ApothekenRechtTag

Was bringt die neue EU-Datenschutz-Grundverordnung für die Apotheke?

Berlin - 22.03.2018, 11:45 Uhr

Auch Apotheken verarbeiten und übermitteln sensible Daten. Wie gut muss die Apotheke diese schützen? Dr. Lukas Kalkbrenner gab auf der Interpharm seine Einschätzung. (Foto: Schelbert / DAZ.online)   

Auch Apotheken verarbeiten und übermitteln sensible Daten. Wie gut muss die Apotheke diese schützen? Dr. Lukas Kalkbrenner gab auf der Interpharm seine Einschätzung. (Foto: Schelbert / DAZ.online)   


Am 25. Mai 2018 tritt in der gesamten Europäischen Union die europäische Datenschutz-Grundverordnung (DS-GVO) mit unmittelbarer Wirkung in Kraft. Dr. Lukas Kalkbrenner von der Kanzlei Friedrich Graf von Westphalen & Partner mbB  in Freiburg gab eine Einschätzung zur Relevanz der einzelnen Neuregelungen für die Apotheken ab und darüber hinaus Tipps für die Umsetzung.

Kalkbrenner bezeichnete die Apotheken eingangs seiner Ausführungen als „Leidtragende des strengen DS-GVO-Ansatzes“, der vor allem „Big Data“-Verwerter, wie Google, Amazon, Facebook, Apple sowie Apps und Cloud-Services im Visier habe. Dennoch seien auch die Apotheken unmittelbar betroffen, denn sie verarbeiten sensible Gesundheitsdaten, unter anderem auf der Grundlage von Einwilligungen und übermitteln (sensible) Daten an Dritte.

Zu den Gesundheitsdaten mit Personenbezug, um die es hier geht, gehörten zum Beispiel Angaben zum Medikamentenkonsum oder der Erwerb von rezeptpflichtigen oder OTC-Arzneimitteln. Als praktische Anwendungsfälle nannte Kalkbrenner die Bearbeitung eines Rezepts (Patient – Apotheke – Rechenzentrum) oder auch Kundenkarten, für die eine umfassende Einwilligungserklärung Pflicht ist.

Mehr zum Thema

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 1: Die Grundsätze der Datenverarbeitung

Neue Datenschutzregeln ante portas

Keine Vorbestellung über WhatsApp

An dieser Stelle ging er auch auf die Belieferung von Rezepten ein, die ein Patient vorab per WhatsApp in der Apotheke vorbestellt hat. Ein Service, der von den Apotheken oft angeboten wird. Kalkbrenner hält diesen Service datenschutzrechtlich für besonders problematisch, wie DAZ.online bereits berichtete.

Datenschutz ist Chefsache

Hinsichtlich der Verantwortlichkeiten für die Einhaltung der datenschutzrechtrechtlichen Bestimmungen in der Apotheke stellte Kalkbrenner klar: „Datenschutz ist Chefsache.“ Der „Verantwortliche“ im Sinne der Verordnung sei der Apothekenleiter. Bei Filialverbünden geht er davon aus, dass Filialleiter nicht getrennt für den Datenschutz in ihrer Abgabestelle verantwortlich sind.

Datenschutzbeauftragter muss unabhängig agieren

Eine wichtige Funktion wird daneben der Datenschutzbeauftragte übernehmen. Die Notwendigkeit ist zwar laut DS-GVO an die zusätzliche Bedingung geknüpft, dass sich in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, aber Kalkbrenner nimmt auch für Apotheken eine per se-Pflicht zur Bestellung an. Wer sich diesbezüglich nicht sicher ist, sollte hierzu eine schriftliche Bestätigung der Behörde einholen, rät er. Der Datenschutzbeauftragte fungiert intern wie extern als Anlaufstelle. Er soll Datenschutzbeschwerden prüfen und mit den Aufsichtsbehörden kooperieren. Er agiert unabhängig von fachlichen Weisungen der Apothekenleitung. Deswegen, so hob Kalkbrenner hervor, könne der Apothekeninhaber wegen möglicher Interessenkollisionen nicht gleichzeitig Datenschutzbeauftragter sein.

Mehr zum Thema

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 2: Die neuen Dokumentations- und Rechenschaftspflichten

Neue Datenschutzregeln ante portas

Gleichwohl kommt für ihn ein Angehöriger des pharmazeutischen Personals für diese Aufgabe in Frage. Das geforderte Fachwissen des Datenschutzbeauftragten ist gesetzlich nicht genau bestimmt. Das Niveau sollte sich nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten. Wer sich dafür entscheide, einen Externen für diese Funktion zu bestellen, sollte vermeintlich günstige „Pauschalangebote“ genau daraufhin prüfen, ob die Aufgabe regelkonform wahrgenommen werden können, denn schließlich stehe bei etwaigen Verstößen einiges auf dem Spiel, warnte Kalkbrenner.

„Sich nicht verrückt machen lassen“

Die Pflicht zur Führung von Verfahrensverzeichnissen zum Nachweis, dass die Vorschriften der DS-GVO eingehalten werden, ist für ihn bezüglich der Apotheken ebenfalls unstreitig. Kalkbrenner kommentierte weiterhin die Anpassung Einwilligungserklärungen, die noch nicht der neuen Verordnung entsprechen, wie etwa für Kundenkarten, sowie die Informationspflichten gegenüber den Apothekenkunden bezüglich der Datenerhebung, etwa über einen Aushang in der Apotheke und/oder einen Zusatz in der Geschäftskommunikation: „Die Grundsätze unserer Datenverarbeitung können Sie in unserer Apotheke einsehen oder unter [www.xy-apotheke.de/datenschutz]“. 

Mit der neuen Datenschutz-Grundverordnung erhalten die Behörden darüber hinaus weitergehende Befugnisse in Form von Einsichtnahmen und Hinweisen auf Verstöße. Deren „Vorboten“ seien schon jetzt spürbar, berichtete Kalkbrenner. Wer die neuen Regeln nicht einhalte, müsse mit empfindlichen Sanktionen rechnen. So drohten je nach Verstoß, empfindliche Bußgelder von bis zu vier Prozent des in Haupt- und Filialapotheken erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. „Niemand weiß, wie heiß die Suppe gelöffelt wird, die da gerade gekocht wird“, meinte der Rechtsanwalt. DAV-Geschäftsführer Dr. Christian Rotta, der den ApothekeRechtTag moderierte, ergänzte: „Hier ist noch extrem viel im Fluss. Man sollte sich nicht verrückt machen lassen.“ 

Lesetipps



Dr. Helga Blasius (hb), Apothekerin
redaktion@daz.online


Diesen Artikel teilen:


Das könnte Sie auch interessieren

Wie die DSGVO in den Apotheken umgesetzt werden sollte

25. Mai 2018 - Stichtag für das neue Datenschutzrecht

Datenschutzbeauftragter, Arztrücksprache, Heimversorgung und mehr – worauf Apotheken achten sollten

DSGVO: Apotheker fragen, Rechtsexperten antworten

EuGH-Urteil  zum Facebook „Gefällt-mir“-Button

Datenschutz: Was Apotheken bei Social-Media-Plugins beachten müssen

8 Kommentare

datenschutz

von zöller peter am 23.03.2018 um 14:37 Uhr

wann kommt endlich der zivile ungehorsam?

» Auf diesen Kommentar antworten | 0 Antworten

Andere Berufe?

von Karl Friedrich Müller am 23.03.2018 um 7:02 Uhr

Was machen die eigentlich? Bedroht man z.B. Ärzte auch an jeder Ecke mit der riesigen-Strafe-Keule?
Man liest so gar nichts. Kein Geschrei nach Kostenübernahme, kein Gejammer über Kosten, nichts.
Oder so eine Pfleger Ich AG?
Heute Morgen lese ich, dass wg Datenschutzes keine Protokolle von Gemeinderatssitzungen veröffentlicht werden. Das ist das richtig digital, wenn ich analog ins Rathaus Latschen muss, um analog auf Papier das dann zu lesen.
Überlegt eigentlich überhaupt einer mal was von den weltfremden Bürokraten?
I

» Auf diesen Kommentar antworten | 0 Antworten

übertrieben

von Karl Friedrich Müller am 22.03.2018 um 17:01 Uhr

wie immer
und regelrechte PANIKMACHE!

Der RA will halt Geld verdienen

» Auf diesen Kommentar antworten | 3 Antworten

AW: Ihr Optimismus kann teuer werden...

von G. Wagner am 22.03.2018 um 19:20 Uhr

Ihr Wort in Gottes (oder Datenschützers) Ohr! Ihr Optimismus kann teuer werden (für Sie). Ich empfehle, sich einmal mit der (neuen) Rechtslage,den einschlägigen Stellungnahmen der (obersten) Datenschutzbehörden und den Gesetzesmaterialien zur neuen EU-Datenschutz-Grundverordnung (Stichwort: sensible Gesundheitsdaten) zu beschäftigen. Der Vortrag von Herrn Dr. Kalkbrenner war insofern sehr erhellend.

AW: übertrieben

von Karl Friedrich Müller am 23.03.2018 um 2:37 Uhr

Hab ich, leider,
Ich hab einen abgrundtiefen Hass auf diesen übertriebenen bürokratischen Schwachsinn entwickelt, der „wachsweich“ formuliert und „die Gerichte bis zum Europäischen Gerchtshof die nächsten Jahre beschäftigen wird“.
Auf dem Rücken kleiner Betriebe, die sich nicht wehren können toben sich bürokratische Monster und Erbsenzähler aus. Gemeint sind angeblich Facebook &Co, treffen wird es Andere.
Hier ist wieder eine Lizenz zum Geld drucken geboren, für „Berater“, Anwälte, Abmahnvereine und Behörden. Ähnlich dem QMS.
Übertrieben, schwachsinnig, bösartig.
Die riesigen Firmen werden Schlupflöcher finden (wie im Steuerrecht auch) den einfachen Bürger trifft es.
Von wegen Datenschutz. Davon träumen die Bürokraten. Sie wollen doch die „Digitalisierung“.kein Tag vergeht, ohne dass einer dieses hohle Schwachsinnwort im Mund hat und überhaupt nicht weiß, was er da sagt.
Mit der Digitalisierung ist der Schutz,der Daten weg, auch wenn man den Bürgen etwas Anderes einreden will. Es ist Lüge! Den Bürger hält man in einer verlogen Traumwelt, er ist nur noch Konsum- und Arbeitsmasse, Ausbeutungsobjekt.
Na ja.

AW: übertrieben

von Bernd Jas am 24.03.2018 um 8:12 Uhr

Lieber Herr Müller,
nicht " na ja", sonder auch hier (wie unten) ein deutliches JA.
Ich stimme voll mit Ihnen über ein. Was für ein Bullshit.

Bestellung eines Datenschutzbeautragten

von Peter Bauer am 22.03.2018 um 11:59 Uhr

Ich sehe mich mit meiner kleinen Landapotheke weder personell noch finanziell in der Lage eine internen oder externen Datenschutzbeauftragten zu bestellen.Das bedeutet dann ganz offensichtlich,dass ich meine Apotheke wegen der neuen Datenschutzverordnung schließen muss?!?!So habe ich das jedenfalls hier verstanden

» Auf diesen Kommentar antworten | 1 Antwort

AW: Bestellung eines Datenschutzbeautragten

von Conny am 22.03.2018 um 15:52 Uhr

Ja

Das Kommentieren ist aktuell nicht möglich.