EU-Datenschutz-Grundverordnung ante portas

Ab dem 25. Mai 2018 gilt die DS-GVO. Sie wird in der EU unmittelbar als geltendes Recht anwendbar sein. In Teilen sind aber Sonderwege für einzelne Mitgliedstaaten erlaubt. Auf diese Möglichkeit hat der deutsche Gesetzgeber mit einer Neufassung des nationalen Bundesdatenschutzgesetzes (BDSG_neu) reagiert, die ebenfalls am 25. Mai dieses Jahres in Kraft treten wird.

Die Diskussion über die Auswirkungen der DS-GVO ist von den vorgesehenen, immens hohen Bußgeldern (bis zu 4% des Jahresumsatzes eines Betriebes!) geprägt. Eine solch gesonderte Betrachtung greift jedoch zu kurz. Denn die DS-GVO enthält zwar strenge regulatorische Anforderungen. Eine Vielzahl der nunmehr europarechtlichen Pflichten ist allerdings bereits im derzeit geltenden deutschen Datenschutzrecht vorgegeben. Wer also bisher eine datenschutzrechtliche Sensibilität entwickelt und entsprechend gehandelt hat, sollte im Zweifel auch den neuen Anforderungen entsprechen.

Kernaufgabe für alle Unternehmen, die personenbezogene Daten verarbeiten, wird es bis zum 25. Mai 2018 sein herauszufinden, welche Prozesse anzupassen sind. Wichtig ist es auch, Vorkehrungen für den Fall von Anfragen der Datenschutzbehörden oder von notwendigen Meldungen an diese Behörden zu treffen.

Um ein genaues Verständnis davon zu bekommen, wie in Ihrer/n Apotheke/n mit personenbezogenen Daten umgegangen wird, sollten Sie die aktuell realisierten Rahmenbedingungen für alle Datenverarbeitungen analysieren (Ist-Zustand). Die folgenden Fragen können Ihnen helfen, sowohl die Bereiche in der Apotheke zu identifizieren, in denen Sie schon gut vorbereitet sind, als auch diejenigen, in denen noch Handlungsbedarf besteht:

• An welcher Stelle werden derzeit personenbezogene Daten (von Kunden/Patienten und Beschäftigten) verarbeitet?
• Gibt es bestehende Dokumentationen, die als Erkenntnisquelle für diese Daten herangezogen werden können, z.B. ein regelmäßig aktualisiertes Verfahrensverzeichnis?
• Was sind Ihre Legitimationsgrundlagen für die Datenverarbeitung (z.B. eine Einwilligungserklärung)?
• Welche Vorkehrungen und Maßnahmen haben Sie bereits zum Schutz personenbezogener Daten getroffen?
• Wer ist neben Ihnen als Apothekenleiter für Datenschutzthemen zuständig?
• Haben Sie Verträge mit Unternehmen, die in Ihrem Auftrag personenbezogene Daten verarbeiten?

Nunmehr gilt es, den Soll-Zustand zu ermitteln und im Anschluss eine Lückenanalyse zwischen „Soll“ und „Ist“ durchzuführen, um einen eventuellen Handlungsbedarf zu eruieren. Dabei sollten Sie folgende Aspekte überprüfen bzw. beachten:

Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten ist zukünftig nach Art. 6–11 DS-GVO sowie §26 BDSG_neu nur dann zulässig, wenn entweder ein Gesetz oder eine Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat. Sofern sich die Datenverarbeitung auf eine Einwilligung stützt, ist zu prüfen, ob die Anforderungen der Art. 7 und 13 DS-GVO erfüllt sind. Haben Sie Muster von Einwilligungserklärungen z.B. für Kunden, welche an diese Anforderungen angepasst werden müssen – insbesondere im Hinblick auf die erweiterten Informationspflichten und auch auf die jederzeitige Widerrufbarkeit der Einwilligung?

Betroffenenrechte

Werden die umfangreichen Rechte, die betroffenen Personen zustehen, von der Apotheke gewahrt? Jede Apotheke muss ihre Kunden nach Art. 13 und 14 DS-GVO über die Erhebung und Verarbeitung von Daten informieren und eine diesbezügliche Datenschutzerklärung zugänglich machen. Wichtig ist auch das Recht des Kunden auf Löschung seiner Daten nach Art. 17 DS-GVO sowie sein diesbezügliches Widerspruchsrecht nach Art. 21 DS-GVO. Der Kunde hat ferner nach Art. 20 DS-GVO das Recht auf die Übertragbarkeit seiner Patientendaten – was zur Verhinderung von Kompatibilitätsproblemen voraussetzt, dass diese in einem gängigen Softwareformat bereitgestellt werden.

Technikgestaltung

Wie wird es technisch – z.B. auch durch entsprechende Voreinstellungen von IT-Programmen – gewährleistet, dass die datenschutzrechtlichen Pflichten und Anforderungen in der Apotheke künftig nach Art. 25 DS-GVO von vornherein beachtet werden? Datenschutz soll zum Gerüst der Prozesse in der Apotheke werden – und nicht erst im Rahmen der konkreten Implementierung nachträglich hinzutreten.

Dienstleistungsbeziehungen

Überprüfen Sie bestehende Verträge zur Auftragsverarbeitung anhand der in den Art. 28 und 29 DS-GVO enthaltenen Vorgaben! Es bedarf einer schriftlichen Zusicherung, dass z.B. die Apothekenabrechnungszentren den Anforderungen der DS-GVO sowie dem nationalen Recht Folge leisten. Als Inhaber tragen Sie trotz der Verarbeitung durch Dritte die volle Verantwortung.

Dokumentationspflichten

Sind die in Art. 5 Abs. 2 DS-GVO geforderten Nachweise vorhanden, dass personenbezogene Daten rechtmäßig verarbeitet werden (Rechenschaftspflicht)? Wird die Apotheke den in der DS-GVO an unterschiedlichen Stellen vorgesehenen Dokumentationspflichten (vgl. Service unten) gerecht?

Eine nachhaltige Dokumentation ist zum Selbstschutz anzuraten. Denn bei einem Verstoß gegen die einschlägigen Anforderungen droht ein Schadensersatzanspruch, der sich sowohl auf materielle als auch auf immaterielle Schäden des Verletzten erstreckt. Das Verschulden des Verantwortlichen wird dabei vermutet. Um es zu widerlegen, benötigt man belastbare Argumente, welche die eigene Dokumentation liefern muss.

Meldepflichten

Welche Meldewege sind vorgesehen, um die Aufsichtsbehörde nach Art. 33 Abs. 1 DS-GVO über die Verletzung des Schutzes personenbezogener Daten in Kenntnis zu setzen – und um unter bestimmten Voraussetzungen auch den Betroffenen einzubeziehen?

Datensicherheit

Ist in der Apotheke ein angemessenes Schutzniveau in Bezug auf die Sicherheit der Datenverarbeitung nach Art. 24 und 32 DS-GVO gewährleistet? Hier sollten die dafür implementierten Sicherungsmaßnahmen einer regelmäßigen Überprüfung unterzogen werden.

Datenschutzbeauftragter

Nach § 38 DS-GVO ist die Benennung eines Datenschutzbeauftragten erforderlich, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Automatisiert verarbeitet werden in Apotheken Rezeptabrechnungen sowie Zahlungen mit EC- und Kreditkarte. Die Apothekenlandschaft ist vielseitig, erstreckt sie sich doch von der Ein-Mann-Apotheke über Apotheken mit bis zu drei Filialen hin zu Apotheken mit Versandhandelserlaubnis. Daher ist eine Einzelfallentscheidung zu treffen. Nach Art. 37 Abs. 7 DS-GVO müssen die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde gemeldet werden.

Zertifizierung

Schlussendlich besteht im Rahmen eines Zertifizierungsverfahrens die komfortable Möglichkeit, den Nachweis zu erbringen, dass die Datenverarbeitung im Einklang mit der DS-GVO erfolgt.

Geben Sie jetzt – so noch nicht geschehen – den „Startschuss“, um in Ihrer/n Apotheke/n mit der Umsetzung der DS-GVO zu beginnen! Einzelne Aspekte werden wir in nachfolgenden AWA-Ausgaben vertiefen.

Hilfreiche Links zu den Dokumentationspflichten:

• https://www.frankfurtmain.ihk.de/recht/themen/datenschutzrecht/dokumentationspflichten/index.html
• https://www.bitkom.org/Bitkom/Publikationen/Das-Verarbeitungsverzeichnis.html

Dr. Bettina Mecking, Justiziarin der Apothekerkammer Nordrhein, Fachanwältin für Medizinrecht, 40213 Düsseldorf, E-Mail: b.mecking@aknr.de