Ein Magazin der

www.pta-forum.de

 

Pharmazeutische Zeitung

 

PTA-Forum

 

PZ-Akademie

 

DAC/NRF

 

 

 

www.pta-forum.de
Ein Magazin der 
 

BERATUNGSPRAXIS

Datenschutz-Grundverordnung

Vieles neu macht der Mai


Von Michael van den Heuvel / Seit 25. Mai 2018 greift die EU-Datenschutzgrundverordnung (DS-GVO). Das PTA-Forum hat bei Dorothea Nitzsche nachgefragt, worauf PTA, PKA und Apo­theker jetzt achten sollten. Die Expertin ist als Rechts­anwältin bei der Landesapothekerkammer Baden-Württemberg tätig und beschäftigt sich seit längerer Zeit intensiv mit dem Thema Datenschutz.

 

Anzeige

 

Tag für Tag verarbeiten Apothekenteams personenbezogene Daten. Dazu gehören neben Adressen besonders sensible Informationen zu Krankheiten und zur Medikation. Im täglichen Umgang gelten schon lange Normen wie das Bundesdatenschutzgesetz, das Apothekengesetz, die Apotheken­betriebsordnung, das Strafgesetzbuch und vieles mehr. Am 25. Mai 2018 brachte die europäische Datenschutz-Grundverordnung (DS-GVO) zahlreiche Neuerungen mit sich. Was ändert sich?




Foto: Shutterstock/Ivan Marc


»Das Transparenzgebot der DS-GVO verpflichtet zur Information von Kunden und Patienten der Apotheke über die Verarbeitung personenbezogener Daten«, erklärt Nitzsche. »Das heißt, sie sollen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erhalten.« Die Expertin nennt neben Angaben zur Apotheke als datenverarbeitender Stelle auch den Zweck und die Rechtsgrundlage der Bereitstellung personenbezogener Daten – etwa zum Zweck der Abrechnung gemäß V. Sozial­gesetzbuch. Hinzu kommen Details über die Aufbewahrungs­dauer. Rechte von Kunden dürfen hier nicht fehlen. Sie haben künftig den Anspruch, ihre Daten einsehen und gegebenenfalls löschen zu lassen. »Ein Anspruch auf Löschung ­besteht nur dann, sofern gesetzliche Aufbewahrungsfristen dem nicht entgegenstehen«, ergänzt Nitzsche. Steuerliche oder arzneimittelrechtliche Regelungen gelten natürlich weiter. Kein Kunde darf beispielsweise die Vernichtung von BtM-Belegen fordern.

Nitzsche: »Werden personenbezogene Daten an Dritte weitergegeben, so ist auch hierüber unter Angabe der Empfänger zu informieren.« Apotheken arbeiten etwa mit Rechenzentren, Software-Häusern oder externen Buchhaltern zusammen. Erfolgt eine Datenverarbeitung durch Dritte im Auftrag der Apotheke, so ist mit dieser Stelle eine Vereinbarung zur Auftragsverarbeitung zu treffen, in der die gegenseitigen Pflichten und Verantwortlichkeiten beschrieben werden. Muster gibt es auf vielen Websites der zuständigen Aufsichtsbehörden. »Bereits geschlossene Verträge zur Auftragsverarbeitung sind zu überprüfen und gegebenenfalls an die neuen Bestimmungen anzupassen«, empfiehlt die Expertin.

Apothekenleiter kommen ihrer Informationspflicht mit einem Aushang in der Offizin und mit Angaben in der Datenschutzerklärung ihrer Homepage nach.

Erklärungen rechtssicher gestalten

Damit ist es aber nicht getan. Kunden müssen auch ihre Zustimmung erteilen, sofern eine rechtliche Grundlage für die Datenverarbeitung nicht existiert. Wird eine Einwilligung eingeholt, so muss über folgende Aspekte informiert werden:

  • Verwendungszweck (Abrechnung, Medikationsmanagement, Marketing, et cetera),
  • Hinweis auf die Möglichkeit, die Einwilligung zu widerrufen und Daten gegebenenfalls löschen zu lassen,
  • Zustimmung zur Verarbeitung sensibler Daten wie Medikationsdaten oder Rezeptkopien.
  • Die Einwilligung muss freiwillig erteilt werden. Stimmt ein Kunde nur manchen, aber nicht allen Zwecken der Verarbeitung zu, schränkt das auch die Möglichkeiten innerhalb der Apotheke ein.

In diesem Zusammenhang lohnt es sich, einen Blick auf bereits unterschriebene Erklärungen von Bestandskunden zu werfen. »Apothekenleiter können in vielen Fällen die Verarbeitung von personenbezogenen Daten fortsetzen, solange bereits erteilte Einwilligungen den Bedingungen der DS-GVO (Stichwort Freiwilligkeit) entsprechen«, sagt die Expertin. »Ist dies nicht gegeben, so müssen auch Bestandskunden ihre Einwilligung neu erteilen.« Bei der technischen Umsetzung unterstützen die Hersteller von Warenwirtschaftssystemen.




Dorothea Nitzsche, Rechtsanwältin und Expertin in Sachen Datenschutz

Foto: www. maks-richter.com


Zentrale Rolle des Datenschutzbeauftragten

Nitzsche verweist auf eine weitere wichtige Änderung: »Künftig wird der Datenschutzbeauftragte neben beratenden Tätigkeiten als Compliance-­Beauftragter in Sachen Datenschutz tätig werden.« Er bewertet verschiedene Tätigkeiten hinsichtlich ihres Risikos und überwacht, ob Regelungen zum Datenschutz umgesetzt und eingehalten werden.

Inwieweit jede Apotheke einen Datenschutzbeauftragten benötigt, ist Thema kontroverser Diskussionen. Er muss bestellt werden, wenn »mindestens zehn Personen ständig mit der auto­matisierten Datenverarbeitung beschäf­tigt sind«. Berücksichtigung finden alle Mitarbeiter der Apotheke – vom Inhaber bis zum Boten. Ihre Stundenzahl ist zur Bewertung irrelevant. Aufgrund der besonderen Sensibilität von ­Gesundheitsdaten gibt es auch Interpretationen, dass jede Apotheke künftig einen Datenschutzbeauftragten benötigt. Diese Fragestellung werden Gerichte zu klären haben. Auch der Düsseldorfer Kreis, ein Koordinierungs- und Beschlussgremium der Datenschutzaufsichtsbehörden des Bundes und der Länder im nicht öffentlichen Bereich, erarbeitet Empfehlungen.

Rechte und Pflichten des Datenschutzbeauftragten

Generell können Apotheker (aber nicht Inhaber), PTA oder PKA die Funktion eines Datenschutzbeauftragten übernehmen. Voraussetzung ist, dass sie »Fachwissen auf dem Gebiet des ­Datenschutzrechts und der Datenschutzverfahren« haben. Laut Nitzsche orientiere sich der Kenntnisstand an Vorgängen in der Apotheke. »Der Daten­schutzbeauftragte muss also geschult sein, um die Einhaltung aller Vorschriften zu überwachen, Folgen abzuschätzen, den Inhaber zu beraten und die Angestellten zu schulen.« Gleichzeitig sind Datenschutzbeauftragte Ansprechpartner für Kunden und für Aufsichtsbehörden.

Darüber hinaus übernehmen sie umfangreiche Dokumentationspflichten. Nitzsche: »Jeder Betrieb muss belegen können, dass er datenschutzkonform arbei­tet. Dies kann nur durch eine vollständige Dokumentation gelingen.« Die Dokumentation umfasst Details zur Hardware und zur Software, zu Ver­­arbeitungstätigkeiten, zum Datenschutzkonzept, zur IT-Sicherheit sowie zu Prozessen in Zusammenhang mit den Rechten von Kunden. Verträge zur Auftragsdatenverarbeitung dürfen eben­falls nicht fehlen. Nicht zuletzt sind Risikoabschätzungen wichtig: Von welcher Seite droht Gefahr? Das könnte beispielsweise ein Hackerangriff sein, falls vergessen wird, Software zu aktualisieren.

Um diese Aufgaben zu erfüllen, ist viel Dachwissen erforderlich. »Eine bestimmte Anzahl an Schulungen oder Pflichtschulungen hat der EU-Gesetzgeber nicht vorgegeben«, kommentiert Nitzsche. Auch hier wird der Düsseldorfer Kreis mit großer Wahrscheinlichkeit Empfehlungen erarbeiten. Aktuell haben zahlreiche Fortbildungsträger vier- bis fünftägige Schulungen im Programm, die zumindest als Basis dienen.

Neu ist, dass der Datenschutzbeauftragte bei der für den Datenschutz zuständigen Aufsichtsbehörde gemeldet werden muss, am besten in schrift­licher Form. Dienstliche Kontaktdaten sind auch per Homepage und per Aushang in der Offizin zu veröffentlichen.

Um weisungsfrei arbeiten zu können und nicht wegen der Erfüllung seiner Aufgaben benachteiligt zu werden, hat der Gesetzgeber verpflichtend bestellten Datenschutzbeauftragten einen Sonderkündigungsschutz gewährt. Anderes gilt nur für Gründe, die zu einer fristlosen Kündigung führen. Dieser Schutz gilt noch ein Jahr nach Ende der Tätigkeit als Datenschutzbeauftragter.

Die Welt ist nicht nur digital

Es darf aber nicht vergessen werden, dass Datenschutz auch analog ein Thema ist. Fallen personenbezogene Daten in Form von Kopien, Fehldrucken oder Kassenzetteln an, sind diese mit einem geeigneten Gerät (DIN 66399, Schutzklasse 3/Sicherheitsstufe 4) zu schreddern. Speichermedien von Computern, Kopierern oder Multifunktionsgeräten müssen unwiederbringlich gelöscht werden, bevor die Geräte im Elektroschrott landen.

Die Vertraulichkeit von Beratungsgesprächen ist seit der novellierten Apothekenbetriebsordnung ohnehin ein großes Thema. Dazu gehören neben dem Diskretionsabstand auch nicht einsehbare Ablagen für Rezepte und blicksichere Bildschirme, falls diese im Beratungsgespräch auch mal zum Kunden gedreht werden. Für diskrete Gespräche macht eine Beratungsecke oder ein Beratungszimmer Sinn. Der Datenschutzbeauftragte berät bei der Umsetzung aller Maßnahmen. Unterstützung erhält er von den Landesapothekerkammern und von den Landesdatenschutzbeauftragten. /



Beitrag erschienen in Ausgabe 11/2018

 

Das könnte Sie auch interessieren

 


© 2018 Avoxa – Mediengruppe Deutscher Apotheker GmbH

Seiten-ID: http://ptaforum.pharmazeutische-zeitung.de/index.php?id=11845