Interpharm 2018 – ApothekenRechtTag

25. Mai 2018 - Stichtag für das neue Datenschutzrecht

Wie die DSGVO in den Apotheken umgesetzt werden sollte

hb | In ein paar Wochen wird es ernst: Am 25. Mai tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft, die auch für Apotheken weitreichende Bedeutung hat. Was kommt auf uns zu? Was muss, was sollte, was kann unternommen werden, um den neuen rechtlichen Vorgaben gerecht zu werden? Rechtsanwalt Dr. Lukas Kalkbrenner, Kanzlei Friedrich Graf von Westphalen & Partner, Freiburg, erläuterte die wichtigsten Aspekte der neuen Rechtslage und gab praxisnahe Tipps zur Umsetzung des Datenschutzrechts in der Apotheke.

Für den Referenten sind die Apotheken die „Leidtragenden des strengen DS-GVO-Ansatzes“, der vor allem „Big Data“-Verwerter wie Google, Amazon, Facebook, Apple sowie Apps und Cloud-Services im Visier habe. Apotheken sind von den neuen datenschutzrechtlichen Vorgaben unmittelbar betroffen, weil sie sensible Gesundheitsdaten verarbeiten und an Dritte übermitteln. Zu diesen Gesundheitsdaten mit Personenbezug gehören zum Beispiel Angaben zum Medikamentenkonsum oder zum Erwerb von rezeptpflichtigen oder OTC-Arzneimitteln. Als praktische Anwendungsfälle nannte Kalkbrenner die Bearbeitung eines Rezepts (Patient – Apotheke – Rechenzentrum) oder den Umgang mit Kundenkarten, für die eine umfassende und ggf. zu aktualisierende Einwilligungserklärung Pflicht ist.

Foto: DAZ/Chris Hartlmaier
Datenschutz-Grundverordnung - Herausforderungen für Apotheken. Rechtsanwalt Dr. Lukas Kalkbrenner aus Freiburg erläutert, worauf es ankommt.

Vorsicht bei Vorbestellung über WhatsApp

Ausführlich beleuchtete der Referent die Belieferung von Arzneimitteln, die der Patient vorab per WhatsApp in der Apotheke vorbestellt hat – ein Service, der inzwischen von vielen Apotheken angeboten wird. Kalkbrenner hält die Einbindung von WhatsApp in die Arzneimittelvorbestellung für datenschutzrechtlich bedenklich, da dabei sensible Gesundheitsdaten an Facebook, d. h. ein Unternehmen mit Sitz im „unsicheren Drittland“ USA, übermittelt werden, ohne dass der Patient hierfür seine datenschutzrechtlich notwendige Einwilligung gegeben hat. Die volle Verantwortung dafür liege beim Apothekenleiter, der diesen Service für seine Kunden bereitstellt. „Nach neuem Recht ist von WhatsApp-(Vor-)Bestellungen noch mehr abzuraten als nach altem Recht“, resümierte der Datenschutz-Rechtsexperte.

Datenschutz ist Chefsache

Hinsichtlich der Verantwortlichkeiten für die Einhaltung der datenschutzrechtlichen Bestimmungen in der Apotheke stellte Kalkbrenner klar: „Datenschutz ist Chefsache.“ Der „Verantwortliche“ im Sinne der Verordnung ist der Apothekenleiter. Bei Filialverbünden geht Kalkbrenner davon aus, dass neben dem Betreiber des Filialverbunds nicht auch noch der Filial­leiter „Verantwortlicher“ für den Datenschutz in der jeweiligen Filialapotheke ist.

Datenschutzbeauftragter muss unabhängig agieren können

Eine wichtige Funktion nimmt neben dem Apothekenleiter datenschutzrechtlich auch der Datenschutzbeauftragte wahr. Die Notwendigkeit ist zwar laut Datenschutz-Grundverordnung an die zusätzliche Bedingung geknüpft, dass sich in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen - allerdings nimmt Kalkbrenner auch für Apotheken unterhalb der „10-Mitarbeiter-Grenze“ eine Per-se-Pflicht zur Bestellung eines Datenschutzbeauftragten an. Unumstritten ist dies jedoch nicht. Wer sich diesbezüglich nicht sicher ist, sollte hierzu eine schriftliche Einschätzung der zuständigen Datenschutzbehörde seines Bundeslandes einholen, rät Kalk­brenner.

Der Datenschutzbeauftragte fungiert intern wie extern als Anlaufstelle. Er soll Datenschutzbeschwerden prüfen und mit den Aufsichtsbehörden kooperieren. Er agiert unabhängig von fachlichen Weisungen der Apothekenleitung. Deswegen, so hob Kalkbrenner hervor, könne der Apothekeninhaber wegen möglicher Interessenskollisionen nicht selbst Datenschutzbeauftragter sein. Gleichwohl kommt für die Funktion jedoch ein Angehöriger des pharmazeutischen Personals der Apotheke infrage. Das geforderte Fachwissen des Datenschutzbeauftragten wird gesetzlich nicht spezifiziert. Das Niveau sollte sich nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten. Wer sich dafür entscheide, einen Externen für diese Funktion zu bestellen, sollte bei vermeintlich günstigen „Pauschalangeboten“ genau prüfen, ob die Aufgaben auch regelkonform wahrgenommen werden können, denn schließlich drohen dem Apothekenleiter bei Verstößen scharfe Sanktionen – auch wenn noch nicht abschließend geklärt ist, ob und in welchem Umfang es sich bei Verstößen gegen das Datenschutzrecht gleichzeitig auch um abmahn­fähige Wettbewerbsverstöße handelt.

Lesetipp

  • Serie in der Apotheker Zeitung: Neue Datenschutzregeln ante portas, bereits erschienen sind die Folgen 1 bis 3 in AZ 2018, Nr. 10 bis 12
  • Schaupp, A. Der Datenschutzbeauftragte in der Apotheke. DAZ 2018, Nr. 18, S. 56
  • Douglas, M./Kalkbrenner, L.: Die datenschutzrechtliche Bewertung der Einbindung von WhatsApp in die Arzneimittelvorbestellung. Arzneimittel&Recht 2018, S. 3


Verfahrensverzeichnisse und Informationspflichten

Unstreitig ist die Pflicht, in Apotheken sog. Verfahrensverzeichnisse zu führen. Sie dienen dem Nachweis, dass die Vorschriften der Datenschutz-Grundverordnung im Einzelnen eingehalten werden. Mit Nachdruck wies der Referent auch auf die Notwendigkeit hin, Einwilligungserklärungen von Apothekenkunden der ab 25. Mai 2018 geltenden neuen Rechtslage anzupassen. Wer freilich schon heute – z. B. im Zusammenhang mit der Ausgabe von Kundenkarten – datenschutzkonforme Einwilligungserklärungen vorliegen habe, müsse sich kaum Sorgen machen. Nach einem Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich vom 13./14. September 2016 gelten die seinerzeit erteilten Ein­willigungen nämlich fort, „sofern sie der Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen“.

Einiges im Fluss ist rechtlich noch bei der Frage der „Haltbarkeit“ ungenutzter Einwilligungserklärungen von Kunden (Landgericht München I: ca. 1,5 Jahre) und bei der Zulässigkeit von – nach jeweiligen Erhebungszwecken - getrennter Speicherung personenbezogener Gesundheitsdaten in der EDV. Unstreitig sind dagegen die unter dem neuen Recht geltenden Informationspflichten bei Datenerhebung, einschließlich möglicher Online-Hinweise oder Aushänge in der Apotheke („Die Grundsätze unserer Datenverarbeitung können Sie in unserer Apotheke einsehen oder unter [www.xy-apotheke.de/Datenschutz]“).

Zusammenarbeit mit externen Dienstleistern

Sofern ein Datenaustausch mit externen Dienstleistern, z. B. Rechenzen­tren, Blisterzentren etc., stattfindet, verbleibt die datenschutzrechtliche Verantwortlichkeit beim Apothekenleiter. Er ist verpflichtet, mit seinen Dienstleistern sog. Auftragsdatenverarbeitungsverträge abzuschließen, die auch von den Datenschutzbehörden überprüft werden dürfen. In den Verträgen sind insbesondere die Vertraulichkeit des Auftragsverarbeiters, das Weisungsrecht des verantwortlichen Apothekenleiters, die Art der übermittelten Daten sowie Zweck und Dauer der Übermittlung zu regeln.

„Sich nicht verrückt machen lassen“

Mit der neuen Datenschutz-Grundverordnung erhalten die Behörden darüber hinaus weitergehende Befugnisse in Form von Einsichtnahmen und Hinweisen auf Verstöße. Deren „Vorboten“ seien schon jetzt spürbar, berichtete Kalkbrenner. Wer die neuen Regeln nicht einhalte, müsse mit empfindlichen Sanktionen rechnen. So drohen je nach Verstoß Bußgelder von bis zu vier Prozent des in Haupt- und Filialapotheken erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Allerdings gilt auch: „Niemand weiß, wie heiß die Suppe gelöffelt wird, die da gerade gekocht wird“, meinte Dr. Christian Rotta, Geschäftsführer des Deutschen Apotheker Verlags und Moderator des ApothekenRechtTags. Und er ergänzte: „Hier ist noch extrem viel im Fluss, und es herrschen – auch bei den Datenschutzbehörden – noch viele Unklarheiten. Man sollte sich nicht verrückt machen lassen.“ |

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.