DSGVO - Fragen und Antworten zum Datenschutz

Datenschutzbeauftragter

Dr. Schmidt und Partner: Herr Fiedler, was war rückblickend betrachtet die zentrale Frage, die Ihnen im Zuge der Einführung der DSGVO am häufigsten gestellt worden ist?

RA Christian Fiedler: Die mir am häufigsten gestellte Frage war ganz klar: Benötige ich einen eigenen Datenschutzbeauftragten oder nicht? Ganz pauschal konnte diese wichtige Frage natürlich nicht beantwortet werden. Lange Zeit war insbesondere fraglich, ob man für Apotheker und Ärzte grundsätzlich annehmen muss, dass die Kerntätigkeit in der umfangreichen Verarbeitung von Gesundheitsdaten besteht.
Dr. SuP: Trifft dies auf Apotheker und Ärzte zu?
RA Fiedler: Wir vertreten bei Dr. Schmidt und Partner einen konservativen Beratungsansatz, d. h., dass wir im Hinblick auf mögliche, sowohl rechtliche als auch finanzielle, Risiken einen rechtlich vertretbaren Standpunkt ermitteln und daran unsere Beratung orientieren. Für Apotheker und Ärzte heißt das, dass das zentrale Element für die Leistungserbringung der Patient ist, bei dem regelmäßig besondere Kategorien von Daten in Form der Gesundheitsdaten anfallen und diese – nicht zuletzt zu Abrechnungszwecken – verarbeitet werden. Dies betrifft den Großteil der Vorgänge in Apotheke bzw. Praxis, sodass durchaus der rechtliche Standpunkt vertreten werden kann, dass bei der Kerntätigkeit die umfangreiche Verarbeitung von Gesundheitsdaten anfällt und folglich schon deshalb ein Datenschutz-beauftragter zu benennen ist, dass dies aber nicht zwangsläufig rechtlich so gesehen werden muss.
Dr. SuP: Wie sind Sie als Geschäftsführer der SuPport GmbH mit Anfragen von Ärzten und Apothekern umgegangen?

Herr Oliver Vorberg: Gerade wegen der bestehenden rechtlichen Unsicherheit, haben wir zunächst diejenigen Anfragen von Ärzten und Apothekern herausgefiltert, die schon aufgrund der Zahl der Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten bestellen müssen. Bezüglich der übrigen Anfragen haben wir eine interne Prüfung vorgenommen und im Bedarfsfalle eine Prüfung bei Herrn Rechtsanwalt Fiedler von Dr. Schmidt und Partner in Auftrag gegeben, der die Mandanten sodann bei der rechtlichen Entscheidung unterstützte.

Dr. SuP: Frau Saas, wie haben Sie die Anzahl der zu wertenden Personen ermittelt?

Frau Nina Saas: Sollten es mindestens zehn Personen sein, so besteht die Pflicht zur Benennung, unabhängig davon, ob die Arbeitnehmer z. B. in Teilzeit oder als Auszubildende beschäftigt sind. Die Abgrenzung, welche Tätigkeit sich in einer Apotheke auf eine „ständige automatisierte Verarbeitung“ bezieht, kann mitunter schwierig sein.

Dr. SuP: Können Sie das näher erläutern, Herr Fiedler?

RA Fiedler: Pauschal gilt für die meisten Apotheken: Approbierte und PTA sind dazuzuzählen. Bei PKA kommt es dann tatsächlich auf den Schwerpunkt der Tätigkeit an. Eine pauschale Aussage kann hier nicht getätigt werden, der Einzelfall ist maßgeblich. Trotz Nichterreichens der Schwelle von zehn zu zählenden Mitarbeitern, kann die Benennung eines Datenschutzbeauftragten aber dennoch sinnvoll sein, da sich die freiwillige Benennung im Falle eines Verstoßes mildernd auswirkt.

Kundenkarten

Dr. SuP: Aber nun einmal losgelöst von dieser Eingangsfrage: Wie sieht es mit dem wohl häufigsten Anwendungsfall im Apothekenalltag aus, der Kundenkarte?

Fr. Saas: Das Wichtigste beim Thema Kundenkarte ist die schriftliche Einwilligung des Kunden zur Speicherung und Verarbeitung seiner Daten. Angaben, die über Name und Anschrift hinausgehen, sind freiwillige Angaben und dürfen für den Abschluss einer Kundenkarte nicht zwingend erforderlich sein.

Hr. Vorberg: Außerdem ist es ratsam, dass der Kunde aktiv, z. B. durch das Setzen eines Kreuzes, der Speicherung und Verarbeitung seiner Daten zustimmt. Eine Unterschrift des Kunden auf dem Antrag ist alleine zu Nachweiszwecken unerlässlich. Der Originalantrag verbleibt immer in der Apotheke, dem Kunden sind auf Wunsch eine Kopie auszuhändigen sowie ein Informationsschreiben über die Datenverarbeitung.

Dr. SuP: Aber wie kommt ein Apotheker an all diese Formulare, die er sich vom Kunden unterschreiben lassen und diese aufbewahren oder mitgeben muss?

Hr. Vorberg: Einzelne Landes-apothekerverbände haben hier Muster bereitgestellt, die die Apotheker nur noch anzupassen hatten. Aber auch ohne dass wir für einen Apotheker einen externen Datenschutz-beauftragten stellen, erbringen wir individuelle Beratungsleistungen, eben auch die Erstellung von Mustern und Vorlagen für den Einzelfall.

Dr. SuP: Gibt es Grenzen, was gespeichert werden darf und was nicht?

RA Fiedler: Es gilt erst einmal der Grundsatz der Datenminimierung. Das bedeutet, es dürfen nur Daten erfasst und gespeichert werden, die durch ihren Zweck gerechtfertigt sind: Personaldaten zur Identifizierung, Gesundheitsdaten zur Erstellung eines Medikationsplanes, jedoch nicht der

Geburtsort oder der Hochzeitstag, weil dies für die Zweckerreichung nicht erforderlich ist.

Videoüberwachung

Dr. SuP: Gibt es weitere besondere Anwendungsbereiche für die DSGVO?

Fr. Saas: Hier ist die Videoüberwachung zu nennen. Diese ist grundsätzlich erlaubt, wenn dafür sachliche Gründe bestehen.

RA Fiedler: Wichtig ist: Diese Gründe müssen objektiv vorliegen. Vorgeschobene Gründe genügen nicht.

Fr. Saas: Gründe können die Wahrnehmung des Hausrechts, Schutz vor bzw. Aufklärung von Straftaten, wie Einbrüchen und Diebstählen, sein. Es ist darauf zu achten, dass die Kunden in ihrem Recht auf informationelle Selbstbestimmung nicht verletzt werden.

Hr. Vorberg: Dementsprechend sind die Kameras so auszurichten, dass zum Beispiel auf der Kamera Rezeptdaten nicht lesbar sind. Der Kunde muss jedoch vor Betreten der Apotheke informiert werden, dass er einen videoüberwachten Bereich betritt. Diese Übersicht muss einige Informationen enthalten, unter anderem ein Piktogramm, Name und Anschrift des Verantwortlichen, den Zweck und die Rechtsgrundlage der Datenverarbeitung sowie die verfolgten Interessen. Eine Videoüberwachung im Backoffice oder den Sozialräumen ist hingegen nicht gestattet. Eine Datenschutz-Folgeabschätzung ist laut der Datenschutzkonferenz im August 2018 nicht notwendig.

Datenschutz-Folgeabschätzungen

Dr. SuP: Worum handelt es sich bei einer Datenschutzfolgeabschätzung?

Hr. Vorberg: In aller Regel müssen Apotheken Datenschutzfolgeabschätz-ungen vornehmen. Diese sind immer dann notwendig, wenn Verarbeitungs-vorgänge, die „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben, vorgenommen werden. Häufig hat der Einsatz neuer Technologien, wie beispielsweise der Einsatz von Fingerprints zur Anmeldung in der Warenwirtschaft, eine Datenschutzfolgeabschätzung zur Konsequenz. Ebenso der Rezeptscan stellt eine Tätigkeit dar, die eine Datenschutz-Folgeabschätzung erfor-derlich macht. 

Konsequenzen/Sanktionen

Dr. SuP: Drohen tatsächlich die viel propagierten hohen Strafen?

RA Fiedler: Es sind nach wie vor bei Ordnungswidrigkeiten Bußgelder von bis zu 20 Millionen Euro oder aber bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vorgesehen. Ein vorsätzlicher Verstoß kann jedoch auch strafrechtlich verfolgt werden, sodass eine Geld- oder Freiheitsstrafe verhängt werden kann.

Dr. SuP: Die Sanktionierung richtet sich also immer gegen den Betriebsinhaber?

Fr. Saas: In der Regel ja. Aber auch für die Arbeitnehmer können Verstöße gegen den Datenschutz Konsequenzen haben. Je nach Verstoß können arbeitsrechtliche Maßnahmen, wie zum Beispiel eine Abmahnung, ergriffen werden. Auch eine strafrechtliche Verfolgung ist unter Umständen möglich.

Löschfristen vs. Aufbewahrungsfristen

Dr. SuP: Was können die Kunden denn eigentlich bezüglich ihrer Daten verlangen?

Fr. Saas: Kunden haben das Recht auf Löschung ihrer Daten. Sobald sie dies dem Verantwortlichen gegenüber bekunden, ist er verpflichtet, alle Daten zu löschen.

Hr. Vorberg: Stehen andere Belange der Löschung entgegen, muss dagegen abgewogen werden, was gelöscht werden darf.

Dr. SuP: Das klingt kompliziert.

RA Fiedler: Das ist im Grunde alles logisch durchdacht. Gründe, die gegen eine Löschung sprechen können, sind  beispielsweise die steuerlichen Aufbewahrungsfristen nach § 257 Handelsgesetzbuch (HGB) und § 147 Abgabenordnung (AO). Aufbe-wahrungsfristen, die aus der Apothekenbetriebsordnung (ApBetrO) resultieren, zum Beispiel Dokumentationen bzgl. Tierarzneimittel, Rezeptur und Defektur oder Aufzeichnungen im Rahmen der Betäubungsmittelverschreibungsverord-nung (BtMVV), können einer Löschung entgegenstehen. In solchen Fällen sind nur die Daten zu löschen, die nicht für andere Zwecke aufbewahrt werden müssen.

Fr. Saas: Beispielsweise muss bei einer Kundenkartei auf Wunsch die gesamte Verkaufshistorie gelöscht werden, da diese nur zum Zweck der umfassenden Beratung gespeichert wurde.

Dr. SuP: Es gibt auch Themen, die im ersten Moment weniger präsent sind, obwohl sie zum Teil offensichtlich und brandaktuell sind, oder?

Diskretion

Hr. Vorberg: Definitiv! Auch wenn Diskretion in Verbindung mit sensiblen Gesundheitsthemen selbstverständlich sein sollte, finden manche Aspekte zu wenig Beachtung. Während die Notwendigkeit der Diskretion bei der persönlichen Kundenberatung überwiegend beachtet wird, wird mit Sicherheitszonen in der Apotheke und bei Telefonaten viel leichtfertiger umgegangen. Nicht selten läuft ein Mitarbeiter telefonierend durch die

Offizin, so dass die Kunden dort den Gesprächsinhalt, schlimmstenfalls sogar den Namen, mithören können.

Fr. Saas: Ebenso häufig kann beobachtet werden, dass das Mikrofon des Telefons nicht stumm geschaltet wird, wenn Rückfragen zu klären sind oder der Kunde am Telefon auf einen Mitarbeiter wartet. Er kann also leicht die Gespräche, die in der Apotheke geführt werden, mithören.

RA Fiedler: Gegenüber den Mitarbeitern gilt es, diese dafür zu sensibilisieren, sich am Telefon gezielt von der Identität des Gesprächs-partners zu überzeugen und im Zweifelsfall lieber eine Auskunft zu verweigern oder einen Rückruf zu vereinbaren.

Fr. Saas: Neben dem zuvor Genannten ist u. a. auch darauf zu achten, Rezepte nicht offen einsehbar liegen zu lassen. Hier hilft eine undurchsichtige Dokumentenhülle oder, besser noch, ein separates Fach am HV, sodass die Rezepte auch vor dem Zugriff durch Unbefugte geschützt sind.

Passwortschutz

Dr. SuP: Die IT gewinnt immer mehr an Bedeutung, die Entwicklung in Richtung e-Rezept schreitet voran. Was gibt es schon jetzt zu beachten?

Hr. Vorberg: Mit der korrekten Anwendung von Passwörtern wird ebenfalls bisweilen nachlässig umgegangen. Prinzipiell ist darauf zu achten, die Zugänge zur Warenwirtschaft und zur Kasse mittels Fingerprint, RFID-Chips oder eben mittels Passwort zu schützen, um sicherzustellen, dass niemand unberechtigt am System arbeitet und um Arbeiten darin im Nachhinein auch mit größerem zeitlichen Abstand nachvollziehen zu können, insbesondere um erkennen zu können, welche Person welche Änderungen etc. vorgenommen hat.

Fr. Saas: Bei der Auswahl eines Passworts muss auf dessen Qualität geachtet werden. Es sollte mindestens 10 Zeichen umfassen, Groß- und Kleinbuchstaben und zusätzlich Zahlen und Sonderzeichen beinhalten. Selbstverständlich sollte sein, dass Passwörter nicht weitergegeben oder frei zugänglich auf einem Zettel notiert werden. Es empfiehlt sich darüber hinaus, Passwörter regelmäßig, spätestens alle zwei Monate, zu wechseln.

Sicherheitszonen

Dr. SuP: Sie hatten zuvor Sicherheitszonen in der Apotheke angesprochen? Was ist das?

Hr. Vorberg: Allgemein gesprochen geht es darum, sicherzustellen, wer in welche Bereiche der Apotheke vordringen kann. In zahlreichen Apotheken ist beispielsweise zu beobachten, dass die Lieferfahrer des Großhandels über einen Nebeneingang die Apotheke betreten und sich, wenn sie es wollten, auch Zugang zum Büro des Inhabers verschaffen oder Einblick in die Rechner und offen liegende Unterlagen nehmen könnten. Gleiches gilt in manchen Apotheken auch für Kunden, die den Beratungsraum oder die sanitären Anlagen nutzen. Hier gilt es darauf zu achten, dass Bürotüren (ab-)geschlossen sind, Unterlagen unter Verschluss gehalten und Bildschirme beim Verlassen des PC-Arbeitsplatzes gesperrt werden (z. B. durch die einfache Tastenkombination Windows-Taste + L). Hinter- und Nebeneingänge dürfen auch bei hohen Temperaturen nur offen stehen, wenn Mitarbeiter ein Auge darauf haben.

Datenschutzschulungen für Mitarbeiter

Dr. SuP: Ist man rechtlich verpflichtet, seine Mitarbeiter hinsichtlich des Datenschutzes zu schulen?

RA Fiedler: Die Einhaltung von datenschutzrechtlichen Bestimmungen durch Arbeitnehmer hängt maßgeblich von deren Sensibilisierung ab, da hierdurch Datenschutzrisiken in erheblichem Maße reduziert werden können. Aus diesem Grund sollten die Mitarbeiter also regelmäßig diesbezüglich geschult werden.

Fr. Saas: Damit sollen im Wesentlichen drei Ziele erreicht werden:

  • Bewusstsein für das Thema Datenschutz schaffen
  • Mitarbeiter befähigen, die Anforderungen zu erfüllen
  • Vorurteile und Widerstände abbauen

 

Die Schulungen sollten regelmäßig, mindestens einmal jährlich durchgeführt werden und neben allgemeinen Grundlagen zum Datenschutz möglichst viele Praxisbeispiele beinhalten, um einen Bezug zur Apotheke herzustellen und um Langeweile zu vermeiden. Schulungen in kürzeren Zeitabständen ermöglichen es, regelmäßig intensiver auf spezielle Themen eingehen zu können und bereits Gehörtes zu wiederholen.