Dokumentationsanforderungen der DSGVO für Tierärzte: Mit dem Kundenformular alleine ist es nicht getan…

Publiziert in Datenschutz

Ab 25.05.18 gilt die Datenschutz-Grundverordnung (DSGVO) und im Vorfeld - und mit Sicherheit auch nach dem Start - sorgt sie für mancherlei Umtrieb, nicht nur, aber auch bei Tierkliniken und Tierarztpraxen.

Die eigentliche Zäsur der DSGVO: Nachweispflicht

Kein Wunder, denn sie ist in gewisser Form eine Zäsur der bisherigen Datenschutzpraxis des Bundesdatenschutzgesetzes in seiner Form bis 24.05.2018 (BDSG-alt). Die DSGVO betont ganz besonders die Verantwortlichkeit, die Unternehmen (und öffentliche Stellen) für die Einhaltung des Datenschutzes haben. Diese müssen zukünftig nachweisen, dass ihre Datenverarbeitung datenschutzkonform ist. Gefordert wird dies beispielsweise ganz unmissverständlich in Art. 5 Abs 2.: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘)“.

Der Präsident des Bayerischen Landesamts für Datenschutzaufsicht hat es sehr treffend formuliert: „Wie wir prüfen? Ganz einfach: Zeig mal!“

Im erwähnten Absatz 1 wiederum finden sich sechs wesentliche Grundsätze für die Verarbeitung personenbezogener Daten: „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ - „Zweckbindung“ - „Datenminimierung“ - „Richtigkeit“- „Speicherbegrenzung“ - „Integrität und Vertraulichkeit“. Und hinter jedem dieser Begriffe stehen auch für Tierärzte Maßnahmen, die umgesetzt werden müssen.

Alleine hier zeigt sich bereits, dass die Umsetzung der DSGVO in Tierarztpraxen mit der Anpassung des Kundenformulars für Tierbesitzer alleine nicht getan sein wird…

Noch einen Schritt weiter geht die DSGVO in Art. 24. Abs. 1. hinsichtlich der Verantwortung des für die Verarbeitung Verantwortlichen (also des Unternehmers): „Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

Mit der Umsetzung dieser - wie auch immer im Detail ausgestalteten Maßnahmen - ist ein Konformitätsnachweis zu erbringen. Weiterhin sollen die Maßnahmen auch überprüft und aktualisiert werden.

Von der Dokumentation zu einem Datenschutz-Managementsystem

Und damit ist der Verweis auf ein „Datenschutz-Managementsystem“ naheliegend: Plan - Do - Check - Act. Dieser Verweis entstammt übrigens nicht meiner Sympathie für ein Managementsystem - er findet sich allerorts, wo über die Umsetzung der DSGVO geschrieben wird.

Bevor wir uns jedoch mit den Details beschäftigen, sollten wir erst einmal klären, was sich hinter dem Begriff des „Managementsystems“ überhaupt verbirgt. Wikipedia schreibt dazu: „Bei dem Wort ‚Managementsystem‘ handelt es sich um ein Kofferwort aus ‚Management‘ und ‚System‘ und sollte im Deutschen eher als ‚System der Unternehmensführung‘ verstanden bzw. interpretiert werden."

Eigentlich ganz einfach - und das ist es wirklich: ein Managementsystem beschreibt eine Systematik, mit der Abläufe in der Tierklinik bzw. Tierarztpraxis nach einer einheitlichen Vorgehensweise strukturiert und auch optimiert werden können. Damit sprechen alle, die involviert sind, üblicherweise „die gleiche Sprache“ und meinen auch das gleiche - falls notwendig auch über Unternehmensgrenzen hinweg. Ein Managementsystem erfüllt also in gewisser Form die Funktion einer Norm (Vereinheitlichung) bei der Vorgehensweise der Optimierung von Geschäftsabläufen.

PDCA - das könnte schon bekannt sein

Und am PDCA-Modell werden die Vorzüge sehr schnell deutlich, denn diese Vorgehensweise hat sich z.B. bei der Implementierung eines Qualitätsmanagement-Systems wie der ISO 9001 bewährt. Entwickelt wurde es von William Edwards Deming und ist deshalb auch als Demingkreis bekannt.

(P) Plan: Festlegung der geeigneten technischen und organisatorischen Maßnahmen

(D) Do: deren Umsetzung zur Sicherstellung der ordnungsgemäßen Verarbeitung

(C) Check: überprüfen und den Nachweis erbringen

(A) Act: bei Abweichungen erforderlichenfalls aktualisieren

Dieser Ansatz, den die DSGVO damit verfolgt, ist absolut sinnvoll. Mit dem Hinweis auf PDCA zeigt sie Unternehmen, den ein Managementsystem nicht fremd ist, einen klaren Weg der Umsetzung. Und dieser ist pragmatisch, weil die DSGVO in ganz viele Bereiche im Unternehmen hineinwirkt (Stichworte: Kunden-, Beschäftigten- und Lieferantendatenschutz) und die mit einem Managementsystem verbundene kontinuierliche Verbesserung (KVP) die Voraussetzung ist, die zu erwartenden dynamischen Entwicklungen der ersten Jahre der Umsetzung zu erfassen und in die eigene Datenschutzpraxis umzusetzen.

Und weshalb das Ganze? Weil Sie ohne Systematik den Überblick verlieren werden

Auch wenn vielerorts die Meinung herrscht, dass auch bei der DSGVO vieles „nicht so heiß gegessen werden wird wie es gekocht wird“, ist eines schon heute klar: Die DSGVO wird eine nachhaltige Wirkung in den Unternehmen entfalten und dies an ganz unterschiedlichen Stellen. Denn Datenschutz bedeutet „Kundendatenschutz + Beschäftigtendatenschutz + Lieferantendatenschutz“. Und in sämtlichen dieser drei Bereiche erfolgen unterschiedliche Dokumentationsmaßnahmen und zwar nicht nur darüber, WAS getan wurde, sondern auch WIE es zu tun ist und auch WESHALB es zu tun ist.

Diese umfangreichen Aufzeichnungen dienen u.a. als Nachweis gegenüber der Datenschutzaufsicht, bei gerichtlichen Kontrollverfahren sowie für eine nachträgliche Information Betroffener. Eine erfolgreiche Umsetzung dieser Verpflichtung setzt die Entwicklung, Implementierung und Anwendung eines Datenschutz-Managementsystems voraus. Dabei müssen Verantwortliche eruieren, welche Dokumentationspflichten sie zu beachten haben, Umfang und Grenzen dieser Pflichten kennen und Prozesse einführen, die deren Einhaltung sicherstellen.

Um ein Gefühl für den Umfang zu bekommen, sind nachfolgend einige Beispiele genannt, auf die sich die Dokumentation rund um die DSGVO bezieht:

1. Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO

Dieser Punkt wurde oben bereits ausführlich beschrieben.

2. Verzeichnis von Verarbeitungstätigkeiten

Die DSGVO verpflichtet Verantwortliche, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Dieses enthält für jede Verarbeitungstätigkeit mit Bezug zu personenbezogenen Daten die wesentlichen Informationen über diese Verarbeitung.

Dieses Verzeichnis ist eine der zentralen Dokumentationen gegenüber der Aufsichtsbehörde.

3. Verträge über Auftragsverarbeitung (AV)

Ein Vertrag über eine Auftragsverarbeitung ist abzuschließen, wenn eine verantwortliche Stelle einen Dienstleister (sog. „Auftragsverarbeiter“) beauftragt, personenbezogene Daten ausschließlich nach ihrer Weisung und nur zum Zwecke der Vertragserfüllung zu verarbeiten.

Die Anforderungen an diese Verträge wurden erweitert und die Datenverarbeitung an bestimmte Bedingungen geknüpft. Die Erfüllung ist schriftlich darzulegen.

4. Technisch-organisatorische Maßnahmen (TOM's) nach Art. 24 DSGVO

Verantwortliche sind verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten einzusetzen. Der Nachweis erfolgt auch hier über eine entsprechende Beschreibung dieser Maßnahmen.

5. Betroffenenrechte nach Art. 15 - 20 DSGVO

Verantwortliche Stellen müssen die Rechte Betroffener kennen und Prozesse implementieren (=dokumentieren), um hierauf entsprechend reagieren zu können. So müssen z. B. Geschäftsprozesse geprüft und die Sachverhalte erfasst werden, an die Informationspflichten (z. B. bei einer Einwilligung oder bei einer Datenerhebung über Dritte) geknüpft sind. Ferner sollten Umfang und Grenzen von Betroffenenrechten und die Fristen bekannt sein, in denen verantwortliche Stellen Betroffenenrechte erfüllen müssen und deren Einhaltung sichergestellt sein.

Die wesentlichen Betroffenenrechte sind:

  • Erfüllung des Auskunftsersuchen nach Art. 15 DSGVO
  • Recht auf Berichtigung nach Art. 16 DSGVO
  • Recht auf Löschung nach Art. 17 DSGVO
  • Einschränkung der Verarbeitung nach Art. 18 DSGVO
  • Mitteilungspflicht an Dritte nach Art. 19 DSGVO
  • Recht auf Datenübertragung nach Art. 20 DSGVO

6. Erfüllung der Informationspflicht nach Art. 13 und 14 DSGVO

Verantwortliche Stellen haben nachzuweisen, dass sie die erweiterten Informationspflichten nach der DS-GVO erfüllen. Es empfiehlt sich insoweit, Datenschutzhinweise (auch Vorversionen mit dem Hinweis „verwendet von… bis…“) aufzubewahren sowie den Zeitpunkt der Übermittlung zu dokumentieren.

7. Datenschutz-Folgenabschätzung

Für jede Verarbeitung von personenbezogenen Daten (s. Punkt 2) ist zu ermitteln, welches Risiko für die Rechte Betroffener damit verbunden ist (Risikoanalyse). Stellt ein Verantwortlicher fest, dass die beabsichtigte Datenverarbeitung ein hohes Risiko für die Personen zur Folge hätte, deren Daten verarbeitet werden sollen, und kann dieses hohe Risiko nicht minimiert werden, so hat ein Verantwortlicher eine sog. „Datenschutz-Folgenabschätzung“ durchzuführen - und diese zu dokumentieren.

8. Beschäftigte als Weisungsempfänger, Schulung und Verpflichtung zur Verschwiegenheit nach Art. 29, 32 Abs. 4 DSGVO

Die DSGVO regelt, dass Beschäftigte personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeiten dürfen. Diese sind verpflichtet, ihre Mitarbeiter entsprechend anzuhalten. Insoweit sollten Verantwortliche notwendige interne Datenschutzregelungen (Dienstanweisungen) erstellen und die Mitarbeiter in diesen Fragen entsprechend informieren und schulen. Interne Datenschutzregelungen sowie sonstige Anweisungen zum Datenschutz sollten dokumentiert und regelmäßig auf Änderungsbedarf geprüft werden.

9. Interessenabwägung und Zweckänderung nach Art. 6 DSGVO

Wer eine Datenverarbeitung auf die Rechtsgrundlage „Wahrung der berechtigten Interessen des Verantwortlichen oder Dritten“ stützt, muss den hiervon betroffenen Personen die Gründe mitteilen, die er oder ein Dritter in Abwägung zu den Interessen der Betroffenen als überwiegend ansieht. Außerdem muss er Betroffene vorab auf ihr jederzeitiges Widerrufsrecht hinweisen. Dies kann auch bei Tierärztlichen Kliniken und Praxen bei der Erfassung bestimmter Kundendaten notwendig sein – und muss dokumentiert werden.

10. Datenpannen und Meldepflichten

Verantwortliche sollten Vorkehrungen (Notfall-Management) treffen, um auf Datenpannen sachgemäß reagieren zu können. Hierzu zählt der Verlust von Daten durch Datenklau ebenso wie eine Zerstörung von Daten durch einen Serverabsturz.

Verantwortliche müssen insoweit bestehende Melde- und Informationspflichten kennen. Ferner sollten sie einen Prozess etablieren und so sicherstellen, dass Mitarbeiter Datenpannen erkennen und über entsprechende Vorfälle den Datenschutzbeauftragten oder die Geschäftsleitung (falls kein Datenschutzbeauftragter bestellt ist) informieren, so dass geprüft werden kann, ob eine Meldepflicht besteht und weitere Schritte veranlasst werden können.

Vieles ist relevant - aber meist nicht alles

Für eine Tierklinik bzw. Tierarztpraxis sind einige der Punkte eher von geringer Relevanz, aber von vorneherein grundsätzlich ausgeschlossen werden können sie nicht. So wird beispielsweise eine Datenschutz-Folgenabschätzung (s. Punkt 7) üblicherweise eher nicht erstellt werden müssen - es sei denn, Videoüberwachung oder automatisierte Zeiterfassung werden durchgeführt, aber selbst dann eher mit einem überschaubaren Aufwand.

Dennoch durchzieht die neue Datenschutz-Systematik ein Unternehmen wie eine Tierklinik bzw. Tierarztpraxis auf Grund der hohen Frequenz dokumentierter Verarbeitungsvorgänge von personenbezogenen Daten in sämtlichen Bereichen. Dieses einfach mal „nebenbei abzubilden“ funktioniert nicht.

Und wenn es überhaupt ein Argument gibt, das für die DSGVO spricht, dann ist es für Tierärzte die (zwangsweise) Chance, sich stärker mit dem Thema „Managementsystem“ auseinander setzen zu müssen. Denn dieses „Handwerkszeug“ einmal erlernt, hilft in vielen anderen Bereichen.

Idealerweise lässt sich das softwaregestützt umsetzen – aber dazu mehr in einem weiteren Beitrag.