Kategorien
Neueste Beiträge
Apotheken als Verantwortliche
Ein Verantwortlicher gemäß der DSGVO ist jeder, der geschäftsmäßig personenbezogene Daten verarbeitet. Dabei denken dann die meisten Personen wohl an Unternehmen im klassischen Sinn, eventuell auch an Behörden, Arztpraxen oder Vereine. Dass aber auch Apotheken Verantwortliche im Sinne der DSGVO sind, ist wohl den Wenigsten bewusst. Möglicherweise auch nicht den Apothekeninhabern selbst. Gerade aber eine Apotheke verarbeitet aus Sicht des Datenschutzes besonders sensible Daten. Im Folgenden erklären wir, weshalb und erklären, was zu beachten ist.
Datenschutz in einer Apotheke
Beim Datenschutz in einer Apotheke ist aus Sicht der DSGVO ein Punkt von besonderer Bedeutung: die Verarbeitung von personenbezogenen Daten besonderer Kategorien gemäß Art. 9 Abs. 1 DSGVO (insbesondere Gesundheitsdaten). Wer unsere Beiträge regelmäßig liest, weiß auch, dass diese Daten besonders zu schützen sind und engere Rechtsmäßigkeitsvoraussetzungen nach Art 9 Abs. 2 DSGVO bestehen.
Jeder kann mithören
Wir kennen Apotheken zumeist als – ggf. auch gut besuchte – Ladengeschäfte. Da kommt es vor, dass hinter einem Patienten eine Reihe weiterer Personen steht. Neben ihm bedienen anderer Apotheker eventuell weitere Patienten. Während also ein Patient mit dem Apotheker spricht, können umstehende Personen mithören: Dabei kann es vorkommen, dass ein Patient den Apotheker zu einer bestimmten Beschwerde befragt, um ein Medikament ohne Rezept zu kaufen. Ist das Rezept vorhanden, überprüft ein Apotheker gewissenhaft die Daten. Dabei möchte der Apotheker möglicherweise den Namen und die Anschrift bestätigt bekommen, nennt die vorliegende Krankheit oder Beschwerde. Möglicherweise nennt er den Wirkstoff oder das Medikament. Wenn eine andere Person dies mithört, kann sie auf ihrem Smartphone den Wirkstoff bzw. das Medikament recherchieren und entsprechende Rückschlüsse auf den Gesundheitszustand ziehen.
Woran erinnert dies?
Uns erinnert dies teilweise die Problemstellungen in der Arztpraxis und im Ladengeschäft. Wie auch schon in unserem Beitrag „Technische und organisatorische Maßnahmen in Arztpraxen“ ist auch in einer Apotheke darauf zu achten, dass keine unbefugten Personen – sprich die anderen Apothekenkunden – mitbekommen, weshalb beispielsweise eine Person ein bestimmtes Medikament benötigt. Während hierbei in einer Arztpraxis mit mindestens einem Behandlungszimmer die Privatsphäre des Patienten zumeist gewahrt wird, ist es eben in einer Apotheke leider oft anders.
Nutzung von WhatsApp zur Bestellung eines Medikaments
Mittlerweile bieten manche Apotheken als besondere Dienstleistung an, ein Medikament über den Messenger-Dienst WhatsApp in einer Apotheke zu bestellen. Um die Legitimität der Bestellung zu gewährleisten, stellen manche Apotheken dem Patienten die Möglichkeit, ein Bild des ärztlichen Rezeptes im Voraus zu senden, zur Verfügung. Aufgrund der Problematik der Übermittlung von personenbezogenen Daten in ein unsicheres Drittland hierbei – mehr dazu u. a. in diesem Beitrag – ergeben sich dabei schon die ersten Bedenken. – In unserem Beitrag „Datenschutz beim Einsatz von Messenger-Diensten“ gingen wir übrigens speziell auf die Bedenken bei der Messenger-Dienstnutzung von Unternehmen aus unsicheren Drittstaaten ein. In auch diesem Beitrag erfahren Sie, weshalb dies nun so problematisch ist. –
Elektronische Korrespondenz
Auch Apotheken senden und empfangen E-Mails oder auch Faxe. In früheren Beiträgen haben wir das Thema empfehlenswerter Maßnahmen beim E-Mail-Verkehr (Link) und auch den Datenschutz beim Faxen behandelt. Aufgrund der Verarbeitung von personenbezogenen Daten besonderer Kategorien ist ein erhöhtes Maß an technischen und organisatorischen Maßnahmen für den Datenschutz und die -sicherheit zu ergreifen. Des Weiteren sind eventuell auch die Prozesse zum Faxen zu überprüfen, um einschätzen zu können, ob die ergriffenen Schritte angemessen sind. Nach Ansicht der Aufsichtsbehörden ist der Einsatz eines Faxgerätes durch berufsgeheimnisträger nach § 203 StGB und damit auch durch Apotheken nur noch in Not- und Einzelfällen vertretbar, bei denen keine andere schnelle und sichere Datenübermittlung möglich ist.
§ 203 StGB, Art. 5 Abs. 1 DSGVO
Apotheker sind Berufsgeheimnisträger. Offenbaren sie personenbezogene Daten an unbefugte Parteien, verstoßen sie gegen § 203 StGB. Mit Bezug auf die DSGVO verarbeiteten sie in genanntem Szenario der Apotheke als Ladengeschäft eventuell personenbezogene Daten ohne ausreichende technische und organisatorische Schutzmaßnahmen (Art. 5 Abs. 1 lit. f) DSGVO und Art. 32 DSGVO i. V. m. Art. 9 Abs. 2 DSGVO).
Abhilfemaßnahmen
Ein Apotheker sollte Maßnahmen implementieren, um seiner Pflicht als Berufsgeheimnisträger und datenschutzrechtlich Verantwortlicher nachzukommen.
Vermeiden, dass andere Kunden mithören können
Eine offensichtliche Maßnahme in einer Apotheke wäre, sicherzustellen, dass andere Personen keine Möglichkeit erhalten, bei Gesprächen zwischen Apothekern und Kunden mithören zu können. Eine Möglichkeit wären einzelne Verkaufskabinen. Je nach Akustik in einem Raum, helfen Trennwände und andere schallabsorbierende Maßnahmen zwischen den Theken mit einer Abstandskontrolle zum nächsten anstehenden Kunden. Auch sollte auf die namentliche Ansprache der Patienten sowie auf der Erörterung von konkreten Krankheiten verzichtet werden.
Sicherer elektronischer Versand und Empfang von personenbezogenen Daten
Bei der elektronischen Übermittlung von personenbezogenen Daten ist darauf zu achten, dass der Apotheker die Grundsätze der Verarbeitung einhält. Kommt beispielsweise noch das Fax zum Einsatz, hat ein Verantwortlicher sicherzustellen, dass er den Datenschutz und die -sicherheit beim Faxen bestmöglich gewährleisten kann. Dies gilt auch beim Austausch von personenbezogenen Daten per E-Mail. Auch bei der Nutzung von Messenger-Diensten.
Gewährleistung der Sicherheit bei Nutzung der Telematikinfrastruktur
Gemäß § 31a Abs. 3 SGB V sind Apotheken genauso wie Arztpraxen verpflichtet, sich der Telematikinfrastruktur der gematik GmbH anzuschließen. Nun gibt Kritik an der Telematikinfrastruktur. U. a. wird der zentralisierte Aufbau der Telematikinfrastruktur kritisiert, wodurch ein Komplettausfall drohen könnte, sollte es zu einem Ausfall kommen (Link). Man stelle sich nur mal vor, ein Hacker schaffte es, sich Zugriff auf alle Daten zu verschaffen, diese zu verschlüsseln etc. Für die Sicherheit der Telematikinfrastruktur sorgen kann nur die gematik GmbH. Ab der Schnittstelle, wenn eine Nachricht also eingeht, ist die Praxis verantwortlich. Auch Apotheken können also möglichst versuchen, die Risiken zu minimieren. Die Risikominimierung kann u. a. darin liegen, die Installation durch einen Dienstleister vornehmen zu lassen, sofern ein Apothekeninhaber unsicher dabei ist.
Sensibilisierung der Beschäftigten
Dies betonen wir immer wieder und das für jede Einrichtung: Die Sensibilisierung der Beschäftigten (§ 22 Abs. 2 Nr. 3 BDSG) kann erheblich dazu beitragen, mögliche Verstöße gegen die DSGVO vermeiden, wenn auch nicht alle. Wenn die Beschäftigten beispielsweise wissen, dass die personenbezogenen Daten, insbesondere die sensiblen, zu schützen sind, werden sie auch entsprechend handeln. Dabei kann es beispielsweise schon mal hilfreich sein, wenn sie sich demzufolge leise mit den Kunden kurzschließen. Möglicherweise vermeiden sie es auch, eventuelle Rezepte vor unbefugte Personen unzugänglich aufzubewahren, bis sie abgeheftet o. Ä. werden. Des Weiteren werden sie sich sicherer fühlen, wie sie reagieren sollten, falls sie eine Datenpanne vermuten.
Des Weiteren kann ein Verantwortlicher vorsorgend mit Arbeitsanweisungen oder mit Gesprächsleitfäden handeln.
Fazit
Auch in einer Apotheke sind Maßnahmen zum Datenschutz und zur -sicherheit zu implementieren. Dies beinhaltet u. a. für Kunden und Beschäftigte zugängliche Datenschutzhinweise/-informationen, das Führen eines aktuellen Verzeichnisses von Verarbeitungstätigkeiten, Abschlüsse etwaiger Auftragsverarbeitungsverträge gemäß Art. 28 Abs. 3 DSGVO etc. So können das Risiko einer Abmahnung, eines Schadenersatzanspruches oder eines Bußgeldes minimiert werden. Gern unterstützen und beraten wir Sie bei der Umsetzung eines kompletten Datenschutz-Management-Systems und auch bei etwaigen anderen Fragen zum Datenschutz und damit verwandter Themen. Kontaktieren Sie uns gern noch heute.