- DAZ.online
- DAZ / AZ
- DAZ 22/2018
- DSGVO: Apotheker fragen, ...
DAZ aktuell
DSGVO: Apotheker fragen, Rechtsexperten antworten
Datenschutzbeauftragter, Arztrücksprache, Heimversorgung und mehr – worauf Apotheken achten sollten
Datenschutzbeauftragter
Frage: Ich bin in der Filialapotheke meiner Tochter als Filialleiter bestellt. Darf ich den Posten als Datenschutzbeauftragter bekleiden?
Kieser/Buckstegge: Nein, eine Bestellung als Datenschutzbeauftragter scheidet aus. Ein Datenschutzbeauftragter muss weisungsfrei handeln können. Interessenskonflikte dürfen sich nicht ergeben, Art. 38 Abs. 3, Art. 38 Abs. 6 Satz 2 DSGVO. Filialleiter haben Leitungsfunktion. Der Filialleiter ist dafür verantwortlich, dass jedenfalls die Filialapotheke unter Beachtung der geltenden Vorschriften betrieben wird, § 2 Abs. 1 Ziffer 5, Abs. 2 ApBetrO. In den Aufgabenbereich eines Filialleiters fällt damit auch der Umgang mit Daten. Wird der Filialleiter nun Datenschutzbeauftragter, besteht ein Interessenskonflikt, da er sich jedenfalls teilweise selbst kontrollieren müsste. Ebenso wenig wie ein Geschäftsführer Datenschutzbeauftragter sein kann, ist dies bei einem Filialleiter der Fall. Auch eine zu große familiäre Nähe ist ein Indiz für Interessenskonflikte. Schon bei leitenden Angestellten wird vertreten, dass eine Stellung als Datenschutzbeauftragter nicht in Betracht kommt. Im Verhältnis Eltern/Kinder oder Ehemann/Ehefrau ist eine noch größere Nähe gegeben. Es besteht die Gefahr von Interessenskonflikten, da der Datenschutzbeauftragte unter Umständen Kontakt zur Aufsichtsbehörde suchen muss. Droht dann einem Familienangehörigen Ungemach, wird er einen solchen Schritt kaum gehen. Einen detaillierten Katalog mit Interessenskonflikten gibt es nicht. Hier ist letztendlich eine Gesamtabwägung aller Umstände gefragt.
Frage: In meiner Landapotheke arbeiten ein Apotheker, drei PTA, eine PKA, zwei Boten und eine Putzfrau. Brauche ich einen externen Datenschutzbeauftragten oder kann die Aufgabe mein Apotheker weiterführen, der sie wegen QMS schon seit zehn Jahren ausübt?
Kieser/Buckstegge: Der angestellte Apotheker kann die Tätigkeit weiter ausführen, wenn er entsprechende Schulungen besucht hat und eine ausreichende Qualifikation hat. Die spannendere Frage ist aber, ob in dieser Situation überhaupt ein Datenschutzbeauftragter notwendig ist. Nach § 38 Abs. 1 BDSG neu ist ein Datenschutzbeauftragter notwendig, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dies ist in der oben geschilderten Situation nicht der Fall. Nach Art. 37 Abs. 1 c DSGVO ist aber unabhängig von der 10-Personen-Schwelle ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung von Gesundheitsdaten besteht. In einer Apotheke werden sensible gesundheitsbezogene Daten verarbeitet (Rezepte, Kundenkarte, Medikationsplan, Abrechnung etc.). Allerdings soll nach einem Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26. April 2018 mit Blick auf Erwägungsgründe in der Datenschutz-Grundverordnung bei der Verarbeitung von Daten in einer Apotheke oder in einer Arztpraxis nicht per se von einer umfangreichen Datenverarbeitung mit der Folge der Bestellungspflicht eines Datenschutzbeauftragten ausgegangen werden. In dem geschilderten Fall, in dem ein Apotheker drei PTA, eine PTA, zwei Boten und eine Putzfrau angestellt sind, kann mit sehr guten Gründen vertreten werden, dass ein Datenschutzbeauftragter überhaupt nicht notwendig ist.
Frage: Welcher Behörde muss ich den Datenschutzbeauftragten melden und wo muss sein Name überall erscheinen?
Bei dem Datenschutzbeauftragten ist zunächst zwischen dem Namen und den Kontaktdaten zu unterscheiden. Nur die Kontaktdaten sind nach Art. 37 DSGVO zu veröffentlichen und der Aufsichtsbehörde mitzuteilen. Die Aufsichtsbehörde richtet sich nach dem jeweiligen Sitz der (Haupt-)Apotheke. Sie ist in den verschiedenen Bundesländern unterschiedlich. Einen Katalog, wo die Kontaktdaten (nicht der Name) des Datenschutzbeauftragten überall erscheinen müssen, gibt es nicht. Ein Aushang am Eingang der Apotheke alleine genügt aber nicht. Die ganz herrschende Meinung fordert, dass die Angaben auf der Internetseite im Impressum oder in einer Datenschutzerklärung angegeben werden müssen. Zudem sind die Kontaktdaten in Informationen über die Verarbeitung und Nutzung personenbezogener Daten, die den betroffenen Personen erteilt werden müssen (Art. 13, Art. 14 DSGVO), anzugeben. Mindestens aufzunehmen sind die Kontaktdaten also in einem Aushang, im Internet (deutlich sichtbar), in Kundenkartenanträge und sonstigen Patienteninformationen.
Rücksprache mit dem Arzt
Frage: Was gilt, wenn es Fragen wegen Unklarheiten einer ärztlichen Verordnung gibt? Braucht man eine (schriftliche) Einverständniserklärung des Patienten, um mit dem Arzt Rücksprache zu halten? Was ist, wenn der Patient nicht mehr in der Apotheke anwesend ist? Dürfen Arztpraxen oder Kliniken überhaupt noch telefonisch Anfragen der Apotheke beantworten?
Kieser/Buckstegge: Auf der sicheren Seite ist die Apotheke, wenn sie das Einverständnis des Patienten hat, bei Unklarheiten mit dem verschreibenden Arzt Kontakt aufnehmen zu können. Ein schriftliches Einverständnis ist nicht notwendig. Wenn das Einverständnis schriftlich erteilt wird, erübrigen sich aber Beweisschwierigkeiten der Apotheke. In einem Kundenkartenantrag sollten regelmäßig Formulierungen aufgenommen werden, dass der Apotheker berechtigt ist, mit dem verschreibenden Arzt Kontakt aufzunehmen, wenn es Probleme (Wechselwirkungen, Nebenwirkungen und Unklarheiten etc.) gibt. Das Ganze ist aber kein primär datenschutzrechtliches Thema. Die rechtlichen Schwierigkeiten ergeben sich aus der Verschwiegenheitspflicht nach § 203 StGB und den Verschwiegenheitspflichten in den Berufsordnungen. Datenschutzrechtlich könnte die Rücksprache mit dem Arzt gegebenenfalls über § 17 Abs. 5 Satz 2 ApBetrO gerechtfertigt werden. Danach sind Apotheker gehalten, bei Bedenken bei einer Verschreibung diese zu beseitigen, bevor das Arzneimittel abgegeben wird. Hierzu kann datenschutzrechtlich auch die Kontaktaufnahme mit dem Arzt gehören (Art. 6 Abs. 1 Satz 1 lit. f DSGVO). Bei formaler Betrachtungsweise bedarf es aber wegen § 203 StGB für die Abstimmung mit dem Arzt der Zustimmung des Patienten.
Frage: Darf ich bei einem Telefonat personenbezogene Daten aufnehmen, um eine Bestellung auszulösen? Darf dann ein Angehöriger das Rezept zu dieser Bestellung in der Apotheke einlösen, ohne dass eine schriftliche Einwilligung des Patienten vorliegt?
Kieser/Buckstegge: Ja, personenbezogene Daten können natürlich auch am Telefon aufgenommen werden. Eine schriftliche Einwilligung des Patienten, dass ein Angehöriger oder Dritte die Bestellung abholen, ist nicht notwendig. Generell fordert die DSGVO keine Schriftlichkeit von Einwilligungen. Bei Beweisschwierigkeiten hilft es, wenn eine Einwilligung schriftlich oder jedenfalls in Textform vorliegt. Wenn der Patient allerdings sein Rezept einem Angehörigen mitgibt, damit er es in der Apotheke einlöst, ist dies eine entsprechende konkludente Einwilligung und Ermächtigung. Die vorbestellten Arzneimittel können abgegeben werden.
Rezept-Faxe und Heimbelieferung
Frage: Wir beliefern ein Altenpflegeheim und bekommen von Arztpraxen Rezepte vorab als Fax zugesendet. Ebenso fordern wir Arztpraxen auf, uns Rezepte vorab zu faxen. Ist dies weiterhin möglich?
Kalkbrenner/Douglas: Wir sehen hierin aus datenschutzrechtlicher Sicht keine besondere Schwierigkeit. Der Sachverhalt unterscheidet sich nicht von der gewöhnlichen Belieferung. Ob nun die Verschreibungen vom Heim abgeholt und an die Apotheke weitergeleitet werden, im Auftrag des Heims direkt in der Arztpraxis abgeholt werden oder ob zusätzlich vorab eine Übermittlung per Fax erfolgt, ist datenschutzrechtlich irrelevant. Denn in jedem dieser Fälle geht es darum, den individuellen Belieferungsvertrag zu erfüllen.
Frage: Ist bei der Heimversorgung eine neue Datenschutzerklärung notwendig? Was ist zu tun, um die reibungslose Versorgung von Heimen auch weiterhin gewährleisten zu können?
Kalkbrenner/Douglas: Insoweit muss man sich den Ablauf vergegenwärtigen: Wenn der Heimbewohner von der Möglichkeit Gebrauch machen möchte, dass die Arzneimittel über die Heimversorgung in der Apotheke bezogen werden, ist Rechtsgrundlage für die in diesem Zusammenhang stattfindende Datenverarbeitung Art. 6 Abs. 1 b) DS-GVO. Danach ist die Verarbeitung von Daten rechtmäßig, die für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen. Soweit es dabei auch um Gesundheitsdaten geht, ist die Verarbeitung aufgrund von Art. 9 Abs. 2 h) DSGVO zulässig. Grundsätzlich gilt, dass in Fällen, in denen ein gesetzlicher Erlaubnistatbestand die Datenverarbeitung legitimiert, es keiner gesonderten Einwilligung mehr bedarf.
Sowohl das Heim als auch die Apotheke müssen ihre internen Abläufe an die DSGVO anpassen und die entsprechende Dokumentation bereithalten. Dann ist nichts weiter zu veranlassen, da die Datenverarbeitung auf Basis der oben genannten Vorschriften zulässig ist.
Wichtig ist dabei ein Aspekt: Es bedarf keiner individuellen Einwilligungserklärung des Patienten in die Weiterleitung der Daten durch das Heim an die Apotheke. Die Einwilligungserklärung im Sinne von Art. 6 Abs. 1 a) DSGVO hat im Anwendungsbereich der Datenschutz-Grundverordnung einen ganz anderen Zweck und wäre aus unserer Sicht sogar unzutreffend.
Frage: Darf man den Betreuern von Heimbewohnern oder Boten, die sie beliefern, Informationen über die Personen geben? Zum Beispiel: „Herr Müller muss dieses Blutdruckmittel 3 × täglich nehmen.“
Kalkbrenner/Douglas: Da es sich bei dem Boten um einen Angestellten der Apotheke handelt und dieser arbeitsvertraglich dem Datengeheimnis unterworfen ist, darf der Apothekeninhaber in Erfüllung seiner vertraglichen Verpflichtung diesem auch Informationen über die belieferte Personen geben. Das Gleiche gilt für den gesetzlichen Betreuer des Heimbewohners, da dieser ja für das gesundheitliche Wohl des Heimbewohners verantwortlich ist.
Frage: Braucht man eine datenschutzrechtliche Einwilligungserklärung des Patienten für Rechnungskunden? Müssen diese Rechnungen als Datenverarbeitung dokumentiert werden? Was gilt für Kinder, denen ich eine Rechnung schreibe?
Kalkbrenner/Douglas: Nein, für die Erfüllung des Vertrages einschließlich der Rechnungsstellung bedarf es keiner datenschutzrechtlichen Einwilligungserklärung. Dies ist Teil der Durchführung des Vertrages und insoweit ist die Verarbeitung durch Art. 6 Abs. 1 b) DSGVO gedeckt.
Bei Kindern ist die Rechnung stets dem Erziehungsberechtigten zuzustellen, da sie als Minderjährige ja nur mit Einwilligung der Erziehungsberechtigten Vertragspartei werden können.
Löschfristen und Auftragsverarbeitung
Frage: Wenn ein Kunde dies wünscht, sollen Daten sofort gelöscht werden. Dem könnten aber gesetzliche Aufbewahrungsfristen entgegenstehen. Wie ist hier zu verfahren?
Kalkbrenner/Douglas: Sofern es gesetzliche Aufbewahrungspflichten und Aufbewahrungsfristen gibt, gehen diese dem Löschungsgesuch des Patienten vor. Problematisch ist allerdings der Fall, in dem die Daten, bei denen Aufbewahrungsfristen gelten, nicht so erhoben werden, dass andere Daten, bei denen diese nicht bestehen, jederzeit gelöscht werden können. So ist es zum Beispiel nicht erforderlich, Angaben zur Medikation eines Kundenkarteninhabers zusammen mit handelsrechtlich relevanten Unterlagen zehn Jahre lang aufzubewahren. Es muss gewährleistet sein, dass die handelsrechtliche Aufbewahrungspflicht auch gewahrt werden kann, wenn der Patient seine Einwilligungserklärung zur Speicherung seiner Medikation widerruft. Hier sollte bereits bei der Datenerhebung sichergestellt werden, dass die unterschiedlichen Kategorien von Daten separat und entsprechend dem jeweiligen Zweck erhoben werden.
Frage: Braucht man einen Vertrag zur Datenauftragsverarbeitung für die Genehmigungen bei Krankenkassen, die Bestellung von Kompressionsstrümpfen oder die Nutzung von Portalen zur Erstellung von individuellen Rezepturen?
Kalkbrenner/Douglas: Nein, für die Erfüllung des Vertrages einschließlich der Einholung von Genehmigungen bei Krankenkassen oder der Bestellung von patientenindividuell anzufertigenden Produkten bedarf es keiner datenschutzrechtlichen Einwilligungserklärung. Dies ist Teil der Durchführung des Vertrages und insoweit ist die Verarbeitung durch Art. 6 Abs. 1 b) DSGVO gedeckt. Diese Anbieter erbringen selbstständige Leistungen in eigener datenschutzrechtlicher Verantwortung. Es ist lediglich sicherzustellen, dass sie entsprechend datenschutzkonform agieren.
Von größerer Bedeutung ist in diesem Zusammenhang, dass der Apothekeninhaber gesundheitsbezogene Informationen, die Teil des Berufsgeheimnisses nach § 203 StGB darstellen, an Dritte weiterleitet, so dass hier die besonderen Vorgaben des § 203 Abs. 3 und 4 StGB zu berücksichtigen sind.
Frage: Was ist im Zusammenhang mit der Zahlung mit EC/Kreditkarten zu beachten? Müssen Anbieter von EC-Karten-Geräten eine Datenschutzerklärung abgeben oder Auftragsdatenverarbeitungsverträge zur Verfügung stellen? Muss die Apotheke hierzu etwas in ihrer eigenen Datenschutzerklärung erläutern?
Kalkbrenner/Douglas: Nein, für die Erfüllung des Vertrages einschließlich des Einsatzes von Zahlungsdienstleistern bedarf es keiner datenschutzrechtlichen Einwilligungserklärung. Dies ist Teil der Durchführung des Vertrages und insoweit ist die Verarbeitung durch Art. 6 Abs. 1 b) DSGVO gedeckt.
Aushang der Datenschutzerklärung und Kundenkarten
Frage: Die Datenschutzerklärung, die im Verkaufsraum aufzuhängen ist, umfasst fünf bis sieben Seiten. Müssen sämtliche Seiten für Kunden in der Offizin gut sichtbar ausgehängt werden? Oder reicht ein Hinweis wie: „Bei Fragen zum Datenschutz sprechen Sie uns gerne an”?
Mecking: In einem Ladengeschäft, das Waren und Dienstleistungen unter Erhebung und Verarbeitung personenbezogener Daten anbietet wie eine Apotheke, werden die entsprechenden Hinweise üblicherweise in abgedruckter Form an geeigneter Stelle in den Geschäftsräumen, etwa deutlich sichtbar im Verkaufsraum oder aber unmittelbar im Kassenbereich, ausgehängt. Sofern eine betroffene Person es wünscht, sollten Abdrucke zum Mitnehmen zur Verfügung gestellt werden. Der Kunde muss sie in zumutbarer Weise zur Kenntnis nehmen können. Dazu gehört, dass die Informationen im Aushang ohne Weiteres (zum Beispiel nicht nur mit einer Lupe) wahrnehmbar und lesbar sein müssen.
Der Hinweis: „Bei Fragen zum Datenschutz sprechen Sie uns gerne an“ erscheint nicht sehr geeignet, da er eine kleine Hürde für Interessierte aufbaut. Denn man muss selbst aktiv werden, was einem Kunden peinlich sein könnte. Mancherorts wird es als ein Weg angesehen, die Datenschutzerklärung auszugsweise auszuhängen und darauf hinzuweisen, dass die Langfassung am HV-Tisch ausliegt oder an einem anderen geeigneten Ort.
Frage: Kundenkarten-Anträge sollen nun DSGVO-konform aktualisiert werden. Gibt es sowas wie einen Bestandsschutz für „Altkunden“? Oder müssen alle „Altkundenkarten“-Besitzer neu unterschreiben? Wie lange ist eine solche Einwilligungserklärung gültig?
Mecking: Alte Kundenkarten haben grundsätzlich einen gewissen „Bestandsschutz“. Einwilligungen, die vor dem 25. Mai 2018 eingeholt wurden und deren Handhabung schon den Vorgaben der DSGVO beziehungsweise dem deutschen Recht entsprechen, behalten ihre Wirksamkeit. Die Einwilligungserklärung ist solange gültig, wie der Kunde diese nicht widerruft.
Für eine problemlose Umstellung auf das neue Datenschutzrecht sollten die bereits eingeholten Einwilligungen überprüft und gegebenenfalls aktualisiert werden. Apotheken müssen also prüfen, ob alle relevanten Vorgänge mit den alten Einwilligungserklärungen abgedeckt werden. Für eine darüber hinausgehende Verarbeitung dürfen die Karten nicht verwendet werden. Kunden müssen wissen, welche Daten verarbeitet werden und wohin diese weitergeleitet werden. Es wird empfohlen, Kundenkarten, die seit 1,5 Jahren ungenutzt sind, zu löschen.
Einwilligungen, die bis zum 25. Mai 2018 eingeholt wurden und nicht den Anforderungen der DSGVO entsprechen, sind für die Verarbeitung nach dem 25. Mai unwirksam. Es müssen neue, aktualisierte Einwilligungen eingeholt werden, auch wenn dies im Apothekenalltag mühselig ist. Diese Handhabe findet man derzeit allerorten – bei den Kunden dürfte insofern eine gewisse Gewöhnung an und Verständnis für eine solche Vorgehensweise anzutreffen sein.
Frage: Brauche ich ein schriftliches Einverständnis vom Kunden, wenn er beliefert werden möchte und keine Kundenkarte besitzt? Schließlich wird die Adresse im Fahrtenbuch gespeichert. Wenn ja: Muss eine solche Einwilligung bei jedem Botendienst neu erfolgen?
Mecking: Wenn bei einem Kunden – hier im Rahmen des Botendienstes – personenbezogene Daten erhoben werden, sollte sich jeder Verantwortliche in seinem Apothekenbetrieb vergewissern, auf welcher Grundlage die Erhebung erfolgt. Als Erlaubnis kommen neben Rechtsnormen und Vertragsabwicklung (um eine solche könnte es sich auch bei der Auslieferung von Produkten handeln, mit der Folge, dass man nicht weiter über die Einwilligungserfordernis sprechen müsste) besonders die Einwilligung des Betroffenen gemäß Artikel 7 DSGVO in Betracht.
Eine Einwilligung kann auch in mündlicher Form abgegeben werden, jedoch ist der Verantwortliche in der Nachweispflicht, dass er auf Grundlage einer Einwilligung die personenbezogenen Daten erhebt und verarbeitet. Jemand, der eine Auslieferung wünscht, gibt zielgerichtet und freiwillig seine Adressdaten preis. Mit jedem neuen Lieferersuchen wird erneut eingewilligt. Laut Erwägungsgrund 32 – Einwilligung – kann die Einwilligung jedenfalls „durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“. Dies dürfte hier einschlägig sein. |
Mehr auf DAZ.online
Weitere Fragen und Experten-Antworten rund um die DSGVO finden Sie auf DAZ.online. Geben Sie hierfür den Webcode U7FJ4 in die Suchmaske ein.
0 Kommentare
Das Kommentieren ist aktuell nicht möglich.