Fit für die Datenschutzgrundverordnung?

Mit der neuen DSGVO, die unmittelbar in allen EU-Mitgliedstaaten gilt, ersetzt der europäische Gesetzgeber seine aus dem Jahr 1995 stammende EU-Datenschutzrichtlinie. Ziel der Verordnung ist eine angemessene Balance zwischen Wirtschafts- und Verbraucherinteressen in Zeiten fortschreitender Digitalisierung. Denn das Ausmaß, in dem mittlerweile über Grenzen hinweg Daten ausgetauscht und erhoben werden, ist in den vergangenen Jahren ganz offensichtlich dramatisch gestiegen. Die EU will nun mit der DSGVO dafür sorgen, dass Personen, deren Daten verarbeitet werden, in allen Mitgliedstaaten einen gleichwertigen Schutz genießen. Ihr Grundrecht auf informationelle Selbstbestimmung soll gestärkt und die Unternehmen, die personenbezogene Daten verarbeiten, stärker in die Pflicht genommen werden. Zugleich soll ein sicherer Rechtsrahmen für datenverarbeitende Unternehmen geschaffen werden. Mag die Union in erster Linie die großen „Datenkraken“ im Visier gehabt haben – kleine Unternehmen und der Mittelstand sind ebenfalls betroffen. Und so hat das neue Datenschutzrecht in den vergangenen Monaten auch in vielen Apotheken zu Verunsicherung geführt. Deutschland hatte zwar schon bislang ein recht scharfes Datenschutzgesetz, dennoch gibt es einige Neuerungen zu beachten. Panik ist sicher nicht angebracht, aber ernst zu nehmen sind die neuen Regelungen durchaus. Nicht zuletzt deshalb, weil bei Verstößen nun harte Sanktionen drohen (siehe AZ 2018, Nr. 17, S. 5).

Apotheken treffen insbesondere weitere Informations-, Dokumentations- und Rechenschaftspflichten als bisher. Datenschutzvorschriften schlicht einzuhalten reicht nicht mehr. So sind Apotheken nunmehr verpflichtet, sogenannte Verfahrensverzeichnisse zu führen. Die interne Dokumentation für die wichtigsten Datenverarbeitungsprozesse dient dem Nachweis, dass die Vorschriften der DSGVO im Einzelnen eingehalten werden (AZ 2018, Nr. 11, S. 6). Der Apothekenleiter ist im Hinblick auf diese Pflichten „Verantwortlicher“ im Sinne der DSGVO, er muss also dafür sorgen, dass alle Anforderungen erfüllt werden. Zu berücksichtigen ist, dass Apotheken auch Gesundheitsdaten verarbeiten, die als besonders sensibel gelten und deshalb nur unter strengen Voraussetzungen verarbeitet werden dürfen (zu den Grundsätzen der Datenverarbeitung: AZ 2018, Nr. 10, S. 6).

Datenschutzbeauftragter nötig?

Eine erste wichtige Frage, die sich Apotheken stellt ist: Brauche ich einen Datenschutzbeauftragten? Sie ist jedenfalls dann klar mit „ja“ zu beantworten, wenn die Apotheke „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt. Das ist z. B. der Fall, wenn Rezepte oder Kundenkarten im Spiel sind. Unabhängig von der Beschäftigtenzahl ist nach der DSGVO ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung von Gesundheitsdaten besteht. Nach einem Beschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder ist in Apotheken hiervon „in der Regel“ nicht auszugehen. Eine Ausnahme gilt, wenn in diesen Apotheken ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten und damit eine Datenschutz-Folgenabschätzung vorgeschrieben ist. Das ist etwa der Fall, wenn Videokameras oder Fingerprintsysteme eingesetzt werden. Dann ist zwingend ein Datenschutzbeauftragter zu benennen. Wer der Beauftragte ist, ist an die zuständige Landesdatenschutzbehörde zu melden. (Zum Datenschutzbeauftragten: AZ 2018, Nr. 12, S. 6; zur ­Datenschutz-Folgenabschätzung: AZ 2018, Nr. 13/14, S. 6)

Weiterhin müssen Apotheken weitgehende Informationspflichten beachten: Kunden müssen über die Datenverarbeitung informiert werden. Schon bei der Rezepteinlösung sind sie umfassend in Kenntnis zu setzen, wie ihre Daten von wem auf welcher Grundlage verwendet werden und welche Rechte sie haben. Zudem sind zwingend die Kontaktdaten der Apotheke sowie ihres Datenschutzbeauftragten zu nennen. Ausgenommen sind Stammkunden, etwa Kundenkartenbesitzer, die bereits informiert sind. Die einzelnen Punkte der Informationspflicht sind umfangreich (AZ 2018, Nr. 15, S. 6). Apotheken sollten nun tunlichst darauf achten, die Datenschutzerklärung auf ihren Webseiten pünktlich zu ergänzen. In der Offizin ist ein entsprechender, gut wahrnehmbarer Aushang zu platzieren. Apothekerkammern (z. B. Berlin) bieten auf ihren Webseiten Muster-Erklärungen. Gerade hier, wo Transparenz gefordert ist, ist die Gefahr von Abmahnungen hoch.

Einwilligungserklärungen angepasst?

Wichtig ist auch, die Einwilligungs­erklärungen aufzufrischen und dem neuen Recht anzupassen – etwa für Kundenkarten oder das Medikationsmanagement. Denn hier darf die Apotheke weiterhin nur mit ausdrücklicher Patienteneinwilligung tätig werden. Diese muss umfassend über die Zwecke der Datenverarbeitung informieren, sich zwingend auf die Speicherung von Gesundheitsdaten beziehen und über das Widerrufsrecht belehren. Entsprechen die bisherigen Einwilligungen bereits diesen Vorgaben, so behalten sie ihre Gültigkeit. Die ABDA hält auf ihrer Webseite ­unter „Leitlinien und Arbeitshilfen“ unter den einzelnen Unterpunkten Muster für die neuen Einwilligungs­erklärungen bereit.

Ferner sind Vereinbarungen zur ­Auftragsverarbeitung (bisher Auftragsdatenverarbeitung) anzupassen – also Verträge mit Dienstleistern, die im Auftrag der Apotheken personenbezogene Daten verarbeiten. Das sind beispielsweise Softwareanbieter und Rechnungszentren (AZ 2018, Nr. 16, S. 5).

Die neuen Regelungen sorgen bei vielen Apotheken für weitere Fragen. Wir haben solche Fragen unserer Leser gesammelt und von Experten beantworten lassen. Diese Antworten finden Sie in dieser Woche auf DAZ.online und kommende Woche in der DAZ. |