DAZ aktuell

Fit für die Datenschutzgrundverordnung?

Der Startschuss für die DSGVO fällt am Freitag

ks | Am 25. Mai ist es so weit: Die EU-Datenschutzgrundverordnung (DSGVO) und das neue Bundes­datenschutzgesetz treten in Kraft. Unter anderem informieren die Landesapothekerkammern seit einiger Zeit, was Neues auf die Apotheken zukommt. Sie stellen, ebenso wie die ABDA, Muster für verschiedene Erklärungen bereit. Auch die Apotheker Zeitung (AZ) hat in einer siebenteiligen Serie die für Apotheken wichtigsten Handlungsfelder aufgezeigt. Diese Woche stellt sich also die entscheidende Frage: Ist Ihre Apotheke gut auf den Stichtag vorbereitet?
Foto: Zerbor – stock.adobe.com

Mit der neuen DSGVO, die unmittelbar in allen EU-Mitgliedstaaten gilt, ersetzt der europäische Gesetzgeber seine aus dem Jahr 1995 stammende EU-Datenschutzrichtlinie. Ziel der Verordnung ist eine angemessene Balance zwischen Wirtschafts- und Verbraucherinteressen in Zeiten fortschreitender Digitalisierung. Denn das Ausmaß, in dem mittlerweile über Grenzen hinweg Daten ausgetauscht und erhoben werden, ist in den vergangenen Jahren ganz offensichtlich dramatisch gestiegen. Die EU will nun mit der DSGVO dafür sorgen, dass Personen, deren Daten verarbeitet werden, in allen Mitgliedstaaten einen gleichwertigen Schutz genießen. Ihr Grundrecht auf informationelle Selbstbestimmung soll gestärkt und die Unternehmen, die personenbezogene Daten verarbeiten, stärker in die Pflicht genommen werden. Zugleich soll ein sicherer Rechtsrahmen für datenverarbeitende Unternehmen geschaffen werden. Mag die Union in erster Linie die großen „Datenkraken“ im Visier gehabt haben – kleine Unternehmen und der Mittelstand sind ebenfalls betroffen. Und so hat das neue Datenschutzrecht in den vergangenen Monaten auch in vielen Apotheken zu Verunsicherung geführt. Deutschland hatte zwar schon bislang ein recht scharfes Datenschutzgesetz, dennoch gibt es einige Neuerungen zu beachten. Panik ist sicher nicht angebracht, aber ernst zu nehmen sind die neuen Regelungen durchaus. Nicht zuletzt deshalb, weil bei Verstößen nun harte Sanktionen drohen (siehe AZ 2018, Nr. 17, S. 5).

Apotheken treffen insbesondere weitere Informations-, Dokumentations- und Rechenschaftspflichten als bisher. Datenschutzvorschriften schlicht einzuhalten reicht nicht mehr. So sind Apotheken nunmehr verpflichtet, sogenannte Verfahrensverzeichnisse zu führen. Die interne Dokumentation für die wichtigsten Datenverarbeitungsprozesse dient dem Nachweis, dass die Vorschriften der DSGVO im Einzelnen eingehalten werden (AZ 2018, Nr. 11, S. 6). Der Apothekenleiter ist im Hinblick auf diese Pflichten „Verantwortlicher“ im Sinne der DSGVO, er muss also dafür sorgen, dass alle Anforderungen erfüllt werden. Zu berücksichtigen ist, dass Apotheken auch Gesundheitsdaten verarbeiten, die als besonders sensibel gelten und deshalb nur unter strengen Voraussetzungen verarbeitet werden dürfen (zu den Grundsätzen der Datenverarbeitung: AZ 2018, Nr. 10, S. 6).

Datenschutzbeauftragter nötig?

Eine erste wichtige Frage, die sich Apotheken stellt ist: Brauche ich einen Datenschutzbeauftragten? Sie ist jedenfalls dann klar mit „ja“ zu beantworten, wenn die Apotheke „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt. Das ist z. B. der Fall, wenn Rezepte oder Kundenkarten im Spiel sind. Unabhängig von der Beschäftigtenzahl ist nach der DSGVO ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung von Gesundheitsdaten besteht. Nach einem Beschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder ist in Apotheken hiervon „in der Regel“ nicht auszugehen. Eine Ausnahme gilt, wenn in diesen Apotheken ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten und damit eine Datenschutz-Folgenabschätzung vorgeschrieben ist. Das ist etwa der Fall, wenn Videokameras oder Fingerprintsysteme eingesetzt werden. Dann ist zwingend ein Datenschutzbeauftragter zu benennen. Wer der Beauftragte ist, ist an die zuständige Landesdatenschutzbehörde zu melden. (Zum Datenschutzbeauftragten: AZ 2018, Nr. 12, S. 6; zur ­Datenschutz-Folgenabschätzung: AZ 2018, Nr. 13/14, S. 6)

Weiterhin müssen Apotheken weitgehende Informationspflichten beachten: Kunden müssen über die Datenverarbeitung informiert werden. Schon bei der Rezepteinlösung sind sie umfassend in Kenntnis zu setzen, wie ihre Daten von wem auf welcher Grundlage verwendet werden und welche Rechte sie haben. Zudem sind zwingend die Kontaktdaten der Apotheke sowie ihres Datenschutzbeauftragten zu nennen. Ausgenommen sind Stammkunden, etwa Kundenkartenbesitzer, die bereits informiert sind. Die einzelnen Punkte der Informationspflicht sind umfangreich (AZ 2018, Nr. 15, S. 6). Apotheken sollten nun tunlichst darauf achten, die Datenschutzerklärung auf ihren Webseiten pünktlich zu ergänzen. In der Offizin ist ein entsprechender, gut wahrnehmbarer Aushang zu platzieren. Apothekerkammern (z. B. Berlin) bieten auf ihren Webseiten Muster-Erklärungen. Gerade hier, wo Transparenz gefordert ist, ist die Gefahr von Abmahnungen hoch.

Einwilligungserklärungen angepasst?

Wichtig ist auch, die Einwilligungs­erklärungen aufzufrischen und dem neuen Recht anzupassen – etwa für Kundenkarten oder das Medikationsmanagement. Denn hier darf die Apotheke weiterhin nur mit ausdrücklicher Patienteneinwilligung tätig werden. Diese muss umfassend über die Zwecke der Datenverarbeitung informieren, sich zwingend auf die Speicherung von Gesundheitsdaten beziehen und über das Widerrufsrecht belehren. Entsprechen die bisherigen Einwilligungen bereits diesen Vorgaben, so behalten sie ihre Gültigkeit. Die ABDA hält auf ihrer Webseite ­unter „Leitlinien und Arbeitshilfen“ unter den einzelnen Unterpunkten Muster für die neuen Einwilligungs­erklärungen bereit.

Ferner sind Vereinbarungen zur ­Auftragsverarbeitung (bisher Auftragsdatenverarbeitung) anzupassen – also Verträge mit Dienstleistern, die im Auftrag der Apotheken personenbezogene Daten verarbeiten. Das sind beispielsweise Softwareanbieter und Rechnungszentren (AZ 2018, Nr. 16, S. 5).

Die neuen Regelungen sorgen bei vielen Apotheken für weitere Fragen. Wir haben solche Fragen unserer Leser gesammelt und von Experten beantworten lassen. Diese Antworten finden Sie in dieser Woche auf DAZ.online und kommende Woche in der DAZ. |

Das könnte Sie auch interessieren

Teil 2: Ist der Datenschutzbeauftragte bald Geschichte?

Sechs Monate DSGVO – ein Zwischenfazit

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 6: Auftragsverarbeitung bei Rezeptabrechnung, Apps, Fernwartung

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 1: Die Grundsätze der Datenverarbeitung

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 3: Wächter über den Datenschutz: Der Datenschutzbeauftragte

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 5: Informationspflichten und Kundenrechte

Neue Datenschutzregeln ante portas

Wie die DSGVO in den Apotheken umgesetzt werden sollte

25. Mai 2018 - Stichtag für das neue Datenschutzrecht

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 4: Neue Risikobewertung – Die Datenschutz-Folgenabschätzung

Neue Datenschutzregeln ante portas

Was ist nach dem neuen Datenschutzrecht zu beachten?

Achtung Videokamera!

0 Kommentare

Kommentar abgeben

 

Ich akzeptiere die allgemeinen Verhaltensregeln (Netiquette).

Ich möchte über Antworten auf diesen Kommentar per E-Mail benachrichtigt werden.

Sie müssen alle Felder ausfüllen und die allgemeinen Verhaltensregeln akzeptieren, um fortfahren zu können.