Recht

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 6: Auftragsverarbeitung bei Rezeptabrechnung, Apps, Fernwartung

Dienstleister einzuschalten oder bestimmte Geschäftsprozesse auszulagern, ist für Apotheken trotz des Grundsatzes des „Apothekers in seiner Apotheke“ im nicht pharmazeutischen Bereich rechtlich zulässig und oft auch betriebswirtschaftlich sinnvoll. Häufig geht dies mit der Übermittlung personenbezogener ­Daten von Kunden oder Mitarbeitern einher und fällt somit in den Anwendungsbereich des Datenschutzrechts. Auch die ab 25. Mai 2018 geltende neue Datenschutz-Grundverordnung (DSGVO) befasst sich daher mit der Frage, wie die Datenübermittlung an den ausgewählten Dienstleister datenschutzkonform zu gestalten ist, und stellt als Instrument die Auftragsverarbeitung bereit.  Von T. Kieser und S. Buck­stegge

Auftragsverarbeiter ist, wer personenbezogene Daten im Auftrag der Apotheke verarbeitet. Die Apotheke behält die Verantwortung über die Datenverarbeitung trotz der Übertragung der Aufgabe an den Auftragsverarbeiter. Dieser wird hinsichtlich der Datenverarbeitung allein auf Weisung der Apotheke tätig. Über Zwecke und Mittel der Datenverarbeitung entscheidet die Apotheke. Beispiele für Auftragsverarbeitungen sind:

  • (Fern-)Wartung von Datenver­arbeitungsanlagen, wenn dabei ein Zugriff auf personenbezo­gene Daten nicht ausgeschlossen werden kann,
  • Auslagerung von Datendiensten zu Webseiten, z. B. Betreuung von Kontaktformularen oder Newslettern,
  • Datenträgerentsorgung durch Dienstleister,
  • datenverarbeitungstechnische Arbeiten für die Lohn- und Gehaltsabrechnung.

Abgrenzung

Leider führt nicht jede Verarbeitung von personenbezogenen Daten durch einen Dienstleister im Interesse des Apothekers zu einer Auftragsverarbeitung. Vielmehr ist in jedem Einzelfall zu prüfen, ob nicht der Dienstleister tatsächlich selbst die Verantwortung für die Datenverarbeitung trägt. Beispielsweise kann der Software- oder App-Dienstleister (z. B. App zur Medikamentenvorbestellung) je nach Einzelfall Auftragsverarbeiter oder selbstständiger Verantwortlicher sein.

Foto: Stockwerk-Fotodesign – stock.adobe.com

Kann ein Dienstleister eigenständig über die Art und Weise der ­Datenverarbeitung entscheiden, wird er nicht als Auftragsverarbeiter tätig, sondern ist selbst Verantwortlicher. Kommt eine Prüfung zu einem solchen Ergebnis, ist ­kritisch zu hinterfragen, ob die angestrebte Dienstleistung für den Apotheker sinnvoll ist. Denn § 7 ApoG schreibt vor, dass der Erlaubnisinhaber die Apotheke eigenverantwortlich führt. Vereinbarungen, bei denen der Daten­verarbeiter eigenständige Entscheidungen trifft, können hiermit kollidieren. Regelmäßig keine Auftragsverarbeiter der Apotheke sind Rechtsanwälte hinsichtlich der rechtlichen Beratung oder Steuerberater bezüglich der An­fertigung von Steuererklärungen – die bloße Abwicklung der Lohnbuchhaltung ist hingegen eine Auftragsverarbeitung.

Legt die Apotheke gemeinsam mit einem anderen Verantwortlichen die Zwecke und Mittel der Datenverarbeitung fest, ist keine Auftragsverarbeitung, sondern eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO gegeben. Die Apotheke muss dann mit dem anderen Verantwortlichen einen Vertrag schließen, in dem bestimmt wird, wer welche datenschutzrechtlichen Verpflichtungen übernimmt.

Beispiele für Auftrags­verarbeitung

Ein typisches Beispiel für die Auftragsverarbeitung in Apotheken ist die Einschaltung eines Rechenzentrums zur Abrechnung von Arzneimitteln gegenüber den gesetzlichen Krankenkassen (§ 300 SGB V). Eine Auftragsverarbeitung liegt regelmäßig auch dann vor, wenn die Apotheke mit Lohnherstellern, wie beispielsweise Blisterzentren, zusammenarbeitet. Das Blisterzentrum verarbeitet die jeweiligen Patientendaten allein zur Dosierung und Kennzeichnung der Blister auf Weisung der Apotheke. Eigene Zwecke verfolgt es bei der Datenverarbeitung nicht.

Konsequenzen der Auftragsverarbeitung

Die Auftragsverarbeitung hat für die Apotheke den großen Vorteil, dass für die Übermittlung der personenbezogenen Daten an den Auftragsverarbeiter keine eigene Rechtsgrundlage erforderlich ist. Insbesondere muss die Apotheke – auch bei der Verarbeitung von Gesundheitsdaten – nicht die Einwilligung des Patienten einholen. Die Auftragsverarbeitung geht mit Pflichten für die Apotheke einher. Die Apotheke bleibt für die Datenverarbeitung vollumfänglich verantwortlich. Sie muss deshalb den Auftragsverarbeiter sorgfältig auswählen, kontrollieren und darauf achten, dass dieser ausreichende technische und organisatorische Maßnahmen zum Schutz der überlassenen Daten trifft.

Auftragsverarbeitungs­vertrag

Mit jedem Auftragsverarbeiter ist schriftlich oder in elektronischer Form (mündlich geht dies nicht!) ein Auftragsverarbeitungsvertrag zu schließen, der den inhaltlichen Anforderungen nach Art. 28 Abs. 3 DSGVO genügt. Unter an­derem muss er regeln:

  • den Gegenstand und die Dauer der Datenverarbeitung,
  • Art und Zweck der Datenver­arbeitung,
  • die Art der personenbezogenen Daten, die verarbeitet werden,
  • die Kategorien betroffener Personen, deren Daten verarbeitet werden,
  • die Rechte und Pflichten der Apotheke.

Die Aufsichtsbehörden haben dazu ein Muster abgestimmt, das auf den jeweiligen Internetseiten abrufbar ist (z. B. www.baden-wuerttemberg.datenschutz.de/orientierungshilfen-merkblatter unter „Weitere Themen“). Das Muster muss aber unbedingt an die spezifischen Gegebenheiten angepasst werden, bei Apotheken insbesondere an die Verarbeitung von sensiblen Gesundheitsdaten. Als Anhang an den Auftragsverarbeitungsvertrag sind die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters anzufügen. Darüber hinaus haben (oder bereiten aktuell jedenfalls vor) viele Standardauftragsverarbeiter auch eigene Musterverträge, die ihre individuelle Tätigkeit abbilden. Es lohnt sich, hierzu bei seinem (potenziellen) Vertragspartner anzufragen.

Schweigepflicht

Werden Daten zu Apothekenkunden (z. B. ein Rezept) an den Auftragsverarbeiter (z. B. das Rechenzentrum) weitergegeben, berührt dies nicht nur den Datenschutz, sondern vor allem auch die Schweigepflicht des Apothekers. Denn das Rechenzentrum sieht, welche Arzneimittel der Arzt dem Kunden verschrieben hat, und kann Rückschlüsse auf dessen ­Erkrankung ziehen.

Wenn Apotheker oder Apothekenmitarbeiter aber patientenbezogene Informationen unbefugt offenbaren, machen sie sich nach § 203 StGB strafbar. Der Gesetzgeber hat erkannt, dass dies der Auftragsverarbeitung im Wege stehen kann, und im vergangenen Jahr das Gesetz präzisiert. Apotheker dürfen Auftragsver­arbeitern fremde Geheimnisse offen­baren, soweit dies für die ­Inanspruchnahme der Tätigkeit des Auftragsverarbeiters erforderlich ist und der Apotheker ­diesen zur Geheimhaltung verpflichtet hat (§ 203 Abs. 3, 4 StGB). Eine Geheimhaltungsverpflichtung ist daher in den Auftragsverarbeitungsvertrag zu ­integrieren.

Informationspflichten

Nicht zu vergessen sind schließlich die im letzten Beitrag vorgestellten Informationspflichten. Auftragsverarbeiter sind Empfänger von personenbezogenen Daten. In den Informationen zur ­Datenverarbeitung (vgl. AZ 2018, Nr. 15, S. 6) der Apotheke sind sie daher unter Empfängern (individuelle Vertragspartner) oder Kategorien von Empfängern (z. B. Rechenzentren, Versanddienstleister ohne Hinweis auf individuellen Vertragspartner) aufzuführen. Im Verzeichnis von Verfahrenstätigkeiten (vgl. AZ 2018, Nr. 11, S. 6) sind die Auftragsverarbeiter ebenfalls zu nennen.

Bestehende Verträge anpassen

Die Auftragsverarbeitung ist nichts Neues. Ein ähnliches Instrument gab es schon bisher: die Auftragsdatenverarbeitung. Auch dafür war ein Vertrag zu schließen, dessen gesetzlich vorgeschriebener Inhalt weitgehend den Anforderungen an den Auftragsverarbeitungsvertrag entspricht. Bestehende Verträge können daher beibehalten werden, wenn sie den Anforderungen der DSGVO entsprechen. Anpassungsbedarf besteht beispielsweise, wenn der Auftragsdatenverarbeitungsvertrag die Einschaltung weiterer Subunternehmer durch den Auftragsverarbeiter nicht von der Genehmigung der Apotheke abhängig macht (Art. 28 Abs. 2 DSGVO) oder der Apotheke nicht ausreichend weitgehende Kontrollrechte gegenüber dem Auftragsverarbeiter eingeräumt werden.

Fazit und Vorschau

Auftragsverarbeitungen kommen in jeder Apotheke vor. Sie sind ­gesetzlich privilegiert, da eine Übermittlung personenbezogener Daten an den Auftragsverarbeiter ohne besondere Rechtsgrundlage zulässig ist. Vor der Auslagerung der Datenverarbeitungstätigkeiten muss die Apotheke aber ihre Hausaufgaben machen: Der Abschluss eines Auftragsverarbeitungsvertrags sowie die sorgfältige Auswahl und die ausreichende Kontrolle des Auftragsverarbeiters sind Pflicht. Verstöße sind unter anderem mit Bußgeldern sanktioniert. Welche Konsequenzen Verstöße gegen das Datenschutzrecht für Apotheken im Einzelnen – nicht nur hinsichtlich der Auftragsverarbeitung – haben können, beleuchten wir in der nächsten AZ. |

Dr. Timo Kieser und Svenja Buck­stegge, Oppenländer Rechtsanwälte Stuttgart

Das könnte Sie auch interessieren

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 5: Informationspflichten und Kundenrechte

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 7: Verstöße gegen das Datenschutzrecht – Meldepflichten und Sanktionen

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 1: Die Grundsätze der Datenverarbeitung

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 2: Die neuen Dokumentations- und Rechenschaftspflichten

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 4: Neue Risikobewertung – Die Datenschutz-Folgenabschätzung

Neue Datenschutzregeln ante portas

Der Startschuss für die DSGVO fällt am Freitag

Fit für die Datenschutzgrundverordnung?

Im Mai 2018 tritt die Europäische Datenschutzgrundverordnung in Kraft

Was kommt da auf uns zu?

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 3: Wächter über den Datenschutz: Der Datenschutzbeauftragte

Neue Datenschutzregeln ante portas

Teil 3: Gemeinsame Verantwortlichkeit und Facebook-Fanpages

Sechs Monate DSGVO – ein Zwischenfazit

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.