Datenschutz-Grundverordnung

Braucht jede Apotheke einen Datenschutzbeauftragten?

Berlin - 03.05.2018, 07:00 Uhr

Apotheken haben es mit hochsensiblen Daten zu tun. Ein Datenschutzbeauftragter muss unter anderem darüber wachen, ob die Datenverarbeitungsprogramme ordnungsgemäß angewendet werden. (Foto: WavebreakMediaMicro

                                    / stock.adobe.com)

Apotheken haben es mit hochsensiblen Daten zu tun. Ein Datenschutzbeauftragter muss unter anderem darüber wachen, ob die Datenverarbeitungsprogramme ordnungsgemäß angewendet werden. (Foto: WavebreakMediaMicro / stock.adobe.com)


Was bedeutet das für die (kleine) Apotheke?

Diese Vorgaben sind leider nicht ganz so klar, wie man sich es wünschen würde. Es lässt sich nicht einmal sicher sagen, dass eine Apotheke, die weniger als zehn Personen beschäftigt, die sich mit automatischer Datenverarbeitung befassen, keinen Datenschutzbeauftragten benötigt. Hier wird es darauf ankommen, ob die Verarbeitung von Gesundheitsdaten als „Kerntätigkeit“ und als „umfangreich“ anzusehen ist. ABDA-Juristen sehen bereits den Schwerpunkt der apothekerlichen Tätigkeit in der Abgabe und Beratung zu Arzneimitteln, Medizinprodukten und apothekenüblichen Waren und nicht in der Datenverarbeitung. Damit seien Apotheker nicht von der Regelung umfasst. 

Nimmt man jedoch an, dass die Verarbeitung von Gesundheitsdaten, insbesondere durch die Bearbeitung von Rezepten, doch eine Kerntätigkeit ist, stellt sich die Frage, ob sie als „umfangreich“ zu werten ist.

Datenschutzbehörden: In der Regel nicht umfangreich

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein schreibt hierzu in einem Informationsblatt für Heilberufler:

„Zwar wird man im Hinblick auf die Bedeutung der Dokumentation und der Verwaltung von Patientendaten davon ausgehen können, dass die Verarbeitung solcher Daten zur Kerntätigkeit in Arztpraxen, Apotheken etc. gehört. Allerdings wird in den allermeisten Fällen nicht von einer Verarbeitung in großem Maßstab auszugehen sein. Etwas anderes gilt nur in besonders gelagerten Fällen, in denen der Umfang der Verarbeitung von Gesundheitsdaten (…) weit über das hinausgeht, was in einer üblichen Arztpraxis anzutreffen ist. In einem solchen Fall ist die Benennung eines betrieblichen DSB verpflichtend.“

Von einer „umfangreichen“ Verarbeitung dürfte etwa auszugehen sein, wenn eine Apotheke in der Heim- und/oder Krankenausversorgung tätig ist oder im großen Stil Medikationsmanagement betreibt. Das sind sicherlich kaum Apotheken, die weniger als zehn mit Datenverarbeitung Beschäftigte haben.

Ende April hat zudem die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder einen Beschluss gefasst. Darin heißt es: „Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs (...) ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DS-GVO auszugehen". Hier sei dann kein Datenschutzbeauftragter zu benennen, wenn weniger als zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind. Doch die Behörden nennen auch eine Ausnahme: Wenn in diesen Apotheken ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, sei eine Datenschutz-Folgenabschätzung vorgeschrieben – und damit zwingend ein Datenschutzbeauftragter zu benennen.

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung zielt darauf ab, die potenzielle Gefährdung  für die Rechte der Betroffenen bei der umfangreiche Verarbeitung solcher besonderer Daten“ geht, genau zu prüfen: Der Grad dieser Gefährdung soll genauer bestimmt und festgestellt werden, ob hinreichende Schutzmechanismen getroffen worden sind. Hier besteht allerdings noch Klärungsbedarf, was das für Apotheken bedeutet. Die datenschutzrechtlichen Aufsichtsbehörden sollen hier eine verbindliche Liste der Verarbeitungsvorgänge erstellen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. Noch ist dies nicht geschehen. Doch es ist davon auszugehen, dass hier Herausforderungen auf Apotheken zukommen. Bis dahin sollten Apotheken selbst sorgsam abwägen, ob und wann sie eine solche Abschätzung vornehmen – und dies protokollieren.

Mehr zum Thema

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 4: Neue Risikobewertung – Die Datenschutz-Folgenabschätzung

Neue Datenschutzregeln ante portas

Ein Umstand, der einen Datenschutzbeauftragten nötig macht, selbst wenn es sich um einen Kleinbetrieb mit weniger als zehn relevant Beschäftigten handelt, ist beispielsweise eine weitläufige Videoüberwachung. Ebenso die Verwendung biometrischer Systeme in der Apotheke.

Im Zweifel nachfragen

Wer meint, mit seiner kleinen Apotheke nicht unter die neuen Vorgaben zu fallen, aber auf Nummer sicher gehen will, sollte sich am besten bei seiner zuständigen Datenschutzbehörde erkundigen, wie sie diese Fälle handhabt. Unter Datenschutzexperten gibt es durchaus auch die Auffassung, dass für eine Apotheke per se die Pflicht besteht, einen Datenschutzbeauftragten zu bestellen, weil die von ihr verarbeiteten Daten einem besonderen gesetzlichen Schutz unterliegen (§ 203 Strafgesetzbuch – Verletzung von Privatgeheimnissen). 



Kirsten Sucker-Sket (ks), Redakteurin Hauptstadtbüro
ksucker@daz.online


Diesen Artikel teilen:


Das könnte Sie auch interessieren

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 3: Wächter über den Datenschutz: Der Datenschutzbeauftragte

Neue Datenschutzregeln ante portas

Der Startschuss für die DSGVO fällt am Freitag

Fit für die Datenschutzgrundverordnung?

Teil 2: Ist der Datenschutzbeauftragte bald Geschichte?

Sechs Monate DSGVO – ein Zwischenfazit

Wie die DSGVO in den Apotheken umgesetzt werden sollte

25. Mai 2018 - Stichtag für das neue Datenschutzrecht

1 Kommentar

Datenschutz....?

von Heiko Barz am 04.05.2018 um 11:47 Uhr

Diese vorgetragene diffuse Faktenlage ( wo kann man denn die einzelnen zu bewertenden Handlungen erfahren?) bedarf klarer Kriterien, was eigentlich Faktor für Faktor gefordert wird und vor allem, da ständig mit Holzhammer Manier betont, eine für unsere Betriebe "insolvitäre" Betriebsvernichtung zur Folge hätte.
Diese angedrohten überdimensionierten Strafen stehen doch wohl in keinem Verhältnis zu unserer tagtäglichen Versorgungsarbeit.
In Zeiten bei denen Amazon, Google, Facebook und Co. immer mehr Daten über die Weltbevölkerung in ihren Speichern ungerechtfertigt und sicher auch strafbar sammeln, soll nun der "KLEINE APOTHEKER" bestraft werden, wenn zufällig mal Patientendaten in irgendeiner "Cloud" verschwinden. PARANORMAL!!

» Auf diesen Kommentar antworten | 0 Antworten

Das Kommentieren ist aktuell nicht möglich.