Daten­schutz in Apotheken

Daten­schutz in Apo­the­ken ist durch die DSGVO von erheb­li­cher Bedeutung.

Von Kund:innen wer­den eine Rei­he sen­si­bler per­so­nen­be­zo­ge­ner Daten ver­ar­bei­tet. Also Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son (soge­nann­te „betrof­fe­ne Per­son“) bezie­hen (Art. 4 Abs.1 DSGVO).

Dies sind zum Bei­spiel Daten wie Name, Alter und Adres­se von Kund:innen, aber auch Infor­ma­tio­nen zur Medi­ka­ti­on und Behand­lungs­dau­er. Somit wer­den auch Gesund­heits­da­ten ver­ar­bei­tet, bei deh­nen stren­ge­re Anfor­de­run­gen gel­ten (Art. 9 DSGVO).

Ver­ant­wor­tung

Inhaber:innen der Apo­the­ke sind grund­sätz­lich für die kor­rek­te Umset­zung der Daten­schutz­grund­ver­ord­nung und damit für die Daten­ver­ar­bei­tung verantwortlich.

Bei mög­li­chen Ver­stö­ßen wer­den die­se haft­bar gemacht und müs­sen zudem mit Buß­gel­dern rech­nen, die bis zu 4 % des Jah­res­um­sat­zes betra­gen kön­nen. Auch dro­hen unter Umstän­den berufs­recht­li­che Kon­se­quen­zen. Vom Image­scha­den mal ganz abgesehen.

Daher haben vie­le Apo­the­ken bereits einen Daten­schutz­be­auf­trag­ten benannt.

Die DSGVO

Ziel der DSGVO ist es, dass Betrof­fe­ne zu jedem Zeit­punkt das Wis­sen und die Ent­schei­dungs­ho­heit dar­über haben, was mit ihren Daten passiert.

Dies und diver­se wei­te­re Vor­ga­ben wir­ken sich direkt auf die täg­li­che Arbeit von Apotheker:innen aus.

Daher soll­ten Sie min­des­ten die nach­fol­gen­den Aspek­te zur DSGVO-kon­for­men Arbeit erfüllen.

Pati­en­ten informieren

Ein wesent­li­cher Anspruch ist, die Kund:innen über die Ver­ar­bei­tung der über sie erho­be­nen Daten zu infor­mie­ren und ggf. deren Ein­ver­ständ­nis ein­zu­ho­len. Die­ses muss zum Zeit­punkt, an dem die­se Daten erho­ben bzw. ver­ar­bei­tet wer­den, erfolgen.

Laut DSGVO (Art. 4 Abs. 2) wird unter der Ver­ar­bei­tung jeder mit oder ohne Hil­fe auto­ma­ti­sier­ter Ver­fah­ren aus­ge­führ­ten Vor­gang im Zusam­men­hang mit per­so­nen­be­zo­ge­nen Daten verstanden.

Daher sind Kund:innen im Rah­men der Infor­ma­ti­ons­pflich­ten über die jewei­li­ge Ver­ar­bei­tung und die bestehen­den Rech­te nach DSGVO zu informieren.

Daten­schutz­er­klä­rung oder Einwilligung

Eine klei­ne Erläu­te­rung vor weg: Eine Daten­schutz­er­klä­rung wird in der Regel für die Home­page bzw. Web­site der Apo­the­ke benö­tigt. Die­ser Begriff wird jedoch als land­läu­fi­ge Bezeich­nung für die Umset­zung der Infor­ma­ti­ons­pflich­ten benutzt. Die­se sind dem Kun­den unauf­ge­for­dert zur Ver­fü­gung zu stel­len und nachzuweisen.

Eine Unter­schrift ist jedoch nicht erforderlich.

Eine Ein­wil­li­gung zum Bei­spiel in ein Kun­den­kon­to, benö­tigt neben der Schrift­form kla­ren Bedin­gun­gen zur Ein­hal­tung (Art. 7 DSGVO).

Einem Daten­schutz­hin­weis oder ‑erklä­rung bedarf es hier nicht.

Infor­ma­ti­ons­pflich­ten

Als Apotheker:in haben Sie der betrof­fe­nen Per­son den Inhalt der Daten, deren Ver­ar­bei­tungs­zweck sowie die Dau­er der Spei­che­rung mit­zu­tei­len und über die Rech­te der betrof­fe­ne Per­son zu informieren.

Die kann über einen Fly­er oder ein Infor­ma­ti­ons­blatt wel­che in der Apo­the­ke aus­lie­gen geschehen.

Wie bereits erwähnt ist hier kei­ne Unter­schrift erfor­der­lich, aber ein Nach­weis ist ggf. zu erbringen.

Ein­wil­li­gung

Eine Ein­wil­li­gung bedarf der Schrift­form und muss mit der Unter­schrift bestä­tigt sein. Auch eine digi­ta­le Ein­ver­ständ­nis­er­klä­rung kann per Unter­schrift erfol­gen oder durch das Set­zen eines Hakens. Dabei ist jedoch zu beach­ten, dass zum einen eine ein­deu­ti­ge Iden­ti­fi­ka­ti­on erfolgt und sind soge­nann­te Opt-Out-Ver­fah­ren unzu­läs­sig. Daher darf nicht bereits per Vor­ein­stel­lung ein Haken gesetzt sein oder ein Text zu streichen.

Eine Ein­wil­li­gung muss immer aktiv geschehen.

Beach­ten Sie außer­dem, dass die Ein­ver­ständ­nis­er­klä­rung kon­kret for­mu­liert sein muss. Das bedeu­tet, dass den Kund:innen klar sein muss, wel­che Stel­le und wel­che spe­zi­fi­schen Daten zu wel­chem Zweck ver­wen­det sind.

Daten­schutz­be­auf­trag­ten benennen

Wie bereits erwähnt, sind Sie als Leiter:in der Apo­the­ke für die Umset­zung der DSGVO ver­ant­wort­lich. Sind zudem dort min­des­tens zwan­zig Per­so­nen stän­dig mit der auto­ma­ti­schen Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten (bei­spiels­wei­se der Abwick­lung von elek­tro­ni­schen Zah­lun­gen oder Rezeptab­rech­nun­gen) beschäf­tigt, besteht zudem die Pflicht, einen Daten­schutz­be­auf­trag­ten für Ihre Apo­the­ke zu benennen.

Die per­so­nen­be­zo­ge­nen Daten selbst dür­fen vom Apotheker:in und des­sen berufs­mä­ßig täti­gem Per­so­nal (also phar­ma­zeu­tisch-tech­ni­sche Assis­ten­ten, medi­zi­ni­sche Fach­an­ge­stell­te), wel­che grund­sätz­lich dem Berufs­ge­heim­nis unter­lie­gen, ver­ar­bei­tet wer­den (aus­ge­schlos­sen ist also bei­spiels­wei­se Reinigungspersonal).

Sicher­heit der Daten

Das Daten­schutz­ge­setz ver­pflich­tet Sie als Apotheker:in dazu, per­so­nen­be­zo­ge­ne Daten voll­um­fäng­lich zu schüt­zen, und zwar durch ange­mes­se­ne tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen.

Bei der Ver­ar­bei­tung die­ser Daten ist eine ange­mes­se­ne Sicher­heit stets zu gewährleisten.

Um DSGVO-kon­form zu agie­ren, soll­ten Sie in Ihrer Apo­the­ke unter ande­rem sicher­stel­len, dass Unbe­fug­te kei­nen Zutritt zu Ihren Räum­lich­kei­ten haben und die Rech­te­ver­ga­be Ihres EDV-Sys­tems regeln. Rich­ten Sie zudem Dis­kre­ti­ons­zo­nen ein, schu­len Sie Ihre Mit­ar­bei­ter regel­mä­ßig bzw. las­sen Sie sie schu­len und defi­nie­ren Sie Ver­fah­ren zur Löschung von Daten.

Ver­zeich­nis von Verarbeitungstätigkeiten

Sie als Apotheker:in sind im Rah­men des Art. 30 DSGVO dazu ver­pflich­tet, ein Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten zu füh­ren, mit denen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet werden.

In die­sem müs­sen außer­dem die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men beschrie­ben wer­den, die Sie zum Daten­schutz ergreifen.

Daten­pan­ne melden

Wird in Ihrer Apo­the­ke der Daten­schutz ver­letzt, haben Sie die Pflicht, inner­halb von 72 Stun­den die Auf­sichts­be­hör­de und die betrof­fe­ne Per­son dar­über zu infor­mie­ren. Eine Aus­nah­me ist dann gege­ben, wenn für die per­sön­li­chen Rech­te und Frei­hei­ten der betrof­fe­nen Per­son kein Risi­ko besteht.

Rech­te der Kund:innen (Betrof­fe­nen)

Die DSGVO stärkt die Rech­te von Kund:innen bzw. Betrof­fe­nen hin­sicht­lich des Umgangs mit den per­so­nen­be­zo­ge­nen Daten. Nach Art. 3 DSGVO bestehen die fol­gen­den Rech­te einer betrof­fe­nen Person:

  • Trans­pa­ren­te Infor­ma­ti­on (Art. 12 DSGVO)
  • Infor­ma­ti­ons­pflicht bei Erhe­bung (Art. 13 DSGVO)
  • Aus­kunfts­recht der betrof­fe­nen Per­son (Art. 15 DSGVO)
  • Recht auf Berich­ti­gung (Art. 16 DSGVO)
  • Recht auf Löschung (Ver­ges­sen wer­den) (Art. 17 DSGVO)
  • Recht auf Ein­schrän­kung der Ver­ar­bei­tung (Art. 18 DSGVO)
  • Recht auf Daten­über­trag­bar­keit (Art. 20 DSGVO)
  • Wider­spruchs­recht (Art. 21 DSGVO)

Daten­schutz ist Arbeit

Auch mit die­sem Blog-Bei­trag wird klar, dass Daten­schutz viel Arbeit macht. Zudem muss die­ser auch ohne Benen­nung eines Daten­schutz­be­auf­trag­ten erfol­gen und so zusätz­lich von Ver­ant­wort­li­chen geleis­tet und erfüllt werden.

Dies erfor­dert auch Schu­lun­gen und inten­si­ve Recher­chen zum Daten­schutz, was Zeit und kos­ten­in­ten­siv ist.

Ein exter­ner Daten­schutz­be­auf­trag­ter bie­tet hier vie­le Vorteile.

Also las­sen Sie sich gut beraten.

Kommentar hinzufügen