Schlechter Schutz kann teuer werden |
 |
30.10.2017 13:34 Uhr |
Von Anna Pannen / Ab kommendem Mai müssen Apotheker noch besser auf den Datenschutz achten. Das schreibt eine EU-Verordnung vor. Wer Kundeninformationen dann nicht penibel sichert, riskiert hohe Bußgelder.
Patientendaten sind ein sensibles Gut – deshalb müssen Apotheker bald noch sorgfältiger damit umgehen. Im Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft. Sie verschärft die bislang in Deutschland geltenden Regeln und sieht mehr Kontrollen und Sanktionen vor.
Die Verordnung gilt für alle Institutionen, die mit personenbezogenen Daten umgehen. Zwar liegt der Fokus auf den großen Firmen, die massenhaft Daten sammeln, doch auch kleine und mittlere Unternehmen müssen künftig mehr tun. Jeder Betrieb muss etwa einen Plan ausarbeiten, der darlegt, wie er den Datenschutz sichert. Da Apotheken und Arztpraxen besonders sensible Informationen speichern, müssen sie außerdem ein Risikomanagementsystem nachweisen – also schriftlich erklären, wie sie Daten-Lecks verhindern wollen. Auch müssen sie penibel dokumentieren, woher sie personenbezogene Daten haben und an wen diese weitergegeben werden.
Verträge auf dem Prüfstand
Beauftragt ein Betrieb ein Subunternehmen mit der Datenverarbeitung, muss er künftig sicherstellen, dass auch dort der Datenschutz gewährt bleibt und hierzu einen Vertrag schließen. Dies kann für Apotheker etwa interessant werden, wenn sie ihre Warenwirtschaft über externe Firmen organisieren und die Daten in Rechenzentren verarbeitet werden. Und nicht nur das: Auch alle bereits bestehenden Verträge mit Subunternehmen müssen überprüft und gegebenenfalls um entsprechende Datenschutz-Klauseln erweitert werden.
Schon heute gilt, dass ein Betrieb einen Datenschutzbeauftragten ernennen muss, sobald mehr als neun Beschäftigte mit Kundendaten umgehen. Allerdings hielt sich bislang kaum jemand daran. Künftig muss fast jedes Unternehmen der Aufsichtsbehörde diese Person namentlich nennen. Eine Meldepflicht gilt auch für Daten-Lecks: Wenn trotz aller Vorsicht ein Computer gehackt wird, ein Brief verloren geht oder eine E-Mail mit vertraulichen Daten falsch versendet wird, muss der Betrieb diesen Zwischenfall innerhalb von 72 Stunden melden.
Hält sich ein Unternehmen nicht daran, kann das künftig böse ausgehen. Denn die EU hat die Bußgelder bei Verstößen drastisch erhöht. 10 bis 20 Millionen Euro beziehungsweise 2 bis 4 Prozent des Jahresumsatzes können solche Verfehlungen künftig kosten. Diese Summen können für kleine Betriebe das Aus bedeuten.
Stephan Rehfeld ist Datenschutzexperte und berät unter anderem den Landesapothekerverband Niedersachsen. Er rät allen Apothekern, sich schon jetzt mit den Details der DSGVO vertraut zu machen. »Überlegen Sie, wie Sie die gestiegenen Anforderungen in Ihrer Offizin umsetzen können und wenden Sie sich gegebenenfalls an einen seriösen Anbieter von Datenschutz-Dienstleistungen«, empfiehlt der Diplom-Ökonom.
Keine Namen nennen
Rehfeld macht klar, dass es beim Thema Datenschutz zu Konflikten mit dem Berufsgeheimnis kommen kann. Denn was bislang schon für Prüfungen durch das Finanzamt galt, gilt auch für die Prüfer der Datenschutz-Behörde: Apotheker dürfen ihnen ihre Aufzeichnungen ohne richterlichen Beschluss nicht einfach überlassen. Sollte also etwa ein Brief mit vertraulichen Patienteninformationen verschwinden, wird es knifflig für den Pharmazeuten. Denn er ist ab Mai zwar verpflichtet, den Vorfall innerhalb von 72 Stunden zu melden, darf dabei aber keinen Namen nennen. Ob die Behörden das akzeptieren, sei noch völlig offen, erklärt Rehfeld. Gerichtsurteile dazu stehen noch aus.
Schwierigkeiten sieht Rehfeld auch beim Thema Kundenkarten. Um Namen, Adresse und andere Daten zu speichern, braucht es laut DSGVO ein schriftliches Einverständnis des Kunden. Viele Betriebe seien in der Vergangenheit recht leichtfertig gewesen und hätten sich auf eine mündliche Bestätigung verlassen, so der Ökonom. All diese Daten seien nun wertlos, da sie nicht mehr verwendet werden dürfen. Das heißt, dass manche Apotheken ihren gesamten Kunden-Stammsatz verwerfen müssen, wenn sie keine schriftlichen Einverständniserklärungen vorlegen können.
Kunden via Facebook oder WhatsApp zu kontaktieren, verstößt bereits heute fast immer gegen das Berufsrecht. Das hindert aber manche Apotheker nicht daran, dennoch über diese Dienste mit ihren Patienten zu kommunizieren. Bald könnte das riskant werden, sagt Rehfeld. Schließlich gibt der Betrieb so Informationen an Drittstaaten außerhalb der Europäischen Union weiter. »Theoretisch darf der Apotheker diese Dienste nur nutzen, wenn der Patient sich schriftlich zu dieser Weitergabe bereit erklärt und die Apotheke entsprechende Verträge mit dem Dienstanbieter abgeschlossen hat.«
Server im Ausland
Auch Online-Speicherdienste – sogenannte Clouds – sieht der Daten-Experte vor dem Hintergrund der DSGVO kritisch. Die Speicher der Anbieter stehen nämlich meist im Ausland. Wie gut sie dort berufsrechtlich geschützt sind, ist oft unklar. Apotheker dürfen Daten aber nur dorthin transferieren, wo sie ihr Berufsrecht auch durchsetzen können. Offizin-Inhaber, die Clouds nutzen, könnten also Ärger kriegen.
In Panik verfallen müssen Apotheker nun aber nicht. Schließlich wissen die meisten von ihnen aus Erfahrung sehr gut, wie man Patientendaten schützt und so speichert, dass sensible Informationen nicht an Unbefugte gelangen. Dennoch müssen sie das eine oder andere Detail wohl nachbessern. /
