Vorsicht im Umgang mit Kundendaten

Von Daniela Müller

In einer Tierarztpraxis fallen diverse Daten an: Daten der Kunden, der Tiere und natürlich der Beschäftigten beispielsweise. Schon die Aufnahme eines Neukunden und damit die Aufnahme seiner Daten in die Kundenkartei zum Zwecke der Dokumentation stellen einen datenschutzrechtlich relevanten Vorgang dar.

Gesundheitsdaten werden besonders geschützt, Ausnahmen sind eng begrenzt, beispielsweise im Bereich der meldepflichtigen Krankheiten. Welche Daten zu welchem Zweck erhoben, gespeichert und verarbeitet werden dürfen, wird durch die DSGVO neu geregelt. Dadurch kann sich die Notwendigkeit ergeben, Änderungen vorzunehmen.

In der tierärztlichen Praxis besonders relevant ist insbesondere die Weitergabe der Kundendaten zwecks Forderungseinzug, z. B. an eine Verrechnungsstelle. Hier ist die Einwilligung des Kunden erforderlich, aber zusätzlich auch – nach wohl überwiegender Ansicht – eine Schweigepflichtentbindungserklärung. Vorsicht ist auch geboten bei der Speicherung von Daten in einer Cloud oder bei einem Dienstleister außerhalb der EU. Verstöße gegen die Bestimmungen der DSGVO können mit Geldbußen bis zu 20 Mio. Euro oder vier Prozent des weltweit erzielten Jahresumsatzes geahndet werden.

Neu sind unter anderem einige Dokumentationspflichten. So ist die Einwilligung des Betroffenen in die Datenverarbeitung auf Anforderung nachzuweisen. Bisher war dies zwar aus Gründen der Beweisbarkeit dringend geraten, nunmehr wird es hingegen ausdrücklich gesetzlich gefordert.

Zudem ist ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Dies soll den Aufsichtsbehörden die Möglichkeit geben, die Verarbeitungstätigkeiten zu überprüfen. Inzwischen haben die Aufsichtsbehörden hierzu Muster erarbeitet und im Internet zur Verfügung gestellt, auch entsprechende Software ist auf dem Markt erhältlich.

Ebenfalls neu sind bestimmte Meldepflichten, z. B. bei Datenlecks oder Hacker-Angriffen. Diese dürfen nun nicht mehr wie bisher verschwiegen werden, sondern sind den Aufsichtsbehörden zu melden.

Da in Deutschland bislang bereits ein recht hohes Datenschutz-Niveau herrscht, ergeben sich nicht in allen Bereichen Änderungen. Im Wesentlichen gleich bleibt beispielsweise der Grundsatz „Verbot mit Erlaubnisvorbehalt“. Soll heißen, wer fremde personenbezogene Daten erhebt, speichert oder verarbeitet, bedarf hierzu einer Erlaubnis – entweder aus dem Gesetz oder in Form einer Einwilligung des Betroffenen.

Soll also ein Newsletter, eine Terminerinnerung oder Ähnliches an den Patientenbesitzer versendet werden, so benötigt die Praxis hierzu die ausdrückliche Einwilligung. Umzusetzen ist dies beispielsweise dadurch, dass dem Neukunden bei der Anmeldung ein Formular ausgehändigt wird, in welches er seine Daten und die Daten seiner Tiere einträgt, dabei zugleich über die Datenschutzgrundsätze der Praxis informiert wird und die Möglichkeit bekommt, bestimmten Formen der Kontaktaufnahme und ggf. der Weitergabe seiner Daten an eine Verrechnungsstelle zuzustimmen. Wichtig ist hierbei, dass der Kunde seine Einwilligung aktiv erklären muss, daher sind vorangekreuzte Kästchen (egal ob auf Papier oder elektronisch) nicht ausreichend.

Das Datenschutzrecht und dessen konkrete Umsetzung in der Praxis ist ein komplexer Bereich, der für den Laien kaum zu bewältigen ist. Sowohl interne Praxisabläufe als auch der Außenauftritt müssen auf den Prüfstand. Der Gang zum Spezialisten ist hierfür durchaus ratsam.

Über die Autorin

Daniela Müller ist Rechtsanwältin in der Tierkanzlei Müller in Bielefeld.