Recht

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 5: Informationspflichten und Kundenrechte

Ein wesentliches Anliegen der ab 25. Mai 2018 geltenden neuen Datenschutz-Grund­verordnung (DSGVO) ist mehr Transparenz bei der Daten­verarbeitung. Die betroffenen Personen sollen über die Datenverarbeitung informiert sein und ihre Rechte kennen. Ob die Apotheke ihre Informationspflichten einhält und die Kundenrechte umsetzt, ist nach außen leicht ersichtlich. Nachlässigkeiten an dieser Stelle können deshalb schnell zu Ärger mit Abmahnern oder Aufsichtsbehörden führen. Von T. Kieser und S. Buckstegge

An Kunden gerichtete Informationen zur Datenverarbeitung waren in Apotheken bisher überschaubar; sie fanden sich regelmäßig auf Formularen zur Beantragung von Kundenkarten oder auf Apothekenwebseiten in Form von Datenschutzerklärungen.

Die DSGVO weitet die Informationspflichten sowohl inhaltlich als auch räumlich aus; beispielsweise müssen jetzt auch bei „normalen“ Rezepteinlösungen in der Apotheke die betroffenen Personen über die Verwendung ihrer Daten umfassend informiert werden.

Inhalt der Informationspflichten

Sobald Daten bei einer Person erhoben werden, ist die betroffene Person gemäß Art. 13 DSGVO zu informieren über

  • den Namen und die Kontakt­daten der Apotheke,
  • die Kontaktdaten des Datenschutzbeauftragten, falls einer benannt ist (z. B. Adresse und datenschutzbeauftragter@musterapotheke.de; vgl. AZ 2018, Nr. 12, S. 6),
  • die Zwecke und Rechtsgrund­lagen der Datenverarbeitung,
  • ggf. die berechtigten Interessen an der Datenverarbeitung nach Art. 6 Absatz 2 Buchstabe f DSGVO,
  • ggf. die Empfänger und Kate­gorien von Empfängern der Daten,
  • ggf. die Datenübermittlung in ein Drittland,
  • die Speicherdauer,
  • die Betroffenenrechte (dazu unten mehr),
  • ggf. das Recht zum Widerruf einer erteilten Einwilligung,
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (und die Kontaktdaten der für die Apotheke zuständigen Aufsichtsbehörde),
  • ggf. das Bestehen einer Pflicht zur Bereitstellung der Daten,
  • ggf. das Bestehen einer automatisierten Entscheidungsfindung (für Apotheken wenig relevant).

Form und Zeitpunkt der Information

Die Informationen sind zum Zeitpunkt der Erhebung der Daten zu erteilen. Dabei sollen die Informationen in klarer und verständlicher Sprache verfasst sein. Jede Person, egal welchen Bildungsstandes, soll sich ein Bild von der Datenverarbeitung machen können. Außerdem sind die Informationen in leicht zugänglicher Form zur Verfügung zu stellen. Die Aufsichts­behörden schließen daraus, dass Medienbrüche möglichst zu vermeiden sind: Bei Datenerhebungen in Papierform soll nicht auf Datenschutzinformationen im Internet verwiesen werden. Der Kunde soll beim Ausfüllen eines Papierformulars unmittelbar Kenntnis von den Informationen zur Datenverarbeitung nehmen können.

Foto: Stockwerk-Fotodesign – stock.adobe.com

Beispiele in der Apotheke

Informationen zur Datenverarbeitung sind Kunden in der Apotheke an verschiedenster Stelle zu er­teilen. Schon beim Einlösen von Rezepten oder der Zahlung mit EC-Karte werden Daten verarbeitet. Darüber ist der Kunde zu informieren, beispielsweise durch einen gut wahrnehmbaren Aushang im Eingangsbereich, neben den Notdienstangaben, am HV-Tisch oder durch ausliegende Informationsblätter. Werden Kundenkarten ausgegeben, sind dem Kundenkartenantrag wie bisher die Informationen über die Datenverarbeitung beizufügen. Gleiches gilt, wenn Einwilligungen von Heimbewohnern in die Heimversorgung eingeholt werden. Wird die Apotheke oder Teile davon videoüberwacht, ist auch darüber nicht nur wie bisher mit einem wahrnehmbaren Piktogramm, sondern umfangreicher in einem Aushang zu informieren. Die Apotheke muss nachweisen können, dass sie die Informationen erteilt hat.

Datenerhebung bei Dritten

Auch wenn Daten nicht bei der betroffenen Person selbst eingeholt, sondern von einem Dritten erlangt werden, ist die betroffene Person zu informieren (Art. 14 DSGVO). Zusätzlich zu den oben genannten Inhalten, ist der betroffenen Person mitzuteilen, welche Daten verarbeitet werden und aus welcher Quelle die Daten stammen. Die Informationen sind innerhalb einer angemessenen Frist, längstens jedoch innerhalb eines Monats seit der Erlangung der Daten zu erteilen. Beauftragt ein Patient einen Boten (z. B. einen Verwandten) mit der Einlösung eines Rezepts, ist das keine Datenerhebung von Dritten; der Apotheker genügt seinen Informationspflichten, wenn er dem von der betroffenen Person eingeschalteten Boten die nach DSGVO notwendigen Informationen – etwa durch den Aushang – zur Verfügung stellt.

Ausnahmen von der Informationspflicht

Eine Ausnahme von der Informationspflicht nach Art. 13, 14 DSGVO besteht, wenn und soweit die betroffene Person schon über die Informationen verfügt. Einem Kundenkarteninhaber müssen also nur zusammen mit dem Kundenkartenantrag die Informationen ausgehändigt werden, nicht aber bei jeder neuen Speicherung auf der Karte. Etwas anderes gilt nur, wenn sich die Zwecke der Datenverarbeitung ändern. Daneben bestehen für die Informationspflicht nach Art. 14 DSGVO weitere zurückhaltend anzuwendende Ausnahmen, etwa wenn die Informationserteilung einen unverhältnismäßigen Aufwand mit sich bringt.

Die Rechte der Kunden

Die Pflichtinformationen dürfen sich nicht darauf beschränken, die Datenverwendung zu beschreiben, sondern müssen die Kunden aktiv über ihre zum Teil neuen, jedenfalls aber in ihrer Bedeutung hervorgehobenen Rechte belehren. Der eine oder andere Kunde wird diese Rechte gegenüber der Apotheke sicher geltend machen. Mitarbeiter der Apotheke sind deshalb unter anderem zu diesen Rechten zu schulen und es sind Prozesse zu etablieren, die sicherstellen, dass den Kundenrechten möglichst reibungslos entsprochen wird. Der Kunde ist bei der Ausübung seiner Rechte zu unterstützen und unverzüglich, spätestens innerhalb eines Monats über die getroffenen Maßnahmen (z. B. Berichtigung) zu informieren.

Auskunftsrecht (Art. 15 DSGVO)

Der Kunde kann Auskunft darüber verlangen, ob die Apotheke Daten von ihm verarbeitet. Tut sie dies nicht, ist dies dem Kunden zu bestätigen. Verarbeitet die Apotheke seine Daten, ist ihm unverzüglich, spätestens aber innerhalb eines Monats Auskunft über die Datenverarbeitung zu erteilen. Welche Informationen mitzuteilen sind, ist in Art. 15 DSGVO im Einzelnen vorgegeben. Es sind spiegelbildlich dieselben Informationen wie bei der „Datenerhebung bei Dritten“ (siehe oben). Rechte anderer Personen und Geschäftsgeheimnisse sind dabei zu berücksichtigen, dürfen aber nicht zur Verweigerung jeglicher Auskunft führen. Bevor Auskünfte erteilt werden, ist die Identität des Ersuchenden zu überprüfen, um sicherzustellen, dass es sich um den Dateninhaber handelt. Dies gilt auch im Rahmen der weiteren Betroffenenrechte.

Recht auf Berichtigung (Art. 16 DSGVO)

Auch in der besten Apotheke werden Kundendaten einmal unrichtig erfasst. Viel häufiger werden Kundendaten aufgrund von Veränderungen (z. B. Umzug, Änderung des Familienstandes, aber auch Änderungen der Medikation) unrichtig. Der Apotheker hat ein berechtigtes Interesse daran, solche Unrichtigkeiten von sich aus zu korrigieren. Der Kunde kann in diesen Fällen aber auch aktiv die Berichtigung seiner Daten verlangen. Schließlich soll die Jahressammelrechnung nicht an eine falsche Adresse gesandt oder ein Wechselwirkungscheck auf Basis falscher Medikationsprofile vorgenommen werden.

Falls Daten unvollständig sind, kann der Kunde die Vervollständigung verlangen, soweit die Daten für den Verarbeitungszweck relevant sind. Die Apotheke ist – wir denken an den Grundsatz der Datensparsamkeit (AZ 2018, Nr. 10, S. 7) – nicht gezwungen, mehr Daten zu speichern, als sie für die Zweckerreichung benötigt.

Löschung der Daten (Art. 17 DSGVO)

Unter bestimmten Umständen kann der Kunde die Löschung seiner Daten verlangen, beispielsweise weil die Daten für die Verarbeitungszwecke nicht mehr benötigt werden oder die Rechtsgrundlage für die Datenverarbeitung entfallen ist. Die Löschung hat unverzüglich zu erfolgen und Dritte, denen die Apotheke die Daten weitergegeben hat, sind zu benachrich­tigen. Es bestehen allerdings auch gesetzliche Ausnahmen von der Löschpflicht, z. B. wenn die Apotheke die Daten weiter benötigt, um Rechtsansprüche gegenüber Kunden oder Krankenkassen geltend zu machen, oder wenn aus steuerlichen Gründen personenbezogene Abrechnungsdaten länger gespeichert werden müssen.

Einschränkung der Verarbeitung (Art. 18 DSGVO)

In einigen, für eine Apotheke nicht sehr relevanten Fällen kann der Kunde die Einschränkung der Verarbeitung verlangen. Das gilt zum einen für Zwischenphasen, in denen noch unklar ist, ob Daten berichtigt werden müssen oder ein Widerspruch des Kunden gegen die Verarbeitung durchgreift. Bis die Apotheke die Sachlage geklärt hat, ist die Verarbeitung einzuschränken. Abgesehen von der Speicherung dürfen die Daten nicht weiter verarbeitet werden. Die Einschränkung der Verarbeitung gilt zum anderen, wenn die Apotheke zur Löschung verpflichtet wäre, der Kunde die Löschung aber ablehnt, da er beispielsweise die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.

Datenübertragung (Art. 20 DSGVO)

Verarbeitet die Apotheke Daten ­eines Kunden aufgrund seiner Einwilligung oder eines mit ihm geschlossenen Vertrages automatisiert, kann der Kunde schließlich die Herausgabe der ihn betreffenden personenbezogenen Daten, die er der Apotheke bereitgestellt hat, an ihn oder einen Dritten verlangen. Dieses Recht der sogenannten Datenportabilität wurde vor allem im Hinblick auf Internetdienste wie E-Mail-Anbieter oder soziale Medien geschaffen, um den Nutzern einen leichteren Anbieterwechsel zu ermöglichen. Der Kunde soll nicht wegen eines drohenden Verlusts seiner Daten von einem Anbieterwechsel ab­geschreckt werden.

Apotheken trifft dies aber auch, beispielsweise wenn Kunden die Daten ihres Kundenkontos (Medikationshistorie) zukünftig bei einer anderen Apotheke (z. B. nach einem Umzug oder bei Eröffnung einer näher gelegenen Apotheke) verwenden möchten. Die Daten sind dann in einem strukturierten, gängigen und maschinenlesbaren Format – auch hier unverzüglich und ohne Entgelt – bereitzustellen (z. B. XML, HTML, Excel). Ob der Apotheker einen vom Kunden gestellten USB-Stick oder anderen Datenträger verwenden muss oder ob er mit Blick auf Virengefahren Anspruch auf Überlassung eines original verpackten USB-Sticks durch den Kunden hat, ist noch offen. Eine Versendung per unverschlüsselter Mail scheidet aber aus. Ein sicherer Übertragungsweg ohne Hardwarekosten wäre die Bereitstellung über SFTP-Server oder über ein sicheres Webportal.

Fazit und Vorschau

Apotheken sollten die neuen Informationspflichten und Kundenrechte als Chance begreifen, Kunden an sich zu binden. Kunden, die sich über den Umgang mit ihren Daten gut und persönlich informiert fühlen, werden treuer sein und sich einen Teilwechsel zu einer anonymen ausländischen Versandapotheke eher überlegen. Die aktive Herangehensweise hat auch weitere Vorteile: Die gerade im Internet leicht recherchierbare Nichteinhaltung von Informationspflichten, aber auch eine unvollständige oder unrichtige Information kann das Interesse von Abmahnern und ggf. auch von Aufsichtsbehörden wecken, was dann womöglich zu einer zeit- und kostenintensiven Korrespondenz führt. Besser investiert ist diese Zeit in die Zusammenstellung der Informationen.

Im nächsten Beitrag werden wir uns mit der Frage beschäftigen, wie die Apotheke Datenverarbeitungen im Rahmen von Auftragsverarbeitungsverträgen auslagern kann. |

Dr. Timo Kieser und Svenja Buck­stegge, Oppenländer Rechtsanwälte Stuttgart


Das könnte Sie auch interessieren

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 2: Die neuen Dokumentations- und Rechenschaftspflichten

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 6: Auftragsverarbeitung bei Rezeptabrechnung, Apps, Fernwartung

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 1: Die Grundsätze der Datenverarbeitung

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 4: Neue Risikobewertung – Die Datenschutz-Folgenabschätzung

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 7: Verstöße gegen das Datenschutzrecht – Meldepflichten und Sanktionen

Neue Datenschutzregeln ante portas

Was ist nach dem neuen Datenschutzrecht zu beachten?

Achtung Videokamera!

Der Startschuss für die DSGVO fällt am Freitag

Fit für die Datenschutzgrundverordnung?

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.