Diskretion für Apotheken-Daten Franziska Gerhardt, 21.04.2014 09:05 Uhr
Er hat die Aufsicht über private Informationen: Jens Gürtler ist der bestellte Datenschutzbeauftragte in der Stadt-Apotheke in Walsrode. Die nötigen Fachkenntnisse hat er in einem Seminar erworben. Datenschützer wie ihn muss es laut Bundesdatenschutzgesetz (BDSG) seit 2004 in allen Betrieben geben, in denen mehr als neun Personen mit der automatisierten Bearbeitung personenbezogener Daten beschäftigt sind. Inhaber mit weniger Mitarbeitern brauchen keinen eigenen Datenschützer,
müssen aber trotzdem darauf achten, dass die gesetzlichen Bestimmungen
zum Datenschutz in ihrer Apotheke eingehalten werden.
In der Praxis hat sich die Tätigkeit als Datenschützer bei Gürtler gut eingespielt. „Am Anfang muss man sich einarbeiten – aber wenn es einmal läuft, dann geht es“, erzählt er. Zu Beginn musste er ein Verzeichnis erstellen, in dem genau aufgeführt wird, welche Daten in der Apotheke erhoben werden und was mit welchen Informationen passiert. Später im laufenden Betrieb wird dieses Verzeichnis dann nur noch aktualisiert.
Gürtler ist auch dafür verantwortlich, dass beim Erstellen einer Rechnung vorher die Einwilligung des Kunden eingeholt wird. Diese Erlaubnis wird einmalig erteilt und kann jederzeit widerrufen werden.
Auch beim Ausstellen einer Kundenkarte muss eine Genehmigung zum Speichern der personenbezogenen Daten vorliegen. Das sind zum Beispiel Adresse, Geburtsdatum, Krankenkassenzugehörigkeit und Angaben über abgegebene Arzneimittel. Gürtler führt auch die BTM-Dateien in der Stadt-Apotheke.
Bei Daten auf Rezepten kommt es darauf an, wohin sie verschickt werden: Gehen sie zur Abrechnung an das Rechenzentrum, dürfen die Daten unverändert bleiben. Gehen sie aber an Genehmigungszentren, die die Lieferverträge zwischen Krankenkassen und Apotheken prüfen, müssen sie anonymisiert werden: Der Patientenname darf dann nicht mehr auftauchen, nur noch Versichertennummer und Geburtsdatum.
Werden Produkte direkt beim Hersteller bestellt, muss vorher die Erlaubnis des Patienten eingeholt werden. Das betrifft zu Beispiel individuell hergestellte Allergiepräparate.
Als Datenschutzbeauftragter muss Gürtler nach den Bestimmungen des BDSG über die Einhaltung der Vorschriften zum Datenschutz wachen. Er ist dafür verantwortlich, dass Datenverarbeitungsprogramme, wie zum Beispiel ein EDV-gestütztes Kassensystem, ordnungsgemäß benutzt werden, und muss seine Kollegen mit den Datenschutzvorschriften vertraut machen. Verstößt jemand tatsächlich gegen die Regeln oder weigert sich, diese einzuhalten, muss Gürtler ihn im Ernstfall melden.
Bei Konflikten oder anderen Fragen kann sich der Datenschutzbeauftragte an die zuständige Datenschutzaufsichtsbehörde wenden. In rechtlichen Angelegenheiten können oft auch die Justiziare der Apothekerkammern helfen.
Kompliziert sei seine Aufgabe nicht, sagt Gürtler. Aber notwendig: Denn bestellt ein Apothekenleiter keinen Datenschutzbeauftragten, kann das als Ordnungswidrigkeit mit einer Geldstrafe von bis zu 25.000 Euro bestraft werden. Und ist der Datenschutzbeauftragte nicht fachkundig, gilt er rechtlich als nicht bestellt.
Bei Verletzungen des BDSG kann es sogar noch teurer werden: Wer Betroffene im Falle der Verletzung des Datenschutzes nicht ausreichend oder nicht rechtzeitig informiert, kann laut BDSG mit einer Geldbuße von bis zu 50.000 Euro bestraft werden. Erhebt oder verarbeitet jemand personenbezogene Daten unbefugt, droht ihm sogar eine Geldbuße von bis zu 300.000 Euro.