Recht

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 1: Die Grundsätze der Datenverarbeitung

Der Countdown bis zur Geltung eines neuen Datenschutzregimes in Deutschland läuft. Schon ab dem 25. Mai 2018 sind die neue Datenschutz-Grundverordnung (DSGVO) und ergänzend das neue Bundesdatenschutzgesetz (BDSG) anzuwenden. In einer kleinen Serie wollen wir die wesentlichen Neuerungen vorstellen, Hinweise für zu ergreifende Maßnahmen geben und mit­helfen, dass Apotheken für den Schritt in eine neue datenschutzrechtliche Welt gewappnet sind. Von T. Kieser, S. Buck­stegge

Ein wesentliches Ziel des neuen Datenschutzrechts ist, dessen bessere Durchsetzung zu ermöglichen. Datenschutz soll nicht nur auf dem Papier stehen, sondern auch gelebt werden. Hierzu hat sich der Gesetzgeber einige „nette“ Maßnahmen einfallen lassen, wohl wissend, dass ohne Druck, Überwachung und Sanktion kaum ein Unternehmen bei der Umsetzung tätig wird. Gesetz- und Verordnungsgeber haben die Aufsichtsbehörden mit neuen Befugnissen ausgestattet und die Sanktionen für Verstöße gegen das Datenschutzrecht drastisch erhöht. Bußgelder können nun bis zu 20 Mio. Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens betragen.

Hinzu kommen gesteigerte Dokumentations- und Rechenschaftspflichten der Unternehmen. Zukünftig wird es nicht mehr ausreichen, die Datenschutzvorschriften einzuhalten, die Einhaltung muss aktiv nachgewiesen werden können. Nicht nur für Apotheken ­bedeutet dies einen erheblichen Mehraufwand, natürlich ohne Mehrvergütung. Aber ein deutliches Mehr an Organisationsaufwand ohne ein Mehr an Vergütung sind Apotheken ja schon seit vielen Jahren gewohnt, besonders spürbar bei der letzten Reform der Apothekenbetriebsordnung 2012. Dass die DSGVO dann auch zu einer finanziellen Entlastung führen soll, erscheint eher als frommer Wunschgedanke.

Anwendung der DSGVO

In Zeiten von Persönlichkeitsstriptease in sozialen Netzwerken, Bildern von allen und jedem bei Instagram, ausufernden WhatsApp-Gruppen, Reality-Shows, YouTube-Channels zu zahlreichen Themen und mehr oder weniger ausgeprägten Selbstdarstellungstendenzen ist sich ein eherner Grundsatz in Erinnerung zu rufen: Jede Person hat das Recht, frei zu entscheiden, wann und innerhalb welcher Grenzen sie oder ein Dritter ihre persönlichen Lebenssachverhalte offenbart. Dem Schutz dieses Rechts dient die DSGVO.

Foto: Stockwerk-Fotodesign – stock.adobe.com

Unternehmen müssen viel daran setzen, diese Rechtwahrnehmung zu ermöglichen. Dass einige Personen das gar nicht wollen, steht auf einem anderen Blatt und entlastet erst einmal nicht. Die Vorgaben der DSGVO hat „die Apotheke“ – wegen der Pflicht zur persönlichen Leitung nach § 7 ApoG und dem Fremdbesitzverbot nach § 8 ApoG also der Erlaubnisinhaber in Person – stets zu beachten, wenn in einer Apotheke personenbezogene Daten ganz oder teilweise auto­matisiert verarbeitet werden. Die Apotheke ist dann „Verantwort­licher“ im Sinne der DSGVO.

Als personenbezogen gelten alle Informationen, die die Identifizierung einer natürlichen Person unmittelbar oder mittelbar ermöglichen. Das können Name, Anschrift und Geburtsdatum einer Person, aber auch Online-Kennungen, IP-Adressen oder Standortdaten sein. Auch wenn die Apotheke Daten so verarbeitet, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können (sogenannte pseudonymisierte Daten), ist die DSGVO anwendbar. Etwas anderes gilt nur, wenn die Apotheke einen Personenbezug gar nicht mehr wiederherstellen kann (sogenannte anonymisierte Daten).

Keine personenbezogenen Daten sind reine Unternehmensdaten sowie Anschriften von Lieferanten, Großhändlern oder Dienstleistern. Das gilt aber nur, solange keine persönlichen Ansprechpartner damit verknüpft werden. Andernfalls liegen wieder personenbezogene Daten vor. Auch Arztdaten sind personenbezogene Daten!

Strengere Anforderungen an Schutz von Gesundheitsdaten

Apotheken verarbeiten aber nicht nur personenbezogene Daten, sondern vor allem auch Gesundheitsdaten. Das bringt der gesetzgeberische Auftrag zur Sicherstellung der Arzneimittelversorgung der Bevölkerung so mit sich und der deutsche Verordnungsgeber hat mit seinen Vorgaben in Apothekenbetriebsordnung und Apothekengesetz sein Übriges dazu getan.

Gesundheitsdaten sind personenbezogene Daten, aus denen sich ­Informationen über den Gesundheitszustand einer Person ergeben (z. B. Rezept, Medikationsplan). Das können Daten zu Krankheiten, medizinischen Behandlungen, aber auch zur Einnahme von Medikamenten sein. Diese Daten werden von der DSGVO durchaus nachvollziehbar als besonders sensibel erachtet und natürlich stellt die DSGVO an ihren Schutz besonders strenge Anforderungen, die u. a. von Apotheken eingehalten werden müssen. Gesundheitsdaten dürfen nur aufgrund bestimmter Rechtsgrundlagen verarbeitet werden. Auf die Sicherheit der Datenverarbeitung ist besonderer Wert zu legen. Es macht einen Unterschied, ob jemand weiß und speichert, welcher Lieferdienst wann welches Abendessen wohin gebracht hat, oder ob nachvollziehbar wird, wann welcher Arzt mir welches Arzneimittel verordnet und welche Apotheke dieses wohin geliefert hat.

Abstrakte Grundsätze konkret anwenden

Art. 5 DSGVO enthält eine kleine Verfassung des Datenschutzgesetzes, die Grundsätze der Datenverarbeitung: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität, Vertraulichkeit. Diese Grundsätze werden zum Teil durch besondere Vorschriften der DSGVO mit Leben gefüllt. Ihre Nichteinhaltung bedeutet ein Bußgeld. Jede Datenverarbeitungstätigkeit ist darauf zu prüfen, ob diese Grundsätze der Datenverarbeitung eingehalten werden.

Wie es Grundsätze so an sich haben, sind sie ziemlich abstrakt. Zeit, sie etwas konkreter werden zu lassen: Eine Apotheke möchte auf ihrer Website den elektronischen Versand eines Newsletters anbieten. Dafür muss sie zumindest die E-Mail-Adresse des Adressaten automatisiert verarbeiten. Diese Mail-Adresse enthält jedenfalls dann ein personenbezogenes Datum, wenn sie den Namen ihres Inhabers beinhaltet oder erkennen lässt (max.mustermann@mustermail.de). Eine Identifizierung der Person ist in diesem Fall möglich. Damit ist die DSGVO anwendbar und die Grundsätze der Datenverarbeitung sind zu beachten.

Rechtmäßigkeit

Eigentlich eine Selbstverständlichkeit, gleichwohl erster Punkt unserer Datenschutzcharta: Die Datenverarbeitung darf nur dann erfolgen, wenn sie rechtmäßig ist. Den Grundsatz konkretisiert Art. 6 DSGVO. Danach dürfen personenbezogene Daten nur verarbeitet werden, wenn eine Rechtsgrundlage vorliegt. Der allgemeine Grundsatz, dass Handlungen erlaubt sind, solange sie nicht ausdrücklich verboten sind, erfährt eine Umkehr: Die Verarbeitung personenbezogener Daten ist grundsätzlich unzulässig; sie muss erlaubt werden. Rechtmäßig ist die Datenverarbeitung, wenn die Person, deren Daten verarbeitet werden, eingewilligt hat oder wenn die Datenverarbeitung er­forderlich ist

  • zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der Person erfolgen,
  • zur Erfüllung einer rechtlichen Verpflichtung des Apothekers,
  • zum Schutz lebenswichtiger Interessen einer Person,
  • für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt,
  • zur Wahrung der berechtigten Interessen des Apothekers oder eines Dritten, wenn nicht die Rechte und Interessen der betroffenen Person überwiegen.

Für die Verarbeitung von Gesundheitsdaten sind die Rechtmäßigkeitsvoraussetzungen nochmals strenger (Art. 9 DSGVO). Die berechtigten Interessen des Apothekers können eine Verarbeitung der Gesundheitsdaten nicht rechtfertigen; die Einwilligung des Patienten ist hier regelmäßig sehr wichtig.

In unserem Beispiel, dem Newsletter-Versand, werden keine gesundheitsbezogenen Daten verarbeitet. Als Rechtsgrundlage für die Verarbeitung kommt die Einwilligung der betroffenen Person in Betracht. Eine solche Einwilligung muss freiwillig und in informierter Weise abgegeben werden. Das bedeutet, die betroffene Person muss eine echte Wahl haben, ob sie in die Datenverarbeitung einwilligt, und sie muss mindestens wissen, wer der Verantwortliche (Apotheke) ist und für welche Zwecke ihre Daten verarbeitet werden sollen. Des Weiteren muss die Apotheke die Einwilligung jederzeit nachweisen können.

Für den Newsletter-Versand sollte die Apotheke daher sowohl aus datenschutzrechtlichen als auch aus wettbewerbsrechtlichen Gründen das sogenannte Double-Opt-in-Verfahren wählen. Der Kunde klickt auf der Website ein Kästchen an, womit er in die Zusendung des Newsletters einwilligt, und gibt seine E-Mail-Adresse an. Anschließend erhält er eine Bestätigungs-E-Mail, in der er gebeten wird, seine Einwilligung durch das Anklicken eines Links zu bestätigen. So ist sichergestellt, dass der Kunde tatsächlich seine eigene E-Mail-Adresse angegeben hat, und die Apotheke hat einen Nachweis für die Einwilligung. Bei einer Übersendung des Newsletters ohne Einwilligung im Double-Opt-in-Verfahren droht neben dem Datenschutzthema auch eine wettbewerbsrechtliche/zivilrechtliche Abmahnung. Denn rechtlich ist das unaufgeforderte Zusenden von E-Mails zu Werbezwecken regelmäßig ein Eingriff in das Persönlichkeitsrecht des Kunden, auch wenn man sich das angesichts der Flut von Mailnachrichten, die einen oft unaufgefordert erreichen, kaum vorstellen kann.

Zweckbindung

Daten dürfen nur zu festgelegten Zwecken verarbeitet werden. Die Apotheke muss daher im Voraus bestimmen, zu welchen Zwecken sie Daten erhebt. Da sie zum Nachweis der Einhaltung der Datenverarbeitungsgrundsätze verpflichtet ist, sollte die Zweckfestlegung dokumentiert werden.

In unserem Beispiel erfolgt die Erhebung der E-Mail-Adresse zum Zweck der Newsletter-Versendung. An diesen Zweck ist die Apotheke gebunden; eine Weitergabe an Dritte ist unzulässig. Betreibt der Apotheker noch ein anderes Gewerbe, darf die Mailadresse auch hier nicht ohne Weiteres verwendet werden. Für andere Zwecke darf die Apotheke die E-Mail-Adresse nur verwenden, wenn dies mit dem ursprünglichen Zweck vereinbar ist. Kriterien für die Beurteilung der Vereinbarkeit enthält Art. 6 Abs. 4 DSGVO.

Datenminimierung

Datenverarbeitungen sollen auf das für die Zweckerreichung erforderliche Maß begrenzt bleiben. Der Grundsatz der Datenminimierung bedeutet insbesondere, dass die Apotheke nicht mehr Daten als nötig erheben darf. Beispielsweise ist für den elektronischen Newsletter-Versand nur die Erhebung der E-Mail-Adresse erforderlich. Den Versand zwingend von der Angabe zum Beispiel des Geburtsdatums abhängig zu machen, würde gegen den Grundsatz der Datenminimierung verstoßen. Den Namen und ggf. das Geschlecht zur Sicherung der richtigen Anrede zu erfragen – wobei ja auch dies durch eine neuere Entscheidung des Bundesverfassungsgerichts im Fluss ist –, wäre wohl noch zulässig. Weitere Daten wie Adresse oder Telefonnummer dürften dagegen nur auf freiwilliger Basis erhoben werden. Da deren Erhebung nicht zum Zwecke des Newsletter-Versandes erfolgt, wäre jedenfalls über die Zwecke der Datenverarbeitung zu informieren und die Einwilligungserklärung entsprechend zu gestalten.

Richtigkeit

Die personenbezogenen Daten müssen sachlich richtig und er­forderlichenfalls auf dem neuesten Stand sein. Das hat die Apotheke sicherzustellen, beispielsweise durch regelmäßiges Nachfragen bei Inhabern von Kundenkarten. Beim Newsletter-Verfahren ist über die Nutzung des Double-Opt-in-Verfahrens gewährleistet, dass die angegebene E-Mail-­Adresse korrekt ist und dem Kunden gehört.

Speicherbegrenzung

Daten dürfen nur so lange ge­speichert werden, wie dies für die Zweckerreichung notwendig ist. Meldet sich der Kunde vom Newsletter-Versand ab, ist seine E-Mail-Adresse unverzüglich zu löschen. Der Grundsatz der Speicherbegrenzung wird konkretisiert durch die Löschpflichten in Art. 17 DSGVO, auf die wir in den folgenden Beiträgen zurückkommen werden.

Integrität und Vertraulichkeit

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die ihre angemessene Sicherheit gewährleistet. Die Apotheke muss daher technische und organisatorische Maßnahmen für die Datensicherheit vorsehen. Beim Newsletter-Versand verhindern beispielsweise Firewalls und Antivirensoftware den unerlaubten Zugriff auf die E-Mail-Adressen; regelmäßige Backups schützen vor deren Verlust. Mitarbeiter sind zu schulen.

Fazit und Vorschau

Die Umsetzung der DSGVO verlangt den Apotheken einiges ab. Schon die Überprüfung sämtlicher Verarbeitungstätigkeiten auf die Einhaltung der Grundsätze der Datenverarbeitung – der Newsletter ist nur ein kleines Beispiel – ist aufwendig. Einen erheblichen Mehraufwand bedeuten vor allem die neuen Dokumentations- und Rechenschaftspflichten, die wir in der nächsten AZ beleuchten. |

Dr. Timo Kieser und Svenja Buck­stegge, Oppenländer Rechtsanwälte Stuttgart

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.