Die Datenschutzgrundverordnung (DSGVO) und ihre Umsetzung in der Praxis
Die DSGVO gilt ab dem 25.05.2018 unmittelbar und verbindlich in allen EU-Mitgliedsstaaten.
Hiermit gilt es für alle Unternehmen, die in einem EU-Mitgliedsstaat personenbezogene Daten verarbeiten, hierzu erlassene strikte Regeln zu befolgen.
Diese Regelungen sind teilweise sehr komplex und in der Praxis an mancher Stelle tatsächlich kaum umsetzbar. Umso mehr macht sich allseits die Sorge breit, bei möglichen Verstößen mit einem empfindlichen Bußgeld belangt zu werden. Aber soviel vorweg: Der Bußgeldrahmen der DSGVO ist zwar drastisch, diese Art der Sanktion dürfte jedoch nur bei massiven oder wiederholten Verstößen das Mittel der Wahl sein. Andernfalls dürfte zunächst ein Aufforderungsbescheid der zuständigen Behörde zu erwarten sein. So weit brauchen Sie es allerdings gar nicht erst kommen zu lassen. Sofern Sie informiert sind, was Sie bei der Verarbeitung von personenbezogenen Daten beachten müssen und diese Informationen rechtzeitig in Ihrem Praxisbetrieb umsetzen, haben Sie die DSGVO nicht zu fürchten.
Wir haben für Sie im Folgenden einige wichtige Grundsätze zusammengefasst:
- Was sind personenbezogene Daten?
Unter den Begriff „personenbezogene Daten“ werden alle Informationen gefasst, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies sind insbesondere Namen, Adressen, Geburtsdaten, Telefonnummern, Familienstand, Staatsangehörigkeit, Online-Kennungen oder besondere Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität einer natürlichen Person sind. - Unter welchen Voraussetzungen dürfen personenbezogene Daten verarbeitet werden?
Der Begriff „Verarbeitung“ umfasst jeden Vorgang in Zusammenhang mit personenbezogenen Daten – also auch bereits die Erhebung. Im Grundsatz gilt hier: Die Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten, es sei denn, sie wird durch eine entsprechende Gesetzesgrundlage gerechtfertigt. Für eine solche Rechtfertigung wird in der Regel eine entsprechende Einwilligung des Betroffenen erforderlich sein. - Voraussetzungen der Wirksamkeit einer Einwilligung
Um eine Datenverarbeitung wirksam zu legitimieren, muss eine Einwilligung folgende Bedingungen erfüllen:
– sie muss schriftlich fixiert sein
– sie muss freiwillig erfolgt sein
– der Betroffene muss über die Konsequenzen einer Einwilligung aufgeklärt worden sein - Informationspflichten gegenüber dem Betroffenen
Eine wirksame Einwilligung setzt das Vorliegen der o.g. Kriterien voraus. Unter anderem ist es erforderlich, dass dem Betroffenen die Tragweite seiner Einwilligung erklärt wurde. Hierzu ist es unerlässlich, den Betroffenen über Folgendes aufzuklären:
– Name und Kontaktdaten des für die Verarbeitung Verantwortlichen (= Praxisinhaber), sowie ggf. des betrieblichen Datenschutzbeauftragten
– Angabe, welche Daten des Betroffenen erhoben werden
– zu welchem Zweck diese Daten erhoben werden (Zweckbindung!)
– Nennung der Rechtsgrundlagen für die Verarbeitung
– Kategorien der Empfänger der Daten (wer hat Zugriff?)
– wie lange die erhobenen Daten gespeichert werden
– Hinweis auf die Rechte des Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenportabilität)
– das Recht des Betroffenen, die Einwilligung jederzeit zu widerrufen
– durch einen Widerruf wird die zwischen Einwilligungs- und Widerrufserklärung erfolgte Datenverarbeitung nicht (nachträglich) rechtswidrig
– die Möglichkeit des Betroffenen, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren
– ob die Angabe der Daten verpflichtend ist oder notwendig, einen Vertrag zu schließen
– Konsequenzen bei Nichtangabe der Daten
Diese Informationen, sowie die hierunter zu fixierende Einwilligung des Betroffenen, dürften sich unproblematisch dem Patientenaufnahmebogen, mit dem Sie auch die Daten des jeweiligen Halters aufnehmen, beifügen lassen.
- Grundsatz der Datenminimierung
Die DSGVO sieht eine Beschränkung der Datenverarbeitung auf das für den Zweck der Verarbeitung angemessene und erforderliche Maß vor. - Integrität und Vertraulichkeit
Es sind geeignete (auch technische) Maßnahmen zu treffen, um einen angemessenen Schutz der Daten vor unbefugter oder unrechtmäßiger Verarbeitung, sowie vor Verlust oder Schädigung, zu gewährleisten. - Löschung
Die Daten sind unverzüglich zu löschen, sobald der Zweck der Verarbeitung verbraucht ist oder ein Widerruf des Betroffenen vorliegt. Dies gilt nicht, sofern die Verarbeitung bspw. zur Ausübung von Rechtsansprüchen weiterhin erforderlich ist. - Datenschutzerklärung bei Betrieb einer Website
Sofern das Unternehmen eine Website betreibt, sind auch hier Datenschutzinformationen erforderlich. Diese sind vom jeweiligen Nutzer der Website über das Impressum abrufbar.
Auch hier ist eine umfassende Information der Betroffenen erforderlich. Einer aktiven Einwilligung des jeweiligen Betroffenen bedarf es hingegen nicht. Vielmehr greift hier ein gesetzlicher Rechtfertigungsgrund (Art. 6 Abs. 1 f DSGVO). - Verzeichnis von Verarbeitungstätigkeiten
Die DSGVO fordert das Führen eines Verzeichnisses aller Verarbeitungstätigkeiten.
Hierin sind u.a. Zwecke von Datenverarbeitungen, Kategorien der Betroffenen, sowie der personenbezogenen Daten und deren Empfänger, die vorgesehenen Fristen für die Löschung der Datenkategorien, sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus aufzuführen. - Dokumentation
Jedes Unternehmen sollte ein Papier führen, das die Bemühungen um technische und organisatorische Maßnahmen der Datensicherheit und deren Durchführung belegt. - Notwendigkeit eines Datenschutzbeauftragten
In Tierarztpraxen wird die Bestellung eines Datenschutzbeauftragten in der Regel erst dann erforderlich sein, sofern mindestens 10 Personen mit der Datenverarbeitung befasst sind.
Der Datenschutzbeauftragte darf Beschäftigter im Praxisbetrieb sein. Um seine Unabhängigkeit in seiner Funktion als Datenschutzbeauftragter zu gewährleisten, genießt er zudem einen besonderen Kündigungsschutz. - Résumé
Die DSGVO bringt einige Verschärfungen in Sachen Datenschutz mit sich. Betroffen sind hiervon alle Unternehmen, die Kundendaten in den EU-Mitgliedsstaaten verarbeiten.
Sie müssen sicherstellen, dass die Kunden eine ggf. erforderliche schriftliche Einwilligung in die Datenverarbeitung erteilen. In jedem Fall aber muss das Unternehmen den Kunden spätestens bei Erhebung der Daten eine wahre Informationsflut zukommen lassen, um diese lückenlos u.a. über Sinn und Zweck der Datenverarbeitung und die Betroffenenrechte aufzuklären. Die Einhaltung der Grundsätze der Datenverarbeitung hält zudem einige technische Herausforderungen bereit, wie z.B. die datenschutzrechtkonforme Aufbewahrung und Verschlüsselung von Daten, die Festlegung von Berechtigungen für den Zugriff und das Erstellen eines Backup-Systems. Für den Fall, dass die Behörde kritisch nachfragt, sollte stets nachweisbar sein, dass die Vorgaben der DSGVO eingehalten werden. Andernfalls können Geldbußen und Schadensersatzforderungen die Folge sein.
Es empfiehlt sich daher, spätestens jetzt dem Thema Datenschutz besondere Aufmerksamkeit zu schenken.