Kürzlich wurde ich auf eine Aussage im Rahmen einer Tierärztekammer-Veranstaltung zur DSGVO hingewiesen, die zu großer Verunsicherung geführt hat bei Inhabern von Praxen mit weniger als zehn Mitarbeitern aber mit zwei (oder mehr) Tierärzten. Es wurde nämlich die These aufgestellt, dass eine Tierärztliche Praxis, in der mindestens zwei Tierärzte arbeiten - unabhängig von der Anzahl der Mitarbeiter - einen Datenschutzbeauftragten bestellen müsse.

Plötzlich brauchen einige Tausend Tierärzte einen Datenschutzbeauftragten

Ich gebe ja zu: Aus der Sicht eines geschäftstüchtigen Datenschutzbeauftragten wäre das ein wenig wie ein „Schlaraffenland“. Mit einem Schlag wären wohl einige Tausend Tierarztpraxen mehr auf der Suche nach einem Datenschutzbeauftragten - nämlich alle Praxen mit mindestens zwei Tierärzten und insgesamt weniger als zehn Mitarbeitern.

Aber aus meiner Sicht ist die Argumentation, die hier angeführt wurde, vollständig fehlgeleitet, denn es werden Äpfel mit Birnen verglichen. Kurz gefasst wird eine ursprünglich von den Lobbyisten der Humanmedizin (ja, die leisten wirklich gute Arbeit…) im Gesetz verankerte Ausnahmeregelung, die europaweit geschätzte 85 % der Humanmedizinpraxen von der Pflicht der Bestellung eines Datenschutzbeauftragten befreit (nämlich alle, in denen nur ein Arzt arbeitet) in der Form uminterpretiert, dass eine Tierarztpraxis mit mehr als einem Tierarzt einen Datenschutzbeauftragten zu bestellen habe - und zwar unabhängig von der Gesamtpersonenzahl.

Auch wenn es zur DSGVO noch keinerlei Rechtsprechung gibt und insofern jede Interpretation erst auch mal eine gewisse Berechtigung hat, diskutiert zu werden, sollte man tunlichst aufpassen, wer für den Berufsstand der Tiermediziner die Deutungshoheit auch beim Datenschutz bekommt. Die Tierärztliche Hausapothekenverordnung lässt grüßen…

Der Tierarzt und die Tücken der Ungenauigkeit einer jungen Verordnung

Aber nun mal ein paar Fakten, die meine größten Zweifel an der Richtigkeit dieser Interpretation nachvollziehbar machen sollen:

In § 38 Abs. 1 BDSG-neu ist geregelt, dass Unternehmen mit mehr als neun Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten einen Datenschutzbeauftragten bestellen müssen (und diesen zukünftig auch der Aufsichtsbehörde melden müssen).

Soweit so gut - das ist eigentlich keine Neuerung, weil das so bereits im BDSG-alt verankert war. Neu ist lediglich die Meldepflicht.

Möglich ist diese nationale Regelung deshalb, weil der deutsche Gesetzgeber hier eine sog. Öffnungsklausel der DSGVO genutzt hat und die Zehn-Personen-Grenze als eine spezifischere Regelung im deutschen Gesetz verankert hat. Vereinfach gesagt bedeutet dies, dass die Regelungen der DSGVO durch eine Regelung im deutschen Gesetz erweitert wurde. Dies ist zulässig, weil die Regelung im deutschen Gesetz der DSGVO nicht widerspricht.

Rahmenbedingungen für die Bestellung eines Datenschutzbeauftragten gibt es nämlich auch in der DSGVO in Artikel 37. Und diese haben Vorrang vor nationalem Recht, sofern nicht ein nationales Gesetz die Möglichkeit einer spezifischeren Regelung nutzt.

Deshalb müssen wir auf jeden Fall zuerst einmal die Regelungen der DSGVO zur Bestellung eines Datenschutzbeauftragten anschauen:

Nach Art. 37 Abs. 1 DSGVO ist auf jeden Fall ein Datenschutzbeauftragter zu benennen, wenn eine der drei folgenden Konstellationen zutrifft:

1. Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt.
2. Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
3. Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 (Anm.: hierunter fallen auch Gesundheitsdaten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10.

Nach dem Ausschlussprinzip kommt bei unserer Fragestellung nur der dritte Punkt in Betracht, denn in Artikel 9 ist festgelegt, dass auch Gesundheitsdaten zu Daten besonderer Kategorien zählen und - richtig: Die Zoonosen sind der Grund dafür, dass der Tierarzt überhaupt mit Daten besonderer Kategorien in Berührung kommen kann.

Also haben wir folgenden Zwischenstand:

• Die DSGVO kennt keine Grenze bei der Anzahl der Personen, die in einem Unternehmen personenbezogene Daten verarbeiten.
• Würde man einzig und alleine hiernach gehen, wäre es naheliegend, dass jede Tierarztpraxis einen Datenschutzbeauftragten bestellen müsste, denn sie verarbeitet (auf den ersten Blick) personenbezogene Daten einer besonderen Kategorie - nämlich Gesundheitsdaten.

Muss alles, was im Datenschutz für einen Humanmediziner gilt, auch für einen Tierarzt gelten?

ABER: Nun kommen die Humanmediziner ins Spiel. Diese haben - im Gegensatz zu manch anderer Berufsgruppe - gute Lobbyisten und die kämpfen seit Jahren erfolgreich dafür, dass Arztpraxen möglichst selten einen Datenschutzbeauftragten bestellen müssen. Und ihre Argumentation bezieht sich auf das Wort „umfangreich“.

Zwar ist hier in Artikel 37 DSGVO bei der Bestellung des Datenschutzbeauftragten nicht definiert, was „umfangreich“ ist, aber das findet man in der DSGVO über drei Ecken an anderer Stelle.

In Artikel 35 Abs. 3 lit b ist festgelegt, dass eine Datenschutz-Folgenabschätzung durchgeführt werden muss bei einer „umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1.“ Der Verweis auf Artikel 9 ist uns bereits von anderer Stelle bekannt.

Und wenn wir nun in die Tiefen der Erwägungsgründe, also die 173 Erläuterungen des Gesetzgebers zur DSGVO, hinabsteigen, dann finden wir in Erwägungsgrund 91: „Erforderlichkeit einer Datenschutz-Folgenabschätzung“ ganz am Ende folgenden Wortlaut: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.“

So. Jetzt wissen wir zumindest mal, wann eine Verarbeitung „nicht umfangreich“ ist.

Demnach muss eine Praxis mit einem Arzt (erst einmal egal, ob Human- oder Veterinärmedizin) keinen Datenschutzbeauftragten benennen - vollständig losgelöst davon, welche sensiblen Daten tatsächlich verarbeitet werden. Denken Sie beispielsweise in der Humanmedizin nur an einen Facharzt für Psychiatrie…

Aber: So lange nur ein Arzt personenbezogene Daten verarbeitet, ist dies eben "nicht umfangreich"!

Und wenn man sich das Leben einfach (oder aus Sicht eine Datenschutzbeauftragten besonders einträglich) machen will, dann zieht man folgendes Fazit:

• Über die Zoonose kommt ein Tierarzt mit personenbezogenen Daten besonderer Kategorien - nämlich Gesundheitsdaten - in Berührung.
• Entsprechend der DSGVO muss er einen Datenschutzbeauftragten bestellen, wenn er „umfangreich“ personenbezogene Daten einer besonderen Kategorie verarbeitet. Die Zehn-Personen-Grenze des BDSG wirkt zusätzlich und unabhängig.
• Laut DSGVO ist nicht von „umfangreich“ auszugehen, wenn diese besonderen personenbezogenen Daten in einem Unternehmen nur durch einen einzelnen Arzt verarbeitet werden.

Ergo: Zwei Tierärzte sind mehr als ein Tierarzt - also her mit dem Datenschutzbeauftragten.

Weshalb auch im Datenschutz der gesunde Menschenverstand hilft

Und spätestens jetzt sollten wir den gesunden Menschenverstand walten lassen - und unter Zuhilfenahme dessen die tatsächliche Praxis beleuchten:

Ein Humanmediziner behandelt täglich ca. 40 Patienten (Facharztpraxis) - er verarbeitet also 40 mal pro Tag personenbezogene Daten besonderer Kategorien (Gesundheitsdaten). In der Woche sind dies rund 200 Verarbeitungsvorgänge. Und diese Anzahl gilt laut DSGVO nicht als „umfangreich“.

In einer normalen Tierarztpraxis werden zwei Tierärzte diese Zahl an Zoonosen in einer Woche niemals erreichen - zumal nicht die Befundung einer Zoonose zählt, sondern einzig und allein deren Dokumentation in der Software. Denn wir reden von Datenverarbeitung.

Die Argumentationslinie, die Definition „umfangreich ist bei mehr als einem Arzt gegeben“ 1:1 auf die tiermedizinische Behandlungstätigkeit zu übertragen, ist ein Vergleich von Äpfel mit Birnen, wie er exemplarischer nicht sein kann. Er entspricht in keiner Weise der Realität in der tiermedizinischen Tätigkeit.

Deshalb dürfte immer eher die Zehn-Personen-Grenze greifen und Praxen mit weniger als zehn Personen sollten sich eigentlich keine Gedanken über die Pflicht zur Bestellung eines Datenschutzbeauftragten machen müssen. Eine möglicherweise sinnvolle freiwillige Bestellung ist deshalb aber auch nicht auszuschließen.

Abschließend sei noch einmal betont, dass nicht die Befundung der Zoonose zählt, ebenso zählt nicht die Beratung einer schwangeren Person (Gesundheitsdaten) hinsichtlich Zoonosengefahr - es zählt ausschließlich die Verarbeitung - also die Dokumentation in der Software.

One more thing: Sollte sich der Tierarzt übrigens offensiv und konsequent auf den Standpunkt stellen, dass er Gesundheitsdaten der Tierbesitzer verarbeitet, dann hätte das noch ganz andere Auswirkungen: Für die Verarbeitung von Gesundheitsdaten ist immer eine Einwilligung der betroffenen Person notwendig. Man stelle sich vor: Ein Tierarzt behandelt ein Tier und braucht gleichzeitig die Einwilligung des Besitzers, dass er die Information über eine Zoonose beim Besitzer speichern darf….Und was geschieht, wenn der Besitzer diese Einwilligung, die schriftlich unter vollständiger datenschutzrechtlicher Aufklärung zu dokumentieren ist, verweigert?...

Weiterhin müsste die EDV unter Sicherheitsaspekten aufgerüstet werden und die Dokumentation der Datenschutzmaßnahmen würde noch umfangreicher werden (Stichwort: Datenschutz-Folgenabschätzung).

Und abschließend sei noch die Frage erlaubt, wie sich denn eigentlich die Tierarztpraxis mit zwei Tierärzten verhalten soll, die gar keine Zoonosen dokumentiert?....

Deshalb ist der gesunde Menschenverstand oftmals ganz hilfreich…