Interner Datenschutzbeauftragter in der Apotheke
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
RECHT DER INFORMATIONSTECHNOLOGIEN Interner Datenschutzbeauftragter in der Apotheke von Dominic Baumüller Rechtsanwalt FA für Arbeitsrecht LIEB.Rechtsanwälte, Erlangen Stand: 02/2015
Interner Datenschutzbeauftragter in der Apotheke © 2015 | Seite 2
Interner Datenschutzbeauftragter in der Apotheke Inhaltsverzeichnis Datenschutzrecht in der Apotheke ......................................................................................................... 5 I. Was ist Datenschutz ......................................................................................................................... 5 1. Datenschutz betrifft .................................................................................................................... 6 1.1. Personenbezogene Daten .................................................................................................... 6 1.1.1. Einzelangaben................................................................................................................ 6 1.1.2. Persönliche oder sachliche Verhältnisse ....................................................................... 7 1.1.3. Bestimmte/bestimmbare Personen .............................................................................. 7 1.1.4. Natürliche Person .......................................................................................................... 7 1.1.5. Verbot mit Erlaubnisvorbehalt ...................................................................................... 8 1.2. Anonymisieren und Pseudonymisieren................................................................................ 8 1.3. Schweigepflicht und Datengeheimnis .................................................................................. 9 II. Warum ist Datenschutz in der Apotheke relevant ........................................................................ 13 1. Die Offizin .................................................................................................................................. 13 1.1. Räumlichkeiten ................................................................................................................... 13 1.2. Handverkaufstische ............................................................................................................ 14 1.3. Diskretionszone und Beratungsecke der Offizin ................................................................ 14 1.4. Videoüberwachung ............................................................................................................ 15 1.5. Die Rezepte......................................................................................................................... 16 1.6. Statistiken ........................................................................................................................... 16 1.7. Dokumentation................................................................................................................... 17 1.8. Auskünfte an nahe Angehörige, oder dergleichen............................................................. 18 1.9. Die Kundenkarte ................................................................................................................. 18 1.10. Lieferung per Bote ............................................................................................................ 21 2. Das Büro .................................................................................................................................... 22 2.1. IT-Sicherheit........................................................................................................................ 22 2.2. Die Internetpräsentation .................................................................................................... 23 3. Die Personalabteilung................................................................................................................ 23 4. Apotheken und Dritte (Auftragsdatenverarbeitung in der Apotheke)...................................... 24 5. Der Datenschutzbeauftragte ..................................................................................................... 24 5.1. Der interne Datenschutzbeauftragte ................................................................................. 24 5.2. Die Person des Beschäftigten ............................................................................................. 25 © 2015 | Seite 3
Interner Datenschutzbeauftragter in der Apotheke 5.3. Die erforderliche Fachkunde und Zuverlässigkeit .............................................................. 26 5.4. Die Bestellung des Datenschutzbeauftragten .................................................................... 26 6. Das Verfahrensverzeichnis ........................................................................................................ 27 6.1. Internes Verfahrensverzeichnis .......................................................................................... 29 6.2. Öffentliches Verfahrensverzeichnis.................................................................................... 30 7. Rechte des Betroffenen ......................................................................................................... 31 III. Regeln/Gebote des Datenschutzes/Sieben goldene Regeln des Datenschutzes ......................... 32 1. Rechtmäßigkeit .......................................................................................................................... 32 2. Einwilligung................................................................................................................................ 32 3. Zweckbindung............................................................................................................................ 33 4. Erforderlichkeit .......................................................................................................................... 34 5. Transparenz ............................................................................................................................... 35 6. Datensicherheit ......................................................................................................................... 35 6.1. Technische und organisatorische Maßnahmen ................................................................. 35 6.2. Pflichten bei unerlaubter Datenweitergabe....................................................................... 38 6.3. Datenschutz bei der Datenträgervernichtung.................................................................... 38 7. Kontrolle / Rechte des Betroffenen .......................................................................................... 40 7.1. Benachrichtigung und Auskunft ......................................................................................... 40 7.2. Berichtigung, Löschung und Sperrung ................................................................................ 40 8. Was passiert bei einer Datenpanne .......................................................................................... 41 8.1. Unrechtmäßige Übermittlung oder Kenntniserlangung in sonstiger Weise ...................... 42 8.2. Wann muss ich informieren ............................................................................................... 42 8.3. Drohen schwerwiegende Beeinträchtigungen ................................................................... 42 8.4. Art und Weise der Information .......................................................................................... 43 8.5. Haftung und Schadensersatz .............................................................................................. 44 9. Handlungsempfehlungen .......................................................................................................... 44 10. Checkliste des Data-Breach-Notification-Verantwortlichen ................................................... 45 11. Muster: Mitarbeiterrichtlinie zum Umgang mit Daten ........................................................... 47 12. Muster: Öffentliches Verfahrensverzeichnis für Jedermann .................................................. 49 13. Muster: Verpflichtungserklärung bezügl. des Bundesdatenschutzgesetzes ........................... 53 14. Muster: Benachrichtigung der Betroffenen ............................................................................ 55 15. Muster: Benachrichtigung der Aufsichtsbehörde ................................................................... 57 16. Muster: Bestellung eines Datenschutzbeauftragten............................................................... 59 © 2015 | Seite 4
Interner Datenschutzbeauftragter in der Apotheke Datenschutzrecht in der Apotheke Bei dem Thema Datenschutz handelt es sich um ein sehr umfassendes und weitgefä- chertes Thema. Das vorliegende Skript soll einen ersten Überblick verschaffen, wel- che Vorgaben in Apotheken hinsichtlich des Themas Datenschutz einzuhalten sind, in welchen Bereichen es zu Berührungspunkten mit dem Datenschutz kommt und wie man die Mitarbeiter in den Apotheken für das Thema Datenschutz sensibilisieren kann. I. Was ist Datenschutz: Um sich über die Vorschriften mit datenschutzrechtlicher Relevanz zu informieren, müssen sich Apothekenleiter und -mitarbeiter mit verschiedenen gesetzlichen Rege- lungen auseinandersetzen. Ausgangspunkt für den Datenschutz ist das Grundrecht der informationellen Selbstbestimmung, welches aus der allgemeinen Handlungsfrei- heit und der Menschenwürde, Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG hergeleitet wird. Dieses räumt jedem Menschen das Recht ein, selbst zu bestimmen, welche Informa- tionen über ihn, wann, wo und wie bekannt gegeben werden. Es ist eine Art generel- les Verbot, Daten ohne Zustimmung einer Person, über diese zu erheben. Aus diesem Grund normiert § 1 Abs. 1 BDSG, dass es Zweck des Gesetzes sei, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezo- genen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. §1 Abs. 1 BDSG: „Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“ Der Datenschutz begrenzt damit die wirtschaftliche Betätigung im Bereich der Da- tenverarbeitung auf das erforderliche Maß und auf einen gesellschaftlich verträgli- chen Umfang. Maßgeblich für den Datenschutz in Apotheken sind vor allem die Re- gelungen des Bundesdatenschutzgesetzes. Daneben enthalten zahlreiche andere Gesetze, wie beispielsweise das Telemediengesetz, das Apothekengesetz, die Ver- © 2015 | Seite 5
Interner Datenschutzbeauftragter in der Apotheke ordnung über den Betrieb von Apotheken, ebenso wie die Berufsordnung für Apo- thekerinnen und Apotheker bereichsspezifische Sonderregeln zum Datenschutz. Ne- ben der Anwendbarkeit des Strafgesetzbuches, der Berufsordnung und der Strafpro- zessordnung sind auch noch die europäischen Verordnungen zum Datenschutz an- wendbar. Nachfolgend sollen die wichtigsten Anforderungen aus dem BDSG und ausgewähl- ten Spezialgesetzen überblicksartig dargestellt werden. 1. Datenschutz betrifft: Datenschutz betrifft die Informationen über natürliche Personen. § 3 Abs. 1 BDSG enthält dabei eine Vielzahl von Legaldefinitionen, die den Gesetzesanwender dabei behilflich sein sollen, das Bundesdatenschutzgesetz und den Zweck des Bundesda- tenschutzgesetzes zu verstehen. § 3 Abs. 1 BDSG : „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“ Darin wird zum Beispiel definiert, was personenbezogene und besondere Arten per- sonenbezogener Daten sind. 1.1. Personenbezogene Daten: 1.1.1. Einzelangaben: Einzelangaben sind Informationen, die sich auf eine bestimmte -einzelne- natürliche Person beziehen oder geeignet sind, einen Bezug zu ihr herzustellen; z.B. Name, Aus- weisnummer, Versicherungsnummer, Telefonnummer. Keine Einzelangaben im Sinne des Gesetzes sind Angaben, die sich zwar auf eine einzelne Person beziehen, die aber nicht identifizierbar ist. Einzelangaben sind ferner nicht gegeben, bei anonymi- sierten Daten sowie bei Sammelangaben über Personengruppen. Wird jedoch eine Einzelperson als Mitglied einer Personengruppe gekennzeichnet, über die bestimmte Angaben gemacht werden, so handelt es sich auch um Einzelangaben zu dieser Person, wenn die Daten auf die Einzelperson durchschlagen. © 2015 | Seite 6
Interner Datenschutzbeauftragter in der Apotheke 1.1.2. Persönliche oder sachliche Verhältnisse: Die Einzelangaben müssen Aussagen enthalten über persönliche oder sachliche Verhältnisse der natürlichen Person. Es muss sich also um Daten handeln, die Informa- tionen über den Betroffenen selbst oder über einen auf ihn beziehbaren Sachverhalt enthalten. Als persönliche Verhältnisse werden Angaben über den Betroffenen selbst, seine Identifizierung und Charakterisierung anzusehen sein, wie z.B. Name, Anschrift, Fami- lienstand, Geburtsdatum, Staatsangehörigkeit, Konfession, Beruf, Erscheinungsbild, Eigenschaften, Aussehen, Gesundheitszustand, Überzeugungen. Ferner gehören hier- zu Fotografieren, Fingerabdrücke oder Röntgenbilder. Sachliche Verhältnisse werden beschrieben durch Angaben über einen auf den Be- troffenen beziehbaren Sachverhalt, z.B. seinen Grundbesitz, vertragliche oder sonsti- ge Beziehungen zu Dritten, so auch das Führen eines Telefongespräches mit Dritten. 1.1.3. Bestimmte/bestimmbare Personen: Personenbezogen sind nur die Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Ersteres ist der Fall, wenn die Daten mit dem Namen des Betroffenen verbunden sind, oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt. Für die Bestimmbarkeit kommt es auf die Kenntnis- se, Mittel und Möglichkeiten der speichernden Stelle an. Sie muss den Bezug mit den ihr normaler Weise zur Verfügung stehenden Hilfsmitteln und ohne unverhältnismäßi- gen Aufwand durchführen können. Werden beispielsweise anonyme Daten an eine Stelle übermittelt, die in der Lage ist, den Personenbezug herzustellen, so ist der Übermittlungstatbestand des BDSG erfüllt. 1.1.4. Natürliche Person: Geschützt vom Anwendungsbereich des BDSG sind natürliche Personen. Juristische Personen (Aktiengesellschaften, GmbHs, etc.), Verstorbene, oder aber der nasciturus sind vom Anwendungsbereich des Bundesdatenschutzgesetzes nicht umfasst. Das Gesetz geht davon aus, dass der Betroffene eine handelnde, d.h. eine lebende Per- son ist, wie sich aus den Kontroll-und Mitwirkungspflichten ergibt. © 2015 | Seite 7
Interner Datenschutzbeauftragter in der Apotheke 1.1.5. Verbot mit Erlaubnisvorbehalt: Im BDSG ist ein sogenanntes Verbot mit Erlaubnisvorbehalt verankert. Das heißt, es gibt ein generelles Verbot der Verwendung personenbezogener Daten, egal ob Er- hebung, Verarbeitung oder Nutzung. Nur in Ausnahmefällen, beispielsweise bei Ein- willigung des Betroffenen, etwa bei Kundenkarten oder bei gesetzlicher Erlaubnis, zum Beispiel die Rezeptabrechnung über ein Apothekenrechenzentrum gemäß § 302 Sozialgesetzbuch V, darf man sich darüber hinwegsetzen (Erlaubnisvorbehalt). LIEB.Rechtsanwälte empfehlen: „Bevor man personenbezogene Daten erhebt verarbeitet oder nutzt, sollte zunächst darüber nachgedacht werden, ob ein Gesetz dies erlaubt. Ist dies nicht der Fall, soll- te zumindest geprüft werden, ob eine Einwilligung gemäß § 4a Abs. 1 BDSG vorliegt. Ist wieder ein Gesetz, noch eine Einwilligung zu finden, dürfte im Zweifel das Erheben Verarbeiten oder Übermitteln von personenbezogenen Daten rechtswidrig sein.“ Die Frage des Datenschutzes stellt sich in der Apotheke folglich vor allem im Hinblick auf Daten von Kunden, anderen Geschäftspartnern, Lieferanten, Bewerbern und Mitarbeitern. Keine Probleme mit dem Datenschutz gibt es bei anonymisierten oder pseudonymi- sierten Daten, gemäß § 3 Abs. 6,6a BDSG. 1.2. Anonymisieren und Pseudonymisieren § 3 Abs. 6, 6a BDSG: „Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismä- ßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“ „Unter Pseudonymisieren versteht man das Ersetzen des Namens und anderer Identifikations- merkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszu- schließen oder wesentlich zu erschweren.“ © 2015 | Seite 8
Interner Datenschutzbeauftragter in der Apotheke Das Anonymisieren von Daten kann dadurch geschehen, dass aus einem Bestand personenbezogener Daten, Angaben ohne Personenbezug per entsprechender Auswertung herausgefiltert und für planerische oder statistische Zwecke genutzt wer- den, wobei die diesbezügliche Veränderung und die nachfolgende Nutzung oder Verarbeitung mangels Personenbezug der Daten nicht mehr den Regeln des Bun- desdatenschutzgesetzes unterliegen. Sie kann dadurch geschehen, dass der Perso- nenbezug insgesamt durch Löschung der Identifikationsmerkmale entfällt. Werden von vornherein Daten ohne Personenbezug erhoben und gespeichert, so findet das BDSG mangels Verarbeitung und Nutzung personenbezogener Daten von vorneher- ein keine Anwendung. Die Daten sind jedoch nur dann anonym, wenn der Perso- nenbezug nicht mehr herstellbar, d.h. eine RE-Anonymisierung unmöglich, ist. § 295 Abs. 2 iVm. § 291 Abs. 2 Nr. 1,6, 7 SGB V schreibt beispielsweise die Anonymisie- rung der Abrechnungsdaten der kassenärztlichen Vereinigung explizit vor. Familien- name und Vorname des Versicherten müssen nicht weitergegeben werden. Pseudonymisierung hat das Ziel, die unmittelbare Kenntnis der vollen Identität des Betroffenen während solcher Verarbeitungs-und Nutzungsvorgänge, bei denen der Personenbezug nicht zwingend erforderlich ist, auszuschließen. Die Daten werden durch eine Zuordnungsvorschrift derart verändert, dass die Einzelangaben ohne Kenntnis oder Nutzung der Zuordnungsvorschrift nicht mehr einer natürlichen Person zugeordnet werden können. Generell lohnt es sich, immer zu hinterfragen, welche Daten an Dritte weitergegeben werden müssen und welche nicht. Beispiel: Bei der Bestellung von Kompressionsstrümpfen reichen der beauftragten Firma die Maße des Patienten. Name, Geburtsdatum und Adresse sind nicht notwendig, um den Auftrag ausführen zu können. Der Kunde kann in die Apotheke kommen, um sich die maßangefertigten Strümpfe abzuholen. 1.3. Schweigepflicht und Datengeheimnis Selbstverständlich unterliegen alle Daten der Apothekenkunden der Schweigepflicht. Diese ist regelmäßig in der Berufsordnung der zuständigen Apothekerkammer zu fin- den. In Bayern in § 14 der Berufsordnung für Apothekerinnen und Apotheker. Dort © 2015 | Seite 9
Interner Datenschutzbeauftragter in der Apotheke wird der Apothekenleiter verpflichtet, alle Mitarbeiter schriftlich zur Verschwiegenheit zu verpflichten. Das sollte gerade auch bei Boten, Praktikanten und kurzzeitig Be- schäftigten nicht vergessen werden. Zudem müssen Mitarbeiter auf das Datenge- heimnis nach § 5 BDSG verpflichtet werden. § 5 BDSG : „Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tä- tigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Be- endigung ihrer Tätigkeit fort.“ Nach dieser Vorschrift ist es untersagt, personenbezogene Daten unbefugt zu erhe- ben, zu verarbeiten oder zu nutzen. Angesprochen werden die bei der Datenverar- beitung beschäftigten Personen, d.h. § 5 liegt den Beschäftigten persönlich unmit- telbar Pflichten auf, während sich das BDSG ansonsten an die Daten verarbeitenden Stellen gemäß § 1 Abs. 2 BDSG als Normadressat wendet. Wer beispielsweise im Lau- fe seiner dienstlichen oder beruflichen Tätigkeit bekannt gewordene Daten zu priva- ten Zwecken nutzt, missbrauchst zwar, kann aber nach der Strafvorschrift nicht zur Rechenschaft gezogen werden. Allenfalls kommt eine Strafbarkeit nach § 203 StGB in Betracht. In jeden Fall kann aber eine unbefugte zweckentfremdete Verwendung der Daten, dienst-oder arbeitsvertragliche Konsequenzen auslösen. LIEB.Rechtsanwälte raten: „Halten sich Dritte in der Apotheke auf, zum Beispiel Handwerker, oder Reinigungs- personal, ist sicherzustellen, dass diese keinen Zugriff auf personenbezogene Daten haben. Ansonsten sollten Sie, diesen Personen eine Datenschutzerklärung zur Unter- schrift vorlegen.“ Einen Formulierungsvorschlag finden Sie am Ende unseres Skriptes. Sinnvoll ist es zudem, alle Mitarbeiter darüber zu belehren, dass die Schweigepflicht umfassend gilt, also auch gegenüber den Angehörigen der Kunden, nicht beteilig- ten Kollegen und Ärzten. © 2015 | Seite 10
Interner Datenschutzbeauftragter in der Apotheke Die Verletzung der Verschwiegenheitspflicht wird im § 203 des Strafgesetzbuchs (StGB) unter Strafe gestellt: § 203 Verletzung von Privatgeheimnissen (Auszug) (1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als 1.Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert, 2.Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlußprüfung, 3.Rechtsanwalt, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Or- gan oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft, anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) Ebenso wird bestraft, wer … (2a) Die Absätze 1 und 2 gelten entsprechend, wenn ein Beauftragter für den Datenschutz unbefugt ein fremdes Geheimnis im Sinne dieser Vorschriften offenbart, das einem in den Absätzen 1 und 2 Genannten in dessen beruflicher Eigenschaft anvertraut worden oder sonst bekannt geworden ist und von dem er bei der Erfüllung seiner Aufgaben als Beauftragter für den Datenschutz Kenntnis erlangt hat. (3) Einem in Absatz 1 Nr. 3 genannten Rechtsanwalt stehen andere Mitglieder einer Rechts- anwaltskammer gleich. Den in Absatz 1 und Satz 1 Genannten stehen ihre berufsmäßig täti- gen Gehilfen und die Personen gleich, die bei ihnen zur Vorbereitung auf den Beruf tätig sind. Den in Absatz 1 und den in Satz 1 und 2 Genannten steht nach dem Tod des zur Wahrung des Geheimnisses Verpflichteten ferner gleich, wer das Geheimnis von dem Verstorbenen oder aus dessen Nachlaß erlangt hat. (4) Die Absätze 1 bis 3 sind auch anzuwenden, wenn der Täter das fremde Geheimnis nach dem Tod des Betroffenen unbefugt offenbart. (5) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu berei- chern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren o- der Geldstrafe. © 2015 | Seite 11
Interner Datenschutzbeauftragter in der Apotheke In der Strafprozessordnung wird dem Apotheker ferner bei einer Vernehmung ein Zeugnisverweigerungsrecht gewährt. § 53 StPO (Auszug) (1) Zur Verweigerung des Zeugnisses sind ferner berechtigt 1.Geistliche über das, was ihnen in ihrer Eigenschaft als Seelsorger anvertraut worden oder bekanntgeworden ist; 2.Verteidiger des Beschuldigten über das, was ihnen in dieser Eigenschaft anvertraut worden oder bekanntgeworden ist; 3.Rechtsanwälte, Patentanwälte, Notare, Wirtschaftsprüfer, vereidigte Buchprüfer, Steuerbe- rater und Steuerbevollmächtigte, Ärzte, Zahnärzte, Psychologische Psychotherapeuten, Kin- der- und Jugendlichenpsychotherapeuten, Apotheker und Hebammen über das, was ihnen in dieser Eigenschaft anvertraut worden oder bekanntgeworden ist, Rechtsanwälten stehen dabei sonstige Mitglieder einer Rechtsanwaltskammer gleich; (2) Die in Absatz 1 Satz 1 Nr. 2 bis 3b Genannten dürfen das Zeugnis nicht verweigern, wenn sie von der Verpflichtung zur Verschwiegenheit entbunden sind. Die Berechtigung zur Zeug- nisverweigerung der in Absatz 1 Satz 1 Nr. 5 Genannten über den Inhalt selbst erarbeiteter Materialien und den Gegenstand entsprechender Wahrnehmungen entfällt, wenn die Aus- sage zur Aufklärung eines Verbrechens beitragen soll oder wenn Gegenstand der Untersu- chung Darauf kann er sich zum Beispiel berufen, wenn beispielsweise ein drogensüchtiger Kunde wegen Rezeptfälschung, also einer Urkundenfälschung, vor Gericht steht. Achtung: „Sagt der Apotheker gegen den Willen des Kunden aus, macht also nicht vom Zeug- nisverweigerungsrecht Gebrauch, kann das für ihn strafrechtliche Konsequenzen ha- ben. Er riskiert die eigene Strafbarkeit nach § 203 StGB, da er berufsrechtlich zur Ver- schwiegenheit verpflichtet ist.“ © 2015 | Seite 12
Interner Datenschutzbeauftragter in der Apotheke II. Warum ist Datenschutz in der Apotheke relevant: Als größte Errungenschaft des Datenschutzes in Deutschland gilt das sogenannte Volkszählungsurteil, eine Grundsatzentscheidung des Bundesverfassungsgerichts aus dem Jahr 1983. Aufbauend auf diesem Urteil genießt das Recht auf informationelle Selbstbestimmung nunmehr Grundrechtschutz. Das Grundgesetz vermittelt dem Einzelnen Schutz, vor unbegrenzter Erhebung, Spei- cherung, Verwendung und Weitergabe seiner persönlichen Daten. Gerade persönliche Daten werden zwangsläufig in Rahmen des Apothekenalltags erhoben, verarbeitet und genutzt. Die Belieferung von Rezepten, die Ausgabe von Kundenkarten und Auskünfte am Telefon, zeigen exemplarisch, dass das Apothe- kenpersonal ständig mit personenbezogenen Daten der Patienten/Kunden umgeht. Der Datenschutz endet jedoch nicht bei den Kunden. Selbstverständlich sind auch die Daten der Mitarbeiter zu schützen. Zunächst werden somit die einzelnen Berührungspunkte im Rahmen des Apotheken- ablaufs skizziert. Insbesondere ist der Aufbau und die Ausgestaltung der Apotheke, im Hinblick auf die Apothekenbetriebsordnung zu behandeln: 1. Die Offizin: 1.1. Räumlichkeiten: Der Datenschutz beginnt bereits in den Räumlichkeiten der Apotheke, ja sogar mit dem Betreten der selbigen. So spricht bereits die Verordnung über den Betrieb von Apotheken in § 4 Absatz 2a ApBetrO davon, dass die Offizin so gestaltet werden muss, dass ausgeübte wesentliche Aufgaben, insbesondere die Beratung von Patien- ten und Kunden, genügend Raum bleibt. Die Offizin muss so eingerichtet sein, dass die Vertraulichkeit der Beratung, insbesondere an den Stellen, an denen Arzneimittel an Kunden abgegeben werden, so gewahrt wird, dass das Mithören des Beratungs- gesprächs durch andere Kunden weitestgehend verhindert wird. © 2015 | Seite 13
Interner Datenschutzbeauftragter in der Apotheke Bereits der Wortlaut der Verordnung ist derart detailliert gefasst, dass jedem Betreiber einer Apotheke klar sein muss, dass die Offizin so ausgestaltet werden muss, dass we- der Beratungsgespräch, noch Inhalt der vom Patienten/Kunden an den Apotheker übergebenen Daten unberechtigten Dritten zu Ohren gelangt. Diskretion muss das oberste Gebot sein. So sollte bei einem Kundenandrang gewährleistet sein, dass aus- reichend Abstand zwischen den Kunden besteht. Gleichwohl sollte das Apotheken- personal darauf achten, die Stimme, dem Kundenaufkommen anzupassen. 1.2. Handverkaufstische: In der Offizin sind die Handverkaufstische der Ort in der Apotheke, an dem die Kun- den ihre Wünsche äußern und Sie Informationen über die Arzneimittel verschaffen. Dieser Bereich sollte möglichst so gestaltet werden, dass ein Mithören der Kundenge- spräche durch andere Kunden weitgehend ausgeschlossen ist. Auch das Verwahren von Rezepten auf den Handverkaufstischen ist zu überdenken. Die nachfolgenden Kunden dürfen die Rezepte nicht lesen oder gar unbemerkt mitnehmen können. Auf vielen Handverkaufstischen finden sich nunmehr auch PC-Bildschirme. Wartende Kunden dürfen nicht die Möglichkeit haben, diese einzusehen. Datenschutz bedeu- tet auch, dass Kundendaten nicht auf dem PC-Bildschirm für Dritte, also Apotheken- fremde, lesbar sind. Deshalb sollten die Bildschirme so stehen und positioniert sein, dass andere Kunden diese nicht einsehen können. Was die Rezepte betrifft, sollten diese auch bei starkem Kundenverkehr, niemals für andere Kunden lesbar oder gar greifbar auf dem HV- Tisch liegen. Verstöße gegen den Datenschutz wie diese, wurden schon mehrfach der zuständigen Datenschutzbehörde angezeigt und mit einem Bußgeld bestraft. Die Höhe des Bußgeldes ist dabei abhängig von der sonstigen Qualität des Datenschut- zes, insbesondere den Umständen des Einzelfalls und der Strenge der jeweiligen Auf- sichtsbehörde. 1.3. Diskretionszone und Beratungsecke der Offizin: Spätestens seit 1999 müssen alle Apotheken so eingerichtet sein, dass die Vertrau- lichkeit der Beratung gewährleistet wird. Dies wurde in vielen Apotheken so interpre- tiert, dass ein Beratungsraum eingerichtet oder eine Beratungsecke abgetrennt wur- de. Dieser Beratungsraum ist nach wie vor unerlässlich, etwa für Blutuntersuchungen, Gespräche im Rahmen der Pharmazeutischen Betreuung oder aber zum Anmessen © 2015 | Seite 14
Interner Datenschutzbeauftragter in der Apotheke von Kompressionsstrümpfen, das nicht im Verkaufsraum erfolgen kann. Aber der Be- ratungsraum allein reicht bei Weitem nicht aus. Banal aber wichtig erscheint schon der Rat, diesen vor allem zu nutzen. Es ist wichtig, dass jedes einzelne Gespräch zwi- schen einem Mitarbeiter der Apotheke und dem Kunden diskret verläuft. Sollte dies lediglich in der Beratungsecke möglich sein, ist diese aufzusuchen. Die Diskretionszo- ne kann schnell verletzt werden. Bestehen Sie darauf, die Beratungsecke aufzusu- chen. Der Kunde wird meist kein Interesse daran haben, möchte vielmehr eine schnelle Bearbeitung. Gerade in dieser Hinsicht obliegt es Ihnen, den Schutz der Da- ten im Hinterkopf zu haben. In vielen Apotheken ist die Offizin schon so gestaltet, dass jedes Beratungsgespräch vertraulich bleibt. Auch wenn eine innenarchitektonische Lösung der Königsweg ist, so können Diskretionszonen in jeder Apotheke schnell und effektiv eingerichtet wer- den. Oft reicht es schon aus, auf dem Boden mit einem Klebeband eine Wartelinie zu markieren. Kunden kennen dies beispielsweise von Banken oder der Post und akzep- tieren solche Abtrennungen schnell. Ebenso zeigt ein einfaches Hinweisschild, auf dem HV-Tisch oder als Bodenständer, gute Erfolge. Ein durchgehender HV-Tisch kann mit Trennwänden oder Ständern in zwei oder drei »Beratungsbuchten« unterteilt wer- den. Zusätzlich bietet sich an, die Abtrennung noch durch Regale aus dem Freiwahl- bereich, die an den HV-Tisch herangeschoben werden, zu verstärken. Der Kreativität sind keine Grenzen gesetzt. 1.4. Videoüberwachung: Der Datenschutz beginnt schon an der Eingangstür. Dies ist relevant für die Apothe- ken, die eine Videoüberwachung installiert haben. § 6b BDSG nimmt Bezug auf die »Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen«. Daraus leitet sich ab, dass Apotheken, die in der Freiwahl eine Videoüberwachungs-Anlage (oder eine Attrappe) installieren, die- se sichtbar kennzeichnen müssen – möglichst direkt am Eingang. Hierzu sollte an der Eingangstür ein entsprechender Hinweis angebracht werden. In nicht öffentlich zu- gänglichen Bereichen ist eine Videoüberwachung nur in bestimmten Fällen erlaubt. Ein heimliches Filmen ist nie rechtmäßig. Gleiches gilt etwa für Aufnahmen in Berei- chen der privaten Lebensgestaltung, zum Beispiel in Sanitärräumen, in den Umklei- den, so es solche gibt, oder im Nachtdienstzimmer. © 2015 | Seite 15
Interner Datenschutzbeauftragter in der Apotheke 1.5. Die Rezepte: Können die Rezepte nicht vom HV-Tisch entfernt werden, sollten die Mitarbeiter sie zumindest umdrehen, in der Hand behalten, oder in einer undurchsichtigen Hülle ver- stauen. Rezepte enthalten viele sensible Daten. Daher darf man nicht mehr benötig- te Privatrezepte, grüne Rezepte oder Kopien, die dem Kunden nicht mitgegeben werden können, auf keinen Fall lediglich in den Papierkorb werfen. Diese Rezepte müssen durch den Aktenvernichter (dieser sollte mindestens Stufe 4 für geheim zuhal- tendes Schriftgut der DIN-Norm 32757 entsprechen). Bei Unklarheiten auf dem Rezept sollten die Apothekenmitarbeiter den Patienten fragen, ob sie den Arzt kontaktieren dürfen. In der Regel dürfte das kein Problem dar- stellen, da der Kunde selbst an der Klärung interessiert ist. Der Patient sollte die Mög- lichkeit haben, das Gespräch mithören. Unter Verweis auf die Beratungsecke ist der HV-Bereich selbstverständlich kein guter Ort für Telefonate, da andere Personen mit- hören könnten. Will man sich, zum Beispiel mit einem Arzt, per E-Mail über ein Rezept austauschen, so dürfen Sie das Rezept nicht einscannen und dann unverschlüsselt, oder als Anhang versenden. Die Daten der Kunden müssen verschlüsselt werden. Sollte die E-Mail ab- gefangen werden, gelangen sensible Daten Dritten zur Kenntnis. Folgeansprüche drohen. Sollte eine Verschlüsselung nicht möglich sein, muss sollte im Hinblick auf den Datenschutz davon abgeraten werden. Sollte der Kunde trotz dieses Defizits den- noch zustimmen, kann die E-Mail versendet werden. 1.6. Statistiken: Statistiken müssen ebenfalls in datenschutzrechtlicher Hinsicht gewürdigt werden. So ist es gängige Praxis, dass am Ende des Monats die Rezepte abgeholt und eingele- sen werden. Gesundheitsdaten bzw. Rezeptdaten sind besonders sensible Daten und werden durch das Bundesdatenschutzgesetz und verschiedene Spezialgesetze (Sozialge- setzbuch, Strafgesetzbuch) besonders geschützt. Die Einschaltung externer Rechen- zentren durch Apotheken und die Datenverarbeitung durch diese Rechenzentren ist © 2015 | Seite 16
Interner Datenschutzbeauftragter in der Apotheke im Rahmen von § 300 Abs. 1 SGB V l zulässig. Sinn der (anonymisierten) Datenweiter- gabe ist etwa, Erfolge von Werbemaßnahmen zu messen und das Außendienst- und Vertriebsmanagement zu optimieren. Die Unternehmen haben dadurch die Mög- lichkeit, das) Verschreibungsverhalten von Ärzten zu überprüfen und ihre Werbe- und Vertriebsstrategien darauf abzustimmen. Dieses Verfahren ist jedoch nur solange zu- lässig, wie aus den aufbereiteten Daten keinerlei Rückschlüsse auf konkrete Personen möglich ist. Vermeiden Sie es also, weder Name des verschreibenden Arztes, noch Name des Patienten zu speichern und an die Pharma-Unternehmen weiterzugegeben. 1.7. Dokumentation: Auch wenn der Kunde die Apotheke wieder verlassen hat, bestehen die Anforde- rungen an den Datenschutz selbstverständlich weiter. Das ist am Beispiel von Doku- mentationspflichten leicht zu erklären. Von Betäubungsmitteln, über verschreibungspflichtige Tierarzneimittel, bis hin zum Erwerb und Abgabe von Produkten, die unter das Transfusionsgesetz fallen, enthal- ten diese Aufzeichnungen personenbezogene Daten, an die Unbefugte nicht heran- kommen dürfen. Gerade auch dann nicht, wenn die Aufbewahrungspflicht bereits abgelaufen ist. Zu entsorgende Unterlagen sind ein Fall für den Aktenvernichter. Dort hinein gehören auch nicht mehr benötigte Faxe, die personenbezogene Daten enthalten. Beim Ver- senden von Kundendaten per Fax ist sicherzustellen, dass dieses ausschließlich den berechtigten Empfänger erreicht. Faxe sollte man dem Empfänger unter Umständen vorher ankündigen. Bei Faxen an den Arbeitsplatz, sollte man diese ankündigen und sich den Empfang gegebenenfalls bestätigen lassen. Faxe, die in der Apotheke ankommen, müssen sofort aus dem Gerät entnommen werden. Es sollten nirgendwo in der Apotheke, auch nicht auf dem Büroschreibtisch des Inhabers der Apotheke, sensible Daten in Papierform länger liegengelassen wer- den. Sinnvoll ist es, Unterlagen in der Apotheke, im Hinblick auf die Sensibilität der Daten, in Kategorien einzuteilen und zu kennzeichnen. Das QM-Handbuch beinhaltet bspw. Daten zum internen Gebrauch. Streng vertraulich, sind Personalakten. Persön- lich wären Gehaltsabrechnungen und Beurteilungen der Mitarbeiter. © 2015 | Seite 17
Interner Datenschutzbeauftragter in der Apotheke 1.8. Auskünfte an nahe Angehörige, oder dergleichen: Ein häufiges Problem sind Auskünfte an Angehörige. Zum Vergleich: Wenn der Ehe- partner die Post des Ehegatten öffnet, ist dies ein Straftatbestand. Deshalb sollten auch Auskünfte auf der Basis von Kundenkarten nur dem Kunden selbst erteilt wer- den dürfen. Was also tun, wenn Angehörige zum Beispiel Zuzahlungsbescheinigun- gen des Ehepartners verlangen? Eine Möglichkeit ist es, die Bescheinigung auf dem Postweg zu versenden. Am Telefon ist eine Auskunft zu persönlichen Daten immer verboten, wenn die sichere Identifikation des Anrufers nicht gewährleistet ist. Auch den Strafverfolgungsbehörden darf man nicht ohne Weiteres am Telefon Aus- kunft erteilen. Wir raten Ihnen dazu, um eine persönliche Vorsprache des Beamten oder eine schriftliche Anfrage zu bitten. Mitarbeiter sollten immer auch die Apothe- kenleitung in den Fall einbeziehen. Und wie sieht es bei Minderjährigen aus? Dürfen Eltern eine Auskunft über ihre Kinder erhalten? LIEB.Rechtsanwälte raten: „Gerade bei schon verständigen und einsichtsfähigen Minderjährigen kurz vor der Volljährigkeit kann es zu Konflikten zwischen dem Auskunftsanspruch der Eltern und der Schweigepflicht gegenüber dem Minderjährigen kommen. Stellen Sie sich vor, der Vater eines 15-jährigen Mädchens ruft sie an und fragt Sie darüber aus, ob seine Tochter die Antibabypille bezieht. Hier ist Vorsicht geboten. Gehen Sie auf Nummer sicher und machen Sie von ihrem Schweigerecht Gebrauch. Notfalls muss der Erzie- hungsberechtigte in Beisein mit dem Minderjährigen vorstellig werden und um Aus- kunft bitten. Bei kleineren Kindern haben sorgeberechtigte Elternteile Auskunftsan- sprüche. Auch hier gilt wieder der Grundsatz, dass das Schweigen im vorliegenden Fall besser ist, als die Auskunftserteilung.“ 1.9. Die Kundenkarte: Viele Apotheken wollen ihre Patienten mithilfe einer Kundenkarte an die Apotheke binden. Dabei ist zu beachten, dass alle Karteninhaber zuvor eine datenschutzrecht- liche Einwilligungserklärung abgeben müssen. Die besagte Einwilligungserklärung sollte bestenfalls schriftlich erfolgen. Regelmäßig werden hierbei von Apotheken Kar- © 2015 | Seite 18
Interner Datenschutzbeauftragter in der Apotheke tenanträge genutzt, die ausdrücklich auf die datenschutzrechtliche Einwilligung hin- weisen. LIEB.Rechtsanwälte raten: „Überprüfen Sie die von Ihnen verwendeten Kartenanträge. Sollten diese keine Ein- willigungserklärung beinhalten, ist davon abzuraten, diese weiterhin zu benutzen. Bei Schriftform sind sie weitestgehend sicher. Ändern Sie das!“ Die Einwilligungserklärung der Kunden muss sich auf die personenbezogenen und ausdrücklich auch auf die Gesundheitsdaten beziehen. Sie sollte immer schriftlich erfolgen und an einem für Unbefugte nicht zugänglichen Ort sicher aufbewahrt wer- den. Es gibt keine feste Frist, wann ungenutzte Kundenkarten zu löschen sind. LIEB.Rechtsanwälte raten: „Eine Löschung nach drei Jahren ist sinnvoll; wir weisen jedoch darauf hin, dass eini- ge Steuerberater wegen des steuerlichen Bezugs der Daten eine Aufbewahrung von zehn Jahren für sinnvoll erachten. Laut BDSG (§ 4a, Absatz 1) ist die Einwilligungserklä- rung (optisch) besonders hervorzuheben, wenn sie zusammen mit anderen Erklärun- gen erteilt wird.“ Selbstverständlich ist ebenfalls der Fall zu würdigen, dass die Kundendaten infolge Ruhestand oder Tod des Apothekers oder bei einem Verkauf der Apotheke nicht au- tomatisch an den Nachfolger übergehen. Dürfen Kundendaten bei einem Verkauf der Apotheke an den Nachfolger überge- ben werden und was ist dabei zu beachten? Im Kammerrundschreiben (Mai/Juni 2012) informiert die Landesapothekerkammer Hessen zu diesem Thema. © 2015 | Seite 19
Interner Datenschutzbeauftragter in der Apotheke „Sofern nicht ausdrücklich anders vereinbart, willigt der Kunde beim Erwerb einer Kundenkarte durch seine Einverständniserklärung nur in das Speichern seiner perso- nenbezogenen Daten bei dem Apotheker seines Vertrauens ein. Der Kunde muss frei darüber entscheiden können, ob er seine Daten weitergeben will oder nicht. Daher ist für die Übermittlung der gespeicherten Daten an einen Dritten bei einem Verkauf der Apotheke erneut eine Einwilligung, und zwar eine vorherige Einverständniserklä- rung des Betroffenen, erforderlich. Die Kammer plädiert dafür, die schriftliche Einwilli- gung jedes betroffenen Kunden einzuholen.“ Weiter heißt es in dem Rundschreiben: „Zu überlegen wäre, ob Apotheken ihre Kundenkarten dahingehend überarbeiten, dass diese eine Einwilligungserklärung auch zur Weitergabe der Kundendaten an einen Rechtsnachfolger für den Fall eines Apothekenverkaufs enthalten.“ LIEB.Rechtsanwälte raten: „Es bietet sich an, im Falle eines Verkaufs der Apotheke erneut eine Einwilligungser- klärung der jeweiligen Kundenkarteninhaber einzuholen. Dass dies umständlich und eventuell mühsam ist, dürfte jedoch im Hinblick auf der der Apotheke eventuell dro- hende Bußgelder das geringere Übel darstellen. Somit bietet sich an, bereits bei Be- antragung der Kundenkarte die Einwilligungserklärung auf etwaige Rechtsnachfolger zu erstrecken.“ Von der Ausgabe einer Kundenkarte ist daher abzuraten, wenn der Kunde die Erklä- rung nicht oder nur mündlich abgeben will. Im Falle eines Streits müssen Sie die Einwil- ligung beweisen. Oftmals steht Aussage gegen Aussage! Grundsätzlich sollte man nur Daten erfassen, die tatsächlich benötigt werden. Gän- gig ist auch, dass die Bewohner belieferter Altenheime in der Kundendatei der Apo- theke eingetragen sind. Wenn man nicht von allen einzeln die Einwilligung einholen will, oder kann, ist es sinnvoll, beim Abschluss des Vertrags mit der Heimleitung fest- zuhalten, dass diese sich um die Einwilligungen kümmert. Was in der Praxis bereits häufiger zu Ärger geführt hat, sind Antragsformulare für Kun- denkarten, auf denen nicht alles aufgeführt ist, was die Apotheke mit den Daten tun wird. © 2015 | Seite 20
Interner Datenschutzbeauftragter in der Apotheke Beispiel: Thema Geburtstagskarte. Sollten Sie im Rahmen der Kundenpflege eine Geburts- tagskarte versenden wollen, muss dieser „Service“ explizit im Kartenauftrag vermerkt sein. Die Geburtstagskarte kann zum Bumerang werden, wenn Verstorbene eine Karte zum Geburtstag bekommen. Sind in den Kundenkartenanträgen solche Geburts- tagsaktionen nicht aufgeführt, können Angehörige gegen Datenschutzverstöße der Apotheke vorgehen. Auch Post aus einer Filialapotheke, die ohne Kenntnis des Kar- teninhabers auf die Daten zurückgreift, kann zu Irritationen führen. Schlichtweg verboten sind auch in der EDV gespeicherte Daten, die ein Werturteil enthalten, etwa „Nervensäge“, „Pfennigfuchser“ oder „schwieriger Kunde“. Möglich ist aber, auf Tatsachen wie „offene Rechnung“ oder „bisher nicht abgeholter Bestel- lartikel“ hinzuweisen. Generell hat der Kunde ein Recht auf schriftliche Auskunft über die zu seiner Person gespeicherten Daten. Dies muss er in der Apotheke kundtun, aber nicht begründen. Die Unentgeltlichkeit dieser Auskunft ist ausdrücklich im Gesetz vorgesehen Die Aus- kunft kann mündlich erfolgen, auf Verlangen des Kunden ist sie aber schriftlich zu erteilen. Ferner haben Kunden ein Anrecht auf Datenkorrektur, zum Beispiel auf Be- richtigung oder Löschen von Daten. 1.10. Lieferung per Bote: Apothekenboten sind ebenso an Schweigepflicht und Datengeheimnis gebunden, wie die übrigen Apothekenmitarbeiter auch. Laut § 14 Apothekenbetriebsordnung sind die auszuliefernden Arzneimittel für jeden Empfänger getrennt zu verpacken und jeweils mit dessen Namen und Anschrift zu versehen. Achtung: Damit gelangen personenbezogene Daten in Umlauf. Bei der Auslieferung mit einem Pkw dürfen die Medikamente nicht sichtbar im Pkw liegen oder dort längere Zeit, zum Beispiel über Nacht, deponiert werden. Beim Ver- lassen ist der Wagen stets abzuschließen. Fahrradboten müssen alle auszuliefernden Medikamente immer mit sich führen. Der Bote darf die Medikamente nur dem Kunden selbst aushändigen. Andernfalls, zum Beispiel bei Abgabe beim Nachbarn oder Einwurf in den Briefkasten, ist vorher eine schriftliche Einverständniserklärung einzuholen. Ebenfalls abklären sollte man, ob © 2015 | Seite 21
Interner Datenschutzbeauftragter in der Apotheke das Medikament an andere Familienangehörige im gleichen Haushalt ausgehändigt werden kann. Es ist stets sinnvoll, wenn sich der Bote die Übergabe bestätigen lässt. 2. Das Büro: Fernab des Verkaufsraums lauern ebenfalls mögliche datenschutzrechtliche Verstö- ße. Hierbei ist unter anderem das Büro des Apothekers anzusprechen. Unabhängig davon, ob allenfalls der Apotheker persönlich dieses Büro betreten darf sollte zumin- dest ein Augenmerk darauf gerichtet werden, dass hierbei ähnlich wie auf dem Ver- kaufstisch keine Rezepte oder ähnliche sensible Daten aufzufinden sind. Auch hier gilt wiederum der Grundsatz, dass persönliche Daten von Kunden sicher verwahrt werden sollen. Dies gilt jedoch ebenso für relevante Mitarbeiterdaten. Gesetzt den Fall, das Reinigungspersonal betritt das Büro des Apothekers und kennt durch Zufall die Person die als Adressat eines Rezeptes genannt ist, ist der datenschutzrechtliche Verstoß eingetreten. 2.1. IT-Sicherheit(Anforderungen an Arbeitsplatz und Mitarbeiter, effektiver Passwort- schutz, regelmäßige Datensicherung, Anforderungen an den Datenaustausch) Ohne Informationstechnologie (IT) geht es in der Apotheke nicht. Um deren Sicher- heit muss sich der Apothekeninhaber Gedanken machen. Nicht nur Hackerangriffe von außen sind zu befürchten, auch technische Schäden (etwa Überhitzung), Ele- mentarschäden (Brand, Wasserschäden) sowie Unkenntnis und Selbstüberschätzung des Personals sind Risikofaktoren. Wirksame Maßnahmen zur Gefahrenabwehr beginnen bei regelmäßigen Mitarbei- terschulungen und enden bei einem umfassenden Passwortschutz. Auch an eine unterbrechungsfreie Stromversorgung mit Überspannungsschutz, aktualisierte Viren- schutzprogramme und regelmäßige Datensicherungen ist zu denken. Nach der Da- tensicherung sollte der Sicherungsträger nicht am oder in unmittelbarer Nähe des Computers gelagert werden; am besten wird er an einem vor Diebstahl und Elemen- tarschäden gesicherten Ort aufbewahrt. Empfehlenswert ist auch, den Datenträger mindestens einmal pro Monat auf Funktionstüchtigkeit zu überprüfen. © 2015 | Seite 22
Interner Datenschutzbeauftragter in der Apotheke 2.2. Die Internetpräsentation: Mittlerweile haben viele Apotheken einen eigenen Internetauftritt. Dafür sind die all- gemeinen Informationspflichten nach § 5 Telemediengesetz zu beachten. Zu einem Impressum gehören folgende Angaben: vollständiger Name der Apotheke mit Postanschrift, Inhaber und Vertretungsberechtigter der Apotheke mit vollem Vor- und Zunamen, E-Mail-Adresse, Telefon- und Faxnummer, UmsatzsteuerIdentifikationsnummer, Handelsregister mit Handelsregisternummer, Aufsichtsbehörde, zuständige Berufskammer, gesetzliche Berufsbezeichnung und Staat, in welchem diese verliehen wurde, berufsrechtliche Regelungen und Zugangsmöglichkeit. Auch an eine Datenschutzerklärung und einen Sicherheitshinweis an Kunden, dass beispielsweise eine offene Dateneingabe freiwillig und nicht sicher ist, ist bei dem Internetauftritt zu denken. Kunden und Mitarbeiter müssen zuvor natürlich zugestimmt haben, wenn personenbezogene Daten und Bilder von ihnen auf der Website veröf- fentlicht werden. Die Überwachung der Website auf Datenschutzrelevante Aspekte zählt zu den Aufgaben eines Datenschutzbeauftragten. 3. Die Personalabteilung: Die Personalakten sind in Papierform in einem abgeschlossenen Schrank aufzube- wahren, für per Computer geführte Akten muss es ein sicheres Zugriffsberechtigungs- konzept geben. Mitarbeiter haben jederzeit das Recht, die eigene Personalakte ein- zusehen, die Daten zu prüfen und bei Bedarf gegen Einträge vorzugehen. Dies je- © 2015 | Seite 23
Interner Datenschutzbeauftragter in der Apotheke doch nur nach vorherigem Antrag bei dem Arbeitgeber. Von einer eigenmächtigen Einsichtnahme abzuraten. Stellen Sie sicher, dass Mitarbeiter keinen Zugriff auf die Personalakten haben. Passwortschutz ist unerlässlich. 4. Apotheken und Dritte (Auftragsdatenverarbeitung in der Apotheke) Wird ein externer Auftragnehmer mit der Erhebung, Verarbeitung und Nutzung per- sonenbezogener Daten von einer Apotheke beauftragt, unterliegt dies der Auftrags- datenverarbeitung und den entsprechenden rechtlichen Regelung im Bundesdaten- schutzgesetz (§ 11 BDSG). Der Gesetzgeber stellt hohe Erwartungen an eine entspre- chende Beauftragung. Eine Auftragsdatenverarbeitung liegt beispielsweise vor, wenn die Buchhaltung ausgelagert wird, eine Aktenvernichtung durch ein externes Unternehmen erfolgt oder die Lohnbuchhaltung durch Dritte vorgenommen wird. Vielen ist unbekannt, dass auch die Beauftragung eines EDV-Unternehmens mit einer Fernwartung unter die Auftragsdatenverarbeitung fällt. Der Gesetzgeber erwartet, dass eine Apotheke vor der Beauftragung sich bei dem Dienstleister überzeugt, dass das Thema Datenschutz ernst genommen wird. In der Praxis wird häufig ein Daten- schutzkonzept abgefordert. Auch während der Beauftragung erwartet der Gesetz- geber, dass eine Apotheke den Dienstleister beaufsichtigt und regelmäßig kontrol- liert. Entsprechende Kontrollrechte müssen auch in den Verträgen zu Auftragsdaten- verarbeitung enthalten sein. In § 11 Abs. 2 BDSG findet sich eine Aufzählung von 10 Punkten, die bei einer Auftragsdatenverarbeitung berücksichtigt werden müssen. Sollten die in § 11 Abs. 2 BDSG enthaltenen Punkte allesamt im Rahmen einer Verein- barung über die Auftragsdatenverarbeitung abgelichtet sein, sind sie grundsätzlich auf der sicheren Seite. Die profunde Darstellung der Auftragsdatenverarbeitung wür- de jedoch den Rahmen dieses Scripts sprengen. 5. Der Datenschutzbeauftragte: 5.1. Der interne Datenschutzbeauftragte: Die gesetzliche Regelung findet sich hierzu in § 4f BDSG. Im Bereich der Privatwirt- schaft trifft die Bestellpflicht die Nicht-öffentliche Stelle, d.h. den Unternehmensinha- ber, bzw. die Leitung der juristischen Person, der das Unternehmen gehört. Bei den besagten Stellen ist auch bei automatisierter Verarbeitung die Bestellpflicht weiterhin an einen Mindestumfang der Datenverarbeitung und damit ein bestimmtes © 2015 | Seite 24
Interner Datenschutzbeauftragter in der Apotheke Gefährdungspotenzial geknüpft. Die private Stelle muss in der Regel im Falle automa- tisierter Datenverarbeitung zehn, oder im Falle herkömmlicher Verarbeitung, 20 Per- sonen, ständig mit der Verarbeitung personenbezogener Daten betraut haben. So- lange im Bereich der automatisierten Datenverarbeitung weniger als zehn Personen beschäftigt sind, bedarf es keines betrieblichen Beauftragten. Der arbeitsrechtliche Status ist hierbei irrelevant. Weiterhin fordert das Gesetz, dass die Person ständig da- mit beschäftigt sein muss. Hat jemand nur gelegentlich und gegebenenfalls zur Erle- digung andere Aufgaben auch mit der Datenverarbeitung zu tun, so ist er nicht ständig damit beschäftigt. Als Fazit bleibt somit festzuhalten, dass gerade in Apotheken, in denen mehr als neun Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, ein Da- tenschutzbeauftragte zu bestellen ist, gemäß § 4f Abs. 1 S. 4 BDSG. Der Beauftragte ist bei Nicht-öffentlichen Stellen spätestens binnen eines Monats nach dem Eintreten der Voraussetzungen zu bestellen. Sinkt wiederum bei diesen Stellen die maßgebende Beschäftigtenzahl dauerhaft unter die gesetzliche vorgese- hene Anzahl, so entfällt auch die Bestellungsvoraussetzung nach § 4f Abs. 1 BDSG. Ein spezieller Widerruf der Bestellung sollte zwar zur Klarstellung der arbeitsvertragli- chen Situation erfolgen/gegebenenfalls ist insoweit auch eine Kündigung erforder- lich. Gleichwohl bleibt es der Apotheke jedoch unbenommen, in derartigen Fällen, den Datenschutzbeauftragten „freiwillig“ weiterhin mit diesen Aufgaben zu betrau- en. 5.2. Die Person des Beschäftigten: Der Gesetzeswortlaut erlaubt es nunmehr, sowohl einen Beschäftigten des Unter- nehmens als so genannten internen Datenschutzbeauftragten, als auch eine Person außerhalb des Unternehmens, als so genannten externen Datenschutzbeauftragten mit den Aufgaben des Datenschutzbeauftragten gemäß § 4f Abs. 2 S. 3 BDSG zu be- stellen. Es muss jedoch darauf hingewiesen werden, dass der Bestellung einer juristi- schen Person (z.B. Unternehmensberatungsgesellschaft) zum betrieblichen Daten- schutzbeauftragten die Voraussetzungen des §§ 4f Abs. 2 BDSG entgegenstehen. Fachkunde und Zuverlässigkeit sind nur von einer natürlichen Person erfüllbar, die unmittelbare Unterstellung unter die Leitung der verantwortlichen Stelle kann nur von einer natürlichen Person verwirklicht werden. © 2015 | Seite 25
Sie können auch lesen