Datenschutz in der Apotheke

Völlig selbstverständlich werden beim Betrieb einer Apotheke personenbezogene Daten verarbeitet. Diesem Begriff unterfallen sämtliche Informationen, die im Zusammenhang mit einer konkreten Person stehen, wie beispielsweise Name, Telefonnummer oder auch ein Foto. Das Persönlichkeitsrecht beinhaltet, dass es jedem Menschen im Grunde zusteht, selbst zu bestimmen, ob und wie seine Daten durch Dritte verwendet werden. Dies will der Gesetzgeber durch die Regelungen zum Datenschutz sicherstellen. Dabei ist es unerheblich, in welchem Verhältnis man zur betroffenen Person steht: Grundsätzlich sind etwa die Daten von Mitarbeitern ebenso zu schützen, wie die von Kunden.

Gesetzliche Vorschriften zum Datenschutz in Apotheken

Die meisten Regelungen zum Datenschutz finden sich in der EU-Datenschutz-Grundverordnung (DSGVO) und ergänzend im Bundesdatenschutzgesetz (BDSG). Aber auch andere Vorschriften sind im Zusammenhang mit der Nutzung von personenbezogenen Daten relevant. Dazu zählen beispielsweise das Sozialgesetzbuch (SGB), das Telemediengesetz (TMG) oder das Strafgesetzbuch (StGB). Apotheken sind darüber hinaus an die Vorschriften der Apothekenbetriebsordnung (ApBetrO) gebunden.

Datenschutzrechtliche Aspekte für Apotheker sind z. B.:

„Der Apotheker ist zur Verschwiegenheit über alle Vorkommnisse verpflichtet, die ihm in Ausübung seines Berufes bekannt werden. Der Apotheker hat […] sicherzustellen, dass alle unter seiner Leitung tätigen Personen […] über die gesetzliche Pflicht zur Verschwiegenheit belehrt werden […]“

(§ 14 Berufsordnung für Apothekerinnen und Apotheker, abgeleitet aus Heilberufe-Kammergesetz)

„Wer unbefugt ein fremdes Geheimnis […] offenbart, das ihm als […] Apotheker […] anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft“.

(§ 203 Abs. 1 StGB)

Auch die Art der personenbezogenen Daten, die eine Apotheke verarbeitet, ist relevant für die Einschätzung bezüglich des Datenschutzes. Einige Datenkategorien sind dem Datenschutzrecht zufolge besonders schützenswert: So gelten etwa Informationen zur Gesundheit oder zum Sexualleben als besonders sensibel. Im Umgang mit solchen Daten gelten daher strengere Vorschriften als sonst.

Rechtsgrundlagen für die Nutzung personenbezogener Daten in Apotheken

Das Gesetz verbietet es grundsätzlich, personenbezogene Daten überhaupt zu verarbeiten und nennt gleichzeitig Bedingungen, unter denen die Nutzung solcher Daten dennoch rechtmäßig ist. Art. 6 und 9 der DSGVO enthalten etwa solche Ausnahmen vom grundsätzlichen Verbot. Lässt sich keine gesetzliche Erlaubnis finden, dürfen Daten einer Person nur dann verarbeitet werden, wenn diese Person ausdrücklich dazu eingewilligt hat.

Mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten in Apotheken sind:

  • Erforderlichkeit für die Durchführung eines Vertrages, Art. 6 Abs. 1 b) DSGVO bzw. Art. 9 Abs. 2 h) DSGVO
  • Übermittlung von Abrechnungsdaten an Krankenkassen, § 300 I Nr.2 SGB V,
  • Einwilligung des Kunden

Eine solche Einverständniserklärung muss freiwillig erfolgen und konkret formuliert sein. Es muss also ersichtlich sein, dass dem Betroffenen bewusst ist, welche konkreten Daten von welcher verantwortlichen Stelle zu welchem Zweck verwendet werden. Außerdem muss die Einwilligung auf eine Art und Weise erfolgen, dass man davon ausgehen kann, dass dem Betroffenen tatsächlich bewusst gewesen sein muss, wozu er sein Einverständnis erteilt (siehe unser Ratgeber zur rechtskonformen Einwilligung).

Soll sich die Erklärung auf besondere personenbezogene Daten erstrecken (wie dies in Apotheken oft der Fall ist), muss die Einwilligung ausdrücklich erfolgen und ist zudem aktiv zu erteilen. Opt-out-Verfahren, bei denen der Betroffene etwas streichen oder in einem Onlineformular ein bereits gesetztes Häkchen deaktivieren müsste, sind unzulässig.

Weitere Vorgaben zum Datenschutz in der Apotheke

Die Verarbeitung von personenbezogenen Daten innerhalb einer Apotheke muss so organisiert sein, dass sie den Anforderungen des Datenschutzrechts entspricht. Seit Wirksamkeit der DSGVO gilt als zusätzliche Anforderung die „Rechenschaftspflicht“. Es genügt seither nicht mehr, den Datenschutz so zu betreiben, dass keine Verstöße erfolgen. Stattdessen muss jetzt nachweisbar sein, dass ein geregelter und erfolgreicher Datenschutzprozess betrieben wird. Im Ergebnis kommen damit Unternehmen, unabhängig ihrer Branche und Größe nicht mehr umhin, ein sogenanntes Datenschutzmanagementsystem aufzubauen und zu betreiben. Dies gilt ungeachtet etwaigen Standesrechts und damit auch für Apotheker.

Zur Umsetzung der Anforderungen müssen sowohl organisatorische als auch technische Maßnahmen ergriffen werden.

Zu den technischen Maßnahmen gehören beispielsweise Vorkehrungen, die verhindern, dass Unbefugte Einsicht in die Daten erlangen. Dies beinhaltet unter anderem, dass die Räume, in denen die Daten verarbeitet werden, abgesichert sind und dass die Nutzer der Datenverarbeitungssysteme ausschließlich auf die Daten zugreifen können, für die sie berechtigt sind. Die Daten müssen auch gegen Manipulation und Verlust geschützt werden.

Organisatorische Maßnahmen beziehen sich auf Regelungen innerhalb der Apotheke, die auf den Schutz der verarbeiteten Daten abzielen. Dazu zählen beispielsweise Verfahrensanweisungen zur Datenlöschung, festgelegte Intervalle für Datenschutzschulungen oder Regelungen für die Rechtevergabe.

Jede Apotheke, die personenbezogene Daten verarbeitet, muss in einem sogenannten Verzeichnis der Verarbeitungstätigkeiten, dokumentieren, wie sie mit diesen Daten umgeht. Selbständig daneben bestehen umfangreiche Informationspflichten, die Betroffenen gegenüber unaufgefordert zu erfüllen sind.

Muss eine Apotheke einen Datenschutzbeauftragten bestellen?

Sind in einer Apotheke mehr als neun Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt, muss ein Datenschutzbeauftragter bestellt werden. Für die Funktion des Datenschutzbeauftragten kann entweder ein interner Mitarbeiter ausgewählt oder ein externer Datenschutzbeauftragter bestimmt werden.

Dieser aktualisierte Artikel wurde zuerst am 13. März 2013 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

3 Kommentare

  1. Andreas Profile Picture
    Andreas

    Hallo,
    dieser Artikel liegt ja nun zeitlich etwas zurück – ist es für Apotheken weiterhin eine „kann“ Bestimmung einen Datenschutzbeauftragten (intern/extern) zu beauftragen, wenn nicht mehr als 9 Personen mit personenbezogenen Daten arbeiten?

    Meines erachtens sind die Rezept-/Gesundheitsdaten, welche hier verarbeitet werden, eine bestimmte und besonders zu schützende Kategorie an personenbezogenen Daten. Hier kann unter Umständen für die einzelne Person ein erheblicher, persönlicher Schaden entstehen – somit sehe ich hier die Bestellung eines DSB (intern/extern) als zwingend erforderlich an.

    1. Michael Plankemann Profile Picture
      Michael Plankemann

      Vielen Dank für Ihren Kommentar!
      Der Artikel gibt die aktuelle Lage korrekt wieder.
      Bei mehr als 9 Personen, die mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, ist nach § 38 Abs. 1 S. 1 BDSG zwingend ein Datenschutzbeauftragter zu bestellen.

      Die risikoabhängige Bestellungspflicht nach Art. 37 Abs. 1 c) DSGVO wird bei den meisten Apotheken nicht relevant sein. Auch wenn besondere personenbezogene Daten verarbeitet werden, wird diese Verarbeitung (eben gerade bei kleinen Apotheken mit wenigen Mitarbeitern) üblicherweise nicht „umfangreich“ sein. Leider fehlen für das Verständnis des Begriffs „umfangreich“ aber noch greifbare Kriterien.

      Unabhängig hiervon kann auch an dieser Stelle nur wieder betont werden, dass der Katalog an Datenschutzpflichten für Unternehmen völlig unabhängig davon besteht, ob nun ein Beauftragter bestellt wurde oder nicht. Gerade im Gesundheitsbereich lassen sich die hohen Erwartungen erfahrungsgemäß nur mit fachkundiger Unterstützung erfüllen.

      1. Andreas Profile Picture
        Andreas

        Hallo Herr Plankemann,
        die Aussage, dass ab mehr als 9 Personen ein Datenschutzbeauftrager zu bestellen ist, ist von mir umumstritten. Ich möchte meine getätigte Aussage dann doch von „zwingend“ auf „sehr zu empfehlen“ herabsetzen.

        Der Art. 37 Abs. 1; lit c – DSGVO, auf den wir beide uns beziehen, könnte sich unter Umständen auf die Verarbeitung von Gesundheitsdaten als Kerntätigkeit anwenden lassen – je nach Art und Umfang (auch bei kleinen Apotheken) – auch wenn die Konferenzen Empfehlungen aussprechen, welche aussagen, dass die Verarbeitung von personenbezogenen Daten, in Form von Rezepten, nicht als Kerntätigkeit zu anzusehen ist. Auch sieht man hier die Kerntätigkeit einer Apotheke in der Beratung und in der Ausgabe von Medikamenten. Leider habe ich hierzu keine rechtskräftigen Aussagen gefunden.

        Ergänzend möchte ich darauf hinweisen, dass es zu prüfen gilt wann ein hohes Risiko bei der Verarbeitung von personenbezogenen Daten für den einzelnen vorliegt. Der Bereich Betäubungsmittel (BTM) und die Dokumentation dieser, die Videoüberwachung, sowie andere sensible Bereiche in der Apotheke könnten unter Umständen eine Datenschutz-Folgeabschätzung nach sich ziehen, welche dann die Benennung eines Datenschutzbeauftragten zwingen vorsieht.

        Es ist eine kleine Gradwanderung und ich stimme Ihnen zu, das die DSGVO eine großen Katalog an „ToDo’s“ vorsieht und der Dschungel an Auslegungen von „eventuell“, „vielleicht“ oder „könnte möglich sein“ manchmal mehr Fragen als Antworten vorgibt.

        Es bleibt weiterhin abzuwarten, ob hier andere Sichtweisen, bzw greifbare Kriterien oder rechtskräftige Beschlüsse eine neue Vorgehensweise erfordern.

        Letztendlich haben Sie es aber in Ihrem letzen Absatz treffend formuliert, in dem Sie sagen das eine fachkundige Unterstützung zur Erfüllung der DSGVO sehr zu empfehlen (++) ist!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.