• {{label}}

Ab dem 25. Mai 2018 gilt die Datenschutz- Grundverordnung (DSGVO)!

Fünf Dinge im Apotheken- und Praxisalltag, die sich mit der Datenschutz-Grundverordnung (DSGVO) verändern werden! 

Im Mai 2018 löst die Datenschutz-Grundverordnung (DSGVO) das Bundesdatenschutzgesetz (BDSG) ab. Als Verordnung wirken die neuen Datenschutzregelungen direkt und müssen nicht wie Richtlinien in das nationale Gesetz umgesetzt werden.

Die neuen Datenschutzregelungen führen auch bei Apotheken, Arzt- und Zahnarztpraxen zu einschneidenden Änderungen in Arbeitsabläufen. Wir stellen die TOP-5-Änderungen im Folgenden kurz vor.

TOP 1: Hohe Anforderungen an die Informationssicherheit 
In Artikel 32 DS-GVO verlangt der europäische Gesetzgeber auch von Apotheken und Praxen den Betrieb eines »Informationssicherheits-Managementsystems«. Ein solches System ist relativ aufwändig in der Erstellung und dem Betrieb. Erleichterungen für kleine und mittlere Unternehmen (KMU) sind nicht vorgesehen.
Die Notwendigkeit und Umsetzungsintensität von Maßnahmen der Informationssicherheit müssen am Risiko für die Rechte und Freiheiten des Betroffenen ausgerichtet werden. Der Gesetzgeber verlangt von Apotheken und Praxen also auch den Betrieb eines Risikomanagementsystems.

TOP 2: Schnelle Meldungen bei Verlust von personenbezogenen Daten
Eine Weisheit unter Informationssicherheitsexperten ist: »Es ist nicht die Frage ob, sondern wann Daten verloren gehen.«
Die Grenzen zur Meldung des Verlusts von personenbezogenen Daten werden wesentlich herabgesetzt. Dies wird dazu führen, dass der Umfang von meldepflichtigen Datenpannen erheblich steigen wird. Datenpannen sind dann innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden, der zu meldende Informationsmindestumfang ist klar definiert.

TOP 3: Pflicht zur Meldung des Datenschutzbeauftragten (DSB) der Apotheke und der Praxis
Nach heutigem Wissensstand wird die Grenze zur Bestellung eines DSBs nach den heute geltenden Größenregeln bestimmt, das heißt mehr als neun mit der Datenverarbeitung beschäftigten Personen. In der Praxis wird jedoch der Bestellpflicht häufig nicht nachgekommen. Dies erklärt sich beispielsweise aus Unkenntnis der Regelung.

In der DS-GVO reguliert der Gesetzgeber, zusätzlich zur Bestellpflicht eines DSBs auch eine Pflicht zur Meldung der bestellten Person gegenüber der zuständigen Aufsichtsbehörde.

TOP 4: Neue Verträge mit Zulieferern
Das BDSG schreibt bei der Beauftragung von Subunternehmern vor, dass Verträge zur Auftragsdatenverarbeitung (ADV) geschlossen werden müssen. In diesen Verträgen muss dem Dienstleister auch ein angemessenes Informations­sicherheitsniveau vorgeschrieben werden. Die Einhaltung der Verträge zur ADV muss durch den Auftraggeber regelmäßig überprüft werden.
Aufgrund des immens gestiegenen Haftungs- und Bußgeldrisikos sind alle Verträge zur Auftragsdatenverarbeitung neu zu bewerten.

TOP 5: Verhaltensregeln und Zertifizierungen
Für Apotheken, Arzt und Zahnarztpraxen gibt es zwei Möglichkeiten, etwaige Bußgelder im Falle eines Datenschutz-Verstoßes zu mindern: genehmigte Verhaltensregeln umsetzen oder sich regelmäßig Datenschutz-zertifizieren zu lassen. Genehmigte Verhaltensregeln für Apotheken und Praxen sind noch nicht beschlossen, aber Zertifizierer arbeiten bereits an konkreten Zertifizierungskonzepten. Die Konzepte zur Risikominimierung sollten Apotheken, Arzt- und Zahnarztpraxen unbedingt im Blick behalten. 

Fazit
Der europäische Gesetzgeber macht mit dem Datenschutz ernst: Bußgeldgrenzen werden auf existenzbedrohliche Höhen gesetzt: zehn bis zwanzig Millionen Euro oder zwei bis vier Prozent des weltweiten Jahreskonzernumsatzes. Zusätzlich wird das Personal der zuständigen Aufsichtsbehörden aufgestockt, um zum Beispiel dem erhöhten Prüfungsbedarf nachkommen zu können.

Allen Apotheken und Praxen kann nur geraten werden, sich schon jetzt mit den neuen Anforderungen der DSGVO auseinanderzusetzen, mögliche Umsetzungen der Datenschutz- Anforderungen zu prüfen und sich bereits jetzt Kapazitäten bei seriösen Anbietern von Datenschutz-Dienstleistungen zu sichern.

Neun Punkte, die jede Apotheke, Arzt und Zahnarztpraxis angehen soll, umgehend!
Um Apotheken und Praxen den Einstieg in den kommenden Datenschutz-Regelungsdschungel zu erleichtern, schlagen wir die folgenden zehn Schritte vor, um die DSGVO in der eigenen Apotheke umzusetzen.

  1. Sensibilisierung der Apotheken-/Praxis-Leitung
    Im ersten Schritt sollte sich die Leitung über den Umfang und auch von der Wichtigkeit des Projektes (DSGVO-Compliance) überzeugen und sich mit den neuen Regeln vertraut machen.
  2. Datenschutzbeauftragten bestellen, wenn gesetzlich vorgeschrieben
    Sofern die Apotheke beziehungsweise Arzt- oder Zahnarztpraxis zur Benennung eines Datenschutz­beauftragten gesetzlich ver­pflichtet ist, sollte sie dem auch nachkommen. Der Datenschutzbeauftragte ist der Berater der Leitung. Ihm kommt eine besondere Rolle bei der Beurteilung der Angemessenheit des Datenschutz-Managementsystems der Apotheke beziehungsweise Praxis zu. Seine Benennung oder Abberufung ist ab dem 25. Mai 2018 der zuständigen Aufsichtsbehörde zu melden.
  3. Identifikation der personenbezogenen Daten in der Apotheke oder Praxis
    Apotheken, Arzt- und Zahnarztpraxen müssen identifizieren und dokumentieren, welche personenbezogenen Daten sie von welchen Betroffenen haben, von wem die personenbezogenen Daten stammen und an wen die personenbezogenen Daten weitergegeben werden (»Verzeichnis der Verarbeitungstätigkeiten«).
  4. Rechtsgrundlagen
    Für alle Verarbeitungstätigkeiten in einer Apotheke beziehungsweise Praxis müssen die rechtlichen Erlaubnisnormen identifiziert und dokumentiert sein. Die Dokumentation erfolgt standardmäßig im Verzeichnis der Verarbeitungstätigkeiten.
  5. Informationssicherheit bei der Verarbeitung personen­bezogener Daten
    Die Apotheke oder Arzt-/Zahnarztpraxis muss die Informationssicherheitsmaßnahmen, die sie ergreift an den Risiken für die Freiheiten und Rechte der Betroffenen ausrichten. Der Maßstab im Datenschutz ist dabei also nicht der Schaden, den bei einem Datenschutzvorfall die Apotheke oder Praxis erleidet, der Maßstab ist die physische oder monetäre Auswirkung auf den oder die Betroffenen.
  6. Datenlecks
    Apotheken, Arzt- und Zahnarztpraxen müssen über Verfahren verfügen, um Datenlecks zeitnah erkennen zu können. Datenlecks müssen dann umgehend behandelt werden und bei Verlust personenbezogener Daten der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden. Gehen personenbezogene Daten verloren, die ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellen, dann müssen auch die Betroffenen über dieses Datenleck informiert werden. Aber Achtung: Berufsgeheimnisträger müssen auch bei Datenlecks das Berufsgeheimnis beachten und einhalten.
  7. Betroffenenrechte
    Apotheken und Praxen müssen Verfahren zur Sicherstellung der Betroffenenrechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung und Datenportabilität erarbeiten und umsetzen.
    Das Berufsrecht stellt den Berufsgeheimnisträger vor besondere Herausforderungen, da die Regelungen des Berufsrechts neben dem Datenschutzrecht auf jeden Fall einzuhalten sind.
  8. Datenschutz-Erklärungen
    Bei der Erhebung personen­bezogener Daten müssen auch Apotheken und Arzt-/Zahnarztpraxen die neuen Transparenzvorschriften der DSGVO einhalten und überdies die Einhaltung auch nachweisen können. Apotheken sollten die Fälle identifizieren, in denen sie die Transparenzvorschriften umsetzen müssen und entsprechende Hinweise entwerfen und eventuell auch juristisch prüfen lassen.
  9. Einwilligungen
    Apotheken und Arzt- beziehungsweise Zahnarztpraxen müssen identifizieren, in welchen Fällen sie von den Betroffenen Einwilligungen einholen müssen. In diesen Fällen müssen sie datenschutzkonforme Einwilligungen formulieren, einholen und archivieren.

Seminar
Mehr Informationen über das Thema Datenschutz in der Apotheke erfahren Sie auch in dem dazugehörigen Seminar »Datenschutz in Apotheken und Arztpraxen« am 15. Novem­ber 2017 von 16.00 bis 18.00 Uhr in Hannover. Referent des Seminars ist ebenfalls Herr Stephan Rehfeld.  Sie können sich für das Seminar direkt hier auf unserer Webseite anmelden.

Der Autor
Herr Diplom-Ökonom Stephan Rehfeld ist seit 2004 in vielen Organisationen als externer Datenschutzbeauftragter bestellt. Des Weiteren arbeitet er im DIN e.V. an den internationalen Datenschutznormen mit und ist bei Entscheidungen über diese Normen voll stimmberechtigt. Außerdem ist er Datenschutz-Auditor der DQS GmbH und Autor von vielen Veröffentlichungen und Büchern.

21.09.2017

Standorte

Sie möchten direkten Kontakt zu einer unser über 30 Niederlassungen aufnehmen?

Niederlassung finden

Treuhand-Newsletter

Sie möchten über die aktuellsten Beiträge in unserem Magazin und weitere Neuigkeiten informiert werden?

 

Newsletter-Anmeldung

Zum Seitenanfang
Diese Webseite verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Mit Ihrem Besuch auf www.treuhand-hannover.de stimmen Sie der Verwendung von Cookies zu.