Foto: Stockwerk-Fotodesign – stock.adobe.com

Recht

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 7: Verstöße gegen das Datenschutzrecht – Meldepflichten und Sanktionen

In den vergangenen Wochen haben wir betrachtet, welche Anforderungen die ab 25. Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) an Apotheken stellt. Doch was geschieht, wenn diese Anforderungen nicht erfüllt werden? Im letzten Beitrag unserer Serie soll es darum gehen, welche Pflichten die Apotheke bei Datenschutzverletzungen treffen und welche Konsequenzen Verstöße gegen das Datenschutzrecht u. a. für den Erlaubnis­inhaber haben können.

Datenschutzverletzungen kann auch eine datenschutzrechtlich gut aufgestellte Apotheke kaum vermeiden. Seien es menschliche Fehler oder Angriffe von außen, beispielsweise durch Hacker: Eine Datenpanne ist schnell passiert. Wichtig ist, in diesen Situationen richtig zu reagieren und auch die Mitarbeiter entsprechend zu schulen. Denn die Datenschutz-Grundverordnung sieht für solche Fälle kurzfristige Meldepflichten gegenüber der Aufsichtsbehörde vor. Gegebenenfalls sind auch die betroffenen Personen zeitnah zu benachrichtigen.

Datenschutzverletzungen

Jede Datenverarbeitung in der Apotheke birgt das Risiko einer Datenpanne. Der Verlust personenbezogener Daten, etwa in Form verlorener Speicherträger (USB-Stick, Smartphone, externe Festplatte) oder abhandengekommener Dokumente (Rezepte, Belege etc.), ist beispielsweise eine Datenpanne. Gleiches gilt, wenn Daten unabsichtlich durch Fehladressierungen von Post, Fax oder Mail in unbefugte Hände gelangen. Aber auch die Erteilung von Auskünften an Dritte ohne Einverständnis des Dateninhabers kann eine Datenpanne sein.

Ob die Apotheke die Datenpanne verschuldet hat oder ob sie durch rechtswidriges Verhalten Dritter verursacht wurde, beispielsweise durch einen Hackerangriff oder einen Einbruch, ist nicht entscheidend. Jede Verletzung der Daten­sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt, ist eine Datenschutzverletzung.

Meldung an die Aufsichtsbehörde

Eine Datenpanne, wie zum Beispiel ein Hackerangriff auf die Kundendaten eines Apothekenwebshops, durch den Medikations-, Zahlungs- und Versicherungsdaten gestohlen werden, kann erhebliche Auswirkungen für die betroffenen Personen haben. Die Apotheke ist gemäß Art. 33 DSGVO zur Meldung an die ­zuständige Aufsichtsbehörde verpflichtet. Die Meldung hat unverzüglich und möglichst binnen 72 Stunden nach Kenntnis der Datenpanne zu erfolgen. Zuständig ist die Datenschutz-Aufsichtsbehörde des Bundeslandes, in dem die (Haupt-)Apotheke ihren Sitz hat. Teilweise bieten die Aufsichtsbehörden schon jetzt ein Onlineformular für die Meldung an (z. B. www.lda.bayern.de/de/datenpanne.html). Die Meldung soll zumindest folgende Informationen enthalten:

  • Beschreibung der Verletzung, möglichst mit Angaben zu den betroffenen Personen und den betroffenen Daten,
  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen,
  • Beschreibung der wahrschein­lichen Folgen der Datenschutzverletzung,
  • Beschreibung der von der Apotheke ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung und ggf. zur Abmilderung ihrer nachteiligen Auswirkungen.

Ausnahmen von der Meldepflicht

Die Meldepflicht entfällt nur, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Das wäre beispielsweise der Fall, wenn die Daten auf dem verlorenen Datenträger nach dem neuesten Stand der Technik verschlüsselt sind, sodass ein Auslesen durch den Finder quasi ausgeschlossen ist. Außerdem müsste in der Apotheke noch eine Kopie der Daten existieren, da der endgültige Verlust von Daten regelmäßig ebenfalls ein Risiko bedeutet.

Bei enger Auslegung der Ausnahmen würde fast jede Datenschutzverletzung zu einer Meldepflicht an die Aufsichtsbehörden führen. Die daraus entstehende Flut von Meldungen wäre für die Aufsichtsbehörden kaum zu bewältigen. Es bleibt daher abzuwarten, wie die Aufsichtsbehörden und Gerichte die Risikobewertung in der Praxis ausgestalten werden. Unabhängig von der Meldepflicht ist die Apotheke aber verpflichtet, sämtliche Datenpannen mit personenbezogenen Daten intern zu dokumentieren (also z. B. fehlgeleitete Faxe mit Rezeptdaten zu erfassen, auch wenn durch ein Hinterhertelefonieren sichergestellt wurde, dass der irrtümliche Empfänger den Irrläufer vernichtet hat).

Benachrichtigung der betroffenen Personen

Hat die Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten des Dateninhabers zur Folge, ist nicht nur die Aufsichtsbehörde, sondern auch der Dateninhaber unverzüglich zu benachrichtigen (Art. 34 DSGVO). Ihm soll die Möglichkeit gegeben werden, Maßnahmen zum Schutz seiner Daten zu ergreifen. Die Benachrichtigungspflicht kann aus verschiedenen Gründen entfallen, insbesondere wenn die Apotheke durch bestimmte ergriffene Maßnahmen das Risiko eingrenzen konnte. Wird eine Datenbank gehackt oder werden Kundendaten versehentlich online gestellt und sind für jedermann einsehbar, wird dies regelmäßig eine Benachrichtigungspflicht nach sich ziehen.

Drastische Bußgelder

Schon bisher war das Datenschutzrecht engmaschig und hat Unternehmen viele Pflichten auferlegt. Die Diskrepanz zwischen gesetzlichen Vorgaben und eher nachlässiger Umsetzung missfiel dem Gesetzgeber. Um künftig für eine bessere Durchsetzung der Datenschutzvorschriften zu sorgen, verfügen die Aufsichtsbehörden über einen umfassenden Katalog von Untersuchungs- und Abhilfebefugnissen. Sie können unter anderem Verwarnungen aussprechen, Anweisungen zur Einhaltung der Betroffenenrechte erteilen oder Beschränkungen und Verbote von Datenverarbeitungen anordnen. Bei den Untersuchungen der Aufsichtsbehörden haben die Apotheken mitzuwirken. Insbesondere können die Aufsichtsbehörden die Bereitstellung aller Informationen von der Apotheke verlangen, die für die Erfüllung ihrer Aufgaben erforderlich sind.

„Gekrönt“ werden diese Befugnisse von drastischen Bußgeldern von bis zu 20 Mio. Euro oder 4% des Jahresumsatzes eines Unternehmens, mit denen Aufsichts­behörden Verstöße gegen das Datenschutzrecht zukünftig sanktionieren können (Art. 83 DSGVO). Geldbußen können für quasi jeden Verstoß gegen die Vorschriften der DSGVO (also auch gegen interne Dokumenta­tionspflichten) verhängt werden und sollen wirksam, verhältnismäßig und abschreckend sein. Die Zahl der Bußgeldverfahren wird sich ab Ende Mai 2018 erhöhen. Auch die Bußgeldhöhe dürfte künftig deutlich ansteigen.

Bußgeldmindernd wirkt sich aber grundsätzlich aus, wenn der Verantwortliche nachweisen kann, dass er durch seine interne Organisation, durch die Ausgestaltung seiner Strukturen, Arbeitsprozesse und Kontrollmechanismen Vorkehrungen getroffen oder sich jedenfalls Gedanken gemacht hat, um die Einhaltung der Datenschutzvorschriften zu gewährleisten. Wer die neuen rechtlichen Vorgaben vollständig ignoriert, ist sicher deutlich eher bußgeld­gefährdet als der Apotheker, der sich damit beschäftigt hat und bemüht ist, die Vorgaben umzu­setzen, dessen Aufsichtsbehörde dann aber zu Details abweichende Auffassungen vertritt.

Schadensersatz

Neben Bußgeldern drohen bei Verstößen gegen das Datenschutzrecht Schadensersatzforderungen. Bisher haben Schadensersatz­ansprüche im Datenschutzrecht keine Rolle gespielt. Änderungen sind hier nicht ausgeschlossen, da auch Verbände Ansprüche für Betroffene geltend machen können und Schadensersatz/Geldentschädigung auch für immaterielle Schäden, beispielsweise wegen des Eingriffs in das Persönlichkeitsrecht, gewährt werden kann.

Strafrechtliche Konsequenzen

In Ausnahmefällen sind Verstöße gegen das Datenschutzrecht darüber hinaus wie bisher strafbar. Als Orientierungslinie gilt, dass sich strafbar macht, wer nicht allgemein zugängliche personenbezogene Daten in der Absicht, sich zu bereichern, veröffentlicht oder verarbeitet (§ 42 BDSG-neu). Relevanter für Apothekeninhaber und Apothekenmitarbeiter bleibt die Strafbarkeit nach § 203 StGB. Verstöße gegen das Datenschutzrecht bedeuten regelmäßig eine Offenbarung fremder Geheimnisse entgegen der Schweigepflicht. Bei vorsätzlichem Verhalten ist dies mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bedroht. Gleichzeitig können Verstöße gegen die Schweigepflicht berufsrechtliche Konsequenzen für Approbierte haben.

Fazit

Verstöße gegen das Datenschutzrecht können für Apotheken unangenehme Folgen haben: von Bußgeldern über Schadensersatzansprüche bis zu strafrechtlichen Sanktionen. Nicht zu vergessen ist der Schaden, den das Vertrauen der Kunden nehmen kann, wenn Datenschutzverstöße der Apo­theke bekannt werden. Die Datensensibilität der Bevölkerung steigt und wird mit zunehmender Digitalisierung weiter zunehmen. Datenschutzverstöße verursachen Kosten, Aufwand und Ärger. Mit der Umsetzung der Anforderungen der DSGVO lässt sich dies weitgehend vermeiden. |

Dr. Timo Kieser und Svenja Buck­stegge, Oppenländer Rechtsanwälte Stuttgart

Das könnte Sie auch interessieren

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 2: Die neuen Dokumentations- und Rechenschaftspflichten

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 6: Auftragsverarbeitung bei Rezeptabrechnung, Apps, Fernwartung

Neue Datenschutzregeln ante portas

AZ-Tipp zur neuen Datenschutz-Grundverordnung

Wie sich Apotheker für die neuen Datenschutzregeln wappnen können

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 1: Die Grundsätze der Datenverarbeitung

Neue Datenschutzregeln ante portas

Teil 1: Was tut sich bei Abmahnungen und Bußgeldern?

Sechs Monate DSGVO – ein Zwischenfazit

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 3: Wächter über den Datenschutz: Der Datenschutzbeauftragte

Neue Datenschutzregeln ante portas

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.