Ein Gespenst geht um in der EU: die DSGVO kommt

Am 25. Mai 2018 ist es soweit: die EU-DatenSchutzGrundVerOrdnung (DSGVO) tritt in Kraft. Viele Unternehmen und Vereine fragen sich jetzt was man tun muss um den neuen Datenschutzrichtlinien gerecht zu werden.

Auch bei uns in der Apotheke ist die DSGVO immer wieder Thema. Dummerweise ist es so, dass es oft wenig Klarheit gibt. Es geht los beim Datenschutzbeauftragten (DSB). Bisher -nach altem Datenschutzrecht- war ein DSB erst ab 10 „datenverarbeitenden Personen“ notwendig. Gut, unsere Apotheke hat weniger als 10 Mitarbeiter, alles kein Problem. Denkste! Denn die EU-DSGVO unterscheidet zwischen „normalen“ und „gefährlichen“ Daten. Und die Sozialversicherungsdaten, die typischerweise in Apotheken und natürlich auch Arztpraxen anfallen, gehören zu den „gefährlichen“ Daten. Wenn dem so ist, müssten wir also, obwohl weniger als 10 Köpfe, einen DSB ausbilden lassen oder extern bestellen. Nota bene: auch wenn ein DSB bestellt ist, hat dieser keine Weisungsbefugnis und ist auch für nichts verantwortlich. Verantwortlich ist immer die Unternehmensleitung, in der Apotheke also der/die Inhaber/in.

Für mich als Chef ist das natürlich toll: wenn ich einen Datenschutzbeauftragten (DSB) bestellen muss, kann ich den extern bestellen (und bezahlen), habe aber eigentlich nix davon, weil ich ja trotzdem verantwortlich bin. Bilde ich eine(n) Mitarbeiter(in) meiner Apotheke zum DSB aus, ist die Sachlage gleich, außerdem genießt der interne DSB einen Kündigungsschutz, der erst 1 Jahr nach seiner Abberufung wieder aufgehoben wird. Insgesamt also eine Lose-Lose-Situation, die ich gerne vermeiden möchte.

Also habe ich bei der Landesdatenschutzbehörde angefragt wie das jetzt mit den Kleinbetrieben im Apothekenbereich ist. Hier die offzielle Antwort, die ich vor wenigen Tagen erhalten habe:

Sehr geehrter Landapotheker,

vielen Dank für Ihre E-Mail. Die von Ihnen aufgeworfene Frage, unter welchen Voraussetzungen nach der EU-DSGVO (und dem am 25. Mai 2018 in Kraft tretenden neuen Bundesdatenschutzgesetz) Apotheken, beispielsweise die Ihrige, einen eigenen Datenschutzbeauftragten zu benennen haben, ist derzeit Gegenstand der Erörterung durch die Konferenz der unabhängigen Datenschutzbehörden in Deutschland (Datenschutzkonferenz). Dabei sollen eine für ganz Deutschland einheitliche Interpretation und Anwendung der neuen Rechtsvorschriften und die damit einhergehende Rechtssicherheit erzielt werden. Wenn die Arbeit der Datenschutzkonferenz den gewünschten Fortgang nimmt, können eventuell Ende April 2018 Ergebnisse veröffentlicht werden.

Daher wäre es aus unserer Sicht erwägenswert, wenn auch Sie zunächst die Ergebnisse dieser Arbeit abwarten. Wir würden Sie dann so rasch wie möglich per E-Mail über diese Ergebnisse informieren (ungeachtet der Tatsache, dass wir die Ergebnisse dem allgemeinen Publikum zugänglich machen und somit auch im Internet veröffentlichen würden).

Wir hoffen, Sie sind mit einer solchen Vorgehensweise einverstanden.

Mit freundlichen Grüßen

Im Auftrag

Landesdatenschutzbehöre

Aha. Da bin ich jetzt nicht wirklich schlauer.

Neben dem Datenschutzbeauftragten (DSB) braucht es auch noch ein Verarbeitungs- und ein Verfahrensverzeichnis. Darin soll dann festgehalten werden welche Daten von Kunden, Angestellen, Lieferanten und sonst wem wie lange, auf welcher Rechtsgrundlage und wofür gespeichert werden. Ach ja, und wenn es sich um „gefährliche“ Daten handelt, benötigt man auch noch eine Datenschutzfolgeabschätzung. D.h. was passiert wenn mal was schief geht? Daneben müssen noch technische Dokumentationen über die Datensicherheit auf den Servern und PCs erstellt werden (Zugriffsrechte, Protokolle, etc.)

Hallo? Ich muss eine Apotheke leiten, keine Verzeichnisse erstellen. Das habe ich doch erst bei der Verfahrensdokumentation für die Kassennachschau, die einen eigenen Blog-Artikel wert wäre (soll ich?), gemacht?! Also jetzt auch noch die Datenschutzdokumente erstellen, ich habe ja sonst nichts zu tun.

Und wie ist das jetzt mit der Belieferung von Rezepten? Müssen wir jeden Kunden darauf hinweisen, dass seine Daten von uns und unserem Rechenzentrum und seiner Krankenkasse weiterverarbeitet und teilweise gespeichert werden? Müssen wir alle Kunden mit Kundenkarte anschreiben, dass sich etwas geändert hat und ggf. neue Erlaubnisse zum Speichern der Daten einholen?

Ehrlich gesagt: keine Ahnung! Vermutlich machen wir erst mal weiter wie bisher, in den nächsten Wochen wird sich hoffentlich die Datenschutzbehörde melden und ein wenig Klarheit schaffen. Stay tuned!

 

Advertisements
Tagged with: ,
Veröffentlicht in Politischer Wahnsinn
5 comments on “Ein Gespenst geht um in der EU: die DSGVO kommt
  1. Und schon eine Antwort bekommen – so 2 Tage bevor man es umgesetzt haben muss?

    • Ja, ich wurde höchstpersönlich von einem Mitarbeiter des Landesamts für Datenschutz angerufen. Als Kleinbetrieb benötigt man nach Auffassung der Datenschutzbehörden weder als Arzt noch als Apotheke einen DSB. Trotzdem muss man sich mit den ganzen Dokumentationen herumschlagen.😟

      • Und mir liegen dazu mindestens zwei gegenteilige Meinungen vor – denn:
        1) Eine Apotheke arbeitet mit Gesundheitsdaten.
        2) Gesundheitsdaten sind immer „Hochrisikodaten“.
        3) Beim verarbeiten von „Hochrisikodaten“ ist zwingend ein DSB zu ernennen.

        Übrigens gilt dann obiger Spruch für jeden Betrieb mit mindestens EINEM Angestellten, denn wenn dieser Angestellte mal krank wird und einen Krankenschein abgibt, zack hat man „Gesundheitsdaten verarbeitet“. Toll…

      • Die Begründung der Dazenchutzkonferenz war, dass die Haupttätigkeit von Apothekern und Ärzten nicht die Verarbeitung der Daten ist. Von daher ist alleine die Tatsache, dass die Daten vorhanden sind (siehe auch das Beispiel mit der Krankmeldung) kein ausreichender Grund um den DSB verpflichtend bestellen zu müssen.

        Wie das dann in der Praxis umgesetzt wird beschäftigt sicherlich demnächst die Gerichte.

      • Andererseits reicht schon eine Filiale und die Hälfte des Personals in Teilzeit, um locker die 10 ominösen Personen zu überschreiten. Dabei kann man grob über den Daumen peilen, dass 7 40-h-Angestellte mindestens den Gegenwert von 10 30-h-Angestellten haben. Und man darf Buchhaltungspersonal auch nicht außen vor lassen, da jenes ja auch personenbezogene Daten verarbeitet (auch wenn halt nicht die von Kunden sondern die von Angestellten). Die Regelung ist wirklich – insbesondere in teilzeitlastigen Berufen – sehr knapp verfasst…

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d Bloggern gefällt das: