In der Apothekenpraxis sammeln sich täglich große Mengen an personenbezogenen Daten an, von Patienteninformationen bis hin zu verschreibungspflichtigen Details. Sobald allerdings der Verarbeitungszweck entfällt, sollten Daten gelöscht werden. Hier finden Sie alles, was Sie für ein Löschkonzept in der Apotheke wissen müssen.
Im Datenschutz gilt: Daten dürfen nach Art. 5 e DSGVO nur solange aufbewahrt werden, bis der Zweck ihrer Verarbeitung entfällt. Ein sorgfältig geplantes und effizient umgesetztes Löschkonzept stellt sicher, dass veraltete oder nicht mehr benötigte Daten auf sichere Weise entfernt werden, ohne die Verfügbarkeit von notwendigen Informationen zu beeinträchtigen.
Falls personenbezogene Daten aufgrund einer ungültigen Rechtsgrundlage gesammelt wurden, etwa durch das Einholen unzulässiger Informationen über ein Formular, ist deren Löschung erforderlich.
Darüber hinaus können Betroffene nach Artikel 17 DSGVO gegenüber der Apotheke das Recht auf Löschung ihrer personenbezogenen Daten geltend machen. Dieses Recht besteht zum Beispiel, wenn der Betroffene seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten widerrufen hat, er Widerspruch gegen die Verarbeitung eingelegt hat oder die Daten unrechtmäßig verarbeitet werden.
Ein Löschkonzept ist von der DSGVO nicht vorgeschrieben, wird aber von vielen Datenschutzbehörden erwartet
Es ist also sinnvoll, dass sich die Apotheke darüber Gedanken macht, wie sie personenbezogene Daten, deren Aufbewahrungspflichten abgelaufen sind, vernichtet. Und wie sie damit umgeht, wenn Betroffene ihr Recht auf Löschung einfordern.
Dies können Apotheken in Form eines Löschkonzeptes machen. Ein entsprechendes Dokument wird von der DSGVO zwar nicht gefordert, es kann aber sinnvoll sein, um sich über Prozesse klar zu werden und Routinen einzuführen. Zudem ist die Löschung der Daten ein Bestandteil des Verarbeitungsverzeichnisses, in dem die einzelnen Verarbeitungstätigkeiten aufgelistet werden.
Tatsächlich gehen Löschkonzept und Verarbeitungsverzeichnis Hand in Hand. Die Löschfristen sollen nach Artikel 30 Absatz 1 f) DS-GVO im Verarbeitungsverzeichnis dokumentiert werden, soweit es möglich ist.
Das Fehlen eines Löschkonzepts kann zu einer Reihe von Problemen führen, darunter Datenschutzverletzungen und die daraus resultierenden rechtlichen Konsequenzen. Darüber hinaus kann die Unfähigkeit, Daten ordnungsgemäß zu verwalten und zu löschen, das Vertrauen der Patienten in die Apotheke untergraben. Dies macht deutlich, dass ein angemessenes Löschkonzept eine unerlässliche Komponente in der Verwaltung einer modernen Apotheke darstellt.
Erstellung eines Löschkonzepts
Bestandsaufnahme der Daten:
- Erfassen Sie alle Arten von Daten, die in der Apotheke gespeichert werden, einschließlich Patientendaten, Verschreibungen, Transaktionsaufzeichnungen und Lieferantendaten.
- Identifizieren Sie, welche Daten sensibel sind und besonderen Schutz erfordern.
Festlegung von Löschfristen:
- Bestimmen Sie, wie lange verschiedene Datentypen aufbewahrt werden müssen, basierend auf gesetzlichen Anforderungen und betrieblichen Bedürfnissen. Ausschlaggebend sind in der Regel Aufbewahrungspflichten in der Apotheke. Sobald diese Aufbewahrungspflichten entfallen, ist in der Regel die Löschung erforderlich.
- Erstellen Sie einen Zeitplan für regelmäßige Überprüfungen, um sicherzustellen, dass keine Daten länger als nötig aufbewahrt werden.
Beispiele für Aufbewahrungsfristen
- BtM-Rezepte: 3 Jahre
- Rechnungen: 10 Jahre
- Bewerbungsunterlagen: zwischen 6 bis maximal 9 Monaten
Auswahl sicherer Löschverfahren:
- Wählen Sie geeignete Methoden für die Datenlöschung, die sowohl effizient als auch sicher sind, um Datenlecks oder ungewollte Datenwiederherstellung zu vermeiden. Für Datenträger ist das Unkenntlichmachen durch wiederholtes Überschreiben oder die physische Zerstörung des Datenträgers sicherzustellen. Es muss dabei sichergestellt sein, dass einmal entfernte Daten nicht rekonstruierbar sind. Für diesen Prozess ist entweder der IT-Beauftragte der Organisation oder ein spezialisierter externer Dienstleister verantwortlich.
- Bei Papierdokumenten wird die Unkenntlichmachung durch das Zerstören mittels eines geprüften Aktenvernichters der Sicherheitsstufe P4 oder höher erreicht. Alternativ ist die Entsorgung in speziellen Datenschutzbehältern („Datenschutztonne“) möglich. Der Inhalt der Tonne sollte von einem entsprechenden Dienstleister entsprechend der Sicherheitsstufe P4 und höher vernichtet werden. Die Tonne sollte nur von dazu berechtigten Personen geöffnet werden können.
Festlegung eines Verantwortlichen
- Das Löschkonzept sollte beinhalten, wer für die Vernichtung und Löschung der Daten im jeweiligen Fall verantwortlich ist. So kann es etwa einen Mitarbeiter oder eine Mitarbeiterin geben, die den Kontakt zu einem entsprechenden Dienstleister hält.
Integration in den Workflow:
- Stellen Sie sicher, dass das Löschkonzept nahtlos in den alltäglichen Arbeitsablauf der Apotheke integriert wird.
- Automatisieren Sie Löschprozesse, wo möglich, um die Effizienz zu steigern und menschliche Fehler zu minimieren.
- Planen Sie einmal im Jahr einen festen Termin ein, bei dem Sie die Löschfristen der von Ihnen verarbeiteten personenbezogenen Daten kontrollieren und gegebenfalls eine Löschung bzw. Vernichtung der Datenveranlassen.
Mitarbeiterschulung
Die Schulung des Apothekenpersonals im Datenschutz spielt eine zentrale Rolle bei der effektiven Umsetzung eines Löschkonzepts. Es ist entscheidend, dass alle Mitarbeiterinnen und Mitarbeiter nicht nur über die Existenz und Bedeutung des Löschkonzepts informiert sind, sondern auch verstehen, wie sie es in ihrem täglichen Arbeitsumfeld anwenden sollen.
- Führen Sie in regelmäßigen Abständen Schulungen durch, um sicherzustellen, dass alle Mitarbeiter auf dem neuesten Stand der Best Practices und rechtlichen Anforderungen sind.
- Stellen Sie sicher, dass neue Mitarbeiter von Beginn an in das Löschkonzept eingeführt werden. Dies sollte Teil des Einarbeitungsprozesses sein.
Durch die Investition in eine gründliche und fortlaufende Mitarbeiterschulung wird nicht nur die Einhaltung des Löschkonzepts sichergestellt, sondern auch das Bewusstsein und Verständnis für die Wichtigkeit des Datenschutzes im gesamten Apothekenteam gestärkt.
Beratung zum Datenschutz
Gerne beraten wir Sie hierzu und zu weiteren Themen im Datenschutz für Apotheken. Sprechen Sie uns als Datenschutzbeauftragter für Apotheken an. Sie erreichen uns unter 0511/37388134 oder per Mail über datenschutzbeauftragter@datenschutzundgesundheit.de. Wir freuen auf Ihre Anfrage.