Foto: Stockwerk-Fotodesign – stock.adobe.com

Recht

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 4: Neue Risikobewertung – Die Datenschutz-Folgenabschätzung

Keine Verarbeitung personen­bezogener Daten ist ohne Risiko für die Rechte und Freiheiten der betroffenen Person, wenn nicht Maßnahmen zur Datensicherheit getroffen werden. Der Europäische Gesetzgeber möchte erreichen, dass sich das datenverarbeitende Unternehmen mit diesen Risiken auseinandersetzt, sich verstärkt Gedanken über „seine“ Datenverarbeitung macht. Dazu hat er im Rahmen der ab 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) ein neues Instrument zur Beschreibung, Bewertung und Eindämmung der Risiken erdacht: die Datenschutz-Folgenabschätzung (DSFA). Von T. Kieser und S. Buckstegge

Leider sind die Regelungen dazu in Art. 35 DSGVO nur bedingt gelungen. Sie lassen viele Fragen offen, die erst in den nächsten Jahren durch Gerichte und Behörden beantwortet werden.

Was ist die DSFA?

Mit der DSFA soll ein Unternehmen die Risiken einer bestimmten Verarbeitungstätigkeit prüfen und abschätzen. Das Ziel ist, die Risiken zu bewerten und gegebenenfalls Maßnahmen zur Risiko­minimierung zu ergreifen. Außerdem ist die DSFA ein Instrument zum Nachweis der Einhaltung der datenschutzrechtlichen Anforderungen. Sie dokumentiert, dass die Daten bei der Verarbeitung aufgrund geeigneter Maßnahmen sicher sind.

Pflicht zur Durchführung einer DSFA

Eine DSFA ist immer dann durchzuführen, wenn eine Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person hat. Hier fangen die Probleme bei der Umsetzung in der Apotheke an. Die Apotheke muss entscheiden, wann voraussichtlich ein hohes Risiko besteht. Der Gesetzgeber hat erkannt, dass dies nicht einfach zu bewerten ist. Er hat den Aufsichtsbehörden ­daher die Aufgabe gestellt, Listen mit Verarbeitungsvorgängen zu schaffen, für die eine DSFA durchzuführen ist.

Wann die Aufsichtsbehörden solche Listen veröffentlichen werden, ist allerdings nicht absehbar. Die Apotheken sind also zunächst auf sich allein gestellt. Einige Kriterien im Gesetz liefern aber zumindest Anhaltspunkte für die Risikoabschätzung. Das Risiko kann sich aus der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung ergeben. Insbesondere bei der Verwendung neuer Technologien können hohe Risiken bestehen. Wenn Gesundheitsdaten in einer Cloud gespeichert werden, wird regelmäßig eine DSFA notwendig. Die Nutzung einer App oder eines Messengers für die ­Vorbestellung von Arzneimitteln dürfte ebenfalls eine DSFA erfordern. Auch die Videoüberwachung der Apotheke kann die Durchführung einer DSFA notwendig machen. Keine DSFA ist erforderlich, wenn die Datenverarbeitung auf einer gesetzlichen Grundlage beruht, die den konkreten Verarbeitungsvorgang regelt.

Regelbeispiele

Im Gesetz sind Fallgruppen vorgesehen, in denen regelmäßig eine DSFA durchzuführen ist. Für Apotheken besonders relevant ist die Pflicht zur Durchführung einer DSFA bei der umfangreichen Verarbeitung von Gesundheitsdaten. Es stellt sich – ähnlich wie bei der Beurteilung, ob ein Datenschutzbeauftragter notwendig ist (siehe AZ 2018, Nr. 12, S. 6) – die Frage, wann die Verarbeitung von Gesundheitsdaten umfangreich ist. Allerdings kommt es bei der DSFA nicht auf die Verarbeitungsvor­gänge der Apotheke in ihrer Gesamtheit, sondern auf die einzelne Verarbeitungstätigkeit an.

Nach den Erwägungsgründen zur DSGVO soll die Verarbeitung von Patientendaten durch einen Einzelarzt nicht umfangreich sein. Das könnte dafür sprechen, dass die Verarbeitung von Rezeptdaten oder Daten in Kundenkarteien durch die Einzelapotheke im normalen Geschäftsbetrieb ebenfalls keine DSFA erfordert. Es gibt aber schon Äußerungen, dass auch bei einem Arzt umfangreich Gesundheitsdaten verarbeitet werden. Wird dies gerichtlich bestätigt, ist die DSFA zwingend. Noch mehr Fragezeichen gibt es, wenn eine Apotheke Arzneimittel versendet, Filialen hat, verblistert oder Heime versorgt. Sind damit jeweils umfangreiche Verarbeitungen von Gesundheitsdaten verbunden? Rechtsstreitigkeiten sind vorprogrammiert.

Im Zweifel …

Bis Listen der Aufsichtsbehörden dazu vorliegen, welche Verarbeitungstätigkeiten eine DSFA erfordern (wobei auch diese Listen einer gerichtlichen Überprüfung unterzogen werden könnten), ist der Apotheker zwar auf der sicheren Seite, wenn er im Zweifel eine DSFA durchführt. Mit Blick auf den nicht unerheblichen Aufwand sollte aber auch nicht zu viel vorauseilender Gehorsam erbracht, sondern genau abgewogen werden, ob eine DSFA wirklich notwendig ist. Diese Abwägung ist mit Gründen zu protokollieren. Sinnvoll kann es auch sein, im zu erstellenden Verzeichnis von Verarbeitungstätigkeiten einen Vermerk aufzunehmen, ob eine DSFA durchgeführt wurde.

Durchführung der DSFA

Die DSFA ist eigentlich vor der Aufnahme der betreffenden Verarbeitungstätigkeit zum frühestmöglichen Zeitpunkt durchzuführen; für schon laufende Verarbeitungsvorgänge wäre dies der Geltungszeitpunkt der DSGVO. Mehrere ähn­liche Verarbeitungsvorgänge können in einer DSFA zusammengefasst werden. Bei der Durch­führung der DSFA bewertet die Apotheke, ob die Verarbeitungstätigkeit tatsächlich ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person birgt. Ein Beispiel für eine Datenschutz-Folgenabschätzung findet sich auf der Internetseite des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (www.baden-wuerttemberg.datenschutz.de/twitter-datenschutz­folgenabschaetzung/). Der Landesbeauftragte hat geprüft, ob seine Twitter-Nutzung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, und das Ergebnis veröffentlicht.

Eine bestimmte Methodik oder Form ist für die Durchführung der DSFA nicht vorgeschrieben. Das Gesetz sieht nur vor, welche Angaben die DSFA mindestens enthalten soll:

  • eine Beschreibung der geplanten Verarbeitungsvorgänge mit ihren Zwecken,
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen,
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.

Mit Risiken für die Rechte und Freiheiten der betroffenen Person sind vor allem, aber nicht abschließend, die Risiken hinsichtlich des Rechts auf Datenschutz gemeint. Bei der Risikobewertung ist ins­besondere zu prüfen, mit welcher Wahrscheinlichkeit ein Schaden für die betroffenen Personen eintreten könnte und welche Schwere ein solcher Schaden für deren Rechte und Freiheiten hätte.

Der Datenschutzbeauftragte der Apotheke ist frühzeitig zur DSFA hinzuzuziehen und sein Rat einzuholen. Nach den Vorstellungen des Verordnungsgebers sollen im Zweifel auch die Standpunkte der von der Datenverarbeitung betroffenen Personen erfragt werden. Bei der Beurteilung einer Kundendatenbank für einen Medikations- und Wechselwirkungscheck scheint aber eine Kunden­befragung wenig zielführend und praxisfern.

Die Darstellung der Abhilfemaßnahmen kann als Nebeneffekt zum Überdenken oder Verbessern der Abläufe führen, etwa zu einem veränderten Rechtemanagement oder höheren Anforderungen an Passwörter etc.

Ergebnis der DSFA

Kommt die DSFA zu dem Ergebnis, dass die Verarbeitungstätigkeit kein hohes Risiko für die Rechte und Freiheiten der betroffenen Person birgt bzw. die Risiken durch die getroffenen Abhilfemaßnahmen reduziert wurden, kann die Verarbeitungstätigkeit aufgenommen werden. Abhilfemaßnahmen sind organisatorische und technische Maßnahmen zum Schutz der Datensicherheit, wie z. B. Verschlüsselungen, Zugangskontrollen oder Datensicherungen.

Ergibt die DSFA, dass trotz der getroffenen Maßnahmen weiterhin ein hohes Risiko besteht, müsste die Apotheke vor der Aufnahme der Verarbeitungstätigkeit die zuständige Aufsichtsbehörde konsultieren. Zuständig ist der Landesbeauftragte für den Datenschutz in dem Bundesland, in dem die (Haupt-)Apotheke ihren Sitz hat. Die Aufsichtsbehörde kann Empfehlungen geben, unter welchen Vorkehrungen die Daten verarbeitet werden dürfen. Sie kann aber auch Warnungen, Anweisungen oder Untersagungen aussprechen. Für die Apotheke dürfte dieses Szenario eher theoretischer Natur sein, da kaum eine Verarbeitungstätigkeit denkbar ist, bei der nicht durch getroffene und verstärkte Maßnahmen Risiken für die betroffenen Personen minimiert werden.

Überprüfung

Die Apotheke muss regelmäßig prüfen, ob die Datenverarbeitungsvorgänge noch mit der DSFA und ihren Ergebnissen übereinstimmen. Bei Veränderung von Prozessen oder den eingesetzten Technologien ist eine erneute ­Risikobewertung erforderlich. Auch Erweiterungen von Verarbeitungszwecken oder organisatorische Veränderungen können eine erneute Prüfung notwendig machen. Haben sich die Risiken verändert, ist die DSFA fortzuschreiben oder gegebenenfalls ­erneut durchzuführen.

Fazit und Vorschau

Zu bewerten, wann eine DSFA durchzuführen ist, wird Apotheken vor Herausforderungen stellen. Die DSFA ist ein wichtiges ­Instrument zur Einhaltung der ­Datenschutzvorschriften, führt sie doch dazu, dass sich die Apotheke vertieft über den Umgang z. B. mit Kundendaten Gedanken machen muss. Die DSFA bietet aber auch große Chancen: Sie kann Kunden zeigen, dass Apotheker ihre Datenverantwortung ernst nehmen und die sensiblen Kundendaten in guten Händen sind. Die DSFA oder Teile von ihr können für die Kunden veröffentlicht werden: eine ­besondere vertrauensbildende Maßnahme.

In der nächsten AZ beleuchten wir, welche Informationspflichten gegenüber den Kunden bestehen und welche Rechte sie in Bezug auf den Datenschutz haben; da eine vermeintliche Verletzung von Informationspflichten oft Einfallstor von Massenabmahnern ist, ein besonders spannendes und praxisrelevantes Thema. |

Dr. Timo Kieser und Svenja Buck­stegge, Oppenländer Rechtsanwälte Stuttgart


0 Kommentare

Das Kommentieren ist aktuell nicht möglich.