Datenschutz verstehen – Datenschutz in der Apotheke
- Gesundheitsdaten sind personenbezogene Daten, die Auskunft über den Gesundheitszustand einer natürlichen Person (körperliche oder geistige Gesundheit sowie die Erbringung von Gesundheitsdienstleistungen) geben.
- Apotheken sind verpflichtet, sich neben dem Sozialgesetzbuch, dem Telemediengesetz, dem Strafgesetzbuch und der Apothekenbetriebsordnung an die Gesetze der DSGVO und des BDSG zu halten.
- Zur Verarbeitung personenbezogener Daten benötigen Apotheken eine Rechtsgrundlage als Erlaubnisvorbehalt. Hierzu zählt beispielsweise die Einwilligungserklärung.
- Hat die Verarbeitung personenbezogener Daten ein erhöhtes Risiko für die Rechte und Freiheiten der betroffenen Person, ist eine Datenschutz-Folgenabschätzung zu erstellen. Für welche Verarbeitungen diese Pflicht gilt, regelt eine Liste der Aufsichtsbehörden.
- Mitarbeiter einer Apotheke sind nach dem Datengeheimnis und einer Verschwiegenheit zu verpflichten.
- Die Pflicht zur Bestellung eines Datenschutzbeauftragten liegt vor, wenn mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind oder eine umfangreiche Verarbeitung sowie ein erhöhtes Risiko für die Rechte und Freiheiten der betroffenen Person vorliegt.
Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.
Datenschutz ist kein neues Thema für Apotheken, denn vor der Datenschutz-Grundverordnung galten schon ähnliche Regelungen für die Erhebung, Nutzung und Speicherung von personenbezogenen Daten in Apotheken. Die Datenschutz-Grundverordnung gilt nun bald schon seit einem Jahr für Apotheken. Doch Apotheken müssen bei der Verarbeitung von personenbezogenen Daten mehrere rechtliche Grundlagen beachten. Gerade die Verarbeitung von Gesundheitsdaten, sorgen bei Apotheken für datenschutzrechtliche Anforderungen. Im Folgenden erfahren Sie was personenbezogene Daten und vor allem Gesundheitsdaten sein können.
Was sind Gesundheitsdaten?
Gesundheitsdaten sind „Personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“ Hierbei ist zu beachten, dass die Reichweite des Personenbezugs sehr weit sein kann. Wir geben Ihnen folgende Beispiele:
- Angaben über Medikamentenkonsum
- Erwerb verschreibungspflichtiges Medikament
- Erwerb nicht-verschreibungspflichtiges Medikament (regelmäßig auch eigener Bedarf)
Der reine Besuch einer Apotheke bildet keinen Personenbezug als solches ab, ebenfalls sind Angaben über das Parken des Boten-Kfz vor privaten Immobilien keine personenbezogenen Angaben.
Datenschutz Vorschriften für Apotheken
Die meisten Regelungen zum Datenschutz finden sich allerdings in der Datenschutz-Grundverordnung (DSGVO) und ergänzend im Bundesdatenschutzgesetz (BDSG). Im Zusammenhang mit der Nutzung von personenbezogenen Daten sind zudem auch das Sozialgesetzbuch (SGB), das Telemediengesetz (TMG) oder das Strafgesetzbuch (StGB) relevant. Apotheken sind darüber hinaus an die Vorschriften der Apothekenbetriebsordnung (ApBetrO) gebunden.
Das führt beispielsweise dazu, dass Apotheker zur Verschwiegenheit über alle Vorkommnisse verpflichtet sind, die ihm in Ausübung seines Berufes bekannt werden (§ 203 Abs. 1 StGB).
Wann darf eine Apotheke personenbezogene Daten verarbeiten?
In der Datenschutz-Grundverordnung sind die Rechtsgrundlagen in dem Artikel 6 geregelt. Eine der definierten Rechtsgrundlagen ist beispielsweise die Einwilligung nach Artikel 6 (1) a) DS-GVO. Wir empfehlen Ihnen die Prüfung der Rechtsgrundlagen wie eine Checkliste zu bearbeiten, mindestens eine der 6 Rechtsgrundlagen muss für Ihre Verarbeitung zutreffend sein:
Grundsätzlich ist die Datenschutz-Grundverordnung als ein Verbot mit Erlaubnisvorbehalt zu verstehen. Was bedeutet das? Das ist ganz einfach: Immer wenn eine Apotheke personenbezogene Daten verarbeiten möchte, benötigt die Apotheke eine Rechtsgrundlage als Erlaubnisvorbehalt. Hat eine Apotheke keine zulässige Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, darf die Verarbeitung nicht getätigt werden.
Einwilligungserklärung: Der Patient, Kunde oder Interessent hat seine Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben (z.B. Checkbox auf Webseite).
Geschäftsbeziehung: Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (z.B. Kaufvertrag von Medizin, Pharmazeutische Beratung).
Rechtliche Verpflichtung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (z.B. Übermittlung von Abrechnungsdaten an Krankenkassen, § 300 I Nr.2 SGB V).
Lebenswichtige Interessen: Die Verarbeitung ist erforderlich, um lebenswichtige Interessen des Patienten oder einer anderen natürlichen Person zu schützen (z.B. akute Erkrankung).
Öffentliche Interessen: Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der Apotheke übertragen wurde (z.B. Meldepflichten)
Berechtigtes Interesse: Die Verarbeitung ist zur Wahrung der berechtigten Interessen der Apotheke oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (ggf. Werbung, Videoüberwachung).
Hinweis: Bei der Begründung einer Verarbeitung mit Hilfe der Rechtsgrundlage “berechtigtes Interesse” nach Artikel 6 (1) f) DS-GVO ist Vorsicht geboten. Beziehen Sie immer einen Datenschutzbeauftragten ein, um wirklich sicherzugehen, ob das berechtigte Interesse der Apotheke überwiegt.
Hinweis: Eine solche Einwilligungserklärung muss freiwillig erfolgen und konkret formuliert sein. Es muss also ersichtlich sein, dass dem Kunden bewusst ist, welche konkreten Daten von der Apotheke zu welchem Zweck verwendet werden. Außerdem muss die Einwilligung auf eine Art und Weise erfolgen, dass man davon ausgehen kann, dass dem Kunden tatsächlich bewusst gewesen sein muss, wozu er seine Einwilligung erteilt hat. Lesen Sie hier wie man eine Einwilligung erstellt für zum Beispiel eine Kundenkarte.
Datenschutz Folgenabschätzung in Apotheken
Keine Verarbeitung personenbezogener Daten ist ohne Risiko für die Rechte und Freiheiten der betroffenen Person, wenn nicht Maßnahmen zur Datensicherheit getroffen werden nach Art. 32 DSGVO. Der Gesetzgeber möchte erreichen, dass sich datenverarbeitende Apotheken mit diesen Risiken auseinandersetzen. Dazu hat er im Rahmen der geltenden Datenschutz-Grundverordnung (DSGVO) ein neues Instrument zur Beschreibung, Bewertung und Eindämmung der Risiken erdacht: die Datenschutz-Folgenabschätzung (DSFA).
Wann muss eine Apotheke eine Datenschutz Folgenabschätzung durchführen?
Eine DSFA ist immer dann durchzuführen, wenn eine Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person hat. Das kann in der Apotheke relativ oft vorkommen. Allerdings muss die Apotheke selbst entscheiden, wann voraussichtlich ein hohes Risiko besteht.
Der Gesetzgeber hat erkannt, dass dies nicht einfach zu bewerten ist. Er hat den Aufsichtsbehörden daher die Aufgabe gestellt, Listen mit Verarbeitungen zu schaffen, für die eine DSFA durchzuführen ist:
Analyse der Persönlichkeit: Eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen (Kunden-Scoring, systematische automatisierte Kundenanalyse, Persönlichkeitstest im Recruiting).
Besondere personenbezogene Daten: Eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (gem. Art. 9 Abs. DS-GVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (gem. Art. 10 DS-GVO).
Videoüberwachung: Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Beispiel: Videoüberwachung, soweit diese öffentliche Bereiche wie Gehwege oder Plätze mit erfasst)
Beschäftigungsdatenschutz Apotheke (Mitarbeiter)
Mitarbeiter einer Apotheke sind im Datenschutz besonders zu beachten. Apotheken sind verpflichtet Ihre Mitarbeiter nach dem Datengeheimnis und einer Verschwiegenheit zu verpflichten, da diese Angehörige eines Gesundheitsberufs sind.
Übrigens: Unter Angehörigen eines Gesundheitsberufs werden alle Angehörigen eines der in § 203 Abs. 1 Nr. 1, 2, 4 und 5 Strafgesetzbuch genannten Berufsbilder gefasst. Damit fallen neben den oben genannten auch andere Heilberufe wie Psychotherapeuten, Hebammen oder Logopäden unter diese Kategorie.
Datenschutzbeauftragter Apotheke
Wann benötigt eine Apotheke einen Datenschutzbeauftragten? Diese Frage wird oft diskutiert und oftmals kann man keine eindeutige Antwort erhalten. Wir fassen Ihnen die Informationen der Datenschutz-Konferenz zusammen, wann Sie als Apotheke einen Datenschutzbeauftragten benötigen.
Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB).
Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Praxisgemeinschaft bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DS-GVO auszugehen – in diesen Fällen ist unter Berücksichtigung von Punkt 3 dann kein DSB zu benennen, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Praxisgemeinschaft bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutz Folgenabschätzung vorgeschrieben. Da insbesondere die Bearbeitung von Rezepten eine Haupttätigkeit in einer Apotheke ist und Apotheken sogar besonderem gesetzlichen Schutz unterliegen (§ 203 StGB – Verletzung von Privatgeheimnissen), dann sind sie erst recht auch in datenschutzrechtlicher Hinsicht maßgeblich verpflichtet einen Datenschutzbeauftragten zu bestellen. Sollte Apotheke dies gleichwohl vermeiden wollen, sollte schriftliche Bestätigung der Behörde eingeholt werden .
Und damit zwingend ein Datenschutzbeauftragter zu benennen. Dies kann neben einer umfangreichen Verarbeitung (z.B. große Praxisgemeinschaften), die ohnehin nach Art. 37 Abs. 1 lit. c DS-GVO zu einer Benennungspflicht führt, beispielsweise beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen, der Fall sein.
Der Datenschutzbeauftragte ist damit auch dann zu benennen, wenn weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
