Suche
Close this search box.
Logo der activeMind AG

Datenschutz in der Apotheke

Inhalt

Völlig selbstverständlich werden beim Betrieb einer Apotheke personenbezogene Daten verarbeitet. Diesem Begriff unterfallen sämtliche Informationen, die im Zusammenhang mit einer konkreten Person stehen, wie beispielsweise Name, Telefonnummer oder auch ein Foto. Das Persönlichkeitsrecht beinhaltet, dass es jedem Menschen im Grunde zusteht, selbst zu bestimmen, ob und wie seine Daten durch Dritte verwendet werden. Dies will der Gesetzgeber durch die Regelungen zum Datenschutz sicherstellen. Dabei ist es unerheblich, in welchem Verhältnis man zur betroffenen Person steht: Grundsätzlich sind etwa die Daten von Mitarbeitern ebenso zu schützen, wie die von Kunden.

Gesetzliche Vorschriften zum Datenschutz in Apotheken

Die meisten Regelungen zum Datenschutz finden sich in der EU-Datenschutz-Grundverordnung (DSGVO) und ergänzend im Bundesdatenschutzgesetz (BDSG). Aber auch andere Vorschriften sind im Zusammenhang mit der Nutzung von personenbezogenen Daten relevant. Dazu zählen beispielsweise das Sozialgesetzbuch (SGB), das Telemediengesetz (TMG) oder das Strafgesetzbuch (StGB). Apotheken sind darüber hinaus an die Vorschriften der Apothekenbetriebsordnung (ApBetrO) gebunden.

Datenschutzrechtliche Aspekte für Apotheker sind z. B.:

„Der Apotheker ist zur Verschwiegenheit über alle Vorkommnisse verpflichtet, die ihm in Ausübung seines Berufes bekannt werden. Der Apotheker hat […] sicherzustellen, dass alle unter seiner Leitung tätigen Personen […] über die gesetzliche Pflicht zur Verschwiegenheit belehrt werden […]“

(§ 14 Berufsordnung für Apothekerinnen und Apotheker, abgeleitet aus Heilberufe-Kammergesetz)

„Wer unbefugt ein fremdes Geheimnis […] offenbart, das ihm als […] Apotheker […] anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft“.

(§ 203 Abs. 1 StGB)

Auch die Art der personenbezogenen Daten, die eine Apotheke verarbeitet, ist relevant für die Einschätzung bezüglich des Datenschutzes. Einige Datenkategorien sind dem Datenschutzrecht zufolge besonders schützenswert: So gelten etwa Informationen zur Gesundheit oder zum Sexualleben als besonders sensibel. Im Umgang mit solchen Daten gelten daher strengere Vorschriften als sonst.

Rechtsgrundlagen für die Nutzung personenbezogener Daten in Apotheken

Das Gesetz verbietet es grundsätzlich, personenbezogene Daten überhaupt zu verarbeiten und nennt gleichzeitig Bedingungen, unter denen die Nutzung solcher Daten dennoch rechtmäßig ist. Art. 6 und 9 der DSGVO enthalten etwa solche Ausnahmen vom grundsätzlichen Verbot. Lässt sich keine gesetzliche Erlaubnis finden, dürfen Daten einer Person nur dann verarbeitet werden, wenn diese Person ausdrücklich dazu eingewilligt hat.

Mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten in Apotheken sind:

  • Erforderlichkeit für die Durchführung eines Vertrages, Art. 6 Abs. 1 b) DSGVO bzw. Art. 9 Abs. 2 h) DSGVO
  • Übermittlung von Abrechnungsdaten an Krankenkassen, § 300 I Nr.2 SGB V,
  • Einwilligung des Kunden

Eine solche Einverständniserklärung muss freiwillig erfolgen und konkret formuliert sein. Es muss also ersichtlich sein, dass dem Betroffenen bewusst ist, welche konkreten Daten von welcher verantwortlichen Stelle zu welchem Zweck verwendet werden. Außerdem muss die Einwilligung auf eine Art und Weise erfolgen, dass man davon ausgehen kann, dass dem Betroffenen tatsächlich bewusst gewesen sein muss, wozu er sein Einverständnis erteilt (siehe unser Ratgeber zur rechtskonformen Einwilligung).

Soll sich die Erklärung auf besondere personenbezogene Daten erstrecken (wie dies in Apotheken oft der Fall ist), muss die Einwilligung ausdrücklich erfolgen und ist zudem aktiv zu erteilen. Opt-out-Verfahren, bei denen der Betroffene etwas streichen oder in einem Onlineformular ein bereits gesetztes Häkchen deaktivieren müsste, sind unzulässig.

Weitere Vorgaben zum Datenschutz in der Apotheke

Die Verarbeitung von personenbezogenen Daten innerhalb einer Apotheke muss so organisiert sein, dass sie den Anforderungen des Datenschutzrechts entspricht. Seit Wirksamkeit der DSGVO gilt als zusätzliche Anforderung die „Rechenschaftspflicht“. Es genügt seither nicht mehr, den Datenschutz so zu betreiben, dass keine Verstöße erfolgen. Stattdessen muss jetzt nachweisbar sein, dass ein geregelter und erfolgreicher Datenschutzprozess betrieben wird. Im Ergebnis kommen damit Unternehmen, unabhängig ihrer Branche und Größe nicht mehr umhin, ein sogenanntes Datenschutzmanagementsystem aufzubauen und zu betreiben. Dies gilt ungeachtet etwaigen Standesrechts und damit auch für Apotheker.

Zur Umsetzung der Anforderungen müssen sowohl organisatorische als auch technische Maßnahmen ergriffen werden.

Zu den technischen Maßnahmen gehören beispielsweise Vorkehrungen, die verhindern, dass Unbefugte Einsicht in die Daten erlangen. Dies beinhaltet unter anderem, dass die Räume, in denen die Daten verarbeitet werden, abgesichert sind und dass die Nutzer der Datenverarbeitungssysteme ausschließlich auf die Daten zugreifen können, für die sie berechtigt sind. Die Daten müssen auch gegen Manipulation und Verlust geschützt werden.

Organisatorische Maßnahmen beziehen sich auf Regelungen innerhalb der Apotheke, die auf den Schutz der verarbeiteten Daten abzielen. Dazu zählen beispielsweise Verfahrensanweisungen zur Datenlöschung, festgelegte Intervalle für Datenschutzschulungen oder Regelungen für die Rechtevergabe.

Jede Apotheke, die personenbezogene Daten verarbeitet, muss in einem sogenannten Verzeichnis der Verarbeitungstätigkeiten, dokumentieren, wie sie mit diesen Daten umgeht. Selbständig daneben bestehen umfangreiche Informationspflichten, die Betroffenen gegenüber unaufgefordert zu erfüllen sind.

Muss eine Apotheke einen Datenschutzbeauftragten bestellen?

Sind in einer Apotheke mehr als neun Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt, muss ein Datenschutzbeauftragter bestellt werden. Für die Funktion des Datenschutzbeauftragten kann entweder ein interner Mitarbeiter ausgewählt oder ein externer Datenschutzbeauftragter bestimmt werden.

Dieser aktualisierte Artikel wurde zuerst am 13. März 2013 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutz optimieren

Buchen Sie unsere Experten als externen Datenschutzbeauftragten und stärken Sie Ihre Compliance mit der DSGVO!
Verfügbarkeit prüfen

Weiterlesen

  • Medizinischer Datenschutz

Patientenrechtegesetz und Datenschutz in der Praxis

Die Vorgaben aus Patientenrechtegesetz und DSGVO klingen teils sehr ähnlich – und meinen doch meist etwas anderes. Wir schaffen Klarheit und geben Tipps für die Praxis.
  • Medizinischer Datenschutz

Datenschutz in der Arztpraxis

Wenn Arztpraxen personenbezogene Daten von Patienten verarbeiten, müssen sie diese im besonderen Maße schützen. Mit diesen Schritten schaffen Sie eine DSGVO-konforme Arztpraxis.
  • Informationssicherheit im Krankenhaus, Medizinischer Datenschutz

Können bayerische Krankenhäuser durch Liberalisierung leichter outsourcen?

Lange hat Art. 27 BayKrG eine Auftragsverarbeitung bei Krankenhäusern in Bayern nahezu unmöglich gemacht. Doch was bedeutet die Gesetzesänderung und welche Kriterien müssen bayerische Krankenhausbetreiber beim Outsourcing immer noch beachten?
  • Betroffenenrechte, Facebook, Medizinischer Datenschutz

EuGH entscheidet über zahlreiche Datenschutzthemen

Rechtsgrundlagen, Datenminimierung und Schadensersatzansprüche – zu all diesen Aspekten gibt es bei der Auslegung der DSGVO noch zahlreiche Fragen. Die Richtersprüche des EuGHs dazu werden zahlreiche Folgen für die Datenschutzpraxis haben.
  • Aufsichtsbehörden, DSGVO-Bußgelder, Medizinischer Datenschutz

Datenpanne im Krankenhaus führt zu DSGVO-Geldbuße

Wie die Aufsichtsbehörde den Datenschutzverstoß bemerkte und was sie anderen Unternehmen mit dem Bußgeld zeigen will.
  • Medizinischer Datenschutz

Patientenakten und Datenschutz: Was müssen Ärzte bei einer Praxisübernahme beachten?

Wechselt eine Arztpraxis ihren Besitzer, stellt sich die Frage, ob der Nachfolger die Patientenakten vom Vorgänger einsehen und benutzen darf. Immerhin handelt es sich bei Gesundheitsdaten um besondere personenbezogene Daten, welche besonders schützenswert sind.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.