Auswirkungen der Datenschutz-Grundverordnung auf Tierarztpraxen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
1522 | Forum | Praxis
Auswirkungen der Datenschutz-
Grundverordnung auf Tierarztpraxen
Alles neu macht der Mai?
Ole Ziegler
Mit Wirkung zum 25.05.2018 tritt die Daten-
schutz-Grundverordnung in der Bundesrepu-
blik in Kraft. Damit gehen umfangreiche
Änderungen der datenschutzrechtlichen Rah-
menbedingungen einher, insbesondere des
nationalen Datenschutzrechts. Hier wird ein
Überblick über diese Änderungen gegeben,
um Inhabern von Tierarztpraxen etwaigen
Handlungsbedarf aufzuzeigen.
Auf europäischer Ebene ist am 24.05.2016 die
sogenannte Datenschutz-Grundverordnung (Ver-
ordnung 2016/679) [1] in Kraft getreten, die in
der Bundesrepublik am 25.05.2018 unmittelbare
Geltung entfalten wird. Die Datenschutz-Grund-
verordnung (DSGVO) knüpft an die automatisier-
te oder nicht automatisierte Verarbeitung von
Daten durch einen Verantwortlichen an, die in
einem Dateisystem gespeichert sind oder wer- schutzgesetzes erfasst, soweit nicht im Einzelfall schrift des Halters, welche zugleich in der Be-
den sollen. Ziel ist es, die verarbeiteten und ge- speziellere bereichsspezifische gesetzliche Re- handlungsdokumentation festgehalten ist, geht
speicherten Daten von natürlichen Personen zu gelungen greifen, § 1 Abs. 4 BDSG. Solche be- damit nicht nur eine Erhebung von Daten, son-
schützen – einerseits durch organisatorische reichsspezifischen Regelungen können sich zum dern auch eine Löschung von personenbezoge-
Maßnahmen, andererseits durch Stärkung der Beispiel aus dem Infektionsschutzgesetz im Hin- nen Daten einher. Nicht nur die Verarbeitung von
Rechte der Betroffenen. Grundsätzlich gehen blick auf meldepflichtige Krankheiten ergeben. Daten des Tierhalters, sondern auch die Verar-
Regelungen der Datenschutz-Grundverordnung Auch legitimiert das Tierschutzgesetz in § 16 beitung von Daten des Tieres ist zumindest dann
nationalen Regelungen aufgrund des Anwen- Abs. 6 den Umgang von Tierschutzbehörden mit eine Verarbeitung personenbezogener Daten,
dungsvorrangs des Europarechts [2] vor, selbst personenbezogenen Daten aufgrund des im öf- wenn die das Tier betreffenden Informationen
wenn sie diesen entgegenstehen. Allerdings ent- fentlichen Interesse liegenden Wohls von Tieren. einen Rückschluss auf natürliche Personen zu-
hält die Datenschutz-Grundverordnung zahlrei- lassen. Beispielsweise lassen sich aus Infor-
che Öffnungsklauseln, die es den Mitgliedstaa- mationen zur Zucht eines Tieres Rückschlüsse
Umgang mit personenbezogenen
ten ermöglichen, für spezifische Bereiche abwei- Daten auch bei der Behandlung von auf den Inhaber des Zuchtbetriebs ziehen. Auch
chende Bestimmungen einzuführen. Davon hat Tieren lassen Tiernamen einen Rückschluss auf den
der deutsche Gesetzgeber mit dem sogenannten Tierhalter zu [5]. Ferner ist der Umstand, ein Tier
Datenschutz-Anpassungs- und Umsetzungs- Sowohl die Bestimmungen der EU-Datenschutz- in einer Tierarztpraxis oder -klinik behandeln zu
gesetz Gebrauch gemacht und das Bundesda- Grundverordnung als auch des Bundesdaten- lassen, eine Information, die sich auf den Tier-
tenschutzgesetz (BDSG) novelliert [3]. Die geän- schutzgesetzes knüpfen an die Verarbeitung von halter bezieht. Dies gilt unabhängig davon, ob
derten Bestimmungen des Bundesdatenschutz- personenbezogenen Daten durch einen Verant- das Tier wegen einer Krankheit behandelt wird,
gesetzes treten parallel mit der Datenschutz- wortlichen an. Personenbezogene Daten sind ge- die wie bei einer Zoonose mittelbar eine Aussage
Grundverordnung am 25.05.2018 in Kraft. mäß Art. 4 Ziffer 1 der EU-Datenschutz-Grund- über den Gesundheitszustand des Tierhalters
verordnung „alle Informationen, die sich auf eine trifft. Ebenfalls zu berücksichtigen ist dabei die
identifizierte oder identifizierbare natürliche Per- Datenerfassung und -speicherung bei der Erstel-
Bundesdatenschutzgesetz und
bereichsspezifische Regelungen son beziehen“. Eine „Verarbeitung“ erfasst ge- lung/Weiterführung des EU-Heimtierausweises.
beachten mäß Art. 4 Ziffer 2 DSGVO von der Erhebung bis
zur Löschung und der Vernichtung personenbe-
Hoher Schutz von Gesundheitsdaten
Das Bundesdatenschutzgesetz [4] findet gemäß zogener Daten jeden einzelnen Zwischenschritt
§ 1 Abs. 4 Satz 2 auch auf nicht öffentliche Stel- des Umgangs mit personenbezogenen Daten. Ob das Tier wegen einer Krankheit behandelt
len Anwendung; daher gemäß § 2 Abs. 4 BDSG Beispielsweise sind datenschutzrechtlich rele- wird, die auf den Menschen übertragbar ist, ist
auf natürliche und juristische Personen, Gesell- vante Vorgänge bereits das Aufnehmen von Hal- allerdings nicht unbedeutend. Denn personenbe-
schaften und andere Personenvereinigungen des terinformationen und das Speichern dieser Infor- zogene Daten, die als sogenannte besondere Ka-
privaten Rechts, die keine hoheitlichen Aufgaben mationen in einer (elektronischen) Behandlungs- tegorien personenbezogener Daten einzustufen
der öffentlichen Verwaltung wahrnehmen. Des- dokumentation. Geschieht dies zudem virtuell im sind, dürfen nur unter den Voraussetzungen des
halb werden auch Inhaber von Tierarztpraxen Internet, werden dabei Daten an Dritte übermit- Art. 9 Abs. 2 DSGVO verarbeitet werden. Gesund-
oder Tierkliniken in datenschutzrechtlicher Hin- telt, um sie außerhalb des Erhebungsortes zu heitsdaten sind eine derartige Kategorie beson-
sicht vom Anwendungsbereich des Bundesdaten- speichern. Kommt es zu einer Änderung der An- ders sensibler Daten. Gemäß der Legaldefinition
Deutsches Tierärzteblatt | 2017; 65 (11)
Praxis | Forum | 1523
in Art. 4 Nr. 15 DS-GVO handelt es sich dabei um willigt“ haben. Daraus wird teilweise gefolgert, pflicht gegenüber der zuständigen Aufsichtsbe-
„personenbezogene Daten, die sich auf die kör- dass konkludente Einwilligungen nicht statthaft hörde auf Anforderung nachweisen können. Darü-
perliche oder geistige Gesundheit einer natürli- sind [7]. Dann wäre das bloße Erscheinen eines ber hinaus muss der Verantwortliche angemesse-
chen Person, einschließlich der Erbringung von Tierhalters mit seinem zu behandelnden Tier in ne technische und organisatorische Maßnahmen
Gesundheitsdienstleistungen, beziehen und aus der Tierarztpraxis oder -klinik nicht ausreichend, gemäß Art. 24 DSGVO umsetzen. Gemäß Erwä-
denen Informationen über deren Gesundheitszu- um eine wirksame Einwilligung anzunehmen. Es gungsgrund 78 zählen dazu u. a. eine Minimie-
stand hervorgehen“. Die Verarbeitung derartiger spricht aber mehr dafür, dass der EU-Gesetzgeber rung der Verarbeitung personenbezogener Daten,
Daten kann nur auf einen der in Art. 9 Abs. 2 mit dem Wortlaut „ausdrücklich eingewilligt“ die die frühzeitige Pseudonymisierung der Daten und
DSGVO genannten Erlaubnistatbestände gestützt Möglichkeit von Opt-out-Lösungen (Abwahl- die Verwendung von Software mit speziellen
werden, von denen die Einwilligung der betroffe- möglichkeit – „Nein, ich möchte nicht …“) Sicherheitsfunktionen. Im Zusammenhang damit
ausschließen, nicht jedoch die Möglichkeit kon- bestimmt Art. 25 DSGVO bzw. § 71 BDSG, dass
kludenter Einwilligungen verhindern wollte [8]. der Verantwortliche durch Technikgestaltung und
Dies liegt auf einer Linie damit, dass Erwägungs- datenschutzfreundliche Voreinstellungen insbe-
grund 32 von einer „eindeutigen, bestätigenden sondere für eine frühzeitige Pseudonymisierung
Handlung“ spricht. Schließlich ist zu berücksichti- der Daten [12] und für eine Speicherung der Da-
gen, dass die datenschutzrechtlichen Regelungen ten in dem Umfang zu sorgen hat, wie sie für die
die Grundsätze der tierärztlichen Schweigepflicht Nutzung unbedingt erforderlich ist. Beispielsweise
unberührt lassen, vgl. § 1 Abs. 2 Satz 3 BDSG „Die muss im Fall des Versandes eines Praxis-Newslet-
Einhaltung der tierärztlichen Schweigepflicht setzt ters zwingend zuvor die Einwilligung des Halters
keine schriftliche Einwilligung voraus“. Daher ver- eingeholt werden, indem der Halter selbst einen
hält sich auch derjenige datenschutzkonform, der entsprechenden Haken in ein entsprechendes For-
© momius – stock.adobe.com
sich (nur) auf eine konkludente Einwilligung des mular, entweder online oder vor Ort in der Praxis,
Betroffenen stützen kann [9]. setzt (sogenanntes Double-Opt-in). Auch muss der
Von großer Relevanz für die Wirksamkeit Verantwortliche im Zusammenhang mit der Be-
einer Einwilligung ist deren Freiwilligkeit. Für schaffung von neuen Dateisystemen oder mit dem
den Betroffenen muss eine „echte oder freie Zukauf von Cloud-Dienstleistungen bei Dritten
Wahl“ bestehen, sodass er „in der Lage ist, die prüfen, ob sich damit eine solche datenschutz-
Einwilligung zu verweigern oder zurückzuziehen, freundliche Technikgestaltung gewährleisten
nen Person im Sinne von Art. 9 Abs. 2 lit. a ohne Nachteile zu erleiden“ [10]. Allerdings ge- lässt. Ferner ist der Verantwortliche gemäß Art. 30
DSGVO der wichtigste ist. Wenn und soweit ein hört es zwingend zur Behandlung eines Tieres, DSGVO bzw. § 70 Abs. 1 BDSG verpflichtet, ein so-
Tier in einer Tierarztpraxis oder -klinik wegen ei- dass der Tierarzt Daten wie die Anschrift des genanntes Verzeichnis von Verarbeitungstätig-
ner Krankheit behandelt wird, die womöglich zwi- Halters und die gestellte Diagnose speichert. keiten zu führen, insbesondere wenn Gesund-
schen Mensch und Tier übertragbar ist, handelt es Weigert sich der Tierhalter, in die Verarbeitung heitsdaten tangiert sind, was in einer Tierarztpra-
sich bei der berufsrechtlich gebotenen Dokumen- der Daten einzuwilligen, muss der Tierarzt die xis oder -klinik regelmäßig der Fall ist. Inhalt die-
tation der Behandlung (auch) um die Verarbeitung Behandlung des Tieres – abgesehen von Notfäl- ses Verzeichnisses sind alle Tätigkeiten im Hin-
von besonders schützenswerten Gesundheits- len – ablehnen. Vor diesem Hintergrund ist es blick auf die Verarbeitung von personenbezoge-
daten des Tierhalters. Deren Verarbeitung bedarf nötig, die betroffene Person darauf hinzuweisen, nen Daten. Damit gemeint sind sämtliche Verar-
regelmäßig einer Einwilligung des Tierhalters. ihr stehe es frei, die erteilte Einwilligung jeder- beitungsvorgänge, was angesichts des umfassen-
zeit gemäß Art. 7 Abs. 3 DSGVO zu widerrufen. den Begriffs der Verarbeitung im Sinne von Art. 4
Angesichts der zum 25.05.2018 in der Bun- Ziffer 2 DSGVO weitreichend ist. Die Idee des Ver-
Notwendigkeit einer Einwilligung
des Tierhalters desrepublik in Kraft tretenden Datenschutz- ordnungsgebers ist es, dass die zuständige Auf-
Grundverordnung stellt sich die Frage, ob und in- sichtsbehörde die Möglichkeit hat, auf Nachfrage
Eine Einwilligung ist gemäß Art. 4 Nr. 11 DSGVO wieweit vor diesem Zeitpunkt erteilte Einwilli- sämtliche Verarbeitungsvorgänge anhand des Ver-
„jede freiwillig, für einen bestimmten Fall in infor- gungserklärungen ihre Wirksamkeit behalten: zeichnisses zu kontrollieren. Demgegenüber dürf-
mierter Weise unmissverständlich abgegebene Sofern bereits erteilte Einwilligungen schon jetzt te der Inhaber einer Tierarztpraxis oder -klinik von
Willensbekundung in Form einer Erklärung oder die Voraussetzungen von Art. 7 DSGVO erfüllen, der Pflicht, eine sogenannte Datenschutz-Folgen-
einer sonstigen eindeutigen bestätigenden Hand- gelten die Einwilligungen fort [11]. Es bedarf abschätzung im Sinne von Art. 35 DSGVO bzw.
lung, mit der die betroffene Person zu verstehen einer Kontaktaufnahme mit Alt-Patienten-Besit- § 67 BDSG vorzunehmen, befreit sein. Denn
gibt, dass sie mit der Verarbeitung der sie betref- zern zwecks „Erneuerung“ der Einwilligung, Art. 35 Abs. 3 lit. b DSGVO knüpft an eine umfang-
fenden personenbezogenen Daten einverstanden wenn und soweit die Datenverarbeitung auch reiche Verarbeitung insbesondere von Gesund-
ist“. Dabei stellt Art. 7 DSGVO erhebliche Anfor- nach dem 25.05.2018 auf eine Einwilligung ge- heitsdaten an. Dies ist nicht der Fall bei der Verar-
derungen an eine wirksame Einwilligung auf. stützt werden soll, die zuvor erteilte Einwilligung beitung personenbezogener Daten „durch einen
Deren Einhaltung hat der Verantwortliche, z. B. der aber (derzeit) nicht die Anforderungen von Art. 7 einzelnen Arzt, sonstige Angehörige eines Ge-
Inhaber einer Tierarztpraxis oder -klinik, gemäß DSGVO erfüllt. sundheitsberufes“ [13]. Der Dispens von der
Art. 7 Abs. 1 DSGVO nachzuweisen. Aufgrund die- Pflicht, eine Datenschutz-Folgenabschätzung
ser Nachweispflicht tut der Inhaber einer Tierarzt- durchzuführen, stellt eine erhebliche Entlastung
Pflichten des Inhabers einer
praxis oder -klinik gut daran, die Einwilligung des Tierarztpraxis oder Tierklinik des Inhabers einer Tierarztpraxis oder -klinik dar.
Tierhalters schriftlich zu dokumentieren. Vorfor- Denn eine Datenschutz-Folgenabschätzung be-
mulierte Einwilligungserklärungen sind zulässig, Soweit personenbezogene Daten durch den Inha- deutet eine Evaluation der mit einem Verarbei-
sofern sie verständlich, leicht zugänglich, in kla- ber einer Tierarztpraxis oder -klinik verarbeitet tungsvorgang verbundenen Risiken für die Rechte
rer, einfacher Sprache und frei von missbräuch- werden, muss dieser die Grundsätze der DSGVO und Freiheiten natürlicher Personen, woran sich
lichen Klauseln verfasst sind [6]. Allerdings geht für die Verarbeitung personenbezogener Daten wiederum die Pflicht des Verantwortlichen knüpft,
der Wortlaut von Art. 9 Abs. 2 a DSGVO dahin, die einhalten und deren Einhaltung gemäß Art. 5 geeignete technische Maßnahmen zur Minimie-
betroffene Person müsse „ausdrücklich einge- Abs. 2 DSGVO im Sinne einer Rechenschafts- rung der evaluierten Risiken zu ergreifen.
(11) 65; 2017 | Deutsches Tierärzteblatt1524 | Forum | Praxis
Ferner enthalten Art. 33, 34 DSGVO bzw. schaftlich unbedeutender Sanktionsmöglichkei- Information, dass ein Tier in einer Tierarztpraxis
§ 65 BDSG umfangreiche Meldepflichten des ten als vernachlässigbare Größe anzusehen sei- oder -klinik behandelt wird, nur bei Zoonosen
Verantwortlichen: Dieser ist gehalten, eine „Da- en, hat die Datenschutz-Grundverordnung diese bestehe [17]. Gegen eine derartige Beschrän-
tenpanne“ unverzüglich gegenüber der für ihn Verhältnisse in manchen Teilen umgekehrt. So kung des Geheimhaltungsinteresses des Tierhal-
zuständigen Aufsichtsbehörde (gemäß § 65 besteht gemäß Art. 83 Abs. 2 DSGVO eine Pflicht ters spricht aber, dass der Umstand einer tier-
Abs. 1 BDSG dem Bundesbeauftragten) zu mel- zur Verhängung von Geldbußen. Die maximale ärztlichen Behandlung eines Tieres beispielswei-
den. Nach dem Wortlaut reicht jede „Verletzung Geldbuße kann bis zu 20 Mio. € oder bis zu vier se auch auf Mängel bei der Tierhaltung gründen
des Schutzes personenbezogener Daten“ aus, Prozent des gesamten weltweit erzielten Jahres- oder gar auf einer verbotenen Haltung des Tieres
um eine Meldepflicht auszulösen. Beispiele für umsatzes im vorangegangenen Geschäftsjahr beruhen kann. Deshalb ist das Halten des Tieres
eine solche „Datenpanne“ sind Hackerangriffe, betragen, je nachdem, welcher Wert der höhere und dessen tierärztliche Behandlung als Ge-
insbesondere unter Verwendung von Ransom- Betrag ist. Lediglich für die Höhe der zu verhän- heimnis anzusehen, das der tierärztlichen
ware, bei denen Hacker ganze Behandlungsdo- genden Geldbuße steht den Aufsichtsbehörden Schweigepflicht unterfällt [5]. Deshalb ist jede
kumentationen von Krankenhäusern durch An- ein Ermessensspielraum zu. Auch haften Verant- Verarbeitung von Daten, die ein „Offenbaren“ im
griffe von außen verschlüsselten, um für die Ent- wortliche gegenüber betroffenen Personen so- Sinne von § 203 StGB darstellt – das heißt letzt-
schlüsselung ein „Lösegeld“ zu erpressen. Es lich jede Übermittlung von der tierärztlichen
kann aber auch zu Fehlern bei dem Austausch Schweigepflicht unterfallenden Daten – nur zu-
von Computern kommen, auf denen Behand- lässig, wenn eine Einwilligung und Schweige-
lungsdaten und Halterdaten gespeichert sind, Das müssen Sie beachten! pflichtenentbindungserklärung des betroffenen
was dann Meldepflichten nach sich zieht. Der Überprüfung Tierhalters vorliegt. Dies gilt auch bei der Abtre-
Bestellung eines betrieblichen Datenschutzbe- 1. der verwendeten Formulare zur Einwilligung in tung von tierärztlichen Honorarforderungen an
auftragten bedarf es hingegen erst, wenn min- die Datenverarbeitung; ggf. Kontaktaufnahme Verrechnungsstellen.
destens zehn Personen mit der automatisierten mit bestehendem Klientel Ausnahmen diesbezüglich können sich nur
Verarbeitung personenbezogener Daten ständig 2. der Einwilligung in die Weitergabe von Daten aus spezialgesetzlichen Regelungen ergeben,
befasst sind [14]. „Ständig befasst“ sind nur sol- an eine Verrechnungsstelle wie beispielsweise dem Tierschutzgesetz. Daher
che Personen, die nicht lediglich eine Zugriffs- 3. der Praxis-/Klinikwebseite ist vor jeder Übermittlung von Daten die Einwilli-
möglichkeit auf die Daten haben, sondern Perso- 4. von Verträgen mit Softwareherstellern oder In- gung des betroffenen Halters und im Zweifel so-
nen, die nicht nur gelegentlich, wie eine Urlaubs- ternetdienstleistern gar des Vorhalters einzuholen, um nicht die tier-
vertretung, die Aufgabe haben, personenbezoge- 5. der Anstellungsverträge der Beschäftigten der ärztliche Schweigepflicht zu verletzen, indem die
ne Daten automatisiert zu verarbeiten. Darunter Tierarztpraxis/Tierklinik Daten unbefugt weitergegeben werden.
zählen z. B. auch Mitarbeiter am Empfang, seien
es ausgebildete Tiermedizinische Fachangestell-
Datenschutzrechtlich relevante
te oder anderweitige Personen. wohl auf immateriellen als auch materiellen Konstellationen in einer Tierarzt-
Die Verpflichtungen des Verantwortlichen Schadenersatz, Art. 82 Abs. 1 DSGVO. Dies be- praxis oder Tierklinik
werden ergänzt durch zahlreiche Betroffenen- deutet, dass betroffene Personen im Falle von
rechte. So räumt Art. 15 DSGVO der betroffenen schuldhaften Datenschutzverstößen unter Um- Im Folgenden wird auf einige datenschutzrecht-
Person ein umfassendes Auskunftsrecht über ständen ein Schmerzensgeld gegenüber dem lich relevante Konstellationen in einer Tierarzt-
die verarbeiteten personenbezogenen Daten, die Verantwortlichen gerichtlich geltend machen praxis oder -klinik eingegangen.
Verarbeitungszwecke, die Kategorien personen- dürfen. Ein Beispiel dafür ist die ungesicherte
bezogener Daten, die Empfänger, denen die per- Speicherung von Behandlungs- und Halterdaten Einwilligung des Tierhalters bei Abtretung von
sonenbezogenen Daten gegenüber offengelegt oder die Verwendung einer Cloud-Lösung, gera- tierärztlichen Honorarforderungen
worden sind, die geplante Dauer der Speiche- de wenn dies unter Einbeziehung eines Dritt- Ausgangspunkt ist, dass Art. 9 Abs. 2 DSGVO
rung, das Bestehen eines Rechts auf Berichti- landes außerhalb der EU erfolgt (s. u.). lediglich ausnahmsweise die Verarbeitung von
gung oder Löschung der personenbezogenen Gesundheitsdaten zulässt. Daher stellt sich die
Daten sowie über das Bestehen eines Beschwer- Frage, ob und inwieweit es einer Einwilligungs-
Tierärztliche Schweigepflicht
derechts bei der Aufsichtsbehörde ein. Insbeson- ebenfalls zu wahren erklärung des Tierhalters gemäß Art. 9 Abs. 2a
dere sieht Art. 17 DSGVO mit dem sogenannten DSGVO bedarf, wenn der Inhaber der Tierarzt-
Recht auf Vergessenwerden vor, dass die be- Unabhängig von den datenschutzrechtlichen Vor- praxis oder -klinik seine Honorarforderungen an
troffene Person von dem Verantwortlichen eine gaben können sich weitere Anforderungen aus eine private Verrechnungsstelle abtritt. Mit einer
unverzügliche Löschung der sie betreffenden gesetzlichen oder berufsbezogenen Verschwie- solchen Abtretung einher geht das Offenbaren
personenbezogenen Daten verlangen darf, z. B. genheitsverpflichtungen des Tierarztes ergeben. eines veterinärmedizinischen Behandlungsver-
nachdem eine Einwilligung widerrufen wurde. Dies bedeutet, dass sich eine datenschutzrecht- hältnisses. An dieser Stelle ist auf die unter-
Damit einher geht die in Art. 19 DSGVO geregelte lich zulässige „Offenbarung“ in Gestalt einer schiedlichen Auffassungen zur Reichweite der
Pflicht, Dritten, an die Daten weitergegeben wur- Übermittlung von Gesundheitsdaten deshalb als tierärztlichen Schweigepflicht zurückzukommen.
den, jede Veränderung der Daten mitzuteilen, rechtswidrig erweisen kann, weil sie nicht im Nimmt man an, dass ein objektives Geheimhal-
wozu auch eine Löschung der personenbezoge- Einklang mit der tierärztlichen Schweigepflicht tungsinteresse des Tierhalters lediglich dann be-
nen Daten infolge eines Widerrufs der Einwilli- steht, die sowohl berufsrechtlich [15] als auch steht, wenn dem Behandlungsverhältnis eine
gung gehört. strafrechtlich [16] abgesichert ist. In diesem Zu- Zoonose zugrunde liegt, bedarf es nur in diesen
sammenhang gewinnt die Bestimmung der Fällen einer Schweigepflichtentbindungserklä-
Reichweite der tierärztlichen Schweigepflicht rung und einer Einwilligung des Tierhalters. Auch
Großes Haftungs- und Sanktions-
potenzial bei Verstößen Bedeutung. Im Hinblick darauf, dass nicht jede könnte Art. 9 Abs. 2 f DSGVO bei oberflächlicher
Erkrankung, derentwegen ein Tier in einer Tier- Betrachtung insoweit eine Übermittlung von Da-
Während in der Vergangenheit häufig darüber arztpraxis oder -klinik behandelt wird, auf den ten im Rahmen der Abrechnung von Leistungen
geklagt wurde, dass Verstöße gegen daten- Menschen übertragbar ist, wird vertreten, dass an Dritte legitimieren, als er die Verarbeitung ge-
schutzrechtliche Regelungen aufgrund wirt- ein objektives Geheimhaltungsinteresse an der sundheitsbezogener Daten zwecks „Geltendma-
Deutsches Tierärzteblatt | 2017; 65 (11)Praxis | Forum | 1525
chung, Ausübung oder Verteidigung von Rechts- pflichteten Dritten, die nicht zum ärztlichen Per- gabe von Daten im Zusammenhang mit der Ein-
ansprüchen“ gestattet, ohne dass eine Einwilli- sonal zählten, war daher mit einem hohen Straf- schaltung von Verrechnungsstellen und die Spei-
gung vorliegen muss. Allerdings ist zu beachten, barkeitsrisiko für den Arzt behaftet. Der Gesetz- cherung von Daten im Internet außerhalb des Er-
dass Art. 9 Abs. 2 f DSGVO ebenso wie § 22 geber hat durch die Novellierung von § 203 hebungsorts sowie die Weiterverwendung ur-
Abs. 1 Nr. 1 b BDSG die Zulässigkeit einer sol- Abs. 3 Satz 2 StGB ein derartiges Offenbaren von sprünglich erteilter Einwilligungen. Ohnehin ist
chen Datenweitergabe an das Merkmal der Er- Daten für befugt erklärt, wenn die Weitergabe die technische Entwicklung (Stichwort: Digitali-
forderlichkeit anknüpft. Zwar dient eine Einbe- „gegenüber sonstigen Personen erfolgt, die an sierung) derart im Fluss, dass diese womöglich
ziehung Dritter in die Abrechnung von tierärzt- der beruflichen oder dienstlichen Tätigkeit mit- recht rasch Anpassungen nicht nur der daten-
lichen Vergütungsansprüchen der Arbeitsentlas- wirken, soweit es für die Inanspruchnahme der schutzrechtlichen Bestimmungen nach sich zie-
tung des Inhabers der Tierarztpraxis oder -klinik, Tätigkeit der sonstigen mitwirkenden Personen hen wird.
dazu ist dieser aber nicht von Rechts wegen ge- erforderlich ist“. Unter dieser Voraussetzung
zwungen. Daher ist eine mit einer Abtretung an können Daten in einer Cloud ausgelagert wer- Literatur
private Verrechnungsstellen verbundene Daten- den, wenn und soweit Dritte vertraglich zum [1] Verordnung (EU) 2016/679 des Europäi-
übermittlung im Sinne von Art. 9 Abs. 2 f DSGVO Schweigen verpflichtet sind. Dies bedeutet, schen Parlaments und des Rats zum Schutz
nicht erforderlich. Unabhängig davon liegt einer dass der Inhaber einer Tierarztpraxis sich vom natürlicher Personen bei der Verarbeitung
Einschaltung privater Abrechnungsstellen eine beauftragten Cloud-Anbieter vertraglich zusi- personenbezogener Daten, zum freien Da-
Auftragsverarbeitung zugrunde, sodass die sich chern lassen muss, dass dieser die tierärztliche tenverkehr und zur Aufhebung der Richtlinie
aus Art. 28 DSGVO ergebenden Anforderungen Schweigepflicht in dem Umfang wahrt, als sei 95/46/EG.
erfüllt sein müssen. Es bedarf daher einer aus- der Cloud-Anbieter ebenfalls Adressat der tier- [2] EuGH – Urt. v. 15.07.1964 – Rs. 6/64 („Cos-
drücklichen Schweigepflichtentbindungser- ärztlichen Schweigepflicht. ta/E.N.E.L“).
klärung und Einwilligung des Tierhalters. Eine besondere Problematik tritt allerdings [3] BGBl. I 2017, 2097.
Dies gilt meines Erachtens unabhängig davon, auf, wenn die Datenübermittlung dazu führt, [4] Das BDSG ist nachfolgend in seiner ab dem
ob Gegenstand des Behandlungsverhältnisses dass die Verarbeitung in einem außerhalb der EU 25.05.2018 geltenden Fassung zitiert.
eine auf den Menschen übertragbare Krankheit befindlichen Land, also einem Drittland im Sinne [5] Franck, Medstra 2017, 9, 11 f.
des Tieres ist. Insoweit dürfte die DSGVO der von Art. 44 ff. DSGVO, erfolgt. Eine solche Verar- [6] Vgl. Erwägungsgrund 42 der DSGVO.
Auffassung den Boden entzogen haben, es be- beitung ist erlaubt, wenn dort ein angemessenes [7] Schulz, in: Gola, DSGVO, 2017, Art. 9, Rn. 14.
dürfe lediglich im Fall der Behandlung einer Zoo- Schutzniveau vorhanden ist. Die Angemessenheit [8] Ingold, in: Sydow, Europäische Datenschutz-
nose einer Einwilligung des Halters in eine ent- wird durch eine Entscheidung der EU-Kommissi- Grundverordnung, Art. 4, Rn. 172 und Art,
sprechende Einschaltung privater Abrechnungs- on im Einzelfall für das jeweilige Drittland fest- Rn. 23; Buchner/Kühling, in: Kühling/Buch-
stellen. gestellt. Insbesondere am vorhandenen Schutz- ner, DSGVO, Art. 4 Nr. 11, Rn. 9 und Art. 7,
niveau in den Vereinigten Staaten von Amerika Rn. 12; dies., DuD 2017, 544, 545.
Vorsicht bei der Auslagerung von Daten im bestehen sehr große Zweifel. [9] Buchner, in: Heidelberger Kommentar-Arzt-
Internet außerhalb des Erhebungsortes recht Krankenhausrecht Medizinrecht,
Im Zuge der zunehmenden Digitalisierung Beschäftigten-Datenschutz beachten Stichwort 1340: Datenschutz, Rn. 51. [10]
kommt es häufig zu einer Auslagerung von Daten Schließlich haben Inhaber einer Tierarztpraxis Vgl. Erwägungsgrund 43 der DSGVO.
in einer Cloud. Dabei werden zwangsläufig auch oder -klinik gemäß Art. 88 DSGVO den soge- [11] Vgl. Erwägungsgrund 171 der DSGVO.
Gesundheitsdaten übermittelt. Grundsätzlich nannten Beschäftigten-Datenschutz zu beach- [12] Soweit eine Folgebehandlung absehbar ist,
müssen daher die datenschutzrechtlichen Anfor- ten. Danach ist die Verarbeitung personenbezo- ist es gerechtfertigt, von einer Pseudonymi-
derungen an eine Datenübermittlung eingehalten gener Daten von Beschäftigten nur für Zwecke sierung der Daten abzusehen.
werden. Es bedarf diesbezüglich eines Erlaub- des Beschäftigungsverhältnisses unter bestimm- [13] Vgl. Erwägungsgrund 91 der DSGVO.
nistatbestandes gemäß Art. 9 Abs. 2 DSGVO, na- ten Voraussetzungen zulässig [18]. Art. 88 Abs. 2 [14] Vgl. §§ 5 ff. BDSG.
mentlich einer Einwilligung der betroffenen Per- DSGVO verweist insoweit auf die Notwendigkeit, [15] Vgl. § 3 Abs. 1 Nr. 8 MBO-Tierärzte.
son. Mit der Übermittlung an einen Dritten geht „angemessene und besondere Maßnahmen zur [16] Vgl. § 203 Abs. 1 Nr. 1 StGB.
eine Nutzung der Daten zwingend einher. Bereits Wahrung der menschlichen Würde, der berech- [17] LG Dortmund – Urt. v. 09.02.2006 – 4 S
dieser Vorgang ist eine Verarbeitung. Soweit die- tigten Interessen und der Grundrechte der be- 176/05.
se durch den Empfänger der personenbezogenen troffenen Person, insbesondere im Hinblick auf [18] Vgl. a. § 26 BDSG.
Daten im Auftrag des Verantwortlichen erfolgt, die Transparenz (…)“. Dies wird durch § 26
liegt eine Auftragsverarbeitung vor, vgl. § 62 Abs. 2 BDSG konkretisiert, indem für die Beurtei-
Abs. 1 BDSG. Diese bedarf gemäß Art. 28 Abs. 3, lung, ob eine Einwilligung freiwillig ist, nament-
Abs. 9 DSGVO bzw. § 62 Abs. 5 BDSG den Ab- lich auf die im Beschäftigungsverhältnis beste- Über den Autor
schluss eines schriftlichen Vertrags zwischen hende Abhängigkeit der beschäftigten Person Dr. Ole Ziegler ist als Fachanwalt für Medizin-
dem Inhaber der Tierarztpraxis oder -klinik und sowie auf die Umstände, unter denen die Einwil- recht und für Handels- und Gesellschaftsrecht
dem auftragsverarbeitenden Unternehmen. Im ligung erteilt wurde, zu achten ist. schwerpunktmäßig seit mehr als 10 Jahren mit
humanmedizinischen Bereich war das Outsour- medizinischen Fragestellungen befasst.
cing von Dienstleistungen vor dem Hintergrund
Notwendigkeit der Prüfung von
der strafrechtlichen Absicherung der ärztlichen Praxisabläufen und Verträgen
Schweigepflicht durch § 203 StGB umstritten. Anschrift der Autors
Insbesondere war eine Auftragsverarbeitung nur Dieser Überblick hat gezeigt, dass nicht nur die
Dr. Ole Ziegler
dann mit der ärztlichen Schweigepflicht kompa- weitere rechtliche Entwicklung zu beobachten
Plagemann Rechtsanwälte
tibel, wenn die eingeschalteten Dritten „berufs- sein wird, sondern auch bestehende Praxisab- Partnerschaft mbB, Niedenau
mäßig tätige Gehilfen“ des Arztes sind. Dabei läufe und Verträge daraufhin zu überprüfen sind, 13–19, 60325 Frankfurt am
handelt es sich vornehmlich um das nicht ärzt- ob sie mit den geänderten datenschutzrecht- Main, Tel. +49 69 97120641,
liche Personal. Ein Offenbaren von Daten gegen- lichen Rahmenbedingungen in Einklang stehen.
© privat
ole.ziegler@plagemann-rae.de
über lediglich vertraglich zum Schweigen ver- Dies betrifft insbesondere die Frage der Weiter-
(11) 65; 2017 | Deutsches TierärzteblattSie können auch lesen
