Recht

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 2: Die neuen Dokumentations- und Rechenschaftspflichten

Ab dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DSGVO). Die Grundsätze der Datenverarbeitung haben wir letzte Woche kennengelernt. Heute geht es um Dokumentations- und Rechenschaftspflichten der Apotheke. Von Dr. T. Kieser und S. Buckstegge

Zukünftig reicht es nicht, die Datenschutzvorschriften einzuhalten. Nein, Apotheken müssen dies aktiv nachweisen können. Andernfalls droht alleine wegen des fehlenden Nachweises der Einhaltung der Datenschutzvorschriften ein Bußgeld! Zu einer unzulässigen Datenverarbeitung muss es überhaupt nicht gekommen sein. Der Europäische Gesetzgeber will damit für die bessere Durchsetzung des Datenschutzrechts sorgen und mutet den Unternehmen einen erheblichen Aufwand zu.

Das Verfahrensverzeichnis

Wo werden überall personenbezogene Daten in der Apotheke ver­arbeitet? Die Beantwortung dieser Frage steht an erster Stelle. Sie wird mit Sicherheit Überraschungen bieten, denn personenbezogene Daten werden in mehr Bereichen verarbeitet, als man erst einmal vermutet. Zum Teil handelt es sich dabei um Gesundheitsdaten, welche von der DSGVO als besonders sensibel erachtet werden.

Das klassische Beispiel in der Apotheke ist die Verarbeitung von Rezeptdaten. Doch nicht nur wenn das pharmazeutische Personal das eingelöste Rezept scannt und an Rechenzentrum bzw. Krankenkasse übermittelt, werden personenbezogene Daten automatisiert verarbeitet. Datenverarbeitungen finden auch statt, wenn Kundenanfragen per E-Mail oder Online-Kontaktformular gestellt oder beantwortet werden, bei der Vorbestellung von Medikamenten per ­E-Mail, App oder Messenger-Dienst und bei der Verwendung von Kundenkarten. Ebenso sind die Beratung von Kunden, Rückfragen beim Arzt, die BtM-Bestandsdokumentation, Dokumentationen nach §§ 18, 19 ApBetrO, das Faxen von Rezepten, Postmailings, die Durchführung von Gewinnspielen, die Erstellung von Ärztelisten mit Verschreibungszahlen und Kundenhistorien mit der Verarbeitung personenbezo­gener Daten verbunden. Nicht zu vergessen ist die Erhebung und Speicherung von Mitarbeiter­daten, z. B. bei Lohnbuchhaltung, Urlaubskalender und Führung von Personalakten.

Nicht alle diese Daten sind gesundheitsbezogen. Da die Apotheke aber Gesundheitsdaten verarbeitet, ist sie unabhängig von der Mitarbeiterzahl gemäß Art. 30 Absatz 5 DSGVO dazu verpflichtet, über sämtliche Verarbeitungstätigkeiten mit personenbezogenen Daten ein Verfahrensverzeichnis zu führen. Das Verfahrensverzeichnis soll Aufschluss geben über

  • Name und Kontaktdaten des Verantwortlichen (Inhaber der Apotheke) ­sowie des Datenschutzbeauftragten (dazu wird es einen Extra-Beitrag geben),
  • die Zwecke der Datenverarbeitung (z. B. Rezeptabrechnung),
  • die von der Datenverarbeitung betroffenen Personen/Kategorien von Personen (z. B. Patienten, Mitarbeiter, Ärzte),
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden (z. B. Rechenzentren oder Krankenkassen),
  • ggf. die Übermittlung der Daten in ein Drittland (Augen auf bei der Wahl der Vertragspartner und Übermittlungsmöglichkeiten; gerade bei elektronischer Übermittlung kann das wichtig sein, WhatsApp-Nachrichten werden in die USA übermittelt),
  • die vorgesehenen Löschungs­fristen (wie lange welche Unterlagen und Daten benötigt werden, ist nicht so einfach zu beurteilen; welche Fristen sehen AMG und ApBetrO vor, wie ist das ­zivilrechtlich unter Haftungs­gesichtspunkten, was sagen Steuer- und Handelsrecht?) und
  • die technischen und organisatorischen Maßnahmen zum Schutz der Daten (siehe unten).

Daneben darf das Verfahrensverzeichnis weitere Angaben enthalten, solange es dabei übersichtlich und verständlich bleibt. Eine sinnvolle Ergänzung ist die Nennung der Rechtsgrundlagen für die Datenverarbeitung, um diese ebenfalls zu dokumentieren.

Foto: Stockwerk-Fotodesign – stock.adobe.com

Da das Verfahrensverzeichnis einen Überblick über sämtliche Datenverarbeitungsvorgänge gibt, wird sich die datenschutzrechtliche Aufsichtsbehörde dieses im Falle einer Kontrolle als Erstes vorlegen lassen. Es sollte daher mit Sorgfalt erstellt und regelmäßig weitergeführt werden. Zudem ist nicht fernliegend, dass auch die pharmazeutischen Überwachungsbehörden versuchen werden, im Rahmen der Revision hierin Einblick zu nehmen; ggf. wird es auch Absprachen zwischen Datenschutz- und Apothekenaufsicht geben. Das Verfahrensverzeichnis ist immer aktuell zu halten: Neue Idee, neue Software, neue Verarbeitung bedeutet Übernahme in das Verfahrensverzeichnis!

Die Datenschutzleitlinie

Die Grundsätze der Datenverarbeitung (Art. 5 DSGVO) haben wir letzte Woche kennengelernt. Diese hat die Apotheke nicht nur bei jedem Datenverarbeitungsvorgang zu beachten, sondern sie muss deren Einhaltung auch aktiv nachweisen können. Ein wesentlicher Baustein dafür ist die Erstellung eines Datenschutzkonzepts. In dieser Leitlinie für den Datenschutz werden insbesondere die Datenschutzziele der Apotheke und die Verantwortlichkeiten bestimmt. Das Datenschutzkonzept sollte Angaben enthalten zu

  • dem Geltungsbereich des Datenschutzkonzepts (insbesondere bei Filialunternehmen relevant, bei denen die Datenverarbeitung zentral erfolgt),
  • dem Verantwortlichen (Inhaber der Apotheke) und dem Datenschutzbeauftragten,
  • den Grundsätzen, nach denen Daten in der Apotheke erhoben und verarbeitet werden,
  • einer Verpflichtung aller Apothekenmitarbeiter von der Reinigungskraft bis zur Approbierten auf das Datengeheimnis,
  • Verantwortlichkeiten im Hinblick auf den Datenschutz,
  • technischen und organisatorischen Maßnahmen zum Schutz der Daten.

Weitere Inhalte des Datenschutzkonzepts können beispielsweise sein:

  • Richtlinien zur Beschaffung und Nutzung von Hard- und Software (insbesondere Nutzung von privaten Endgeräten),
  • Passwortrichtlinien (Länge, Individualität, Wechsel, Log-in, Log-out, kein allgemeines Mit­arbeiterpasswort),
  • Sperrung von Rechnern, auch automatisch,
  • Umgang mit Betroffenenrechten,
  • Verhalten bei Datenpannen.

Technische und organisatorische Maßnahmen

Sorgfältig dokumentieren sollte die Apotheke auch, welche technischen und organisatorischen Maßnahmen sie zum Schutz der per­sonenbezogenen Daten trifft (Art. 24, 32 DSGVO). Dabei ist auf den Schutz der gesundheitsbezogenen Daten besonders großer Wert zu legen. Das fängt bei der räumlichen Gestaltung der Apotheke an. HV-Tische sind so zu stellen, dass vertrauliche Gespräche möglich sind. Diskretionsabstände gewährleisten, dass andere Kunden nicht mithören. Neben der ApBetrO spielt jetzt also auch die DSGVO bei der Offizingestaltung mit rein.

Des Weiteren sind die Betriebs­räume vor dem Zutritt unbefugter Personen zu schützen. Es ist sicherzustellen, dass außerhalb der Offizin Besucher wie Vertreter, Lieferanten (vom Großhandelsfahrer bis hin zu normalen Logistikdienstleistern) keinen Einblick in personenbezogene Daten haben. Mitarbeiter sind im Hinblick auf den Schutz der Daten zu sensibilisieren und entsprechend zu schulen. So sollten beispielsweise Telefonate mit Ärzten oder Kunden nicht in Anwesenheit anderer Kunden geführt und Rezepte nach jedem Kundenkontakt vom HV-Tisch entfernt werden. Auch im Lagerbereich ist sicherzustellen, dass Rezepte mit Vorbestellungen/Beschaffungen beim Großhandel sowie Sendeberichte mit Rezeptdaten nicht eingesehen werden können, Rezepturen verpackt werden etc. Was genau zu tun ist, unterscheidet sich von Apotheke zu Apotheke. Wichtig ist, mit offenen, für den Datenschutz sensibilisierten Augen den Apothekenalltag zu betrachten und zu hinterfragen.

Technische Maßnahmen, wie die Einrichtung sicherer Passwörter oder der Schutz der Netzwerke gegen Schadsoftware durch Firewall-Systeme, Proxy-Server und Anti­virensoftware, dienen der Daten­sicherheit. Regelmäßige Datensicherungen verhindern den Verlust von Daten. Damit sind nur einige Beispiele für notwendige technische und organisatorische Maßnahmen in der Apotheke genannt.

Die technischen und organisatorischen Maßnahmen müssen ein Schutzniveau gewährleisten, das dem mit der Verarbeitung der Daten, insbesondere der Gesundheitsdaten verbundenen Risiko angemessen ist. Dabei ist der Stand der Technik zu berücksichtigen. Die Maßnahmen sind regelmäßig auf ihre Wirksamkeit zu prüfen und ggf. anzupassen. Auch diese Kontrollen sollte die Apotheke dokumentieren.

Mittelbare Dokumentationspflichten

In vielen Fällen ist die Dokumentation nicht ausdrücklich in der DSGVO vorgeschrieben, ergibt sich aber mittelbar daraus, dass die Einhaltung der Pflichten aus der DSGVO nachzuweisen ist. In diesen Fällen empfiehlt es sich, die getroffenen Maßnahmen schriftlich niederzulegen und Unternehmensprozesse zu beschreiben. ­Beispielhaft ist dies für folgende Pflichten empfehlenswert:

  • Mitarbeiter und andere Personen mit Zugang zu personen­bezogenen Daten dürfen diese nur auf Weisung des Apothekeninhabers verarbeiten (Art. 32 Absatz 4, 29 DSGVO). Mit Prozessbeschreibungen und schriftlich niedergelegten Arbeits­anweisungen kann der Apothekeninhaber belegen, dass er entsprechende Weisungen erteilt hat.
  • Die Kunden haben im Hinblick auf ihre personenbezogenen Daten verschiedene Rechte gegenüber der Apotheke, wie beispielsweise ein Recht auf Auskunft, Löschung oder Datenübertragbarkeit (Art. 12 ff. DSGVO). Details kommen in einem späteren Beitrag. Prozessbeschreibungen und Dokumentationen stellen sicher, dass Mitarbeiter die Betroffenenrechte erfüllen, und dienen dem Nachweis gegenüber den Behörden.
  • Kommt es zu einer Verletzung des Datenschutzrechts, hat die Apotheke dies innerhalb von 72 Stunden an die zuständige datenschutzrechtliche Aufsichtsbehörde zu melden, wenn nicht ein Risiko für die Rechte und Freiheiten der betroffenen Person ausgeschlossen werden kann (Art. 33 DSGVO). Ein Prozess sollte sicherstellen, dass diese kurze Meldefrist eingehalten wird. Daneben ist in Art. 33 Absatz 5 DSGVO ausdrücklich vorgesehen, dass die Apotheke sämtliche Datenschutzverletzungen mit deren Auswirkungen und den getroffenen Abhilfemaßnahmen zu dokumentieren hat.
  • Verarbeitet die Apotheke personenbezogene Daten auf der Grundlage von Art. 6 Absatz 1 Buchstabe f DSGVO, weil ihre Interessen an der Datenverar-beitung die Interessen der betroffenen Person überwiegen, sollte sie die Interessenabwägung dokumentieren.

Fazit und Vorschau

So ergibt sich aus den Vorschriften der DSGVO eine Vielzahl von Dokumentations- und Rechenschaftspflichten. Die Einhaltung der Datenschutzvorschriften ­nachzuweisen, erfordert von der Apotheke einen hohen Dokumentationsaufwand. Angesichts der drohenden Bußgelder sollten die Dokumentationen nicht vernachlässigt, regelmäßig weitergeführt und in das QM-System der Apotheke nach § 2a ApBetrO integriert werden. Unterstützen bei der Einhaltung der Datenschutzvorschriften kann der Datenschutz­beauftragte, mit dem wir uns im Beitrag nächste Woche befassen werden. |

Dr. Timo Kieser und Svenja Buck­stegge, Oppenländer Rechtsanwälte Stuttgart

Das könnte Sie auch interessieren

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 1: Die Grundsätze der Datenverarbeitung

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 6: Auftragsverarbeitung bei Rezeptabrechnung, Apps, Fernwartung

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 4: Neue Risikobewertung – Die Datenschutz-Folgenabschätzung

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 3: Wächter über den Datenschutz: Der Datenschutzbeauftragte

Neue Datenschutzregeln ante portas

Im Mai 2018 tritt die Europäische Datenschutzgrundverordnung in Kraft

Was kommt da auf uns zu?

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 7: Verstöße gegen das Datenschutzrecht – Meldepflichten und Sanktionen

Neue Datenschutzregeln ante portas

Teil 3: Gemeinsame Verantwortlichkeit und Facebook-Fanpages

Sechs Monate DSGVO – ein Zwischenfazit

0 Kommentare

Kommentar abgeben

 

Ich akzeptiere die allgemeinen Verhaltensregeln (Netiquette).

Ich möchte über Antworten auf diesen Kommentar per E-Mail benachrichtigt werden.

Sie müssen alle Felder ausfüllen und die allgemeinen Verhaltensregeln akzeptieren, um fortfahren zu können.