Interner Datenschutzbeauftragter in der Apotheke
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
RECHT DER INFORMATIONSTECHNOLOGIEN Interner Datenschutzbeauftragter in der Apotheke von Dominic Baumüller Rechtsanwalt FA für Arbeitsrecht LIEB.Rechtsanwälte, Erlangen Stand: 02/2015
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 2Interner Datenschutzbeauftragter in der Apotheke
Inhaltsverzeichnis
Datenschutzrecht in der Apotheke ......................................................................................................... 5
I. Was ist Datenschutz ......................................................................................................................... 5
1. Datenschutz betrifft .................................................................................................................... 6
1.1. Personenbezogene Daten .................................................................................................... 6
1.1.1. Einzelangaben................................................................................................................ 6
1.1.2. Persönliche oder sachliche Verhältnisse ....................................................................... 7
1.1.3. Bestimmte/bestimmbare Personen .............................................................................. 7
1.1.4. Natürliche Person .......................................................................................................... 7
1.1.5. Verbot mit Erlaubnisvorbehalt ...................................................................................... 8
1.2. Anonymisieren und Pseudonymisieren................................................................................ 8
1.3. Schweigepflicht und Datengeheimnis .................................................................................. 9
II. Warum ist Datenschutz in der Apotheke relevant ........................................................................ 13
1. Die Offizin .................................................................................................................................. 13
1.1. Räumlichkeiten ................................................................................................................... 13
1.2. Handverkaufstische ............................................................................................................ 14
1.3. Diskretionszone und Beratungsecke der Offizin ................................................................ 14
1.4. Videoüberwachung ............................................................................................................ 15
1.5. Die Rezepte......................................................................................................................... 16
1.6. Statistiken ........................................................................................................................... 16
1.7. Dokumentation................................................................................................................... 17
1.8. Auskünfte an nahe Angehörige, oder dergleichen............................................................. 18
1.9. Die Kundenkarte ................................................................................................................. 18
1.10. Lieferung per Bote ............................................................................................................ 21
2. Das Büro .................................................................................................................................... 22
2.1. IT-Sicherheit........................................................................................................................ 22
2.2. Die Internetpräsentation .................................................................................................... 23
3. Die Personalabteilung................................................................................................................ 23
4. Apotheken und Dritte (Auftragsdatenverarbeitung in der Apotheke)...................................... 24
5. Der Datenschutzbeauftragte ..................................................................................................... 24
5.1. Der interne Datenschutzbeauftragte ................................................................................. 24
5.2. Die Person des Beschäftigten ............................................................................................. 25
© 2015 | Seite 3Interner Datenschutzbeauftragter in der Apotheke
5.3. Die erforderliche Fachkunde und Zuverlässigkeit .............................................................. 26
5.4. Die Bestellung des Datenschutzbeauftragten .................................................................... 26
6. Das Verfahrensverzeichnis ........................................................................................................ 27
6.1. Internes Verfahrensverzeichnis .......................................................................................... 29
6.2. Öffentliches Verfahrensverzeichnis.................................................................................... 30
7. Rechte des Betroffenen ......................................................................................................... 31
III. Regeln/Gebote des Datenschutzes/Sieben goldene Regeln des Datenschutzes ......................... 32
1. Rechtmäßigkeit .......................................................................................................................... 32
2. Einwilligung................................................................................................................................ 32
3. Zweckbindung............................................................................................................................ 33
4. Erforderlichkeit .......................................................................................................................... 34
5. Transparenz ............................................................................................................................... 35
6. Datensicherheit ......................................................................................................................... 35
6.1. Technische und organisatorische Maßnahmen ................................................................. 35
6.2. Pflichten bei unerlaubter Datenweitergabe....................................................................... 38
6.3. Datenschutz bei der Datenträgervernichtung.................................................................... 38
7. Kontrolle / Rechte des Betroffenen .......................................................................................... 40
7.1. Benachrichtigung und Auskunft ......................................................................................... 40
7.2. Berichtigung, Löschung und Sperrung ................................................................................ 40
8. Was passiert bei einer Datenpanne .......................................................................................... 41
8.1. Unrechtmäßige Übermittlung oder Kenntniserlangung in sonstiger Weise ...................... 42
8.2. Wann muss ich informieren ............................................................................................... 42
8.3. Drohen schwerwiegende Beeinträchtigungen ................................................................... 42
8.4. Art und Weise der Information .......................................................................................... 43
8.5. Haftung und Schadensersatz .............................................................................................. 44
9. Handlungsempfehlungen .......................................................................................................... 44
10. Checkliste des Data-Breach-Notification-Verantwortlichen ................................................... 45
11. Muster: Mitarbeiterrichtlinie zum Umgang mit Daten ........................................................... 47
12. Muster: Öffentliches Verfahrensverzeichnis für Jedermann .................................................. 49
13. Muster: Verpflichtungserklärung bezügl. des Bundesdatenschutzgesetzes ........................... 53
14. Muster: Benachrichtigung der Betroffenen ............................................................................ 55
15. Muster: Benachrichtigung der Aufsichtsbehörde ................................................................... 57
16. Muster: Bestellung eines Datenschutzbeauftragten............................................................... 59
© 2015 | Seite 4Interner Datenschutzbeauftragter in der Apotheke
Datenschutzrecht in der Apotheke
Bei dem Thema Datenschutz handelt es sich um ein sehr umfassendes und weitgefä-
chertes Thema. Das vorliegende Skript soll einen ersten Überblick verschaffen, wel-
che Vorgaben in Apotheken hinsichtlich des Themas Datenschutz einzuhalten sind, in
welchen Bereichen es zu Berührungspunkten mit dem Datenschutz kommt und wie
man die Mitarbeiter in den Apotheken für das Thema Datenschutz sensibilisieren
kann.
I. Was ist Datenschutz:
Um sich über die Vorschriften mit datenschutzrechtlicher Relevanz zu informieren,
müssen sich Apothekenleiter und -mitarbeiter mit verschiedenen gesetzlichen Rege-
lungen auseinandersetzen. Ausgangspunkt für den Datenschutz ist das Grundrecht
der informationellen Selbstbestimmung, welches aus der allgemeinen Handlungsfrei-
heit und der Menschenwürde, Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG hergeleitet wird.
Dieses räumt jedem Menschen das Recht ein, selbst zu bestimmen, welche Informa-
tionen über ihn, wann, wo und wie bekannt gegeben werden. Es ist eine Art generel-
les Verbot, Daten ohne Zustimmung einer Person, über diese zu erheben.
Aus diesem Grund normiert § 1 Abs. 1 BDSG, dass es Zweck des Gesetzes sei, den
einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezo-
genen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
§1 Abs. 1 BDSG:
„Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, dass er durch den Umgang
mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“
Der Datenschutz begrenzt damit die wirtschaftliche Betätigung im Bereich der Da-
tenverarbeitung auf das erforderliche Maß und auf einen gesellschaftlich verträgli-
chen Umfang. Maßgeblich für den Datenschutz in Apotheken sind vor allem die Re-
gelungen des Bundesdatenschutzgesetzes. Daneben enthalten zahlreiche andere
Gesetze, wie beispielsweise das Telemediengesetz, das Apothekengesetz, die Ver-
© 2015 | Seite 5Interner Datenschutzbeauftragter in der Apotheke
ordnung über den Betrieb von Apotheken, ebenso wie die Berufsordnung für Apo-
thekerinnen und Apotheker bereichsspezifische Sonderregeln zum Datenschutz. Ne-
ben der Anwendbarkeit des Strafgesetzbuches, der Berufsordnung und der Strafpro-
zessordnung sind auch noch die europäischen Verordnungen zum Datenschutz an-
wendbar.
Nachfolgend sollen die wichtigsten Anforderungen aus dem BDSG und ausgewähl-
ten Spezialgesetzen überblicksartig dargestellt werden.
1. Datenschutz betrifft:
Datenschutz betrifft die Informationen über natürliche Personen. § 3 Abs. 1 BDSG
enthält dabei eine Vielzahl von Legaldefinitionen, die den Gesetzesanwender dabei
behilflich sein sollen, das Bundesdatenschutzgesetz und den Zweck des Bundesda-
tenschutzgesetzes zu verstehen.
§ 3 Abs. 1 BDSG :
„Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse
einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“
Darin wird zum Beispiel definiert, was personenbezogene und besondere Arten per-
sonenbezogener Daten sind.
1.1. Personenbezogene Daten:
1.1.1. Einzelangaben:
Einzelangaben sind Informationen, die sich auf eine bestimmte -einzelne- natürliche
Person beziehen oder geeignet sind, einen Bezug zu ihr herzustellen; z.B. Name, Aus-
weisnummer, Versicherungsnummer, Telefonnummer. Keine Einzelangaben im Sinne
des Gesetzes sind Angaben, die sich zwar auf eine einzelne Person beziehen, die
aber nicht identifizierbar ist. Einzelangaben sind ferner nicht gegeben, bei anonymi-
sierten Daten sowie bei Sammelangaben über Personengruppen. Wird jedoch eine
Einzelperson als Mitglied einer Personengruppe gekennzeichnet, über die bestimmte
Angaben gemacht werden, so handelt es sich auch um Einzelangaben zu dieser
Person, wenn die Daten auf die Einzelperson durchschlagen.
© 2015 | Seite 6Interner Datenschutzbeauftragter in der Apotheke
1.1.2. Persönliche oder sachliche Verhältnisse:
Die Einzelangaben müssen Aussagen enthalten über persönliche oder sachliche
Verhältnisse der natürlichen Person. Es muss sich also um Daten handeln, die Informa-
tionen über den Betroffenen selbst oder über einen auf ihn beziehbaren Sachverhalt
enthalten.
Als persönliche Verhältnisse werden Angaben über den Betroffenen selbst, seine
Identifizierung und Charakterisierung anzusehen sein, wie z.B. Name, Anschrift, Fami-
lienstand, Geburtsdatum, Staatsangehörigkeit, Konfession, Beruf, Erscheinungsbild,
Eigenschaften, Aussehen, Gesundheitszustand, Überzeugungen. Ferner gehören hier-
zu Fotografieren, Fingerabdrücke oder Röntgenbilder.
Sachliche Verhältnisse werden beschrieben durch Angaben über einen auf den Be-
troffenen beziehbaren Sachverhalt, z.B. seinen Grundbesitz, vertragliche oder sonsti-
ge Beziehungen zu Dritten, so auch das Führen eines Telefongespräches mit Dritten.
1.1.3. Bestimmte/bestimmbare Personen:
Personenbezogen sind nur die Daten, die sich auf eine bestimmte oder bestimmbare
natürliche Person beziehen. Ersteres ist der Fall, wenn die Daten mit dem Namen des
Betroffenen verbunden sind, oder sich aus dem Inhalt bzw. dem Zusammenhang der
Bezug unmittelbar herstellen lässt. Für die Bestimmbarkeit kommt es auf die Kenntnis-
se, Mittel und Möglichkeiten der speichernden Stelle an. Sie muss den Bezug mit den
ihr normaler Weise zur Verfügung stehenden Hilfsmitteln und ohne unverhältnismäßi-
gen Aufwand durchführen können. Werden beispielsweise anonyme Daten an eine
Stelle übermittelt, die in der Lage ist, den Personenbezug herzustellen, so ist der
Übermittlungstatbestand des BDSG erfüllt.
1.1.4. Natürliche Person:
Geschützt vom Anwendungsbereich des BDSG sind natürliche Personen. Juristische
Personen (Aktiengesellschaften, GmbHs, etc.), Verstorbene, oder aber der nasciturus
sind vom Anwendungsbereich des Bundesdatenschutzgesetzes nicht umfasst. Das
Gesetz geht davon aus, dass der Betroffene eine handelnde, d.h. eine lebende Per-
son ist, wie sich aus den Kontroll-und Mitwirkungspflichten ergibt.
© 2015 | Seite 7Interner Datenschutzbeauftragter in der Apotheke
1.1.5. Verbot mit Erlaubnisvorbehalt:
Im BDSG ist ein sogenanntes Verbot mit Erlaubnisvorbehalt verankert. Das heißt, es
gibt ein generelles Verbot der Verwendung personenbezogener Daten, egal ob Er-
hebung, Verarbeitung oder Nutzung. Nur in Ausnahmefällen, beispielsweise bei Ein-
willigung des Betroffenen, etwa bei Kundenkarten oder bei gesetzlicher Erlaubnis,
zum Beispiel die Rezeptabrechnung über ein Apothekenrechenzentrum gemäß § 302
Sozialgesetzbuch V, darf man sich darüber hinwegsetzen (Erlaubnisvorbehalt).
LIEB.Rechtsanwälte empfehlen:
„Bevor man personenbezogene Daten erhebt verarbeitet oder nutzt, sollte zunächst
darüber nachgedacht werden, ob ein Gesetz dies erlaubt. Ist dies nicht der Fall, soll-
te zumindest geprüft werden, ob eine Einwilligung gemäß § 4a Abs. 1 BDSG vorliegt.
Ist wieder ein Gesetz, noch eine Einwilligung zu finden, dürfte im Zweifel das Erheben
Verarbeiten oder Übermitteln von personenbezogenen Daten rechtswidrig sein.“
Die Frage des Datenschutzes stellt sich in der Apotheke folglich vor allem im Hinblick
auf Daten von Kunden, anderen Geschäftspartnern, Lieferanten, Bewerbern und
Mitarbeitern.
Keine Probleme mit dem Datenschutz gibt es bei anonymisierten oder pseudonymi-
sierten Daten, gemäß § 3 Abs. 6,6a BDSG.
1.2. Anonymisieren und Pseudonymisieren
§ 3 Abs. 6, 6a BDSG:
„Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben
über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismä-
ßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren
natürlichen Person zugeordnet werden können.“
„Unter Pseudonymisieren versteht man das Ersetzen des Namens und anderer Identifikations-
merkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszu-
schließen oder wesentlich zu erschweren.“
© 2015 | Seite 8Interner Datenschutzbeauftragter in der Apotheke
Das Anonymisieren von Daten kann dadurch geschehen, dass aus einem Bestand
personenbezogener Daten, Angaben ohne Personenbezug per entsprechender
Auswertung herausgefiltert und für planerische oder statistische Zwecke genutzt wer-
den, wobei die diesbezügliche Veränderung und die nachfolgende Nutzung oder
Verarbeitung mangels Personenbezug der Daten nicht mehr den Regeln des Bun-
desdatenschutzgesetzes unterliegen. Sie kann dadurch geschehen, dass der Perso-
nenbezug insgesamt durch Löschung der Identifikationsmerkmale entfällt. Werden
von vornherein Daten ohne Personenbezug erhoben und gespeichert, so findet das
BDSG mangels Verarbeitung und Nutzung personenbezogener Daten von vorneher-
ein keine Anwendung. Die Daten sind jedoch nur dann anonym, wenn der Perso-
nenbezug nicht mehr herstellbar, d.h. eine RE-Anonymisierung unmöglich, ist.
§ 295 Abs. 2 iVm. § 291 Abs. 2 Nr. 1,6, 7 SGB V schreibt beispielsweise die Anonymisie-
rung der Abrechnungsdaten der kassenärztlichen Vereinigung explizit vor. Familien-
name und Vorname des Versicherten müssen nicht weitergegeben werden.
Pseudonymisierung hat das Ziel, die unmittelbare Kenntnis der vollen Identität des
Betroffenen während solcher Verarbeitungs-und Nutzungsvorgänge, bei denen der
Personenbezug nicht zwingend erforderlich ist, auszuschließen. Die Daten werden
durch eine Zuordnungsvorschrift derart verändert, dass die Einzelangaben ohne
Kenntnis oder Nutzung der Zuordnungsvorschrift nicht mehr einer natürlichen Person
zugeordnet werden können.
Generell lohnt es sich, immer zu hinterfragen, welche Daten an Dritte weitergegeben
werden müssen und welche nicht.
Beispiel:
Bei der Bestellung von Kompressionsstrümpfen reichen der beauftragten Firma die
Maße des Patienten. Name, Geburtsdatum und Adresse sind nicht notwendig, um
den Auftrag ausführen zu können. Der Kunde kann in die Apotheke kommen, um
sich die maßangefertigten Strümpfe abzuholen.
1.3. Schweigepflicht und Datengeheimnis
Selbstverständlich unterliegen alle Daten der Apothekenkunden der Schweigepflicht.
Diese ist regelmäßig in der Berufsordnung der zuständigen Apothekerkammer zu fin-
den. In Bayern in § 14 der Berufsordnung für Apothekerinnen und Apotheker. Dort
© 2015 | Seite 9Interner Datenschutzbeauftragter in der Apotheke
wird der Apothekenleiter verpflichtet, alle Mitarbeiter schriftlich zur Verschwiegenheit
zu verpflichten. Das sollte gerade auch bei Boten, Praktikanten und kurzzeitig Be-
schäftigten nicht vergessen werden. Zudem müssen Mitarbeiter auf das Datenge-
heimnis nach § 5 BDSG verpflichtet werden.
§ 5 BDSG :
„Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene
Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen
sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tä-
tigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Be-
endigung ihrer Tätigkeit fort.“
Nach dieser Vorschrift ist es untersagt, personenbezogene Daten unbefugt zu erhe-
ben, zu verarbeiten oder zu nutzen. Angesprochen werden die bei der Datenverar-
beitung beschäftigten Personen, d.h. § 5 liegt den Beschäftigten persönlich unmit-
telbar Pflichten auf, während sich das BDSG ansonsten an die Daten verarbeitenden
Stellen gemäß § 1 Abs. 2 BDSG als Normadressat wendet. Wer beispielsweise im Lau-
fe seiner dienstlichen oder beruflichen Tätigkeit bekannt gewordene Daten zu priva-
ten Zwecken nutzt, missbrauchst zwar, kann aber nach der Strafvorschrift nicht zur
Rechenschaft gezogen werden. Allenfalls kommt eine Strafbarkeit nach § 203 StGB in
Betracht. In jeden Fall kann aber eine unbefugte zweckentfremdete Verwendung
der Daten, dienst-oder arbeitsvertragliche Konsequenzen auslösen.
LIEB.Rechtsanwälte raten:
„Halten sich Dritte in der Apotheke auf, zum Beispiel Handwerker, oder Reinigungs-
personal, ist sicherzustellen, dass diese keinen Zugriff auf personenbezogene Daten
haben. Ansonsten sollten Sie, diesen Personen eine Datenschutzerklärung zur Unter-
schrift vorlegen.“ Einen Formulierungsvorschlag finden Sie am Ende unseres Skriptes.
Sinnvoll ist es zudem, alle Mitarbeiter darüber zu belehren, dass die Schweigepflicht
umfassend gilt, also auch gegenüber den Angehörigen der Kunden, nicht beteilig-
ten Kollegen und Ärzten.
© 2015 | Seite 10Interner Datenschutzbeauftragter in der Apotheke
Die Verletzung der Verschwiegenheitspflicht wird im § 203 des Strafgesetzbuchs
(StGB) unter Strafe gestellt:
§ 203 Verletzung von Privatgeheimnissen (Auszug)
(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich
gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als
1.Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die
Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung
erfordert,
2.Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlußprüfung,
3.Rechtsanwalt, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren,
Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Or-
gan oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-,
Buchprüfungs- oder Steuerberatungsgesellschaft,
anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr
oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer …
(2a) Die Absätze 1 und 2 gelten entsprechend, wenn ein Beauftragter für den Datenschutz
unbefugt ein fremdes Geheimnis im Sinne dieser Vorschriften offenbart, das einem in den
Absätzen 1 und 2 Genannten in dessen beruflicher Eigenschaft anvertraut worden oder sonst
bekannt geworden ist und von dem er bei der Erfüllung seiner Aufgaben als Beauftragter für
den Datenschutz Kenntnis erlangt hat.
(3) Einem in Absatz 1 Nr. 3 genannten Rechtsanwalt stehen andere Mitglieder einer Rechts-
anwaltskammer gleich. Den in Absatz 1 und Satz 1 Genannten stehen ihre berufsmäßig täti-
gen Gehilfen und die Personen gleich, die bei ihnen zur Vorbereitung auf den Beruf tätig sind.
Den in Absatz 1 und den in Satz 1 und 2 Genannten steht nach dem Tod des zur Wahrung des
Geheimnisses Verpflichteten ferner gleich, wer das Geheimnis von dem Verstorbenen oder
aus dessen Nachlaß erlangt hat.
(4) Die Absätze 1 bis 3 sind auch anzuwenden, wenn der Täter das fremde Geheimnis nach
dem Tod des Betroffenen unbefugt offenbart.
(5) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu berei-
chern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren o-
der Geldstrafe.
© 2015 | Seite 11Interner Datenschutzbeauftragter in der Apotheke
In der Strafprozessordnung wird dem Apotheker ferner bei einer Vernehmung ein
Zeugnisverweigerungsrecht gewährt.
§ 53 StPO (Auszug)
(1) Zur Verweigerung des Zeugnisses sind ferner berechtigt
1.Geistliche über das, was ihnen in ihrer Eigenschaft als Seelsorger anvertraut worden oder
bekanntgeworden ist;
2.Verteidiger des Beschuldigten über das, was ihnen in dieser Eigenschaft anvertraut worden
oder bekanntgeworden ist;
3.Rechtsanwälte, Patentanwälte, Notare, Wirtschaftsprüfer, vereidigte Buchprüfer, Steuerbe-
rater und Steuerbevollmächtigte, Ärzte, Zahnärzte, Psychologische Psychotherapeuten, Kin-
der- und Jugendlichenpsychotherapeuten, Apotheker und Hebammen über das, was ihnen
in dieser Eigenschaft anvertraut worden oder bekanntgeworden ist, Rechtsanwälten stehen
dabei sonstige Mitglieder einer Rechtsanwaltskammer gleich;
(2) Die in Absatz 1 Satz 1 Nr. 2 bis 3b Genannten dürfen das Zeugnis nicht verweigern, wenn
sie von der Verpflichtung zur Verschwiegenheit entbunden sind. Die Berechtigung zur Zeug-
nisverweigerung der in Absatz 1 Satz 1 Nr. 5 Genannten über den Inhalt selbst erarbeiteter
Materialien und den Gegenstand entsprechender Wahrnehmungen entfällt, wenn die Aus-
sage zur Aufklärung eines Verbrechens beitragen soll oder wenn Gegenstand der Untersu-
chung
Darauf kann er sich zum Beispiel berufen, wenn beispielsweise ein drogensüchtiger
Kunde wegen Rezeptfälschung, also einer Urkundenfälschung, vor Gericht steht.
Achtung:
„Sagt der Apotheker gegen den Willen des Kunden aus, macht also nicht vom Zeug-
nisverweigerungsrecht Gebrauch, kann das für ihn strafrechtliche Konsequenzen ha-
ben. Er riskiert die eigene Strafbarkeit nach § 203 StGB, da er berufsrechtlich zur Ver-
schwiegenheit verpflichtet ist.“
© 2015 | Seite 12Interner Datenschutzbeauftragter in der Apotheke
II. Warum ist Datenschutz in der Apotheke
relevant:
Als größte Errungenschaft des Datenschutzes in Deutschland gilt das sogenannte
Volkszählungsurteil, eine Grundsatzentscheidung des Bundesverfassungsgerichts aus
dem Jahr 1983. Aufbauend auf diesem Urteil genießt das Recht auf informationelle
Selbstbestimmung nunmehr Grundrechtschutz.
Das Grundgesetz vermittelt dem Einzelnen Schutz, vor unbegrenzter Erhebung, Spei-
cherung, Verwendung und Weitergabe seiner persönlichen Daten.
Gerade persönliche Daten werden zwangsläufig in Rahmen des Apothekenalltags
erhoben, verarbeitet und genutzt. Die Belieferung von Rezepten, die Ausgabe von
Kundenkarten und Auskünfte am Telefon, zeigen exemplarisch, dass das Apothe-
kenpersonal ständig mit personenbezogenen Daten der Patienten/Kunden umgeht.
Der Datenschutz endet jedoch nicht bei den Kunden. Selbstverständlich sind auch
die Daten der Mitarbeiter zu schützen.
Zunächst werden somit die einzelnen Berührungspunkte im Rahmen des Apotheken-
ablaufs skizziert. Insbesondere ist der Aufbau und die Ausgestaltung der Apotheke, im
Hinblick auf die Apothekenbetriebsordnung zu behandeln:
1. Die Offizin:
1.1. Räumlichkeiten:
Der Datenschutz beginnt bereits in den Räumlichkeiten der Apotheke, ja sogar mit
dem Betreten der selbigen. So spricht bereits die Verordnung über den Betrieb von
Apotheken in § 4 Absatz 2a ApBetrO davon, dass die Offizin so gestaltet werden
muss, dass ausgeübte wesentliche Aufgaben, insbesondere die Beratung von Patien-
ten und Kunden, genügend Raum bleibt. Die Offizin muss so eingerichtet sein, dass
die Vertraulichkeit der Beratung, insbesondere an den Stellen, an denen Arzneimittel
an Kunden abgegeben werden, so gewahrt wird, dass das Mithören des Beratungs-
gesprächs durch andere Kunden weitestgehend verhindert wird.
© 2015 | Seite 13Interner Datenschutzbeauftragter in der Apotheke
Bereits der Wortlaut der Verordnung ist derart detailliert gefasst, dass jedem Betreiber
einer Apotheke klar sein muss, dass die Offizin so ausgestaltet werden muss, dass we-
der Beratungsgespräch, noch Inhalt der vom Patienten/Kunden an den Apotheker
übergebenen Daten unberechtigten Dritten zu Ohren gelangt. Diskretion muss das
oberste Gebot sein. So sollte bei einem Kundenandrang gewährleistet sein, dass aus-
reichend Abstand zwischen den Kunden besteht. Gleichwohl sollte das Apotheken-
personal darauf achten, die Stimme, dem Kundenaufkommen anzupassen.
1.2. Handverkaufstische:
In der Offizin sind die Handverkaufstische der Ort in der Apotheke, an dem die Kun-
den ihre Wünsche äußern und Sie Informationen über die Arzneimittel verschaffen.
Dieser Bereich sollte möglichst so gestaltet werden, dass ein Mithören der Kundenge-
spräche durch andere Kunden weitgehend ausgeschlossen ist. Auch das Verwahren
von Rezepten auf den Handverkaufstischen ist zu überdenken. Die nachfolgenden
Kunden dürfen die Rezepte nicht lesen oder gar unbemerkt mitnehmen können. Auf
vielen Handverkaufstischen finden sich nunmehr auch PC-Bildschirme. Wartende
Kunden dürfen nicht die Möglichkeit haben, diese einzusehen. Datenschutz bedeu-
tet auch, dass Kundendaten nicht auf dem PC-Bildschirm für Dritte, also Apotheken-
fremde, lesbar sind.
Deshalb sollten die Bildschirme so stehen und positioniert sein, dass andere Kunden
diese nicht einsehen können. Was die Rezepte betrifft, sollten diese auch bei starkem
Kundenverkehr, niemals für andere Kunden lesbar oder gar greifbar auf dem HV-
Tisch liegen. Verstöße gegen den Datenschutz wie diese, wurden schon mehrfach
der zuständigen Datenschutzbehörde angezeigt und mit einem Bußgeld bestraft. Die
Höhe des Bußgeldes ist dabei abhängig von der sonstigen Qualität des Datenschut-
zes, insbesondere den Umständen des Einzelfalls und der Strenge der jeweiligen Auf-
sichtsbehörde.
1.3. Diskretionszone und Beratungsecke der Offizin:
Spätestens seit 1999 müssen alle Apotheken so eingerichtet sein, dass die Vertrau-
lichkeit der Beratung gewährleistet wird. Dies wurde in vielen Apotheken so interpre-
tiert, dass ein Beratungsraum eingerichtet oder eine Beratungsecke abgetrennt wur-
de. Dieser Beratungsraum ist nach wie vor unerlässlich, etwa für Blutuntersuchungen,
Gespräche im Rahmen der Pharmazeutischen Betreuung oder aber zum Anmessen
© 2015 | Seite 14Interner Datenschutzbeauftragter in der Apotheke
von Kompressionsstrümpfen, das nicht im Verkaufsraum erfolgen kann. Aber der Be-
ratungsraum allein reicht bei Weitem nicht aus. Banal aber wichtig erscheint schon
der Rat, diesen vor allem zu nutzen. Es ist wichtig, dass jedes einzelne Gespräch zwi-
schen einem Mitarbeiter der Apotheke und dem Kunden diskret verläuft. Sollte dies
lediglich in der Beratungsecke möglich sein, ist diese aufzusuchen. Die Diskretionszo-
ne kann schnell verletzt werden. Bestehen Sie darauf, die Beratungsecke aufzusu-
chen. Der Kunde wird meist kein Interesse daran haben, möchte vielmehr eine
schnelle Bearbeitung. Gerade in dieser Hinsicht obliegt es Ihnen, den Schutz der Da-
ten im Hinterkopf zu haben.
In vielen Apotheken ist die Offizin schon so gestaltet, dass jedes Beratungsgespräch
vertraulich bleibt. Auch wenn eine innenarchitektonische Lösung der Königsweg ist,
so können Diskretionszonen in jeder Apotheke schnell und effektiv eingerichtet wer-
den. Oft reicht es schon aus, auf dem Boden mit einem Klebeband eine Wartelinie zu
markieren. Kunden kennen dies beispielsweise von Banken oder der Post und akzep-
tieren solche Abtrennungen schnell. Ebenso zeigt ein einfaches Hinweisschild, auf
dem HV-Tisch oder als Bodenständer, gute Erfolge. Ein durchgehender HV-Tisch kann
mit Trennwänden oder Ständern in zwei oder drei »Beratungsbuchten« unterteilt wer-
den. Zusätzlich bietet sich an, die Abtrennung noch durch Regale aus dem Freiwahl-
bereich, die an den HV-Tisch herangeschoben werden, zu verstärken. Der Kreativität
sind keine Grenzen gesetzt.
1.4. Videoüberwachung:
Der Datenschutz beginnt schon an der Eingangstür. Dies ist relevant für die Apothe-
ken, die eine Videoüberwachung installiert haben.
§ 6b BDSG nimmt Bezug auf die »Beobachtung öffentlich zugänglicher Räume mit
optisch-elektronischen Einrichtungen«. Daraus leitet sich ab, dass Apotheken, die in
der Freiwahl eine Videoüberwachungs-Anlage (oder eine Attrappe) installieren, die-
se sichtbar kennzeichnen müssen – möglichst direkt am Eingang. Hierzu sollte an der
Eingangstür ein entsprechender Hinweis angebracht werden. In nicht öffentlich zu-
gänglichen Bereichen ist eine Videoüberwachung nur in bestimmten Fällen erlaubt.
Ein heimliches Filmen ist nie rechtmäßig. Gleiches gilt etwa für Aufnahmen in Berei-
chen der privaten Lebensgestaltung, zum Beispiel in Sanitärräumen, in den Umklei-
den, so es solche gibt, oder im Nachtdienstzimmer.
© 2015 | Seite 15Interner Datenschutzbeauftragter in der Apotheke
1.5. Die Rezepte:
Können die Rezepte nicht vom HV-Tisch entfernt werden, sollten die Mitarbeiter sie
zumindest umdrehen, in der Hand behalten, oder in einer undurchsichtigen Hülle ver-
stauen. Rezepte enthalten viele sensible Daten. Daher darf man nicht mehr benötig-
te Privatrezepte, grüne Rezepte oder Kopien, die dem Kunden nicht mitgegeben
werden können, auf keinen Fall lediglich in den Papierkorb werfen. Diese Rezepte
müssen durch den Aktenvernichter (dieser sollte mindestens Stufe 4 für geheim zuhal-
tendes Schriftgut der DIN-Norm 32757 entsprechen).
Bei Unklarheiten auf dem Rezept sollten die Apothekenmitarbeiter den Patienten
fragen, ob sie den Arzt kontaktieren dürfen. In der Regel dürfte das kein Problem dar-
stellen, da der Kunde selbst an der Klärung interessiert ist. Der Patient sollte die Mög-
lichkeit haben, das Gespräch mithören. Unter Verweis auf die Beratungsecke ist der
HV-Bereich selbstverständlich kein guter Ort für Telefonate, da andere Personen mit-
hören könnten.
Will man sich, zum Beispiel mit einem Arzt, per E-Mail über ein Rezept austauschen, so
dürfen Sie das Rezept nicht einscannen und dann unverschlüsselt, oder als Anhang
versenden. Die Daten der Kunden müssen verschlüsselt werden. Sollte die E-Mail ab-
gefangen werden, gelangen sensible Daten Dritten zur Kenntnis. Folgeansprüche
drohen. Sollte eine Verschlüsselung nicht möglich sein, muss sollte im Hinblick auf den
Datenschutz davon abgeraten werden. Sollte der Kunde trotz dieses Defizits den-
noch zustimmen, kann die E-Mail versendet werden.
1.6. Statistiken:
Statistiken müssen ebenfalls in datenschutzrechtlicher Hinsicht gewürdigt werden. So
ist es gängige Praxis, dass am Ende des Monats die Rezepte abgeholt und eingele-
sen werden.
Gesundheitsdaten bzw. Rezeptdaten sind besonders sensible Daten und werden
durch das Bundesdatenschutzgesetz und verschiedene Spezialgesetze (Sozialge-
setzbuch, Strafgesetzbuch) besonders geschützt. Die Einschaltung externer Rechen-
zentren durch Apotheken und die Datenverarbeitung durch diese Rechenzentren ist
© 2015 | Seite 16Interner Datenschutzbeauftragter in der Apotheke
im Rahmen von § 300 Abs. 1 SGB V l zulässig. Sinn der (anonymisierten) Datenweiter-
gabe ist etwa, Erfolge von Werbemaßnahmen zu messen und das Außendienst- und
Vertriebsmanagement zu optimieren. Die Unternehmen haben dadurch die Mög-
lichkeit, das) Verschreibungsverhalten von Ärzten zu überprüfen und ihre Werbe- und
Vertriebsstrategien darauf abzustimmen. Dieses Verfahren ist jedoch nur solange zu-
lässig, wie aus den aufbereiteten Daten keinerlei Rückschlüsse auf konkrete Personen
möglich ist.
Vermeiden Sie es also, weder Name des verschreibenden Arztes, noch Name des
Patienten zu speichern und an die Pharma-Unternehmen weiterzugegeben.
1.7. Dokumentation:
Auch wenn der Kunde die Apotheke wieder verlassen hat, bestehen die Anforde-
rungen an den Datenschutz selbstverständlich weiter. Das ist am Beispiel von Doku-
mentationspflichten leicht zu erklären.
Von Betäubungsmitteln, über verschreibungspflichtige Tierarzneimittel, bis hin zum
Erwerb und Abgabe von Produkten, die unter das Transfusionsgesetz fallen, enthal-
ten diese Aufzeichnungen personenbezogene Daten, an die Unbefugte nicht heran-
kommen dürfen. Gerade auch dann nicht, wenn die Aufbewahrungspflicht bereits
abgelaufen ist.
Zu entsorgende Unterlagen sind ein Fall für den Aktenvernichter. Dort hinein gehören
auch nicht mehr benötigte Faxe, die personenbezogene Daten enthalten. Beim Ver-
senden von Kundendaten per Fax ist sicherzustellen, dass dieses ausschließlich den
berechtigten Empfänger erreicht. Faxe sollte man dem Empfänger unter Umständen
vorher ankündigen. Bei Faxen an den Arbeitsplatz, sollte man diese ankündigen und
sich den Empfang gegebenenfalls bestätigen lassen.
Faxe, die in der Apotheke ankommen, müssen sofort aus dem Gerät entnommen
werden. Es sollten nirgendwo in der Apotheke, auch nicht auf dem Büroschreibtisch
des Inhabers der Apotheke, sensible Daten in Papierform länger liegengelassen wer-
den. Sinnvoll ist es, Unterlagen in der Apotheke, im Hinblick auf die Sensibilität der
Daten, in Kategorien einzuteilen und zu kennzeichnen. Das QM-Handbuch beinhaltet
bspw. Daten zum internen Gebrauch. Streng vertraulich, sind Personalakten. Persön-
lich wären Gehaltsabrechnungen und Beurteilungen der Mitarbeiter.
© 2015 | Seite 17Interner Datenschutzbeauftragter in der Apotheke
1.8. Auskünfte an nahe Angehörige, oder dergleichen:
Ein häufiges Problem sind Auskünfte an Angehörige. Zum Vergleich: Wenn der Ehe-
partner die Post des Ehegatten öffnet, ist dies ein Straftatbestand. Deshalb sollten
auch Auskünfte auf der Basis von Kundenkarten nur dem Kunden selbst erteilt wer-
den dürfen. Was also tun, wenn Angehörige zum Beispiel Zuzahlungsbescheinigun-
gen des Ehepartners verlangen? Eine Möglichkeit ist es, die Bescheinigung auf dem
Postweg zu versenden. Am Telefon ist eine Auskunft zu persönlichen Daten immer
verboten, wenn die sichere Identifikation des Anrufers nicht gewährleistet ist.
Auch den Strafverfolgungsbehörden darf man nicht ohne Weiteres am Telefon Aus-
kunft erteilen. Wir raten Ihnen dazu, um eine persönliche Vorsprache des Beamten
oder eine schriftliche Anfrage zu bitten. Mitarbeiter sollten immer auch die Apothe-
kenleitung in den Fall einbeziehen.
Und wie sieht es bei Minderjährigen aus? Dürfen Eltern eine Auskunft über ihre Kinder
erhalten?
LIEB.Rechtsanwälte raten:
„Gerade bei schon verständigen und einsichtsfähigen Minderjährigen kurz vor der
Volljährigkeit kann es zu Konflikten zwischen dem Auskunftsanspruch der Eltern und
der Schweigepflicht gegenüber dem Minderjährigen kommen. Stellen Sie sich vor,
der Vater eines 15-jährigen Mädchens ruft sie an und fragt Sie darüber aus, ob seine
Tochter die Antibabypille bezieht. Hier ist Vorsicht geboten. Gehen Sie auf Nummer
sicher und machen Sie von ihrem Schweigerecht Gebrauch. Notfalls muss der Erzie-
hungsberechtigte in Beisein mit dem Minderjährigen vorstellig werden und um Aus-
kunft bitten. Bei kleineren Kindern haben sorgeberechtigte Elternteile Auskunftsan-
sprüche. Auch hier gilt wieder der Grundsatz, dass das Schweigen im vorliegenden
Fall besser ist, als die Auskunftserteilung.“
1.9. Die Kundenkarte:
Viele Apotheken wollen ihre Patienten mithilfe einer Kundenkarte an die Apotheke
binden. Dabei ist zu beachten, dass alle Karteninhaber zuvor eine datenschutzrecht-
liche Einwilligungserklärung abgeben müssen. Die besagte Einwilligungserklärung
sollte bestenfalls schriftlich erfolgen. Regelmäßig werden hierbei von Apotheken Kar-
© 2015 | Seite 18Interner Datenschutzbeauftragter in der Apotheke
tenanträge genutzt, die ausdrücklich auf die datenschutzrechtliche Einwilligung hin-
weisen.
LIEB.Rechtsanwälte raten:
„Überprüfen Sie die von Ihnen verwendeten Kartenanträge. Sollten diese keine Ein-
willigungserklärung beinhalten, ist davon abzuraten, diese weiterhin zu benutzen. Bei
Schriftform sind sie weitestgehend sicher. Ändern Sie das!“
Die Einwilligungserklärung der Kunden muss sich auf die personenbezogenen und
ausdrücklich auch auf die Gesundheitsdaten beziehen. Sie sollte immer schriftlich
erfolgen und an einem für Unbefugte nicht zugänglichen Ort sicher aufbewahrt wer-
den. Es gibt keine feste Frist, wann ungenutzte Kundenkarten zu löschen sind.
LIEB.Rechtsanwälte raten:
„Eine Löschung nach drei Jahren ist sinnvoll; wir weisen jedoch darauf hin, dass eini-
ge Steuerberater wegen des steuerlichen Bezugs der Daten eine Aufbewahrung von
zehn Jahren für sinnvoll erachten. Laut BDSG (§ 4a, Absatz 1) ist die Einwilligungserklä-
rung (optisch) besonders hervorzuheben, wenn sie zusammen mit anderen Erklärun-
gen erteilt wird.“
Selbstverständlich ist ebenfalls der Fall zu würdigen, dass die Kundendaten infolge
Ruhestand oder Tod des Apothekers oder bei einem Verkauf der Apotheke nicht au-
tomatisch an den Nachfolger übergehen.
Dürfen Kundendaten bei einem Verkauf der Apotheke an den Nachfolger überge-
ben werden und was ist dabei zu beachten?
Im Kammerrundschreiben (Mai/Juni 2012) informiert die Landesapothekerkammer
Hessen zu diesem Thema.
© 2015 | Seite 19Interner Datenschutzbeauftragter in der Apotheke
„Sofern nicht ausdrücklich anders vereinbart, willigt der Kunde beim Erwerb einer
Kundenkarte durch seine Einverständniserklärung nur in das Speichern seiner perso-
nenbezogenen Daten bei dem Apotheker seines Vertrauens ein. Der Kunde muss frei
darüber entscheiden können, ob er seine Daten weitergeben will oder nicht. Daher
ist für die Übermittlung der gespeicherten Daten an einen Dritten bei einem Verkauf
der Apotheke erneut eine Einwilligung, und zwar eine vorherige Einverständniserklä-
rung des Betroffenen, erforderlich. Die Kammer plädiert dafür, die schriftliche Einwilli-
gung jedes betroffenen Kunden einzuholen.“
Weiter heißt es in dem Rundschreiben:
„Zu überlegen wäre, ob Apotheken ihre Kundenkarten dahingehend überarbeiten,
dass diese eine Einwilligungserklärung auch zur Weitergabe der Kundendaten an
einen Rechtsnachfolger für den Fall eines Apothekenverkaufs enthalten.“
LIEB.Rechtsanwälte raten:
„Es bietet sich an, im Falle eines Verkaufs der Apotheke erneut eine Einwilligungser-
klärung der jeweiligen Kundenkarteninhaber einzuholen. Dass dies umständlich und
eventuell mühsam ist, dürfte jedoch im Hinblick auf der der Apotheke eventuell dro-
hende Bußgelder das geringere Übel darstellen. Somit bietet sich an, bereits bei Be-
antragung der Kundenkarte die Einwilligungserklärung auf etwaige Rechtsnachfolger
zu erstrecken.“
Von der Ausgabe einer Kundenkarte ist daher abzuraten, wenn der Kunde die Erklä-
rung nicht oder nur mündlich abgeben will. Im Falle eines Streits müssen Sie die Einwil-
ligung beweisen. Oftmals steht Aussage gegen Aussage!
Grundsätzlich sollte man nur Daten erfassen, die tatsächlich benötigt werden. Gän-
gig ist auch, dass die Bewohner belieferter Altenheime in der Kundendatei der Apo-
theke eingetragen sind. Wenn man nicht von allen einzeln die Einwilligung einholen
will, oder kann, ist es sinnvoll, beim Abschluss des Vertrags mit der Heimleitung fest-
zuhalten, dass diese sich um die Einwilligungen kümmert.
Was in der Praxis bereits häufiger zu Ärger geführt hat, sind Antragsformulare für Kun-
denkarten, auf denen nicht alles aufgeführt ist, was die Apotheke mit den Daten tun
wird.
© 2015 | Seite 20Interner Datenschutzbeauftragter in der Apotheke
Beispiel:
Thema Geburtstagskarte. Sollten Sie im Rahmen der Kundenpflege eine Geburts-
tagskarte versenden wollen, muss dieser „Service“ explizit im Kartenauftrag vermerkt
sein.
Die Geburtstagskarte kann zum Bumerang werden, wenn Verstorbene eine Karte
zum Geburtstag bekommen. Sind in den Kundenkartenanträgen solche Geburts-
tagsaktionen nicht aufgeführt, können Angehörige gegen Datenschutzverstöße der
Apotheke vorgehen. Auch Post aus einer Filialapotheke, die ohne Kenntnis des Kar-
teninhabers auf die Daten zurückgreift, kann zu Irritationen führen.
Schlichtweg verboten sind auch in der EDV gespeicherte Daten, die ein Werturteil
enthalten, etwa „Nervensäge“, „Pfennigfuchser“ oder „schwieriger Kunde“. Möglich
ist aber, auf Tatsachen wie „offene Rechnung“ oder „bisher nicht abgeholter Bestel-
lartikel“ hinzuweisen.
Generell hat der Kunde ein Recht auf schriftliche Auskunft über die zu seiner Person
gespeicherten Daten. Dies muss er in der Apotheke kundtun, aber nicht begründen.
Die Unentgeltlichkeit dieser Auskunft ist ausdrücklich im Gesetz vorgesehen Die Aus-
kunft kann mündlich erfolgen, auf Verlangen des Kunden ist sie aber schriftlich zu
erteilen. Ferner haben Kunden ein Anrecht auf Datenkorrektur, zum Beispiel auf Be-
richtigung oder Löschen von Daten.
1.10. Lieferung per Bote:
Apothekenboten sind ebenso an Schweigepflicht und Datengeheimnis gebunden,
wie die übrigen Apothekenmitarbeiter auch. Laut § 14 Apothekenbetriebsordnung
sind die auszuliefernden Arzneimittel für jeden Empfänger getrennt zu verpacken und
jeweils mit dessen Namen und Anschrift zu versehen.
Achtung: Damit gelangen personenbezogene Daten in Umlauf.
Bei der Auslieferung mit einem Pkw dürfen die Medikamente nicht sichtbar im Pkw
liegen oder dort längere Zeit, zum Beispiel über Nacht, deponiert werden. Beim Ver-
lassen ist der Wagen stets abzuschließen. Fahrradboten müssen alle auszuliefernden
Medikamente immer mit sich führen.
Der Bote darf die Medikamente nur dem Kunden selbst aushändigen. Andernfalls,
zum Beispiel bei Abgabe beim Nachbarn oder Einwurf in den Briefkasten, ist vorher
eine schriftliche Einverständniserklärung einzuholen. Ebenfalls abklären sollte man, ob
© 2015 | Seite 21Interner Datenschutzbeauftragter in der Apotheke
das Medikament an andere Familienangehörige im gleichen Haushalt ausgehändigt
werden kann. Es ist stets sinnvoll, wenn sich der Bote die Übergabe bestätigen lässt.
2. Das Büro:
Fernab des Verkaufsraums lauern ebenfalls mögliche datenschutzrechtliche Verstö-
ße. Hierbei ist unter anderem das Büro des Apothekers anzusprechen. Unabhängig
davon, ob allenfalls der Apotheker persönlich dieses Büro betreten darf sollte zumin-
dest ein Augenmerk darauf gerichtet werden, dass hierbei ähnlich wie auf dem Ver-
kaufstisch keine Rezepte oder ähnliche sensible Daten aufzufinden sind. Auch hier
gilt wiederum der Grundsatz, dass persönliche Daten von Kunden sicher verwahrt
werden sollen. Dies gilt jedoch ebenso für relevante Mitarbeiterdaten. Gesetzt den
Fall, das Reinigungspersonal betritt das Büro des Apothekers und kennt durch Zufall
die Person die als Adressat eines Rezeptes genannt ist, ist der datenschutzrechtliche
Verstoß eingetreten.
2.1. IT-Sicherheit(Anforderungen an Arbeitsplatz und Mitarbeiter, effektiver Passwort-
schutz, regelmäßige Datensicherung, Anforderungen an den Datenaustausch)
Ohne Informationstechnologie (IT) geht es in der Apotheke nicht. Um deren Sicher-
heit muss sich der Apothekeninhaber Gedanken machen. Nicht nur Hackerangriffe
von außen sind zu befürchten, auch technische Schäden (etwa Überhitzung), Ele-
mentarschäden (Brand, Wasserschäden) sowie Unkenntnis und Selbstüberschätzung
des Personals sind Risikofaktoren.
Wirksame Maßnahmen zur Gefahrenabwehr beginnen bei regelmäßigen Mitarbei-
terschulungen und enden bei einem umfassenden Passwortschutz. Auch an eine
unterbrechungsfreie Stromversorgung mit Überspannungsschutz, aktualisierte Viren-
schutzprogramme und regelmäßige Datensicherungen ist zu denken. Nach der Da-
tensicherung sollte der Sicherungsträger nicht am oder in unmittelbarer Nähe des
Computers gelagert werden; am besten wird er an einem vor Diebstahl und Elemen-
tarschäden gesicherten Ort aufbewahrt. Empfehlenswert ist auch, den Datenträger
mindestens einmal pro Monat auf Funktionstüchtigkeit zu überprüfen.
© 2015 | Seite 22Interner Datenschutzbeauftragter in der Apotheke
2.2. Die Internetpräsentation:
Mittlerweile haben viele Apotheken einen eigenen Internetauftritt. Dafür sind die all-
gemeinen Informationspflichten nach § 5 Telemediengesetz zu beachten. Zu einem
Impressum gehören folgende Angaben:
vollständiger Name der Apotheke mit Postanschrift,
Inhaber und Vertretungsberechtigter der Apotheke mit vollem
Vor- und Zunamen,
E-Mail-Adresse, Telefon- und Faxnummer,
UmsatzsteuerIdentifikationsnummer,
Handelsregister mit Handelsregisternummer,
Aufsichtsbehörde,
zuständige Berufskammer,
gesetzliche Berufsbezeichnung und Staat, in welchem diese verliehen wurde,
berufsrechtliche Regelungen und Zugangsmöglichkeit.
Auch an eine Datenschutzerklärung und einen Sicherheitshinweis an Kunden, dass
beispielsweise eine offene Dateneingabe freiwillig und nicht sicher ist, ist bei dem
Internetauftritt zu denken. Kunden und Mitarbeiter müssen zuvor natürlich zugestimmt
haben, wenn personenbezogene Daten und Bilder von ihnen auf der Website veröf-
fentlicht werden. Die Überwachung der Website auf Datenschutzrelevante Aspekte
zählt zu den Aufgaben eines Datenschutzbeauftragten.
3. Die Personalabteilung:
Die Personalakten sind in Papierform in einem abgeschlossenen Schrank aufzube-
wahren, für per Computer geführte Akten muss es ein sicheres Zugriffsberechtigungs-
konzept geben. Mitarbeiter haben jederzeit das Recht, die eigene Personalakte ein-
zusehen, die Daten zu prüfen und bei Bedarf gegen Einträge vorzugehen. Dies je-
© 2015 | Seite 23Interner Datenschutzbeauftragter in der Apotheke
doch nur nach vorherigem Antrag bei dem Arbeitgeber. Von einer eigenmächtigen
Einsichtnahme abzuraten. Stellen Sie sicher, dass Mitarbeiter keinen Zugriff auf die
Personalakten haben. Passwortschutz ist unerlässlich.
4. Apotheken und Dritte (Auftragsdatenverarbeitung in der Apotheke)
Wird ein externer Auftragnehmer mit der Erhebung, Verarbeitung und Nutzung per-
sonenbezogener Daten von einer Apotheke beauftragt, unterliegt dies der Auftrags-
datenverarbeitung und den entsprechenden rechtlichen Regelung im Bundesdaten-
schutzgesetz (§ 11 BDSG). Der Gesetzgeber stellt hohe Erwartungen an eine entspre-
chende Beauftragung. Eine Auftragsdatenverarbeitung liegt beispielsweise vor,
wenn die Buchhaltung ausgelagert wird, eine Aktenvernichtung durch ein externes
Unternehmen erfolgt oder die Lohnbuchhaltung durch Dritte vorgenommen wird.
Vielen ist unbekannt, dass auch die Beauftragung eines EDV-Unternehmens mit einer
Fernwartung unter die Auftragsdatenverarbeitung fällt. Der Gesetzgeber erwartet,
dass eine Apotheke vor der Beauftragung sich bei dem Dienstleister überzeugt, dass
das Thema Datenschutz ernst genommen wird. In der Praxis wird häufig ein Daten-
schutzkonzept abgefordert. Auch während der Beauftragung erwartet der Gesetz-
geber, dass eine Apotheke den Dienstleister beaufsichtigt und regelmäßig kontrol-
liert. Entsprechende Kontrollrechte müssen auch in den Verträgen zu Auftragsdaten-
verarbeitung enthalten sein. In § 11 Abs. 2 BDSG findet sich eine Aufzählung von 10
Punkten, die bei einer Auftragsdatenverarbeitung berücksichtigt werden müssen.
Sollten die in § 11 Abs. 2 BDSG enthaltenen Punkte allesamt im Rahmen einer Verein-
barung über die Auftragsdatenverarbeitung abgelichtet sein, sind sie grundsätzlich
auf der sicheren Seite. Die profunde Darstellung der Auftragsdatenverarbeitung wür-
de jedoch den Rahmen dieses Scripts sprengen.
5. Der Datenschutzbeauftragte:
5.1. Der interne Datenschutzbeauftragte:
Die gesetzliche Regelung findet sich hierzu in § 4f BDSG. Im Bereich der Privatwirt-
schaft trifft die Bestellpflicht die Nicht-öffentliche Stelle, d.h. den Unternehmensinha-
ber, bzw. die Leitung der juristischen Person, der das Unternehmen gehört.
Bei den besagten Stellen ist auch bei automatisierter Verarbeitung die Bestellpflicht
weiterhin an einen Mindestumfang der Datenverarbeitung und damit ein bestimmtes
© 2015 | Seite 24Interner Datenschutzbeauftragter in der Apotheke
Gefährdungspotenzial geknüpft. Die private Stelle muss in der Regel im Falle automa-
tisierter Datenverarbeitung zehn, oder im Falle herkömmlicher Verarbeitung, 20 Per-
sonen, ständig mit der Verarbeitung personenbezogener Daten betraut haben. So-
lange im Bereich der automatisierten Datenverarbeitung weniger als zehn Personen
beschäftigt sind, bedarf es keines betrieblichen Beauftragten. Der arbeitsrechtliche
Status ist hierbei irrelevant. Weiterhin fordert das Gesetz, dass die Person ständig da-
mit beschäftigt sein muss. Hat jemand nur gelegentlich und gegebenenfalls zur Erle-
digung andere Aufgaben auch mit der Datenverarbeitung zu tun, so ist er nicht
ständig damit beschäftigt.
Als Fazit bleibt somit festzuhalten, dass gerade in Apotheken, in denen mehr als neun
Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, ein Da-
tenschutzbeauftragte zu bestellen ist, gemäß § 4f Abs. 1 S. 4 BDSG.
Der Beauftragte ist bei Nicht-öffentlichen Stellen spätestens binnen eines Monats
nach dem Eintreten der Voraussetzungen zu bestellen. Sinkt wiederum bei diesen
Stellen die maßgebende Beschäftigtenzahl dauerhaft unter die gesetzliche vorgese-
hene Anzahl, so entfällt auch die Bestellungsvoraussetzung nach § 4f Abs. 1 BDSG.
Ein spezieller Widerruf der Bestellung sollte zwar zur Klarstellung der arbeitsvertragli-
chen Situation erfolgen/gegebenenfalls ist insoweit auch eine Kündigung erforder-
lich. Gleichwohl bleibt es der Apotheke jedoch unbenommen, in derartigen Fällen,
den Datenschutzbeauftragten „freiwillig“ weiterhin mit diesen Aufgaben zu betrau-
en.
5.2. Die Person des Beschäftigten:
Der Gesetzeswortlaut erlaubt es nunmehr, sowohl einen Beschäftigten des Unter-
nehmens als so genannten internen Datenschutzbeauftragten, als auch eine Person
außerhalb des Unternehmens, als so genannten externen Datenschutzbeauftragten
mit den Aufgaben des Datenschutzbeauftragten gemäß § 4f Abs. 2 S. 3 BDSG zu be-
stellen. Es muss jedoch darauf hingewiesen werden, dass der Bestellung einer juristi-
schen Person (z.B. Unternehmensberatungsgesellschaft) zum betrieblichen Daten-
schutzbeauftragten die Voraussetzungen des §§ 4f Abs. 2 BDSG entgegenstehen.
Fachkunde und Zuverlässigkeit sind nur von einer natürlichen Person erfüllbar, die
unmittelbare Unterstellung unter die Leitung der verantwortlichen Stelle kann nur von
einer natürlichen Person verwirklicht werden.
© 2015 | Seite 25Sie können auch lesen
