• Deutsch
  • Externer Datenschutzbeauftragter für Apotheken

Externer Datenschutzbeauftragter für Apotheken

Die Rechtsanwälte von Spirit Legal als externer Datenschutzbeauftragter von Apotheken.
Externer Datenschutzbeauftragter auf Rezept: die Rechtsanwälte von Spirit Legal

Fluch und Segen: Warum brauchen Apotheken einen Datenschutzbeauftragten (DSB)?

  1. Gesetzliche Verpflichtung für Apotheken nach 4 f Abs. 1 BDSG: Werden personenbezogene Daten (zum Beispiel Kunden- und Mitarbeiterdaten) automatisiert verarbeitet, haben Sie als Apotheke einen Beauftragten für den Datenschutz zu bestellen (ab 10 Mitarbeitern).
  2. Videoüberwachung: Die Videoüberwachung bedarf einer „Vorabkontrolle“, sodass Apotheken mit Videoüberwachung oder Sensortechnik immer einen Datenschutzbeauftragten benötigen.
  3. Zertifizierung nach DIN EN ISO 9001:2015: Eine solche Zertifizierung
  • erhöht die eigenen Marktchancen, da ein QM-System die Kundenzufriedenheit optimiert,
  • dient dem Ausbau strategischer Erfolgsfaktoren, denn eine Qualitätsmanagement-System stellt einen Imagegewinn dar, indem das Unternehmen sein Qualitätsstreben nachweist,
  • steigert die Produktivität, indem Prozesse verbessert werden,
  • steigert letztlich die Gewinne, indem aufgezeigte Potentiale genutzt werden.

Voraussetzung der Zertifizierung: Bestellung eines Datenschutzbeauftragten.

  1. Sensible Daten: In Apotheken werden große Mengen von Gesundheitsdaten verarbeitet. Der (externe) Datenschutzbeauftragte hilft bei der Sicherung dieser Daten und beim Aufbau von Kontrollmechanismen.
  2. Vertrauensgewinn: Beratung zu Gesundheitsfragen ist Vertrauenssache. Durch die Benennung eines qualifizierten Datenschutzbeauftragten signalisieren Sie gegenüber Kunden und Vertragspartnern, dass Ihnen IT-Sicherheit und Datenschutz ein besonderes Anliegen sind.
  3. Erfahrung im Umgang mit Aufsichtsbehörden: Stellt die Aufsichtsbehörde einen Verstoß fest, kann sie die zuständige Aufsichtsbehörde informieren sowie Zuwiderhandlungen mit schmerzhaften Bußgeldern belegen, § 43 BDSG, künftig Art. 83 DSGVO

 

Unsere Leistungen als externe Datenschutzbeauftragte auf einen Blick

 

 Schulung Ihrer Mitarbeiter*innen zum Datenschutz

Mitarbeiter, die in Ihrem Unternehmen, mit personenbezogenen Daten arbeiten, werden von den Rechtsanwältinnen und Rechtsanwälten von Spirit Legal LLP fachkundig und praxisbezogen geschult. In den Seminaren, die wir bundesweit auch In-house bei Ihnen durchführen, machen unsere Datenschutzexperten Ihre Mitarbeiter mit den Vorschriften über den Datenschutz und den Erfordernissen des Datenschutzes vertraut. Gern führen wir auch Online-Webinare zum Datenschutz durch.

 Dokumentation im Sinne des Datenschutzgesetzes

Das Bundesdatenschutzgesetz (BDSG) verpflichtet jede private oder staatliche Stelle, die mit personenbezogenen Daten arbeitet, den Umgang mit diesen Daten zu dokumentieren. Diese Dokumentationspflicht gilt also auch für privatwirtschaftliche Unternehmen, die mit personenbezogenen Daten umgehen. Die Rechtsanwälte von Spirit Legal LLP übernehmen als externe Datenschutzbeauftragte für Ihr Unternehmen die Dokumentation und Bereitstellung von internen Verfahrensübersichten und Verfahrensverzeichnissen.

 Vorabkontrolle der automatisierten Datenverarbeitung

Weist die automatisierte Datenverarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen auf, führen die Rechtsanwälte von Spirit Legal LLP als externe Datenschutzbeauftragte eine Vorabkontrolle durch.

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). (BDSG § 3)]

Externer Datenschutz schon ab 99,00 EUR/Monat: Rufen Sie uns an

Sie benötigen kompetente Unterstützung für Ihre Apotheke im Datenschutz? Die Rechtsanwälte von Spirit Legal LLP erarbeiten passgenaue Lösungen und unterstützen Unternehmen als externe Datenschutzbeauftragte. Sie erreichen uns wochentags an unserem Leipziger Standort, rund um die Uhr per Telefon und natürlich jederzeit über E-Mail oder unser Kontaktformular.

SPIRIT LEGAL INFORMIERT - APOTHEKEN UND DER DATENSCHUTZ

Datenschutz als Bestandteil von QM-Systemen: ISO 9001

Mit der neuen Version der Qualitätsnorm (DIN EN ISO 9001:2015) erlangt das Thema Datenschutz zur initialen Zertifizierung und deren Aufrechterhaltung grundlegende Bedeutung.

Die DIN EN ISO 9001: 2015 weist ausdrücklich darauf hin, dass personenbezogene Daten Eigentum des Kunden sind und daher besondere Sorgfalt beim Umgang mit Kundendaten angebracht ist. Da es ohne die Erfassung von Kundendaten in den meisten Unternehmen nicht zur Erbringung von Leistungen kommen kann, werden Anforderungen im Datenschutzrecht zwangsläufig auch zu Anforderungen im Rahmen von Qualitätsmanagement-Systemen. Jede Stelle muss personenbezogene Daten kennzeichnen, verifizieren und schützen. Zur initialen Zertifizierung und Aufrechterhaltung der ISO-Zertifizierung ist es daher notwendig, einen fachkundigen (externen) Datenschutzbeauftragten zu bestellen und diesen in die Organisation einzubinden.

Wer sich darüber hinaus etwas genauer mit den Anforderungen des Qualitätsmanagements auseinandersetzt, wird feststellen, dass es einige weitere Berührungspunkte mit dem Datenschutz gibt. Daher ist es wichtig, auch die Neuerungen der überarbeiteten DIN EN ISO 9001:2015 zu kennen und eine enge Zusammenarbeit zwischen dem Datenschutzbeauftragten und dem Qualitätsmanagementbeauftragten anzustreben, denn beide Seiten können voneinander profitieren.

Die Informationssicherheit und das Qualitätsmanagement basieren beide auf kontinuierlichen Verbesserungen (Plan-Do-Check-Act). Viele Unternehmen haben ein Qualitätsmanagementsystem eingeführt. Dieses lässt sich für weitere Standards (zum Beispiel ISO 27001 Informationssicherheit) nutzen, da sich die Standards in Aufbau und Prozessansatz ähneln. Somit können durch die Synergieeffekte hohe Aufwandseinsparungen für Optimierung, Reviews und Audits getroffen werden.

  1. Datenschutz und Versandapotheken

 

In Deutschland ist der Arzneimittelversandhandel mit dem am 1. Januar 2004 in Kraft getretenen Gesetz zur Modernisierung der gesetzlichen Krankenversicherung (GMG) zugelassen.  Gemäß § 43 Abs. 1 AMG können zugelassene Präsenzapotheken eine Erlaubnis zum Versandhandel beantragen und müssen nach behördlicher Prüfung zum Versandhandel mit Arzneimitteln zugelassen werden, sofern alle Voraussetzungen vorliegen.

„§ 43 Abs. 1 AMG: Arzneimittel (…) dürfen (…) berufs- oder gewerbsmäßig für den Endverbrauch nur in Apotheken und ohne behördliche Erlaubnis nicht im Wege des Versandes in den Verkehr gebracht werden(..)“

Nach § 11a Apothekengesetz (ApoG) muss die Behörde die Erlaubnis erteilen, wenn Sie Ihr schriftlich versichern, dass Sie den Medikamenten-Versand zusätzlich zum Betrieb Ihrer öffentlichen Apotheke (Ladengeschäft) durchführen und darüber hinaus ein Qualitätssicherungssystem einführen, durch das Sie als Apotheker Folgendes garantieren:

„ 11 a Nr. 2 ApoG: Mit einem Qualitätssicherungssystem wird sichergestellt, dass

a) das zu versendende Arzneimittel so verpackt, transportiert und ausgeliefert wird, dass seine Qualität und Wirksamkeit erhalten bleibt,

b) das versandte Arzneimittel der Person ausgeliefert wird, die von dem Auftraggeber der Bestellung der Apotheke mitgeteilt wird. Diese Festlegung kann insbesondere die Aushändigung an eine namentlich benannte natürliche Person oder einen benannten Personenkreis beinhalten,

c) die Patientin oder der Patient auf das Erfordernis hingewiesen wird, mit dem behandelnden Arzt Kontakt aufzunehmen, sofern Probleme bei der Medikation auftreten und

d) die Beratung durch pharmazeutisches Personal in deutscher Sprache erfolgen wird.“

Des Weiteren muss der Arzneimittelverkäufer im Versandhandel unter anderem eine Sendungsverfolgung einrichten, eine Lieferung innerhalb von zwei Arbeitstagen garantieren und eine Transportversicherung abschließen. Alle weiteren detaillierten Vorgaben sind in § 11a Nr. 3 ApoG aufgeführt und müssen unbedingt beachtet werden. Schließlich schreibt § 11a ApoG noch vor, dass die Apotheke für den elektronischen Handel garantieren muss, dass sie über die dafür geeigneten Einrichtungen und Geräte verfügt.

Um zu mehr Transparenz im Versandhandel mit Arzneimitteln beizutragen, müssen sich Online-Apotheken darüber hinaus im Versandhandelsregister des Deutschen Institutes für Medizinische Dokumentation und Information (DIMDI) eintragen lassen. Nur die dort registrierten Versandapotheken dürfen und müssen seit Oktober 2015 das EU-Sicherheitslogo auf ihrer Webseite führen.

Sicherheitslogo des DMDI

Exkurs

Für Internetapotheken aus dem EU-Ausland gibt es jedoch eine Ausnahme: Der Europäische Gerichtshof (Az. C-148/15) urteilte im Oktober 2016, dass die Preisbindung für ausländische Apotheken nicht mit dem europäischen Recht vereinbar ist. Deshalb könnten ausländische Versandapotheken jetzt auch wieder Boni auf verschreibungspflichtige Medikamente gewähren.

„Der Gerichtshof hat zum deutschen Verbot des Versandhandels mit Arzneimitteln, deren Abgabe ausschließlich Apotheken im Inland vorbehalten ist, entschieden, dass ein solches Verbot außerhalb Deutschlands ansässige Apotheken stärker als Apotheken in Deutschland beeinträchtigt. Auch wenn das Verbot den inländischen Apotheken unstreitig ein zusätzliches oder alternatives Mittel des Zugangs zum deutschen Markt der Endverbraucher von Arzneimitteln nimmt, bleibt ihnen doch die Möglichkeit, Arzneimittel in ihren Apotheken zu verkaufen. Dagegen könnte für Apotheken, die nicht im deutschen Hoheitsgebiet ansässig sind, im Internet ein Mittel liegen, das für den unmittelbaren Zugang zu diesem Markt eher geeignet ist. Ein Verbot, das sich auf außerhalb des deutschen Hoheitsgebiets ansässige Apotheken stärker auswirkt, könnte jedoch geeignet sein, den Marktzugang für Waren aus anderen Mitgliedstaaten stärker zu behindern als für inländische Erzeugnisse und stellt daher eine Maßnahme mit gleicher Wirkung wie eine mengenmäßige Beschränkung im Sinne von Art. 34 AEUV dar (vgl. in diesem Sinne Urteil vom 11. Dezember 2003, Deutscher Apothekerverband, C322/01, EU:C:2003:664, Rn. 74 bis 76).“

Datenschutz in der Versandapotheke: Machen Sie es besser!

Nach der Erhebung des bekannten Apothekenpreisvergleichsportals Sparmedo in seiner Versandapothekenstudie weist die große Mehrheit von Versandapotheken Mängel in den Bereichen Datenschutz und Datensicherheit auf. Laut der Studie sollen 74 Prozent der 145 geprüften Versandapotheken keinen datenschutzkonformen Onlineshop haben: Daten werden unverschlüsselt übertragen, nicht anonymisiert an andere Dienstleister weitergegeben, es fehlen entsprechende Hinweise in der Datenschutzerklärung und/oder die Serversoftware ist zu alt, um noch sicher zu sein.

Darauf sollten Sie achten:

  • Versenden Sie im Onlineshop erfasste Kundendaten nur auf verschlüsseltem Wege. Dadurch wird sichergestellt, dass Informationen wie Kontakt- und Zahlungsdaten nicht von unbefugten Dritten abgefangen werden könnten.
  • Führen Sie Serverupdates durch und aktualisieren Sie Virenschutzprogramme und Firewalls.
  • Überprüfen Sie Ihre Datenschutzerklärungen.
  • Sofern Sie Google Analytics verwenden, achten Sie darauf, dass das Tracking anonym erfolgt, beispielsweise indem nur eine verkürzte Nutzer-IP gespeichert wird.
  • Schließen Sie eine Cybersecurity-Versicherung

Wenn Amazon zur Apotheke wird

Bei Amazon kann man so ziemlich alles kaufen. Aber gilt das auch für Arzneimittel? Zwar verbietet das Apothekenrecht dem Online-Versandhändler, selbst Medikamente anzubieten, doch die Shops vieler Versandapotheken sind längst integriert, sodass das EU-Sicherheitslogo es mittelbar auf die Amazon-Website geschafft hat.

Für Versandapotheken ist eine große Verbreitung überlebensnotwendig. Dabei wird Amazon immer wichtiger. Rund 30 Versandapotheken nutzen nach den Recherchen von Fabian Kaske (Marketingagentur Dr. Kaske) derzeit die Plattform. Darunter namhafte Anbieter wie Aponeo, Deutsche Internet Apotheke, Medpex, Mycare oder Sanicare. Die Bestellung wird bei Amazon aufgegeben, für Verkauf und Versand steht die Versandapotheke ein. Der Kunde merkt das im Zweifel erst, wenn überhaupt, mit Erhalt des Päckchens. Denn das „Einkaufserlebnis“ ist Amazon. Dahinter standen bisher Versandapotheken mit eigenem Shop, die Amazon gewissermaßen als Plattform nutzten.

Doch nun entwickelt sich Amazon noch in eine andere Richtung. In München ist es seit Mai 2017 möglich, rezeptfreie Medikamente via Amazon Prime Now zu ordern. Die Lieferung erfolgt binnen einer Stunde oder innerhalb eines vorher vom Kunden festgelegten Zwei-Stunden-Fensters. Dazu arbeitet Amazon mit den Apotheken vor Ort zusammen.

Dann stellt sich noch die Frage, wie mit rezeptpflichtigen Medikamenten umgegangen wird. Grundsätzlich gilt: Apothekenpflichtige Arzneimittel dürfen (auch im Internet) nur von Apotheken verkauft werden. Welche Arzneimittel apothekenpflichtig sind, ergibt sich aus Verordnungen des Bundesministeriums für Gesundheit und Soziales, die gemäß § 45 und § 46 AMG die Apothekenpflichtigkeit von Arzneimitteln regeln. Darüber hinaus regelt § 17 Abs. 1 a S. 1 ApBetrO, dass Arzneimittel grundsätzlich nur in den Apothekenbetriebsräumen in den Verkehr gebracht und nur durch pharmazeutisches Personal ausgehändigt werden dürfen. Gemäß § 17 Abs. 1 a S. 2, ist Satz 1 ist auf apothekenpflichtige Medizinprodukte entsprechend anzuwenden. § 1 a Abs. 2 definiert, wer pharmazeutisches Personal ist: Apotheker, pharmazeutisch-technische Assistenten, Apothekerassistenten, Pharmazieingenieure, Apothekenassistenten, pharmazeutische Assistenten sowie Personen, die sich in der Ausbildung zum Apothekerberuf oder zum Beruf des pharmazeutisch-technischen Assistenten befinden.

Voraussetzung für eine rechtmäßige Abgabe verschreibungspflichtiger Medikamente ist demnach eine entsprechende pharmazeutische Ausbildung. Indem Amazon im Sinne eines Lieferdienstes für die Apotheke vor Ort fungiert, ändert sich für den Kunden nur, dass die Medikamente in eine Amazon-Prime-Tüte ankommen. Dort werden sie auch durch einen Apotheker einsortiert und kontrolliert. Da weiterhin auch sichergestellt ist, dass die Tüten vom Fahrer persönlich übergeben werden und daneben auch die telefonische Beratung für den Kunden durch die Mitarbeiter der Apotheke zur Verfügung steht, werden auch alle gesetzlichen Vorgaben eingehalten.

Weiterhin ist die Auslieferung auch nur während der Öffnungszeiten der Apotheken möglich und die sonst bei Amazon übliche Methode, die Prime Now-Tüte an einem vorher angegebenen Platz abstellen zu lassen, ist für die Lieferungen aus der Apotheke ausgeschlossen. Damit wird Amazon für die Apothekenkunden sehr attraktiv und übertrifft den Service vieler Versandapotheken, die deutlich länger zur Lieferung benötigen.

 

Auf zu neuen Ufern: Zusätzliche Dienstleistungen in Apotheken

Apotheker und Apothekerinnen, deren Filialen mit mehreren anderen in der Nachbarschaft oder mit Amazon konkurrieren, müssen sich immer Neues einfallen lassen, um alte und neue Kunden an die Offizin zu binden. Durch fachliche Spezialisierungen können Apotheker und Apothekerinnen ihre Position als Gesundheitsexperten stärken und für bestimmte Zielgruppen attraktiver werden.

Weiterbildungen der Apothekerkammern nutzen

Die Apothekerkammern bieten zahlreiche Weiterbildungen für fachliche Spezialisierungen an, die den Apothekerinnen und Apothekern spezifisches Know-how vermitteln. Mit diesem Wissen können sie einen besonderen Service für ihre Kunden und individuelle Zusatzleistungen anbieten. Durch Weiterbildung können sich Apotheker auf Fachgebiete wie Ernährungsberatung, Gesundheitsförderung, Homöopathie und Naturheilverfahren oder Geriatrische Pharmazie spezialisieren und mit attraktiven Zusatzangeboten besondere Dienstleistungen anbieten.

 

Gesundheitsprävention

Medikamente ausgeben, die Krankheiten heilen - das ist die wichtigste Aufgabe der Apotheken. Doch Apotheker und Apothekerinnen können auch dazu beitragen, die Gesundheit der Kunden zu erhalten und zu verbessern und damit das Auftreten von Krankheiten verhindern. Die flächendeckende Präsenz der rund 21.500 deutschen Apotheken macht Apotheken zu einer unmittelbaren Anlaufstelle für Menschen mit Gesundheitsfragen. Sie sind daher prädestiniert, Kunden über Gesundheitsrisiken aufzuklären und sie dabei zu unterstützen, gesünder zu leben.

PRAXISTIPP

Apotheker und Apothekerinnen, die sich auf Ernährungsberatung spezialisiert haben, können individuelles Ernährungscoaching oder Gruppenbetreuung als zusätzliche Dienstleistungen anbieten. Sie erstellen individuelle Ernährungsanalysen mit Empfehlungen und motivieren die Kunden, sich an diesen Plan zu halten. Auch spezielle Beratungsprogramme, zum Beispiel gegen das Rauchen und übermäßigen Alkoholkonsum, gegen Fettstoffwechselstörungen oder Osteoporose bieten sich an. Darüber hinaus können Apotheken mitwirken, Krankheiten früh zu erkennen, indem sie zum Beispiel die Blutdruck- oder Blutzuckerwerte ihrer Kunden messen.

Spezialisierung auf Geriatrische Pharmazie

Nach Schätzungen des Statistischen Bundesamtes werden in zwanzig Jahren 29 Prozent der Bevölkerung in Deutschland 65 Jahre oder älter sein. Dies bedeutet erhebliche Herausforderungen für den Gesundheitsmarkt – auch im Bereich der Pharmazie: Bei älteren Patienten treten oft mehrere Krankheiten gleichzeitig auf; die Multimorbidität sowie Faktoren wie Stoffwechselveränderungen führen häufig zu arzneimittelbezogenen Problemen. Apotheker und Apothekerinnen können insofern dazu beitragen, die Versorgung älterer Menschen zu verbessern und Probleme der medikamentösen Behandlung zu lösen.

PRAXISTIPP

Ältere Patienten und deren Angehörige sind mit vielen Medikamentenpackungen häufig überfordert. Apotheker, die die Medikamente verblistern, können hier eine sinnvolle Dienstleistung anbieten und sich mit seniorenspezifischen Medizinprodukten eine zusätzliche Einnahmequelle erschließen.

Stillberatung

Stillen hat für Mutter und Kind gesundheitliche Vorteile. Diese Vorteile finden aber noch immer zu wenig Beachtung. Apotheker und Apothekerinnen haben verschiedene Möglichkeiten, sich für das Stillen zu engagieren: Sie können Stillhilfsmittel und geeignete Produkte anbieten und über den Nutzen des Stillens informieren.

PRAXISTIPP

Auch in der Beratung zur Medikation in der Stillzeit können sich Apotheker auszeichnen. Zu oft wurde den Müttern zum Abstillen geraten, obwohl viele Medikamente kein Risiko darstellen. Rote Liste und Beipackzettel seien hier oft nicht aussagekräftig. Genauere Informationen liefert die geeignete Fachliteratur.

 

Datenschutz in der Apotheke: Anforderungen im Überblick

Grundsatz: Verbot mit Erlaubnisvorbehalt

Das Datenschutzrecht soll den Einzelnen davor schützen, dass sein Recht auf informationelle Selbstbestimmung nach Art. 2 Abs. 1, Art. 1 Abs. 1 GG durch den Umgang mit seinen Daten beeinträchtigt wird. Wer krank ist, möchte nicht, dass diese Information in falsche Hände gerät.
Daher ist in § 4 Abs. 1 Bundesdatenschutzgesetz ein sogenanntes Verbot mit Erlaubnisvorbehalt verankert. Das heißt, es gibt ein generelles Verbot der Verwendung personenbezogener Daten, egal, ob Erhebung, Verarbeitung oder Nutzung. Nur in Ausnahmefällen, beispielsweise bei der Einwilligung des Betroffenen etwa bei Kundenkarten oder bei einer gesetzlichen Erlaubnis (zum Beispiel die Rezeptabrechnung über ein Apothekenrechenzentrum im Sozialgesetzbuch V), darf man sich darüber hinwegsetzen (Erlaubnisvorbehalt).

PRAXISTIPP

Sie sollten sich immer fragen, welche Daten wirklich an Dritte weitergegeben werden müssen. Beispiel: Bei der Bestellung von Stützstrümpfen genügt es, die Maße des Patienten an den Hersteller oder Lieferanten weiterzureichen. Weitere Angaben wie Name, Geburtsdatum und Adresse sind für die Bestellung irrelevant.

Personenbezogene und besondere personenbezogene Daten

Das BDSG unterscheidet zwei Arten von Daten: die (einfachen) personenbezogenen Daten und die besonderen Arten personenbezogener Daten. Diese Unterscheidung ist wichtig, da an die verschiedenen Arten von Daten andere gesetzliche Anforderungen geknüpft sind.

Zahlreiche personenbezogene und sensible Daten befinden sich auf einem Rezept.

Für Apotheken stehen die besonderen Arten personenbezogener Daten, auch sensible oder sensitive Daten genannt, im Vordergrund.

„§ 3 Abs. 9BDSG: Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.“

Da an sie besonders hohe Anforderungen und strenge Einschränkungen ihrer Verwendung gestellt werden, muss dem Datenschutz in der Apotheke ein übergeordnet hoher Stellenwert beigemessen werden.

PRAXISTIPP

Daraus folgen auch besondere Anforderungen an den Datenschutzbeauftragten, der spezifische Fachkunde besitzen muss, die stets der aktuellen Rechtslage entspricht. Es empfiehlt sich daher, einen externen Datenschutzbeauftragten mit besonderer Erfahrung und Fachkunde, zu beauftragen.

Schweigepflicht und Datengeheimnis

Selbstverständlich unterliegen alle Daten der Apothekenkunden der Schweigepflicht. § 203 Abs. 1 des Strafgesetzbuches stellt einen Verstoß unter Strafe. In der Strafprozessordnung wird Apothekern ferner bei einer Vernehmung ein Zeugnisverweigerungsrecht gewährt. Darauf kann er sich berufen, wenn ein Kunde wegen Rezeptfälschung vor Gericht steht.

Auch die Heilberufe-Kammergesetze enthalten Forderungen zu den allgemeinen und besonderen Berufspflichten der Apotheker. Einen Bezug zur Thematik hat ferner § 4 Abs. 2 Apothekenbetriebsordnung (ApBetrO), der für die Einrichtung des Offizins fordert, dass die Vertraulichkeit der Beratung gewahrt werden kann. Die für die Apothekenpraxis wichtigsten Bestimmungen finden sich in den Berufsordnungen der Landesapothekerkammern. Dort wird der Apothekenleiter normalerweise verpflichtet, alle Mitarbeiter schriftlich zur Verschwiegenheit zu verpflichten.

PRAXISTIPP

Dass sich alle Mitarbeiter und Mitarbeiterinnen schriftlich zu Verschwiegenheit verpflichten, sollte auch bei Praktikanten, Boten, Reinigungs- und Wachpersonal sowie kurzzeitig Beschäftigten nicht vergessen werden.

Zudem müssen Mitarbeiter auf das Datengeheimnis nach § 5 BDSG verpflichtet werden. Nach dieser Vorschrift ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen.

Halten sich Dritte in der Apotheke auf, zum Beispiel Handwerker, ist sicherzustellen, dass diese keinen Zugriff auf personenbezogene Daten haben. Sinnvoll ist es zudem, alle Mitarbeiter darüber zu belehren, dass die Schweigepflicht umfassend gilt, also auch gegenüber den Angehörigen der Kunden, nicht beteiligten Kollegen und Ärzten.

 

Die acht Gebote des Datenschutzes

In der Anlage zu § 9 S. 1 BDSG ist der gesetzliche Maßstab zur technisch-organisatorischen Umsetzung des Datenschutzes nachzulesen. Die acht Gebote des Datenschutzes lauten:

"Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, …

… Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Zutrittskontrolle

… zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Zugangskontrolle

… zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und, dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Zugriffskontrolle

… zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und, dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Weitergabekontrolle

… zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Eingabekontrolle

… zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Auftragskontrolle

… zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Verfügbarkeitskontrolle

… zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Trennungskontrolle

PRAXISTIPP

Zur Einhaltung dieser acht Gebote, sind Apotheken aufgefordert, konkrete Schutzmaßnahmen zu ergreifen. Dazu gehört zum Beispiel das Verschließen der Apothekenräume, eine festgelegte Schlüssel­regelung für das Personal und regelmäßige Datensicherungen, Benutzerkennung mit Passwortsicherung, die Beschränkung der Administrator- und Userrechte auf das zwingend erforderliche und klare Regeln für die Mitarbeiter, an wen Daten weitergegeben werden dürfen und vieles andere mehr.

 

Datenschutz in der Praxis: Ist Videoüberwachung erlaubt?

Das BDSG regelt in § 6 b die Beobachtung öffentlich zugänglicher Räume mit optisch elektronischer Einrichtung. Absatz 2 des § 6 b BDSG verlangt, dass der Umstand der Beobachtung durch eine geeignete Maßnahme erkennbar gemacht wird.

PRAXISTIPP

Das gilt übrigens auch, wenn es sich bei der vermeintlichen Überwachungskamera lediglich um eine Attrappe handelt. In nicht öffentlich zugänglichen Bereichen ist eine Videoüberwachung nur in bestimmten Fällen erlaubt. Nach § 32 BDSG nämlich nur, wenn (§ 32 BDSG:) „zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. Heimliches Filmen ist immer unzulässig.“

Gleiches gilt für Aufnahmen in Bereichen der privaten Lebensgestaltung, zum Beispiel in Sanitärräumen, Umkleiden oder im Nachtdienstzimmer. Zudem verlangt das Gesetz, dass Daten unverzüglich zu löschen sind, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.

 

Datenschutzkonforme Gestaltung der Offizin

Auch bei der Gestaltung der Offizin sind datenschutzrechtliche Vorgaben umzusetzen. Einige Beispiele aus der Praxis:

  • So muss eine vertrauliche Beratung zum Beispiel bereits durch die räumliche Gestaltung gesichert Sprechen Sie mit Vermietern, Innenarchitekten und Handwerkern geeignete Konzepte ab. Spätere Umbauten können teuer werden.
  • Weiterhin sollten Bildschirme so platziert sein, dass andere Kunden diese nicht einsehen können.
  • Rezepte sollten, auch bei starkem Kundenverkehr, niemals für andere Kunden lesbar oder gar greifbar auf dem Tisch liegen.
  • Darüber hinaus enthalten Rezepte viele sensible Daten. Werden sie nicht mehr benötigt, müssen sie datenschutzkonform vernichtet  
  • Bei Unklarheiten auf dem Rezept ist für die Rückfrage beim Arzt, die Einwilligung des Patienten
  • Will man sich, zum Beispiel mit einem Arzt, per E-Mail über ein Rezept austauschen, so darf das Rezept nicht einfach eingescannt und dann unverschlüsselt oder als Anhang versandt werden. Die Daten der Kunden sind zu verschlüsseln.

PRAXISTIPP

Richten Sie Diskretionszonen ein und achten Sie auf die Uneinsehbarkeit und Unerreichbarkeit von Daten durch Dritte.

 

Dokumentation vor Zugriff schützen

Von Betäubungsmitteln über verschreibungspflichtige Tierarzneimittel bis hin zu Erwerb und Abgabe von Produkten, die unter das Transfusionsgesetz fallen: Diese Aufzeichnungen enthalten personenbezogene Daten, an die Unbefugte nicht herankommen dürfen – auch dann nicht, wenn die Aufbewahrungspflicht abgelaufen ist. Zu entsorgende Unterlagen müssen datenschutzgerecht vernichtet werden. Gleiches gilt für alle Dokumente, die personenbezogene Daten enthalten, wie Briefe, Faxe und Ähnliches.

PRAXISTIPP

Es ist sinnvoll, sämtliche Unterlagen in der Apotheke bezüglich der Sensibilität der Daten in Klassifikationsstufen einzuteilen und zu kennzeichnen. Zum »internen Gebrauch« könnte zum Beispiel das QM-Handbuch dienen, »streng vertraulich« sind beispielsweise die Personalakten und ein »persönlich« tragen Gehaltsabrechnungen und Beurteilungen der Mitarbeiter.

Datenschutz bei Kundenkarte

Die Kundenkarte wird in immer mehr Apotheken eingesetzt und dient als wichtiges Mittel zur Kundenbindung. Für ihre legale Verwendung müssen unbedingt die Vorgaben des BDSG eingehalten werden.

Wichtigste Voraussetzung ist hierbei die Einwilligungserklärung:

Die Einwilligungserklärung der Kunden muss sich auf die personenbezogenen und ausdrücklich auch auf die Gesundheitsdaten beziehen. Sie muss immer schriftlich erfolgen und an einem für Unbefugte nicht zugänglichen Ort sicher aufbewahrt werden. Es gibt keine feste Frist, wann ungenutzte Kundenkarten zu löschen sind. Da die Kundenkarte letztlich ein Instrument zur Kundenbindung ist, also im Bereich der Werbemaßnahmen angesiedelt ist, könnte man die von der Rechtsprechung avisierte Dauer von einem Jahr zugrunde legen, sofern die Kundenkarte über diesen Zeitraum nicht genutzt wurde.

Der Kunde kann seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sinnvoll ist, den Kunden hierüber bereits im Kundenkartenantrag schriftlich zu belehren. Eine Besonderheit ergibt sich zudem nach der DSGVO, wenn die Einwilligungserklärung zusammen mit dem Einverständnis zur Verwendung allgemeiner Geschäftsbedingungen abgegeben wird.

„Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung

  1. in verständlicher und
  2. leicht zugänglicher Form
  3. in einer klaren und einfachen Sprache so erfolgen, dass es
  4. von den anderen Sachverhalten klar zu unterscheiden

Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.“

Diese etwas umständliche Formulierung sagt im Kern nichts anderes, als ihr Pendant im § 4 s Abs. 1 S. 4 Bundesdatenschutzgesetz: Werden neben der Einwilligung noch andere Erklärungen abgegeben, so muss die Einwilligung für den Leser deutlich von den anderen Erklärungen abzugrenzen sein, sodass der Betroffene erkennt, worin er einwilligt.

PRAXISTIPP  

Führen Sie Löschfristen ein, sonst übersehen Sie schnell, dass noch vorhandene Daten längst hätten vernichtet werden müssen. Nach § 35 Abs. 3 BDSG tritt in besonderen Fällen an die Stelle der Löschung die Sperrung, etwa, wenn Aufbewahrungsfristen entgegenstehen. Sperren meint das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken. Von der Ausgabe einer Kundenkarte ist abzuraten, wenn der Kunde die Erklärung nicht oder nur mündlich abgeben will. Grundsätzlich sollte man nur Daten erfassen, die tatsächlich benötigt werden.

 

Der Botengang: Warum ist der Datenschutz hier so wichtig?

Laut Apothekenbetriebsordnung sind die auszuliefernden Arzneimittel für jeden Empfänger getrennt zu verpacken und jeweils mit dessen Namen und Anschrift zu versehen. Achtung: Damit gelangen personenbezogene Daten in Umlauf.

Bei der Auslieferung mit einem Pkw dürfen die Medikamente nicht sichtbar im Pkw liegen oder dort längere Zeit, zum Beispiel über Nacht, deponiert werden. Nur scheinbar banal: Beim Verlassen ist der Wagen stets abzuschließen. Fahrradboten müssen alle auszuliefernden Medikamente immer mit sich führen.

Der Bote darf die Medikamente nur dem Kunden selbst aushändigen. Andernfalls, zum Beispiel bei der Abgabe beim Nachbarn oder beim Einwurf in den Briefkasten, ist vorher eine schriftliche Einverständniserklärung einzuholen. Ebenfalls abklären sollte man, ob das Medikament an andere Familienangehörige im gleichen Haushalt ausgehändigt werden kann. Generell sinnvoll ist es, wenn sich der Bote die Übergabe bestätigen lässt.

IT-Sicherung bedenken (Datensicherheit)

Ohne Informationstechnologie (IT) geht es in der Apotheke nicht. Um deren Sicherheit müssen sich auch Apothekeninhaber Gedanken machen. Nicht nur Hackerangriffe von außen sind zu befürchten, auch technische Schäden (etwa Überhitzung), Elementarschäden (Brand, Wasserschäden) sowie Unkenntnis und Selbstüberschätzung des Personals sind Risikofaktoren.

Wirksame Maßnahmen zur Gefahrenabwehr beginnen bei regelmäßigen Mitarbeiterschulungen und enden bei einem umfassenden Passwortschutz. Auch an eine unterbrechungsfreie Stromversorgung mit Überspannungsschutz, aktualisierte Virenschutzprogramme und regelmäßige Datensicherungen ist zu denken. Nach der Datensicherung sollte der Sicherungsträger nicht am oder in unmittelbarer Nähe des Computers gelagert werden; am besten wird er an einem vor Diebstahl und Elementarschäden gesicherten Ort aufbewahrt. Empfehlenswert ist auch, den Datenträger mindestens einmal pro Monat auf Funktionstüchtigkeit zu überprüfen.

 

Internetauftritt der Apotheke: Ein datenschutzrechtlicher Hindernisparcours

Sofern Apotheken eine Webseite haben, sind zu bestimmten Angaben verpflichtet. Dafür sind die allgemeinen Informationspflichten nach Telemediengesetz zu beachten.

Nach § 5 TMG gehört in erster Linie das Impressum zu den Pflichtangaben.

Zu einem Impressum gehören folgende Angaben:

  • vollständiger Name der Apotheke mit Postanschrift,
  • Inhaber und Vertretungs­berechtigter der Apotheke mit vollem Vor- und Zunamen,
  • E-Mail-Adresse, Telefon- und Faxnummer,
  • Umsatzsteuer-Identifikations­nummer,
  • Handelsregister mit Handels­registernummer,
  • Aufsichtsbehörde,
  • zuständige Berufskammer,
  • gesetzliche Berufsbezeichnung und Staat, in dem sie verliehen wurde,
  • Hinweis auf (Nicht-)Teilnahme an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle

Auch an eine Datenschutzerklärung und einen Sicherheitshinweis an Kunden, dass eine offene Dateneingabe freiwillig und nicht sicher ist, ist bei dem Internetauftritt zu denken. Kunden und Mitarbeiter müssen zuvor natürlich zugestimmt haben, wenn personenbezogene Daten und Bilder von ihnen auf der Website veröffentlicht werden. Die Überwachung der Website auf datenschutzrelevante Aspekte zählt zu den Aufgaben eines Datenschutzbeauftragten.

 

Was ist zu tun, wenn doch etwas schiefläuft?

Verhalten bei Datenpannen („Data Breach“)

Datenpannen, wie Zugriffe durch Hacker, Verlust von transportablen Datenträgern oder Falschversendung einer E-Mail erfordern, sofern sensitive Daten betroffen sind, nach § 42 a S. 1 Nr. 1 BDSG eine Mitteilung an den Betroffenen sowie der Aufsichtsbehörde.

Die DSGVO sieht ab Mai 2018 eine deutlich verschärftere Meldepflicht bei Data Breaches vor. Wann eine solche Verpflichtung besteht, richtet sich nach den Art. 33 DSGVO für Meldungen an die Aufsichtsbehörde und Art. 34 DSGVO für Meldungen an die Betroffenen.

  1. Meldungen an die Aufsichtsbehörde

Künftig muss grundsätzlich jede Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde gemeldet werden. Eine Ausnahme besteht nach Art 33 Abs. 1 DSGVO nur dann, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Es ist also stets eine Risikoabwägung durchzuführen.

Was ist dabei zu tun?

  • Risikokatalog des Erwägungsgrundes 75 DSGVO berücksichtigen
  • Dokumentation der Abwägung
  1. Meldungen an die Betroffenen

Ergibt die durchzuführende Risikoabwägung, dass durch die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, sind diese nach Art. 34 DSGVO zu benachrichtigen.

Ausnahmen von der Pflicht zur Benachrichtigung bestehen nach Art. 34 Abs. 3 DSGVO, wenn:

  • geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, durch die die, betroffenen Daten für Unbefugte nicht zugänglich sind (zum Beispiel Verschlüsselung),
  • durch nachfolgende Maßnahmen sichergestellt wurde, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht,
  • die direkte Information der Betroffenen mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall ist jedoch eine öffentliche Bekanntmachung gefordert.

Verspätete, unzureichende oder unterlassene Meldungen können sehr teuer werden. Leichte Verstöße gegen den Datenschutz werden mit Bußgeldern bis zu 50 000 Euro geahndet, schwere mit mehr als 300 000 Euro. Zur letztgenannten Gruppe gehört zum Beispiel die unterbliebene Information der Aufsichtsbehörde bei einer schweren Datenpanne. Mitarbeiter müssen bei Verstößen gegen den Datenschutz mit arbeitsrechtlichen Konsequenzen rechnen, etwa einer Abmahnung oder der Kündigung.

Die Aufsichtsbehörden kontrollieren den Datenschutz – meistens anlassbezogen, zum Beispiel nach Beschwerden von Kunden, aber auch stichprobenweise. Bei einer Kontrolle ist die Apotheke verpflichtet, unverzüglich Auskunft zu erteilen. Fehlverhalten kann teuer werden. Die Aufsichtsbehörde hat verschiedene Möglichkeiten, datenschutzrechtliche Belange durchzusetzen: Anordnung von Maßnahmen, Abberufung eines Datenschutzbeauftragten, Zwangsgeld. Sie hat aber auch die Aufgabe, die Apotheken bei Fragen zur Umsetzung des Datenschutzes zu beraten und zu unterstützen.

 

Die Rechtsanwaltssozietät Spirit Legal LLP berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal LLP 2013 - 2017, alle Rechte vorbehalten




Spirit Legal LLP hat 4,80 von 5 Sterne | 66 Bewertungen auf ProvenExpert.com