Was bedeutet die DSGVO für Apotheker?
Von Markus Zechel
Der Text erschien zuerst in der Deutschen Apotheker Zeitung Nr. 50/Dezember 2017
Wenn am 25. Mai 2018 die Europäische Datenschutzgrundverordnung in Kraft tritt, dann existiert damit zum ersten Mal ein einziges, einheitliches Datenschutzgesetz, das innerhalb der Europäischen Union gilt.
Das bringt auch für die Apotheker neue Herausforderungen mit sich, sorgt aber auch dafür, sich mit bekannten Datenschutzanforderungen erneut zu beschäftigen.
Zwar haben wir in der EU bereits Datenschutzgesetze, die auf der Datenschutzrichtlinie aus dem Jahr 1995 beruhen, doch hat die Richtlinie RL 95/45/EG nicht verhindern können, dass der Datenschutz in der Union unterschiedlich gehandhabt wird, Rechtsunsicherheit besteht oder in der Öffentlichkeit die Meinung weit verbreitet ist, dass erhebliche Risiken für den Schutz natürlicher Personen bestehen, insbesondere im Zusammenhang mit der Benutzung des Internets.
Das will die Datenschutzgrundverordnung (DSGVO) nun ändern.
Daneben wird im Mai 2018 auch das neue Bundesdatenschutzgesetz (BDSG n. F.) in Kraft treten, das durch das Gesetz zur Anpassung des Datenschutzrechts an die DSGVO (DSAnpUG-EU) als inhaltlich neues Gesetz daherkommt.
Beide Rechtsvorschriften gelten nebeneinander, da das BDSG n. F. nur Aspekte regelt, die die DSGVO in die Regelungskompetenz der Mitgliedstaaten gelegt hat. Durch die DSGVO wird es auf nationaler Ebene zu weiteren Anpassungen von Gesetzen und Verordnungen kommen.
Änderungen gibt es bereits im Sozialgesetzbuch Zehn, das den Begriff der Sozialdaten und die Grundlagen für deren Verarbeitung an die Begriffe der DSGVO anpasst.
Was bleibt bestehen? Was ändert sich?
Definitionen: Einige Begriffe sind neu hinzugekommen. So kennt die DSGVO nun ausdrücklich genetische und biometrische Daten und definiert auch, was im Sinne der Verordnung darunter zu verstehen ist. Andere Begriffe, die wir bereits kannten, bekommen einen neuen Namen.
Statt von verantwortlicher Stelle spricht die DSGVO nun vom Verantwortlichen und statt dem Auftragsdatenverarbeiter nun „nur“ noch von Auftragsverarbeiter.
Der Begriff der personenbezogenen Daten hat eine neue Definition bekommen, ohne dass sich das allerdings inhaltlich auswirkt. Der Begriff „Betroffener“ wird durch „betroffene Person“ ersetzt.
Marktortprinzip: Eine der zentralen Änderungen ist die Abkehr vom Herkunftslandprinzip zum Marktortprinzip. Es ist also nicht mehr entscheidend, in welchem Land das Unternehmen seinen Sitz hat.
Vielmehr ist die Voraussetzung, um die DSGVO anwenden zu müssen, dass sich ein Angebot an einen bestimmten nationalen Markt in der EU richtet oder dass die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient.
Der Anwendungsbereich erstreckt sich damit auch auf außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind.
Grundsätze des Datenschutzes: Die Grundsätze des Datenschutzrechts bleiben erhalten. So geht auch die DSGVO von dem Verbotsprinzip mit Erlaubnisvorbehalt aus. Grundsätzlich ist es also auch weiterhin verboten, personenbezogene Daten zu verarbeiten.
Der Apotheker darf die Daten verarbeiten, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, der der Apotheker unterliegt, erforderlich ist. Dies ist z. B. regelmäßig der Fall für die Abrechnung mit den Krankenkassen nach SGB V.
Die Daten können in der Apotheke verarbeitet werden, wenn dies für die Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist; z. B. beim Kauf einer Ware mit vereinbarter Lieferung an die Adresse des Kunden oder der Leihstellung von Blutdruckmessgerä ten an Schwangere.
Hat die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke (außer Lieferung) gegeben, ist dies ebenfalls zulässig.
Einwilligung: In diesem Zusammenhang sind die Änderungen im Hinblick auf die Einwilligung zu erwähnen.
Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Dies kann etwa in Form einer schriftlichen Erklä rung geschehen, die auch elektronisch erfolgen kann, oder durch mündliche Erklärung. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person stellen daher keine Einwilligung dar. Somit ist die Schriftform nicht mehr erforderlich.
Ausreichend ist vielmehr eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt.
Um allerdings den Rechenschaftspflichten (s. u.) nachzukommen, wird der Apotheker auch in Zukunft gut beraten sein, sich um eine Einwilligung in Schriftform mit handschriftlicher Unterschrift oder mindestens in Textform (z. B. E-Mail) zu bemühen.
Datensparsamkeit und Zweckbindung: Es gelten auch weiterhin die Grundsätze der Datensparsamkeit und der Zweckbindung.
Demnach muss die Verarbeitung personenbezogener Daten dem Zweck angemessen und sachlich relevant sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt sein. Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden.
Datenschutzbeauftragter: Auch die Pflicht zur Bestellung eines Datenschutzbeauftragen ist, geregelt durch das BDSG n.F., erhalten geblieben.
So muss der für die Verarbeitung Verantwortliche, also der Apotheker, einen Datenschutzbeauftragten bestellen, soweit er zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
Bei der Bemessung der Personen wird auf die Gesamtanzahl der Personen abzuzielen sein, also die Summe der Personen in der Hauptapotheke und auch in den Filialapotheken.
Unabhängig von der Bestellpflicht eines Datenschutzbeauftragten, muss der Apotheker auch die für die Verarbeitung verantwortlichen Personen verpflichten, sich an die geltenden Datenschutzbestimmungen und insbesondere an die DSGVO zu halten und die Regelungen umzusetzen.
Rechenschaftspflichten: Ändern werden sich Dokumentationspflichten für den Apotheker.
Im Rahmen der Grundsätze für die Verarbeitung personenbezogener Daten muss der Verantwortliche nachweisen können, dass
- die Datenverarbeitung rechtmäßig durchgeführt wird und nach den Grundsätzen nach Treu und Glauben; die Verarbeitung muss insgesamt transparent gestaltet sein,
- die Daten grundsätzlich nur für den Zweck verarbeitet werden, zu dem sie erhoben worden sind,
- nur die personenbezogenen Daten verarbeitet werden, die erforderlich sind,
- die personenbezogenen Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind,
- die personenbezogenen Daten gelöscht werden, wenn sie für den Zweck, zu dem sie verarbeitet worden sind, nicht mehr erforderlich sind,
- technische und organisatorische Maßnahmen zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung getroffen worden sind.
Dieser Rechenschaftspflicht wird der Verantwortliche regelmäßig nur durch schriftliche Nachweise, in Form von z. B. Richtlinien, Prozessbeschreibungen und Dokumentation der Abläufe, nachkommen können.
Betroffenenrechte: Die Rechte der Betroffenen sind auch heute schon zentraler Bestandteil bestehender Gesetzgebung zum Datenschutz. Die DSGVO sieht nun allerdings einen umfangreichen Katalog an proaktiven Benachrichtigungen vor.
Dies betrifft unter anderem Kontaktdaten des Verantwortlichen, die Verarbeitungszwecke sowie die Rechtsgrundlage, gegebenenfalls die Empfänger oder Kategorien von Empfängern sowie die Absicht der Übermittlung in ein Drittland und zusätzlich auch die Dauer der Speicherung, beziehungsweise die Kriterien für die Festlegung dieser Dauer.
Neu hinzugekommen ist auch die Verpflichtung, die Kontaktdaten des Datenschutzbeauftragten verfügbar zu machen. Der Betroffene ist zudem über seine Rechte zu informieren.
Die Rechte auf Auskunft, Berichtigung, Sperrung und Löschung sind im Wesentlichen unverändert geblieben, wobei bei der Löschung der Begriff des „Rechts auf Vergessenwerden“ neu hinzugekommen ist.
Die verantwortliche Stelle, die zu löschende Daten öffentlich gemacht hat, muss nun vertretbare Schritte unternehmen, um die Stellen, die diese Daten verarbeiten, zu informieren, dass die betroffene Person von ihnen die Löschung aller Links zu diesen Daten oder von Kopien oder Replikationen verlangt.
Daten-Portabilität: Neu ist das Recht auf Datenübertragbarkeit oder auch „Daten-Portabilität“.
Dieses Recht gibt dem Betroffenen unter bestimmten Voraussetzungen einen Anspruch, eine Kopie der ihn betreffenden personenbezogenen Daten in einem definierten und maschinenlesbaren Dateiformat zu erhalten.
Der Nutzer hat somit das Recht, Daten von einem Anbieter zu einem anderen „mitzunehmen“. Die betroffene Person kann sich dabei aussuchen, ob sie die Daten selbst erhalten (und an einen neuen Verarbeiter weitergeben) will oder der bisherige Verarbeiter die Daten unmittelbar an den neuen Verarbeiter weitergeben muss.
Das Recht auf Datenübertragbarkeit ist auf die Daten beschränkt, die die betroffene Person dem Verarbeiter zur Verfügung gestellt hat.
Privacy by Design – Privacy by Default: Mit der Einführung des „Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen“ werden in der DSGVO die Grundsätze von Datenvermeidung und Datensparsamkeit aus dem BDSG weitergeführt und nun ausdrücklich Anforderungen an die Produktentwicklung und -einführung gestellt.
Der Verantwortliche hat nun sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der Verarbeitung geeignete technische und organisatorische Maßnahmen zu treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen.
Dazu kann z. B. die Pseudonymisierung zählen. Der Verantwortliche muss darüber hinaus sicherstellen, dass Voreinstellungen darauf ausgerichtet sind, nur personenbezogene Daten zu verarbeiten, die für den konkreten Zweck auch erforderlich sind.
Das betrifft den Umfang der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.
Verzeichnis der Verarbeitungstätigkeiten: Neben den bereits oben aufgeführten Dokumentationspflichten im Rahmen der Rechenschaftspflicht gibt es auch weiterhin die Pflicht, die konkreten Verarbeitungstätigkeiten zu dokumentieren.
Das, was bereits heute als sogenannte Verfahrensdokumentation in der Apotheke vorliegen muss, ist zukünftig in Teilen verändert als „Verzeichnis von Verarbeitungstätigkeiten“ fortzuführen.
Beschäftigtendatenschutz: Die DSGVO verzichtet auf detaillierte Regelungen zum Beschäftigtendatenschutz.
Vielmehr enthält die DSGVO für diesen Bereich eine Öffnungsklausel, nach der Mitgliedstaaten durch Gesetz Regelungen bei der Verarbeitung von Beschäftigtendaten treffen können.
Aufgrund dieser Öffnungsklausel hat der deutsche Gesetzgeber nach dem Vorbild des aktuellen Paragrafen zum Beschäftigtendatenschutz eine nationale konkretisierende Vorschrift zum Beschäftigtendatenschutz geschaffen.
Auftragsverarbeiter: Auch zukünftig müssen Dienstleister, die Zugriff auf personenbezogene Daten erhalten, vertraglich eingebunden werden, wobei der Vertag nicht mehr ausschließlich schriftlich vorliegen muss, sondern auch in einem elektronischen Format abgeschlossen werden kann.
Ebenso kann der Verantwortliche nur einen Auftragsverarbeiter auswählen, der hinreichende Garantien dafür bietet, dass er geeignete technische und organisatorische Maßnahmen getroffen hat, damit die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist.
Sicherheit der Verarbeitung: Die heute bereits notwendige Dokumentation der technischen und organisatorischen Maßnahmen wird eine neue Ausprägung erhalten.
Wo es heute ausreichend ist, die technischen und organisatorischen Maßnahmen für die Bereiche Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungskontrolle zu betrachten, wird es zukünftig notwendig sein, einen Ansatz zu verfolgen, der die Gefährdungen für die Rechte und die Freiheiten der Betroffenen berücksichtigt und damit ein Risikomanagement zu etablieren.
Grundlage für die Bewertung der Risiken sind die Eintrittswahrscheinlichkeit einer Gefährdung und die Auswirkungen für die Rechte und Freiheiten der betroffenen Personen.
Datenschutz-Folgenabschätzung: Die DSGVO führt den Begriff der Datenschutz-Folgenabschätzung (DSFA) ein, demnach ist durch den Verantwortlichen bereits vor der Verarbeitung eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchzuführen.
Diese DatenschutzFolgenabschätzung ist nach der DSGVO immer auch dann durchzuführen, wenn eine umfangreiche Verarbeitung von besonderen Kategorien von personenbezogenen Daten, zu denen auch Gesundheitsdaten gehören, durchgeführt werden soll.
Die DSGVO führt den Begriff „Umfangreich“ nicht weiter aus. Erwägungsgrund 91 zur DSGVO legt dar: Dies [die Anwendbarkeit der Datenschutz-Folgenabschätzung] sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten […]“
Aktuell ist davon auszugehen, dass diese Schwellwerte nicht für die Verarbeitungen in einer Apotheke gelten werden.
Bußgeldvorschriften: Ein Aspekt, der in der DSGVO deutlich ausgeprägter daher kommt als im Bundesdatenschutzgesetz, sind die Bußgeldvorschriften.
Hat der Verantwortliche z.B. die Anforderungen, die sich aus „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ ergeben, nicht ausreichend berücksichtigt oder hat er bei der Beauftragung eines Dienstleisters Formfehler nach der DSGVO begangen, so kann das Bußgeld bis zu 10.000.000 Euro betragen oder es kann ein Bußgeld im Fall eines Unternehmens von bis zu zwei Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.
Bei Verstößen gegen die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung oder bei Verstößen gegen die Rechte der betroffenen Person, kann ein Bußgeld von bis zu 20.000.000 Euro verhängt werden.
Im Fall, dass es sich bei dem Verantwortlichen um ein Unternehmen handelt kann die Geldbuße von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen, je nachdem, welcher der Beträge höher ist. Daneben kennt das BDSG n.F. auch weiterhin Strafvorschriften.
So wird mit bis zu drei Jahren Freiheitsstrafe oder mit Geldstrafe bestraft, wer wissentlich personenbezogene Daten einer großen Zahl von Personen einem Dritten übermittelt oder auf andere Art und Weise zugänglich macht und hierbei gewerbsmäßig handelt, ohne hierzu berechtigt zu sein.
Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten verarbeitet, ohne hierzu berechtigt zu sein, oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.
Fazit
Die DSGVO, das neue Bundesdatenschutzgesetz und die weiteren angepassten bzw. anzupassenden nationalen Gesetze und Verordnungen, die Datenschutz zum Regelungsinhalt haben, machen es notwendig, sich einmal mehr mit den Anforderungen auseinanderzusetzen.
Selbstverständlich kann im Rahmen eines solchen Artikels nicht jeder Aspekt in der Tiefe behandelt werden, die er vielleicht verdient hätte. Auch konnten nicht alle Änderungen erfasst werden, sondern es handelt sich um eine Auswahl, die allerdings im Wesentlichen die Änderungen umfasst.
Es bleiben unsere existierenden Regelungen zum Datenschutz weiterhin erkennbar und für verantwortliche Stellen oder wie es zukünftig heißen wird: Für Verantwortliche, die sich bereits in der Vergangenheit mit dem Thema Datenschutz auseinandergesetzt haben, wird der Anpassungsbedarf wichtig, aber überschaubar sein.
Verantwortliche, die sich bisher noch nicht mit dem Thema Datenschutz beschäftigt haben, sollten sich in Hinblick auf die zu erwartenden Bußgelder motivieren, das Thema bis zum Frühjahr 2018 erfolgreich umgesetzt zu haben.
Über Markus Zechel
Markus Zechel, Elektrotechnischer Assistent und Industriekaufmann, seit 2011 Managing Consultant bei migosens. Spezialgebiete: Datenschutz und Informationssicherheit. Übernahme der Funktion des externen Datenschutzbeauftragten, Vorsitzender der Akademie für Datenschutz NRW e.V.