Rückhalt durch das Warenwirtschaftssystem

Auf die wesentlichen Änderungen, die sich durch die DS-GVO ergeben, wurde bereits in den vergangenen AWA-Ausgaben verwiesen. Erinnert sei hier nur an einige Aspekte, z.B. an die Rechenschaftspflicht sowie die umfangreichen Informationspflichten. Auch gilt es, sämtliche Vereinbarungen zur Auftrags(daten)verarbeitung an die neuen Vorgaben anzupassen. Überdies müssen Dienstleistungen und Produktedatensparsam gestaltet sein (Privacy-by-Design) und Datenschutzvorfälle binnen 72 Stunden gemeldet werden.

Gerade weil in Apotheken besonders sensible, nämlich Gesundheits-Daten verarbeitet werden, wollen wir Ihnen in diesem Artikel nun darstellen, welche Anforderungen an Ihr WWS im Hinblick auf die DS-GVO sinnvoll sind.

Es sei an dieser Stelle darauf verwiesen, dass jeder technische Dienstleister, der nicht in einem juristischen Umfeld akkreditiert ist, gegenüber der Apotheke keine Form von Rechtsberatung zur Umsetzung der Vorgaben erbringen darf. Allerdings lässt sich schon heute aufzeigen, wie die moderne, digitale und datenschutzorientierte Apotheke bei der Wahrnehmung ihrer Pflichten und Verantwortlichkeiten aus dem WWS unterstützt werden kann.

So sollen WWS-Anbieter bereits bei der Produktentwicklung, also in einem frühen Projektstadium, auf die Einhaltung datenschutzrechtlicher Prinzipien achten. Ein klassisches Beispiel hierfür ist das Rezeptscannen, bei dessen Konzeption und funktionaler Ausprägung von Anfang an eine Begleitung durch eine spezialisierte Rechtsanwaltskanzlei ratsam erscheint. Darüber hinaus sollte es nicht erst mit Inkrafttreten der DS-GVO die unterschiedlichsten Serviceangebote geben, die der Apotheke helfen können, datenschutzrechtliche Vorgaben einzuhalten. Das reicht von der „Einwilligungserklärung zur Teilnahme am Medikationsmanagement“ bis zur „Einwilligungserklärung für Mitarbeiterinnen/Mitarbeiter zum Umgang mit biometrischen Daten“, wenn der Apotheker aus Gründen der Datensicherheit ein Fingerprint-System verwendet.

Dieser ganzheitliche, datenschutzorientierte Ansatz muss sich dann auch nach Inkrafttreten der DS-GVO in diversen Software-Features widerspiegeln, insbesondere einem Software-Feature zur Ausgabe eines Reports zur Erfüllung des Auskunftsanspruchs (Art. 15 DS-GVO), einem Software-Feature zum Sperren von personenbezogenen Daten (Art. 18 DS-GVO) und einem Software-Feature für das unwiderrufliche Löschen von personenbezogenen Daten (Art. 17 DS-GVO).

Weiterhin sollten WWS-Anbieter den Apotheken und deren Datenschutzbeauftragten eine separate Dokumentation anbieten, in der alle DS-GVO-relevanten Aspekte des Umgangs mit personenbezogenen Daten beschrieben sind. Dies ist dann sicherlich auch der neu auferlegten Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) dienlich. Allerdings ist das nicht das einzige für die Umsetzung erforderliche Dokument: Ein zuverlässiger Auftragsverarbeiter (AV) muss der Apotheke auch einen datenschutzkonform ausgearbeiteten AV-Vertrag (Art. 28 DS-GVO) zur Verfügung stellen.

So gut und vollständig eine derartige Unterstützung erscheint: Sie wird erst dann im datenschutzrechtlichen Sinne belastbar, wenn sich jeder Verantwortliche seiner Rolle bewusst ist und alle Maßnahmen für eine vorgabenkonforme Umsetzung ergreift. In diesem Zusammenhang sei insbesondere auf die Verzeichnisse zu den Verarbeitungstätigkeiten (Art. 30 DS-GVO; vgl. AWA 5/2018) hingewiesen.

Stefan Herz, Produktmanagement Apotheke, Datenschutzbeauftragter, Pharmatechnik GmbH & Co. KG, 82319 Starnberg