Today is Newsday 02/2018 - Datenschutz: Die Uhr tickt - auch für Apotheken
Am 25. Mai 2018 entfaltet die neue europäische Datenschutz-Grundverordnung (kurz DSGVO) ihre Wirkung unmittelbar. Das gilt auch für die Verarbeitung auftragsbezogener Daten. Ob externe Personalagenturen, Gehaltsabrechnungsbüros, Steuerberater, Marketingagenturen, Call-Center, Cloud-Computing-Anbieter oder externe IT-Dienstleister und Rechenzentren – sobald personenbezogene Daten im Auftrag weisungsabhängig verarbeitet werden, liegt eine Auftragsverarbeitung (AV) vor.
Eine Auftragsverarbeitung findet statt, wenn der Auftragnehmer ausschließlich auf Anweisung des Auftraggebers tätig wird und der Auftraggeber die Art und Weise festlegt, in welcher der Auftragnehmer die Daten bearbeitet. Sie sollten deshalb die Überprüfung aller Verträge zur Auftragsdatenverarbeitung auf Ihre To-Do-Liste setzen. So wie wir auch. In der nächsten Zeit werden wir Sie und unsere Lieferanten anschreiben, um die Verträge entsprechend der DSGVO zu erneuern bzw. zu ändern.
Denn die DS-GVO sieht vor, dass für derartige Auftragsverhältnisse eine schriftliche Zusicherung vorhanden sein muss, dass das Rechenzentrum oder der IT-Dienstleister den Anforderungen der DS-GVO sowie dem nationalen Recht genügt. Da der Apothekeninhaber aus datenschutzrechtlicher Sicht auch für die Verarbeitung der Daten durch Dritte verantwortlich bleibt.
Doch damit noch nicht genug. Hinter dem neuen Begriff Verzeichnis der Verarbeitungstätigkeiten oder kurz Verarbeitungsverzeichnis in der DSGVO verbirgt sich die Dokumentation der Datenverarbeitungsprozesse in der Apotheke, die eine wichtige Aufgabe und Grundlage für die rechtmäßige und rechtssichere Verarbeitung personenbezogener Daten bleibt. Im Verarbeitungsverzeichnis sollten nicht nur die Rechtsgrundlagen für die Verarbeitungsprozesse in der Apotheke (Abrechnung mit der GKV, Vertrag, Einwilligung), sondern auch eine Dokumentation über die Belehrung und Schulung von Beschäftigten zur Verschwiegenheit und zum Datenschutz, den Umgang mit Datenlecks, die ergriffenen Sicherheitsmaßnahmen im Betrieb, die Verträge über Auftragsdatenverarbeitung, die Einwilligungserklärungen und eventuelle Datenschutz-Folgenabschätzungen festgehalten werden. Das Verzeichnis kann nicht nur in schriftlicher, sondern auch in elektronischer Form geführt werden und muss auf Anfrage der Aufsichtsbehörde ihr zur Verfügung gestellt werden.
Neben dem enormen Aufwand, den die DS-GVO verursacht, besteht unter den Datenschutz-Experten bei der Interpretation und konkreten Umsetzung der Normen in einigen Teilbereichen aber auch noch Uneinigkeit. So lässt die neue Datenschutz-Grundverordnung beispielsweise an verschiedenen Stellen Raum für nationale Regelungen, etwa bei den Bestimmungen, wann Unternehmen einen Datenschutzbeauftragten bestellen müssen.
Nach den weitgefassten Voraussetzungen für die Benennung eines Datenschutzbeauftragten müssen Apotheken unabhängig von der Anzahl ihrer Beschäftigten einen Datenschutzbeauftragten bestellen. Ob es Ausnahmen von der Aufhebung der Beschäftigtengrenze geben wird, ist noch unklar. Die Formulierung im Erwägungsgrund 91 der DSGVO lässt durchaus Raum für Interpretationen. Denn dort steht, dass die Aufhebung nicht gelten soll, wenn es sich bei der datenverarbeitenden Stelle um einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufes handelt. Auch wenn es dort nicht explizit steht, dürfte mit „sonstigen Angehörigen eines Gesundheitsberufes“ der Apotheker gemeint sein und was konkret mit „einzeln“ gemeint ist, bleibt ebenfalls offen.