Tipps für das Verzeichnis von Verarbeitungstätigkeiten in der Apotheke

Eine repräsentative Umfrage (n=507) des IT-Branchenverbandes Bitkom hat ergeben, dass

• sich jedes dritte Unternehmen noch gar nicht mit der Umsetzung der DS-GVO beschäftigt hat und
• eine große Mehrheit der Unternehmen die DS-GVO nicht in allen Aspekten pünktlich umsetzen können wird.

Der Umsetzungsaufwand richtet sich danach, welchen Status der Datenschutz im jeweiligen Unternehmen bisher schon hatte.

Es ist schon keine einfache Aufgabe, die neuen datenschutzrechtlichen Anforderungen zu überblicken. Für den sich ergebenden Handlungsbedarf kursieren inzwischen eine Vielzahl von „Check-Up“-Listen und FAQs. Zunehmend geben auch die Aufsichtsbehörden Empfehlungen, was unter dem Motto „Wir zeigen, was wir überprüfen!“ besonders interessant sein kann.

Nachdem Sie sich einen Überblick über den Ist-Zustand des Datenschutzes in Ihrer Apotheke verschafft haben (hilfreich hierzu folgender Fragebogen), sollten Sie anfangen, die identifizierten Verfahren abzubilden. Bislang reichte es aus, die Datenschutzvorschriften einzuhalten. Zukünftig muss dies auch ausdrücklich dokumentiert werden.

Die DS-GVO rückt die Verantwortlichkeit von Unternehmen in den Vordergrund und führt erstmalig die Rechenschaftspflicht als zentralen Grundsatz der Datenverarbeitung auf (Art. 5 Abs. 2). Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden – dass also der Rechenschaftspflicht Genüge getan wird. Im eigenen Interesse ist es daher ratsam, rechtzeitig ein vollständiges Verzeichnis zu erstellen.

Daneben müssen z.B. für alle Verarbeitungstätigkeiten in einer Apotheke die rechtlichen Erlaubnisnormen sowie auch das Vorhandensein von Einwilligungen identifiziert und dokumentiert sein (Art. 7 Abs. 1) – ebenso die Ordnungsmäßigkeit der gesamten Verarbeitung (Art. 24 Abs. 1) und das Ergebnis von Datenschutz-Folgenabschätzungen (Art. 35 Abs. 7).

Das Verzeichnis von Verarbeitungstätigkeiten ist im Grundsatz nichts anderes als das altbekannte Verfahrensverzeichnis nach §4g Abs. 2 und 2a Bundesdatenschutzgesetz (dort „Übersicht“ genannt). Es handelt sich also um eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden. Die Pflicht, das Verzeichnis zu erstellen und zu führen, gilt für alle, die regelmäßig personenbezogene Daten verarbeiten – also auch für Apotheken. Diese müssen demzufolge identifizieren und dokumentieren,

• welche personenbezogenen Daten sie von welchen Betroffenen haben,
• von wem die personenbezogenen Daten stammen und
• an wen die personenbezogenen Daten weitergegeben werden.

Meist – z.B. bei einer QMS-zertifizierten Apotheke – können die üblicherweise bereits bestehenden Verfahrensdokumentationen an die neuen Anforderungen angepasst werden. Ansonsten können Sie z.B. auf Muster-Verarbeitungsverzeichnisse zurückgreifen (vgl. Service-Kasten im AWA 3/2018).

Sie müssen das Verzeichnis schriftlich führen. Dabei kann allerdings ein elektronisches Format benutzt werden und die Abwicklung – besonders hinsichtlich der geforderten stetigen Aktualisierung – erleichtern. Das Verzeichnis ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen, sodass diese die durchgeführten Verarbeitungstätigkeiten kontrollieren kann.

Art. 30 Abs. 1 lit. g und Art. 30 Abs. 2 lit. d DS-GVO geben vor, dass das Verzeichnis, wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) enthalten soll. Diese TOM sollen betroffenen Personen ein dem Risiko für ihre Rechte und Freiheiten angemessenes Schutzniveau gewährleisten.

Wie detailliert die Beschreibung der TOM sein muss, lässt sich der DS-GVO nicht unmittelbar entnehmen. Jedenfalls sollte sie nach Art. 32 DS-GVO so konkret erfolgen, dass die Aufsichtsbehörden eine erste Rechtmäßigkeitsüberprüfung vornehmen können.

Die beschriebenen Vorarbeiten können Sie kostenschonend selbst erledigen. Ein entsprechendes Verzeichnis könnte z.B. wie in Tabelle 1 aussehen.

Dr. Bettina Mecking, Justiziarin der Apothekerkammer Nordrhein, Fachanwältin für Medizinrecht, 40213 Düsseldorf, E-Mail: b.mecking@aknr.de