Ciao Sommergrippe!​​​​​​​

DIE NEUE DSGVO – WAS BEDEUTET SIE FÜR APOTHEKEN?

Wie bisher dürfen der DSGVO zufolge personenbezogene Daten nur mit Einwilligung der betroffenen Person verarbeitet werden. Die Daten dürfen nur zweckgebunden und im unbedingt notwendigen Ausmaß verarbeitet werden. Eine Speicherung ist „nur so lange wie unbedingt notwendig“ erlaubt. Zudem muss gewährleistet sein, dass Unbefugte keinen Zugang zu den Daten haben.

Neu ist, dass Datenverarbeitungen nicht mehr im Voraus an die Behörde zu melden und von dieser zu genehmigen sind. Sie müssen nun von jedem einzelnen Betrieb für sich detailliert dokumentiert und eigenverantwortlich bewertet werden. Die Datenschutzbehörde hat das Recht, in den Betrieben zu kontrollieren, ob die Bestimmungen des Datenschutzrechts eingehalten werden. Die bisher als „sensible Daten“ bezeichnete und besonders streng behandelte Kategorie wird nun als „besondere Kategorien von Daten“ bezeichnet. Dazu gehören auch Gesundheitsdaten (z. B. über Arzneimitteleinkäufe).

Verstöße können teuer kommen: Die Maßnahmen beginnen bei Verwarnungen und gehen bis zu Geldstrafen von bis zu vier Prozent des Vorjahresumsatzes bzw. bis zu 20 Mio. Euro. „Das zuletzt genannte Strafausmaß wurde in Hinblick auf ‚große Kaliber’ wie Google oder YouTube festgesetzt und wird sicherlich für einzelne Betriebe nicht zur Anwendung gelangen“, schränkt Mag. Karin Rösel-Schmid von der Rechts- und sozialpolitischen Abteilung der Österreichischen Apothekerkammer ein.
Dennoch zeigen die vorgesehen Strafmaßnahmen, welche Bedeutung die europäischen Staaten dem Datenschutz beimessen. Für Panik sei dennoch kein Platz, meint die Rechtsexpertin. Die Vorgaben der DSGVO zu erfüllen, sei kein Ding der Unmöglichkeit. Zudem hat die Apothekerkammer eine Handlungsanleitung erstellt, die auch „juristischen Laien“ die Umsetzung erlaube.

Neue Pflichten

1. Verzeichnis von Verarbeitungstätigkeiten
Ob Rezeptverrechnung, Kundenkartei, Kommunikation, Einkauf – jede Art von Datenverarbeitung wird nun in ein Verzeichnis aufgenommen. Zusätzlich ist zu dokumentieren: auf welcher Rechtsgrundlage und zu welchem Zweck die jeweiligen Daten verarbeitet bzw. übermittelt werden; welche organisatorischen und technischen Maßnahmen zur Gewährleistung ihrer Sicherheit getroffen wurden; nach welcher Frist die Daten gelöscht werden.

2. Sicherheit personenbezogener Daten
Jeder Betrieb muss technische und organisatorische Maßnahmen treffen, die sicherstellen, dass durch eine Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, herangezogen werden.

3. Datenschutz-Folgenabschätzung
Für „besonders risikoreiche Datenverarbeitungen“, etwa bei der Verwendung neuer Technologien, ist eine Datenschutz-Folgenabschätzung vorzunehmen. Diese enthält z. B. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.

4. Datenschutzbeauftragter
Werden besonders sensible Kategorien von Daten verarbeitet, und dazu zählen Arzneimitteleinkäufe bzw. Gesundheitsdaten, muss ein Datenschutzbeauftragter bestellt werden.

5. Betroffenenrechte
Jede Person hat wie bisher das Recht, Auskunft über die gespeicherten Daten und Berichtigung zu verlangen. Neu ist das Recht auf Informationen zu Löschungen oder Weiterleitung ihrer Daten.

Kundenkarteien und Rezepte

Die Verarbeitung von Kundendaten im Rahmen einer Kundenkartei erfolgt wie bisher auf der Grundlage von Einwilligungserklärungen der betroffenen Personen (sofern diese inhaltlich der DSGVO entsprechen). Einträge sind im Verzeichnis von Verarbeitungstätigkeiten zu erfassen. Und: „Sobald ein neuer Stammkunde in der Kundendatei angelegt oder sonst eine Einwilligungserklärung zur Datenverarbeitung eingeholt wird, ist dem Kunden diese Information zur Verfügung zu stellen“, so Rösel-Schmid. Einen Formulierungsvorschlag bietet die Apothekerkammer auf ihrer Website unter dem Titel „Was ist bei Einführung einer Kundenkarte zu beachten?“

Selbst wenn ein Kunde ein Rezept einlöst, muss dieser Person eine Datenschutzerklärung zugänglich gemacht werden: Diese kann in der Apotheke sichtbar ausgehängt werden, als Link in der E-Mail-Signatur oder auch als QR-Code geschehen.

Handlungsanleitung für Betriebe

Die Apothekerkammer stellt auch eine Handlungsanleitung mit Ausfüllhilfe zur Verfügung. Jede Apotheke kann diese individuell an den Betrieb anpassen, speichern und jederzeit aktualisieren. Im Falle einer Kontrolle durch die Datenschutzbehörde kann sie jederzeit vorgelegt werden. Das Muster beinhaltet eine Beschreibung von Maßnahmen, die in vielen Apotheken üblich bzw. empfehlenswert sind.

Beratung und Unterstützung bieten Mitgliedern auch die Rechtsabteilungen der Österreichischen Apothekerkammer und des Österreichischen Apothekerverbandes. „Wesentlich ist, dass Sie die Dokumentation sorgfältig und vollständig führen. Damit ist schon viel gewonnen, und Sie brauchen eine allfällige Kontrolle durch die Datenschutzbehörde nicht zu fürchten“, so Rösel-Schmid.

Weiterführende Informationen

Letzte Aktualisierung: 13.07.2018