Interner Datenschutzbeauftragter

Transkript

1 RECHT DER INFORMATIONSTECHNOLOGIEN Interner Datenschutzbeauftragter in der Apotheke von Dominic Baumüller Rechtsanwalt FA für Arbeitsrecht LIEB.Rechtsanwälte, Erlangen Stand: 02/2015

2 2015 Seite 2

3 Inhaltsverzeichnis Datenschutzrecht in der Apotheke... 5 I. Was ist Datenschutz Datenschutz betrifft Personenbezogene Daten Einzelangaben Persönliche oder sachliche Verhältnisse Bestimmte/bestimmbare Personen Natürliche Person Verbot mit Erlaubnisvorbehalt Anonymisieren und Pseudonymisieren Schweigepflicht und Datengeheimnis... 9 II. Warum ist Datenschutz in der Apotheke relevant Die Offizin Räumlichkeiten Handverkaufstische Diskretionszone und Beratungsecke der Offizin Videoüberwachung Die Rezepte Statistiken Dokumentation Auskünfte an nahe Angehörige, oder dergleichen Die Kundenkarte Lieferung per Bote Das Büro IT-Sicherheit Die Internetpräsentation Die Personalabteilung Apotheken und Dritte (Auftragsdatenverarbeitung in der Apotheke) Der Datenschutzbeauftragte Der interne Datenschutzbeauftragte Die Person des Beschäftigten Seite 3

4 5.3. Die erforderliche Fachkunde und Zuverlässigkeit Die Bestellung des Datenschutzbeauftragten Das Verfahrensverzeichnis Internes Verfahrensverzeichnis Öffentliches Verfahrensverzeichnis Rechte des Betroffenen III. Regeln/Gebote des Datenschutzes/Sieben goldene Regeln des Datenschutzes Rechtmäßigkeit Einwilligung Zweckbindung Erforderlichkeit Transparenz Datensicherheit Technische und organisatorische Maßnahmen Pflichten bei unerlaubter Datenweitergabe Datenschutz bei der Datenträgervernichtung Kontrolle / Rechte des Betroffenen Benachrichtigung und Auskunft Berichtigung, Löschung und Sperrung Was passiert bei einer Datenpanne Unrechtmäßige Übermittlung oder Kenntniserlangung in sonstiger Weise Wann muss ich informieren Drohen schwerwiegende Beeinträchtigungen Art und Weise der Information Haftung und Schadensersatz Handlungsempfehlungen Checkliste des Data-Breach-Notification-Verantwortlichen Muster: Mitarbeiterrichtlinie zum Umgang mit Daten Muster: Öffentliches Verfahrensverzeichnis für Jedermann Muster: Verpflichtungserklärung bezügl. des Bundesdatenschutzgesetzes Muster: Benachrichtigung der Betroffenen Muster: Benachrichtigung der Aufsichtsbehörde Muster: Bestellung eines Datenschutzbeauftragten Seite 4

5 Datenschutzrecht in der Apotheke Bei dem Thema Datenschutz handelt es sich um ein sehr umfassendes und weitgefächertes Thema. Das vorliegende Skript soll einen ersten Überblick verschaffen, welche Vorgaben in Apotheken hinsichtlich des Themas Datenschutz einzuhalten sind, in welchen Bereichen es zu Berührungspunkten mit dem Datenschutz kommt und wie man die Mitarbeiter in den Apotheken für das Thema Datenschutz sensibilisieren kann. I. Was ist Datenschutz: Um sich über die Vorschriften mit datenschutzrechtlicher Relevanz zu informieren, müssen sich Apothekenleiter und -mitarbeiter mit verschiedenen gesetzlichen Regelungen auseinandersetzen. Ausgangspunkt für den Datenschutz ist das Grundrecht der informationellen Selbstbestimmung, welches aus der allgemeinen Handlungsfreiheit und der Menschenwürde, Art. 2 Abs. 1 i.v.m. Art. 1 Abs. 1 GG hergeleitet wird. Dieses räumt jedem Menschen das Recht ein, selbst zu bestimmen, welche Informationen über ihn, wann, wo und wie bekannt gegeben werden. Es ist eine Art generelles Verbot, Daten ohne Zustimmung einer Person, über diese zu erheben. Aus diesem Grund normiert 1 Abs. 1 BDSG, dass es Zweck des Gesetzes sei, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. 1 Abs. 1 BDSG: Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Der Datenschutz begrenzt damit die wirtschaftliche Betätigung im Bereich der Datenverarbeitung auf das erforderliche Maß und auf einen gesellschaftlich verträglichen Umfang. Maßgeblich für den Datenschutz in Apotheken sind vor allem die Regelungen des Bundesdatenschutzgesetzes. Daneben enthalten zahlreiche andere Gesetze, wie beispielsweise das Telemediengesetz, das Apothekengesetz, die Ver Seite 5

6 ordnung über den Betrieb von Apotheken, ebenso wie die Berufsordnung für Apothekerinnen und Apotheker bereichsspezifische Sonderregeln zum Datenschutz. Neben der Anwendbarkeit des Strafgesetzbuches, der Berufsordnung und der Strafprozessordnung sind auch noch die europäischen Verordnungen zum Datenschutz anwendbar. Nachfolgend sollen die wichtigsten Anforderungen aus dem BDSG und ausgewählten Spezialgesetzen überblicksartig dargestellt werden. 1. Datenschutz betrifft: Datenschutz betrifft die Informationen über natürliche Personen. 3 Abs. 1 BDSG enthält dabei eine Vielzahl von Legaldefinitionen, die den Gesetzesanwender dabei behilflich sein sollen, das Bundesdatenschutzgesetz und den Zweck des Bundesdatenschutzgesetzes zu verstehen. 3 Abs. 1 BDSG : Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Darin wird zum Beispiel definiert, was personenbezogene und besondere Arten personenbezogener Daten sind Personenbezogene Daten: Einzelangaben: Einzelangaben sind Informationen, die sich auf eine bestimmte -einzelne- natürliche Person beziehen oder geeignet sind, einen Bezug zu ihr herzustellen; z.b. Name, Ausweisnummer, Versicherungsnummer, Telefonnummer. Keine Einzelangaben im Sinne des Gesetzes sind Angaben, die sich zwar auf eine einzelne Person beziehen, die aber nicht identifizierbar ist. Einzelangaben sind ferner nicht gegeben, bei anonymisierten Daten sowie bei Sammelangaben über Personengruppen. Wird jedoch eine Einzelperson als Mitglied einer Personengruppe gekennzeichnet, über die bestimmte Angaben gemacht werden, so handelt es sich auch um Einzelangaben zu dieser Person, wenn die Daten auf die Einzelperson durchschlagen Seite 6

7 Persönliche oder sachliche Verhältnisse: Die Einzelangaben müssen Aussagen enthalten über persönliche oder sachliche Verhältnisse der natürlichen Person. Es muss sich also um Daten handeln, die Informationen über den Betroffenen selbst oder über einen auf ihn beziehbaren Sachverhalt enthalten. Als persönliche Verhältnisse werden Angaben über den Betroffenen selbst, seine Identifizierung und Charakterisierung anzusehen sein, wie z.b. Name, Anschrift, Familienstand, Geburtsdatum, Staatsangehörigkeit, Konfession, Beruf, Erscheinungsbild, Eigenschaften, Aussehen, Gesundheitszustand, Überzeugungen. Ferner gehören hierzu Fotografieren, Fingerabdrücke oder Röntgenbilder. Sachliche Verhältnisse werden beschrieben durch Angaben über einen auf den Betroffenen beziehbaren Sachverhalt, z.b. seinen Grundbesitz, vertragliche oder sonstige Beziehungen zu Dritten, so auch das Führen eines Telefongespräches mit Dritten Bestimmte/bestimmbare Personen: Personenbezogen sind nur die Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Ersteres ist der Fall, wenn die Daten mit dem Namen des Betroffenen verbunden sind, oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt. Für die Bestimmbarkeit kommt es auf die Kenntnisse, Mittel und Möglichkeiten der speichernden Stelle an. Sie muss den Bezug mit den ihr normaler Weise zur Verfügung stehenden Hilfsmitteln und ohne unverhältnismäßigen Aufwand durchführen können. Werden beispielsweise anonyme Daten an eine Stelle übermittelt, die in der Lage ist, den Personenbezug herzustellen, so ist der Übermittlungstatbestand des BDSG erfüllt Natürliche Person: Geschützt vom Anwendungsbereich des BDSG sind natürliche Personen. Juristische Personen (Aktiengesellschaften, GmbHs, etc.), Verstorbene, oder aber der nasciturus sind vom Anwendungsbereich des Bundesdatenschutzgesetzes nicht umfasst. Das Gesetz geht davon aus, dass der Betroffene eine handelnde, d.h. eine lebende Person ist, wie sich aus den Kontroll-und Mitwirkungspflichten ergibt Seite 7

8 Verbot mit Erlaubnisvorbehalt: Im BDSG ist ein sogenanntes Verbot mit Erlaubnisvorbehalt verankert. Das heißt, es gibt ein generelles Verbot der Verwendung personenbezogener Daten, egal ob Erhebung, Verarbeitung oder Nutzung. Nur in Ausnahmefällen, beispielsweise bei Einwilligung des Betroffenen, etwa bei Kundenkarten oder bei gesetzlicher Erlaubnis, zum Beispiel die Rezeptabrechnung über ein Apothekenrechenzentrum gemäß 302 Sozialgesetzbuch V, darf man sich darüber hinwegsetzen (Erlaubnisvorbehalt). LIEB.Rechtsanwälte empfehlen: Bevor man personenbezogene Daten erhebt verarbeitet oder nutzt, sollte zunächst darüber nachgedacht werden, ob ein Gesetz dies erlaubt. Ist dies nicht der Fall, sollte zumindest geprüft werden, ob eine Einwilligung gemäß 4a Abs. 1 BDSG vorliegt. Ist wieder ein Gesetz, noch eine Einwilligung zu finden, dürfte im Zweifel das Erheben Verarbeiten oder Übermitteln von personenbezogenen Daten rechtswidrig sein. Die Frage des Datenschutzes stellt sich in der Apotheke folglich vor allem im Hinblick auf Daten von Kunden, anderen Geschäftspartnern, Lieferanten, Bewerbern und Mitarbeitern. Keine Probleme mit dem Datenschutz gibt es bei anonymisierten oder pseudonymisierten Daten, gemäß 3 Abs. 6,6a BDSG Anonymisieren und Pseudonymisieren 3 Abs. 6, 6a BDSG: Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Unter Pseudonymisieren versteht man das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren Seite 8

9 Das Anonymisieren von Daten kann dadurch geschehen, dass aus einem Bestand personenbezogener Daten, Angaben ohne Personenbezug per entsprechender Auswertung herausgefiltert und für planerische oder statistische Zwecke genutzt werden, wobei die diesbezügliche Veränderung und die nachfolgende Nutzung oder Verarbeitung mangels Personenbezug der Daten nicht mehr den Regeln des Bundesdatenschutzgesetzes unterliegen. Sie kann dadurch geschehen, dass der Personenbezug insgesamt durch Löschung der Identifikationsmerkmale entfällt. Werden von vornherein Daten ohne Personenbezug erhoben und gespeichert, so findet das BDSG mangels Verarbeitung und Nutzung personenbezogener Daten von vorneherein keine Anwendung. Die Daten sind jedoch nur dann anonym, wenn der Personenbezug nicht mehr herstellbar, d.h. eine RE-Anonymisierung unmöglich, ist. 295 Abs. 2 ivm. 291 Abs. 2 Nr. 1,6, 7 SGB V schreibt beispielsweise die Anonymisierung der Abrechnungsdaten der kassenärztlichen Vereinigung explizit vor. Familienname und Vorname des Versicherten müssen nicht weitergegeben werden. Pseudonymisierung hat das Ziel, die unmittelbare Kenntnis der vollen Identität des Betroffenen während solcher Verarbeitungs-und Nutzungsvorgänge, bei denen der Personenbezug nicht zwingend erforderlich ist, auszuschließen. Die Daten werden durch eine Zuordnungsvorschrift derart verändert, dass die Einzelangaben ohne Kenntnis oder Nutzung der Zuordnungsvorschrift nicht mehr einer natürlichen Person zugeordnet werden können. Generell lohnt es sich, immer zu hinterfragen, welche Daten an Dritte weitergegeben werden müssen und welche nicht. Beispiel: Bei der Bestellung von Kompressionsstrümpfen reichen der beauftragten Firma die Maße des Patienten. Name, Geburtsdatum und Adresse sind nicht notwendig, um den Auftrag ausführen zu können. Der Kunde kann in die Apotheke kommen, um sich die maßangefertigten Strümpfe abzuholen Schweigepflicht und Datengeheimnis Selbstverständlich unterliegen alle Daten der Apothekenkunden der Schweigepflicht. Diese ist regelmäßig in der Berufsordnung der zuständigen Apothekerkammer zu finden. In Bayern in 14 der Berufsordnung für Apothekerinnen und Apotheker. Dort 2015 Seite 9

10 wird der Apothekenleiter verpflichtet, alle Mitarbeiter schriftlich zur Verschwiegenheit zu verpflichten. Das sollte gerade auch bei Boten, Praktikanten und kurzzeitig Beschäftigten nicht vergessen werden. Zudem müssen Mitarbeiter auf das Datengeheimnis nach 5 BDSG verpflichtet werden. 5 BDSG : Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. Nach dieser Vorschrift ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Angesprochen werden die bei der Datenverarbeitung beschäftigten Personen, d.h. 5 liegt den Beschäftigten persönlich unmittelbar Pflichten auf, während sich das BDSG ansonsten an die Daten verarbeitenden Stellen gemäß 1 Abs. 2 BDSG als Normadressat wendet. Wer beispielsweise im Laufe seiner dienstlichen oder beruflichen Tätigkeit bekannt gewordene Daten zu privaten Zwecken nutzt, missbrauchst zwar, kann aber nach der Strafvorschrift nicht zur Rechenschaft gezogen werden. Allenfalls kommt eine Strafbarkeit nach 203 StGB in Betracht. In jeden Fall kann aber eine unbefugte zweckentfremdete Verwendung der Daten, dienst-oder arbeitsvertragliche Konsequenzen auslösen. LIEB.Rechtsanwälte raten: Halten sich Dritte in der Apotheke auf, zum Beispiel Handwerker, oder Reinigungspersonal, ist sicherzustellen, dass diese keinen Zugriff auf personenbezogene Daten haben. Ansonsten sollten Sie, diesen Personen eine Datenschutzerklärung zur Unterschrift vorlegen. Einen Formulierungsvorschlag finden Sie am Ende unseres Skriptes. Sinnvoll ist es zudem, alle Mitarbeiter darüber zu belehren, dass die Schweigepflicht umfassend gilt, also auch gegenüber den Angehörigen der Kunden, nicht beteiligten Kollegen und Ärzten Seite 10

11 Die Verletzung der Verschwiegenheitspflicht wird im 203 des Strafgesetzbuchs (StGB) unter Strafe gestellt: 203 Verletzung von Privatgeheimnissen (Auszug) (1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als 1.Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert, 2.Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlußprüfung, 3.Rechtsanwalt, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Organ oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft, anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) Ebenso wird bestraft, wer (2a) Die Absätze 1 und 2 gelten entsprechend, wenn ein Beauftragter für den Datenschutz unbefugt ein fremdes Geheimnis im Sinne dieser Vorschriften offenbart, das einem in den Absätzen 1 und 2 Genannten in dessen beruflicher Eigenschaft anvertraut worden oder sonst bekannt geworden ist und von dem er bei der Erfüllung seiner Aufgaben als Beauftragter für den Datenschutz Kenntnis erlangt hat. (3) Einem in Absatz 1 Nr. 3 genannten Rechtsanwalt stehen andere Mitglieder einer Rechtsanwaltskammer gleich. Den in Absatz 1 und Satz 1 Genannten stehen ihre berufsmäßig tätigen Gehilfen und die Personen gleich, die bei ihnen zur Vorbereitung auf den Beruf tätig sind. Den in Absatz 1 und den in Satz 1 und 2 Genannten steht nach dem Tod des zur Wahrung des Geheimnisses Verpflichteten ferner gleich, wer das Geheimnis von dem Verstorbenen oder aus dessen Nachlaß erlangt hat. (4) Die Absätze 1 bis 3 sind auch anzuwenden, wenn der Täter das fremde Geheimnis nach dem Tod des Betroffenen unbefugt offenbart. (5) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren o- der Geldstrafe Seite 11

12 In der Strafprozessordnung wird dem Apotheker ferner bei einer Vernehmung ein Zeugnisverweigerungsrecht gewährt. 53 StPO (Auszug) (1) Zur Verweigerung des Zeugnisses sind ferner berechtigt 1.Geistliche über das, was ihnen in ihrer Eigenschaft als Seelsorger anvertraut worden oder bekanntgeworden ist; 2.Verteidiger des Beschuldigten über das, was ihnen in dieser Eigenschaft anvertraut worden oder bekanntgeworden ist; 3.Rechtsanwälte, Patentanwälte, Notare, Wirtschaftsprüfer, vereidigte Buchprüfer, Steuerberater und Steuerbevollmächtigte, Ärzte, Zahnärzte, Psychologische Psychotherapeuten, Kinder- und Jugendlichenpsychotherapeuten, Apotheker und Hebammen über das, was ihnen in dieser Eigenschaft anvertraut worden oder bekanntgeworden ist, Rechtsanwälten stehen dabei sonstige Mitglieder einer Rechtsanwaltskammer gleich; (2) Die in Absatz 1 Satz 1 Nr. 2 bis 3b Genannten dürfen das Zeugnis nicht verweigern, wenn sie von der Verpflichtung zur Verschwiegenheit entbunden sind. Die Berechtigung zur Zeugnisverweigerung der in Absatz 1 Satz 1 Nr. 5 Genannten über den Inhalt selbst erarbeiteter Materialien und den Gegenstand entsprechender Wahrnehmungen entfällt, wenn die Aussage zur Aufklärung eines Verbrechens beitragen soll oder wenn Gegenstand der Untersuchung Darauf kann er sich zum Beispiel berufen, wenn beispielsweise ein drogensüchtiger Kunde wegen Rezeptfälschung, also einer Urkundenfälschung, vor Gericht steht. Achtung: Sagt der Apotheker gegen den Willen des Kunden aus, macht also nicht vom Zeugnisverweigerungsrecht Gebrauch, kann das für ihn strafrechtliche Konsequenzen haben. Er riskiert die eigene Strafbarkeit nach 203 StGB, da er berufsrechtlich zur Verschwiegenheit verpflichtet ist Seite 12

13 II. Warum ist Datenschutz in der Apotheke relevant: Als größte Errungenschaft des Datenschutzes in Deutschland gilt das sogenannte Volkszählungsurteil, eine Grundsatzentscheidung des Bundesverfassungsgerichts aus dem Jahr Aufbauend auf diesem Urteil genießt das Recht auf informationelle Selbstbestimmung nunmehr Grundrechtschutz. Das Grundgesetz vermittelt dem Einzelnen Schutz, vor unbegrenzter Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten. Gerade persönliche Daten werden zwangsläufig in Rahmen des Apothekenalltags erhoben, verarbeitet und genutzt. Die Belieferung von Rezepten, die Ausgabe von Kundenkarten und Auskünfte am Telefon, zeigen exemplarisch, dass das Apothekenpersonal ständig mit personenbezogenen Daten der Patienten/Kunden umgeht. Der Datenschutz endet jedoch nicht bei den Kunden. Selbstverständlich sind auch die Daten der Mitarbeiter zu schützen. Zunächst werden somit die einzelnen Berührungspunkte im Rahmen des Apothekenablaufs skizziert. Insbesondere ist der Aufbau und die Ausgestaltung der Apotheke, im Hinblick auf die Apothekenbetriebsordnung zu behandeln: 1. Die Offizin: 1.1. Räumlichkeiten: Der Datenschutz beginnt bereits in den Räumlichkeiten der Apotheke, ja sogar mit dem Betreten der selbigen. So spricht bereits die Verordnung über den Betrieb von Apotheken in 4 Absatz 2a ApBetrO davon, dass die Offizin so gestaltet werden muss, dass ausgeübte wesentliche Aufgaben, insbesondere die Beratung von Patienten und Kunden, genügend Raum bleibt. Die Offizin muss so eingerichtet sein, dass die Vertraulichkeit der Beratung, insbesondere an den Stellen, an denen Arzneimittel an Kunden abgegeben werden, so gewahrt wird, dass das Mithören des Beratungsgesprächs durch andere Kunden weitestgehend verhindert wird Seite 13

14 Bereits der Wortlaut der Verordnung ist derart detailliert gefasst, dass jedem Betreiber einer Apotheke klar sein muss, dass die Offizin so ausgestaltet werden muss, dass weder Beratungsgespräch, noch Inhalt der vom Patienten/Kunden an den Apotheker übergebenen Daten unberechtigten Dritten zu Ohren gelangt. Diskretion muss das oberste Gebot sein. So sollte bei einem Kundenandrang gewährleistet sein, dass ausreichend Abstand zwischen den Kunden besteht. Gleichwohl sollte das Apothekenpersonal darauf achten, die Stimme, dem Kundenaufkommen anzupassen Handverkaufstische: In der Offizin sind die Handverkaufstische der Ort in der Apotheke, an dem die Kunden ihre Wünsche äußern und Sie Informationen über die Arzneimittel verschaffen. Dieser Bereich sollte möglichst so gestaltet werden, dass ein Mithören der Kundengespräche durch andere Kunden weitgehend ausgeschlossen ist. Auch das Verwahren von Rezepten auf den Handverkaufstischen ist zu überdenken. Die nachfolgenden Kunden dürfen die Rezepte nicht lesen oder gar unbemerkt mitnehmen können. Auf vielen Handverkaufstischen finden sich nunmehr auch PC-Bildschirme. Wartende Kunden dürfen nicht die Möglichkeit haben, diese einzusehen. Datenschutz bedeutet auch, dass Kundendaten nicht auf dem PC-Bildschirm für Dritte, also Apothekenfremde, lesbar sind. Deshalb sollten die Bildschirme so stehen und positioniert sein, dass andere Kunden diese nicht einsehen können. Was die Rezepte betrifft, sollten diese auch bei starkem Kundenverkehr, niemals für andere Kunden lesbar oder gar greifbar auf dem HV- Tisch liegen. Verstöße gegen den Datenschutz wie diese, wurden schon mehrfach der zuständigen Datenschutzbehörde angezeigt und mit einem Bußgeld bestraft. Die Höhe des Bußgeldes ist dabei abhängig von der sonstigen Qualität des Datenschutzes, insbesondere den Umständen des Einzelfalls und der Strenge der jeweiligen Aufsichtsbehörde Diskretionszone und Beratungsecke der Offizin: Spätestens seit 1999 müssen alle Apotheken so eingerichtet sein, dass die Vertraulichkeit der Beratung gewährleistet wird. Dies wurde in vielen Apotheken so interpretiert, dass ein Beratungsraum eingerichtet oder eine Beratungsecke abgetrennt wurde. Dieser Beratungsraum ist nach wie vor unerlässlich, etwa für Blutuntersuchungen, Gespräche im Rahmen der Pharmazeutischen Betreuung oder aber zum Anmessen 2015 Seite 14

15 von Kompressionsstrümpfen, das nicht im Verkaufsraum erfolgen kann. Aber der Beratungsraum allein reicht bei Weitem nicht aus. Banal aber wichtig erscheint schon der Rat, diesen vor allem zu nutzen. Es ist wichtig, dass jedes einzelne Gespräch zwischen einem Mitarbeiter der Apotheke und dem Kunden diskret verläuft. Sollte dies lediglich in der Beratungsecke möglich sein, ist diese aufzusuchen. Die Diskretionszone kann schnell verletzt werden. Bestehen Sie darauf, die Beratungsecke aufzusuchen. Der Kunde wird meist kein Interesse daran haben, möchte vielmehr eine schnelle Bearbeitung. Gerade in dieser Hinsicht obliegt es Ihnen, den Schutz der Daten im Hinterkopf zu haben. In vielen Apotheken ist die Offizin schon so gestaltet, dass jedes Beratungsgespräch vertraulich bleibt. Auch wenn eine innenarchitektonische Lösung der Königsweg ist, so können Diskretionszonen in jeder Apotheke schnell und effektiv eingerichtet werden. Oft reicht es schon aus, auf dem Boden mit einem Klebeband eine Wartelinie zu markieren. Kunden kennen dies beispielsweise von Banken oder der Post und akzeptieren solche Abtrennungen schnell. Ebenso zeigt ein einfaches Hinweisschild, auf dem HV-Tisch oder als Bodenständer, gute Erfolge. Ein durchgehender HV-Tisch kann mit Trennwänden oder Ständern in zwei oder drei»beratungsbuchten«unterteilt werden. Zusätzlich bietet sich an, die Abtrennung noch durch Regale aus dem Freiwahlbereich, die an den HV-Tisch herangeschoben werden, zu verstärken. Der Kreativität sind keine Grenzen gesetzt Videoüberwachung: Der Datenschutz beginnt schon an der Eingangstür. Dies ist relevant für die Apotheken, die eine Videoüberwachung installiert haben. 6b BDSG nimmt Bezug auf die»beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen«. Daraus leitet sich ab, dass Apotheken, die in der Freiwahl eine Videoüberwachungs-Anlage (oder eine Attrappe) installieren, diese sichtbar kennzeichnen müssen möglichst direkt am Eingang. Hierzu sollte an der Eingangstür ein entsprechender Hinweis angebracht werden. In nicht öffentlich zugänglichen Bereichen ist eine Videoüberwachung nur in bestimmten Fällen erlaubt. Ein heimliches Filmen ist nie rechtmäßig. Gleiches gilt etwa für Aufnahmen in Bereichen der privaten Lebensgestaltung, zum Beispiel in Sanitärräumen, in den Umkleiden, so es solche gibt, oder im Nachtdienstzimmer Seite 15

16 1.5. Die Rezepte: Können die Rezepte nicht vom HV-Tisch entfernt werden, sollten die Mitarbeiter sie zumindest umdrehen, in der Hand behalten, oder in einer undurchsichtigen Hülle verstauen. Rezepte enthalten viele sensible Daten. Daher darf man nicht mehr benötigte Privatrezepte, grüne Rezepte oder Kopien, die dem Kunden nicht mitgegeben werden können, auf keinen Fall lediglich in den Papierkorb werfen. Diese Rezepte müssen durch den Aktenvernichter (dieser sollte mindestens Stufe 4 für geheim zuhaltendes Schriftgut der DIN-Norm entsprechen). Bei Unklarheiten auf dem Rezept sollten die Apothekenmitarbeiter den Patienten fragen, ob sie den Arzt kontaktieren dürfen. In der Regel dürfte das kein Problem darstellen, da der Kunde selbst an der Klärung interessiert ist. Der Patient sollte die Möglichkeit haben, das Gespräch mithören. Unter Verweis auf die Beratungsecke ist der HV-Bereich selbstverständlich kein guter Ort für Telefonate, da andere Personen mithören könnten. Will man sich, zum Beispiel mit einem Arzt, per über ein Rezept austauschen, so dürfen Sie das Rezept nicht einscannen und dann unverschlüsselt, oder als Anhang versenden. Die Daten der Kunden müssen verschlüsselt werden. Sollte die abgefangen werden, gelangen sensible Daten Dritten zur Kenntnis. Folgeansprüche drohen. Sollte eine Verschlüsselung nicht möglich sein, muss sollte im Hinblick auf den Datenschutz davon abgeraten werden. Sollte der Kunde trotz dieses Defizits dennoch zustimmen, kann die versendet werden Statistiken: Statistiken müssen ebenfalls in datenschutzrechtlicher Hinsicht gewürdigt werden. So ist es gängige Praxis, dass am Ende des Monats die Rezepte abgeholt und eingelesen werden. Gesundheitsdaten bzw. Rezeptdaten sind besonders sensible Daten und werden durch das Bundesdatenschutzgesetz und verschiedene Spezialgesetze (Sozialgesetzbuch, Strafgesetzbuch) besonders geschützt. Die Einschaltung externer Rechenzentren durch Apotheken und die Datenverarbeitung durch diese Rechenzentren ist 2015 Seite 16

17 im Rahmen von 300 Abs. 1 SGB V l zulässig. Sinn der (anonymisierten) Datenweitergabe ist etwa, Erfolge von Werbemaßnahmen zu messen und das Außendienst- und Vertriebsmanagement zu optimieren. Die Unternehmen haben dadurch die Möglichkeit, das) Verschreibungsverhalten von Ärzten zu überprüfen und ihre Werbe- und Vertriebsstrategien darauf abzustimmen. Dieses Verfahren ist jedoch nur solange zulässig, wie aus den aufbereiteten Daten keinerlei Rückschlüsse auf konkrete Personen möglich ist. Vermeiden Sie es also, weder Name des verschreibenden Arztes, noch Name des Patienten zu speichern und an die Pharma-Unternehmen weiterzugegeben Dokumentation: Auch wenn der Kunde die Apotheke wieder verlassen hat, bestehen die Anforderungen an den Datenschutz selbstverständlich weiter. Das ist am Beispiel von Dokumentationspflichten leicht zu erklären. Von Betäubungsmitteln, über verschreibungspflichtige Tierarzneimittel, bis hin zum Erwerb und Abgabe von Produkten, die unter das Transfusionsgesetz fallen, enthalten diese Aufzeichnungen personenbezogene Daten, an die Unbefugte nicht herankommen dürfen. Gerade auch dann nicht, wenn die Aufbewahrungspflicht bereits abgelaufen ist. Zu entsorgende Unterlagen sind ein Fall für den Aktenvernichter. Dort hinein gehören auch nicht mehr benötigte Faxe, die personenbezogene Daten enthalten. Beim Versenden von Kundendaten per Fax ist sicherzustellen, dass dieses ausschließlich den berechtigten Empfänger erreicht. Faxe sollte man dem Empfänger unter Umständen vorher ankündigen. Bei Faxen an den Arbeitsplatz, sollte man diese ankündigen und sich den Empfang gegebenenfalls bestätigen lassen. Faxe, die in der Apotheke ankommen, müssen sofort aus dem Gerät entnommen werden. Es sollten nirgendwo in der Apotheke, auch nicht auf dem Büroschreibtisch des Inhabers der Apotheke, sensible Daten in Papierform länger liegengelassen werden. Sinnvoll ist es, Unterlagen in der Apotheke, im Hinblick auf die Sensibilität der Daten, in Kategorien einzuteilen und zu kennzeichnen. Das QM-Handbuch beinhaltet bspw. Daten zum internen Gebrauch. Streng vertraulich, sind Personalakten. Persönlich wären Gehaltsabrechnungen und Beurteilungen der Mitarbeiter Seite 17

18 1.8. Auskünfte an nahe Angehörige, oder dergleichen: Ein häufiges Problem sind Auskünfte an Angehörige. Zum Vergleich: Wenn der Ehepartner die Post des Ehegatten öffnet, ist dies ein Straftatbestand. Deshalb sollten auch Auskünfte auf der Basis von Kundenkarten nur dem Kunden selbst erteilt werden dürfen. Was also tun, wenn Angehörige zum Beispiel Zuzahlungsbescheinigungen des Ehepartners verlangen? Eine Möglichkeit ist es, die Bescheinigung auf dem Postweg zu versenden. Am Telefon ist eine Auskunft zu persönlichen Daten immer verboten, wenn die sichere Identifikation des Anrufers nicht gewährleistet ist. Auch den Strafverfolgungsbehörden darf man nicht ohne Weiteres am Telefon Auskunft erteilen. Wir raten Ihnen dazu, um eine persönliche Vorsprache des Beamten oder eine schriftliche Anfrage zu bitten. Mitarbeiter sollten immer auch die Apothekenleitung in den Fall einbeziehen. Und wie sieht es bei Minderjährigen aus? Dürfen Eltern eine Auskunft über ihre Kinder erhalten? LIEB.Rechtsanwälte raten: Gerade bei schon verständigen und einsichtsfähigen Minderjährigen kurz vor der Volljährigkeit kann es zu Konflikten zwischen dem Auskunftsanspruch der Eltern und der Schweigepflicht gegenüber dem Minderjährigen kommen. Stellen Sie sich vor, der Vater eines 15-jährigen Mädchens ruft sie an und fragt Sie darüber aus, ob seine Tochter die Antibabypille bezieht. Hier ist Vorsicht geboten. Gehen Sie auf Nummer sicher und machen Sie von ihrem Schweigerecht Gebrauch. Notfalls muss der Erziehungsberechtigte in Beisein mit dem Minderjährigen vorstellig werden und um Auskunft bitten. Bei kleineren Kindern haben sorgeberechtigte Elternteile Auskunftsansprüche. Auch hier gilt wieder der Grundsatz, dass das Schweigen im vorliegenden Fall besser ist, als die Auskunftserteilung Die Kundenkarte: Viele Apotheken wollen ihre Patienten mithilfe einer Kundenkarte an die Apotheke binden. Dabei ist zu beachten, dass alle Karteninhaber zuvor eine datenschutzrechtliche Einwilligungserklärung abgeben müssen. Die besagte Einwilligungserklärung sollte bestenfalls schriftlich erfolgen. Regelmäßig werden hierbei von Apotheken Kar Seite 18

19 tenanträge genutzt, die ausdrücklich auf die datenschutzrechtliche Einwilligung hinweisen. LIEB.Rechtsanwälte raten: Überprüfen Sie die von Ihnen verwendeten Kartenanträge. Sollten diese keine Einwilligungserklärung beinhalten, ist davon abzuraten, diese weiterhin zu benutzen. Bei Schriftform sind sie weitestgehend sicher. Ändern Sie das! Die Einwilligungserklärung der Kunden muss sich auf die personenbezogenen und ausdrücklich auch auf die Gesundheitsdaten beziehen. Sie sollte immer schriftlich erfolgen und an einem für Unbefugte nicht zugänglichen Ort sicher aufbewahrt werden. Es gibt keine feste Frist, wann ungenutzte Kundenkarten zu löschen sind. LIEB.Rechtsanwälte raten: Eine Löschung nach drei Jahren ist sinnvoll; wir weisen jedoch darauf hin, dass einige Steuerberater wegen des steuerlichen Bezugs der Daten eine Aufbewahrung von zehn Jahren für sinnvoll erachten. Laut BDSG ( 4a, Absatz 1) ist die Einwilligungserklärung (optisch) besonders hervorzuheben, wenn sie zusammen mit anderen Erklärungen erteilt wird. Selbstverständlich ist ebenfalls der Fall zu würdigen, dass die Kundendaten infolge Ruhestand oder Tod des Apothekers oder bei einem Verkauf der Apotheke nicht automatisch an den Nachfolger übergehen. Dürfen Kundendaten bei einem Verkauf der Apotheke an den Nachfolger übergeben werden und was ist dabei zu beachten? Im Kammerrundschreiben (Mai/Juni 2012) informiert die Landesapothekerkammer Hessen zu diesem Thema Seite 19

20 Sofern nicht ausdrücklich anders vereinbart, willigt der Kunde beim Erwerb einer Kundenkarte durch seine Einverständniserklärung nur in das Speichern seiner personenbezogenen Daten bei dem Apotheker seines Vertrauens ein. Der Kunde muss frei darüber entscheiden können, ob er seine Daten weitergeben will oder nicht. Daher ist für die Übermittlung der gespeicherten Daten an einen Dritten bei einem Verkauf der Apotheke erneut eine Einwilligung, und zwar eine vorherige Einverständniserklärung des Betroffenen, erforderlich. Die Kammer plädiert dafür, die schriftliche Einwilligung jedes betroffenen Kunden einzuholen. Weiter heißt es in dem Rundschreiben: Zu überlegen wäre, ob Apotheken ihre Kundenkarten dahingehend überarbeiten, dass diese eine Einwilligungserklärung auch zur Weitergabe der Kundendaten an einen Rechtsnachfolger für den Fall eines Apothekenverkaufs enthalten. LIEB.Rechtsanwälte raten: Es bietet sich an, im Falle eines Verkaufs der Apotheke erneut eine Einwilligungserklärung der jeweiligen Kundenkarteninhaber einzuholen. Dass dies umständlich und eventuell mühsam ist, dürfte jedoch im Hinblick auf der der Apotheke eventuell drohende Bußgelder das geringere Übel darstellen. Somit bietet sich an, bereits bei Beantragung der Kundenkarte die Einwilligungserklärung auf etwaige Rechtsnachfolger zu erstrecken. Von der Ausgabe einer Kundenkarte ist daher abzuraten, wenn der Kunde die Erklärung nicht oder nur mündlich abgeben will. Im Falle eines Streits müssen Sie die Einwilligung beweisen. Oftmals steht Aussage gegen Aussage! Grundsätzlich sollte man nur Daten erfassen, die tatsächlich benötigt werden. Gängig ist auch, dass die Bewohner belieferter Altenheime in der Kundendatei der Apotheke eingetragen sind. Wenn man nicht von allen einzeln die Einwilligung einholen will, oder kann, ist es sinnvoll, beim Abschluss des Vertrags mit der Heimleitung festzuhalten, dass diese sich um die Einwilligungen kümmert. Was in der Praxis bereits häufiger zu Ärger geführt hat, sind Antragsformulare für Kundenkarten, auf denen nicht alles aufgeführt ist, was die Apotheke mit den Daten tun wird Seite 20

21 Beispiel: Thema Geburtstagskarte. Sollten Sie im Rahmen der Kundenpflege eine Geburtstagskarte versenden wollen, muss dieser Service explizit im Kartenauftrag vermerkt sein. Die Geburtstagskarte kann zum Bumerang werden, wenn Verstorbene eine Karte zum Geburtstag bekommen. Sind in den Kundenkartenanträgen solche Geburtstagsaktionen nicht aufgeführt, können Angehörige gegen Datenschutzverstöße der Apotheke vorgehen. Auch Post aus einer Filialapotheke, die ohne Kenntnis des Karteninhabers auf die Daten zurückgreift, kann zu Irritationen führen. Schlichtweg verboten sind auch in der EDV gespeicherte Daten, die ein Werturteil enthalten, etwa Nervensäge, Pfennigfuchser oder schwieriger Kunde. Möglich ist aber, auf Tatsachen wie offene Rechnung oder bisher nicht abgeholter Bestellartikel hinzuweisen. Generell hat der Kunde ein Recht auf schriftliche Auskunft über die zu seiner Person gespeicherten Daten. Dies muss er in der Apotheke kundtun, aber nicht begründen. Die Unentgeltlichkeit dieser Auskunft ist ausdrücklich im Gesetz vorgesehen Die Auskunft kann mündlich erfolgen, auf Verlangen des Kunden ist sie aber schriftlich zu erteilen. Ferner haben Kunden ein Anrecht auf Datenkorrektur, zum Beispiel auf Berichtigung oder Löschen von Daten Lieferung per Bote: Apothekenboten sind ebenso an Schweigepflicht und Datengeheimnis gebunden, wie die übrigen Apothekenmitarbeiter auch. Laut 14 Apothekenbetriebsordnung sind die auszuliefernden Arzneimittel für jeden Empfänger getrennt zu verpacken und jeweils mit dessen Namen und Anschrift zu versehen. Achtung: Damit gelangen personenbezogene Daten in Umlauf. Bei der Auslieferung mit einem Pkw dürfen die Medikamente nicht sichtbar im Pkw liegen oder dort längere Zeit, zum Beispiel über Nacht, deponiert werden. Beim Verlassen ist der Wagen stets abzuschließen. Fahrradboten müssen alle auszuliefernden Medikamente immer mit sich führen. Der Bote darf die Medikamente nur dem Kunden selbst aushändigen. Andernfalls, zum Beispiel bei Abgabe beim Nachbarn oder Einwurf in den Briefkasten, ist vorher eine schriftliche Einverständniserklärung einzuholen. Ebenfalls abklären sollte man, ob 2015 Seite 21

22 das Medikament an andere Familienangehörige im gleichen Haushalt ausgehändigt werden kann. Es ist stets sinnvoll, wenn sich der Bote die Übergabe bestätigen lässt. 2. Das Büro: Fernab des Verkaufsraums lauern ebenfalls mögliche datenschutzrechtliche Verstöße. Hierbei ist unter anderem das Büro des Apothekers anzusprechen. Unabhängig davon, ob allenfalls der Apotheker persönlich dieses Büro betreten darf sollte zumindest ein Augenmerk darauf gerichtet werden, dass hierbei ähnlich wie auf dem Verkaufstisch keine Rezepte oder ähnliche sensible Daten aufzufinden sind. Auch hier gilt wiederum der Grundsatz, dass persönliche Daten von Kunden sicher verwahrt werden sollen. Dies gilt jedoch ebenso für relevante Mitarbeiterdaten. Gesetzt den Fall, das Reinigungspersonal betritt das Büro des Apothekers und kennt durch Zufall die Person die als Adressat eines Rezeptes genannt ist, ist der datenschutzrechtliche Verstoß eingetreten IT-Sicherheit(Anforderungen an Arbeitsplatz und Mitarbeiter, effektiver Passwortschutz, regelmäßige Datensicherung, Anforderungen an den Datenaustausch) Ohne Informationstechnologie (IT) geht es in der Apotheke nicht. Um deren Sicherheit muss sich der Apothekeninhaber Gedanken machen. Nicht nur Hackerangriffe von außen sind zu befürchten, auch technische Schäden (etwa Überhitzung), Elementarschäden (Brand, Wasserschäden) sowie Unkenntnis und Selbstüberschätzung des Personals sind Risikofaktoren. Wirksame Maßnahmen zur Gefahrenabwehr beginnen bei regelmäßigen Mitarbeiterschulungen und enden bei einem umfassenden Passwortschutz. Auch an eine unterbrechungsfreie Stromversorgung mit Überspannungsschutz, aktualisierte Virenschutzprogramme und regelmäßige Datensicherungen ist zu denken. Nach der Datensicherung sollte der Sicherungsträger nicht am oder in unmittelbarer Nähe des Computers gelagert werden; am besten wird er an einem vor Diebstahl und Elementarschäden gesicherten Ort aufbewahrt. Empfehlenswert ist auch, den Datenträger mindestens einmal pro Monat auf Funktionstüchtigkeit zu überprüfen Seite 22

23 2.2. Die Internetpräsentation: Mittlerweile haben viele Apotheken einen eigenen Internetauftritt. Dafür sind die allgemeinen Informationspflichten nach 5 Telemediengesetz zu beachten. Zu einem Impressum gehören folgende Angaben: vollständiger Name der Apotheke mit Postanschrift, Inhaber und Vertretungsberechtigter der Apotheke mit vollem Vor- und Zunamen, -Adresse, Telefon- und Faxnummer, UmsatzsteuerIdentifikationsnummer, Handelsregister mit Handelsregisternummer, Aufsichtsbehörde, zuständige Berufskammer, gesetzliche Berufsbezeichnung und Staat, in welchem diese verliehen wurde, berufsrechtliche Regelungen und Zugangsmöglichkeit. Auch an eine Datenschutzerklärung und einen Sicherheitshinweis an Kunden, dass beispielsweise eine offene Dateneingabe freiwillig und nicht sicher ist, ist bei dem Internetauftritt zu denken. Kunden und Mitarbeiter müssen zuvor natürlich zugestimmt haben, wenn personenbezogene Daten und Bilder von ihnen auf der Website veröffentlicht werden. Die Überwachung der Website auf Datenschutzrelevante Aspekte zählt zu den Aufgaben eines Datenschutzbeauftragten. 3. Die Personalabteilung: Die Personalakten sind in Papierform in einem abgeschlossenen Schrank aufzubewahren, für per Computer geführte Akten muss es ein sicheres Zugriffsberechtigungskonzept geben. Mitarbeiter haben jederzeit das Recht, die eigene Personalakte einzusehen, die Daten zu prüfen und bei Bedarf gegen Einträge vorzugehen. Dies je Seite 23

24 doch nur nach vorherigem Antrag bei dem Arbeitgeber. Von einer eigenmächtigen Einsichtnahme abzuraten. Stellen Sie sicher, dass Mitarbeiter keinen Zugriff auf die Personalakten haben. Passwortschutz ist unerlässlich. 4. Apotheken und Dritte (Auftragsdatenverarbeitung in der Apotheke) Wird ein externer Auftragnehmer mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten von einer Apotheke beauftragt, unterliegt dies der Auftragsdatenverarbeitung und den entsprechenden rechtlichen Regelung im Bundesdatenschutzgesetz ( 11 BDSG). Der Gesetzgeber stellt hohe Erwartungen an eine entsprechende Beauftragung. Eine Auftragsdatenverarbeitung liegt beispielsweise vor, wenn die Buchhaltung ausgelagert wird, eine Aktenvernichtung durch ein externes Unternehmen erfolgt oder die Lohnbuchhaltung durch Dritte vorgenommen wird. Vielen ist unbekannt, dass auch die Beauftragung eines EDV-Unternehmens mit einer Fernwartung unter die Auftragsdatenverarbeitung fällt. Der Gesetzgeber erwartet, dass eine Apotheke vor der Beauftragung sich bei dem Dienstleister überzeugt, dass das Thema Datenschutz ernst genommen wird. In der Praxis wird häufig ein Datenschutzkonzept abgefordert. Auch während der Beauftragung erwartet der Gesetzgeber, dass eine Apotheke den Dienstleister beaufsichtigt und regelmäßig kontrolliert. Entsprechende Kontrollrechte müssen auch in den Verträgen zu Auftragsdatenverarbeitung enthalten sein. In 11 Abs. 2 BDSG findet sich eine Aufzählung von 10 Punkten, die bei einer Auftragsdatenverarbeitung berücksichtigt werden müssen. Sollten die in 11 Abs. 2 BDSG enthaltenen Punkte allesamt im Rahmen einer Vereinbarung über die Auftragsdatenverarbeitung abgelichtet sein, sind sie grundsätzlich auf der sicheren Seite. Die profunde Darstellung der Auftragsdatenverarbeitung würde jedoch den Rahmen dieses Scripts sprengen. 5. Der Datenschutzbeauftragte: 5.1. Der interne Datenschutzbeauftragte: Die gesetzliche Regelung findet sich hierzu in 4f BDSG. Im Bereich der Privatwirtschaft trifft die Bestellpflicht die Nicht-öffentliche Stelle, d.h. den Unternehmensinhaber, bzw. die Leitung der juristischen Person, der das Unternehmen gehört. Bei den besagten Stellen ist auch bei automatisierter Verarbeitung die Bestellpflicht weiterhin an einen Mindestumfang der Datenverarbeitung und damit ein bestimmtes 2015 Seite 24

25 Gefährdungspotenzial geknüpft. Die private Stelle muss in der Regel im Falle automatisierter Datenverarbeitung zehn, oder im Falle herkömmlicher Verarbeitung, 20 Personen, ständig mit der Verarbeitung personenbezogener Daten betraut haben. Solange im Bereich der automatisierten Datenverarbeitung weniger als zehn Personen beschäftigt sind, bedarf es keines betrieblichen Beauftragten. Der arbeitsrechtliche Status ist hierbei irrelevant. Weiterhin fordert das Gesetz, dass die Person ständig damit beschäftigt sein muss. Hat jemand nur gelegentlich und gegebenenfalls zur Erledigung andere Aufgaben auch mit der Datenverarbeitung zu tun, so ist er nicht ständig damit beschäftigt. Als Fazit bleibt somit festzuhalten, dass gerade in Apotheken, in denen mehr als neun Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, ein Datenschutzbeauftragte zu bestellen ist, gemäß 4f Abs. 1 S. 4 BDSG. Der Beauftragte ist bei Nicht-öffentlichen Stellen spätestens binnen eines Monats nach dem Eintreten der Voraussetzungen zu bestellen. Sinkt wiederum bei diesen Stellen die maßgebende Beschäftigtenzahl dauerhaft unter die gesetzliche vorgesehene Anzahl, so entfällt auch die Bestellungsvoraussetzung nach 4f Abs. 1 BDSG. Ein spezieller Widerruf der Bestellung sollte zwar zur Klarstellung der arbeitsvertraglichen Situation erfolgen/gegebenenfalls ist insoweit auch eine Kündigung erforderlich. Gleichwohl bleibt es der Apotheke jedoch unbenommen, in derartigen Fällen, den Datenschutzbeauftragten freiwillig weiterhin mit diesen Aufgaben zu betrauen Die Person des Beschäftigten: Der Gesetzeswortlaut erlaubt es nunmehr, sowohl einen Beschäftigten des Unternehmens als so genannten internen Datenschutzbeauftragten, als auch eine Person außerhalb des Unternehmens, als so genannten externen Datenschutzbeauftragten mit den Aufgaben des Datenschutzbeauftragten gemäß 4f Abs. 2 S. 3 BDSG zu bestellen. Es muss jedoch darauf hingewiesen werden, dass der Bestellung einer juristischen Person (z.b. Unternehmensberatungsgesellschaft) zum betrieblichen Datenschutzbeauftragten die Voraussetzungen des 4f Abs. 2 BDSG entgegenstehen. Fachkunde und Zuverlässigkeit sind nur von einer natürlichen Person erfüllbar, die unmittelbare Unterstellung unter die Leitung der verantwortlichen Stelle kann nur von einer natürlichen Person verwirklicht werden Seite 25

26 5.3. Die erforderliche Fachkunde und Zuverlässigkeit: Weiterhin fordert das Gesetz, dass jeder Beauftragte besondere Fachkunde und Zuverlässigkeit vorweisen muss. Zum Grundwissen gehört in erster Linie das Datenschutzrecht, das wegen seines besonderen Charakters als Querschnittsmaterie nur diejenigen richtig beherrschen, die über allgemeine Rechtskenntnisse verfügen. Weiterhin wird vom Gesetzgeber ein Verständnis für betriebswirtschaftliche Zusammenhänge, sowie Grundkenntnisse über Verfahren und Techniken der automatisierten Datenverarbeitung gefordert. Überdies muss der DSB mit der Organisation und Informationen seines Betriebes vertraut sein. Es steht Ihnen als DSB das Recht gegenüber dem Arbeitgeber zu, Fortbildungsveranstaltungen zu besuchen. Der Arbeitgeber hat die Kosten hierfür zu übernehmen, gemäß 4f Abs. 5 S. 1 BDSG. LIEB.Rechtsanwälte raten: Neben der Fachkunde muss der DSB auch die zur Erfüllung seiner Aufgaben erforderliche Zuverlässigkeit besitzen. Es kann also niemand zum Datenschutzbeauftragten bestellt werden, der durch persönliche Unzuverlässigkeit aufgefallen ist. Das Erfordernis der persönlichen Integrität soll verhindern, dass ein für andere Arbeiten nicht qualifizierter Arbeitnehmer auf die Position des DSB abgeschoben wird. Wer eine Person bestellt, der ersichtlich Fachkunde und Zuverlässigkeit fehlen, hat keinen Datenschutzbeauftragten bestellt und damit eine Ordnungswidrigkeit nach 43 Abs. 1 Nr. 2 BDSG begangen. Empfindliche Bußgelder können drohen. Die Zuverlässigkeit des Datenschutzbeauftragten bedingt auch, ihm die hierfür erforderliche Arbeitszeit, also Freistellung von bisheriger Tätigkeit zu gewähren. Bestimmte Personen können unabhängig von ihrer Fachkunde und Zuverlässigkeit nicht zum Datenschutzbeauftragten bestellt werden. Dies gilt ausnahmslos für den Inhaber selbst, den Vorstand, den Geschäftsführer oder sonstigen gesetzlichen oder verfassungsmäßig berufenen Leiter Die Bestellung des Datenschutzbeauftragten: Die Bestellung des Datenschutzbeauftragten muss schriftlich erfolgen, wobei auch Aufgaben und organisatorische Stellung zu konkretisieren sind. Die Bestellung kann 2015 Seite 26

27 nur widerrufen werden, wenn die Aufsichtsbehörde dies verlangt, oder ein wichtiger Grund im Sinne des 626 BGB vorliegt. Neben dieser Einschränkung des Widerrufs genießt der in einem Arbeitsverhältnis beschäftigte Datenschutzbeauftragte einen besonderen Kündigungsschutz gemäß 4f Abs. 3 BDSG. Dieser Kündigungsschutz gilt jedoch nur für pflichtgemäße Datenschutzbeauftragte, also nicht für den Fall, dass ein Kleinbetrieb freiwillig einen Datenschutzbeauftragten bestellt. Weiterhin hat der Datenschutzbeauftragte als unabhängige Stelle eine Verschwiegenheitsverpflichtung. Dies bedeutet, dass der DSB berechtigt und verpflichtet ist, über die Identität eines Betroffenen, Stillschweigen zu bewahren. Regelmäßig werden sich Betroffene mit einer Beschwerde oder Anfrage an den Datenschutzbeauftragten wenden. Dies bedingt selbstverständlich, dass der Datenschutzbeauftragte ebenfalls auf das Datengeheimnis zu verpflichten ist. Als innerbetriebliche Konsequenz besteht ein Verbot der Benachteiligung des Beauftragten für den Datenschutz. Der Arbeitgeber hat den Datenschutzbeauftragten weiterhin zu unterstützen. Der Erfolg des Beauftragten für den Datenschutz beruht wesentlich darauf, dass die Leitung der verantwortlichen Stelle seine Aufgaben grundsätzlich bejaht und ihn bei deren Erfüllung unterstützt. Dies bedeutet neben den erforderlichen Fortbildungsveranstaltungen, selbstverständlich auch den Umstand, dass dem Datenschutzbeauftragten die erforderliche Zeit zur Wahrnehmung der Tätigkeit eingeräumt wird, d.h., dass er von anderen Aufgaben entlastet wird. Bei mehreren Filialen kann eine Person für alle Filialen beauftragt werden. Ein Exemplar der Bestellungsurkunde muss in jeder Filiale vorliegen, eines erhält der DSB für seine Unterlagen. Seine Aufgaben sind unter anderem die Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme und die Schulung der Mitarbeiter bezüglich des Datenschutzes. Die Schulung sollte er dokumentieren und fehlende Mitarbeiter nachschulen. 6. Das Verfahrensverzeichnis: Die Grundlage für das Führen von Verfahrensverzeichnissen liegt im BDSG, genauer in 4g Abs. 2 BDSG. Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle, der Apotheke, eine Übersicht über die in 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Der Beauftragte für den Datenschutz macht die Angaben nach 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar. Ein solches Verfahrensverzeichnis kann 2015 Seite 27

28 beispielsweise im Internet veröffentlicht werden. Auf diese Art und Weise signalisiert eine Apotheke, dass das Thema Datenschutz ernst genommen wird und die gesetzlichen Verpflichtungen eingehalten werden. In dem öffentlichen Verfahrensverzeichnis ist unter anderem die Zweckbestimmung der Datenerhebung, Datenverarbeitung oder Datennutzung zu beschreiben. Darüber hinaus sind die betroffenen Personengruppen zu benennen, deren personenbezogene Daten erhoben, verarbeitet und genutzt werden. Weiterhin sind die Datenkategorien anzugeben, die Gegenstand der Datennutzung sind Seite 28

29 6.1. Internes Verfahrensverzeichnis Der erste Satz enthält zwei Informationen zu dem sog. internen Verfahrensverzeichnis: 1. Es ist von der verantwortlichen Stelle zur Verfügung zu stellen. Dies bedeutet eigentlich, dass entweder der/die Leiter/in z.b. ein Apotheker/in einer rechtlich selbstständigen Einheit, die personenbezogene Daten erhebt, verarbeitet oder nutzt, diese Übersicht erstellt, oder diese Aufgabe delegiert z.b. an einen IT-Leiter. Manchmal bleibt dem bdsb nichts anderes übrig, als die Übersicht einmal selbst zu erstellen und nur den erforderlichen Input von den jeweiligen Fachverantwortlichen einzuholen. Trotz dieses in der Praxis häufig anzutreffenden Umgangs mit dem Thema, sollte betont werden, dass es nach dem Wortlaut des BDSG nicht dem bdsb obliegt, selbst diese Übersicht zu erstellen; sie ist ihm vielmehr unaufgefordert bereitzustellen. 2. Es hat die Angaben aus 4e Satz 1 BDSG sowie über zugriffsberechtigte Personen zu enthalten. Nun gut, dies sind zumindest klare Anforderungen und Punkte, die man mit entsprechendem Know-how und ein wenig Geduld abarbeiten kann. Das Gesetz definiert den Begriff des Verfahrens nicht. Mit dem Begriff soll sichergestellt werden, dass nicht einzelne Verarbeitungsvorgänge, d. h. das Erheben oder Übermitteln bestimmter Daten, sondern einer bestimmten Zweckbestimmung dienende Verarbeitungspakete ( ) erfasst und bewertet werden. Beispiele sind Mitglieder- oder Personalverwaltung, Telefondatenerfassung, Videoüberwachung, Kundenbetreuung ( ) Auch hier hat sich in der Praxis gezeigt, dass selbst in mittelständigen Unternehmen eine ganze Reihe dieser Verfahren zum Einsatz kommen. Hier offenbart sich der erste der drei Vorteile von Verfahrensverzeichnissen: Man kann sich damit im wahrsten Sinne des Wortes eine Übersicht über die laufenden Verarbeitungen von personenbezogenen Daten verschaffen. Während die Verfahrensübersicht zur Orientierung reicht, sollte dennoch ergänzend ein komplettes Verzeichnis erstellt werden, in dem die erforderlichen Angaben zu den jeweiligen Verfahren detailliert aufgelistet werden. Nur dort, wo sinnvoll zusammengefasst werden kann, sollte dies auch geschehen, z.b. bei den Angaben zu 4e Nr. 1, 2 und 3 sowie bei einigen Angaben zu Nr Seite 29

30 6.2. Öffentliches Verfahrensverzeichnis Im Gesetz brauchen Sie nach diesem Begriff nicht zu suchen der Begriff hat sich unabhängig davon eingebürgert. Ausgangspunkt ist der o.g. 4g Abs. 2 Satz 2 BDSG. Auch hier sind wieder zwei Informationen enthalten: 1. Es enhält die Angaben nach 4e Satz 1 Nr. 1 bis 8 Was im Gegensatz zum internen Verzeichnis fehlt, sind also die allgemeinen Beschreibungen der technischen und organisatorischen Maßnahmen und der zugriffsberechtigten Personen. Dies ist nicht nur sinnvoll sondern auch erforderlich, denn diese Information sollte auf jeden Fall innerhalb einer organisatorischen Einheit bleiben. 2. Die Übersicht ist jedermann auf Antrag verfügbar zu machen Jedermann bedeutet genau das damit sind auch Sie gemeint. Machen Sie die Probe aufs Exempel und beantragen Sie ein solches Verzeichnis beim Online- Versender etc. Ihrer Wahl. Sie dürfen uns gerne von Ihren Erfahrungen berichten Beim öffentlichen Verfahrensverzeichnis zeigt sich, dass zumindest ein guter bdsb dieses sehr wohl in der eingangs erwähnten Schublade haben sollte der zweite Vorteil eines Verfahrensverzeichnisses. Hier reicht wiederum eine Übersicht eine detaillierte Auflistung muss nicht sein, es sollte aber zusammengefasst alle Verfahren beinhalten. Zum Schluss Bleibt noch der dritte Vorteil: Bei einer Prüfung durch die zuständige Aufsichtsbehörde für den Datenschutz sind regelmäßig beide Verfahrensverzeichnisse vorzulegen. Bleiben die Nachteile: Es ist ein nicht zu unterschätzender bürokratischer Aufwand, die Verzeichnisse sowohl zu erstellen wie zu pflegen. In der Praxis ist dies manchmal kaum zu schaffen und geht in der täglichen Arbeit oft unter. Doch überlegen Sie selbst, angesichts der beschriebenen Vorteile, ob es sich nicht lohnt, auch hierfür Ressourcen bereitzustellen vielleicht auch unter Zuhilfenahme eines externen Beraters? 2015 Seite 30

31 7. Rechte des Betroffenen: Was passiert, wenn bei Datenschutzverstößen Betroffene Schadenersatz fordern? Diese Ansprüche treffen zunächst die Apotheke. Ein entsprechender Versicherungsschutz ist daher wichtig. Die Apotheke hat aber die Möglichkeit des Rückgriffs gegen den Verursacher, wobei zwischen internen und externen DSB zu unterscheiden ist. Schon im eigenen Interesse sollte der DSB ständig seine ordnungsgemäße Aufgabenerfüllung belegen können, zum Beispiel indem er seine Tätigkeiten dokumentiert und regelmäßig an Fortbildungen teilnimmt. Datenzugriff auf Kundendaten durch Hacker, Verlust von transportablen Datenträgern oder Falschversendung einer mit Kundendaten: Solche Datenpannen in der Apotheke erfordern Handlungsbedarf, denn das BDSG sieht bei schwerwiegenden Datenpannen Informationspflichten vor. Die Aufsichtsbehörde ist unverzüglich offiziell zu informieren. Auch der Betroffene muss unterrichtet werden. Verspätete, unzureichende oder unterlassene Meldungen können sehr teuer werden. Leichte Verstöße gegen den Datenschutz werden mit Bußgeldern bis zu Euro geahndet, schwere mit bis zu Euro. Zur letztgenannten Gruppe gehört zum Beispiel die unterbliebene Information der Aufsichtsbehörde bei einer schweren Datenpanne. Mitarbeiter müssen bei Verstößen gegen den Datenschutz mit arbeitsrechtlichen Konsequenzen rechnen, etwa Abmahnung oder Kündigung. Die Aufsichtsbehörden kontrollieren den Datenschutz meistens anlassbezogen, zum Beispiel nach Beschwerden von Kunden, aber auch stichprobenweise. Bei einer Kontrolle ist die Apotheke verpflichtet, unverzüglich Auskunft zu erteilen. Fehlverhalten kann teuer werden. Anordnung von Maßnahmen, Abberufung eines DSB, Zwangsgeld: Die Aufsichtsbehörde hat verschiedene Möglichkeiten, datenschutzrechtliche Belange durchzusetzen. Sie hat aber auch die Aufgabe, die Apotheken bei Fragen zur Umsetzung des Datenschutzes zu beraten und zu unterstützen Seite 31

32 III. Regeln/Gebote des Datenschutzes/Sieben goldene Regeln des Datenschutzes: 1. Rechtmäßigkeit Für die Erhebung, Speicherung und Verarbeitung personenbezogener Daten benötigen Sie entweder eine Norm, oder aber eine Einwilligung. Gemäß 1 Abs. 3 BDSG ist das Bundesdatenschutzgesetz gegenüber eventuell einschlägigen Spezialgesetzen subsidiär anwendbar. Infolgedessen bietet es sich an, zunächst spezialgesetzliche Normen auf ihre Anwendbarkeit hin zu überprüfen. Sollten die Spezialgesetze keine Norm bereithalten, ist das Bundesdatenschutzgesetz zu prüfen. Rechtmäßigkeit liegt immer dann vor, wenn also ein Gesetz einschlägig ist, oder aber eine Einwilligung vorliegt. 2. Einwilligung Aus dem Grundrecht der informationellen Selbstbestimmung resultiert ein generelles Verbot der Datenerhebung. Es ist demnach verboten, was nicht ausdrücklich erlaubt wurde. Das bedeutet, im Bundesdatenschutzgesetz gilt als allgemeiner Grundsatz der des Verbots mit Erlaubnisvorbehalt zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Daten dürfen damit nicht erhoben, verarbeitet oder genutzt werden, außer der Betroffene hat dazu ausdrücklich seine Einwilligung erklärt oder das BDSG bzw. eine andere gesetzliche Vorschrift rechtfertigt den Vorgang gemäß 4 Abs. 1 BDSG. Im Übrigen muss der Betroffene für seine Einwilligung ausreichend informiert werden und diese Einwilligung in die Datenverarbeitung freiwillig und schriftlich erteilen. So ist der Betroffene über Dinge wie den Zweck der Erhebung oder die Nutzung seiner personenbezogenen Daten aufzuklären. Besondere Vorsicht ist bei der Verarbeitung ganz spezieller Arten personenbezogener Daten geboten. Dazu zählen Angaben zur rassischen und ethnischen Herkunft, politischen Meinung, religiösen oder philosophischen Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben 2015 Seite 32

33 Hier muss sich die Einwilligung nach 3 Abs. 9 BDSG ausdrücklich auf diese Daten beziehen. Die Rechtsgrundlage für nicht-öffentliche Stellen zu Datenerhebung finden sich in den 27 ff. BDSG. Für Unternehmen spielt vor allem der 28 BDSG eine wichtige Rolle. Dieser erlaubt das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke, 1. wenn es für die Begründung, oder der Beendigung eines rechtsgeschäftli chen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist, 2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle er forderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt oder, 3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Be troffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt. 3. Zweckbindung Werden personenbezogene Daten erhoben, verarbeitet, gespeichert oder genutzt, so unterliegen öffentliche, wie nicht-öffentliche Stellen dem Zweckbindungsgrundsatz nach 14, 28, 29 BDSG. Es ist daher sicherzustellen, dass die Daten tatsächlich nur dem Zweck einer eindeutigen, vorher konkret festgelegten Verwendungen dienen. Dieser konkrete Zweck der Verwendung ist der betroffenen Personen mitzuteilen. Sollen diese Daten für einen weiteren Zweck genutzt werden, muss eine erneute Einwilligung der betroffenen Person eingeholt werden. Beispielsweise muss im Rahmen einer Kundenkarte der Apothekenkunde auf den Zweck der Antragstellung hingewiesen werden. Sollten die Daten daraufhin an ein Pharma-Unternehmen weitergeleitet werden und schickt dieses Pharma- Unternehmen z.b. eine Tüte Bonbons an den jeweiligen Kunden, liegt ein datenschutzrechtlicher Verstoß vor. Die Erhebung der personenbezogenen Daten war vom ursprünglichen Zwecke nicht umfasst. Dem Kunden war nicht ersichtlich, dass mit seinen persönlichen Daten Drittunternehmen werben würden Seite 33

34 Ausnahmsweise kommt eine Verwendung der Personaldaten für andere Zwecke dann infrage, wenn: dabei z.b. die Wahrung berechtigter Interessen der verantwortlichen Stelle im Vordergrund steht, die Daten allgemein zugänglich sind oder veröffentlicht werden dürfen, wissenschaftliche Zwecke damit verknüpft werden, oder zur Werbung oder zu Mark-oder Meinungsforschung bei listenmäßige Übermittlung. 4. Erforderlichkeit Nach 3a BDSG gehört zum Schutz personenbezogener Daten das Prinzip der so genannten Datensparsamkeit, bzw. Datenvermeidung. Informationen zu einer konkreten, natürlichen Person dürfen demnach nur in dem Umfang erhoben werden, der für den Zweck von Nutzen sind. Die Folge daraus ist klar: Sind die Personendaten nicht unmittelbar erforderlich, dürfen sie nicht erhoben werden und müssen gelöscht oder zumindest gesperrt werden. Es sollten nur so viele Daten benötigt, aber so wenige wie möglich erhoben werden. Unter Bezugnahme auf die bereits erwähnten Kompressionsstrümpfe, ist regelmäßig die Adresse und der Name des Kunden zu speichern. Zusätzliche Daten wie das Alter, das Geburtsdatum und der Familienstand sind nicht erforderlich. Die Erhebung und Speicherung dieser Daten stellt sich wiederum als ein datenschutzrechtlicher Verstoß dar. Zudem sind personenbezogene Daten zu anonymisieren oder zu Pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und dies keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand darstellt. Gesetzt den Fall Sie lassen intern Statistiken über den Bezug des Arzneimittels Viagra anfertigen, sollten die Daten anonymisiert werden Seite 34

35 5. Transparenz Ein weiteres wichtiges Prinzip des Datenschutzes ist die Transparenz. Erhebt, verarbeitet oder nutzt ein Unternehmen, oder aber eine Apotheke personenbezogene Daten, muss damit transparent gearbeitet werden. Transparent bedeutet, das Unternehmen, oder aber die Apotheke muss bei der Datenerhebung mit seinem eigenen Namen auftreten, so dass sie für ihre Tätigkeit im Zweifel auch zur Verantwortung gezogen werden kann. Besonders wichtig ist dabei, die Erhebung und Verarbeitung von personenbezogenen Daten zu Kontrollzwecken zu dokumentieren. 6. Datensicherheit: Personenbezogene Daten unterliegen bei ihrer Verarbeitung einem Mindestmaß an Sicherheitsvorkehrungen. Das Bundesdatenschutzgesetz fordert dazu in 9 BDSG und in der Anlage zu 9 BDSG konkrete Schutzmaßnahmen. Demnach sind die Daten vor allem vor Verlust, unerlaubter Kenntnisnahme oder Verfälschung zu schützen Technische und organisatorische Maßnahmen: Die acht Gebote In einer Anlage zum BDSG ist der gesetzliche Maßstab zur technischorganisatorischen Umsetzung des Datenschutzes nachzulesen. Die acht Gebote des Datenschutzes lauten: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungskontrolle Seite 35

36 Apotheken sind dadurch aufgefordert, konkrete Schutzmaßnahmen zu ergreifen. Apotheken, die selbst oder im Auftrag anderer personenbezogene Daten erheben, verarbeiten oder nutzen, müssen technische und organisatorische Maßnahmen treffen, um die Daten wirksam zu schützen. Zutrittskontrolle: Nur befugte Personen dürfen Zutritt zu den Datenverarbeitungsanlagen haben. Die Zutrittskontrolle verlangt, Unbefugten den körperlichen Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren. Zugangskontrolle: Unbefugte dürfen keine Möglichkeit haben, die Datenverarbeitungsanlagen zu nutzen. Gemeint ist hiermit im Gegensatz zur Zutrittskontrolle das Eindringen in das EDV- System selbst seitens unbefugter (externer) Personen, während die nachfolgend geregelte Zugriffskontrolle die Tätigkeit innerhalb des EDV-Systems durch einen grundsätzlich Berechtigten außerhalb seiner Berechtigung umfasst. Zugriffskontrolle: Personen, die zur Benutzung der Datenverarbeitungsanlagen berechtigt sind, dürfen nur auf solche Daten zugreifen können, die ihrer jeweiligen Zugriffsberechtigung unterliegen. Zusätzlich darf es nicht möglich sein, dass personenbezogene Daten nach dem Speichern unbefugt gelesen, kopiert, verändert oder entfernt werden können. Weitergabekontrolle: Personenbezogene Daten dürfen während der elektronischen Übertragung oder während eines Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Dies muss nachvollziehbar und überprüfbar sein, an welchen Stellen Daten übermittelt werden Seite 36

37 Eingabekontrolle: Es muss nachträglich überprüft werden können, von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden. Auftragskontrolle: Werden personenbezogene Daten im Auftrag von Dritten verarbeitet, darf dies nur den Anweisungen des Auftraggebers folgend geschehen. Verfügbarkeitskontrolle: Die Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein und meint damit z.b. Wasserschäden, Brand, Blitzschlag, Stromausfall. Beispiele für Sicherungsmaßnahmen sind: Auslagerung von Sicherungskopien, Notstromaggregate, unterbrechungsfreie Stromversorgung, Katastrophenplan, etc. Trennungsgebot/Getrennte Verarbeitung: Zu unterschiedlichen Zwecken erhobene Daten müssen grundsätzlich auch getrennt verarbeitet werden können. Diese Maßnahmen werden üblicherweise von dem Datenschutzbeauftragten des Unternehmens sichergestellt und überwacht. Bei Unternehmen, die nicht verpflichtet sind, Datenschutzbeauftragte zu bestellen, muss die verantwortliche Stelle sicherstellen, dass diese Anforderungen erfüllt werden. Falls automatisierte Verarbeitungen zur Anwendung kommen, die eine Vorabkontrolle nötig machen, ist die Bestellung von Datenschutzbeauftragten stets Pflicht. Selbstverständlich sind beispielsweise das Verschließen der Apothekenräume, eine festgelegte Schlüsselregelung für das Personal und regelmäßige Datensicherungen. Aber auch eine Benutzerkennung mit Passwortsicherung, die Beschränkung der Administrator- und Userrechte auf das zwingend Erforderliche und klare Regeln für die Mitarbeiter, an wen Daten weitergegeben werden dürfen, sind hier zu bedenken Seite 37

38 6.2. Pflichten bei unerlaubter Datenweitergabe: Apotheken, die feststellen, dass gespeicherte Daten unrechtmäßig an Dritte weitergegeben wurden und dadurch die Rechte und schutzwürdigen Interessen der Betroffenen schwer beeinträchtigt werden, sind verpflichtet, dies unverzüglich sowohl dem Betroffenen, als auch dem Landesbeauftragten für den Datenschutz zu melden gemäß 42a BDSG. Das betrifft: Besondere Arten personenbezogener Daten (Angaben über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Über zeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben), personenbezogenen Daten, die einem Berufsgeheimnis unterliegen, personenbezogene Daten, die sich auf strafbare Handlungen oder Ord nungswidrigkeiten oder den Verdacht darauf beziehen, und personenbezogene Daten bezüglich Bank-oder Kreditkartenkonten. Der Betroffene muss darüber informiert werden, auf welche Art die Daten unrechtmäßig zugänglich geworden sind und welche Maßnahmen er treffen kann, um negative Folgen abzuwenden. Zudem ist dem Landesbeauftragten für Datenschutz mitzuteilen, welche negativen Folgen mit dem Bekanntwerden der Daten verbunden sein können und welche Maßnahmen durch das Unternehmen getroffen wurden, um dem entgegenzuwirken. Falls die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand darstellt (z.b. aufgrund der Vielzahl der Betroffenen), muss das Unternehmen stattdessen die Öffentlichkeit per Anzeigen informieren. Diese Anzeige muss mindestens halbseitig sein und in mindestens zwei bundesweit aufgelegten Tageszeitungen erscheinen, bzw. auf eine vergleichbare acht und Weise veröffentlicht werden Datenschutz bei der Datenträgervernichtung: Auch das Löschen personenbezogener Daten, bzw. das vernichten elektronisch oder mechanisch lesbarer Datenträger (z.b. CD-ROMs, Festplatten, Akten) ist eine Form der Verarbeitung im Sinne des Bundesdatenschutzgesetzes und muss nach bestimmten Vorschriften erfolgen. Werden Daten im eigenen Unternehmen gelöscht oder 2015 Seite 38

39 Datenträger vernichtet, muss das Unternehmen bzw. die dort verantwortliche Stelle sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt werden. Wird ein auf Datenvernichtung spezialisiertes gewerbliches Drittunternehmen mit der Löschung oder Datenträgervernichtung beauftragt, muss der Auftrag schriftlich erfolgen und muss folgende Angaben enthalten gemäß 9, 11 BDSG: Welcher Art die Daten oder Datenträger sind und wie die Schutzbedürftigkeit der Daten eingestuft wird, auf welche Weise die Vernichtung erfolgen muss, wo die Datenträger vernichtet werden, von wem die Datenträger abgeholt und wie sie transportiert werden, wo die Datenträger bis zur Vernichtung aufbewahrt werden, bis wann die Datenträger vernichtet sein müssen, Ob der Auftragnehmer andere Unternehmen bei der Vernichtung einschalten darf und dass das Unternehmen als Auftraggeber berechtigt ist, Transport und Vernich tung zu überwachen. Als Auftraggeber muss sich die Apotheke, bzw. der Datenschutzbeauftragte oder die sonst verantwortliche Stelle davon überzeugen, dass der Auftragnehmer die im Vertrag festgehaltenen Maßnahmen einhält. Dies gilt auch, wenn regelmäßig das gleiche Unternehmen mit der Datenvernichtung betraut wird. Es ist in diesem Fall stichprobenartig die Einhaltung der Maßnahmen zu überprüfen. Bis zum Abschluss der Vernichtung der Datenträger ist ausschließlich der Auftraggeber, also die Apotheke, für die Einhaltung der Datenschutzanforderungen verantwortlich. Verstößt die Apotheke gegen die vorstehend dargestellten Pflichten, drohen gemäß 43 BDSG Bußgelder von bis zu Dabei soll die Höhe des Bußgeldes den Vorteil, den derjenige hatte, der seine datenschutzrechtlichen Pflichten verletzt hat, übersteigen Seite 39

40 7. Kontrolle / Rechte des Betroffenen Die Rechte des Betroffenen sind bei der Datenerhebung für nicht-öffentliche Stellen in BDSG geregelt Benachrichtigung und Auskunft: Der Betroffene hat gegenüber dem Unternehmen, das Daten über ihn verarbeitet, bei erstmaliger Speicherung seiner Daten das Recht, von der Datenerhebung in Kenntnis gesetzt zu werden, wenn die Speicherung ohne sein Wissen erfolgte, 33 Abs. 1 BDSG. Zudem ist der Betroffene gemäß 33 Abs. 1 BDSG über die Art der Daten, die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und die Identität der verantwortlichen Stelle zu unterrichten. Der Betroffene kann weiter nach 34 Abs. 1 BDSG Auskunft von der erhebenden Stelle darüber verlangen, welche Daten von ihm gespeichert wurden, wo die Speicherung stattgefunden hat, zu welchem Zweck die Daten erhoben oder verarbeitet wurden, von wem die Daten erhoben wurden und wer der Empfänger seiner Daten war. Benachrichtigung und Auskunft sind Ausprägung des Transparenzgedankens. Auf diese Rechte kann der Betroffene auch vertraglich nicht verzichten, sie sind unabdingbar. Gegenläufige Formulierungen im Rahmen der Kundenkarte oder dergleichen sind somit mit dem Bundesdatenschutzgesetz nicht vereinbar, rechtlich unwirksam und somit am besten gar nicht zu verwenden Berichtigung, Löschung und Sperrung Unrichtige personenbezogene Daten sind gemäß 35 Abs. 1 BDSG zu berichtigen. Die personenbezogenen Daten sind auf Verlangen des Betroffenen zu löschen. Zudem sind personenbezogene Daten nach 35 Abs. 2 BDSG zu löschen, wenn ihre Speicherung unzulässig ist, es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann, sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder 2015 Seite 40

41 sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, dass der erstmaligen Speicherung folgt, ergibt, dass eine länger währende Speicherung nicht erforderlich ist. An die Stelle der Löschung tritt gemäß 35 Abs. 3 BDSG eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist. Sperren von Daten bedeutet, dass die Daten in der entsprechenden Datei des verarbeitenden Unternehmens verbleiben, jedoch doch einen so genannten Sperrvermerk gekennzeichnet werden und somit für die weitere Verarbeitung und zugänglich werden. 8. Was passiert bei einer Datenpanne: 42a BDSG kodifiziert Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten. Stellt eine nicht-öffentliche Stelle fest, dass bei ihr gespeicherte 1. besondere Arten personenbezogener Daten ( 3 Abs. 9), 2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen, 3. personenbezogene Daten, die sich auf strafbare Handlungen und Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder 4. personenbezogene Daten zu Bank-oder Kreditkartenkonten unrechtmäßig übermittelt, oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und schwerwiegende Beeinträchtigungen für die Rechte und Interessen der Betroffenen drohen, muss die Daten verarbeitende Stelle unverzüglich die zuständige Aufsichtsbehörde, sowie den Betroffenen unterrichten. Die spezialgesetzliche Aufzählung ähnlicher Normen würde den Rahmen dieses Scripts sprengen Seite 41

42 8.1. Unrechtmäßige Übermittlung oder Kenntniserlangung in sonstiger Weise: 42a BDSG setzt die Offenbarung der Daten an einen Dritten voraus. Dies kann durch Übermittlung, oder Kenntniserlangung auf sonstige Weise geschehen. Unrechtmäßig ist die Übermittlung, wenn Sie nicht auf einem Erlaubnistatbestand der Einwilligung nach 4a BDSG, oder etwa den 28 ff. BDSG beruht. Anwendungsfälle sind etwa der Datendiebstahl auf Serversystemen, oder der irrtümliche Versand personenbezogener Informationen an eine falsche Adresse. Typisch ist dafür die Versendung einer an den falschen Empfänger. Mitarbeiter der verantwortlichen Stelle und Auftragsdatenverarbeitung sind grundsätzlich nicht als Dritte anzusehen. Verwendet ein Mitarbeiter jedoch Informationen seines Arbeitgebers missbräuchlich zu privaten Zwecken, handelt er insofern jedoch nicht mehr als Teil der verantwortlichen Stelle. Ein datenschutzrechtlicher Verstoß ist gegeben Wann muss ich informieren: 42a S. 1 BDSG spricht davon, dass die Kenntniserlangung von der Daten verarbeitenden Stelle festgestellt worden sein muss. Gleichwohl wird die Vorschrift dahingehend verstanden, dass bereits eine hohe Wahrscheinlichkeit der Kenntnisnahme durch Dritte genügt. Dies entspricht dem Schutzzweck des Bundesdatenschutzgesetzes, den Betroffenen vor einem möglichen Datenmissbrauch zu warnen. LIEB.Rechtsanwälte raten: Im Falle geschickter Angreifer, die ihre Spuren auf dem datenverarbeitenden System weitgehend verwischen, sollte proaktiv gehandelt werden. Es ist besser, den Betroffenen und die Aufsichtsbehörde, bereits bei der Möglichkeit eines Datenschutzverstoßes zu involvierten, als abzuwarten und Zeit vergehen zu lassen. Die Feststellung, dass sich eine Datenpanne ereignet hat, muss nicht zwingend vom Apothekeninhaber getroffen werden. Insoweit bedarf es der Installation eines geeigneten Verfahrens, um die betriebsinterne Kommunikation zu gewährleisten Drohen schwerwiegende Beeinträchtigungen: Die Bedrohungslage ist anhand objektiver Kriterien zu bewerten. Ein allzu strenger Maßstab sollte hierbei nicht angelegt werden. Je größer der potentielle Schaden ausfallen könnte, desto geringer sollten die Anforderungen an die Eintrittswahrscheinlichkeit veranschlagt werden. Das nachfolgende Schema dürfte Ihnen dabei eine geeignete Hilfestellung bieten: 2015 Seite 42

43 Indizien zur Gefahrenprognose: Auf Seiten der Betroffenen sind zu berücksichtigen: o Übermittelte Datenkategorie(n) o abstraktes Missbrauchsrisiko: o Risiko materieller Schäden o Risiko des Identitätsbetruges o Risiko soziale Nachteile o Gefahr von Erpressbarkeit, Bloßstellung, Rufschädigung Auf Seiten der Empfänger sind zu berücksichtigen: o o Zahl der Empfänger konkretes Missbrauchsrisiko, z.b. o handelt es sich um einen vorsätzlichen Angriff durch Dritte oder eine unachtsamen Herausgabe durch die datenverarbeitende Stelle? o Hat der Empfänger selbst auf das Datenleck aufmerksam gemacht? o Ist die datenverarbeitende Stelle ein allgemein lohnendes Ziel für Angriffe? o Risiko der Weitergabe und/oder Veröffentlichung Art und Weise der Information: Nachrichtenempfänger ist die zuständige Aufsichtsbehörde, wie auch der Betroffene selbst. Die Benachrichtigung hat dabei unverzüglich zu erfolgen. Dies bedeutet jedoch nicht, dass sofort übermittelt werden muss. Die Daten verarbeitende Stelle hat zunächst ausreichend Zeit beispielsweise dem Betroffenen Handlungsempfehlungen zu erteilen, um sich gegen den Missbrauch seiner Daten zu schützen. Gemäß 42a S. 3 BDSG muss die Benachrichtigung der Betroffenen eine Darlegung der Art der unrechtmäßigen Kenntniserlangung, sowie Empfehlungen für Maßnah Seite 43

44 men zur Minderung möglicher nachteiliger Folgen enthalten. Die Betroffenen sollen letztendlich erkennen können, was die Ursache für das Datenleck war und wer hierfür verantwortlich ist. Es genügt also z.b. die Angabe, dass ein Datendiebstahl, ein Angriff auf das IT System, oder eine irrtümliche Übermittlung stattgefunden hat. Ins Detail müssen Sie hierzu nicht gehen. Gerade im Hinblick auf eventuelle Nachahmer reicht das dargelegte Vorgehen aus. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss gemäß 42a S. 4 BDSG zunächst alle Informationen enthalten, die dem Betroffenen mitgeteilt werden. Zudem ist eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen anzufügen. Eine bestimmte Form wird vom Gesetz nicht gefordert. Freilich empfiehlt sich regelmäßig zumindest die Textform, eine telefonische Mitteilung ist ebenfalls möglich. Soweit die individuelle Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde, genügt auch die Information der Öffentlichkeit. Die öffentliche Information wird nach Vorstellung des Gesetzgebers sichergestellt durch Anzeigen mindestens zwei bundesweit erscheinenden Tageszeitungen, welche jeweils mindestens eine halbe Seite umfassen müssen. Die Kosten für eine solche Maßnahme belaufen sich auf ca Wenn der Kreis der Betroffenen entsprechen lokal angesiedelt ist, kann dies auch durch elektronische Medien, oder regionale Zeitungen erfolgen Haftung und Schadensersatz: Wenn die Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemacht wird, stellt dies eine Ordnungswidrigkeit gemäß 43 Abs. 2 Nr. 7 BDSG dar. Der Verstoß kann mit einer Geldbuße bis zu geahndet werden. Weiterhin kann der Betroffene gemäß 7 BDSG und gemäß 823 BGB Ihnen gegenüber Schadensersatzansprüche geltend machen. Freilich hängt dies jedoch von dem Vorliegen einer konkreten Schadensposition bei dem Betroffenen ab. 9. Handlungsempfehlungen: I. Formulierung von internen Richtlinien für den Fall einer Datenpanne Definition von Datenpannen Identifizierung der zuständigen Aufsichtsbehörde Festlegung von Data-Breach-Notification-Verantwortlichen (wer entscheidet, ob sich eine Datenpanne im Rechtssinne ereignet hat, muss hinreichend geschützt sein) und weiteren Ansprechpartnern 2015 Seite 44

45 gegebenenfalls Schaffung eines Krisenteams Unterrichtung sämtlicher Mitarbeiter II. Implementierung eines geeigneten Security Incident Response Systems Monitoring der IT-Systeme auf sicherheitsrelevante Zugriffe Bestimmung von Art und Umfang des Datenlecks Beseitigung von Datenlecks und Sicherheitsrisiken Sicherstellung Computer forensischer Analyse III. Implementierung eines geeigneten Data Breach Notification Management Systems: Festlegung von Kommunikationswegen Kooperation verschiedener Untergliederungen Informationsaustausch mit Auftragsdatenverarbeitung rechtzeitige Benachrichtigung der Entscheidungsträger Vorbereitung von Musterbenachrichtigungen IV. Kontakt zu Aufsichtsbehörde: Erörterung von Zweifelsfällen schon vor offizieller Meldung Beachtung behördlicher Hinweise, sofern vorhanden Vermeidung befindlicher Benachrichtigungsanordnungen nach 38 Abs. 5 S. 1 BDSG V. Kontakt zur Strafverfolgungsbehörde: Erstattung einer Strafanzeige/gegebenenfalls Stellen eines Strafantrages Abstimmung, ob Betroffenen Mitteilung die Ermittlungen gefährden könnte 10. Checkliste des Data-Breach-Notification-Verantwortlichen: Vorliegen einer Datenpanne: Wann und wo ist die Datenpanne aufgetreten? Wie sind die Daten abhandengekommen? Sind Daten im Sinne des 42a S. 1 Nr. 1-4 BDSG betroffen? Wie viele Datensätze sind (ungefähr) betroffen? Ist der Empfänger der Daten bekannt? Besteht das Risiko eines Datenmissbrauchs? 2015 Seite 45

46 Drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen? Weiteres Vorgehen: Welche Maßnahmen zur Sicherung der Daten wurden ergriffen? Kann der Missbrauch noch verhindert werden oder dessen Folgen eingedämmt werden? Gefährde die Mitteilung an den Betroffenen laufende Ermittlungen? Welche Abteilungen sind zu informieren und einzubinden? Welche Datenschutzaufsichtsbehörde zuständig? Ist Strafantrag zu stellen/strafanzeige zu erstatten? Bestehen Anzeigenkontakte mit bundesweit erscheinenden Tageszeitungen? 2015 Seite 46

47 11. Muster: Mitarbeiterrichtlinie zum Umgang mit Daten von der nach 42a BDSG In unserer Apotheke Werden personenbezogene Daten verarbeitet. Diese bedürfen des besonderen Schutzes. Im Falle einer Datenpanne ist unserer Apotheke verpflichtet, die Betroffenen und die zuständige Datenschutzaufsichtsbehörde zu informieren. Ziel der Regelung ist unter anderem, bei Datenverlusten Folgeschäden für den Betroffenen in Form von finanziellen Einbußen unter sozialen Nachteilen zu vermeiden. Personenbezogene Daten sind alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person ( 3 Abs. 1 BDSG). Eine Datenpanne im Sinne des Bundesdatenschutzgesetzes liegt vor, wenn gesetzlich näher bezeichnete sensible personenbezogene Informationen unrechtmäßig an Dritte weitergegeben werden oder Dritte sich diese Daten unrechtmäßig verschaffen. Eine Datentanne liegt auf, wenn Geräte oder Speichermedien mit unverschlüsselt Daten verloren gehen. Sollten Sie bemerken oder den Verdacht haben, dass personenbezogene Daten unrechtmäßig Dritten zugänglich gemacht wurden, sich Dritte solche Daten unrechtmäßig verschafft haben oder entsprechende Informationen abhandengekommen sind, informieren Sie bitte umgehend (Zimmer/Durchwahl) (Hinweis: Bitte ausfüllen. Als unternehmensinternen Adressaten der Meldung kommen etwa in Betracht: Der Apotheker, der Datenschutzbeauftragte) Aus dieser Meldung entstehen Ihnen als Mitarbeiter/in keinerlei berufliche oder persönliche Nachteile. Die Namensangabe erfolgt freiwillig. 1. wann und wo ist die Datenpanne aufgetreten? 2. Beschreibung des konkreten Vorfalls z.b. Verlust oder Diebstahl von Datenträgern, unrechtmäßige/irrtümliche Übermittlung, unrechtmäßige Einsichtnahme durch einen Mitarbeiter, Angriff auf Computersysteme 3. welche Datenarten sind betroffen? Angaben über rassische oder ethnische Herkunft politische Meinungen religiöse oder philosophische Überzeugungen Gewerkschaftszugehörigkeit 2015 Seite 47

48 Gesundheit Sexualleben Daten, die einem Berufsgeheimnis unterliegen Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder einen Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen sonstige/unbekannt 4. wie viele Datensätze sind (ungefähr betroffen? 5. besteht aus Ihrer Sicht das Risiko des Datenmissbrauchs? Ja nein Wenn nein, warum? 6. drohen aus Ihrer Sicht schwerwiegende Beeinträchtigungen für die Rechte und schutzwürdige Interessen der Betroffenen (z.b. Identität betrug, unberechtigte Abbuchungen, soziale Nachteile)? Ja nein Wenn nein, warum? 7. sind Maßnahmen zur Sicherung der Daten ergriffen worden? 8. sonstige Mitteilungen: Name (optional) Datum 2015 Seite 48

49 12. Muster: Apotheke X-Stadt Öffentliches Verfahrensverzeichnis für Jedermann Gemäß 4g BDSG hat der Beauftragte für Datenschutz auf Antrag Jedermann in geeigneter Weise die in 4e BDSG festgelegten Angaben verfügbar zu machen. Dieser Verpflichtung kommen wir hier nach und verzichten damit auf den individuellen Antrag Ihrerseits. 1. Name der Verantwortlichen Stelle 2. Inhaber / Leiter Apotheke X-Stadt Apotheker Max Mustermann 3. verantwortlicher Leiter der Datenverarbeitung 4. Anschrift Apotheker Max Mustermann Lange Str X-Stadt 5. Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung Die entsprechenden Daten werden erhoben, verarbeitet und genutzt zum Betrieb einer Apotheke mit der Beschaffung, Bewertung und Abgabe von Waren und Informationen, sowie der Erbringung von Dienstleistungen und der Abrechnung von Leistungen. 6. Beschreibung der betroffenen Personengruppen Es werden im Wesentlichen zu folgenden Gruppen, soweit es sich um natürliche Personen handelt, personenbezogene Daten erhoben, verarbeitet und genutzt: - Kunden, potentielle Kunden, Interessenten - Lieferanten - Ärzte, Therapeuten - Mitarbeiter, ehemalige Mitarbeiter, Bewerber - Krankenkassen - Dienstleistungserbringer 2015 Seite 49

50 - Kommunikationspartner - Kontaktpersonen zu den vorgenannten Gruppen 7. Beschreibung der Datenkategorien Die Datenerhebung, -verarbeitung und -nutzung erfolgt zur Ausübung der oben genannten Zwecke. - Stamm-, Liefer-, Bewegungs-, Zahlungs-, Betreuungs- und Abrechnungsdaten - Gesundheitsdaten - Telefonverbindungen - Daten von Dienstleistern - Standortbestimmung der dienstlich genutzten Fahrzeuge - Daten zur Erfüllung sozialversicherungsrechtlicher und sonstiger gesetzlicher Verpflichtungen 8. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können: intern: - Mitarbeiter extern: - Ärzte, Therapeuten, Krankenhäuser, Pflege- und Betreuungseinrichtungen - EDV-Dienstleister, Rechenzentren - Standesvertretungen - Kreditinstitute - Versicherungsgesellschaften - Steuerberater - öffentliche Stellen, die Daten aufgrund gesetzlicher Vorschriften erhalten, wie z.b. Finanzbehörden und Sozialversicherungsträger - externe Auftragsnehmer entsprechend 11 BDSG 2015 Seite 50

51 9. Regelfristen für die Löschung der Daten Der Gesetzgeber hat vielfältige Aufbewahrungspflichten und -fristen erlassen. Nach Ablauf dieser Fristen werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr erforderlich sind. Sollten Daten hiervon nichtmehr erforderlich sein, werden sie gelöscht, sobald die unter Punkt 5 genannten Zwecke weggefallen sind. 10. Geplante Datenübermittlung an Drittstaaten Eine Übermittlung der Daten an Drittstaaten ist nicht geplant. Kontakt zum Beauftragten für Datenschutz: Datenschutzbeauftragte der Apotheke X-Stadt c/o Frau Petra Mustermann Lange Str X-Stadt datenschutz@apotheke-x-stadt.de 2015 Seite 51

52 2015 Seite 52

53 13. Muster: Verpflichtungserklärung bezüglich des Bundesdatenschutzgesetzes Ich, Frau/Herr..wurde darauf hingewiesen, dass es untersagt ist, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis, 5 BDSG). Diese Verpflichtung besteht über die Beendigung meiner Tätigkeit hinaus. Verstöße gegen das Datengeheimnis können nach 43, 44 BDSG sowie anderen einschlägigen Rechtsvorschriften (wie z. B. 203 StGB, Verletzung von Privatgeheimnissen) mit einer Geldbuße oder Geld- oder Freiheitsstrafe geahndet werden. In der Verletzung des Datengeheimnisses kann zugleich eine Verletzung arbeitsrechtlicher Schweigepflichten liegen. Eventuelle arbeitsrechtliche Maßnahmen werden dadurch nicht ausgeschlossen. Gleichzeitig wird hiermit bestätigt, eine Durchschrift dieser Verpflichtungserklärung erhalten zu haben. Ort, Datum..... (Unterschrift des/der Verpflichteten) 2015 Seite 53

54 2015 Seite 54

55 14. Muster: Benachrichtigung der Betroffenen Information nach 42a des Bundesdatenschutzgesetzes Sehr geehrter Am ( )/Im Zeitraum von ( ) bis ( ) Sind ihre bei uns gespeicherten personenbezogenen Daten dritten unrechtmäßig zur Kenntnis gelangt. Alternativ: Es ist nicht auszuschließen, dass ihre bei uns gespeicherten personenbezogenen Daten am ( )/Im Zeitraum von ( ) bis ( ) Dritten unrechtmäßig zur Kenntnis gelangt sind. In diesem Zeitraum sind Daten mit personenbezogenen und gesundheitsbezogenen Daten von Unbekannten entwendet worden. Die Daten enthalten Namen, Adressen, Rezeptinformationen, etc. Im Missbrauchsfall sind Daten möglicherweise geeignet, schwerwiegende Beeinträchtigungen für ihre Rechte und schutzwürdigen Interessen herbeizuführen. Bitte achten Sie in Ihrem eigenen Interesse auf unerwartete, bzw. verdächtige Kenntnis Dritter von ihren persönlichen Lebensumständen. Der Landesdatenschutzbeauftragte und die Staatsanwaltschaft Sind über den Vorfall bereits informiert. Bitte teilen Sie etwaige Unregelmäßigkeiten unserer Datenschutzabteilung mit. Mit freundlichen Grüßen 2015 Seite 55

56 2015 Seite 56

57 15. Muster: Benachrichtigung der Aufsichtsbehörde An (die zuständige Datenschutzaufsichtsbehörde) am ( )/Im Zeitraum von ( ) Bis ( ) Sind bei uns gespeicherte personenbezogene Daten im Sinne von 42a S. 1 BDSG dritten unrechtmäßig zur Kenntnis gelangt. Alternativ: Es ist nicht auszuschließen, dass bei uns gespeicherte personenbezogene Daten im Sinne von 42a S. 1 BDSG am ( )/Im Zeitraum von ( ) Bis ( ) Dritten unrechtmäßig zur Kenntnis gelangt sind. 1.) Beschreibung des konkreten Vorfalls z.b. Verlust oder Diebstahl von Datenträgern, unrechtmäßige/irrtümliche Übermittlung, unrechtmäßige Einsichtnahme durch einen Mitarbeiter, Angriff auf Computersysteme 2.) Welche Datenarten im Sinne von 42a S. 1 BDSG sind betroffen: Angaben über rassische oder ethnische Herkunft politische Meinungen religiöse oder philosophische Überzeugungen Gewerkschaftszugehörigkeit Gesundheit Sexualleben Daten, die einem Berufsgeheimnis unterliegen Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder einen Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen sonstige/unbekannt 3.) Wie viele Datensätze sind (ungefähr) betroffen? 4.) Gefahrenpotenzial Die Betroffenen Daten bergen ein Missbrauchsrisiko und könnten dazu verwendet werden, Identitäten (etwa bei online-geschäften) vorzutäuschen Vermögensschäden herbeizuführen soziale und/oder berufliche Nachteile herbeizuführen sonstige Nachteile herbeizuführen 2015 Seite 57

58 5.) Maßnahmen Welche Maßnahmen wurden zum Schutz der im konkreten Fall betroffenen personenbezogenen Daten ergriffen (z.b. Information von irrtümlichen Empfängern und Aufforderung zur Datenlöschung)? Welche Maßnahmen wurden ergriffen, um die Ursache der unrechtmäßigen Kenntniserlangung personenbezogener Daten für die Zukunft zu beseitigen (einspielen von Sicherheitspatches, Einführung von Verschlüsselungsverfahren)? Wenn entsprechende Strafanzeige ist anhängig. Wenn ja, Staatsanwaltschaft.. Die Betroffenen sind informiert worden. Ja nein Wenn ja, durch Individuelle Mitteilung Öffentliche Bekanntmachung. Wenn nein, warum nicht? Ein Muster der Benachrichtigung ist als Anlage beigefügt. Die Betroffenen sind gebeten worden, sich vor einem eventuellen Missbrauch der Daten durch kriminelle Dritte zu schützen durch 6.) Kontakt Bei Rückfragen wenden Sie sich bitte an ( ) 2015 Seite 58

59 16. Muster Frau/Herrn BESTELLUNG EINES DATENSCHUTZBEAUFTRAGTEN Sehr geehrte/r Frau/Herr, ich/wir bestellen Sie mit sofortiger Wirkung zur/m Datenschutzbeauftragten gemäß 4f Bundesdatenschutzgesetz. In Ihrer Funktion als Datenschutzbeauftragte/r sind Sie der Geschäftsleitung unmittelbar unterstellt. Zuständiges Mitglied der Geschäftsleitung ist Ihre Aufgaben als Datenschutzbeauftragte/r ergeben sich aus dem Bundesdatenschutzgesetz. In Anwendung Ihrer Fachkunde auf dem Gebiet des Datenschutzes sind Sie weisungsfrei. Über Ihre Tätigkeit werden Sie der Geschäftsleitung laufend Bericht erstatten. Erforderliche Organisationsanweisungen schlagen Sie der Geschäftsleitung vor Seite 59