Datenschutz in Apotheken ist durch die DSGVO von erheblicher Bedeutung.
Von Kund:innen werden eine Reihe sensibler personenbezogener Daten verarbeitet. Also Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (sogenannte „betroffene Person“) beziehen (Art. 4 Abs.1 DSGVO).
Dies sind zum Beispiel Daten wie Name, Alter und Adresse von Kund:innen, aber auch Informationen zur Medikation und Behandlungsdauer. Somit werden auch Gesundheitsdaten verarbeitet, bei dehnen strengere Anforderungen gelten (Art. 9 DSGVO).
Verantwortung
Inhaber:innen der Apotheke sind grundsätzlich für die korrekte Umsetzung der Datenschutzgrundverordnung und damit für die Datenverarbeitung verantwortlich.
Bei möglichen Verstößen werden diese haftbar gemacht und müssen zudem mit Bußgeldern rechnen, die bis zu 4 % des Jahresumsatzes betragen können. Auch drohen unter Umständen berufsrechtliche Konsequenzen. Vom Imageschaden mal ganz abgesehen.
Daher haben viele Apotheken bereits einen Datenschutzbeauftragten benannt.
Die DSGVO
Ziel der DSGVO ist es, dass Betroffene zu jedem Zeitpunkt das Wissen und die Entscheidungshoheit darüber haben, was mit ihren Daten passiert.
Dies und diverse weitere Vorgaben wirken sich direkt auf die tägliche Arbeit von Apotheker:innen aus.
Daher sollten Sie mindesten die nachfolgenden Aspekte zur DSGVO-konformen Arbeit erfüllen.
Patienten informieren
Ein wesentlicher Anspruch ist, die Kund:innen über die Verarbeitung der über sie erhobenen Daten zu informieren und ggf. deren Einverständnis einzuholen. Dieses muss zum Zeitpunkt, an dem diese Daten erhoben bzw. verarbeitet werden, erfolgen.
Laut DSGVO (Art. 4 Abs. 2) wird unter der Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten verstanden.
Daher sind Kund:innen im Rahmen der Informationspflichten über die jeweilige Verarbeitung und die bestehenden Rechte nach DSGVO zu informieren.
Datenschutzerklärung oder Einwilligung
Eine kleine Erläuterung vor weg: Eine Datenschutzerklärung wird in der Regel für die Homepage bzw. Website der Apotheke benötigt. Dieser Begriff wird jedoch als landläufige Bezeichnung für die Umsetzung der Informationspflichten benutzt. Diese sind dem Kunden unaufgefordert zur Verfügung zu stellen und nachzuweisen.
Eine Unterschrift ist jedoch nicht erforderlich.
Eine Einwilligung zum Beispiel in ein Kundenkonto, benötigt neben der Schriftform klaren Bedingungen zur Einhaltung (Art. 7 DSGVO).
Einem Datenschutzhinweis oder ‑erklärung bedarf es hier nicht.
Informationspflichten
Als Apotheker:in haben Sie der betroffenen Person den Inhalt der Daten, deren Verarbeitungszweck sowie die Dauer der Speicherung mitzuteilen und über die Rechte der betroffene Person zu informieren.
Die kann über einen Flyer oder ein Informationsblatt welche in der Apotheke ausliegen geschehen.
Wie bereits erwähnt ist hier keine Unterschrift erforderlich, aber ein Nachweis ist ggf. zu erbringen.
Einwilligung
Eine Einwilligung bedarf der Schriftform und muss mit der Unterschrift bestätigt sein. Auch eine digitale Einverständniserklärung kann per Unterschrift erfolgen oder durch das Setzen eines Hakens. Dabei ist jedoch zu beachten, dass zum einen eine eindeutige Identifikation erfolgt und sind sogenannte Opt-Out-Verfahren unzulässig. Daher darf nicht bereits per Voreinstellung ein Haken gesetzt sein oder ein Text zu streichen.
Eine Einwilligung muss immer aktiv geschehen.
Beachten Sie außerdem, dass die Einverständniserklärung konkret formuliert sein muss. Das bedeutet, dass den Kund:innen klar sein muss, welche Stelle und welche spezifischen Daten zu welchem Zweck verwendet sind.
Datenschutzbeauftragten benennen
Wie bereits erwähnt, sind Sie als Leiter:in der Apotheke für die Umsetzung der DSGVO verantwortlich. Sind zudem dort mindestens zwanzig Personen ständig mit der automatischen Verarbeitung personenbezogener Daten (beispielsweise der Abwicklung von elektronischen Zahlungen oder Rezeptabrechnungen) beschäftigt, besteht zudem die Pflicht, einen Datenschutzbeauftragten für Ihre Apotheke zu benennen.
Die personenbezogenen Daten selbst dürfen vom Apotheker:in und dessen berufsmäßig tätigem Personal (also pharmazeutisch-technische Assistenten, medizinische Fachangestellte), welche grundsätzlich dem Berufsgeheimnis unterliegen, verarbeitet werden (ausgeschlossen ist also beispielsweise Reinigungspersonal).
Sicherheit der Daten
Das Datenschutzgesetz verpflichtet Sie als Apotheker:in dazu, personenbezogene Daten vollumfänglich zu schützen, und zwar durch angemessene technische und organisatorische Maßnahmen.
Bei der Verarbeitung dieser Daten ist eine angemessene Sicherheit stets zu gewährleisten.
Um DSGVO-konform zu agieren, sollten Sie in Ihrer Apotheke unter anderem sicherstellen, dass Unbefugte keinen Zutritt zu Ihren Räumlichkeiten haben und die Rechtevergabe Ihres EDV-Systems regeln. Richten Sie zudem Diskretionszonen ein, schulen Sie Ihre Mitarbeiter regelmäßig bzw. lassen Sie sie schulen und definieren Sie Verfahren zur Löschung von Daten.
Verzeichnis von Verarbeitungstätigkeiten
Sie als Apotheker:in sind im Rahmen des Art. 30 DSGVO dazu verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, mit denen personenbezogene Daten verarbeitet werden.
In diesem müssen außerdem die technischen und organisatorischen Maßnahmen beschrieben werden, die Sie zum Datenschutz ergreifen.
Datenpanne melden
Wird in Ihrer Apotheke der Datenschutz verletzt, haben Sie die Pflicht, innerhalb von 72 Stunden die Aufsichtsbehörde und die betroffene Person darüber zu informieren. Eine Ausnahme ist dann gegeben, wenn für die persönlichen Rechte und Freiheiten der betroffenen Person kein Risiko besteht.
Rechte der Kund:innen (Betroffenen)
Die DSGVO stärkt die Rechte von Kund:innen bzw. Betroffenen hinsichtlich des Umgangs mit den personenbezogenen Daten. Nach Art. 3 DSGVO bestehen die folgenden Rechte einer betroffenen Person:
- Transparente Information (Art. 12 DSGVO)
- Informationspflicht bei Erhebung (Art. 13 DSGVO)
- Auskunftsrecht der betroffenen Person (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Vergessen werden) (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
Datenschutz ist Arbeit
Auch mit diesem Blog-Beitrag wird klar, dass Datenschutz viel Arbeit macht. Zudem muss dieser auch ohne Benennung eines Datenschutzbeauftragten erfolgen und so zusätzlich von Verantwortlichen geleistet und erfüllt werden.
Dies erfordert auch Schulungen und intensive Recherchen zum Datenschutz, was Zeit und kostenintensiv ist.
Ein externer Datenschutzbeauftragter bietet hier viele Vorteile.
Also lassen Sie sich gut beraten.