Auswirkungen der Datenschutz-Grundverordnung auf Tierarztpraxen

Die Seite wird erstellt Femke Wiegand
 
WEITER LESEN
Auswirkungen der Datenschutz-Grundverordnung auf Tierarztpraxen
1522 | Forum | Praxis

Auswirkungen der Datenschutz-
Grundverordnung auf Tierarztpraxen
Alles neu macht der Mai?
Ole Ziegler

Mit Wirkung zum 25.05.2018 tritt die Daten-
schutz-Grundverordnung in der Bundesrepu-
blik in Kraft. Damit gehen umfangreiche
Änderungen der datenschutzrechtlichen Rah-
menbedingungen einher, insbesondere des
nationalen Datenschutzrechts. Hier wird ein
Überblick über diese Änderungen gegeben,
um Inhabern von Tierarztpraxen etwaigen
Handlungsbedarf aufzuzeigen.
Auf europäischer Ebene ist am 24.05.2016 die
sogenannte Datenschutz-Grundverordnung (Ver-
ordnung 2016/679) [1] in Kraft getreten, die in
der Bundesrepublik am 25.05.2018 unmittelbare
Geltung entfalten wird. Die Datenschutz-Grund-
verordnung (DSGVO) knüpft an die automatisier-
te oder nicht automatisierte Verarbeitung von
Daten durch einen Verantwortlichen an, die in
einem Dateisystem gespeichert sind oder wer-         schutzgesetzes erfasst, soweit nicht im Einzelfall     schrift des Halters, welche zugleich in der Be-
den sollen. Ziel ist es, die verarbeiteten und ge-   speziellere bereichsspezifische gesetzliche Re-        handlungsdokumentation festgehalten ist, geht
speicherten Daten von natürlichen Personen zu        gelungen greifen, § 1 Abs. 4 BDSG. Solche be-          damit nicht nur eine Erhebung von Daten, son-
schützen – einerseits durch organisatorische         reichsspezifischen Regelungen können sich zum          dern auch eine Löschung von personenbezoge-
Maßnahmen, andererseits durch Stärkung der           Beispiel aus dem Infektionsschutzgesetz im Hin-        nen Daten einher. Nicht nur die Verarbeitung von
Rechte der Betroffenen. Grundsätzlich gehen          blick auf meldepflichtige Krankheiten ergeben.         Daten des Tierhalters, sondern auch die Verar-
Regelungen der Datenschutz-Grundverordnung           Auch legitimiert das Tierschutzgesetz in § 16          beitung von Daten des Tieres ist zumindest dann
nationalen Regelungen aufgrund des Anwen-            Abs. 6 den Umgang von Tierschutzbehörden mit           eine Verarbeitung personenbezogener Daten,
dungsvorrangs des Europarechts [2] vor, selbst       personenbezogenen Daten aufgrund des im öf-            wenn die das Tier betreffenden Informationen
wenn sie diesen entgegenstehen. Allerdings ent-      fentlichen Interesse liegenden Wohls von Tieren.       einen Rückschluss auf natürliche Personen zu-
hält die Datenschutz-Grundverordnung zahlrei-                                                               lassen. Beispielsweise lassen sich aus Infor-
che Öffnungsklauseln, die es den Mitgliedstaa-                                                              mationen zur Zucht eines Tieres Rückschlüsse
                                                     Umgang mit personenbezogenen
ten ermöglichen, für spezifische Bereiche abwei-     Daten auch bei der Behandlung von                      auf den Inhaber des Zuchtbetriebs ziehen. Auch
chende Bestimmungen einzuführen. Davon hat           Tieren                                                 lassen Tiernamen einen Rückschluss auf den
der deutsche Gesetzgeber mit dem sogenannten                                                                Tierhalter zu [5]. Ferner ist der Umstand, ein Tier
Datenschutz-Anpassungs- und Umsetzungs-              Sowohl die Bestimmungen der EU-Datenschutz-            in einer Tierarztpraxis oder -klinik behandeln zu
gesetz Gebrauch gemacht und das Bundesda-            Grundverordnung als auch des Bundesdaten-              lassen, eine Information, die sich auf den Tier-
tenschutzgesetz (BDSG) novelliert [3]. Die geän-     schutzgesetzes knüpfen an die Verarbeitung von         halter bezieht. Dies gilt unabhängig davon, ob
derten Bestimmungen des Bundesdatenschutz-           personenbezogenen Daten durch einen Verant-            das Tier wegen einer Krankheit behandelt wird,
gesetzes treten parallel mit der Datenschutz-        wortlichen an. Personenbezogene Daten sind ge-         die wie bei einer Zoonose mittelbar eine Aussage
Grundverordnung am 25.05.2018 in Kraft.              mäß Art. 4 Ziffer 1 der EU-Datenschutz-Grund-          über den Gesundheitszustand des Tierhalters
                                                     verordnung „alle Informationen, die sich auf eine      trifft. Ebenfalls zu berücksichtigen ist dabei die
                                                     identifizierte oder identifizierbare natürliche Per-   Datenerfassung und -speicherung bei der Erstel-
Bundesdatenschutzgesetz und
bereichsspezifische Regelungen                       son beziehen“. Eine „Verarbeitung“ erfasst ge-         lung/Weiterführung des EU-Heimtierausweises.
beachten                                             mäß Art. 4 Ziffer 2 DSGVO von der Erhebung bis
                                                     zur Löschung und der Vernichtung personenbe-
                                                                                                            Hoher Schutz von Gesundheitsdaten
Das Bundesdatenschutzgesetz [4] findet gemäß         zogener Daten jeden einzelnen Zwischenschritt
§ 1 Abs. 4 Satz 2 auch auf nicht öffentliche Stel-   des Umgangs mit personenbezogenen Daten.               Ob das Tier wegen einer Krankheit behandelt
len Anwendung; daher gemäß § 2 Abs. 4 BDSG           Beispielsweise sind datenschutzrechtlich rele-         wird, die auf den Menschen übertragbar ist, ist
auf natürliche und juristische Personen, Gesell-     vante Vorgänge bereits das Aufnehmen von Hal-          allerdings nicht unbedeutend. Denn personenbe-
schaften und andere Personenvereinigungen des        terinformationen und das Speichern dieser Infor-       zogene Daten, die als sogenannte besondere Ka-
privaten Rechts, die keine hoheitlichen Aufgaben     mationen in einer (elektronischen) Behandlungs-        tegorien personenbezogener Daten einzustufen
der öffentlichen Verwaltung wahrnehmen. Des-         dokumentation. Geschieht dies zudem virtuell im        sind, dürfen nur unter den Voraussetzungen des
halb werden auch Inhaber von Tierarztpraxen          Internet, werden dabei Daten an Dritte übermit-        Art. 9 Abs. 2 DSGVO verarbeitet werden. Gesund-
oder Tierkliniken in datenschutzrechtlicher Hin-     telt, um sie außerhalb des Erhebungsortes zu           heitsdaten sind eine derartige Kategorie beson-
sicht vom Anwendungsbereich des Bundesdaten-         speichern. Kommt es zu einer Änderung der An-          ders sensibler Daten. Gemäß der Legaldefinition

Deutsches Tierärzteblatt | 2017; 65 (11)
Auswirkungen der Datenschutz-Grundverordnung auf Tierarztpraxen
Praxis | Forum | 1523

in Art. 4 Nr. 15 DS-GVO handelt es sich dabei um                                     willigt“ haben. Daraus wird teilweise gefolgert,      pflicht gegenüber der zuständigen Aufsichtsbe-
„personenbezogene Daten, die sich auf die kör-                                       dass konkludente Einwilligungen nicht statthaft       hörde auf Anforderung nachweisen können. Darü-
perliche oder geistige Gesundheit einer natürli-                                     sind [7]. Dann wäre das bloße Erscheinen eines        ber hinaus muss der Verantwortliche angemesse-
chen Person, einschließlich der Erbringung von                                       Tierhalters mit seinem zu behandelnden Tier in        ne technische und organisatorische Maßnahmen
Gesundheitsdienstleistungen, beziehen und aus                                        der Tierarztpraxis oder -klinik nicht ausreichend,    gemäß Art. 24 DSGVO umsetzen. Gemäß Erwä-
denen Informationen über deren Gesundheitszu-                                        um eine wirksame Einwilligung anzunehmen. Es          gungsgrund 78 zählen dazu u. a. eine Minimie-
stand hervorgehen“. Die Verarbeitung derartiger                                      spricht aber mehr dafür, dass der EU-Gesetzgeber      rung der Verarbeitung personenbezogener Daten,
Daten kann nur auf einen der in Art. 9 Abs. 2                                        mit dem Wortlaut „ausdrücklich eingewilligt“ die      die frühzeitige Pseudonymisierung der Daten und
DSGVO genannten Erlaubnistatbestände gestützt                                        Möglichkeit von Opt-out-Lösungen (Abwahl-             die Verwendung von Software mit speziellen
werden, von denen die Einwilligung der betroffe-                                     möglichkeit – „Nein, ich möchte nicht …“)             Sicherheitsfunktionen. Im Zusammenhang damit
                                                                                     ausschließen, nicht jedoch die Möglichkeit kon-       bestimmt Art. 25 DSGVO bzw. § 71 BDSG, dass
                                                                                     kludenter Einwilligungen verhindern wollte [8].       der Verantwortliche durch Technikgestaltung und
                                                                                     Dies liegt auf einer Linie damit, dass Erwägungs-     datenschutzfreundliche Voreinstellungen insbe-
                                                                                     grund 32 von einer „eindeutigen, bestätigenden        sondere für eine frühzeitige Pseudonymisierung
                                                                                     Handlung“ spricht. Schließlich ist zu berücksichti-   der Daten [12] und für eine Speicherung der Da-
                                                                                     gen, dass die datenschutzrechtlichen Regelungen       ten in dem Umfang zu sorgen hat, wie sie für die
                                                                                     die Grundsätze der tierärztlichen Schweigepflicht     Nutzung unbedingt erforderlich ist. Beispielsweise
                                                                                     unberührt lassen, vgl. § 1 Abs. 2 Satz 3 BDSG „Die    muss im Fall des Versandes eines Praxis-Newslet-
                                                                                     Einhaltung der tierärztlichen Schweigepflicht setzt   ters zwingend zuvor die Einwilligung des Halters
                                                                                     keine schriftliche Einwilligung voraus“. Daher ver-   eingeholt werden, indem der Halter selbst einen
                                                                                     hält sich auch derjenige datenschutzkonform, der      entsprechenden Haken in ein entsprechendes For-
                                                        © momius – stock.adobe.com

                                                                                     sich (nur) auf eine konkludente Einwilligung des      mular, entweder online oder vor Ort in der Praxis,
                                                                                     Betroffenen stützen kann [9].                         setzt (sogenanntes Double-Opt-in). Auch muss der
                                                                                          Von großer Relevanz für die Wirksamkeit          Verantwortliche im Zusammenhang mit der Be-
                                                                                     einer Einwilligung ist deren Freiwilligkeit. Für      schaffung von neuen Dateisystemen oder mit dem
                                                                                     den Betroffenen muss eine „echte oder freie           Zukauf von Cloud-Dienstleistungen bei Dritten
                                                                                     Wahl“ bestehen, sodass er „in der Lage ist, die       prüfen, ob sich damit eine solche datenschutz-
                                                                                     Einwilligung zu verweigern oder zurückzuziehen,       freundliche Technikgestaltung gewährleisten
nen Person im Sinne von Art. 9 Abs. 2 lit. a                                         ohne Nachteile zu erleiden“ [10]. Allerdings ge-      lässt. Ferner ist der Verantwortliche gemäß Art. 30
DSGVO der wichtigste ist. Wenn und soweit ein                                        hört es zwingend zur Behandlung eines Tieres,         DSGVO bzw. § 70 Abs. 1 BDSG verpflichtet, ein so-
Tier in einer Tierarztpraxis oder -klinik wegen ei-                                  dass der Tierarzt Daten wie die Anschrift des         genanntes Verzeichnis von Verarbeitungstätig-
ner Krankheit behandelt wird, die womöglich zwi-                                     Halters und die gestellte Diagnose speichert.         keiten zu führen, insbesondere wenn Gesund-
schen Mensch und Tier übertragbar ist, handelt es                                    Weigert sich der Tierhalter, in die Verarbeitung      heitsdaten tangiert sind, was in einer Tierarztpra-
sich bei der berufsrechtlich gebotenen Dokumen-                                      der Daten einzuwilligen, muss der Tierarzt die        xis oder -klinik regelmäßig der Fall ist. Inhalt die-
tation der Behandlung (auch) um die Verarbeitung                                     Behandlung des Tieres – abgesehen von Notfäl-         ses Verzeichnisses sind alle Tätigkeiten im Hin-
von besonders schützenswerten Gesundheits-                                           len – ablehnen. Vor diesem Hintergrund ist es         blick auf die Verarbeitung von personenbezoge-
daten des Tierhalters. Deren Verarbeitung bedarf                                     nötig, die betroffene Person darauf hinzuweisen,      nen Daten. Damit gemeint sind sämtliche Verar-
regelmäßig einer Einwilligung des Tierhalters.                                       ihr stehe es frei, die erteilte Einwilligung jeder-   beitungsvorgänge, was angesichts des umfassen-
                                                                                     zeit gemäß Art. 7 Abs. 3 DSGVO zu widerrufen.         den Begriffs der Verarbeitung im Sinne von Art. 4
                                                                                          Angesichts der zum 25.05.2018 in der Bun-        Ziffer 2 DSGVO weitreichend ist. Die Idee des Ver-
Notwendigkeit einer Einwilligung
des Tierhalters                                                                      desrepublik in Kraft tretenden Datenschutz-           ordnungsgebers ist es, dass die zuständige Auf-
                                                                                     Grundverordnung stellt sich die Frage, ob und in-     sichtsbehörde die Möglichkeit hat, auf Nachfrage
Eine Einwilligung ist gemäß Art. 4 Nr. 11 DSGVO                                      wieweit vor diesem Zeitpunkt erteilte Einwilli-       sämtliche Verarbeitungsvorgänge anhand des Ver-
„jede freiwillig, für einen bestimmten Fall in infor-                                gungserklärungen ihre Wirksamkeit behalten:           zeichnisses zu kontrollieren. Demgegenüber dürf-
mierter Weise unmissverständlich abgegebene                                          Sofern bereits erteilte Einwilligungen schon jetzt    te der Inhaber einer Tierarztpraxis oder -klinik von
Willensbekundung in Form einer Erklärung oder                                        die Voraussetzungen von Art. 7 DSGVO erfüllen,        der Pflicht, eine sogenannte Datenschutz-Folgen-
einer sonstigen eindeutigen bestätigenden Hand-                                      gelten die Einwilligungen fort [11]. Es bedarf        abschätzung im Sinne von Art. 35 DSGVO bzw.
lung, mit der die betroffene Person zu verstehen                                     einer Kontaktaufnahme mit Alt-Patienten-Besit-        § 67 BDSG vorzunehmen, befreit sein. Denn
gibt, dass sie mit der Verarbeitung der sie betref-                                  zern zwecks „Erneuerung“ der Einwilligung,            Art. 35 Abs. 3 lit. b DSGVO knüpft an eine umfang-
fenden personenbezogenen Daten einverstanden                                         wenn und soweit die Datenverarbeitung auch            reiche Verarbeitung insbesondere von Gesund-
ist“. Dabei stellt Art. 7 DSGVO erhebliche Anfor-                                    nach dem 25.05.2018 auf eine Einwilligung ge-         heitsdaten an. Dies ist nicht der Fall bei der Verar-
derungen an eine wirksame Einwilligung auf.                                          stützt werden soll, die zuvor erteilte Einwilligung   beitung personenbezogener Daten „durch einen
Deren Einhaltung hat der Verantwortliche, z. B. der                                  aber (derzeit) nicht die Anforderungen von Art. 7     einzelnen Arzt, sonstige Angehörige eines Ge-
Inhaber einer Tierarztpraxis oder -klinik, gemäß                                     DSGVO erfüllt.                                        sundheitsberufes“ [13]. Der Dispens von der
Art. 7 Abs. 1 DSGVO nachzuweisen. Aufgrund die-                                                                                            Pflicht, eine Datenschutz-Folgenabschätzung
ser Nachweispflicht tut der Inhaber einer Tierarzt-                                                                                        durchzuführen, stellt eine erhebliche Entlastung
                                                                                     Pflichten des Inhabers einer
praxis oder -klinik gut daran, die Einwilligung des                                  Tierarztpraxis oder Tierklinik                        des Inhabers einer Tierarztpraxis oder -klinik dar.
Tierhalters schriftlich zu dokumentieren. Vorfor-                                                                                          Denn eine Datenschutz-Folgenabschätzung be-
mulierte Einwilligungserklärungen sind zulässig,                                     Soweit personenbezogene Daten durch den Inha-         deutet eine Evaluation der mit einem Verarbei-
sofern sie verständlich, leicht zugänglich, in kla-                                  ber einer Tierarztpraxis oder -klinik verarbeitet     tungsvorgang verbundenen Risiken für die Rechte
rer, einfacher Sprache und frei von missbräuch-                                      werden, muss dieser die Grundsätze der DSGVO          und Freiheiten natürlicher Personen, woran sich
lichen Klauseln verfasst sind [6]. Allerdings geht                                   für die Verarbeitung personenbezogener Daten          wiederum die Pflicht des Verantwortlichen knüpft,
der Wortlaut von Art. 9 Abs. 2 a DSGVO dahin, die                                    einhalten und deren Einhaltung gemäß Art. 5           geeignete technische Maßnahmen zur Minimie-
betroffene Person müsse „ausdrücklich einge-                                         Abs. 2 DSGVO im Sinne einer Rechenschafts-            rung der evaluierten Risiken zu ergreifen.

                                                                                                                                                                    (11) 65; 2017 | Deutsches Tierärzteblatt
1524 | Forum | Praxis

     Ferner enthalten Art. 33, 34 DSGVO bzw.         schaftlich unbedeutender Sanktionsmöglichkei-        Information, dass ein Tier in einer Tierarztpraxis
§ 65 BDSG umfangreiche Meldepflichten des            ten als vernachlässigbare Größe anzusehen sei-       oder -klinik behandelt wird, nur bei Zoonosen
Verantwortlichen: Dieser ist gehalten, eine „Da-     en, hat die Datenschutz-Grundverordnung diese        bestehe [17]. Gegen eine derartige Beschrän-
tenpanne“ unverzüglich gegenüber der für ihn         Verhältnisse in manchen Teilen umgekehrt. So         kung des Geheimhaltungsinteresses des Tierhal-
zuständigen Aufsichtsbehörde (gemäß § 65             besteht gemäß Art. 83 Abs. 2 DSGVO eine Pflicht      ters spricht aber, dass der Umstand einer tier-
Abs. 1 BDSG dem Bundesbeauftragten) zu mel-          zur Verhängung von Geldbußen. Die maximale           ärztlichen Behandlung eines Tieres beispielswei-
den. Nach dem Wortlaut reicht jede „Verletzung       Geldbuße kann bis zu 20 Mio. € oder bis zu vier      se auch auf Mängel bei der Tierhaltung gründen
des Schutzes personenbezogener Daten“ aus,           Prozent des gesamten weltweit erzielten Jahres-      oder gar auf einer verbotenen Haltung des Tieres
um eine Meldepflicht auszulösen. Beispiele für       umsatzes im vorangegangenen Geschäftsjahr            beruhen kann. Deshalb ist das Halten des Tieres
eine solche „Datenpanne“ sind Hackerangriffe,        betragen, je nachdem, welcher Wert der höhere        und dessen tierärztliche Behandlung als Ge-
insbesondere unter Verwendung von Ransom-            Betrag ist. Lediglich für die Höhe der zu verhän-    heimnis anzusehen, das der tierärztlichen
ware, bei denen Hacker ganze Behandlungsdo-          genden Geldbuße steht den Aufsichtsbehörden          Schweigepflicht unterfällt [5]. Deshalb ist jede
kumentationen von Krankenhäusern durch An-           ein Ermessensspielraum zu. Auch haften Verant-       Verarbeitung von Daten, die ein „Offenbaren“ im
griffe von außen verschlüsselten, um für die Ent-    wortliche gegenüber betroffenen Personen so-         Sinne von § 203 StGB darstellt – das heißt letzt-
schlüsselung ein „Lösegeld“ zu erpressen. Es                                                              lich jede Übermittlung von der tierärztlichen
kann aber auch zu Fehlern bei dem Austausch                                                               Schweigepflicht unterfallenden Daten – nur zu-
von Computern kommen, auf denen Behand-                                                                   lässig, wenn eine Einwilligung und Schweige-
lungsdaten und Halterdaten gespeichert sind,         Das müssen Sie beachten!                             pflichtenentbindungserklärung des betroffenen
was dann Meldepflichten nach sich zieht. Der         Überprüfung                                          Tierhalters vorliegt. Dies gilt auch bei der Abtre-
Bestellung eines betrieblichen Datenschutzbe-        1. der verwendeten Formulare zur Einwilligung in     tung von tierärztlichen Honorarforderungen an
auftragten bedarf es hingegen erst, wenn min-           die Datenverarbeitung; ggf. Kontaktaufnahme       Verrechnungsstellen.
destens zehn Personen mit der automatisierten           mit bestehendem Klientel                               Ausnahmen diesbezüglich können sich nur
Verarbeitung personenbezogener Daten ständig         2. der Einwilligung in die Weitergabe von Daten      aus spezialgesetzlichen Regelungen ergeben,
befasst sind [14]. „Ständig befasst“ sind nur sol-      an eine Verrechnungsstelle                        wie beispielsweise dem Tierschutzgesetz. Daher
che Personen, die nicht lediglich eine Zugriffs-     3. der Praxis-/Klinikwebseite                        ist vor jeder Übermittlung von Daten die Einwilli-
möglichkeit auf die Daten haben, sondern Perso-      4. von Verträgen mit Softwareherstellern oder In-    gung des betroffenen Halters und im Zweifel so-
nen, die nicht nur gelegentlich, wie eine Urlaubs-      ternetdienstleistern                              gar des Vorhalters einzuholen, um nicht die tier-
vertretung, die Aufgabe haben, personenbezoge-       5. der Anstellungsverträge der Beschäftigten der     ärztliche Schweigepflicht zu verletzen, indem die
ne Daten automatisiert zu verarbeiten. Darunter         Tierarztpraxis/Tierklinik                         Daten unbefugt weitergegeben werden.
zählen z. B. auch Mitarbeiter am Empfang, seien
es ausgebildete Tiermedizinische Fachangestell-
                                                                                                          Datenschutzrechtlich relevante
te oder anderweitige Personen.                       wohl auf immateriellen als auch materiellen          Konstellationen in einer Tierarzt-
     Die Verpflichtungen des Verantwortlichen        Schadenersatz, Art. 82 Abs. 1 DSGVO. Dies be-        praxis oder Tierklinik
werden ergänzt durch zahlreiche Betroffenen-         deutet, dass betroffene Personen im Falle von
rechte. So räumt Art. 15 DSGVO der betroffenen       schuldhaften Datenschutzverstößen unter Um-          Im Folgenden wird auf einige datenschutzrecht-
Person ein umfassendes Auskunftsrecht über           ständen ein Schmerzensgeld gegenüber dem             lich relevante Konstellationen in einer Tierarzt-
die verarbeiteten personenbezogenen Daten, die       Verantwortlichen gerichtlich geltend machen          praxis oder -klinik eingegangen.
Verarbeitungszwecke, die Kategorien personen-        dürfen. Ein Beispiel dafür ist die ungesicherte
bezogener Daten, die Empfänger, denen die per-       Speicherung von Behandlungs- und Halterdaten         Einwilligung des Tierhalters bei Abtretung von
sonenbezogenen Daten gegenüber offengelegt           oder die Verwendung einer Cloud-Lösung, gera-        tierärztlichen Honorarforderungen
worden sind, die geplante Dauer der Speiche-         de wenn dies unter Einbeziehung eines Dritt-         Ausgangspunkt ist, dass Art. 9 Abs. 2 DSGVO
rung, das Bestehen eines Rechts auf Berichti-        landes außerhalb der EU erfolgt (s. u.).             lediglich ausnahmsweise die Verarbeitung von
gung oder Löschung der personenbezogenen                                                                  Gesundheitsdaten zulässt. Daher stellt sich die
Daten sowie über das Bestehen eines Beschwer-                                                             Frage, ob und inwieweit es einer Einwilligungs-
                                                     Tierärztliche Schweigepflicht
derechts bei der Aufsichtsbehörde ein. Insbeson-     ebenfalls zu wahren                                  erklärung des Tierhalters gemäß Art. 9 Abs. 2a
dere sieht Art. 17 DSGVO mit dem sogenannten                                                              DSGVO bedarf, wenn der Inhaber der Tierarzt-
Recht auf Vergessenwerden vor, dass die be-          Unabhängig von den datenschutzrechtlichen Vor-       praxis oder -klinik seine Honorarforderungen an
troffene Person von dem Verantwortlichen eine        gaben können sich weitere Anforderungen aus          eine private Verrechnungsstelle abtritt. Mit einer
unverzügliche Löschung der sie betreffenden          gesetzlichen oder berufsbezogenen Verschwie-         solchen Abtretung einher geht das Offenbaren
personenbezogenen Daten verlangen darf, z. B.        genheitsverpflichtungen des Tierarztes ergeben.      eines veterinärmedizinischen Behandlungsver-
nachdem eine Einwilligung widerrufen wurde.          Dies bedeutet, dass sich eine datenschutzrecht-      hältnisses. An dieser Stelle ist auf die unter-
Damit einher geht die in Art. 19 DSGVO geregelte     lich zulässige „Offenbarung“ in Gestalt einer        schiedlichen Auffassungen zur Reichweite der
Pflicht, Dritten, an die Daten weitergegeben wur-    Übermittlung von Gesundheitsdaten deshalb als        tierärztlichen Schweigepflicht zurückzukommen.
den, jede Veränderung der Daten mitzuteilen,         rechtswidrig erweisen kann, weil sie nicht im        Nimmt man an, dass ein objektives Geheimhal-
wozu auch eine Löschung der personenbezoge-          Einklang mit der tierärztlichen Schweigepflicht      tungsinteresse des Tierhalters lediglich dann be-
nen Daten infolge eines Widerrufs der Einwilli-      steht, die sowohl berufsrechtlich [15] als auch      steht, wenn dem Behandlungsverhältnis eine
gung gehört.                                         strafrechtlich [16] abgesichert ist. In diesem Zu-   Zoonose zugrunde liegt, bedarf es nur in diesen
                                                     sammenhang gewinnt die Bestimmung der                Fällen einer Schweigepflichtentbindungserklä-
                                                     Reichweite der tierärztlichen Schweigepflicht        rung und einer Einwilligung des Tierhalters. Auch
Großes Haftungs- und Sanktions-
potenzial bei Verstößen                              Bedeutung. Im Hinblick darauf, dass nicht jede       könnte Art. 9 Abs. 2 f DSGVO bei oberflächlicher
                                                     Erkrankung, derentwegen ein Tier in einer Tier-      Betrachtung insoweit eine Übermittlung von Da-
Während in der Vergangenheit häufig darüber          arztpraxis oder -klinik behandelt wird, auf den      ten im Rahmen der Abrechnung von Leistungen
geklagt wurde, dass Verstöße gegen daten-            Menschen übertragbar ist, wird vertreten, dass       an Dritte legitimieren, als er die Verarbeitung ge-
schutzrechtliche Regelungen aufgrund wirt-           ein objektives Geheimhaltungsinteresse an der        sundheitsbezogener Daten zwecks „Geltendma-

Deutsches Tierärzteblatt | 2017; 65 (11)
Praxis | Forum | 1525

chung, Ausübung oder Verteidigung von Rechts-        pflichteten Dritten, die nicht zum ärztlichen Per-              gabe von Daten im Zusammenhang mit der Ein-
ansprüchen“ gestattet, ohne dass eine Einwilli-      sonal zählten, war daher mit einem hohen Straf-                 schaltung von Verrechnungsstellen und die Spei-
gung vorliegen muss. Allerdings ist zu beachten,     barkeitsrisiko für den Arzt behaftet. Der Gesetz-               cherung von Daten im Internet außerhalb des Er-
dass Art. 9 Abs. 2 f DSGVO ebenso wie § 22           geber hat durch die Novellierung von § 203                      hebungsorts sowie die Weiterverwendung ur-
Abs. 1 Nr. 1 b BDSG die Zulässigkeit einer sol-      Abs. 3 Satz 2 StGB ein derartiges Offenbaren von                sprünglich erteilter Einwilligungen. Ohnehin ist
chen Datenweitergabe an das Merkmal der Er-          Daten für befugt erklärt, wenn die Weitergabe                   die technische Entwicklung (Stichwort: Digitali-
forderlichkeit anknüpft. Zwar dient eine Einbe-      „gegenüber sonstigen Personen erfolgt, die an                   sierung) derart im Fluss, dass diese womöglich
ziehung Dritter in die Abrechnung von tierärzt-      der beruflichen oder dienstlichen Tätigkeit mit-                recht rasch Anpassungen nicht nur der daten-
lichen Vergütungsansprüchen der Arbeitsentlas-       wirken, soweit es für die Inanspruchnahme der                   schutzrechtlichen Bestimmungen nach sich zie-
tung des Inhabers der Tierarztpraxis oder -klinik,   Tätigkeit der sonstigen mitwirkenden Personen                   hen wird.
dazu ist dieser aber nicht von Rechts wegen ge-      erforderlich ist“. Unter dieser Voraussetzung
zwungen. Daher ist eine mit einer Abtretung an       können Daten in einer Cloud ausgelagert wer-                    Literatur
private Verrechnungsstellen verbundene Daten-        den, wenn und soweit Dritte vertraglich zum                     [1] Verordnung (EU) 2016/679 des Europäi-
übermittlung im Sinne von Art. 9 Abs. 2 f DSGVO      Schweigen verpflichtet sind. Dies bedeutet,                          schen Parlaments und des Rats zum Schutz
nicht erforderlich. Unabhängig davon liegt einer     dass der Inhaber einer Tierarztpraxis sich vom                       natürlicher Personen bei der Verarbeitung
Einschaltung privater Abrechnungsstellen eine        beauftragten Cloud-Anbieter vertraglich zusi-                        personenbezogener Daten, zum freien Da-
Auftragsverarbeitung zugrunde, sodass die sich       chern lassen muss, dass dieser die tierärztliche                     tenverkehr und zur Aufhebung der Richtlinie
aus Art. 28 DSGVO ergebenden Anforderungen           Schweigepflicht in dem Umfang wahrt, als sei                         95/46/EG.
erfüllt sein müssen. Es bedarf daher einer aus-      der Cloud-Anbieter ebenfalls Adressat der tier-                 [2] EuGH – Urt. v. 15.07.1964 – Rs. 6/64 („Cos-
drücklichen Schweigepflichtentbindungser-            ärztlichen Schweigepflicht.                                          ta/E.N.E.L“).
klärung und Einwilligung des Tierhalters.                 Eine besondere Problematik tritt allerdings                [3] BGBl. I 2017, 2097.
Dies gilt meines Erachtens unabhängig davon,         auf, wenn die Datenübermittlung dazu führt,                     [4] Das BDSG ist nachfolgend in seiner ab dem
ob Gegenstand des Behandlungsverhältnisses           dass die Verarbeitung in einem außerhalb der EU                      25.05.2018 geltenden Fassung zitiert.
eine auf den Menschen übertragbare Krankheit         befindlichen Land, also einem Drittland im Sinne                [5] Franck, Medstra 2017, 9, 11 f.
des Tieres ist. Insoweit dürfte die DSGVO der        von Art. 44 ff. DSGVO, erfolgt. Eine solche Verar-              [6] Vgl. Erwägungsgrund 42 der DSGVO.
Auffassung den Boden entzogen haben, es be-          beitung ist erlaubt, wenn dort ein angemessenes                 [7] Schulz, in: Gola, DSGVO, 2017, Art. 9, Rn. 14.
dürfe lediglich im Fall der Behandlung einer Zoo-    Schutzniveau vorhanden ist. Die Angemessenheit                  [8] Ingold, in: Sydow, Europäische Datenschutz-
nose einer Einwilligung des Halters in eine ent-     wird durch eine Entscheidung der EU-Kommissi-                        Grundverordnung, Art. 4, Rn. 172 und Art,
sprechende Einschaltung privater Abrechnungs-        on im Einzelfall für das jeweilige Drittland fest-                   Rn. 23; Buchner/Kühling, in: Kühling/Buch-
stellen.                                             gestellt. Insbesondere am vorhandenen Schutz-                        ner, DSGVO, Art. 4 Nr. 11, Rn. 9 und Art. 7,
                                                     niveau in den Vereinigten Staaten von Amerika                        Rn. 12; dies., DuD 2017, 544, 545.
Vorsicht bei der Auslagerung von Daten im            bestehen sehr große Zweifel.                                    [9] Buchner, in: Heidelberger Kommentar-Arzt-
Internet außerhalb des Erhebungsortes                                                                                     recht Krankenhausrecht Medizinrecht,
Im Zuge der zunehmenden Digitalisierung              Beschäftigten-Datenschutz beachten                                   Stichwort 1340: Datenschutz, Rn. 51. [10]
kommt es häufig zu einer Auslagerung von Daten       Schließlich haben Inhaber einer Tierarztpraxis                       Vgl. Erwägungsgrund 43 der DSGVO.
in einer Cloud. Dabei werden zwangsläufig auch       oder -klinik gemäß Art. 88 DSGVO den soge-                      [11] Vgl. Erwägungsgrund 171 der DSGVO.
Gesundheitsdaten übermittelt. Grundsätzlich          nannten Beschäftigten-Datenschutz zu beach-                     [12] Soweit eine Folgebehandlung absehbar ist,
müssen daher die datenschutzrechtlichen Anfor-       ten. Danach ist die Verarbeitung personenbezo-                       ist es gerechtfertigt, von einer Pseudonymi-
derungen an eine Datenübermittlung eingehalten       gener Daten von Beschäftigten nur für Zwecke                         sierung der Daten abzusehen.
werden. Es bedarf diesbezüglich eines Erlaub-        des Beschäftigungsverhältnisses unter bestimm-                  [13] Vgl. Erwägungsgrund 91 der DSGVO.
nistatbestandes gemäß Art. 9 Abs. 2 DSGVO, na-       ten Voraussetzungen zulässig [18]. Art. 88 Abs. 2               [14] Vgl. §§ 5 ff. BDSG.
mentlich einer Einwilligung der betroffenen Per-     DSGVO verweist insoweit auf die Notwendigkeit,                  [15] Vgl. § 3 Abs. 1 Nr. 8 MBO-Tierärzte.
son. Mit der Übermittlung an einen Dritten geht      „angemessene und besondere Maßnahmen zur                        [16] Vgl. § 203 Abs. 1 Nr. 1 StGB.
eine Nutzung der Daten zwingend einher. Bereits      Wahrung der menschlichen Würde, der berech-                     [17] LG Dortmund – Urt. v. 09.02.2006 – 4 S
dieser Vorgang ist eine Verarbeitung. Soweit die-    tigten Interessen und der Grundrechte der be-                        176/05.
se durch den Empfänger der personenbezogenen         troffenen Person, insbesondere im Hinblick auf                  [18] Vgl. a. § 26 BDSG.
Daten im Auftrag des Verantwortlichen erfolgt,       die Transparenz (…)“. Dies wird durch § 26
liegt eine Auftragsverarbeitung vor, vgl. § 62       Abs. 2 BDSG konkretisiert, indem für die Beurtei-
Abs. 1 BDSG. Diese bedarf gemäß Art. 28 Abs. 3,      lung, ob eine Einwilligung freiwillig ist, nament-
Abs. 9 DSGVO bzw. § 62 Abs. 5 BDSG den Ab-           lich auf die im Beschäftigungsverhältnis beste-                 Über den Autor
schluss eines schriftlichen Vertrags zwischen        hende Abhängigkeit der beschäftigten Person                     Dr. Ole Ziegler ist als Fachanwalt für Medizin-
dem Inhaber der Tierarztpraxis oder -klinik und      sowie auf die Umstände, unter denen die Einwil-                 recht und für Handels- und Gesellschaftsrecht
dem auftragsverarbeitenden Unternehmen. Im           ligung erteilt wurde, zu achten ist.                            schwerpunktmäßig seit mehr als 10 Jahren mit
humanmedizinischen Bereich war das Outsour-                                                                          medizinischen Fragestellungen befasst.
cing von Dienstleistungen vor dem Hintergrund
                                                     Notwendigkeit der Prüfung von
der strafrechtlichen Absicherung der ärztlichen      Praxisabläufen und Verträgen
Schweigepflicht durch § 203 StGB umstritten.                                                                         Anschrift der Autors
Insbesondere war eine Auftragsverarbeitung nur       Dieser Überblick hat gezeigt, dass nicht nur die
                                                                                                                     Dr. Ole Ziegler
dann mit der ärztlichen Schweigepflicht kompa-       weitere rechtliche Entwicklung zu beobachten
                                                                                                                                       Plagemann Rechtsanwälte
tibel, wenn die eingeschalteten Dritten „berufs-     sein wird, sondern auch bestehende Praxisab-                                      Partnerschaft mbB, Niedenau
mäßig tätige Gehilfen“ des Arztes sind. Dabei        läufe und Verträge daraufhin zu überprüfen sind,                                  13–19, 60325 Frankfurt am
handelt es sich vornehmlich um das nicht ärzt-       ob sie mit den geänderten datenschutzrecht-                                       Main, Tel. +49 69 97120641,
liche Personal. Ein Offenbaren von Daten gegen-      lichen Rahmenbedingungen in Einklang stehen.
                                                                                                          © privat

                                                                                                                                       ole.ziegler@plagemann-rae.de
über lediglich vertraglich zum Schweigen ver-        Dies betrifft insbesondere die Frage der Weiter-

                                                                                                                                             (11) 65; 2017 | Deutsches Tierärzteblatt
Sie können auch lesen