Datenschutz: Jetzt dürfen Kunden uns verpfeifen

05.04.2018

Mehr Aufwand, mehr Kosten, mehr Kontrolle – so lässt sich die neue Datenschutz-Grundverordnung zusammenfassen. Was heißt das konkret für die Umsetzung in der Apotheke? Sieben Tipps, um den Überblick zu behalten.

Personenbezogene Gesundheitsdaten sind besonders schützenswert. Deshalb regelt das altehrwürdige Bundesdatenschutzgesetz den Umgang innerhalb und außerhalb von Apotheken. Zum 25. Mai greifen weitaus strengere Regelungen in Form der europäischen Datenschutz-Grundverordnung (DS-GVO). Sie erinnert zwar an bekannte Texte, geht aber deutlich weiter. Verstöße werden mit hohen Bußgeldern von bis zu vier Prozent des Jahresumsatzes bestraft. Wer jetzt an einen Papiertiger aus Brüssel denkt und erst mal abwartet, übersieht Gefahren für den Betrieb. 

Erst die Beschwerde, dann die Kontrolle

Landesbeauftragte für den Datenschutz sollen die Umsetzung kontrollieren. Diese Aufsichtsbehörden sind personell schlecht besetzt. Sie werden aufgestockt, können aber keine flächendeckende Überwachung leisten. Bleibt anzumerken, dass es beim DS-GVO nicht per se um Apotheken, sondern um alle Firmen geht, die personenbezogene Daten verarbeiten. Auf den ersten Blick wirkt alles recht harmlos.

Das ist noch lange kein Grund, sich in falscher Sicherheit zu wiegen. Datenschutzbeauftragte haben bereits angekündigt, anfangs vor allem Beschwerden nachzugehen. Man braucht kaum Phantasie, um sich Details auszumalen. Denunzianten könnten verärgerte Ex-Kunden sein, die formale Fehler als Anlass nehmen, um ihrem Unmut Luft zu machen. Oder neidische Konkurrenten finden Wege, um Mitbewerber zu diskreditieren. Dann rücken Behörden zur Überprüfung vor Ort an. Auf welche Punkte sollte deshalb geachtet werden?

Tipp 1: Kunden haben noch mehr Rechte

Ein Grundsatz des DS-GVO ist Datensparsamkeit. Personenbezogene Informationen dürfen ohne Einverständnis der Betroffenen nur verarbeitet werden, wenn dies gesetzlich vorgeschrieben ist, etwa zu Abrechnungszwecken oder zur Betäubungsmittel-Dokumentation.

Bei allen anderen Vorgängen, beispielsweise Kundenkarten, müssen vom Patienten neue Erklärungen mit Hinweis auf die DS-GVO unterzeichnet werden. Achtung – das gilt auch für Bestandskunden, nicht nur für Neukunden. Alle Verbraucher haben das Recht, eigene Daten einzusehen oder sogar löschen zu lassen, falls dem kein anderes Gesetz widerspricht. Das bedeutet: Besser heute als morgen mit dem Anbieter des Warenwirtschaftssystems sprechen!

Tipp 2: Transparenz

Mit unterschriebenen Freigabeerklärungen ist es nicht getan. Der Apothekenleiter muss künftig alle Kunden per Aushang über wichtige Punkte informieren:

Informationen zum Datenschutzbeauftragten und zur Löschung von Zugriffsdaten sind beim Impressum der Apothekenwebsite ebenfalls Pflicht.

Tipp 3: Datenschutz-Beauftragten bestellen

Bislang gibt es zur DS-GVO noch keine Grundsatzurteile. Deshalb diskutieren Experten kontrovers, ob nur Apotheken mit mindestens zehn Personen, die Daten verarbeiten, einen Datenschutzbeauftragen bestellen müssen. Dazu zählen alle Mitarbeiter vom Chef bis zum Boten. Ob es sich um Vollzeit- oder Teilzeitstellen handelt, ist egal.

Da Apotheken besonders sensible Daten verarbeiten, bewerten manche Juristen die Sache jetzt anders. Sie halten einen Datenschutzbeauftragten generell für erforderlich. Er hat im Betrieb eine Sonderstellung, nicht nur durch ihren weitreichenden Kündigungsschutz. Der Inhaber muss Fortbildungen finanzieren und Freistellungen zur Ausübung der Tätigkeit gewähren. Ehepartner oder Verwandte sind aufgrund der fehlenden Unabhängigkeit außen vor. 

Ob der Chef Mitarbeiter schult oder auf einen externen Datenschutzbeauftragten zugreift, ist eine gute Frage. Große Anbieter außerhalb der Apotheke sind schnell verfügbar, decken Urlaubszeiten selbst ab und unterliegen keinem Kündigungsschutz. Dem stehen hohe Kosten gegenüber. Manche Apothekenkooperationen bieten ebenfalls Unterstützung an. Nachfragen schadet nie. So oder so sind Inhaber verpflichtet, ihren Datenschutzbeauftragten der Aufsichtsbehörde beziehungsweise dem Landesdatenschutzbeauftragten zu melden.

Tipp 4: Dienstleister überprüfen

Eine der Aufgaben von Datenschutzbeauftragten wird sein, Verträge mit Dienstleistern kritisch zu überprüfen – vom Großhändler über den Anbieter von Warenwirtschaftssystemen und das Rechenzentrum bis hin zur externen Buchhaltung. Viele Firmen haben bereits entsprechende Erklärungen entwickelt, der Bedarf ist da.

Tipp 5: Hardware auf Herz und Nieren prüfen

Im Zeitalter von Hackerangriffen müssen sich Datenschutzbeauftragte auch um die Sicherheit von Hardware oder Software kümmern. Ist das Betriebssystem inklusive Virenscanner und Firewall aktuell? Wurden alle Sicherheitsupdates eingespielt?

Tipp 6: Alles aufschreiben

Hat der Datenschutzbeauftragte alle Informationen gesammelt, lohnt es sich, alles schriftlich festzuhalten. Die DS-GVO spricht von umfangreichen Dokumentationspflichten. Für Apotheker ist das Verzeichnis auch hilfreich, sollte es wirklich zu einer Begutachtung kommen. 

Tipp 7: Die Welt ist nicht nur digital

Falls Datenschützer die Apotheke inspizieren, werden sie nicht nur auf Hardware oder Software achten. Datenschutz ist auch analog ein Thema: Verwendet das Apothekenteam Aktenvernichter oder landen Fehlkopien mit Patientendaten vielleicht im Altpapier? Sperren Mitarbeiter alle Rezepte abends ein oder können Reinigungskräfte Blicke darauf werfen? Und sind die Personalordner wirklich nur für den Inhaber erreichbar? Wer hat Zugriff auf EC- oder Kreditkartenbelegen? Es gibt viel zu tun – eine neue Berufsbezeichnung als Fachapotheker für Administration klingt gar nicht so abwegig.

Bildquelle: Kate Ter Haar, flickr

Artikel letztmalig aktualisiert am 10.04.2018.

45 Wertungen (3.31 ø)
11811 Aufrufe
Um zu kommentieren, musst du dich einloggen. Einloggen
Im Prinzip ändert sich in gut geführte Betrieben nicht viel, nur die lästigen Dokumentationspflichten sind weder sinnstiftend noch verbessern sie wirklich die Qualität des Datenschutzes. Ich betrachte sie als eine Art Checkliste, welche Aspekte ich beachten muß: lästig aber notwendig. Und im Prinzip kann man fast alles selber machen.Ich selbst kenne meinen Betrieb sowieso am besten und kenne die Schwachstellen, wenn ich tatsächlich im Alltagsgeschäft mitarbeite. Datenschutz war in Apotheken schon immer ein großes Thema, nur findet er jetzt zusätzlich auf dem Papier statt. Ob dieses Papier irgendeine de facto Verbesserung bringt, sei dahingestellt.
#3 am 13.04.2018 von Dr. Wolfgang Schiedermair (Apotheker)
  0
@ Hr. Steiner: Etliche Firmen haben den Datenschutz in den letzten Jahren vernachlässigt weil der Schutz von personenbezogenen Daten z.T. deutlich teurer war als ein mögliches Bußgeld im Falle eines aufgedeckten Datenverlustes. Denken Sie bitte daran, wie oft sie in den letzten Jahren Meldungen über gestohlene E-Mail Adressen oder Zugangsdaten im Rundfunk gehört haben. Ja, auch eine E-Mail Adresse kann ein personenbezogenes Datum sein. Das Signal ist m.E. einfach: "Ihr habt uns bisher ignoriert, in Zukunft kann dieses Verhalten sehr schmerzahft werden". Da reicht es schon, wenn ein PC nicht ausreichend vor Hacker Angriffen geschützt ist. Beispielsweise haften bei GmbH's die Gesellschafter sogar mit dem persönlichen Vermögen. Die Gesetzgeber scheinen es ernst zu meinen - so habe ich es verstanden. Man wird sehen, wie die Konsequenzen letztendlich in der Praxis sein werden. Sich zu der Thematik zu informieren halte ich jedoch für sinnvoll.
#2 am 10.04.2018 von Dipl. Ing. Markus Rentsch (Heilpraktiker)
  3
... was ist das? Zynische Panikmache? Werbung für professionelle Anbieter von Datenschutz oder der grinsende Rat, die Apotheke besser zu schließen, bevor jemand kommt um den Datenschutz zu überprüfen?
#1 am 10.04.2018 von Apotheker Karl Steiner (Apotheker)
  11
Hier klicken und Medizin-Blogger werden!
Rund sieben Monate ist Bundesgesundheitsminister Jens Spahn (CDU) im Amt. In der Pflege präsentierte er „eine Idee mehr...
Seit Menschengedenken gibt es in Deutschlands Praxen die „gelben Zettel“. Ärzte können Patienten krankschreiben mehr...
Das Recht, als Ärztin oder Arzt zu arbeiten, ist nicht in Stein gemeißelt. Laut Bundesärzteordnung (BÄO), ist mehr...

Disclaimer

PR-Blogs innerhalb von DocCheck sind gesponsorte Blogs, die von kommerziellen Anbietern zusätzlich zu den regulären Userblogs bei DocCheck eingestellt werden. Sie können werbliche Aussagen enthalten. DocCheck ist nicht verantwortlich für diese Inhalte.

Copyright © 2018 DocCheck Medical Services GmbH
Sprache:
DocCheck folgen: