Fakten zur neuen EU Datenschutzverordnung - was Apotheken wissen sollten


Die europäische Datenschutzgrundverordnung oder EU-DSGVO regelt in der Europäischen Union den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Sie wurde am 25. Mai 2016 beschlossen und tritt am 25. Mai 2018 in Kraft.  Das ist schon ganz bald, daher sollte jede Apotheke bzw. Apothekenleitung wissen, was auf sie zukommt und wie man sich rechtzeitig darauf vorbereitet.

Tipps zur neuen EU Datenschutzverordnung

Die folgenden Punkte sind ein Auszug der Inhalte - von uns für Sie aufbereitet - die relevant und interessant für das Geschäft sein können [Download Infografik]:

#1 Inkrafttreten & Übergangsfristen

Viele Unternehmen sind dabei, sich vorzubereiten, doch rechtmäßig in Kraft tritt die neue EU-DSGVO am 25. Mai dieses Jahres, mit dem Ziel einer EU-weiten Harmonisierung des Datenschutzes in EU Ländern. Eine Übergangsfrist ist nicht vorgesehen. Für Unternehmen, die digitale Daten verarbeiten oder verarbeiten lassen, läufst deswegen die Zeit: Bis zu diesem Datum gilt es, Vorgänge in Einklang mit der neuen Verordnung zu bringen, denn wer dies bis zum o.g. Datum nicht schafft, könnte Ärger bekommen, und zwar zeitnah. Denn Verstöße gegen den Datenschutz gelten in Deutschland als Wettbewerbsverstoß, und so könnten Abmahner leider bereits ein großes Geschäft wittern. Umso wichtiger ist das proaktive Handeln.


#2 Relevanz für Apotheken

Die EU-DSGVO ist besonders relevant für Apotheken, weil sich zum einen zwangsläufig viele Mitarbeiter in der Apotheke mit persönlichen Daten beschäftigen (im Durchschnitt beschäftigt eine (Filial)Apotheke schon acht Personen mit Zugriff auf persönlichen Daten), und zum anderen weil Gesundheitsdaten per Definition „sensible“ Daten sind, und daher einen noch stärkeren Schutz genießen. Die Strafe auf Verstoß gegen das neue Gesetz ist sehr streng: die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten (weltweit) erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. 
 

#3 Grundlagen

Die Grundlage des Datenschutzes ist das Persönlichkeitsrecht, Art. 1 DSGVO. Das Datenschutzrecht schützt also nicht so sehr die Daten, sondern die betroffenen Personen.
Die Verarbeitung personenbezogener Daten ist gemäß Art. 6 DSGVO grundsätzlich verboten, und nur ausnahmsweise und mit Erlaubnis zulässig.
 

#4 Datenschutzerklärung

Zunächst sollte bei jeder Erhebung und Verarbeitung personenbezogener Daten dem Kunden eine Datenschutzerklärung (DSE) gemäß Art. 12 DSGVO vorliegen. Die DSE klärt den Kunden auf, welche Daten wofür genutzt werden, damit er die Konsequenzen der Abgabe seiner Daten besser versteht. Eine umfassende DSE berücksichtigt deswegen folgende Punkte:

Welche Daten und welche Art von Daten (personenbezogene Daten, Gesundheitsdaten) erhoben werden

Wofür die Daten erhoben werden (konkreter Zweck der Aktion)

Weshalb es berechtigt ist, die Daten abzufragen und auf welcher Rechtsgrundlage beruht dies (liegt z.B. eine Einwilligung vor, oder handelt es sich um eine Vertragsabwicklung oder geht es um die Abrechnung mit den Gesetzlichen Krankenkassen).

Wer die Daten erhebt (Kontaktdaten der Apotheken-Inhaber und eventuell seinen Datenschutzbeauftragten) und wer die Daten noch verarbeitet (Rechenzentrum oder sonstige Dritte)
 

#5 Einwilligungserklärung

Laut Art. 6 DSGVO ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere festgelegte Zwecke abgegeben hat. Es ist deshalb sehr wichtig, dass eine ordentliche Einwilligungserklärung (EE) vorliegt.

Als wichtigste Voraussetzungen für eine EE gilt, dass diese:

freiwillig abgegeben wird. Es darf keine Abhängigkeit zwischen derjenigen Person, die seine Daten abgibt und demjenigen, der die Daten erhebt, bestehen (z.B.: wenn Personal gefragt wird, persönliche Daten abzugeben, ist die Freiwilligkeit zweifelhaft).  Auch ist es verboten, die Einwilligung zum Beispiel in Verbindung mit einer Aktion einzuholen, bei welcher Kunden eine Gratis-Probe anfordern können (Kopplungsverbot).

unmissverständlich formuliert ist. Dem Kunden muss klar sein, welche Daten er für welchen Zweck abgibt, ob seine Daten von Dritten verarbeitet werden, wo und wie lange seine Daten gespeichert werden.

nachweisbar ist. Dies bedeutet in der Regel, dass die Einwilligung schriftlich abgeben wird und diese ordentlich dokumentiert wird. Eine Einwilligung auf elektronischem Wege ist auch möglich, wichtig dabei ist aber, dass eine aktive Handlung des Nutzers durch ein sog. Opt-In Verfahren abverlangt wird.

widerrufbar ist.  Der Kunden sollte bei der Einwilligung aufgeklärt werden über die Möglichkeit, diese zu widerrufen, und im Allgemeinen soll der Widerruf genauso einfach angeboten werden wie auch die Einwilligung selbst.

#6 Verbot auf Datenwucher

Wenn man einen Kunden überzeugt hat, dass er ein Formular ausfüllt und seine Einwilligung abgibt, ist es immer verlockend, direkt etwas mehr abzufragen, als eigentlich für den Zweck des Formulars notwendig wäre. Wenn man zum Beispiel ein Gewinnspiel durchführt, und Kunden direkt im selben Zuge auch ihre Geburtsdaten ausfüllen lässt, obwohl dies für das Gewinnspiel nicht relevant ist. Das ist ab Mai unzulässig, außer man erklärt den Kunden direkt, was man mit der Information des Geburtsdatums machen möchte (z.B. ein Geburtstagsmailing).

#7 Datenverarbeitung

Unter Datenverarbeitung wird laut Art. 4 DSGVO jeder Umgang mit Daten, von der Erhebung über die Nutzung und Speicherung bis hin zur Löschung, gemeint. Wenn man Daten durch Dritte verarbeiten lässt (zum Beispiel durch ein EDV-Unternehmen, ein Rechenzentrum oder einen Marketing-Dienstleister), muss man mit dem Dritten einen Auftragsdaten-Verarbeitungsvertrag (ADVV) abschließen. Es gibt dafür ein Standarddokument nach Art. 28 DSGVO, dieses sollte mit den zum konkreten Fall passenden Informationen gefüllt werden.

 
#8 Rechte

Viele der oben genannten datenschutzrechtlichen Maßnahmen sind nicht wirklich neu, und waren unter deutschem Datenschutzrecht oder Telemedienrecht ähnlich geregelt. Neu sind aber die Rechte, die Kunden in Bezug auf den Schutz ihrer persönlichen Daten ausüben können. Gemäß Art. 13 DSGVO hat jeder folgende Rechte:

- Recht auf Information und Auskunft. Dies bedeutet, dass man Kunden auf Anfrage Auskunft erteilen muss, welche Daten genau über ihn bekannt sind. (Hier sollte ein Vorgang bzw. eine Abfrage eingerichtet werden, die dies unkompliziert erlaubt.)   


- Recht auf Berichtigung. Sollte der Kunden sein Recht auf Auskunft ausüben und dabei feststellen, dass die Daten zum Teil nicht stimmen, dann hat er ein Anrecht darauf, dass diese umgehend berichtigt werden.

- Recht auf Löschung und Sperrung. Der Kunden kann nicht nur seine Einwilligung widerrufen und sich für weitere Datensammlung oder Kontaktaufnahme sperren zu lassen, er hat auch die Möglichkeit, eine Forderung zu stellen, dass sämtliche bislang über ihn gespeicherten Daten gelöscht werden.

- Recht auf Datenübertragung. Der Kunde darf verlangen, dass er sein Dossier (Information über gespeicherte Daten) zugeschickt bekommt damit er selbst bestimmen kann, was er mit den gesammelten Daten macht. Vor allem zu diesem Recht werden praktische Beschwerden erwartet, denn wenn es aus guten Gründen (zum Beispiel bei Bezahlungen die mit einer Kundenkarte verbunden sind) recht viele Daten sind, führt diese unter Umständen zu größeren Mengen Papier, die dafür aufgebracht werden müssen.

- Recht zur Beschwerde an den Datenschutzbeauftragten oder an die zuständige Behörde. Dies spricht für sich. - Doch die Frage für Sie ist: Haben Sie einen Datenschutzbeauftragten?

#9 Ein Datenschutzbeauftragter muss sein.
In Art. 37 der EU-DSGVO wird beschrieben, ob und wann ein Datenschutzbeauftragter (DB) bestellt werden soll. In den meisten Apotheken wird dies der Fall sein, denn eine Bestellung ist erforderlich:

- ab 10 mit der Datenverarbeitung befassten Personen;
- bei risikobehafteter Datenverarbeitung (auch z.B. Videoüberwachung).

Jede PTA, PKA und Apotheker befasst sich zwangsläufig mit Datenverarbeitung, und somit werden viele Apotheken allein wegen der Zahl der Beschäftigten schon zu der Bestellung eines DB verpflichtet sein. Dazu kommt aber noch, dass die Definition von "risikobehaftet" noch unklar ist, und wenn Gesundheitsdaten im Allgemeinen dazu zählen würden, wäre jede Apotheke in der Pflicht, einen DB aufzuweisen. Es gibt sämtliche Kanzleien, die einen externen DB als "Service" anbieten, manche spezialisieren sich sogar auf Apotheken. Grundsätzlich könnte der/ die Apotheken-Inhaber(in) sich auch selbst zum DB benennen, in dem er/ sie sich dazu fortbilden lässt. Sehr wichtig und neu: jede Apotheke muss ab dem 25. Mai 2018 ihren Datenschutzbeauftragten unaufgefordert der zuständigen Aufsichtsbehörde bzw. ihrem jeweiligen Landesdatenschutzbeauftragten melden.

#10 Kundenkarte

Datenschutz und die neue EU-DSGVO sind ein wichtiges Thema für die Apotheke. Egal welche Daten Sie über ihren Kunden sammeln, Sie sollten wissen, wie man dies künftig rechtssicher gestaltet. Ein bislang häufig stiefmütterlich behandelter Aspekt ist in diesem Sinne auch die Kundenkarte. Fast alle Apotheken arbeiten mit einer Kundenkarte, damit der Kunde u.a. einwilligt, dass seine Verkaufshistorie gespeichert wird. Die allerwenigsten Apotheken verfügen aber über eine rechtssichere DSE oder EE.



Sie möchten mehr wissen über die Zukunft der Kundenkarte und den damit verbundenen datenschutzrechtliche Aspekten? Dann ist unser e-Vorteilsprogramm – die Weiterentwicklung der Kundenkarte – vielleicht interessant und möchten Sie mehr dazu erfahren?

Schreiben Sie uns gerne eine E-Mail oder rufen Sie uns an, wir erklären Ihnen gern wie Sie zukunftsträchtig arbeiten können. 

HAT IHNEN UNSER BLOG BEITRAG GEFALLEN? - BITTE WÄHLEN:

Interessant           Nicht so spannend


Sie finden das Thema interessant und würden gern über weitere Artikel & News von apopros, und über unsere Angebote & Services auf dem Laufenden gehalten werden? 
Dann melden Sie sich gern zu unserem apopros NEWSLETTER an, in welchem wir regelmäßig das Thema Differenzierung beleuchten und innovative Ideen präsentieren, wie Kunden sich (neu) begeistern lassen.