Keyvisual

EU-Datenschutz-Grundverordnung: Neue Regelungen im Umgang mit Kundendaten

Die neue EU-Datenschutz-Grundverordnung hat große Auswirkungen auf den Umgang mit Kundendaten. Ab dem 25. Mai müssen Apotheken die Einwilligung der Kunden zur Nutzung ihrer Daten nachweisen können. Eine zweckbezogene Nutzung, die Datensicherheit sowie eine endgültige Löschung der Daten auf Wunsch des Kunden, müssen zusätzlich gewährleistet sein. Darüber hinaus muss der Apotheker auch belegen können, dass er selbst und seine Dienstleister datenschutzkonform arbeiten. Ein großer Teil der Apotheken muss künftig einen Datenschutzbeauftragten benennen und der Aufsichtsbehörde melden. Als zusätzlichen Anreiz die teilweise schon seit Jahren geltenden Regelungen im Datenschutzrecht ernster zu nehmen, werden nun die zu erwartenden Bußgelder deutlich erhöht: bis 20.000.000€ oder bis zu 4% des Jahresumsatzes können bei einem groben Verstoß gegen den Datenschutz künftig erhoben werden.

Hier finden Sie einen Überblick der neuen Regelungen. Zudem wird verdeutlicht, an welcher Stelle die LAUER-FISCHER Software Apotheken in der Umsetzung im Alltag unterstützt. Sämtliche Funktionen stehen spätestens mit dem Software-Update im Mai 2018 allen Kunden zur Verfügung.

Einwilligungserklärung

Bei der Datenerhebung, also beispielsweise, wenn ein neuer Kunde in der Kundendatei angelegt wird, muss der Apotheker künftig die Einwilligung des Betroffenen nachweisen können. In der LAUER-FISCHER Software ist daher eine Einwilligungserklärung hinterlegt, die standardmäßig aufgerufen wird und zum Ausdruck bereitsteht, sobald ein neuer Kunde angelegt wird. Diese kann, bei Bedarf, auch individuell an die Anforderungen der Apotheke angepasst werden.

"Für eine problemlose Umstellung auf das neue Datenschutzrecht sollten auch die bereits eingeholten Einwilligungen überprüft werden", betont Juliane Franze, Referentin Medizinprodukte- und Datenschutzrecht bei der ABDA. "Einwilligungen, die bis zum 25. Mai 2018 erteilt werden und nicht den Anforderungen der DS-GVO entsprechen, sind künftig unwirksam. Es müssen neue, aktualisierte Einwilligungen eingeholt werden, auch wenn dies im täglichen Apothekenbetrieb mühselig ist."

Die Software-Lösung von LAUER-FISCHER: Bei Aufruf eines Kundeneintrags prüft das System, ob eine Einwilligungserklärung vorliegt. Ist das nicht der Fall, wird das Apothekenpersonal automatisch erinnert eine Erklärung einzuholen. Eine Dokumentenvorlage steht in der LAUER-FISCHER Software zur Verfügung.

Datenschutzerklärung

Vor jeder Datenerhebung muss dem Betroffenen zudem eine Datenschutzerklärung zugänglich sein, indem er über seine Rechte und den Umgang mit seinen Daten gemäß Artikel 12ff. DS-GVO informiert wird. "Der Betroffene sollte die Tragweite seiner Einwilligung verstehen", erläutert Juristin Juliane Franze. "Generell sollten daher diese Aspekte in der Datenschutzerklärung näher erklärt werden:

  • die Kategorien der erhobenen Daten (bspw. Adressdaten, aber auch Gesundheitsdaten wie etwa chronische Erkrankungen und Informationen zu Unverträglichkeiten…)
  • Zweck der Datenerhebung (Medikationsmanagement und/oder Werbezwecke)
  • Kontaktdaten des Apothekeninhabers
  • weitere Empfänger der Daten (falls diese beispielsweise im Rahmen eines Filialverbunds weitergegeben werden)
  • die Rechtsgrundlage (z.B. § 300 SGB V zur Abrechnung mit den Gesetzlichen Krankenkassen)
  • Kontaktdaten des Datenschutzbeauftragten, sofern ein solcher bestellt wurde."

Zu einem fairen und transparenten Umgang mit Kundendaten zählt zudem, dass der Betroffene bei einer Einwilligungserklärung über sein Widerrufsrecht mit Wirkung für die Zukunft aufgeklärt wird, sowie über die Kriterien für die Dauer der Speicherung", führt Juliane Franze weiter aus. "Darüber hinaus sollte die Datenschutzerklärung jedem Betroffenen zugänglich zu sein. Es empfiehlt sich, sie gut sichtbar im Verkaufsraum anzubringen und sie auf der Webseite der Apotheke zu veröffentlichen."

Datenauszug auf Nachfrage

Kunden haben prinzipiell das Recht alle personenbezogenen Daten einzusehen. Zudem müssen diese auf Anfrage auch in einem Ausdruck oder in digitaler Form zur Verfügung gestellt werden.

"Die kommende Telematik-Infrastruktur sowie die elektronische Gesundheitskarte, auf der künftig der Medikationsplan hinterlegt werden kann, werden die Portabilität der Daten weiter fördern," erläutert ABDA-Mitarbeiterin Franze.

Die Software-Lösung von LAUER-FISCHER: Es wird eine Funktion bereitgestellt, die einen elektronischen Auszug der Kundendaten auf Knopfdruck ermöglicht.

Recht auf Löschung

Mit dem neuen EU-Datenschutzgesetz wird auch das Recht auf Daten-Löschung gestärkt. Im Apothekenalltag kann beispielsweise ein Kunde verlangen, endgültig aus der Kundendatei genommen zu werden.

Nicht vom Recht auf Löschung betroffen sind jedoch Daten, die für Abrechnungen mit der GKV benötigt werden oder gesetzlichen Dokumentations- und Aufbewahrungspflichten unterliegen. Diese Daten müssen erst am Ende der Aufbewahrungsfristen gelöscht werden.

Die Software-Lösung von LAUER-FISCHER: Neben der Löschfristenbeachtung und einer Sperrfunktion für Datensätze, bietet WINAPO künftig eine erweiterte Löschfunktion. Sie ermöglicht es Daten nicht wiederherstellbar aus dem System zu löschen.

Sicherheitsmanagement

Die Sicherheit der sensiblen Kundendaten hat in der Apotheke einen zentralen Stellenwert. Daher sichert Lauer Fischer die Daten der Apotheke umfangreich ab: Ein Router mit Firewall sorgt für den externen Schutz. Für Server und Arbeitsplätze werden leistungsstarke Virenscanlösungen angeboten. Fernwartungen und andere Datenübertragungen zwischen der Apotheke und LAUER-FISCHER finden in einem gesicherten VPN-Tunnel statt. Der wird auch bei Verbindungen innerhalb des "Connect-Verbundes" genutzt, wenn beispielsweise mehrere Filialen integriert werden. Sollte es dennoch im Apothekenbetrieb zu einem Datenleck kommen, falls beispielsweise ein Datenträger, externe Festplatten oder Kundenlisten verloren gehen, "so muss eine damit einhergehende Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden gemäß § 65 BDSG-neu dem oder der Bundesbeauftragten für Datenschutz gemeldet werden. Bei der Meldung ist zu beachten, dass der Apotheker zugleich dem Berufsgeheimnis unterliegt und somit nicht die konkreten personenbezogenen Daten der Patienten melden darf, sondern sich, soweit möglich, auf die ungefähre Anzahl der betroffenen Personen und die Kategorien der Daten (zum Beispiel Gesundheitsdaten) die betroffen sind, beschränken muss." verdeutlicht Juliane Franze.

Service für LAUER-FISCHER-Kunden: Im Kunden-Center wird der Link zu den Kontaktdaten des Bundesbeauftragen für Datenschutz, sowie ein Verzeichnis der Landesdatenschutzbeauftragten zur Verfügung gestellt. Diese erleichtern im Fall der Fälle die Kontaktaufnahme mit den Behörden zur Meldung eines Zwischenfalls

Auftragsdatenverarbeitung

"Als weiteren wichtigen Punkt auf der To-Do-Liste zur Umstellung auf die DS-GVO sollte sich die Überprüfung aller Verträge über Auftragsdatenverarbeitung finden", betont Juliane Franze. Das betrifft alle Datenverarbeitungsprozesse, die auf einen oder mehrere Dienstleister durch die Apotheke ausgelagert werden. "Zunächst sollte ein schriftlicher oder elektronischer Vertrag zwischen der Apotheke und dem Auftragsverarbeiter beispielsweise dem Rechenzentrum oder dem IT-Dienstleister bestehen. Ein mündlicher Vertragsschluss ist nach Artikel 28 DS-GVO nicht ausreichend. Zudem sollte der Vertrag eine Absprache enthalten, dass eine Beauftragung von Unterauftragsnehmern nur mit schriftlicher Genehmigung des Verantwortlichen erfolgen darf. Daneben sollte die Apotheke vom Auftragsverarbeiter eine schriftliche Zusicherung erhalten, dass dieser den Anforderungen der DS-GVO sowie dem nationalen Recht genügt. Denn der Apothekeninhaber bleibt aus datenschutzrechtlicher Sicht trotz der Verarbeitung durch Dritte Verantwortlicher und hat Kontrollpflichten. Den Kontrollpflichten kann der Apotheker einfach nachkommen, indem er sich Zertifikate und andere Garantien über die Einhaltung des Datenschutzes durch den Auftragsverarbeiters geben lässt. "

Service für LAUER-FISCHER-Kunden: Anfang April wird ein AVV (Auftragsverarbeitungsvertrag) an alle Kunden verschickt, der die relevanten Punkte im Verhältnis zwischen beiden Parteien regelt und den Kunden Rechtssicherheit gibt.

Verarbeitungsverzeichnis und Dokumentationen

Jeder Apothekeninhaber muss auch weiterhin die Einhaltung des Datenschutzrechts dokumentieren, um sie ggf. gegenüber Aufsichtsbehörden und Betroffenen nachweisen zu können. "Jede Apotheke ist verpflichtet ein Verzeichnis der Verarbeitungstätigkeiten zu führen, welches der bisher zu führenden Verfahrensdokumentation in weiten Teilen ähnelt. Muster für Verarbeitungsverzeichnisse finden sich online bei den Landesdatenschutzbeauftragten oder Gesellschaften und Verbänden für Datenschutz", erklärt ABDA-Mitarbeiterin Franze.

"Im Verarbeitungsverzeichnis selbst, sollten auch gleich die Rechtsgrundlagen für die Verarbeitungsprozesse in der Apotheke notiert werden. Es kommen entweder gesetzliche Rechtsgrundlagen wie § 300 SGB V zur Abrechnung mit der GKV, ein Vertrag oder eine Einwilligung in Betracht. Weiterhin empfiehlt sich eine Dokumentation über die Belehrung und Schulung von Beschäftigen zur Verschwiegenheit und zum Datenschutz, den Umgang mit Datenlecks, die ergriffenen Sicherheitsmaßnahmen, die Verträge über Auftragsdatenverarbeitung, die Einwilligungserklärungen und eventuelle Datenschutz-Folgenabschätzungen zu dokumentieren."

Die Software-Lösung von LAUER-FISCHER: Personenbezogene Nachweise, wie etwa Unterweisungsformulare der Mitarbeiter können in der Personenverwaltung von WINAPO bei der jeweiligen Person abgelegt werden.

Datenschutzbeauftragter

Sobald mindestens 10 Mitarbeiter im laufenden Betrieb mit der automatischen Verarbeitung von personenbezogenen Daten beschäftigt sind, muss künftig ein Datenschutzbeauftragter benannt werden. Zur automatischen Verarbeitung zählen zum Beispiel Rezeptabrechnungen oder die Zahlungen mit EC- und Kreditkarten oder das Anlegen und Pflegen von digitalen Kundenkarten. Die Anzahl der Mitarbeiter gilt unabhängig davon, ob es sich um fest Angestellte, Teilzeitkräfte oder Azubis handelt. Der Apothekeninhaber muss sich bei der Berechnung selbst nicht mitzählen. Bei Filialstrukturen zählt die Gesamtzahl der Mitarbeiter aller Filialen, wobei für Haupt- und Filialapotheken ein gemeinsamer Datenschutzbeauftragter benannt werden kann. „Bei Apotheken mit weniger als 10 Mitarbeitern ist eine Pflicht zur Bestellung rechtlich noch umstritten. Fest steht jedoch schon jetzt, dass Apotheken, die eine Videoüberwachung im öffentlich zugänglichen Raum ihrer Apotheke haben, einen Datenschutzbeauftragte benennen müssen“, erklärt ABDA-Mitarbeiterin Franze.

"Neu ist zudem, dass die Apotheke den Datenschutzbeauftragten ab dem 25. Mai 2018 der zuständigen Aufsichtsbehörde beziehungsweise ihrem jeweiligen Landesdatenschutzbeauftragten melden muss", führt Franze aus.

Service für LAUER-FISCHER-Kunden: Ein Verzeichnis der Landesdatenschutzbeauftragten wird im Kunden-Center zur Verfügung gestellt.