Mehr Aufwand, mehr Kosten, mehr Kontrolle – so lässt sich die neue Datenschutz-Grundverordnung zusammenfassen. Was heißt das konkret für die Umsetzung in der Apotheke? Sieben Tipps, um den Überblick zu behalten.
Personenbezogene Gesundheitsdaten sind besonders schützenswert. Deshalb regelt das altehrwürdige Bundesdatenschutzgesetz den Umgang innerhalb und außerhalb von Apotheken. Zum 25. Mai greifen weitaus strengere Regelungen in Form der europäischen Datenschutz-Grundverordnung (DS-GVO). Sie erinnert zwar an bekannte Texte, geht aber deutlich weiter. Verstöße werden mit hohen Bußgeldern von bis zu vier Prozent des Jahresumsatzes bestraft. Wer jetzt an einen Papiertiger aus Brüssel denkt und erst mal abwartet, übersieht Gefahren für den Betrieb.
Erst die Beschwerde, dann die Kontrolle
Landesbeauftragte für den Datenschutz sollen die Umsetzung kontrollieren. Diese Aufsichtsbehörden sind personell schlecht besetzt. Sie werden aufgestockt, können aber keine flächendeckende Überwachung leisten. Bleibt anzumerken, dass es beim DS-GVO nicht per se um Apotheken, sondern um alle Firmen geht, die personenbezogene Daten verarbeiten. Auf den ersten Blick wirkt alles recht harmlos.
Das ist noch lange kein Grund, sich in falscher Sicherheit zu wiegen. Datenschutzbeauftragte haben bereits angekündigt, anfangs vor allem Beschwerden nachzugehen. Man braucht kaum Phantasie, um sich Details auszumalen. Denunzianten könnten verärgerte Ex-Kunden sein, die formale Fehler als Anlass nehmen, um ihrem Unmut Luft zu machen. Oder neidische Konkurrenten finden Wege, um Mitbewerber zu diskreditieren. Dann rücken Behörden zur Überprüfung vor Ort an. Auf welche Punkte sollte deshalb geachtet werden?
Tipp 1: Kunden haben noch mehr Rechte
Ein Grundsatz des DS-GVO ist Datensparsamkeit. Personenbezogene Informationen dürfen ohne Einverständnis der Betroffenen nur verarbeitet werden, wenn dies gesetzlich vorgeschrieben ist, etwa zu Abrechnungszwecken oder zur Betäubungsmittel-Dokumentation.
Bei allen anderen Vorgängen, beispielsweise Kundenkarten, müssen vom Patienten neue Erklärungen mit Hinweis auf die DS-GVO unterzeichnet werden. Achtung – das gilt auch für Bestandskunden, nicht nur für Neukunden. Alle Verbraucher haben das Recht, eigene Daten einzusehen oder sogar löschen zu lassen, falls dem kein anderes Gesetz widerspricht. Das bedeutet: Besser heute als morgen mit dem Anbieter des Warenwirtschaftssystems sprechen!
Tipp 2: Transparenz
Mit unterschriebenen Freigabeerklärungen ist es nicht getan. Der Apothekenleiter muss künftig alle Kunden per Aushang über wichtige Punkte informieren:
Informationen zum Datenschutzbeauftragten und zur Löschung von Zugriffsdaten sind beim Impressum der Apothekenwebsite ebenfalls Pflicht.
Tipp 3: Datenschutz-Beauftragten bestellen
Bislang gibt es zur DS-GVO noch keine Grundsatzurteile. Deshalb diskutieren Experten kontrovers, ob nur Apotheken mit mindestens zehn Personen, die Daten verarbeiten, einen Datenschutzbeauftragen bestellen müssen. Dazu zählen alle Mitarbeiter vom Chef bis zum Boten. Ob es sich um Vollzeit- oder Teilzeitstellen handelt, ist egal.
Da Apotheken besonders sensible Daten verarbeiten, bewerten manche Juristen die Sache jetzt anders. Sie halten einen Datenschutzbeauftragten generell für erforderlich. Er hat im Betrieb eine Sonderstellung, nicht nur durch ihren weitreichenden Kündigungsschutz. Der Inhaber muss Fortbildungen finanzieren und Freistellungen zur Ausübung der Tätigkeit gewähren. Ehepartner oder Verwandte sind aufgrund der fehlenden Unabhängigkeit außen vor.
Ob der Chef Mitarbeiter schult oder auf einen externen Datenschutzbeauftragten zugreift, ist eine gute Frage. Große Anbieter außerhalb der Apotheke sind schnell verfügbar, decken Urlaubszeiten selbst ab und unterliegen keinem Kündigungsschutz. Dem stehen hohe Kosten gegenüber. Manche Apothekenkooperationen bieten ebenfalls Unterstützung an. Nachfragen schadet nie. So oder so sind Inhaber verpflichtet, ihren Datenschutzbeauftragten der Aufsichtsbehörde beziehungsweise dem Landesdatenschutzbeauftragten zu melden.
Tipp 4: Dienstleister überprüfen
Eine der Aufgaben von Datenschutzbeauftragten wird sein, Verträge mit Dienstleistern kritisch zu überprüfen – vom Großhändler über den Anbieter von Warenwirtschaftssystemen und das Rechenzentrum bis hin zur externen Buchhaltung. Viele Firmen haben bereits entsprechende Erklärungen entwickelt, der Bedarf ist da.
Tipp 5: Hardware auf Herz und Nieren prüfen
Im Zeitalter von Hackerangriffen müssen sich Datenschutzbeauftragte auch um die Sicherheit von Hardware oder Software kümmern. Ist das Betriebssystem inklusive Virenscanner und Firewall aktuell? Wurden alle Sicherheitsupdates eingespielt?
Tipp 6: Alles aufschreiben
Hat der Datenschutzbeauftragte alle Informationen gesammelt, lohnt es sich, alles schriftlich festzuhalten. Die DS-GVO spricht von umfangreichen Dokumentationspflichten. Für Apotheker ist das Verzeichnis auch hilfreich, sollte es wirklich zu einer Begutachtung kommen.
Tipp 7: Die Welt ist nicht nur digital
Falls Datenschützer die Apotheke inspizieren, werden sie nicht nur auf Hardware oder Software achten. Datenschutz ist auch analog ein Thema: Verwendet das Apothekenteam Aktenvernichter oder landen Fehlkopien mit Patientendaten vielleicht im Altpapier? Sperren Mitarbeiter alle Rezepte abends ein oder können Reinigungskräfte Blicke darauf werfen? Und sind die Personalordner wirklich nur für den Inhaber erreichbar? Wer hat Zugriff auf EC- oder Kreditkartenbelegen? Es gibt viel zu tun – eine neue Berufsbezeichnung als Fachapotheker für Administration klingt gar nicht so abwegig.