DS-GVO

Die Tipps der Datenschützer

, Uhr
Berlin -

Entscheidend bei der Umsetzung der Datenschutz-Grundverordnung (DS-GVO) zum 25. Mai wird das Vorgehen der Datenschützer. Das Unabhängige Landeszentrum für Datenschutz Schlesig-Holstein (ULD) hat einen speziellen Leitfaden für Apotheker und Ärzte veröffentlicht, was diese künftig – und teilweise schon heute – beim Thema Datenschutz befolgen müssen.

Ergänzend zur europäischen DS-GVO finden sich für Heilberufler einzelne Konkretisierungen im neuen Teil 2 des Bundesdatenschutzgesetzes (BDSG), das am gleichen Tag in Kraft tritt. Das ULD veröffentlicht auf seiner Website die wichtigsten Anforderungen der DS-GVO und des BDSG für selbständige Heilberufler und verweist auf bereits vorhandene Informationsquellen, insbesondere die „Kurzpapiere“, die die Konferenz der Datenschutzbeauftragten des Bundes und der Länder zu wichtigen Themen und Begriffen des neuen Rechts gemeinsam entwickelt hat.

Ein wichtiger Punkt: Die DS-GVO erlaubt die Verarbeitung von personenbezogenen Daten nur, wenn dafür eine Rechtsgrundlage zur Verfügung steht. Im Fall einer Apotheke (oder Arztpraxis) ist die Rechtsgrundlage laut ULD in der Regel der Vertrag, der mit dem Patienten geschlossen wird. Die zur Begründung, Durchführung und Beendigung des Vertrags notwendigen Daten dürfen verarbeitet werden. Dazu gehören in der Arztpraxis etwa Name, Anschrift und Versicherungsnummer sowie die ärztliche Dokumentation von Anamnese und Behandlung, Arztbriefen und Laborberichten.

Kunden und Patienten müssen über bestimmte Umstände bei der Verarbeitung ihrer Daten informiert werden. Das soll die Transparenz bei der Verarbeitung personenbezogener Daten fördern. Nur wenn jemand weiß, dass Daten über ihn verarbeitet wurden, kann er seine Rechte wahrnehmen. Speziell für Arztpraxen – für Apotheken gilt das analog – veröffentlicht das ULD die Informationen, die einem Patienten gegeben werden müssen:

  • Namen und Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden
  • die Rechtsgrundlage für diese Verarbeitung
  • gegebenenfalls die Empfänger der personenbezogenen Daten
  • die Dauer, für die die personenbezogenen Daten gespeichert werden
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten
  • das Bestehen eines Rechts auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
  • das Bestehen eines Rechts, Einwilligungen jederzeit für die Zukunft zu widerrufen
  • das Bestehen eines Beschwerderechts bei der Datenschutzaufsichtsbehörde
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist

Werden die Daten nicht direkt beim den Betroffenen, sondern bei Dritten erhoben, so muss laut ULD zusätzlich mitgeteilt werden um welche Kategorien von Daten es sich handelt und aus welchen Quellen diese Daten stammen. Diese Informationen müssten den Patienten im zeitlichen Zusammenhang mit der Erhebung der Daten zur Verfügung gestellt werden – am einfachsten mit einem Flyer oder Handzettel.

Die DS-GVO verlangt außerdem ein „Verzeichnis der Verarbeitungstätigkeiten“. Hier müssen auch solche Verarbeitungstätigkeiten aufgenommen werden, die nur teilweise automatisiert oder sogar gänzlich manuell durchgeführt werden. Das ULD will noch vor Inkrafttreten der DS-GVO ein Muster für die Beschreibung einer Verarbeitungstätigkeit bereitstellen.

Wie schon bisher sind auch die allgemeinen Pflichten aus dem Datenschutzrecht zu beachten. Dazu gehört vor allem:

  • Beschränkung der Datenverarbeitung auf das erforderliche Maß
  • fristgerechte Löschung von Daten (Aufbewahrungsfirsten!)
  • Einhaltung von technisch-organisatorischen Maßnahmen, um Zugriff Unbefugter zu verhindern
  • Auskunft über die zur Person verarbeiteten Daten
  • Abschluss von Verträgen mit Stellen, die Daten im Auftrag verarbeiten (zum Beispiel IT-Dienstleister)
  • Meldung von Datenschutzvorfällen an die Datenschutz-Aufsichtsbehörde und gegebenenfalls Benachrichtigung der Betroffenen.
Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Mehr aus Ressort
Genehmigung und Preisberechnung
Kein Kontrahierungszwang für Diätetika
„Wir verhalten uns juristisch richtig“
Rezeptur-Retax: Kassen fordern tausende Euro

APOTHEKE ADHOC Debatte