenschutz Grundverordnung bereitstellen.