Datenschutz in der Apotheke

Datenschutzbeauftragter Apotheke - Datenschutzberatung

Apotheken verarbeiten besonders sensible personenbezogene Daten. Wir geben Ihnen einen ersten Überblick darüber, was es beim Datenschutz in der Apotheke zu beachten gilt und wann ein Datenschutzbeauftragter für Apotheken notwendig ist. Wir sind Experten für den Gesundheitsdatenschutz in Ihrer Apotheke. Gerne unterstützen wir Sie mit unserer Expertise.

Welche Dokumente braucht eine Apotheke für den Datenschutz?

Brauchen Apotheken einen Datenschutzbeauftragten?

Für Apotheken gilt: Sobald in einer Apotheke mindestens 10 Personen Patientendaten verarbeiten, muss ein Datenschutzbeauftragter benannt werden. In Einzelfällen, sofern im umfangreichen Maße besondere Kategorien von Daten verarbeitet werden, zu denen auch Gesundheitsdaten gehören, können auch schon kleinere Apotheken zur Benennung eines Datenschutzbeauftragten verpflichtet sein.

Welche Daten werden in der Apotheke durch den Datenschutz geschützt?

Kern des Datenschutzes sind personenbezogene Daten. Das sind nach der DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, zum Beispiel Namen oder Adressen. Beim Datenschutz in der Apotheke geht es um solche Daten, aber natürlich auch und vor allem um Gesundheitsdaten wie Medikationen, Indikationen oder Behandlungsdauer. Diese Daten sind, wie schon im alten Recht, besonders geschützt und zählen nach Artikel 9 DSGVO zu den besonderen Kategorien personenbezogener Daten. Sobald personenbezogene Daten verarbeitet werden, müssen die Regeln des Datenschutzes eingehalten werden. Unter Verarbeitung versteht die DSGVO unter anderem das Erheben, Erfassen, Speichern, Abfragen oder die Übermittlung von personenbezogenen Daten.



Wann brauchen Apotheken die Einwilligung des Patienten?

Wenn es keine gesetzliche Ausnahme gibt, muss der Betroffene in die Verarbeitung seiner Daten einwilligen, sonst dürfen diese Daten nicht genutzt werden. Ein Beispiel für Datenschutz in der Apotheke ist die Kundenkarte: Daten zum Zwecke einer Kundenkartei in der Apotheke zu speichern, ist nicht von einer gesetzlichen Grundlage gedeckt. Hier ist die Einwilligung des Kunden erforderlich.

  • Die Einwilligung muss freiwillig und in informierter Weise abgegeben werden.
  • Da der Verantwortliche im Zweifel die Einwilligung nachweisen muss, erfolgt die Einwilligung in der Regel schriftlich.
  • Die Apotheke muss den Patienten darüber informieren, dass Daten von ihm erhoben und gespeichert werden.
  • Der Patient muss auch darüber informiert werden, was mit den Daten geschieht und zu welchem Zweck sie genutzt werden.
  • Der Zweck muss klar und deutlich formuliert werden. Und nur zu diesem Zweck gilt die Einwilligung.
  • Der Widerruf der Einwilligung ist nach Artikel 7 Absatz 3 DSGVO jederzeit möglich. Sobald der Kunde also nicht mehr möchte, dass seine Daten genutzt werden, muss diesem Willen nachgekommen werden. Mehr Informationen zur Einwilligung finden Sie hier.
Datenschutz in der Apotheke - Grafik Pille

Datenschutz in der Apotheke: Was muss in der Datenschutzerklärung stehen?

  • Betroffene, deren personenbezogene Daten erhoben oder verarbeitet werden, müssen Zugang zu einer Datenschutzerklärung nach Art. 12 ff DSGVO haben. Die Datenschutzerklärung muss in einer präzisen, transparenten und verständlichen Sprache verfasst sein und kann schriftlich oder auch gegebenenfalls elektronisch veröffentlicht sein. Denkbar ist zum Beispiel ein Aushang im Offizin oder eine Auslage am HV-Tisch. Möglich sind auch Handzettel mit den Inhalten der Datenschutzerklärung, die bei Bedarf ausgegeben werden können.
  • Nach §13 Telemediengesetz (TMG) muss darüber hinaus jede Webseite eine Datenschutzerklärung aufweisen, das gilt auch für Apothekenwebseiten. Die Inhalte der Datenschutzerklärung sind in Art. 13 DSGVO benannt. Zuerst muss aus der Datenschutzerklärung hervorgehen, wer für die Verarbeitung der Daten verantwortlich ist. Es sind also Name und Anschrift des verantwortlichen Apothekers zu nennen und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten.
  • In der Datenschutzerklärung muss darüber hinaus aufgelistet werden, welche Daten verarbeitet werden, wie die Verarbeitung erfolgt, welche Zwecke damit verbunden sind – und was die Rechtsgrundlage für die Verarbeitung ist.
  • Der Patient muss auch auf seine Rechte aus Art. 12ff DSGVO hingewiesen werden.

Welche Rechte hat der Patient gegenüber der Apotheke aus der DSGVO?

An erster Stelle steht das Recht, jederzeit eine Einwilligung widerrufen zu können, Art. 7 Abs. 3 DSGVO. Dieses Recht kann auch nicht durch Klauseln ausgeschlossen werden. Entscheidend ist, dass der Widerruf der Einwilligung nicht schwieriger sein darf, als die Erklärung der Einwilligung. Wenn die Einwilligung zum Beispiel per E-Mail erfolgt, muss auch den Widerruf per E-Mail möglich sein.

Nach Art. 15 DSGVO haben die Patienten einen Auskunftsanspruch darüber, welche personenbezogene Daten von ihnen verarbeitet werden, welche Zwecke dabei verfolgt werden, wie lange die Daten gespeichert werden. Für diese Auskunft darf keine Gebühr erhoben werden, auch wenn die Auskunft unter Umständen einen Mehraufwand für die Apotheke bedeutet. Die Antwort muss unverzüglich erfolgen, spätestens muss sie dem Patienten allerdings innerhalb eines Monats vorliegen. Die Apotheke sollte dementsprechend vorbereitet sein und sich technisch und organisatorisch anpassen. Es ist empfehlenswert, sich diesbezüglich zum Beispiel mit dem eigenen Softwareanbieter in Verbindung zu setzen. Gemäß Art. 16 DSGVO hat der Betroffene ein Recht auf eine unverzügliche Berichtigung seiner personenbezogenen Daten.

In Art. 17 DSGVO ist das Recht auf Löschung festgeschriebene. Betroffene können vom Verantwortlichen verlangen, dass ihre personenbezogene Daten unverzüglich gelöscht werden, sofern einer der Gründe zutrifft: Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig. Der Betroffene hat seine Einwilligung widerrufen. Der Betroffene legt Widerspruch gegen die Verarbeitung ein. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. Die Löschung ist zur Erfüllung von rechtlichen Verpflichtungen notwendig. Daten, die aufgrund einer gesetzlichen Grundlage erhoben wurden, sind vom Recht auf Löschung nicht betroffen. Auch gesetzliche Aufbewahrungspflichten stehen dem Recht auf Löschung entgegen. Rechnungen etwa sind zehn Jahre aufzubewahren, Unterlagen über Betäubungsmittel drei Jahre und im Rahmen des Transfusionsgesetzes sind sogar 30 Jahre zu beachten.

Datenschutz in der Apotheke - Grafik Pille

Brauchen Apotheken ein Verarbeitungsverzeichnis?

Im Verarbeitungsverzeichnis müssen Apotheken auflisten, welche personenbezogenen Daten sie genau verarbeiten, welche Personengruppen betroffen sind und was sie tun, um die Daten technisch und organisatorisch zu schützen. Vom Prinzip her muss jede Apotheke ein solches Verarbeitungsverzeichnis führen. Zwar wird in Art. 30 Abs. 5 DSGVO davon gesprochen, dass es bei Unternehmen mit weniger als 250 Mitarbeitern eine Ausnahme von der Pflicht zum Führen eines Verabeitungsverzeichnisses geben soll. Aber: Es gibt so viele Einschränkungen dieser Ausnahme, dass sie nahezu bedeutungslos ist. Das neue Verarbeitungsverzeichnis ähnelt seinem Inhalt nach sehr dem alten Verfahrensverzeichnis. Wer ein solches also schon führt, muss vor den neuen Regeln der DSGVO keine Angst haben. Wichtig ist, dass das alte Verzeichnis unter Umständen ergänzt oder vervollständigt wird.

Nach Art. 30 DSGVO müssen im Verarbeitungsverzeichnis folgende Angaben gemacht werden:

  • Der Name und die Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten sind zu nennen.
  • Die Kategorien der betroffenen Personen und personenbezogenen Daten müssen hier stehen, sowie die Zwecke der Verarbeitung.
  • Wichtig sind auch die Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt worden sind oder werden. Das können zum Beispiel Mitarbeiter in Filialapotheken sein, Rechenzentren aber auch Steuerberater.
  • Gegebenenfalls ist noch anzugeben, ob personenbezogenen Daten an ein Drittland oder an eine internationale Organisation übermittelt werden. Eine gute Vorlage gibt es vom Rehmverlag hier als Word-Dokument.

Müssen Apotheken Verträge über eine Auftragsdatenverarbeitung abschließen?

Die allerwenigsten Apotheken schaffen es, ihre Arbeit ohne die Hilfe von externen Dienstleistern zu erledigen. In bestimmten Fällen verarbeiten diese Dienstleister personenbezogene Daten: Patientendaten, Mitarbeiterdaten. Dann liegt eine Auftragsverarbeitung (AV) vor, die von der DSGVO besonders behandelt wird. Denn im Falle der Auftragsverarbeitung müssen die betroffenen Personen keine Einwilligung in die Nutzung ihrer Daten geben. Der Dienstleister wird so behandelt, als wäre er der verlängerte Arm des Auftraggebers. Damit auch ein bestimmtes Datenschutzniveau gewährleistet wird, verlangt die DSGVO nun den Abschluss eines Vertrags über eine Auftragsverarbeitung.

Wie kann ein externer Datenschutzbeauftragter Apotheken beim Datenschutz weiterhelfen?

Als externe Datenschutzbeauftragte helfen wir Ihnen dabei, Ihre Verarbeitungsvorgänge datenschutzkonform zu gestalten. Wir schulen Ihre Mitarbeiter in allen für sie relevanten datenschutzrechtlichen Fragen. Ich unterstütze Sie dabei ein funktionierendes Datenschutzmanagementsystem aufzubauen. Zudem überprüfen wir Ihre technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten. Rufen uns gerne an unter 0511 / 373 88 134.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert