DSGVO-Expertenbefragung

Das sind die wichtigsten Antworten zum Datenschutz in der Apotheke (Teil 4)

Berlin - 24.05.2018, 17:45 Uhr

Was darf der Arzneimittel-Bote wissen – und was ist beim Fahrtenbuch zu beachten? (Foto: Imago)

Was darf der Arzneimittel-Bote wissen – und was ist beim Fahrtenbuch zu beachten? (Foto: Imago)


Wie können Apotheken den ab dem 25. Mai europaweit neu geregelten Informationspflichten zum Datenschutz nachkommen? Sind die alten Einwilligungerklärungen für Kundenkarten eigentlich noch gültig? Und was ist künftig bei Botendiensten zu beachten? Unsere Experten haben auf diese Fragen Antworten.

Ab dem 25. Mai sind Regelungen der neuen EU-Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz verbindlich zu beachten. Ist Ihre Apotheke fit für die neuen Anforderungen?

Dass noch nicht alle Fragen geklärt sind, zeigte unser Aufruf an die Leserinnen und Leser, uns Fragen zur DSGVO zuzuschicken. Wir haben diese gebündelt und verschiedene Rechtsexperten um Antworten gebeten.

Im vierten Teil unserer FAQ-Aktion antwortet Dr. Bettina Mecking, Justiziarin und stellvertretende Geschäftsführerin der Apothekerkammer Nordrhein. Im Mittelpunkt steht diesmal die transparente Information der Kunden – etwa über einen Aushang und in Einwilligungserklärungen. Frau Mecking geht überdies auf die Besonderheiten des Botendienstes ein – inklusive eines Schwenks zu Dokumentationen für das Finanzamt.

Dr. Bettina Mecking, Justiziarin der AKNR

Frage: Die Datenschutzerklärung, die im Verkaufsraum aufzuhängen ist, umfasst fünf bis sieben Seiten. Müssen sämtliche Seiten für Kunden in der Offizin gut sichtbar ausgehängt werden? Oder reicht ein Hinweis wie: „Bei Fragen zum Datenschutz sprechen Sie uns gerne an”? 

Antwort: In einem Ladengeschäft, das Waren und Dienstleistungen unter Erhebung und Verarbeitung personenbezogener Daten anbietet wie eine Apotheke, werden die entsprechenden Hinweise üblicherweise in abgedruckter Form an geeigneter Stelle in den Geschäftsräumen, etwa deutlich sichtbar im Verkaufsraum oder aber unmittelbar im Kassenbereich, ausgehängt. Sofern eine betroffene Person es wünscht, sollten Abdrucke zum Mitnehmen zur Verfügung gestellt werden. Der Kunde muss sie in zumutbarer Weise zur Kenntnis nehmen können. Dazu gehört, dass die Informationen im Aushang ohne Weiteres (zum Beispiel nicht nur mit einer Lupe) wahrnehmbar und lesbar sein müssen.

Der Hinweis: „Bei Fragen zum Datenschutz sprechen Sie uns gerne an“ erscheint nicht sehr geeignet, da er eine kleine Hürde für Interessierte aufbaut. Denn man muss selbst aktiv werden, was einem Kunden peinlich sein könnte.

Mancherorts wird es als ein Weg angesehen, die Datenschutzerklärung auszugsweise auszuhängen und darauf hinzuweisen, dass die Langfassung am HV-Tisch ausliegt oder an einem anderen geeigneten Ort.

Hier finden Sie die zugehörigen Regelungen in der DSGVO:

Art. 12 DSGVO Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

Art. 13 DSGVO Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

Erwägungsgrund 58 zur DGVO - Grundsatz der Transparenz

Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden.

Erwägungsgrund 60 zur DGVO - Informationspflicht

(…) Die betreffenden Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, so sollten sie maschinenlesbar sein.

Kundenkarten – gibt es Bestandsschutz für Altkunden?

Frage: Kundenkarten-Anträge sollen nun DSGVO-konform aktualisiert werden. Gibt es sowas wie einen Bestandsschutz für „Altkunden“? Oder müssen alle „Altkundenkarten“-Besitzer neu unterschreiben? Wie lange ist eine solche Einwilligungserklärung gültig?

Antwort: Alte Kundenkarten haben grundsätzlich einen gewissen „Bestandsschutz“. Einwilligungen, die vor dem 25. Mai 2018 eingeholt wurden und deren Handhabung schon den Vorgaben der DS-GVO beziehungsweise dem deutschen Recht entsprechen, behalten ihre Wirksamkeit. Die Einwilligungserklärung ist solange gültig, wie der Kunde diese nicht widerruft.

Für eine problemlose Umstellung auf das neue Datenschutzrecht sollten die bereits eingeholten Einwilligungen überprüft und gegebenenfalls aktualisiert werden. Apotheken müssen also prüfen, ob alle relevanten Vorgänge mit den alten Einwilligungserklärungen abgedeckt werden. Für eine darüber hinausgehende Verarbeitung dürfen die Karten nicht verwendet werden. Kunden müssen wissen, welche Daten verarbeitet werden und wohin diese weitergeleitet werden. Es wird empfohlen, Kundenkarten, die seit 1,5 Jahren ungenutzt sind, zu löschen.

Einwilligungen, die bis zum 25. Mai 2018 eingeholt wurden und nicht den Anforderungen der DS-GVO entsprechen, sind für die Verarbeitung nach dem 25. Mai unwirksam. Es müssen neue, aktualisierte Einwilligungen eingeholt werden, auch wenn dies im Apothekenalltag mühselig ist. Diese Handhabe findet man derzeit allerorten – bei den Kunden dürfte insofern eine gewisse Gewöhnung an und Verständnis für eine solche Vorgehensweise anzutreffen sein.  

Hier finden Sie zum Beispiel eine Muster-Einwilligungserklärung zur Kundenkarte der Apothekerkammer Berlin.

Einwilligung zur Medikationsanalyse

Frage: Ist die bestehende Datenschutzvereinbarung der Bundesapothekerkammer für die Medikationsanalyse ausreichend oder sind hier Anpassungen nötig?

Antwort: Diese Frage bezieht sich auf die Muster-Einwilligungserklärung zur Medikationsanalyse aus den BAK-Leitlinien. Diese wurde in den letzten Wochen aktualisiert und kann nach Anpassung auf den individuellen Apothekenbetrieb eingesetzt werden.

Hier finden Sie ein Muster für eine Einwilligungserklärung unter Beachtung der DS-GVO zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten des Patienten in der Apotheke im Rahmen der Medikationsanalyse (Arbeitshilfe, Stand 9. Mai 2018)

Was darf der Bote wissen, und wie lange sind Daten zum Botendienst aufzubewahren?

Frage: Brauche ich ein schriftliches Einverständnis vom Kunden, wenn er beliefert werden möchte und keine Kundenkarte besitzt? Schließlich wird die Adresse im Fahrtenbuch gespeichert. Wenn ja: Muss eine solche Einwilligung bei jedem Botendienst neu erfolgen? Wie lange darf oder muss ich Botendaten aufbewahren – Stichwort Finanzamt? 

Antwort: Wenn bei einem Kunden – hier im Rahmen des Botendienstes – personenbezogene Daten erhoben werden, sollte sich jeder Verantwortliche in seinem Apothekenbetrieb vergewissern, auf welcher Grundlage die Erhebung erfolgt.

Als Erlaubnis kommen neben Rechtsnormen und Vertragsabwicklung (um eine solche könnte es sich auch bei der Auslieferung von Produkten handeln, mit der Folge, dass man nicht weiter über die Einwilligungserfordernis sprechen müsste) besonders die Einwilligung des Betroffenen gemäß Artikel 7 DS-GVO in Betracht.

Eine Einwilligung kann auch in mündlicher Form abgegeben werden, jedoch ist der Verantwortliche in der Nachweispflicht, dass er auf Grundlage einer Einwilligung die personenbezogenen Daten erhebt und verarbeitet. Jemand, der eine Auslieferung wünscht, gibt zielgerichtet und freiwillig seine Adressdaten preis. Mit jedem neuen Lieferersuchen wird erneut eingewilligt. Laut Erwägungsgrund 32 – Einwilligung – kann die Einwilligung jedenfalls „durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“. Dies dürfte hier einschlägig sein.

Für das Finanzamt wäre solchen Adressdaten aus Botenfahrten gegebenenfalls zehn Jahre lang aufzubewahren.

Mit Blick auf das Finanzamt ist auch folgender Aspekt interessant:

Für auskunftsverweigerungsberechtigte Berufsgeheimnisträger gilt § 102 Abs. 1 Abgabenordnung (AO). Nach § 102 Abs. 1 Nr. 3 c) AO dürfen Apotheken die Auskunft verweigern.

Entsprechend der Rechtsprechung des Bundesfinanzhofes (unter anderem BFH Urteil vom 14.05.2002, Az. IX R 31/00) kann das Finanzamt auf einzelne im Fahrtenbuch zu machende Angaben verzichten, soweit die berufliche Veranlassung der Fahrten und der Umfang der Privatfahrten ausreichend dargelegt sind und Überprüfungsmöglichkeiten nicht beeinträchtigt werden.

Es ist daher für Angaben im Fahrtenbuch ausreichend, wenn das Datum, der Kilometerstand und der Zielort angegeben werden. Im Feld Reiseziel/Reisezweck/Reiseroute und aufgesuchter Geschäftspartner ist lediglich „Patienten/Kundenbesuch“ aufzuführen. In diesem Fall sind aber in einem zweiten, getrennt vom Fahrtenbuch zu führenden Verzeichnis, Namen und Adresse der aufgesuchten Kunden festzuhalten. 



Diesen Artikel teilen:


Das könnte Sie auch interessieren

Datenschutzbeauftragter, Arztrücksprache, Heimversorgung und mehr – worauf Apotheken achten sollten

DSGVO: Apotheker fragen, Rechtsexperten antworten

Datenauftragsverarbeitung, Löschfristen, WhatsApp

Das sind die wichtigsten Antworten zum Datenschutz in der Apotheke (Teil 5)

Wie die DSGVO in den Apotheken umgesetzt werden sollte

25. Mai 2018 - Stichtag für das neue Datenschutzrecht

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 1: Die Grundsätze der Datenverarbeitung

Neue Datenschutzregeln ante portas

Der Startschuss für die DSGVO fällt am Freitag

Fit für die Datenschutzgrundverordnung?

Vorwürfe gegen ADG ergeben datenschutzrechtliche Fragen

Welche Daten dürfen Apotheken wie lange speichern?

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.