Foto: Stockwerk-Fotodesign – stock.adobe.com

Recht

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 4: Neue Risikobewertung – Die Datenschutz-Folgenabschätzung

Keine Verarbeitung personen­bezogener Daten ist ohne Risiko für die Rechte und Freiheiten der betroffenen Person, wenn nicht Maßnahmen zur Datensicherheit getroffen werden. Der Europäische Gesetzgeber möchte erreichen, dass sich das datenverarbeitende Unternehmen mit diesen Risiken auseinandersetzt, sich verstärkt Gedanken über „seine“ Datenverarbeitung macht. Dazu hat er im Rahmen der ab 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) ein neues Instrument zur Beschreibung, Bewertung und Eindämmung der Risiken erdacht: die Datenschutz-Folgenabschätzung (DSFA). Von T. Kieser und S. Buckstegge

Leider sind die Regelungen dazu in Art. 35 DSGVO nur bedingt gelungen. Sie lassen viele Fragen offen, die erst in den nächsten Jahren durch Gerichte und Behörden beantwortet werden.

Was ist die DSFA?

Mit der DSFA soll ein Unternehmen die Risiken einer bestimmten Verarbeitungstätigkeit prüfen und abschätzen. Das Ziel ist, die Risiken zu bewerten und gegebenenfalls Maßnahmen zur Risiko­minimierung zu ergreifen. Außerdem ist die DSFA ein Instrument zum Nachweis der Einhaltung der datenschutzrechtlichen Anforderungen. Sie dokumentiert, dass die Daten bei der Verarbeitung aufgrund geeigneter Maßnahmen sicher sind.

Pflicht zur Durchführung einer DSFA

Eine DSFA ist immer dann durchzuführen, wenn eine Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person hat. Hier fangen die Probleme bei der Umsetzung in der Apotheke an. Die Apotheke muss entscheiden, wann voraussichtlich ein hohes Risiko besteht. Der Gesetzgeber hat erkannt, dass dies nicht einfach zu bewerten ist. Er hat den Aufsichtsbehörden ­daher die Aufgabe gestellt, Listen mit Verarbeitungsvorgängen zu schaffen, für die eine DSFA durchzuführen ist.

Wann die Aufsichtsbehörden solche Listen veröffentlichen werden, ist allerdings nicht absehbar. Die Apotheken sind also zunächst auf sich allein gestellt. Einige Kriterien im Gesetz liefern aber zumindest Anhaltspunkte für die Risikoabschätzung. Das Risiko kann sich aus der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung ergeben. Insbesondere bei der Verwendung neuer Technologien können hohe Risiken bestehen. Wenn Gesundheitsdaten in einer Cloud gespeichert werden, wird regelmäßig eine DSFA notwendig. Die Nutzung einer App oder eines Messengers für die ­Vorbestellung von Arzneimitteln dürfte ebenfalls eine DSFA erfordern. Auch die Videoüberwachung der Apotheke kann die Durchführung einer DSFA notwendig machen. Keine DSFA ist erforderlich, wenn die Datenverarbeitung auf einer gesetzlichen Grundlage beruht, die den konkreten Verarbeitungsvorgang regelt.

Regelbeispiele

Im Gesetz sind Fallgruppen vorgesehen, in denen regelmäßig eine DSFA durchzuführen ist. Für Apotheken besonders relevant ist die Pflicht zur Durchführung einer DSFA bei der umfangreichen Verarbeitung von Gesundheitsdaten. Es stellt sich – ähnlich wie bei der Beurteilung, ob ein Datenschutzbeauftragter notwendig ist (siehe AZ 2018, Nr. 12, S. 6) – die Frage, wann die Verarbeitung von Gesundheitsdaten umfangreich ist. Allerdings kommt es bei der DSFA nicht auf die Verarbeitungsvor­gänge der Apotheke in ihrer Gesamtheit, sondern auf die einzelne Verarbeitungstätigkeit an.

Nach den Erwägungsgründen zur DSGVO soll die Verarbeitung von Patientendaten durch einen Einzelarzt nicht umfangreich sein. Das könnte dafür sprechen, dass die Verarbeitung von Rezeptdaten oder Daten in Kundenkarteien durch die Einzelapotheke im normalen Geschäftsbetrieb ebenfalls keine DSFA erfordert. Es gibt aber schon Äußerungen, dass auch bei einem Arzt umfangreich Gesundheitsdaten verarbeitet werden. Wird dies gerichtlich bestätigt, ist die DSFA zwingend. Noch mehr Fragezeichen gibt es, wenn eine Apotheke Arzneimittel versendet, Filialen hat, verblistert oder Heime versorgt. Sind damit jeweils umfangreiche Verarbeitungen von Gesundheitsdaten verbunden? Rechtsstreitigkeiten sind vorprogrammiert.

Im Zweifel …

Bis Listen der Aufsichtsbehörden dazu vorliegen, welche Verarbeitungstätigkeiten eine DSFA erfordern (wobei auch diese Listen einer gerichtlichen Überprüfung unterzogen werden könnten), ist der Apotheker zwar auf der sicheren Seite, wenn er im Zweifel eine DSFA durchführt. Mit Blick auf den nicht unerheblichen Aufwand sollte aber auch nicht zu viel vorauseilender Gehorsam erbracht, sondern genau abgewogen werden, ob eine DSFA wirklich notwendig ist. Diese Abwägung ist mit Gründen zu protokollieren. Sinnvoll kann es auch sein, im zu erstellenden Verzeichnis von Verarbeitungstätigkeiten einen Vermerk aufzunehmen, ob eine DSFA durchgeführt wurde.

Durchführung der DSFA

Die DSFA ist eigentlich vor der Aufnahme der betreffenden Verarbeitungstätigkeit zum frühestmöglichen Zeitpunkt durchzuführen; für schon laufende Verarbeitungsvorgänge wäre dies der Geltungszeitpunkt der DSGVO. Mehrere ähn­liche Verarbeitungsvorgänge können in einer DSFA zusammengefasst werden. Bei der Durch­führung der DSFA bewertet die Apotheke, ob die Verarbeitungstätigkeit tatsächlich ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person birgt. Ein Beispiel für eine Datenschutz-Folgenabschätzung findet sich auf der Internetseite des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (www.baden-wuerttemberg.datenschutz.de/twitter-datenschutz­folgenabschaetzung/). Der Landesbeauftragte hat geprüft, ob seine Twitter-Nutzung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, und das Ergebnis veröffentlicht.

Eine bestimmte Methodik oder Form ist für die Durchführung der DSFA nicht vorgeschrieben. Das Gesetz sieht nur vor, welche Angaben die DSFA mindestens enthalten soll:

  • eine Beschreibung der geplanten Verarbeitungsvorgänge mit ihren Zwecken,
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen,
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.

Mit Risiken für die Rechte und Freiheiten der betroffenen Person sind vor allem, aber nicht abschließend, die Risiken hinsichtlich des Rechts auf Datenschutz gemeint. Bei der Risikobewertung ist ins­besondere zu prüfen, mit welcher Wahrscheinlichkeit ein Schaden für die betroffenen Personen eintreten könnte und welche Schwere ein solcher Schaden für deren Rechte und Freiheiten hätte.

Der Datenschutzbeauftragte der Apotheke ist frühzeitig zur DSFA hinzuzuziehen und sein Rat einzuholen. Nach den Vorstellungen des Verordnungsgebers sollen im Zweifel auch die Standpunkte der von der Datenverarbeitung betroffenen Personen erfragt werden. Bei der Beurteilung einer Kundendatenbank für einen Medikations- und Wechselwirkungscheck scheint aber eine Kunden­befragung wenig zielführend und praxisfern.

Die Darstellung der Abhilfemaßnahmen kann als Nebeneffekt zum Überdenken oder Verbessern der Abläufe führen, etwa zu einem veränderten Rechtemanagement oder höheren Anforderungen an Passwörter etc.

Ergebnis der DSFA

Kommt die DSFA zu dem Ergebnis, dass die Verarbeitungstätigkeit kein hohes Risiko für die Rechte und Freiheiten der betroffenen Person birgt bzw. die Risiken durch die getroffenen Abhilfemaßnahmen reduziert wurden, kann die Verarbeitungstätigkeit aufgenommen werden. Abhilfemaßnahmen sind organisatorische und technische Maßnahmen zum Schutz der Datensicherheit, wie z. B. Verschlüsselungen, Zugangskontrollen oder Datensicherungen.

Ergibt die DSFA, dass trotz der getroffenen Maßnahmen weiterhin ein hohes Risiko besteht, müsste die Apotheke vor der Aufnahme der Verarbeitungstätigkeit die zuständige Aufsichtsbehörde konsultieren. Zuständig ist der Landesbeauftragte für den Datenschutz in dem Bundesland, in dem die (Haupt-)Apotheke ihren Sitz hat. Die Aufsichtsbehörde kann Empfehlungen geben, unter welchen Vorkehrungen die Daten verarbeitet werden dürfen. Sie kann aber auch Warnungen, Anweisungen oder Untersagungen aussprechen. Für die Apotheke dürfte dieses Szenario eher theoretischer Natur sein, da kaum eine Verarbeitungstätigkeit denkbar ist, bei der nicht durch getroffene und verstärkte Maßnahmen Risiken für die betroffenen Personen minimiert werden.

Überprüfung

Die Apotheke muss regelmäßig prüfen, ob die Datenverarbeitungsvorgänge noch mit der DSFA und ihren Ergebnissen übereinstimmen. Bei Veränderung von Prozessen oder den eingesetzten Technologien ist eine erneute ­Risikobewertung erforderlich. Auch Erweiterungen von Verarbeitungszwecken oder organisatorische Veränderungen können eine erneute Prüfung notwendig machen. Haben sich die Risiken verändert, ist die DSFA fortzuschreiben oder gegebenenfalls ­erneut durchzuführen.

Fazit und Vorschau

Zu bewerten, wann eine DSFA durchzuführen ist, wird Apotheken vor Herausforderungen stellen. Die DSFA ist ein wichtiges ­Instrument zur Einhaltung der ­Datenschutzvorschriften, führt sie doch dazu, dass sich die Apotheke vertieft über den Umgang z. B. mit Kundendaten Gedanken machen muss. Die DSFA bietet aber auch große Chancen: Sie kann Kunden zeigen, dass Apotheker ihre Datenverantwortung ernst nehmen und die sensiblen Kundendaten in guten Händen sind. Die DSFA oder Teile von ihr können für die Kunden veröffentlicht werden: eine ­besondere vertrauensbildende Maßnahme.

In der nächsten AZ beleuchten wir, welche Informationspflichten gegenüber den Kunden bestehen und welche Rechte sie in Bezug auf den Datenschutz haben; da eine vermeintliche Verletzung von Informationspflichten oft Einfallstor von Massenabmahnern ist, ein besonders spannendes und praxisrelevantes Thema. |

Dr. Timo Kieser und Svenja Buck­stegge, Oppenländer Rechtsanwälte Stuttgart


AZ 2018, Nr. 13-14, S. 6, 26.03.2018

Seite drucken
Startseite

Das könnte Sie auch interessieren

Sechs Monate DSGVO – ein Zwischenfazit

Teil 2: Ist der Datenschutzbeauftragte bald Geschichte?

Sechs Monate DSGVO – ein Zwischenfazit

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 3: Wächter über den Datenschutz: Der Datenschutzbeauftragte

Neue Datenschutzregeln ante portas

Braucht jede Apotheke einen Datenschutzbeauftragten?

Datenschutz-Grundverordnung

Braucht jede Apotheke einen Datenschutzbeauftragten?

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 2: Die neuen Dokumentations- und Rechenschaftspflichten

Neue Datenschutzregeln ante portas

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 1: Die Grundsätze der Datenverarbeitung

Neue Datenschutzregeln ante portas

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 5: Informationspflichten und Kundenrechte

Neue Datenschutzregeln ante portas

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 6: Auftragsverarbeitung bei Rezeptabrechnung, Apps, Fernwartung

Neue Datenschutzregeln ante portas

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 7: Verstöße gegen das Datenschutzrecht – Meldepflichten und Sanktionen

Neue Datenschutzregeln ante portas

Was kommt da auf uns zu?

Im Mai 2018 tritt die Europäische Datenschutzgrundverordnung in Kraft

Was kommt da auf uns zu?

Fit für die Datenschutzgrundverordnung?

Der Startschuss für die DSGVO fällt am Freitag

Fit für die Datenschutzgrundverordnung?

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.

Kombination aus Probiotika, Pflanzenextrakten und Mikronährstoffen zeigt positive Effekte auf die Integrität der Darmbarriere

DOI: 10.52778/efsm.23.0012

Aktuelle Ausgabe
NR. 45
Cover Jetzt online lesen
Aktuelle Ausgabe
NR. 51-52
Cover Jetzt online lesen
Meist gelesen
Meist kommentiert

Meist gelesen

Macht sich zum Sprachrohr von Impfgegnern und Verschwörungsideologen: US-Präsidentschaftskandidat Donald Trump. (Foto: IMAGO/Zuma Press Wire)

Trump erwägt Verbot von Impfstoffen und Fluorid
Die Paritätische Stelle, die Verstöße gegen die im SGB V verankerte Rx-Preisbindung sanktionieren soll, ist im Deutschen Apothekerhaus in der Berliner Heidestraße ansässig. Aktiv ist sie bislang nicht geworden.  (Foto: IMAGO / Steinach)

Warum geht die Paritätische Stelle nicht gegen Rx-Boni vor?
Karl Lauterbach hat in seiner Amtszeit eine recht beachtliche Zahl an Gesetzen auf den Weg gebracht. Doch einiges bleibt nun auf der Strecke. (Foto: IMAGO / Chris Emil Janßen)

Was bedeutet der Ampel-Bruch für die Apotheken?
Bald gibt's Wahlen bei der ABDA. Man könnte schon fast wissen, wie sie ausgehen... (Foto: Alex Schelbert) 

Mein liebes Tagebuch
Sollten die Apotheker im Falle von Lieferengpässen mehr Freiraum bei Austausch erhalten? (Foto: lunaundmo/AdobeStock)

Was kann und was darf das BfArM?

Meist kommentiert

Bald gibt's Wahlen bei der ABDA. Man könnte schon fast wissen, wie sie ausgehen... (Foto: Alex Schelbert) 

Mein liebes Tagebuch
Macht sich zum Sprachrohr von Impfgegnern und Verschwörungsideologen: US-Präsidentschaftskandidat Donald Trump. (Foto: IMAGO/Zuma Press Wire)

Trump erwägt Verbot von Impfstoffen und Fluorid
(Foto: IMAGO/Panama Pictures)

Favorisierte Apotheken vom Tisch
(Foto: Racle Fotodesign/AdobeStock) 

Rezepturretaxationen: DAV will klagen
(Foto: IMAGO/Ardan Fuessmann)

ABDA bittet um Unterstützung beim EU-Pharmapaket

ApoNews

Apotheken-Reform
Article teaser image

Allergien

» Zu den Artikeln
Handverkauf

Pharmazeutische Dienstleistungen

via-Studie

Bürokratiekosten bei 
GKV-Rezepten

Impfen in Apotheken
Article image

Schwerpunkt Parkinson

Mobil dank guter Beratung

Pharmazeutische Betreuung von Parkinson-Patienten

» mehr
DAZ Abo

Lernen und Punkten »

Schwerpunkt Parkinson

Mobil dank guter Beratung

Mobil dank guter Beratung