Datenschutz

Sensible Informationen müssen gut gesichert werden

Professioneller Datenschutz in Apotheken

Im Gesundheitssektor war Diskretion schon immer Ehrensache. Ob ärztliche Verschwiegenheit oder Diskretionsabstand in Apotheken – die Privatsphäre wurde von Heilberufen penibel beachtet und geschützt. Mit der Digitalisierung wird dieser Schutz herausfordernder, weil moderne IT vulnerabel ist und es viele Kriminelle gibt, die Schwächen im System ausnutzen. Auch deshalb wurden Vorgaben zur Datensicherheit in Europa verschärft. Apotheken sollten aus diesen Gründen ihre Datensicherheit auf eine professionelle Stufe stellen. Denn eines ist sicher: Sicherheitslücken werden früher oder später ausgenutzt.

Wann benötigt eine Apotheke einen Datenschutzbeauftragten? Man sollte meinen, dass es auf diese einfache Frage auch eine einfache Antwort gibt. Doch weit gefehlt. Zwar schreibt das Bundesdatenschutzgesetz (BDSG §38), dass Apothekeninhaber/innen einen Datenschutzbeauftragten ernennen müssen, wenn mindestens 20 Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei Mehrbesitz zählen alle Mitarbeiter der Hauptapotheke und der Filialen. Doch diese scheinbar eindeutige Aussage, wird schnell wieder infrage gestellt. Denn bei weniger als 20 Mitarbeitern und ohne Datenschutzbeauftragten fällt Inhabern/innen automatisch die Aufgabe der Umsetzung der DSGVO zu. Tatsächlich müssen die Aufgaben des Datenschutzes also auch in kleinen Betrieben erfüllt werden – und zwar von Apothekern/innen selbst. Zudem gibt es einige Ausnahmen, die die Ernennung von Datenschutzbeauftragten in kleinen Apotheken doch nötig machen.

Wie ist der Datenschutz in Ihrer Apotheke geregelt?
Wenn Sie nicht sicher sind, ob Ihre Apotheke
regelkonform aufgestellt ist,
dann fragen Sie uns.
Ausnahmen und Unklarheiten
So schreibt die Datenschutz-Grundverordnung (DSGVO §37) vor, dass Verantwortliche einen Datenschutzbeauftragten ernennen müssen, wenn die „Kerntätigkeit“ in der „umfangreichen Verarbeitung“ von besonders geschützten Daten besteht. Klar ist: Rezepte enthalten solche besonders geschützte Daten. Doch was bedeutet „Kerntätigkeit“ und „umfangreich“ konkret? ABDA- Juristen sehen die Kerntätigkeit von Apotheken in Beratung und Abgabe von Präparaten, nicht aber in der Datenverarbeitung. Das Landeszentrum für Datenschutz Schleswig-Holstein hat dagegen betont, dass die Verarbeitung sensibler Daten eben doch zur Kerntätigkeit in Apotheken zählt. Allerdings sei normalerweise nicht von einer umfangreichen Tätigkeit auszugehen, so dass kleinere Apotheken letztlich meist keine Datenschutzbeauftragten benötigten. Eine Ausnahme liegt allerdings vor, wenn Heime oder Hospitäler beliefert werden.
Im April 2018 hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder noch einmal bestätigt, dass in Apotheken üblicherweise keine umfangreiche Verarbeitung sensibler Daten vorliege. Ein Datenschutzbeauftragter muss demnach in kleinen Apotheken mit weniger als 20 Mitarbeitern nicht ernannt werden. Es sei denn, es gebe ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten. In solchen Fällen müsse eine Datenschutz-Folgenabschätzung erfolgen. Betriebe, die eine sog. Folgenabschätzung vornehmen müssen, sind gleichzeitig verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Gründe für eine Folgenabschätzung sind für eine Apotheke z.B. die Verarbeitung von Bankdaten (EC-Cash-Geräte oder Bankeinzug bei Kunden), die Verarbeitung von Gesundheitsdaten (Kundendatei mit Medikationsspeicherung) und die Verarbeitung von biometrischen Daten (Fingerprintsensoren, Kameraüberwachung). Sollten mindestens zwei der vorstehenden Folgenabschätzungen anfallen, so ist die Apotheke in der Pflicht, einen Datenschutzbeauftragten zu bestellen und zwar unabhängig von der Anzahl der Mitarbeiter. Und damit sind zwingend Datenschutzbeauftragte vorgeschrieben.
Fordert Ihre Cyber-Police
einen Datenschutzbeauftragten?
Wir verschaffen Ihnen Sicherheit.
Apotheken setzen auf externe Datenschutzbeauftragte
Aus unserer Erfahrung setzen die meisten Apotheker und Apothekerinnen beim Datenschutz auf externe Kompetenz. Wir halten dies in aller Regel auch für die beste Lösung. Doch was spricht eigentlich gegen einen Datenschutzbeauftragten, der zugleich Angestellter der Apotheke ist? Mitarbeiter kennen zwar die Apotheke und ihre Abläufe, müssen aber die als Datenschutzbeauftragte/r notwendige Sachkunde meist noch erwerben, es stehen also Schulungen an. Der Inhaber oder die Inhaberin müssen der/dem Datenschutzbeauftragten die Aufgabenerfüllung ermöglichen – was meist bedeutet, dass neben der Freistellung von der Arbeit für zusätzliche Aufgaben und Schulungen zusätzlich noch externe IT-Kompetenz eingekauft werden muss, um die technischen Schwachstellen zu finden. Nicht zuletzt müssen Datenschutzbeauftragte Ihre Aufgaben frei von Interessenkonflikten erfüllen können. Sie sind also arbeitsrechtlich privilegiert (erweiterter Kündigungsschutz) und stehen nicht immer zur Verfügung. Anders sieht es bei (professionellen) externen Kräften aus: Diese sind qualifiziert und meist auch erfahren, bringen ihre Arbeitsmittel selbst mit und erscheinen nur, wenn sie gebraucht werden. In der Regel erstellen diese ein Datenschutzhandbuch und schulen ihre Mitarbeiter. Dies hat auch Vorteile, wenn grobe Fahrlässigkeit oder Vorsatz seitens der Mitarbeiter im Spiel ist (Haftung/Versicherbarkeit). Ein Nachteil wäre es allerdings, wenn diesen Datenschutzbeauftragten die Apothekenbranche fremd wäre. Deshalb arbeiten wir nur mit Datenschutzexperten zusammen, die sich auf Datenschutz in Apotheken und Arztpraxen spezialisiert haben. Nutzen Sie die Vorteile aus
zwei Welten und lernen Sie unsere Experten persönlich kennen.

Kontaktieren Sie uns gern

6 + 2 =