Datenschutz in der Apotheke

Die DSGVO ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden.

Die DSGVO wird in vielen Teilen dann das bekannte Bundesdatenschutzgesetz (BDSG) ersetzen. Das BDSG wurde aus diesem Grund angepasst und enthält als BDSG-neu nun besondere Klauseln in Ergänzung und Abweichung von der DSGVO.

Sie wurde am 25.05.2018 zur Pflicht.

Wichtigster Punkt sind „Personenbezogene Daten“. Das sind nach Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare Person (sogenannte „betroffene Person“) beziehen. „Identifizierbar“ ist eine Person dann, wenn sie direkt oder indirekt – vor allem mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen – identifiziert werden kann. Die Möglichkeit der Identifizierung einer Person reicht hier aus!

Personenbezogene Daten sind bspw. Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtstag, Kontodaten, Kfz-Kennzeichen, Standortdaten, IP-Adressen, Cookies.

„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Somit sind Sie als Leiter/in einer Apotheke Verantwortlicher i. S. d. DSGVO.

Ein Datenschutzbeauftragter muss nach Art. 37 DSGVO / §38 BDSG-neu bestellt werden, wenn: 

• Mindestens zehn Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Dabei kommt es nicht auf die Einsatzhäufigkeit und Arbeitszeit der Personen an. Bei Apotheken mit Filialen werden alle Mitarbeiter gezählt.
• Die Tätigkeit des Apothekers mit einer umfangreichen Verarbeitung von Gesundheitsdaten verbunden ist. Hierbei gibt es keine Mindestzahl an Mitarbeitern. Es gibt jedoch noch keine rechtsverbindliche Definition, was unter umfangreicher Verarbeitung zu verstehen ist.

Es besteht die Möglichkeit, einen internen oder externen Datenschutzbeauftragten zu bestellen.

Die Benennung eines Datenschutzbeauftragten ist der zuständigen Datenschutzbehörde (im jeweiligen Bundesland) ab dem 25.05.2018 zu melden (Bitte nicht vorher, da dann noch keine Dokumentation bei den Behörden erfolgt).

Es bestehen bestimmte Anforderungen an die jeweilige Person
(Siehe u.a. www.lda.bayern.de/media/dk_mindestanforderungen_dsb.pdf)

Art. 9 Abs. 3 DSGVO schreibt vor, dass personenbezogene Daten vom Apotheker und dessen berufsmäßig tätigen Gehilfen (med. Fachangestellte, PTA u. ä) verarbeitet werden dürfen, die dem Berufsgeheimnis entsprechend § 203 1,1 StGB unterliegen.

• Auskunftsrecht nach Art. 15 DSGVO
  Der betroffenen Person ist im Falle eines Auskunftsverlangens eine Kopie sämtlicher personenbezogener Daten auszuhändigen. Dies umfasst neben den Kundenstammdaten auch die Verkaufsdaten.

• Berichtigungsrecht nach Art. 16 DSGVO
  Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

• Löschungsrecht nach Art. 17 DSGVO
  Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn:
  a) der Zweck für die Datenverarbeitung weggefallen ist,
  b) die betroffene Person ihre Einwilligung widerruft,
  c) die Daten unrechtmäßig verarbeitet wurden.
  
  Löschung kann jedoch rechtmäßig vom Apotheker abgelehnt werden, wenn er ein berechtigtes Interesse an der Weiternutzung der Daten hat.
  Dies ist insbesondere dann der Fall:
  a) Rezeptabrechnung
  b) Abwicklung Heimbelieferung
  c) Jahresquittung
  d) gesetzliche Aufbewahrungspflichten - z. B. BTM u. ä.
  e) zu erwartende Betriebsprüfung der Finanzbehörden
  
  Wie die Anforderungen des Art. 17 DSGVO in der Praxis durch die Verantwortlichen umzusetzen sind, lässt sich der DSGVO nicht ohne weiteres entnehmen. Der Europäische Datenschutzausschuss beabsichtigt, Leitlinien und Empfehlungen zum Art. 17 DSGVO bereitzustellen.

• Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
  Die betroffene Person hat das Recht, die Herausgabe ihrer erhobenen Daten zu verlangen.

• Integrität und Vertraulichkeit nach Art. 5 1,f DSGVO
  Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit durch geeignete technische und organisatorische Maßnahmen gewährleistet.

• Verarbeitung personenbezogener Daten nach Art. 9 2,h DSGVO
  Gesundheitsdaten der Apothekenkunden dürfen ohne deren Einwilligung verarbeitet werden, wenn diese zur Vertragserfüllung (z. B. Botendienst, Rezeptabwicklung) erfolgt bzw. die Verarbeitung für Zwecke der Gesundheitsvorsorge, …, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich ist.

  Das bedeutet konkret, dass die Speicherung von Kundendaten, Rezeptfotos u. ä. ohne Einwilligung möglich ist, da sie zur Erfüllung der pharmazeutischen Aufgaben der Apotheke erforderlich sind.

• Informationspflicht nach Art. 13 DSGVO
  Werden personenbezogene Daten bei der betroffenen Person erhoben, so hat der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten im Wesentlichen Folgendes mitzuteilen:
  a) Inhalt der Daten
  b) Verarbeitungszweck
  c) Dauer der Speicherung
  d) Rechte der betroffenen Personen
  
  Dies kann die Apotheke wie folgt durchführen:
  a) „akustisch“: Hinweis im Gespräch
  b) „materiell“: Auslegen eines Informationsblattes
  c) „visuell“: Hinweistafel
  d) „online“: Veröffentlichung auf der Website
  
  Hierzu gibt es noch keine Erfahrungen über die praktische Umsetzung.
  
  Wichtiger Hinweis zu Kundeneinwilligungen:
  Nach einem Beschluss der Datenschutzbehörden gelten bisher erteilte Einwilligungen fort, sofern sie der Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen. Nach unserer Auffassung sind die in den letzten Jahren in den ADG Warenwirtschaftssystemen verankerten Formulare ordnungsgemäß und erfüllen somit diese Bedingungen. Wir empfehlen trotzdem dringend Ihre verwendeten Einwilligungen mit Ihrem Datenschutz-Beauftragten zu prüfen, da sie individuelle bzw. ältere davon abweichende Inhalte haben können.

• Meldung bei Datenpannen nach Art. 33 DSGVO
  Der Apotheker hat bei einer Datenschutzverletzung (bspw. Rezeptkopie wird im Abfall von einem Dritten entdeckt) die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden zu unterrichten, außer es besteht kein Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person.
  
  Da bei Gesundheitsdaten allgemein von einem hohen Risiko auszugehen ist, besteht zudem eine Meldepflicht an die betroffene Person.

• Verarbeitungsverzeichnis nach Art. 30 DSGVO
  Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten, bei denen personenbezogene Daten betroffen sind. Dieses Verzeichnis enthält u. a. vorgeschriebene Angaben bzgl. Beschreibung und Zweck der Verarbeitung sowie betroffene Personen und Datenempfänger.

• Datenschutz-Folgeabschätzung (DSFA) nach Art. 35 DSGVO
  Aufgrund der Verarbeitung von Gesundheitsdaten (als besondere Kategorie von personenbezogenen Daten) hat der Verantwortliche vor dem Einsatz einer elektronischen Datenverarbeitung (z. B. Warenwirtschaftssystem) eine Abschätzung der Folgen, der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten, durchzuführen.
  
  Der Bericht zur DSFA enthält:
  a) systematische Beschreibung der geplanten Verarbeitung und ihrer Zwecke;
  b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung;
  c) Beurteilung der Risiken und Auflistung der Abhilfemaßnahmen zur Risikoeindämmung

• Gestaltung Website und Webshops nach Art. 12, 13, 14 DSGVO
  Es müssen Maßnahmen für eine transparente, verständliche Information und einfache
  Kommunikation getroffen werden, die bei der Gestaltung der Seiten und Datenschutzerklärung Anwendung finden.
  
  Detaillierte Informationen können aufgrund der Komplexität an dieser Stelle nicht erfolgen.
  Die Rechtskonformität der Webshop-Lösungen von ADG wird jedoch durch einen externen Dienstleister gewährleistet.

Videoüberwachung
Die Anforderungen für den Einsatz einer Videoüberwachung bleiben mit Inkrafttreten der DSGVO hoch und nach wie vor komplex. Daher sollten sich Betreiber von Videoüberwachungsanlagen schon zum jetzigen Zeitpunkt intensiv mit der neuen Rechtslage auseinandersetzen und prüfen, ob laufende Analgen den Anforderungen entsprechen und fortgesetzt werden können.

Im Internet sind unter dem Stichpunkt DSK Kurzpapier Videoüberwachung weitere Informationen zu finden.

Kundenkarte
Es erfolgt eine Überarbeitung des ADG Kundenflyers durch ADG. Sobald weitere rechtliche Informationen vorliegen, werden diese entsprechend kommuniziert.

VerpflichtungserklärungADG nach § 203 StGB
Nach erfolgter schriftlicher Verpflichtung der ADG Mitarbeiter erhalten alle Kunden die entspre-chende Verpflichtungserklärung der ADG gegenüber Apotheken.

Verwendung von WhatsApp
Fast 70 Prozent der Deutschen nutzen WhatsApp. Verbraucher stehen der WhatsApp-Kommunikation mit Unternehmen größtenteils offen gegenüber, vor allem in den Bereichen Kundenservice und Beratung, wäre da nicht die Sache mit dem Datenschutz!

Das Problem liegt vor allem in der Synchronisation der Kontaktdaten. Wer den Messenger auf seinem Smartphone nutzt, gewährt WhatsApp Zugriff auf sein Adressbuch.

Benennung
Aus Vorsichtsgründen wird jedem Apothekeninhaber geraten, einen DSB namentlich und schriftlich zu benennen¹. Bestehende Benennung/Bestellungen nach BDSG gelten fort. Der DSB sollte eine entsprechende Sachkunde und Erfahrung besitzen². Diese Funktion darf nicht vom Apothekeninhaber, dem Systemhaus bzw. EDV-/IT-Dienstleister übernommen werden (Interessenkonflikt).
Der DSB kann intern oder extern benannt werden. Die interne Benennung kann zeitlich befristet sein, sollte aber nicht weniger als 12 Monate betragen. Die Mangeno GmbH bietet die Dienstleistung „Externer Datenschutzbeauftragter“ an. Die Aufgaben des DSB sind in Artikel 39 DSGVO³ beschrieben.

Mitteilung der Daten an Aufsichtsbehörde
Der/Die DSB ist nach dem 25. Mai 2018 namentlich und mit Kontaktdaten gegenüber der Aufsichtsbehörde für den Datenschutz im ansässigen Bundesland zu benennen.
Meldungen vor dem 25. Mai 2018 werden nicht beachtet.
Das anzuwendende Verfahren wird von der Aufsichtsbehörde festgelegt. Hinweise
befinden sich zum Teil auf den Webseiten der Aufsichtsbehörden, die Sie unter folgendem Link finden:
https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen – WICHTIGER HINWEIS: Wir beabsichtigen, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden. 

Veröffentlichung der Kontaktdaten
Die Datenschutzerklärung auf der Webseite muss eine E-Mail-Adresse und evtl. Telefonnummer enthalten, unter der der die DSB zu erreichen ist (z. B. datenschutzbeauftragter@xxx.de)
Eine namentliche Nennung der/des DSB ist nicht erforderlich. Die E-Mails des Postfachs sollten nur vom DSB und seinem Vertreter gelesen werden können.


Anmerkungen
¹Nach Auffassung des Bayrischen Landesamtes für Datenschutzaufsicht lässt sich schließen, dass in Apotheken auf Grund der Verarbeitung von Gesundheitsdaten in den Kerntätigkeiten, ein Datenschutzbeauftragter benannt werden muss. (Quelle: Vgl. Beispiel über DSB-Bestellpflicht bei einem Hörgeräteakustiker, Erste Hilfe zur Datenschutz-Grundverordnung, Seite 34, C.H. Beck Verlag, ISBN: 987-3-406-71662-1). Ebenso muss ein DSB bestellt werden, wenn eine Datenschutz-Folgeabschätzung notwendig ist. Dieser Fall liegt z. B. bei Einsatz von Videoüberwachung oder Rezeptscan vor.

²Anforderungen an die Sach- und Fachkunde: Fachkompetenz auf dem Gebiet des nationalen und europäischen Datenschutzrechts und der Datenschutzpraxis, Verständnis der DSGVO, Verständnis der durchgeführten Verarbeitungsvorgänge, Kenntnisse in den Bereichen IT und Datensicherheit, Kenntnis der Branche und Einrichtung, Förderung der Datenschutzkultur in der Apotheke.

³Artikel 39 Aufgaben des Datenschutzbeauftragten
(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgänge beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
c) Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
d) Zusammenarbeit mit der Aufsichtsbehörde;
e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, ein-schließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Einwilligungserklärungen von Kunden
Eine schriftliche Einwilligungserklärung von Kunden für die Erhebung, Verarbeitung und Nutzung von Stamm- und Medikationsdaten muss in der Apotheke vorliegen bei Kundenkarten.

Konformität mit der DSGVO
Die Einwilligungserklärungen sind auf Konformität mit der DSGVO zu prüfen. Diese sollten Sie mit Ihrem Datenschutzbeauftragten bzw. Warenwirtschaftssystemanbieters, der Ihnen eine Einwilligungserklärung zur Verfügung stellt, abstimmen.
Bisher erteilte Einwilligungen sind in folgenden Fällen ungültig:
// Einwilligungen, die mit Kindern jünger als 16 Jahre getroffen wurden;
// Einwilligungen, die nicht unter dem Grundsatz der Freiwilligkeit abgegeben wurden.

Dienstleister
Mit Dienstleistern die von der Apotheke personenbezogene Daten zur Verarbeitung erhalten oder in diese Einsicht nehmen können (z. B. bei Fernwartung der IT, Wartung in der Apotheke, Zertifizierungsstellen), müssen Verträge zur Auftragsdatenverarbeitung geschlossen werden. Des Weiteren muss eine Verpflichtung zum Datengeheimnis nach § 203 StGB vorliegen.

Verpflichtungen, Einwilligungen
Für die Nutzung von Daten der Mitarbeiter/innen sollte folgendes in der Apotheke schriftlich vorliegen:
// Verpflichtung zur Einhaltung der DSGVO und auf das Datengeheimnis
// Einwilligungserklärungen für die Nutzung der Geburtstage, Telefondaten, privaten Kontaktdaten, Nutzung von Fotos auf Webseite etc.

Kontaktformulare, z. B. für Vorbestellungen
Die Kunden sollten Ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten in Kontaktformularen per Checkbox explizit bestätigen. Beispiel:
[  ] Ich habe die Datenschutzerklärung zur Kenntnis genommen. Ich stimme zu, dass
     meine Angaben und Daten zur Beantwortung meiner Anfrage elektronisch erhoben und
     gespeichert werden. Hinweis: Sie können Ihre Einwilligung jederzeit für die Zukunft per
     E-Mail an datenschutz@xyz.de widerrufen.

Das Wort Datenschutzerklärung sollte dann hervorgehoben sein und auf die Datenschutzerklärung der Webseite verlinken.

Verschlüsselung
Webseiten mit Kontaktformular müssen HTTPS verwenden und SSL als Transportverschlüsselung einsetzen, damit die personenbezogenen Daten verschlüsselt übertragen werden.

Datenschutzerklärung
Die Datenschutzerklärung der Webseite sollte folgende Aspekte enthalten:
// Art, Zweck und Umfang der Verarbeitung personenbezogener Daten 
// Recht des Betroffenen (Auskunft, Korrektur, Sperrung, Löschung)
// Speicherung von IP-Adressen in Server-Logs
// Einsatz von Cookies z.B. bei Google Analytics, Matomo/Piwik oder andere Auswertungs-Tools, falls diese eingesetzt werden
// Info über Nutzung von personenbezogenen Daten, die über ein Kontaktformular gesendet werden
// Info über die „Verantwortliche Stelle“: Kontaktdaten der Apotheke
// Kontaktdaten (E-Mail) zum Datenschutzbeauftragen, falls benannt (siehe oben)

Rezeptbestellung: Die Nutzung von WhatsApp sollte sofort eingestellt werden. 

Empfehlung: Die Bestell-App „deine Apotheke“.

Verarbeitungsverzeichnis und TOM´s
Über die Verfahren, in denen personenbezogene Daten verarbeitet werden, muss ein Verzeichnis geführt werden, in dem auch die technischen und organisatorischen Maßnahmen (TOM´s) zum Datenschutz beschrieben sind.

Prozesse
Es sollten Prozessbeschreibungen zu den folgenden Themen vorliegen:
// Sicherstellung des Datenschutzniveaus (Selbstinspektion über Datenschutzthemen)
// Bearbeitung von Betroffenenrechten (Auskunft, Korrektur, Löschen, ...)
// Notwendigkeit und Durchführung von Datenschutz-Folgeabschätzungen
// Umgang und Datenpannen und deren Meldung an die Aufsichtsbehörde
// Schulung und Sensibilisierung der Mitarbeiter