Hinweise und Praxistipps zur Datenschutz-Grundverordnung
In diesem Jahr ändert sich das Datenschutzrecht grundlegend. Denn ab dem 25. Mai 2018 findet in allen EU-Mitgliedstaaten die Datenschutz-Grundverordnung (DS-GVO) Anwendung. Die neue Verordnung löst in ihrem Anwendungsbereich nationales Datenschutzrecht ab und regelt EU-weit einheitlich den Umgang mit personenbezogenen Daten.
I. Anwendung der DS-GVO im Bereich Augenoptik
Da augenoptische Betriebe Daten wie Kundennamen und -adressen, E-Mail-Adressen, Geburtsdaten sowie Mess- und Testergebnisse verarbeiten, gelten für sie künftig die neuen Vorschriften der DS-GVO. Denn bei allen diesen Daten handelt es sich um „personenbezogene Daten“, das heißt um Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Auch aktuell bestehen für die Augenoptikbranche deshalb bereits datenschutzrechtliche Pflichten – insbesondere aus dem Bundesdatenschutzgesetz (BDSG).
Was ändert sich nun für Augenoptiker durch die DS-GVO? Was ist im Umgang mit Kundendaten künftig zu beachten? Zunächst ist festzustellen, dass sich viele Grundsätze der Datenverarbeitung in den neuen Vorschriften unverändert wiederfinden. So hat eine Datenverarbeitung auch weiterhin auf rechtmäßige Weise und für festgelegte Zwecke zu erfolgen. Ferner bleibt das hohe Schutzniveau von Gesundheitsdaten bestehen. Eine relevante Änderung durch die DS-GVO stellt aber sicher die deutliche Steigerung des Bußgeldrahmens bei Verstößen gegen das Datenschutzrecht dar. Während nach dem aktuell noch geltenden BDSG Bußgelder bis zu 300.000 Euro verhängt werden können, sind einzelne Verstöße in der DS-GVO mit einem Bußgeld in Höhe von bis zu 20 Mio. Euro beziehungsweise vier Prozent des gesamten weltweit erzielten Jahresumsatzes sanktioniert. Auch wenn es den Aufsichtsbehörden überlassen ist, eine nach Umständen des Einzelfalls passende Geldbuße zu verhängen, ist dies ein deutliches Signal dafür, welche Bedeutung dem Datenschutzrecht in der heutigen Zeit beigemessen wird.
Praxistipp: Insbesondere die deutlich höheren Bußgelder sollten für jeden augenoptischen Betrieb hinreichender Anlass sein, seine eigenen Prozesse zum Umgang mit den personenbezogenen Daten seiner Kunden zu analysieren, um diese rechtzeitig an die Erfordernisse der DS-GVO anpassen zu können.
II. Bestandsaufnahme: Um welche Daten geht es in der Augenoptik?
Der Prozess der Datenerhebung im Fall eines (Neu-)Kunden lässt sich – zumindest in groben Zügen – wie folgt darstellen: Der Kunde sucht den augenoptischen Betrieb mit einer Sehschwäche auf und bittet um Beratung oder Abhilfe. Der Augenoptiker führt in einem solchen Fall regelmäßig erst ein Einführungsgespräch und dann eine Refraktion durch. Das heißt, dass Daten des Kunden – wie der Name und die Anschrift oder das Geburtsdatum sowie eventuell bestehende Grunderkrankungen, die das Ergebnis des Sehtests beeinflussen könnten – erfragt und anschließend die Korrektionswerte ermittelt werden. Rund um die sich anschließende Versorgung mit einer Brille oder Kontaktlinsen werden unter Umständen weitere Daten des Kunden zum Beispiel zu seiner Physiognomie (Pupillendistanz etc.) oder als Ergebnis zusätzlicher optometrischer Dienstleistungen erfasst. Soweit für die Abrechnung seiner Leistung im Verhältnis zu einer Krankenkasse erforderlich, fragt der Augenoptiker auch nach der Krankenversicherung.
Natürlich kann der Augenoptiker auch auf anderem Wege an personenbezogene Daten gelangen, so etwa über ein Gewinnspiel, zu dessen Durchführung die Teilnehmer ihren Namen und ihre Adresse angeben. Bei den Teilnehmern muss es sich dabei nicht unbedingt um Kunden handeln, zu denen dem Augenoptiker bereits weitere und insbesondere Informationen mit Gesundheitsbezug vorliegen. Denkbar ist ferner der Kauf von Adressdaten.
In allen diesen Fällen werden personenbezogene Daten erhoben, regelmäßig im Rahmen eines von augenoptischen Betrieben zur Kundenverwaltung genutzten Softwareprogramms gespeichert und somit im Sinne von Art. 4 Nr. 2 DS-GVO verarbeitet.
Praxistipp: An dieser Stelle sei darauf hingewiesen, dass externe Dienstleister, wie etwa Software-Anbieter, die den Augenoptiker bei der Kundenverwaltung unterstützen, Kenntnis von den eingepflegten Daten erlangen können. Damit dies für beide Seiten rechtmäßig geschieht, sollte zwischen dem Augenoptiker als verantwortlichem Auftraggeber und dem Dienstleister als Auftragsverarbeiter ein Vertrag zur Auftragsverarbeitung geschlossen werden. Das Bayerische Landesamt für Datenschutzaufsicht stellt auf seiner Internetseite (https://www.lda.bayern.de/ de/datenschutz_eu.html) eine Formulierungshilfe für einen solchen Vertrag zur Verfügung. Bereits bestehende Verträge zur Auftragsverarbeitung sollten überprüft und gegebenenfalls überarbeitet werden.
III. Einstufung als Gesundheitsdaten
Die unter Ziffer II. beispielhaft dargestellten Prozesse zur Datenerhebung machen deutlich, dass in der täglichen Praxis eines Augenoptikers unterschiedliche Daten eine Rolle spielen: Zum einen werden Daten wie zum Beispiel Name und E-Mail-Adresse eines interessierten Neukunden verarbeitet, zum anderen aber auch gesundheitsbezogene und damit besonders sensible Daten. Dazu gehören personenbezogene Daten, die sich auf die körperliche Gesundheit einer natürlichen Person beziehen, einschließlich der Erbringung von Gesundheitsdienstleistungen (Art. 4 Nr. 15 DS-GVO). In der Augenoptik sind das unter anderem Angaben über die Sehstärke eines Kunden, die durch einen Sehtest erhoben werden. Weiter zu nennen sind im Rahmen von Messungen oder Tests festgestellte Auffälligkeiten oder Angaben über Augenerkrankungen, die der Kunde selbst gemacht hat.
IV. Zulässigkeit der Verarbeitung von Gesundheitsdaten
Gesundheitsdaten stellt die DS-GVO unter besonderen Schutz. Eine Verarbeitung gesundheitsbezogener Daten ist grundsätzlich untersagt (Art. 9 Abs. 1 DS-GVO) und nur in Ausnahmefällen möglich. Von zentraler Bedeutung ist dabei der Fall, dass der Betroffene in die Datenverarbeitung ausdrücklich eingewilligt hat (siehe dazu Punkt 2.).
1. Erlaubnistatbestände
Weitere Erlaubnistatbestände regelt Art. 9 Abs. 2 DS-GVO. So ist eine Verarbeitung von Gesundheitsdaten danach unter anderem zulässig:
- zum Zweck der Gesundheitsvorsorge
- für die medizinische Diagnostik
- für die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich
- aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs oder
- zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Medizinprodukten.
Was den primären Zweck der Datenverarbeitung im augenoptischen Betrieb – die Versorgung der Kunden mit Brillen und Kontaktlinsen – betrifft, so spricht Einiges dafür, dass dieser von der DS-GVO gedeckt ist. Der europäische Verordnungsgeber hat die Erlaubnis zur Verarbeitung gesundheitsbezogener Daten in den obigen Fällen allerdings daran geknüpft, dass die Datenverarbeitung durch Personen erfolgt, die einem Berufsgeheimnis (wie zum Beispiel Ärzte) oder einer sonstigen Geheimhaltungspflicht unterliegen. In dem parallel zur DS-GVO zu betrachtenden § 22 BDSG (neu) heißt es hingegen etwas weniger streng, dass besondere Kategorien personenbezogener Daten von nichtöffentlichen Stellen – also auch von augenoptischen Betrieben – zum Zweck der Gesundheitsvorsorge sowie für die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich verarbeitet werden dürfen, wenn dies mindestens durch „sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung“ geschieht. Eine solche „entsprechende Geheimhaltungspflicht“ lässt sich für den augenoptischen Bereich (insbesondere mit Blick auf die datenschutzrechtlichen Vorgaben im Sozialrecht und in Kassenverträgen regelmäßig enthaltene Geheimhaltungsvereinbarungen) wohl annehmen.
Zusammenfassend muss man aber feststellen, dass hinsichtlich des konkreten Anwendungsbereichs und der Reichweite der Erlaubnistatbestände zur Verarbeitung gesundheitsbezogener Daten (Art. 9 Abs. 2 DS-GVO und § 22 BDSG (neu)) noch Unsicherheiten bestehen. Insoweit bleibt abzuwarten, wie sich der Europäische Datenschutzausschuss, der unter anderem die einheitliche Anwendung der DS-GVO in den Mitgliedstaaten überwachen soll, zu diesen Fragen positioniert und ob es dazu Leitlinien oder Empfehlungen geben wird. Bis dahin kann man sich im Grunde nur jeden einzelnen Vorgang der Datenverarbeitung genau anschauen und seine Zulässigkeit im Hinblick auf die Erlaubnistatbestände prüfen.
Praxistipp: Im Zweifel ist eine Einwilligung des Betroffenen für die jeweiligen bestimmten Zwecke die einzig zuverlässige Lösung zur rechtmäßigen Verarbeitung von sensiblen Gesundheitsdaten.
2. Einwilligung
Gemäß Art. 9 Abs. 2 lit. a DS-GVO ist die Verarbeitung von personenbezogenen Gesundheitsdaten zulässig, wenn die betroffene Person – also der Kunde, um den es geht – in die Verarbeitung der entsprechenden Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat. Die DS-GVO definiert den Begriff einer Einwilligung selbst als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ (Art. 4 Nr. 11 DS-GVO).
Praxistipp: Bei der Verwendung von Einwilligungserklärungen zur Datenverarbeitung ist zu beachten, dass eine ausdrückliche Einwilligung per Opt-in – also durch explizite Bestätigung – erfolgen muss. Nach den Erwägungsgründen der DS-GVO sollen Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der Person keine gültige Einwilligung darstellen.
Augenoptische Betriebe müssen zudem beim Einholen der ausdrücklichen Einwilligung zur Datenverarbeitung immer den Hinweis geben, dass die Einwilligung jederzeit widerrufen werden kann (Art. 7 Abs. 3 S. 3 DS-GVO).
V. Verarbeitung personenbezogener Daten zu Werbezwecken
Wenn die Kundendaten über die Auftragserfüllung hinaus zu Zwecken der Direktwerbung genutzt werden sollen, gelten unterschiedliche Voraussetzungen – je nachdem, ob es sich bei den dazu verwendeten Daten um solche ohne oder mit Gesundheitsbezug handelt.
Im ersten Fall, wenn zum Beispiel nach Durchführung eines Gewinnspiels nur der Name und die Anschrift einer Person bekannt sind, kann eine Verarbeitung dieser Daten ohne Einwilligung nach Art. 6 Abs. 1 lit. f DS-GVO dann zulässig sein, wenn dies „zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist“. Dazu heißt es in den Erwägungsgründen zur DS-GVO, dass die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung angesehen werden kann. Das gilt allerdings nur unter der Voraussetzung, dass sie nicht den vernünftigen Erwartungen desjenigen widerspricht, dessen Daten betroffen sind.
Für die Verarbeitung besonderer Kategorien personenbezogener Daten, also auch von Gesundheitsdaten, zu Werbezwecken enthält Art. 9 DS-GVO hingegen keine Erlaubnisnorm. Dazu bedarf es deshalb aus datenschutzrechtlicher Sicht stets einer ausdrücklichen Einwilligung, die an die oben bereits genannten Voraussetzungen zu knüpfen ist.
Praxistipp: Dazu sei an dieser Stelle auch auf die Ausführungen der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) zum Thema „Verarbeitung personenbezogener Daten für Werbung“ hingewiesen (Kurzpapier Nr. 3 – abrufbar über die Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit www.bfdi.bund.de).
VI. Weitere Neuerungen
Neben diesen zentralen Aspekten der Verarbeitung von Kundendaten zur Auftragserfüllung und zu Werbezwecken ergeben sich aus der DS-GVO aber noch weitere Neuerungen, die auch augenoptische Betriebe zu beachten haben.
1. Erweiterte Informationspflichten
Neu sind erweiterte Informationspflichten, die der Datenverarbeiter gegenüber dem Betroffenen erfüllen muss. Auf der Webseite kann das innerhalb einer Datenschutzerklärung erfolgen. Nach Art. 13 DS-GVO ist zum Zeitpunkt der Erhebung dieser Daten unter anderem über Folgendes zu informieren:
- Name und Kontaktdaten des Verantwortlichen für die Datenerhebung
- ggf. die Kontaktdaten des Datenschutzbeauftragten
- die Zwecke und die Rechtsgrundlage der Datenverarbeitung
- ggf. das berechtigte Interesse des Verantwortlichen oder eines Dritten
- Empfänger der personenbezogenen Daten
- die Absicht der Übermittlung an ein Drittland oder eine internationale Organisation.
Zusätzlich sind weitere Informationen erforderlich, die sich aus Art. 13 Abs. 2 DS-GVO ergeben und eine faire, transparente Verarbeitung der Daten gewährleisten sollen. Dazu gehört beispielsweise eine Unterrichtung über ein Auskunfts-, Löschungs und Widerrufsrecht. Sollte die Datenerhebung nicht bei der betroffenen Person erfolgen, findet sich in Art. 14 DS-GVO eine entsprechende katalogartige Aufzählung an Informationspflichten.
Praxistipp: Aufgrund nunmehr – im Vergleich zum BDSG – umfassenderen Informationspflichten aus der DS-GVO sind Datenschutzerklärungen zu überprüfen und rechtzeitig an neues Recht anzupassen.
2. Datenschutzbeauftragter
Bei der Umstellung oder Anpassung der Datenschutzerklärung kann gegebenenfalls auch der Datenschutzbeauftragte unterstützend zu Rate gezogen werden. Wann die Benennung eines Datenschutzbeauftragten verpflichtend ist, ergibt sich aus Art. 37 Abs. 1 DS-GVO und § 38 BDSG (neu). Nach BDSG (neu) ist auf jeden Fall dann ein Datenschutzbeauftragter zu benennen, wenn im Unternehmen „mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind“. Ob diese Pflicht auch kleinere Betriebe trifft, ist im Einzelfall zu prüfen. Denn die DS-GVO enthält keine entsprechende zahlenmäßige Grenze, sondern knüpft die Pflicht an eine „umfangreiche Verarbeitung“ von Gesundheitsdaten als Kerntätigkeit.
3. Daten von Minderjährigen
Die DS-GVO regelt zudem erstmals ausdrücklich Bedingungen für die Einwilligung von Minderjährigen. Nach Art. 8 Abs. 1 DS-GVO sind Jugendliche ab 16 Jahren für „Angebote von Diensten der Informationsgesellschaft“ (zum Beispiel Angebote des elektronischen Fernabsatzes) einwilligungsfähig. Keine Anwendung jedoch findet diese Vorschrift auf sensible Gesundheitsdaten. Für die rechtmäßige Datenverarbeitung Minderjähriger im augenoptischen Betrieb bedarf es folglich einer Einwilligung des Sorgeberechtigten oder einer gesetzlichen Ausnahme.
Praxistipp: Um im augenoptischen Betrieb alle betroffenen Mitarbeiter auf neue und veränderte Anforderungen im Datenschutz vorzubereiten, empfehlen sich regelmäßige Mitarbeiterschulungen.
VII. Fazit und Ausblick
Auf den einzelnen augenoptischen Betrieb kommen mit der DS-GVO einige Herausforderungen zu, bei deren Bewältigung die in diesem Beitrag enthaltenen Praxistipps zumindest eine erste Hilfe sein können. Darüber hinaus werden etwa vom Zentralverband der Augenoptiker und Optometristen im Login-Bereich auf der Webseite Informationsblätter zur Datenverarbeitung im augenoptischen Betrieb und Muster für eine datenschutzrechtliche Einwilligung zur Verfügung gestellt.
Dass dieser Beitrag den Schutz personenbezogener Daten im Bereich der elektronischen Kommunikation, insbesondere im Internet, nicht thematisiert, ist dem Umstand geschuldet, dass man sich in Europa bisher nicht auf einen gemeinsamen Text für die insoweit einschlägige neue ePrivacy-Verordnung einigen konnte, die ursprünglich ebenfalls im Mai 2018 in Kraft treten sollte. Es ist daher aktuell noch ungewiss, welche Änderung daraus für das Telemediengesetz und das Telekommunikationsgesetz resultieren. Dieses Thema wird die DOZ weiterhin im Blick haben.
Autorinnen: Christina Kiel und Sabine Siekmann, Wettbewerbszentrale