Knigogo online
Datenschutz

Gutes Recht für Kunden und Kollegen

20.08.2012
Datenschutz bei der PZ

Von Sven Siebenand / Alle Betriebe, die personenbezogene Daten verarbeiten, sind zur Einhaltung des Datenschutzes verpflichtet. Das gilt insbesondere für Apotheken. Denn Gesundheits- und Medikationsdaten sind besonders sensibel. Verstöße gegen den Datenschutz können teuer werden. Besser ist es, grund­legende Erfordernisse schon im Vorfeld zu beachten.

Als Meilenstein des Datenschutzes in Deutschland gilt das sogenannte Volkszählungsurteil, eine Grundsatzentscheidung des Bundesverfassungsgerichts aus dem Jahr 1983. Demzufolge genießt das Recht auf informationelle Selbstbestimmung Grundrechtschutz. Das Grundgesetz schützt den Einzelnen so vor unbegrenzter Erhebung, Speicherung, Verwendung und Weitergabe persönlicher Daten. Belieferung von Rezepten, Ausgabe von Kundenkarten und Auskünfte am Telefon: Schon diese drei Beispiele zeigen, dass das Apothekenpersonal ständig mit personenbezogenen Daten der Patienten umgeht. Das ist aber noch nicht alles. Denn selbstverständlich sind auch die Daten der Mitarbeiter zu schützen.

So sind Personalakten in Papierform in einem abgeschlossenen Schrank aufzubewahren, für per Computer geführte Akten muss es ein sicheres Zugriffsberechtigungskonzept geben. Mitarbeiter haben jederzeit das Recht, die eigene Personalakte einzusehen, die Daten zu prüfen und bei Bedarf gegen Einträge vorzugehen.

 

Der Gesetzgeber regelt den Beschäftigtendatenschutz gegenwärtig neu. »Es sind zahlreiche detaillierte Bestimmungen im Bundesdatenschutzgesetz zu erwarten«, informiert Rechtsanwältin Patricia Kühnel aus Erkner im Gespräch mit der PZ.

 

Bundesdatenschutzgesetz

 

Um sich über die Vorschriften mit datenschutzrechtlicher Relevanz zu informieren, müssen sich Apothekenleiter und -mitarbeiter mit verschiedenen gesetzlichen Regelungen auseinandersetzen. Ganz wichtig ist das Bundesdatenschutzgesetz (BDSG). Darin wird zum Beispiel definiert, was personenbezogene und besondere Arten personenbezogener Daten sind. In die erste Gruppe gehören Name, Geburtsdatum, Anschrift, aber auch Telefonnummer und E-Mail-Adresse, in die zweite zum Beispiel Angaben über die Gesundheit.

 

Im BDSG ist ein sogenanntes Verbot mit Erlaubnisvorbehalt verankert. Das heißt, es gibt ein generelles Verbot der Verwendung personenbezogener Daten, egal ob Erhebung, Verarbeitung oder Nutzung. Nur in Ausnahmefällen, beispielsweise bei Einwilligung des Betroffenen, etwa bei Kundenkarten oder bei gesetzlicher Erlaubnis, zum Beispiel die Rezeptabrechnung über ein Apothekenrechenzentrum im Sozialgesetzbuch V, darf man sich darüber hinwegsetzen (Erlaubnisvorbehalt).

 

Keine Probleme mit dem Datenschutz gibt es bei anonymisierten oder pseudonymisierten Daten (Kasten).

Anonymisieren und Pseudonymisieren

Laut Bundesdatenschutzgesetz ist Anonymisieren das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

 

Unter Pseudonymisieren versteht man das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

Generell lohnt es sich, immer zu hinterfragen, welche Daten an Dritte weitergegeben werden müssen und welche nicht. Beispiel: Bei der Bestellung von Kompressionsstrümpfen reichen der beauftragten Firma die Maße des Patienten. Name, Geburtsdatum und Adresse sind nicht notwendig, um den Auftrag ausführen zu können.

 

Schweigepflicht und Datengeheimnis

 

Selbstverständlich unterliegen alle Daten der Apothekenkunden der Schweigepflicht. Diese ist in der Regel in der Berufsordnung der zuständigen Apothekerkammer geregelt. Dort wird der Apothekenleiter normalerweise verpflichtet, alle Mitarbeiter schriftlich zur Verschwiegenheit zu verpflichten. Das sollte auch bei Praktikanten, Boten und kurzzeitig Beschäftigten nicht vergessen werden. Zudem müssen Mitarbeiter auf das Datengeheimnis nach Paragraf 5 BDSG verpflichtet werden. Nach dieser Vorschrift ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen.

 

Halten sich Dritte in der Apotheke auf, zum Beispiel Handwerker, ist sicherzustellen, dass diese keinen Zugriff auf personenbezogene Daten haben.

Sinnvoll ist es zudem, alle Mitarbeiter darüber zu belehren, dass die Schweigepflicht umfassend gilt, also auch gegenüber den Angehörigen der Kunden, nicht beteiligten Kollegen und Ärzten. Die Verletzung der Verschwiegenheitspflicht wird im Paragrafen 203 des Strafgesetzbuchs (StGB) unter Strafe gestellt.

 

In der Strafprozessordnung wird dem Apotheker ferner bei einer Vernehmung ein Zeugnisverweigerungsrecht gewährt. Darauf kann er sich zum Beispiel berufen, wenn ein Kunde wegen Rezeptfälschung vor Gericht steht. Achtung: Sagt der Apotheker gegen den Willen des Kunden aus, macht also nicht vom Zeugnisverweigerungsrecht Gebrauch, kann das für ihn strafrechtliche Konsequenzen haben. Er riskiert die eigene Strafbarkeit nach Paragraf 203 StGB.

 

Die acht Gebote

 

In einer Anlage zum BDSG ist der gesetzliche Maßstab zur technisch-organisatorischen Umsetzung des Datenschutzes nachzulesen. Die acht Gebote des Datenschutzes lauten:

 

Zutrittskontrolle,

Zugangskontrolle,

Zugriffskontrolle,

Weitergabekontrolle,

Eingabekontrolle,

Auftragskontrolle,

Verfügbarkeitskontrolle und

Trennungskontrolle.

 

Apotheken sind dadurch aufgefordert, konkrete Schutzmaßnahmen zu ergreifen. Selbstverständlich sind beispielsweise das Verschließen der Apothekenräume, eine festgelegte Schlüssel­regelung für das Personal und regelmäßige Datensicherungen. Aber auch eine Benutzerkennung mit Passwortsicherung, die Beschränkung der Administrator- und Userrechte auf das zwingend Erforderliche und klare Regeln für die Mitarbeiter, an wen Daten weitergegeben werden dürfen, sind hier zu bedenken.

 

Ist Videoüberwachung erlaubt?

 

Der Datenschutz beginnt schon an der Eingangstür. Das trifft jedenfalls auf die Apotheken zu, die eine Videoüberwachung installiert haben.

 

Ein Paragraf des BDSG nimmt Bezug auf die »Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen«. Daraus leitet sich ab, dass Apotheken, die in der Freiwahl eine Videoüberwachungs-Anlage (oder eine Attrappe) installieren, diese sichtbar kennzeichnen müssen – möglichst direkt am Eingang. In nicht öffentlich zugänglichen Bereichen ist eine Videoüberwachung nur in bestimmten Fällen erlaubt. Heimliches Filmen ist immer unzulässig. Gleiches gilt für Aufnahmen in Bereichen der privaten Lebensgestaltung, zum Beispiel in Sanitärräumen, Umkleiden oder im Nachtdienstzimmer.

 

Steht ein Kunde, gegebenenfalls ­zusammen mit anderen, am HV-Tisch, geht es mit dem Datenschutz weiter: Eine vertrauliche Beratung muss ge­sichert sein. Am besten gelingt dies mit Diskretionszonen. Auch mit Blick auf mögliche Sanktionen sollte eine schweigepflichtkonforme Beratung immer möglich sein.

Bildschirme sollten so stehen, dass andere Kunden diese nicht einsehen können. Und Rezepte sollten, auch bei starkem Kundenverkehr, niemals für andere Kunden lesbar oder gar greifbar auf dem HV-Tisch liegen. Dieser Verstoß gegen den Datenschutz wurde Kühnel zufolge schon mehrfach angezeigt. Die Höhe des Bußgeldes sei ­abhängig von der sonstigen Qualität des Datenschutzes, den Umständen des Einzelfalls und der Strenge der jeweiligen Aufsichtsbehörde.

 

Können die Rezepte nicht vom HV-Tisch entfernt werden, sollten die Mitarbeiter sie zumindest umdrehen oder in einer undurchsichtigen Hülle verstauen. Rezepte enthalten viele sensible Daten. Daher darf man nicht mehr benötigte Privatrezepte, grüne Rezepte oder Kopien, die dem Kunden nicht mitgegeben werden können, auf keinen Fall in den Papierkorb werfen. Sie müssen durch den Aktenvernichter (sollte mindestens Stufe 4 der DIN-Norm 32757 entsprechen) »gejagt« werden.

 

Bei Unklarheiten auf dem Rezept sollten die Apothekenmitarbeiter den Patienten fragen, ob sie den Arzt kontaktieren dürfen. In der Regel ist das kein Problem, da der Kunde selbst an der Klärung interessiert ist. Auf Wunsch kann der Patient das Gespräch mithören. Selbstverständlich ist der HV-Bereich kein guter Ort für Telefonate, da andere Personen mithören können.

 

Will man sich, zum Beispiel mit einem Arzt, per E-Mail über ein Rezept austauschen, so darf das Rezept nicht einfach eingescannt und dann unverschlüsselt oder als Anhang versandt werden. Die Daten der Kunden sind zu verschlüsseln.

 

Dokumentation vor Zugriff schützen

 

Auch wenn der Kunde die Apotheke wieder verlassen hat, bestehen die Anforderungen an den Datenschutz selbstverständlich weiter. Das ist am Beispiel von Dokumentationspflichten leicht zu erklären. Von Betäubungsmitteln über verschreibungspflichtige Tierarzneimittel bis hin zu Erwerb und ­Abgabe von Produkten, die unter das Transfusionsgesetz fallen: Diese Aufzeichnungen enthalten personenbezogene Daten, an die Unbefugte nicht herankommen dürfen – auch dann nicht, wenn die Aufbewahrungspflicht abgelaufen ist.

Zu entsorgende Unterlagen sind ein Fall für den Reißwolf. Dort hinein gehören auch nicht mehr benötigte Faxe, die personenbezogene Daten enthalten. Apropos Faxe: Bei Versenden von Kundendaten per Fax ist sicherzustellen, dass dieses ausschließlich den ­berechtigten Empfänger erreicht. So sollte man sie dem Empfänger unter Umständen vorher ankündigen, zum Beispiel bei Faxen an den Arbeitsplatz, und sich den Empfang gegebenenfalls bestätigen lassen.

 

Faxe, die in der Apotheke ankommen, sind sofort aus dem Gerät zu entnehmen. Generell sollten nirgendwo in der Apotheke, auch nicht auf dem Büro­schreibtisch des Chefs, sensible Daten in Papierform länger liegengelassen werden. Sinnvoll ist zudem, Unterlagen in der Apotheke – je nach Sensibilität der Daten – in Klassifikationsstufen einzuteilen und zu kennzeichnen. Zum »internen Gebrauch« könnte zum Beispiel das QM-Handbuch dienen, »streng vertraulich« sind beispielsweise die Personalakten und ein »persönlich« tragen Gehaltsabrechnungen und Beurteilungen der Mitarbeiter.

 

Auskunft erteilen oder nicht

 

Ein häufiges Problem sind Auskünfte an Angehörige. Zum Vergleich: Wenn der Ehepartner die Post des Ehegatten öffnet, ist dies ein Straftatbestand. Nicht verwunderlich, dass auch Auskünfte auf der Basis von Kundenkarten nur dem Kunden selbst erteilt werden dürfen. Was also tun, wenn Angehörige zum Beispiel Zuzahlungsbescheinigungen des Ehepartners verlangen? Eine Möglichkeit ist, die Bescheinigung auf dem Postweg zu versenden. Am Telefon ist eine Auskunft zu persönlichen Daten immer tabu, wenn die sichere Identifi­kation des Anrufers nicht gegeben ist.

 

Selbst Polizeibeamten darf man nicht ohne Weiteres am Telefon Auskunft erteilen. Kühnel rät, um persönliche Vorsprache des Beamten oder schriftliche Anfrage zu bitten. Mitarbeiter sollten immer auch die Apothekenleitung in den Fall einbeziehen.

 

Und wie sieht es bei Minderjährigen aus? Dürfen Eltern, zum Beispiel von Teenagern, eine Auskunft über ihre Sprösslinge erhalten? Kühnel: »Gerade bei schon verständigen und einsichtsfähigen Teenagern kurz vor der Volljährigkeit kann es zu Konflikten zwischen dem Auskunftsanspruch der Eltern und der Schweigepflicht gegenüber dem Minderjährigen kommen. Hier ist Vorsicht geboten. Bei kleineren Kindern haben sorgeberechtigte Elternteile Auskunftsansprüche.«

 

Kundenkarten – woran denken?

 

Viele Apotheken wollen ihre Patienten mithilfe einer Kundenkarte an die Apotheke binden. Dabei ist zu beachten, dass alle Karteninhaber zuvor eine daten­schutz­rechtliche Einwilligungs­erklärung abgeben müssen. Bei einem Verkauf der Apotheke gehen die Kundendaten nicht automatisch an den Nachfolger über (Kasten).

 

Die Einwilligungserklärung der Kunden muss sich auf die personenbezogenen und ausdrücklich auch auf die Gesund­heits­daten beziehen. Sie sollte immer schriftlich erfolgen und an einem für Unbefugte nicht zugänglichen Ort sicher aufbewahrt werden. Es gibt keine feste Frist, wann ungenutzte Kundenkarten zu löschen sind. Kühnel hält dies nach drei Jahren für sinnvoll, weist aber darauf hin, dass einige Steuerberater wegen des steuerlichen Bezugs der Daten eine Aufbewahrung von zehn Jahren für sinnvoll erachten. Laut BDSG (§ 4a, Absatz 1) ist die Einwilligungserklärung (optisch) besonders hervorzuheben, wenn sie zusammen mit anderen Erklärungen erteilt wird.

Kundendaten und

Dürfen Kundendaten bei einem Verkauf der Apotheke an den Nachfolger übergeben werden und was ist dabei zu beachten? Im Kammerrundschreiben (Mai/Juni 2012) informiert die Landesapothekerkammer Hessen zu diesem Thema.

 

Sofern nicht ausdrücklich anders vereinbart, willigt der Kunde beim Erwerb einer Kundenkarte durch seine Einverständniserklärung nur in das Speichern seiner personenbezogenen Daten bei dem Apotheker seines Vertrauens ein. Der Kunde muss frei da­rüber entscheiden können, ob er seine Daten weitergeben will oder nicht. Daher ist für die Übermittlung der gespeicherten Daten an einen Dritten bei einem Verkauf der Apotheke erneut eine Einwilligung, und zwar eine vorherige Einverständniserklärung des Betroffenen, erforderlich. Die Kammer plädiert dafür, die schrift­liche Einwilligung jedes betroffenen Kunden einzuholen. Weiter heißt es in dem Rundschreiben: »Zu überlegen wäre, ob Apotheken ihre Kunden­karten dahingehend überarbeiten, dass diese eine Einwilligungs­er­klärung auch zur Weitergabe der Kunden­daten an einen Rechtsnachfolger für den Fall eines Apothekenverkaufs enthalten.«

Von der Ausgabe einer Kundenkarte ist abzuraten, wenn der Kunde die Erklärung nicht oder nur mündlich abgeben will. Grundsätzlich sollte man nur Daten erfassen, die tatsächlich benötigt werden. Gängig ist auch, dass die Bewohner belieferter Altenheime in der Kundendatei der Apotheke eingetragen sind. Wenn man nicht von allen einzeln die Einwilligung einholen will, ist es sinnvoll, beim Abschluss des ­Vertrags mit der Heimleitung festzuhalten, dass diese sich um die Einwilligungen kümmert.

 

Was in der Praxis schon zu Ärger geführt hat, sind Antragsformulare für Kundenkarten, auf denen nicht alles aufgeführt ist, was die Apotheke mit den Daten tun wird. Ein Beispiel: Über eine Geburtstagskarte freut man sich. Dieser nette Service der Apotheke kann zum Bumerang werden, wenn Verstorbene eine Karte zum Geburtstag bekommen. Sind in den Kunden­karten­anträgen solche Geburtstagsaktionen nicht aufgeführt, können Angehörige gegen Datenschutzverstöße der Apotheke vorgehen. Auch Post aus einer Filial­apotheke, die ohne Kenntnis des Karteninhabers auf die Daten zurückgreift, kann zu Irritationen führen.

 

Verboten sind auch in der EDV gespeicherte Daten, die ein Werturteil enthalten, etwa »Nervensäge«, »Pfennigfuchser« oder »schwieriger Kunde«. Möglich ist aber, auf Tatsachen wie ­»offene Rechnung« oder »bisher nicht abgeholter Bestellartikel« hinzuweisen.

 

Generell hat der Kunde ein Recht auf schriftliche Auskunft über die zu seiner Person gespeicherten Daten. Dies muss er in der Apotheke kundtun, aber nicht begründen. »Die Unentgeltlichkeit dieser Auskunft ist ausdrücklich im Gesetz vorgesehen«, so Kühnel. Die Auskunft kann mündlich erfolgen, auf Verlangen des Kunden ist sie aber schriftlich zu erteilen. Ferner haben Kunden ein Anrecht auf Datenkorrektur, zum Beispiel auf Berichtigung oder Löschen von Daten.

 

Was der Bote beachten muss

 

Wie bereits erwähnt, sind auch Apothekenboten an Schweigepflicht und Datengeheimnis gebunden. Laut Apothekenbetriebsordnung sind die auszuliefernden Arzneimittel für jeden Empfänger getrennt zu verpacken und jeweils mit dessen Namen und Anschrift zu versehen. Achtung: Damit gelangen personenbezogene Daten in Umlauf.

 

Bei der Auslieferung mit einem Pkw dürfen die Medikamente nicht sichtbar im Pkw liegen oder dort längere Zeit, zum Beispiel über Nacht, deponiert werden. Nur scheinbar banal: Beim ­Verlassen ist der Wagen stets abzuschließen. Fahrradboten müssen alle auszuliefernden Medikamente immer mit sich führen.

 

Der Bote darf die Medikamente nur dem Kunden selbst aushändigen. Andernfalls, zum Beispiel bei Abgabe beim Nachbarn oder Einwurf in den Brief­kasten, ist vorher eine schriftliche Einverständnis­erklärung einzuholen. Ebenfalls abklären sollte man, ob das Medikament an andere Familienangehörige im gleichen Haushalt ausgehändigt werden kann. Generell sinnvoll ist es, wenn sich der Bote die Übergabe bestätigen lässt.

 

IT-Sicherung bedenken

 

Ohne Informationstechnologie (IT) geht es in der Apotheke nicht. Um deren Sicherheit muss sich der Apothekeninhaber Gedanken machen. Nicht nur Hackerangriffe von außen sind zu befürchten, auch technische Schäden (etwa Überhitzung), Elementarschäden (Brand, Wasserschäden) sowie Unkenntnis und Selbstüberschätzung des Personals sind Risikofaktoren.

 

Wirksame Maßnahmen zur Gefahren­abwehr beginnen bei regelmäßigen Mitarbeiterschulungen und enden bei einem umfassenden Passwortschutz. Auch an eine unterbrechungsfreie Stromversorgung mit Überspannungsschutz, aktualisierte Virenschutzprogramme und regelmäßige Datensicherungen ist zu denken. Nach der Datensicherung sollte der Sicherungs­träger nicht am oder in unmittelbarer Nähe des Computers gelagert werden; am besten wird er an einem vor Diebstahl und Elementarschäden gesicherten Ort aufbewahrt. Empfehlenswert ist auch, den Datenträger mindestens einmal pro Monat auf Funktionstüchtigkeit zu überprüfen.

 

Was macht der Datenschutzbeauftragte?

 

Das BDSG enthält gesetzliche Vorgaben, wann ein Datenschutzbeauftragter (DSB) bestellt werden muss. Unter anderem ist dies der Fall, wenn mindestens zehn Arbeitnehmer mit der automatisierten Verarbeitung, Nutzung oder Erhebung personenbezogener Daten beschäftigt sind. Unabhängig von der Mitarbeiterzahl gibt es aber auch andere Szenarien, die einen DSB in der Apotheke zwingend vorschreiben. Ist dies nicht der Fall, muss die Apothekenleitung den Datenschutz sicherstellen oder kann freiwillig einen DSB berufen.

Internetauftritt der Apotheke

Mittlerweile haben viele Apotheken einen eigenen Internetauftritt. Dafür sind die allgemeinen Informationspflichten nach Telemediengesetz zu beachten. Zu einem Impressum gehören folgende Angaben:

 

vollständiger Name der Apotheke mit Postanschrift,

Inhaber und Vertretungs­berechtigter der Apotheke mit vollem Vor- und Zunamen,

E-Mail-Adresse, Telefon- und Faxnummer,

Umsatzsteuer-Identifikations­nummer,

Handelsregister mit Handels­registernummer,

Aufsichtsbehörde,

zuständige Berufskammer,

gesetzliche Berufsbezeichnung und Staat, in welchem diese verliehen wurde,

berufsrechtliche Regelungen und Zugangsmöglichkeit.

 

Auch an eine Datenschutzerklärung und einen Sicherheitshinweis an Kunden, dass eine offene Dateneingabe freiwillig und nicht sicher ist, ist bei dem Internetauftritt zu denken. Kunden und Mitarbeiter müssen zuvor natürlich zugestimmt haben, wenn personenbezogene Daten und Bilder von ihnen auf der Website veröffentlicht werden. Die Überwachung der Website auf Datenschutz-relevante Aspekte zählt zu den Aufgaben eines Datenschutzbeauftragten.

Ein DSB kann extern oder intern, muss aber immer schriftlich bestellt werden. Unbedingt muss die Person über die erforderliche Fachkunde, zum Beispiel Kenntnisse der gesetzlichen Regelungen auf dem Gebiet der Datenverarbeitung, und Zuverlässigkeit verfügen. Bei mehreren Filialen kann eine Person für alle Filialen beauftragt werden. Ein Exemplar der Bestellungsurkunde muss in jeder Filiale vorliegen, eines erhält der DSB für seine Unterlagen. Seine Aufgaben sind unter anderem die Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme und die Schulung der Mitarbeiter bezüglich des Datenschutzes. Die Schulung sollte er dokumentieren und fehlende Mitarbeiter nachschulen.

 

Auch das Führen einer Verfahrensübersicht zählt zu seinen Aufgaben. Dieses Dokument enthält die wichtigsten organisatorischen Angaben der Apotheke und macht die Verfahren der Datenverarbeitung transparent. Jeder, also auch Kunden und Konkurrenten, dürfen Einsicht verlangen. Daher sollte die Verfahrensübersicht keine Geschäftsgeheimnisse enthalten.

 

Der DSB hat in der Apotheke eine besondere Position inne und muss sich regelmäßig fortbilden. Er ist unmittelbar der Leitung unterstellt und genießt einen weitreichenden Kündigungsschutz.

Was passiert, wenn bei Datenschutzverstößen Betroffene Schadenersatz fordern? Diese Ansprüche treffen zunächst die Apotheke. Ein entsprechender Versicherungsschutz ist daher wichtig. Die Apotheke hat aber die Möglichkeit des Rückgriffs gegen den Verursacher, wobei zwischen internen und externen DSB zu unterscheiden ist. Schon im eigenen Interesse sollte der DSB ständig seine ordnungsgemäße Aufgabenerfüllung belegen können, zum Beispiel indem er seine Tätigkeiten dokumentiert und regelmäßig an Fortbildungen teilnimmt.

 

Verhalten bei Datenpannen

 

Datenzugriff auf Kundendaten durch Hacker, Verlust von transportablen Datenträgern oder Falschversendung einer E-Mail mit Kundendaten: Solche Datenpannen in der Apotheke erfordern Handlungsbedarf, denn das BDSG sieht bei schwerwiegenden Datenpannen Informationspflichten vor. Die Aufsichtsbehörde ist unverzüglich offiziell zu informieren. Auch der Betroffene muss unterrichtet werden.

 

Verspätete, unzureichende oder unterlassene Meldungen können sehr teuer werden. Leichte Verstöße gegen den Datenschutz werden mit Bußgeldern bis zu 50 000 Euro geahndet, schwere mit bis zu 300 000 Euro. Zur letztgenannten Gruppe gehört zum Beispiel die unterbliebene Information der Aufsichtsbehörde bei einer schweren Datenpanne. Mitarbeiter müssen bei Verstößen gegen den Datenschutz mit arbeitsrechtlichen Konsequenzen rechnen, etwa Abmahnung oder Kündigung.

 

Die Aufsichtsbehörden kontrollieren den Datenschutz – meistens anlassbezogen, zum Beispiel nach Beschwerden von Kunden, aber auch stichprobenweise. Bei einer Kontrolle ist die Apotheke verpflichtet, unverzüglich Auskunft zu erteilen. Fehlverhalten kann teuer werden. Anordnung von Maßnahmen, Abberufung eines DSB, Zwangsgeld: Die Aufsichtsbehörde hat verschiedene Möglichkeiten, datenschutzrechtliche Belange durchzusetzen. Sie hat aber auch die Aufgabe, die Apotheken bei Fragen zur Umsetzung des Datenschutzes zu beraten und zu unterstützen. / 

Quellen

Patricia Kühnel, Rechtsanwältin. Interview und Seminarunterlagen »Datenschutz in der Apotheke«. HAV, Offenbach, 15. Mai 2012.

Kühnel, P., Apotheke und Datenschutz. Govi-Verlag Eschborn 2011.

LAK konkret, Mitteilungen der Landesapothekerkammer Hessen. »Was ist mit den Kundendaten bei einem Apothekenverkauf?«, Heft 3, Mai/Juni 2012.

Bundesministerium der Justiz.

 

Der Autor

Sven Siebenand studierte Pharmazie an der Martin-Luther-Universität in Halle. Die Approbation als Apotheker erfolgte 2001 nach dem Praktischen Jahr in der pharmazeutischen Industrie und der öffentlichen Apotheke, wo er im Anschluss mehrere Jahre tätig war. Seit seinem Volontariat bei der Pharmazeutischen Zeitung arbeitet er bei der PZ, seit 2010 ist er stellvertretender Chefredakteur.

 

siebenand(at)govi.de

Mehr von Knigogo

Metenolon Enantat kaufen