Datenschutz im Gesundheitswesen ist schon immer eine besondere Herausforderung. Dort besteht sowieso seit jeher ein hohes Maß an Verschwiegenheit. Das gilt insbesondere für Apotheken. Sie müssen deutlich höhere Datenschutzanforderungen erfüllen als beispielsweise Einzelhändler oder Handwerksbetriebe. Angaben über Medikamentenkonsum sowie verschreibungspflichtige Rezepte gehören zur besonderen Kategorie personenbezogener Daten. Vor allem auch in stationären Apotheken müssen Vorgaben wie Diskretionsabstand, Umgang mit Faxberichten oder Sichtfelder auf PC-Bildschirmen, spezielle Botendienste sowie Arbeitsanweisungen genutzt bzw. eingehalten werden.
Darauf sollten Apotheken unbedingt achten
Im Rahmen der Betreuung von Kunden ist darauf zu achten,
dass keine Unterlagen offen einsehbar sind und Dritte beispielsweise Rezepte
mit Namen, Adressdaten und verordnetem Medikament einsehen könnten. Neben den
schriftlichen Unterlagen muss auch das persönliche Beratungsgespräch diskret
erfolgen. Im Sinne des Datenschutzes müssen gesonderte Bereiche in der Apotheke
zur Verfügung stehen, die beispielsweise ein Beratungsgespräch unter vier Augen
zulassen, ohne dass Dritte davon Kenntnis erlangen können.
Apotheken sind oft Ziel von Diebstählen. Um dem vorzubeugen,
wird vielerorts eine Videoüberwachung eingesetzt. Bei Apotheken müssen dabei
einige Dinge beachtet werden. Zunächst muss der Kunde mit der korrekten
Beschilderung darauf hingewiesen werden. Außerdem darf auch auf dem Video weder
das Rezept noch die Übergabe der Medikamente zu sehen sein. Ansonsten können
dadurch Rückschlüsse auf die gesundheitliche Situation des Kunden geschlossen
werden, was wiederum nicht erlaubt ist.
Datenschutz als Schulungsthema für alle Mitarbeiter
Datenschutz genießt in der EU eine sehr hohe Priorität und
hat mit Art. 8 „Schutz personenbezogener Daten“ sogar Eingang in die
EU-Grundrechte-Charta gefunden. Neben dieser datenschutzrechtlichen Sichtweise
ist für Berufe im Gesundheitswesen § 203 StGB relevant, da ein Verstoß gegen
diese Norm einen Straftatbestand darstellt und entsprechend verfolgt wird. In
der DSGVO fallen Gesundheitsdaten außerdem in die Kategorie der besonders
schutzwürdigen Daten. Ein sorgfältiger Umgang mit personenbezogenen Daten dient
also einerseits dem Schutzbedürfnis des Kunden, schützt jedoch anderseits auch
davor, selbst strafrechtlich belangt zu werden. Daher ist es wichtig, alle
Mitarbeiter für das Thema zu sensibilisieren und zu schulen. Das sollte im
eigenen Interesse des Apothekers liegen, denn neben dem Anspruch, mit den Daten
seiner Kunden verantwortungsvoll umzugehen, ist er bei Datenschutzverstößen
haftbar. Das gilt auch, wenn einer seiner Mitarbeiter gegen die DSGVO verstößt.
Eine Mitarbeiterschulung vorzubereiten und durchzuführen, gehört zu den
Aufgaben eines Datenschutzbeauftragten.
Datenschutzbeauftragte für Apotheken
Apotheken gelten nicht per se als umfangreiche Datenverarbeiter nach Art. 37 Abs. 1 c DSGVO, auch wenn sie besondere Kategorien personenbezogener Daten verarbeiten. Daher gilt für sie die 9-Personen-Grenze. Das heißt, sie müssen einen DSB benennen, wenn sie mehr als neun Mitarbeiter beschäftigen. Dazu zählen auch Teilzeitkräfte und Aushilfen. Besitzt eine Apotheke mehrere Filialen, werden die Mitarbeiter zusammengezählt.
Wird in einer Apotheke ein DSB benannt, müssen seine Kontaktdaten in einem Aushang, im Internet in der Datenschutzerklärung, auf Kundenkartenanträgen und in sonstigen Patienteninformationen (nach Art. 13, 14 DSGVO) veröffentlicht werden. Überdies muss der DSB gegenüber der Behörde offiziell gemeldet werden.
Betreuung durch einen Datenschutzbeauftragten (DSB) vor Ort
Die Qualität der Betreuung eines DSB bemisst sich nicht an
der Häufigkeit von Besuchen vor Ort. Sofern es das Mandat erforderlich macht,
können nach der Auditphase im Rahmen der sich anschließenden Umsetzungsphase
Begehungen im Einzelfall sinnvoll sein. In der Regel ist es aber möglich, eine
effektive Betreuung unabhängig von Vor-Ort-Besuchen durch die Aufbereitung
relevanter Unterlagen, Dokumente und Schulungen sowie Telefonate zu
gewährleisten.
Unklarheiten bei der Verschreibung
Der Datenschutz der Berufsordnungen Ärzte und Apotheker verpflichtet zur Verschwiegenheit, während §17 Abs. 5 Satz 2 ApBetrO fordert, Unklarheiten auszuräumen, bevor ein Medikament abgegeben wird. Diese gesetzliche Verpflichtung rechtfertigt nach Art. 6 DSGVO eine Kontaktaufnahme mit dem Arzt.
