Datenschutz in der Apotheke

Am 25. Mai 2018 trat die Datenschutzgrundverordnung, kurz DSGVO, in Kraft. Sie ersetzte in großen Teilen das Bundesdatenschutzgesetz (BDSG). Bei der DSGVO handelt es sich um eine Verordnung der Europäischen Union, die Folgendes zum Ziel hat: Mit dem neuen Gesetz soll ein EU-weit einheitlicher Rechtsrahmen für die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen geschaffen werden.

Bestimmte Klauseln in der DSGVO erlauben es den Mitgliedsstaaten der EU allerdings, für einige Bereiche des Datenschutzes eigene Regelungen aufzustellen. Das hat die Bundesregierung im Rahmen des Erlasses eines neuen Bundesdatenschutzgesetzes (BDSG) getan.

Von der DSGVO sind auch Apotheken betroffen, da sie eine Reihe sensibler personenbezogener Daten verarbeiten – also Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispiele sind Daten wie Name, Alter und Adresse von Patienten, aber auch Informationen zu Medikation und Behandlungsdauer. Das bedeutet, dass Sie ganz besonders auf den Datenschutz und die IT-Sicherheit zu achten haben und viele Apotheken beispielsweise einen Datenschutzbeauftragten benennen müssen.

Die rechtliche Position ist klar: Sie als Leiter einer Apotheke sind für die korrekte Umsetzung der Datenschutzgrundverordnung und damit für die Datenverarbeitung verantwortlich. Bei möglichen Verstößen können Sie haftbar gemacht werden und müssen mit Bußgeldern rechnen, die bis zu 4 % Ihres Jahresumsatzes betragen können. Zudem drohen berufsrechtliche Konsequenzen.

Grundgedanke der DSGVO ist, dass Betroffene zu jedem Zeitpunkt das Wissen und die Entscheidungshoheit darüber haben, was mit ihren Daten passiert. Dies und diverse weitere Vorgaben wirken sich direkt auf die tägliche Arbeit von Apothekern aus. Die folgenden Aspekte müssen Sie erfüllen, um DSGVO-konform zu arbeiten.

Patienten informieren

Aus oben genanntem Grund ist es entscheidend, dass Sie Ihre Patienten informieren, wenn Sie personenbezogene Daten über sie erheben oder verarbeiten, und deren Einverständnis einholen - und zwar zu dem Zeitpunkt, an dem diese Daten erhoben bzw. verarbeitet werden. Unter dem Begriff „verarbeiten“ wird jedweder Umgang mit Daten verstanden, also beispielsweise das Speichern, Ordnen, Abfragen, Übermitteln und Vernichten.

Patienten über Rechte informieren und Zugang zu Datenschutzerklärung gewähren

Als Apotheker haben Sie der betroffenen Person den Inhalt der Daten, deren Verarbeitungszweck sowie die Dauer der Speicherung mitzuteilen; zudem müssen Sie die betroffene Person über ihre Rechte informieren. Das kann im Rahmen eines Gespräches geschehen, über ein Informationsblatt oder eine Hinweistafel, die in Ihrer Apotheke ausliegen bzw. -hängen oder über Ihre Website. Achten Sie darauf, dass sich diese Datenschutzerklärung Ihrer Apotheke optisch deutlich von anderen Inhalten abhebt und leicht verständlich formuliert ist.

Einverständniserklärung von Patienten einholen

Zu beachten ist beim Datenschutz in der Apotheke ferner, dass es zwar möglich ist, der Erhebung und Weiterverarbeitung mündlich einzuwilligen, allerdings fehlt Ihnen dann ein entsprechender Nachweis. Lassen Sie sich also die Einwilligung stets schriftlich per Unterschrift bestätigen. Auch eine digitale Einverständniserklärung kann per Unterschrift erfolgen, oder durch das Setzen eines Hakens. Dabei sind zwei Dinge zu beachten: Zum einen muss zuvor eine eindeutige Identifikation erfolgen. Zum anderen ist es unzulässig, auf sogenannte Opt-Out-Verfahren zurückzugreifen, bei denen der Betroffene einen per Voreinstellung bereits gesetzten Haken deaktivieren oder etwas streichen muss. Stattdessen muss die Einwilligung aktiv geschehen.

Beachten Sie außerdem, dass die Einverständniserklärung konkret formuliert sein muss. Das bedeutet, dass dem Patienten klar sein muss, welche Stelle welche spezifischen Daten von ihm zu welchem Zweck verwenden wird.

Datenschutzbeauftragten ernennen

Prinzipiell sind Sie als Leiter der Apotheke für die Umsetzung der Datenschutzgrundverordnung in Ihrem Betrieb verantwortlich. Sind dort allerdings mindestens zwanzig Personen ständig mit der automatischen Verarbeitung personenbezogener Daten (beispielsweise der Abwicklung von elektronischen Zahlungen oder Rezeptabrechnungen) beschäftigt, haben Sie die Pflicht, einen Datenschutzbeauftragten für Ihre Apotheke zu benennen. Ursprünglich bestand die Pflicht bereits ab zehn Personen; durch eine Änderung dieser Regel, die der Bundestag am 28. Juni 2019 beschlossen hat, sollen kleinere und mittlere Unternehmen entlastet werden.

Die personenbezogenen Daten selbst dürfen vom Apotheker selbst sowie von dessen berufsmäßig tätigem Personal (also pharmazeutisch-technische Assistenten, medizinische Fachangestellte), die dem Berufsgeheimnis unterliegen, verarbeitet werden (ausgeschlossen ist also beispielsweise Reinigungspersonal).

Für Sicherheit der Daten sorgen

Das Datenschutzgesetz verpflichtet Sie als Apotheker dazu, personenbezogene Daten vollumfänglich zu schützen, und zwar durch angemessene technische und organisatorische Maßnahmen. Bei der Verarbeitung dieser Daten ist eine angemessene Sicherheit stets zu gewährleisten.

Um DSGVO-konform zu agieren, sollten Sie in Ihrer Apotheke unter anderem sicherstellen, dass Unbefugte keinen Zutritt zu Ihren Räumlichkeiten haben und die Rechtevergabe Ihres EDV-Systems regeln. Richten Sie zudem Diskretionszonen ein, schulen Sie Ihre Mitarbeiter regelmäßig bzw. lassen Sie sie schulen und definieren Sie Verfahren zur Löschung von Daten. Prinzipiell sollten Sie den Umgang mit personenbezogenen Informationen stets möglichst detailliert festhalten. Das erleichtert Ihnen den Umgang mit etwaigen Unklarheiten oder Nachfragen zu einem späteren Zeitpunkt.

Verarbeitungsverzeichnis führen

Sie als Apotheker sind im Rahmen der DSGVO dazu verpflichtet, ein Verzeichnis über die Verfahren zu führen, mit denen personenbezogene Daten verarbeitet werden. In diesem müssen außerdem die technischen und organisatorischen Maßnahmen beschrieben werden, die Sie zum Datenschutz ergreifen

Bei Datenpannen Meldung erstatten

Wird in Ihrer Apotheke der Datenschutz verletzt, haben Sie die Pflicht, innerhalb von 72 Stunden die Aufsichtsbehörde und die betroffene Person darüber zu informieren. Eine Ausnahme ist dann gegeben, wenn für die persönlichen Rechte und Freiheiten der betroffenen Person kein Risiko besteht.

Wie erwähnt soll die DSGVO die Rechte von Patienten hinsichtlich des Umgangs mit ihren Daten stärken. Die Entscheidungshoheit über ihre Daten äußert sich konkret in den folgenden Berechtigungen.

Widerrufsrecht

Patienten haben das unveräußerliche Recht, eine Einwilligung jederzeit zu widerrufen. Dabei gilt: Die Durchführung des Widerrufs darf sich nicht schwieriger gestalten als die Durchführung der vorher abgegebenen Einwilligung.

Auskunftsanspruch

Zudem haben Patienten einen kostenlosen und unverzüglichen Auskunftsanspruch hinsichtlich ihrer Daten: Das betrifft die Fragen, welche konkreten personenbezogenen Daten zu welchem Zweck verarbeitet und wie lange sie gespeichert werden.

Recht auf Löschung

Patienten können verlangen, dass ihre personenbezogenen Daten unverzüglich gelöscht werden. Ausgenommen davon sind solche Daten, deren Erhebung auf einer gesetzlichen Grundlage beruht; zudem wird das Recht auf Löschung durch bestimmte gesetzliche Aufbewahrungspflichten eingeschränkt.

Die DSGVO wirkt sich nicht nur auf die Kommunikation zwischen Apotheke und Patient aus, sondern auch auf die zwischen Apotheke und Ärzten bzw. Kliniken. Konkret geht es dabei um die ärztliche Schweigepflicht: Verbieten datenschutzrechtliche Gründe es Ärzten und Kliniken, Apotheken bei Unklarheiten Auskunft über beispielsweise die Medikation eines Patienten zu geben? Ist in solchen Fällen dessen gesonderte schriftliche Einverständniserklärung nötig, damit die Apotheke Rücksprache mit dem behandelnden Arzt halten darf? Tatsächlich berufen sich manche Arztpraxen in solchen Fällen auf ihre Schweigepflicht oder den Datenschutz. Zwar sind sich der Landesapothekerverband Baden-Württemberg (LAV) und die dortigen Apotheker darin einig, dass derartige Bedenken hier zu Unrecht herangezogen würden und der Apotheker seine gesetzliche Pflicht erfüllen müsse. Dennoch sind Sie als Apotheker hinsichtlich der Datenschutzgrundverordnung auf der sicheren Seite, wenn Sie sich vom Patienten schriftlich bestätigen lassen, dass Sie bei Fragen, Unklarheiten und Bedenken dazu berechtigt sind, Kontakt mit dem behandelnden Arzt aufzunehmen.

Als die neue Datenschutzgrundverordnung in Kraft trat, mussten Apotheken diverse datenschutzrechtliche Bestimmungen umsetzen – eine echte Herausforderung neben dem Tagesgeschäft, mit der noch immer viele Apotheken zu kämpfen haben. Zudem herrscht in mancherlei Hinsicht nach wie vor Unsicherheit bezüglich der korrekten Umsetzung der DSGVO.

Dennoch ist die große Mehrheit der Apotheken der Meinung, hinsichtlich Datenschutz gut aufgestellt zu sein. Das beinhaltet neben der Durchführung der oben beschriebenen erforderlichen Maßnahmen auch ein verstärktes Augenmerk auf Diskretion im Allgemeinen, beispielsweise das Entfernen von Belegen und Rezepten nach einer Beratung, das Ausrichten von Bildschirmen, sodass Dritte keinen Einblick haben, und die Anpassung des Impressums auf der Homepage. Was die Zukunft angeht, ist aufgrund der fortschreitenden Digitalisierung davon auszugehen, dass sich bestehende Herausforderungen hinsichtlich des Datenschutzes in Apotheken weiter verstärken werden.