RECHT DER INFORMATIONSTECHNOLOGIEN...gen Aufwand durchführen können. Werden beispielsweise anonyme Daten an eine Stelle übermittelt, die in der Lage ist, den Personenbezug herzustellen,

RECHT DER INFORMATIONSTECHNOLOGIEN

Interner Datenschutzbeauftragter

in der Apotheke

von Dominic Baumüller Rechtsanwalt FA für Arbeitsrecht LIEB.Rechtsanwälte, Erlangen

Stand: 02/2015

Interner Datenschutzbeauftragter in der Apotheke

© 2015 | Seite 2


© 2015 | Seite 3

Inhaltsverzeichnis Datenschutzrecht in der Apotheke ......................................................................................................... 5

I. Was ist Datenschutz ......................................................................................................................... 5

1. Datenschutz betrifft .................................................................................................................... 6

1.1. Personenbezogene Daten .................................................................................................... 6

1.1.1. Einzelangaben ................................................................................................................ 6

1.1.2. Persönliche oder sachliche Verhältnisse ....................................................................... 7

1.1.3. Bestimmte/bestimmbare Personen .............................................................................. 7

1.1.4. Natürliche Person .......................................................................................................... 7

1.1.5. Verbot mit Erlaubnisvorbehalt ...................................................................................... 8

1.2. Anonymisieren und Pseudonymisieren ................................................................................ 8

1.3. Schweigepflicht und Datengeheimnis .................................................................................. 9

II. Warum ist Datenschutz in der Apotheke relevant ........................................................................ 13

1. Die Offizin .................................................................................................................................. 13

1.1. Räumlichkeiten ................................................................................................................... 13

1.2. Handverkaufstische ............................................................................................................ 14

1.3. Diskretionszone und Beratungsecke der Offizin ................................................................ 14

1.4. Videoüberwachung ............................................................................................................ 15

1.5. Die Rezepte ......................................................................................................................... 16

1.6. Statistiken ........................................................................................................................... 16

1.7. Dokumentation ................................................................................................................... 17

1.8. Auskünfte an nahe Angehörige, oder dergleichen ............................................................. 18

1.9. Die Kundenkarte ................................................................................................................. 18

1.10. Lieferung per Bote ............................................................................................................ 21

2. Das Büro .................................................................................................................................... 22

2.1. IT-Sicherheit ........................................................................................................................ 22

2.2. Die Internetpräsentation .................................................................................................... 23

3. Die Personalabteilung................................................................................................................ 23

4. Apotheken und Dritte (Auftragsdatenverarbeitung in der Apotheke)...................................... 24

5. Der Datenschutzbeauftragte ..................................................................................................... 24

5.1. Der interne Datenschutzbeauftragte ................................................................................. 24

5.2. Die Person des Beschäftigten ............................................................................................. 25


© 2015 | Seite 4

5.3. Die erforderliche Fachkunde und Zuverlässigkeit .............................................................. 26

5.4. Die Bestellung des Datenschutzbeauftragten .................................................................... 26

6. Das Verfahrensverzeichnis ........................................................................................................ 27

6.1. Internes Verfahrensverzeichnis .......................................................................................... 29

6.2. Öffentliches Verfahrensverzeichnis.................................................................................... 30

7. Rechte des Betroffenen ......................................................................................................... 31

III. Regeln/Gebote des Datenschutzes/Sieben goldene Regeln des Datenschutzes ......................... 32

1. Rechtmäßigkeit .......................................................................................................................... 32

2. Einwilligung ................................................................................................................................ 32

3. Zweckbindung............................................................................................................................ 33

4. Erforderlichkeit .......................................................................................................................... 34

5. Transparenz ............................................................................................................................... 35

6. Datensicherheit ......................................................................................................................... 35

6.1. Technische und organisatorische Maßnahmen ................................................................. 35

6.2. Pflichten bei unerlaubter Datenweitergabe ....................................................................... 38

6.3. Datenschutz bei der Datenträgervernichtung .................................................................... 38

7. Kontrolle / Rechte des Betroffenen .......................................................................................... 40

7.1. Benachrichtigung und Auskunft ......................................................................................... 40

7.2. Berichtigung, Löschung und Sperrung ................................................................................ 40

8. Was passiert bei einer Datenpanne .......................................................................................... 41

8.1. Unrechtmäßige Übermittlung oder Kenntniserlangung in sonstiger Weise ...................... 42

8.2. Wann muss ich informieren ............................................................................................... 42

8.3. Drohen schwerwiegende Beeinträchtigungen ................................................................... 42

8.4. Art und Weise der Information .......................................................................................... 43

8.5. Haftung und Schadensersatz .............................................................................................. 44

9. Handlungsempfehlungen .......................................................................................................... 44

10. Checkliste des Data-Breach-Notification-Verantwortlichen ................................................... 45

11. Muster: Mitarbeiterrichtlinie zum Umgang mit Daten ........................................................... 47

12. Muster: Öffentliches Verfahrensverzeichnis für Jedermann .................................................. 49

13. Muster: Verpflichtungserklärung bezügl. des Bundesdatenschutzgesetzes ........................... 53

14. Muster: Benachrichtigung der Betroffenen ............................................................................ 55

15. Muster: Benachrichtigung der Aufsichtsbehörde ................................................................... 57

16. Muster: Bestellung eines Datenschutzbeauftragten ............................................................... 59


© 2015 | Seite 5

Datenschutzrecht in der Apotheke

Bei dem Thema Datenschutz handelt es sich um ein sehr umfassendes und weitgefä-

chertes Thema. Das vorliegende Skript soll einen ersten Überblick verschaffen, wel-

che Vorgaben in Apotheken hinsichtlich des Themas Datenschutz einzuhalten sind, in

welchen Bereichen es zu Berührungspunkten mit dem Datenschutz kommt und wie

man die Mitarbeiter in den Apotheken für das Thema Datenschutz sensibilisieren

kann.

I. Was ist Datenschutz:

Um sich über die Vorschriften mit datenschutzrechtlicher Relevanz zu informieren,

müssen sich Apothekenleiter und -mitarbeiter mit verschiedenen gesetzlichen Rege-

lungen auseinandersetzen. Ausgangspunkt für den Datenschutz ist das Grundrecht

der informationellen Selbstbestimmung, welches aus der allgemeinen Handlungsfrei-

heit und der Menschenwürde, Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG hergeleitet wird.

Dieses räumt jedem Menschen das Recht ein, selbst zu bestimmen, welche Informa-

tionen über ihn, wann, wo und wie bekannt gegeben werden. Es ist eine Art generel-

les Verbot, Daten ohne Zustimmung einer Person, über diese zu erheben.

Aus diesem Grund normiert § 1 Abs. 1 BDSG, dass es Zweck des Gesetzes sei, den

einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezo-

genen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

§1 Abs. 1 BDSG:

„Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, dass er durch den Umgang

mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“

Der Datenschutz begrenzt damit die wirtschaftliche Betätigung im Bereich der Da-

tenverarbeitung auf das erforderliche Maß und auf einen gesellschaftlich verträgli-

chen Umfang. Maßgeblich für den Datenschutz in Apotheken sind vor allem die Re-

gelungen des Bundesdatenschutzgesetzes. Daneben enthalten zahlreiche andere

Gesetze, wie beispielsweise das Telemediengesetz, das Apothekengesetz, die Ver-


© 2015 | Seite 6

ordnung über den Betrieb von Apotheken, ebenso wie die Berufsordnung für Apo-

thekerinnen und Apotheker bereichsspezifische Sonderregeln zum Datenschutz. Ne-

ben der Anwendbarkeit des Strafgesetzbuches, der Berufsordnung und der Strafpro-

zessordnung sind auch noch die europäischen Verordnungen zum Datenschutz an-

wendbar.

Nachfolgend sollen die wichtigsten Anforderungen aus dem BDSG und ausgewähl-

ten Spezialgesetzen überblicksartig dargestellt werden.

1. Datenschutz betrifft:

Datenschutz betrifft die Informationen über natürliche Personen. § 3 Abs. 1 BDSG

enthält dabei eine Vielzahl von Legaldefinitionen, die den Gesetzesanwender dabei

behilflich sein sollen, das Bundesdatenschutzgesetz und den Zweck des Bundesda-

tenschutzgesetzes zu verstehen.

§ 3 Abs. 1 BDSG :

„Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse

einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“

Darin wird zum Beispiel definiert, was personenbezogene und besondere Arten per-

sonenbezogener Daten sind.

1.1. Personenbezogene Daten:

1.1.1. Einzelangaben:

Einzelangaben sind Informationen, die sich auf eine bestimmte -einzelne- natürliche

Person beziehen oder geeignet sind, einen Bezug zu ihr herzustellen; z.B. Name, Aus-

weisnummer, Versicherungsnummer, Telefonnummer. Keine Einzelangaben im Sinne

des Gesetzes sind Angaben, die sich zwar auf eine einzelne Person beziehen, die

aber nicht identifizierbar ist. Einzelangaben sind ferner nicht gegeben, bei anonymi-

sierten Daten sowie bei Sammelangaben über Personengruppen. Wird jedoch eine

Einzelperson als Mitglied einer Personengruppe gekennzeichnet, über die bestimmte

Angaben gemacht werden, so handelt es sich auch um Einzelangaben zu dieser

Person, wenn die Daten auf die Einzelperson durchschlagen.


© 2015 | Seite 7

1.1.2. Persönliche oder sachliche Verhältnisse:

Die Einzelangaben müssen Aussagen enthalten über persönliche oder sachliche

Verhältnisse der natürlichen Person. Es muss sich also um Daten handeln, die Informa-

tionen über den Betroffenen selbst oder über einen auf ihn beziehbaren Sachverhalt

enthalten.

Als persönliche Verhältnisse werden Angaben über den Betroffenen selbst, seine

Identifizierung und Charakterisierung anzusehen sein, wie z.B. Name, Anschrift, Fami-

lienstand, Geburtsdatum, Staatsangehörigkeit, Konfession, Beruf, Erscheinungsbild,

Eigenschaften, Aussehen, Gesundheitszustand, Überzeugungen. Ferner gehören hier-

zu Fotografieren, Fingerabdrücke oder Röntgenbilder.

Sachliche Verhältnisse werden beschrieben durch Angaben über einen auf den Be-

troffenen beziehbaren Sachverhalt, z.B. seinen Grundbesitz, vertragliche oder sonsti-

ge Beziehungen zu Dritten, so auch das Führen eines Telefongespräches mit Dritten.

1.1.3. Bestimmte/bestimmbare Personen:

Personenbezogen sind nur die Daten, die sich auf eine bestimmte oder bestimmbare

natürliche Person beziehen. Ersteres ist der Fall, wenn die Daten mit dem Namen des

Betroffenen verbunden sind, oder sich aus dem Inhalt bzw. dem Zusammenhang der

Bezug unmittelbar herstellen lässt. Für die Bestimmbarkeit kommt es auf die Kenntnis-

se, Mittel und Möglichkeiten der speichernden Stelle an. Sie muss den Bezug mit den

ihr normaler Weise zur Verfügung stehenden Hilfsmitteln und ohne unverhältnismäßi-

gen Aufwand durchführen können. Werden beispielsweise anonyme Daten an eine

Stelle übermittelt, die in der Lage ist, den Personenbezug herzustellen, so ist der

Übermittlungstatbestand des BDSG erfüllt.

1.1.4. Natürliche Person:

Geschützt vom Anwendungsbereich des BDSG sind natürliche Personen. Juristische

Personen (Aktiengesellschaften, GmbHs, etc.), Verstorbene, oder aber der nasciturus

sind vom Anwendungsbereich des Bundesdatenschutzgesetzes nicht umfasst. Das

Gesetz geht davon aus, dass der Betroffene eine handelnde, d.h. eine lebende Per-

son ist, wie sich aus den Kontroll-und Mitwirkungspflichten ergibt.


© 2015 | Seite 8

1.1.5. Verbot mit Erlaubnisvorbehalt:

Im BDSG ist ein sogenanntes Verbot mit Erlaubnisvorbehalt verankert. Das heißt, es

gibt ein generelles Verbot der Verwendung personenbezogener Daten, egal ob Er-

hebung, Verarbeitung oder Nutzung. Nur in Ausnahmefällen, beispielsweise bei Ein-

willigung des Betroffenen, etwa bei Kundenkarten oder bei gesetzlicher Erlaubnis,

zum Beispiel die Rezeptabrechnung über ein Apothekenrechenzentrum gemäß § 302

Sozialgesetzbuch V, darf man sich darüber hinwegsetzen (Erlaubnisvorbehalt).

LIEB.Rechtsanwälte empfehlen:

„Bevor man personenbezogene Daten erhebt verarbeitet oder nutzt, sollte zunächst

darüber nachgedacht werden, ob ein Gesetz dies erlaubt. Ist dies nicht der Fall, soll-

te zumindest geprüft werden, ob eine Einwilligung gemäß § 4a Abs. 1 BDSG vorliegt.

Ist wieder ein Gesetz, noch eine Einwilligung zu finden, dürfte im Zweifel das Erheben

Verarbeiten oder Übermitteln von personenbezogenen Daten rechtswidrig sein.“

Die Frage des Datenschutzes stellt sich in der Apotheke folglich vor allem im Hinblick

auf Daten von Kunden, anderen Geschäftspartnern, Lieferanten, Bewerbern und

Mitarbeitern.

Keine Probleme mit dem Datenschutz gibt es bei anonymisierten oder pseudonymi-

sierten Daten, gemäß § 3 Abs. 6,6a BDSG.

1.2. Anonymisieren und Pseudonymisieren

§ 3 Abs. 6, 6a BDSG:

„Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben

über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismä-

ßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren

natürlichen Person zugeordnet werden können.“

„Unter Pseudonymisieren versteht man das Ersetzen des Namens und anderer Identifikations-

merkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszu-

schließen oder wesentlich zu erschweren.“


© 2015 | Seite 9

Das Anonymisieren von Daten kann dadurch geschehen, dass aus einem Bestand

personenbezogener Daten, Angaben ohne Personenbezug per entsprechender

Auswertung herausgefiltert und für planerische oder statistische Zwecke genutzt wer-

den, wobei die diesbezügliche Veränderung und die nachfolgende Nutzung oder

Verarbeitung mangels Personenbezug der Daten nicht mehr den Regeln des Bun-

desdatenschutzgesetzes unterliegen. Sie kann dadurch geschehen, dass der Perso-

nenbezug insgesamt durch Löschung der Identifikationsmerkmale entfällt. Werden

von vornherein Daten ohne Personenbezug erhoben und gespeichert, so findet das

BDSG mangels Verarbeitung und Nutzung personenbezogener Daten von vorneher-

ein keine Anwendung. Die Daten sind jedoch nur dann anonym, wenn der Perso-

nenbezug nicht mehr herstellbar, d.h. eine RE-Anonymisierung unmöglich, ist.

§ 295 Abs. 2 iVm. § 291 Abs. 2 Nr. 1,6, 7 SGB V schreibt beispielsweise die Anonymisie-

rung der Abrechnungsdaten der kassenärztlichen Vereinigung explizit vor. Familien-

name und Vorname des Versicherten müssen nicht weitergegeben werden.

Pseudonymisierung hat das Ziel, die unmittelbare Kenntnis der vollen Identität des

Betroffenen während solcher Verarbeitungs-und Nutzungsvorgänge, bei denen der

Personenbezug nicht zwingend erforderlich ist, auszuschließen. Die Daten werden

durch eine Zuordnungsvorschrift derart verändert, dass die Einzelangaben ohne

Kenntnis oder Nutzung der Zuordnungsvorschrift nicht mehr einer natürlichen Person

zugeordnet werden können.

Generell lohnt es sich, immer zu hinterfragen, welche Daten an Dritte weitergegeben

werden müssen und welche nicht.

Beispiel:

Bei der Bestellung von Kompressionsstrümpfen reichen der beauftragten Firma die

Maße des Patienten. Name, Geburtsdatum und Adresse sind nicht notwendig, um

den Auftrag ausführen zu können. Der Kunde kann in die Apotheke kommen, um

sich die maßangefertigten Strümpfe abzuholen.

1.3. Schweigepflicht und Datengeheimnis

Selbstverständlich unterliegen alle Daten der Apothekenkunden der Schweigepflicht.

Diese ist regelmäßig in der Berufsordnung der zuständigen Apothekerkammer zu fin-

den. In Bayern in § 14 der Berufsordnung für Apothekerinnen und Apotheker. Dort


© 2015 | Seite 10

wird der Apothekenleiter verpflichtet, alle Mitarbeiter schriftlich zur Verschwiegenheit

zu verpflichten. Das sollte gerade auch bei Boten, Praktikanten und kurzzeitig Be-

schäftigten nicht vergessen werden. Zudem müssen Mitarbeiter auf das Datenge-

heimnis nach § 5 BDSG verpflichtet werden.

§ 5 BDSG :

„Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene

Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen

sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tä-

tigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Be-

endigung ihrer Tätigkeit fort.“

Nach dieser Vorschrift ist es untersagt, personenbezogene Daten unbefugt zu erhe-

ben, zu verarbeiten oder zu nutzen. Angesprochen werden die bei der Datenverar-

beitung beschäftigten Personen, d.h. § 5 liegt den Beschäftigten persönlich unmit-

telbar Pflichten auf, während sich das BDSG ansonsten an die Daten verarbeitenden

Stellen gemäß § 1 Abs. 2 BDSG als Normadressat wendet. Wer beispielsweise im Lau-

fe seiner dienstlichen oder beruflichen Tätigkeit bekannt gewordene Daten zu priva-

ten Zwecken nutzt, missbrauchst zwar, kann aber nach der Strafvorschrift nicht zur

Rechenschaft gezogen werden. Allenfalls kommt eine Strafbarkeit nach § 203 StGB in

Betracht. In jeden Fall kann aber eine unbefugte zweckentfremdete Verwendung

der Daten, dienst-oder arbeitsvertragliche Konsequenzen auslösen.

LIEB.Rechtsanwälte raten:

„Halten sich Dritte in der Apotheke auf, zum Beispiel Handwerker, oder Reinigungs-

personal, ist sicherzustellen, dass diese keinen Zugriff auf personenbezogene Daten

haben. Ansonsten sollten Sie, diesen Personen eine Datenschutzerklärung zur Unter-

schrift vorlegen.“ Einen Formulierungsvorschlag finden Sie am Ende unseres Skriptes.

Sinnvoll ist es zudem, alle Mitarbeiter darüber zu belehren, dass die Schweigepflicht

umfassend gilt, also auch gegenüber den Angehörigen der Kunden, nicht beteilig-

ten Kollegen und Ärzten.


© 2015 | Seite 11

Die Verletzung der Verschwiegenheitspflicht wird im § 203 des Strafgesetzbuchs

(StGB) unter Strafe gestellt:

§ 203 Verletzung von Privatgeheimnissen (Auszug)

(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich

gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als

1.Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die

Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung

erfordert,

2.Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlußprüfung,

3.Rechtsanwalt, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren,

Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Or-

gan oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-,

Buchprüfungs- oder Steuerberatungsgesellschaft,

anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr

oder mit Geldstrafe bestraft.

(2) Ebenso wird bestraft, wer …

(2a) Die Absätze 1 und 2 gelten entsprechend, wenn ein Beauftragter für den Datenschutz

unbefugt ein fremdes Geheimnis im Sinne dieser Vorschriften offenbart, das einem in den

Absätzen 1 und 2 Genannten in dessen beruflicher Eigenschaft anvertraut worden oder sonst

bekannt geworden ist und von dem er bei der Erfüllung seiner Aufgaben als Beauftragter für

den Datenschutz Kenntnis erlangt hat.

(3) Einem in Absatz 1 Nr. 3 genannten Rechtsanwalt stehen andere Mitglieder einer Rechts-

anwaltskammer gleich. Den in Absatz 1 und Satz 1 Genannten stehen ihre berufsmäßig täti-

gen Gehilfen und die Personen gleich, die bei ihnen zur Vorbereitung auf den Beruf tätig sind.

Den in Absatz 1 und den in Satz 1 und 2 Genannten steht nach dem Tod des zur Wahrung des

Geheimnisses Verpflichteten ferner gleich, wer das Geheimnis von dem Verstorbenen oder

aus dessen Nachlaß erlangt hat.

(4) Die Absätze 1 bis 3 sind auch anzuwenden, wenn der Täter das fremde Geheimnis nach

dem Tod des Betroffenen unbefugt offenbart.

(5) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu berei-

chern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren o-

der Geldstrafe.


© 2015 | Seite 12

In der Strafprozessordnung wird dem Apotheker ferner bei einer Vernehmung ein

Zeugnisverweigerungsrecht gewährt.

§ 53 StPO (Auszug)

(1) Zur Verweigerung des Zeugnisses sind ferner berechtigt

1.Geistliche über das, was ihnen in ihrer Eigenschaft als Seelsorger anvertraut worden oder

bekanntgeworden ist;

2.Verteidiger des Beschuldigten über das, was ihnen in dieser Eigenschaft anvertraut worden

oder bekanntgeworden ist;

3.Rechtsanwälte, Patentanwälte, Notare, Wirtschaftsprüfer, vereidigte Buchprüfer, Steuerbe-

rater und Steuerbevollmächtigte, Ärzte, Zahnärzte, Psychologische Psychotherapeuten, Kin-

der- und Jugendlichenpsychotherapeuten, Apotheker und Hebammen über das, was ihnen

in dieser Eigenschaft anvertraut worden oder bekanntgeworden ist, Rechtsanwälten stehen

dabei sonstige Mitglieder einer Rechtsanwaltskammer gleich;

(2) Die in Absatz 1 Satz 1 Nr. 2 bis 3b Genannten dürfen das Zeugnis nicht verweigern, wenn

sie von der Verpflichtung zur Verschwiegenheit entbunden sind. Die Berechtigung zur Zeug-

nisverweigerung der in Absatz 1 Satz 1 Nr. 5 Genannten über den Inhalt selbst erarbeiteter

Materialien und den Gegenstand entsprechender Wahrnehmungen entfällt, wenn die Aus-

sage zur Aufklärung eines Verbrechens beitragen soll oder wenn Gegenstand der Untersu-

chung

Darauf kann er sich zum Beispiel berufen, wenn beispielsweise ein drogensüchtiger

Kunde wegen Rezeptfälschung, also einer Urkundenfälschung, vor Gericht steht.

Achtung:

„Sagt der Apotheker gegen den Willen des Kunden aus, macht also nicht vom Zeug-

nisverweigerungsrecht Gebrauch, kann das für ihn strafrechtliche Konsequenzen ha-

ben. Er riskiert die eigene Strafbarkeit nach § 203 StGB, da er berufsrechtlich zur Ver-

schwiegenheit verpflichtet ist.“


© 2015 | Seite 13

II. Warum ist Datenschutz in der Apotheke

relevant:

Als größte Errungenschaft des Datenschutzes in Deutschland gilt das sogenannte

Volkszählungsurteil, eine Grundsatzentscheidung des Bundesverfassungsgerichts aus

dem Jahr 1983. Aufbauend auf diesem Urteil genießt das Recht auf informationelle

Selbstbestimmung nunmehr Grundrechtschutz.

Das Grundgesetz vermittelt dem Einzelnen Schutz, vor unbegrenzter Erhebung, Spei-

cherung, Verwendung und Weitergabe seiner persönlichen Daten.

Gerade persönliche Daten werden zwangsläufig in Rahmen des Apothekenalltags

erhoben, verarbeitet und genutzt. Die Belieferung von Rezepten, die Ausgabe von

Kundenkarten und Auskünfte am Telefon, zeigen exemplarisch, dass das Apothe-

kenpersonal ständig mit personenbezogenen Daten der Patienten/Kunden umgeht.

Der Datenschutz endet jedoch nicht bei den Kunden. Selbstverständlich sind auch

die Daten der Mitarbeiter zu schützen.

Zunächst werden somit die einzelnen Berührungspunkte im Rahmen des Apotheken-

ablaufs skizziert. Insbesondere ist der Aufbau und die Ausgestaltung der Apotheke, im

Hinblick auf die Apothekenbetriebsordnung zu behandeln:

1. Die Offizin:

1.1. Räumlichkeiten:

Der Datenschutz beginnt bereits in den Räumlichkeiten der Apotheke, ja sogar mit

dem Betreten der selbigen. So spricht bereits die Verordnung über den Betrieb von

Apotheken in § 4 Absatz 2a ApBetrO davon, dass die Offizin so gestaltet werden

muss, dass ausgeübte wesentliche Aufgaben, insbesondere die Beratung von Patien-

ten und Kunden, genügend Raum bleibt. Die Offizin muss so eingerichtet sein, dass

die Vertraulichkeit der Beratung, insbesondere an den Stellen, an denen Arzneimittel

an Kunden abgegeben werden, so gewahrt wird, dass das Mithören des Beratungs-

gesprächs durch andere Kunden weitestgehend verhindert wird.


© 2015 | Seite 14

Bereits der Wortlaut der Verordnung ist derart detailliert gefasst, dass jedem Betreiber

einer Apotheke klar sein muss, dass die Offizin so ausgestaltet werden muss, dass we-

der Beratungsgespräch, noch Inhalt der vom Patienten/Kunden an den Apotheker

übergebenen Daten unberechtigten Dritten zu Ohren gelangt. Diskretion muss das

oberste Gebot sein. So sollte bei einem Kundenandrang gewährleistet sein, dass aus-

reichend Abstand zwischen den Kunden besteht. Gleichwohl sollte das Apotheken-

personal darauf achten, die Stimme, dem Kundenaufkommen anzupassen.

1.2. Handverkaufstische:

In der Offizin sind die Handverkaufstische der Ort in der Apotheke, an dem die Kun-

den ihre Wünsche äußern und Sie Informationen über die Arzneimittel verschaffen.

Dieser Bereich sollte möglichst so gestaltet werden, dass ein Mithören der Kundenge-

spräche durch andere Kunden weitgehend ausgeschlossen ist. Auch das Verwahren

von Rezepten auf den Handverkaufstischen ist zu überdenken. Die nachfolgenden

Kunden dürfen die Rezepte nicht lesen oder gar unbemerkt mitnehmen können. Auf

vielen Handverkaufstischen finden sich nunmehr auch PC-Bildschirme. Wartende

Kunden dürfen nicht die Möglichkeit haben, diese einzusehen. Datenschutz bedeu-

tet auch, dass Kundendaten nicht auf dem PC-Bildschirm für Dritte, also Apotheken-

fremde, lesbar sind.

Deshalb sollten die Bildschirme so stehen und positioniert sein, dass andere Kunden

diese nicht einsehen können. Was die Rezepte betrifft, sollten diese auch bei starkem

Kundenverkehr, niemals für andere Kunden lesbar oder gar greifbar auf dem HV-

Tisch liegen. Verstöße gegen den Datenschutz wie diese, wurden schon mehrfach

der zuständigen Datenschutzbehörde angezeigt und mit einem Bußgeld bestraft. Die

Höhe des Bußgeldes ist dabei abhängig von der sonstigen Qualität des Datenschut-

zes, insbesondere den Umständen des Einzelfalls und der Strenge der jeweiligen Auf-

sichtsbehörde.

1.3. Diskretionszone und Beratungsecke der Offizin:

Spätestens seit 1999 müssen alle Apotheken so eingerichtet sein, dass die Vertrau-

lichkeit der Beratung gewährleistet wird. Dies wurde in vielen Apotheken so interpre-

tiert, dass ein Beratungsraum eingerichtet oder eine Beratungsecke abgetrennt wur-

de. Dieser Beratungsraum ist nach wie vor unerlässlich, etwa für Blutuntersuchungen,

Gespräche im Rahmen der Pharmazeutischen Betreuung oder aber zum Anmessen


© 2015 | Seite 15

von Kompressionsstrümpfen, das nicht im Verkaufsraum erfolgen kann. Aber der Be-

ratungsraum allein reicht bei Weitem nicht aus. Banal aber wichtig erscheint schon

der Rat, diesen vor allem zu nutzen. Es ist wichtig, dass jedes einzelne Gespräch zwi-

schen einem Mitarbeiter der Apotheke und dem Kunden diskret verläuft. Sollte dies

lediglich in der Beratungsecke möglich sein, ist diese aufzusuchen. Die Diskretionszo-

ne kann schnell verletzt werden. Bestehen Sie darauf, die Beratungsecke aufzusu-

chen. Der Kunde wird meist kein Interesse daran haben, möchte vielmehr eine

schnelle Bearbeitung. Gerade in dieser Hinsicht obliegt es Ihnen, den Schutz der Da-

ten im Hinterkopf zu haben.

In vielen Apotheken ist die Offizin schon so gestaltet, dass jedes Beratungsgespräch

vertraulich bleibt. Auch wenn eine innenarchitektonische Lösung der Königsweg ist,

so können Diskretionszonen in jeder Apotheke schnell und effektiv eingerichtet wer-

den. Oft reicht es schon aus, auf dem Boden mit einem Klebeband eine Wartelinie zu

markieren. Kunden kennen dies beispielsweise von Banken oder der Post und akzep-

tieren solche Abtrennungen schnell. Ebenso zeigt ein einfaches Hinweisschild, auf

dem HV-Tisch oder als Bodenständer, gute Erfolge. Ein durchgehender HV-Tisch kann

mit Trennwänden oder Ständern in zwei oder drei »Beratungsbuchten« unterteilt wer-

den. Zusätzlich bietet sich an, die Abtrennung noch durch Regale aus dem Freiwahl-

bereich, die an den HV-Tisch herangeschoben werden, zu verstärken. Der Kreativität

sind keine Grenzen gesetzt.

1.4. Videoüberwachung:

Der Datenschutz beginnt schon an der Eingangstür. Dies ist relevant für die Apothe-

ken, die eine Videoüberwachung installiert haben.

§ 6b BDSG nimmt Bezug auf die »Beobachtung öffentlich zugänglicher Räume mit

optisch-elektronischen Einrichtungen«. Daraus leitet sich ab, dass Apotheken, die in

der Freiwahl eine Videoüberwachungs-Anlage (oder eine Attrappe) installieren, die-

se sichtbar kennzeichnen müssen – möglichst direkt am Eingang. Hierzu sollte an der

Eingangstür ein entsprechender Hinweis angebracht werden. In nicht öffentlich zu-

gänglichen Bereichen ist eine Videoüberwachung nur in bestimmten Fällen erlaubt.

Ein heimliches Filmen ist nie rechtmäßig. Gleiches gilt etwa für Aufnahmen in Berei-

chen der privaten Lebensgestaltung, zum Beispiel in Sanitärräumen, in den Umklei-

den, so es solche gibt, oder im Nachtdienstzimmer.


© 2015 | Seite 16

1.5. Die Rezepte:

Können die Rezepte nicht vom HV-Tisch entfernt werden, sollten die Mitarbeiter sie

zumindest umdrehen, in der Hand behalten, oder in einer undurchsichtigen Hülle ver-

stauen. Rezepte enthalten viele sensible Daten. Daher darf man nicht mehr benötig-

te Privatrezepte, grüne Rezepte oder Kopien, die dem Kunden nicht mitgegeben

werden können, auf keinen Fall lediglich in den Papierkorb werfen. Diese Rezepte

müssen durch den Aktenvernichter (dieser sollte mindestens Stufe 4 für geheim zuhal-

tendes Schriftgut der DIN-Norm 32757 entsprechen).

Bei Unklarheiten auf dem Rezept sollten die Apothekenmitarbeiter den Patienten

fragen, ob sie den Arzt kontaktieren dürfen. In der Regel dürfte das kein Problem dar-

stellen, da der Kunde selbst an der Klärung interessiert ist. Der Patient sollte die Mög-

lichkeit haben, das Gespräch mithören. Unter Verweis auf die Beratungsecke ist der

HV-Bereich selbstverständlich kein guter Ort für Telefonate, da andere Personen mit-

hören könnten.

Will man sich, zum Beispiel mit einem Arzt, per E-Mail über ein Rezept austauschen, so

dürfen Sie das Rezept nicht einscannen und dann unverschlüsselt, oder als Anhang

versenden. Die Daten der Kunden müssen verschlüsselt werden. Sollte die E-Mail ab-

gefangen werden, gelangen sensible Daten Dritten zur Kenntnis. Folgeansprüche

drohen. Sollte eine Verschlüsselung nicht möglich sein, muss sollte im Hinblick auf den

Datenschutz davon abgeraten werden. Sollte der Kunde trotz dieses Defizits den-

noch zustimmen, kann die E-Mail versendet werden.

1.6. Statistiken:

Statistiken müssen ebenfalls in datenschutzrechtlicher Hinsicht gewürdigt werden. So

ist es gängige Praxis, dass am Ende des Monats die Rezepte abgeholt und eingele-

sen werden.

Gesundheitsdaten bzw. Rezeptdaten sind besonders sensible Daten und werden

durch das Bundesdatenschutzgesetz und verschiedene Spezialgesetze (Sozialge-

setzbuch, Strafgesetzbuch) besonders geschützt. Die Einschaltung externer Rechen-

zentren durch Apotheken und die Datenverarbeitung durch diese Rechenzentren ist


© 2015 | Seite 17

im Rahmen von § 300 Abs. 1 SGB V l zulässig. Sinn der (anonymisierten) Datenweiter-

gabe ist etwa, Erfolge von Werbemaßnahmen zu messen und das Außendienst- und

Vertriebsmanagement zu optimieren. Die Unternehmen haben dadurch die Mög-

lichkeit, das) Verschreibungsverhalten von Ärzten zu überprüfen und ihre Werbe- und

Vertriebsstrategien darauf abzustimmen. Dieses Verfahren ist jedoch nur solange zu-

lässig, wie aus den aufbereiteten Daten keinerlei Rückschlüsse auf konkrete Personen

möglich ist.

Vermeiden Sie es also, weder Name des verschreibenden Arztes, noch Name des

Patienten zu speichern und an die Pharma-Unternehmen weiterzugegeben.

1.7. Dokumentation:

Auch wenn der Kunde die Apotheke wieder verlassen hat, bestehen die Anforde-

rungen an den Datenschutz selbstverständlich weiter. Das ist am Beispiel von Doku-

mentationspflichten leicht zu erklären.

Von Betäubungsmitteln, über verschreibungspflichtige Tierarzneimittel, bis hin zum

Erwerb und Abgabe von Produkten, die unter das Transfusionsgesetz fallen, enthal-

ten diese Aufzeichnungen personenbezogene Daten, an die Unbefugte nicht heran-

kommen dürfen. Gerade auch dann nicht, wenn die Aufbewahrungspflicht bereits

abgelaufen ist.

Zu entsorgende Unterlagen sind ein Fall für den Aktenvernichter. Dort hinein gehören

auch nicht mehr benötigte Faxe, die personenbezogene Daten enthalten. Beim Ver-

senden von Kundendaten per Fax ist sicherzustellen, dass dieses ausschließlich den

berechtigten Empfänger erreicht. Faxe sollte man dem Empfänger unter Umständen

vorher ankündigen. Bei Faxen an den Arbeitsplatz, sollte man diese ankündigen und

sich den Empfang gegebenenfalls bestätigen lassen.

Faxe, die in der Apotheke ankommen, müssen sofort aus dem Gerät entnommen

werden. Es sollten nirgendwo in der Apotheke, auch nicht auf dem Büroschreibtisch

des Inhabers der Apotheke, sensible Daten in Papierform länger liegengelassen wer-

den. Sinnvoll ist es, Unterlagen in der Apotheke, im Hinblick auf die Sensibilität der

Daten, in Kategorien einzuteilen und zu kennzeichnen. Das QM-Handbuch beinhaltet

bspw. Daten zum internen Gebrauch. Streng vertraulich, sind Personalakten. Persön-

lich wären Gehaltsabrechnungen und Beurteilungen der Mitarbeiter.


© 2015 | Seite 18

1.8. Auskünfte an nahe Angehörige, oder dergleichen:

Ein häufiges Problem sind Auskünfte an Angehörige. Zum Vergleich: Wenn der Ehe-

partner die Post des Ehegatten öffnet, ist dies ein Straftatbestand. Deshalb sollten

auch Auskünfte auf der Basis von Kundenkarten nur dem Kunden selbst erteilt wer-

den dürfen. Was also tun, wenn Angehörige zum Beispiel Zuzahlungsbescheinigun-

gen des Ehepartners verlangen? Eine Möglichkeit ist es, die Bescheinigung auf dem

Postweg zu versenden. Am Telefon ist eine Auskunft zu persönlichen Daten immer

verboten, wenn die sichere Identifikation des Anrufers nicht gewährleistet ist.

Auch den Strafverfolgungsbehörden darf man nicht ohne Weiteres am Telefon Aus-

kunft erteilen. Wir raten Ihnen dazu, um eine persönliche Vorsprache des Beamten

oder eine schriftliche Anfrage zu bitten. Mitarbeiter sollten immer auch die Apothe-

kenleitung in den Fall einbeziehen.

Und wie sieht es bei Minderjährigen aus? Dürfen Eltern eine Auskunft über ihre Kinder

erhalten?


„Gerade bei schon verständigen und einsichtsfähigen Minderjährigen kurz vor der

Volljährigkeit kann es zu Konflikten zwischen dem Auskunftsanspruch der Eltern und

der Schweigepflicht gegenüber dem Minderjährigen kommen. Stellen Sie sich vor,

der Vater eines 15-jährigen Mädchens ruft sie an und fragt Sie darüber aus, ob seine

Tochter die Antibabypille bezieht. Hier ist Vorsicht geboten. Gehen Sie auf Nummer

sicher und machen Sie von ihrem Schweigerecht Gebrauch. Notfalls muss der Erzie-

hungsberechtigte in Beisein mit dem Minderjährigen vorstellig werden und um Aus-

kunft bitten. Bei kleineren Kindern haben sorgeberechtigte Elternteile Auskunftsan-

sprüche. Auch hier gilt wieder der Grundsatz, dass das Schweigen im vorliegenden

Fall besser ist, als die Auskunftserteilung.“

1.9. Die Kundenkarte:

Viele Apotheken wollen ihre Patienten mithilfe einer Kundenkarte an die Apotheke

binden. Dabei ist zu beachten, dass alle Karteninhaber zuvor eine datenschutzrecht-

liche Einwilligungserklärung abgeben müssen. Die besagte Einwilligungserklärung

sollte bestenfalls schriftlich erfolgen. Regelmäßig werden hierbei von Apotheken Kar-


© 2015 | Seite 19

tenanträge genutzt, die ausdrücklich auf die datenschutzrechtliche Einwilligung hin-

weisen.


„Überprüfen Sie die von Ihnen verwendeten Kartenanträge. Sollten diese keine Ein-

willigungserklärung beinhalten, ist davon abzuraten, diese weiterhin zu benutzen. Bei

Schriftform sind sie weitestgehend sicher. Ändern Sie das!“

Die Einwilligungserklärung der Kunden muss sich auf die personenbezogenen und

ausdrücklich auch auf die Gesundheitsdaten beziehen. Sie sollte immer schriftlich

erfolgen und an einem für Unbefugte nicht zugänglichen Ort sicher aufbewahrt wer-

den. Es gibt keine feste Frist, wann ungenutzte Kundenkarten zu löschen sind.


„Eine Löschung nach drei Jahren ist sinnvoll; wir weisen jedoch darauf hin, dass eini-

ge Steuerberater wegen des steuerlichen Bezugs der Daten eine Aufbewahrung von

zehn Jahren für sinnvoll erachten. Laut BDSG (§ 4a, Absatz 1) ist die Einwilligungserklä-

rung (optisch) besonders hervorzuheben, wenn sie zusammen mit anderen Erklärun-

gen erteilt wird.“

Selbstverständlich ist ebenfalls der Fall zu würdigen, dass die Kundendaten infolge

Ruhestand oder Tod des Apothekers oder bei einem Verkauf der Apotheke nicht au-

tomatisch an den Nachfolger übergehen.

Dürfen Kundendaten bei einem Verkauf der Apotheke an den Nachfolger überge-

ben werden und was ist dabei zu beachten?

Im Kammerrundschreiben (Mai/Juni 2012) informiert die Landesapothekerkammer

Hessen zu diesem Thema.


© 2015 | Seite 20

„Sofern nicht ausdrücklich anders vereinbart, willigt der Kunde beim Erwerb einer

Kundenkarte durch seine Einverständniserklärung nur in das Speichern seiner perso-

nenbezogenen Daten bei dem Apotheker seines Vertrauens ein. Der Kunde muss frei

darüber entscheiden können, ob er seine Daten weitergeben will oder nicht. Daher

ist für die Übermittlung der gespeicherten Daten an einen Dritten bei einem Verkauf

der Apotheke erneut eine Einwilligung, und zwar eine vorherige Einverständniserklä-

rung des Betroffenen, erforderlich. Die Kammer plädiert dafür, die schriftliche Einwilli-

gung jedes betroffenen Kunden einzuholen.“

Weiter heißt es in dem Rundschreiben:

„Zu überlegen wäre, ob Apotheken ihre Kundenkarten dahingehend überarbeiten,

dass diese eine Einwilligungserklärung auch zur Weitergabe der Kundendaten an

einen Rechtsnachfolger für den Fall eines Apothekenverkaufs enthalten.“


„Es bietet sich an, im Falle eines Verkaufs der Apotheke erneut eine Einwilligungser-

klärung der jeweiligen Kundenkarteninhaber einzuholen. Dass dies umständlich und

eventuell mühsam ist, dürfte jedoch im Hinblick auf der der Apotheke eventuell dro-

hende Bußgelder das geringere Übel darstellen. Somit bietet sich an, bereits bei Be-

antragung der Kundenkarte die Einwilligungserklärung auf etwaige Rechtsnachfolger

zu erstrecken.“

Von der Ausgabe einer Kundenkarte ist daher abzuraten, wenn der Kunde die Erklä-

rung nicht oder nur mündlich abgeben will. Im Falle eines Streits müssen Sie die Einwil-

ligung beweisen. Oftmals steht Aussage gegen Aussage!

Grundsätzlich sollte man nur Daten erfassen, die tatsächlich benötigt werden. Gän-

gig ist auch, dass die Bewohner belieferter Altenheime in der Kundendatei der Apo-

theke eingetragen sind. Wenn man nicht von allen einzeln die Einwilligung einholen

will, oder kann, ist es sinnvoll, beim Abschluss des Vertrags mit der Heimleitung fest-

zuhalten, dass diese sich um die Einwilligungen kümmert.

Was in der Praxis bereits häufiger zu Ärger geführt hat, sind Antragsformulare für Kun-

denkarten, auf denen nicht alles aufgeführt ist, was die Apotheke mit den Daten tun

wird.


© 2015 | Seite 21

Beispiel:

Thema Geburtstagskarte. Sollten Sie im Rahmen der Kundenpflege eine Geburts-

tagskarte versenden wollen, muss dieser „Service“ explizit im Kartenauftrag vermerkt

sein.

Die Geburtstagskarte kann zum Bumerang werden, wenn Verstorbene eine Karte

zum Geburtstag bekommen. Sind in den Kundenkartenanträgen solche Geburts-

tagsaktionen nicht aufgeführt, können Angehörige gegen Datenschutzverstöße der

Apotheke vorgehen. Auch Post aus einer Filialapotheke, die ohne Kenntnis des Kar-

teninhabers auf die Daten zurückgreift, kann zu Irritationen führen.

Schlichtweg verboten sind auch in der EDV gespeicherte Daten, die ein Werturteil

enthalten, etwa „Nervensäge“, „Pfennigfuchser“ oder „schwieriger Kunde“. Möglich

ist aber, auf Tatsachen wie „offene Rechnung“ oder „bisher nicht abgeholter Bestel-

lartikel“ hinzuweisen.

Generell hat der Kunde ein Recht auf schriftliche Auskunft über die zu seiner Person

gespeicherten Daten. Dies muss er in der Apotheke kundtun, aber nicht begründen.

Die Unentgeltlichkeit dieser Auskunft ist ausdrücklich im Gesetz vorgesehen Die Aus-

kunft kann mündlich erfolgen, auf Verlangen des Kunden ist sie aber schriftlich zu

erteilen. Ferner haben Kunden ein Anrecht auf Datenkorrektur, zum Beispiel auf Be-

richtigung oder Löschen von Daten.

1.10. Lieferung per Bote:

Apothekenboten sind ebenso an Schweigepflicht und Datengeheimnis gebunden,

wie die übrigen Apothekenmitarbeiter auch. Laut § 14 Apothekenbetriebsordnung

sind die auszuliefernden Arzneimittel für jeden Empfänger getrennt zu verpacken und

jeweils mit dessen Namen und Anschrift zu versehen.

Achtung: Damit gelangen personenbezogene Daten in Umlauf.

Bei der Auslieferung mit einem Pkw dürfen die Medikamente nicht sichtbar im Pkw

liegen oder dort längere Zeit, zum Beispiel über Nacht, deponiert werden. Beim Ver-

lassen ist der Wagen stets abzuschließen. Fahrradboten müssen alle auszuliefernden

Medikamente immer mit sich führen.

Der Bote darf die Medikamente nur dem Kunden selbst aushändigen. Andernfalls,

zum Beispiel bei Abgabe beim Nachbarn oder Einwurf in den Briefkasten, ist vorher

eine schriftliche Einverständniserklärung einzuholen. Ebenfalls abklären sollte man, ob


© 2015 | Seite 22

das Medikament an andere Familienangehörige im gleichen Haushalt ausgehändigt

werden kann. Es ist stets sinnvoll, wenn sich der Bote die Übergabe bestätigen lässt.

2. Das Büro:

Fernab des Verkaufsraums lauern ebenfalls mögliche datenschutzrechtliche Verstö-

ße. Hierbei ist unter anderem das Büro des Apothekers anzusprechen. Unabhängig

davon, ob allenfalls der Apotheker persönlich dieses Büro betreten darf sollte zumin-

dest ein Augenmerk darauf gerichtet werden, dass hierbei ähnlich wie auf dem Ver-

kaufstisch keine Rezepte oder ähnliche sensible Daten aufzufinden sind. Auch hier

gilt wiederum der Grundsatz, dass persönliche Daten von Kunden sicher verwahrt

werden sollen. Dies gilt jedoch ebenso für relevante Mitarbeiterdaten. Gesetzt den

Fall, das Reinigungspersonal betritt das Büro des Apothekers und kennt durch Zufall

die Person die als Adressat eines Rezeptes genannt ist, ist der datenschutzrechtliche

Verstoß eingetreten.

2.1. IT-Sicherheit(Anforderungen an Arbeitsplatz und Mitarbeiter, effektiver Passwort-

schutz, regelmäßige Datensicherung, Anforderungen an den Datenaustausch)

Ohne Informationstechnologie (IT) geht es in der Apotheke nicht. Um deren Sicher-

heit muss sich der Apothekeninhaber Gedanken machen. Nicht nur Hackerangriffe

von außen sind zu befürchten, auch technische Schäden (etwa Überhitzung), Ele-

mentarschäden (Brand, Wasserschäden) sowie Unkenntnis und Selbstüberschätzung

des Personals sind Risikofaktoren.

Wirksame Maßnahmen zur Gefahrenabwehr beginnen bei regelmäßigen Mitarbei-

terschulungen und enden bei einem umfassenden Passwortschutz. Auch an eine

unterbrechungsfreie Stromversorgung mit Überspannungsschutz, aktualisierte Viren-

schutzprogramme und regelmäßige Datensicherungen ist zu denken. Nach der Da-

tensicherung sollte der Sicherungsträger nicht am oder in unmittelbarer Nähe des

Computers gelagert werden; am besten wird er an einem vor Diebstahl und Elemen-

tarschäden gesicherten Ort aufbewahrt. Empfehlenswert ist auch, den Datenträger

mindestens einmal pro Monat auf Funktionstüchtigkeit zu überprüfen.


© 2015 | Seite 23

2.2. Die Internetpräsentation:

Mittlerweile haben viele Apotheken einen eigenen Internetauftritt. Dafür sind die all-

gemeinen Informationspflichten nach § 5 Telemediengesetz zu beachten. Zu einem

Impressum gehören folgende Angaben:

vollständiger Name der Apotheke mit Postanschrift,

Inhaber und Vertretungsberechtigter der Apotheke mit vollem

Vor- und Zunamen,

E-Mail-Adresse, Telefon- und Faxnummer,

UmsatzsteuerIdentifikationsnummer,

Handelsregister mit Handelsregisternummer,

Aufsichtsbehörde,

zuständige Berufskammer,

gesetzliche Berufsbezeichnung und Staat, in welchem diese verliehen wurde,

berufsrechtliche Regelungen und Zugangsmöglichkeit.

Auch an eine Datenschutzerklärung und einen Sicherheitshinweis an Kunden, dass

beispielsweise eine offene Dateneingabe freiwillig und nicht sicher ist, ist bei dem

Internetauftritt zu denken. Kunden und Mitarbeiter müssen zuvor natürlich zugestimmt

haben, wenn personenbezogene Daten und Bilder von ihnen auf der Website veröf-

fentlicht werden. Die Überwachung der Website auf Datenschutzrelevante Aspekte

zählt zu den Aufgaben eines Datenschutzbeauftragten.

3. Die Personalabteilung:

Die Personalakten sind in Papierform in einem abgeschlossenen Schrank aufzube-

wahren, für per Computer geführte Akten muss es ein sicheres Zugriffsberechtigungs-

konzept geben. Mitarbeiter haben jederzeit das Recht, die eigene Personalakte ein-

zusehen, die Daten zu prüfen und bei Bedarf gegen Einträge vorzugehen. Dies je-


© 2015 | Seite 24

doch nur nach vorherigem Antrag bei dem Arbeitgeber. Von einer eigenmächtigen

Einsichtnahme abzuraten. Stellen Sie sicher, dass Mitarbeiter keinen Zugriff auf die

Personalakten haben. Passwortschutz ist unerlässlich.

4. Apotheken und Dritte (Auftragsdatenverarbeitung in der Apotheke)

Wird ein externer Auftragnehmer mit der Erhebung, Verarbeitung und Nutzung per-

sonenbezogener Daten von einer Apotheke beauftragt, unterliegt dies der Auftrags-

datenverarbeitung und den entsprechenden rechtlichen Regelung im Bundesdaten-

schutzgesetz (§ 11 BDSG). Der Gesetzgeber stellt hohe Erwartungen an eine entspre-

chende Beauftragung. Eine Auftragsdatenverarbeitung liegt beispielsweise vor,

wenn die Buchhaltung ausgelagert wird, eine Aktenvernichtung durch ein externes

Unternehmen erfolgt oder die Lohnbuchhaltung durch Dritte vorgenommen wird.

Vielen ist unbekannt, dass auch die Beauftragung eines EDV-Unternehmens mit einer

Fernwartung unter die Auftragsdatenverarbeitung fällt. Der Gesetzgeber erwartet,

dass eine Apotheke vor der Beauftragung sich bei dem Dienstleister überzeugt, dass

das Thema Datenschutz ernst genommen wird. In der Praxis wird häufig ein Daten-

schutzkonzept abgefordert. Auch während der Beauftragung erwartet der Gesetz-

geber, dass eine Apotheke den Dienstleister beaufsichtigt und regelmäßig kontrol-

liert. Entsprechende Kontrollrechte müssen auch in den Verträgen zu Auftragsdaten-

verarbeitung enthalten sein. In § 11 Abs. 2 BDSG findet sich eine Aufzählung von 10

Punkten, die bei einer Auftragsdatenverarbeitung berücksichtigt werden müssen.

Sollten die in § 11 Abs. 2 BDSG enthaltenen Punkte allesamt im Rahmen einer Verein-

barung über die Auftragsdatenverarbeitung abgelichtet sein, sind sie grundsätzlich

auf der sicheren Seite. Die profunde Darstellung der Auftragsdatenverarbeitung wür-

de jedoch den Rahmen dieses Scripts sprengen.

5. Der Datenschutzbeauftragte:

5.1. Der interne Datenschutzbeauftragte:

Die gesetzliche Regelung findet sich hierzu in § 4f BDSG. Im Bereich der Privatwirt-

schaft trifft die Bestellpflicht die Nicht-öffentliche Stelle, d.h. den Unternehmensinha-

ber, bzw. die Leitung der juristischen Person, der das Unternehmen gehört.

Bei den besagten Stellen ist auch bei automatisierter Verarbeitung die Bestellpflicht

weiterhin an einen Mindestumfang der Datenverarbeitung und damit ein bestimmtes


© 2015 | Seite 25

Gefährdungspotenzial geknüpft. Die private Stelle muss in der Regel im Falle automa-

tisierter Datenverarbeitung zehn, oder im Falle herkömmlicher Verarbeitung, 20 Per-

sonen, ständig mit der Verarbeitung personenbezogener Daten betraut haben. So-

lange im Bereich der automatisierten Datenverarbeitung weniger als zehn Personen

beschäftigt sind, bedarf es keines betrieblichen Beauftragten. Der arbeitsrechtliche

Status ist hierbei irrelevant. Weiterhin fordert das Gesetz, dass die Person ständig da-

mit beschäftigt sein muss. Hat jemand nur gelegentlich und gegebenenfalls zur Erle-

digung andere Aufgaben auch mit der Datenverarbeitung zu tun, so ist er nicht

ständig damit beschäftigt.

Als Fazit bleibt somit festzuhalten, dass gerade in Apotheken, in denen mehr als neun

Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, ein Da-

tenschutzbeauftragte zu bestellen ist, gemäß § 4f Abs. 1 S. 4 BDSG.

Der Beauftragte ist bei Nicht-öffentlichen Stellen spätestens binnen eines Monats

nach dem Eintreten der Voraussetzungen zu bestellen. Sinkt wiederum bei diesen

Stellen die maßgebende Beschäftigtenzahl dauerhaft unter die gesetzliche vorgese-

hene Anzahl, so entfällt auch die Bestellungsvoraussetzung nach § 4f Abs. 1 BDSG.

Ein spezieller Widerruf der Bestellung sollte zwar zur Klarstellung der arbeitsvertragli-

chen Situation erfolgen/gegebenenfalls ist insoweit auch eine Kündigung erforder-

lich. Gleichwohl bleibt es der Apotheke jedoch unbenommen, in derartigen Fällen,

den Datenschutzbeauftragten „freiwillig“ weiterhin mit diesen Aufgaben zu betrau-

en.

5.2. Die Person des Beschäftigten:

Der Gesetzeswortlaut erlaubt es nunmehr, sowohl einen Beschäftigten des Unter-

nehmens als so genannten internen Datenschutzbeauftragten, als auch eine Person

außerhalb des Unternehmens, als so genannten externen Datenschutzbeauftragten

mit den Aufgaben des Datenschutzbeauftragten gemäß § 4f Abs. 2 S. 3 BDSG zu be-

stellen. Es muss jedoch darauf hingewiesen werden, dass der Bestellung einer juristi-

schen Person (z.B. Unternehmensberatungsgesellschaft) zum betrieblichen Daten-

schutzbeauftragten die Voraussetzungen des §§ 4f Abs. 2 BDSG entgegenstehen.

Fachkunde und Zuverlässigkeit sind nur von einer natürlichen Person erfüllbar, die

unmittelbare Unterstellung unter die Leitung der verantwortlichen Stelle kann nur von

einer natürlichen Person verwirklicht werden.


© 2015 | Seite 26

5.3. Die erforderliche Fachkunde und Zuverlässigkeit:

Weiterhin fordert das Gesetz, dass jeder Beauftragte besondere Fachkunde und Zu-

verlässigkeit vorweisen muss. Zum Grundwissen gehört in erster Linie das Datenschutz-

recht, das wegen seines besonderen Charakters als Querschnittsmaterie nur diejeni-

gen richtig beherrschen, die über allgemeine Rechtskenntnisse verfügen. Weiterhin

wird vom Gesetzgeber ein Verständnis für betriebswirtschaftliche Zusammenhänge,

sowie Grundkenntnisse über Verfahren und Techniken der automatisierten Daten-

verarbeitung gefordert. Überdies muss der DSB mit der Organisation und Informatio-

nen seines Betriebes vertraut sein.

Es steht Ihnen als DSB das Recht gegenüber dem Arbeitgeber zu, Fortbildungsveran-

staltungen zu besuchen. Der Arbeitgeber hat die Kosten hierfür zu übernehmen, ge-

mäß § 4f Abs. 5 S. 1 BDSG.


„Neben der Fachkunde muss der DSB auch die zur Erfüllung seiner Aufgaben erfor-

derliche Zuverlässigkeit besitzen. Es kann also niemand zum Datenschutzbeauftrag-

ten bestellt werden, der durch persönliche Unzuverlässigkeit aufgefallen ist. Das Er-

fordernis der persönlichen Integrität soll verhindern, dass ein für andere Arbeiten nicht

qualifizierter Arbeitnehmer auf die Position des DSB abgeschoben wird.“

Wer eine Person bestellt, der ersichtlich Fachkunde und Zuverlässigkeit fehlen, hat

keinen Datenschutzbeauftragten bestellt und damit eine Ordnungswidrigkeit nach §

43 Abs. 1 Nr. 2 BDSG begangen. Empfindliche Bußgelder können drohen.

Die Zuverlässigkeit des Datenschutzbeauftragten bedingt auch, ihm die hierfür erfor-

derliche Arbeitszeit, also Freistellung von bisheriger Tätigkeit zu gewähren. Bestimmte

Personen können unabhängig von ihrer Fachkunde und Zuverlässigkeit nicht zum

Datenschutzbeauftragten bestellt werden. Dies gilt ausnahmslos für den Inhaber

selbst, den Vorstand, den Geschäftsführer oder sonstigen gesetzlichen oder verfas-

sungsmäßig berufenen Leiter.

5.4. Die Bestellung des Datenschutzbeauftragten:

Die Bestellung des Datenschutzbeauftragten muss schriftlich erfolgen, wobei auch

Aufgaben und organisatorische Stellung zu konkretisieren sind. Die Bestellung kann


© 2015 | Seite 27

nur widerrufen werden, wenn die Aufsichtsbehörde dies verlangt, oder ein wichtiger

Grund im Sinne des § 626 BGB vorliegt. Neben dieser Einschränkung des Widerrufs

genießt der in einem Arbeitsverhältnis beschäftigte Datenschutzbeauftragte einen

besonderen Kündigungsschutz gemäß § 4f Abs. 3 BDSG. Dieser Kündigungsschutz gilt

jedoch nur für pflichtgemäße Datenschutzbeauftragte, also nicht für den Fall, dass

ein Kleinbetrieb freiwillig einen Datenschutzbeauftragten bestellt.

Weiterhin hat der Datenschutzbeauftragte als unabhängige Stelle eine Verschwie-

genheitsverpflichtung. Dies bedeutet, dass der DSB berechtigt und verpflichtet ist,

über die Identität eines Betroffenen, Stillschweigen zu bewahren. Regelmäßig wer-

den sich Betroffene mit einer Beschwerde oder Anfrage an den Datenschutzbeauf-

tragten wenden. Dies bedingt selbstverständlich, dass der Datenschutzbeauftragte

ebenfalls auf das Datengeheimnis zu verpflichten ist.

Als innerbetriebliche Konsequenz besteht ein Verbot der Benachteiligung des Beauf-

tragten für den Datenschutz. Der Arbeitgeber hat den Datenschutzbeauftragten

weiterhin zu unterstützen. Der Erfolg des Beauftragten für den Datenschutz beruht

wesentlich darauf, dass die Leitung der verantwortlichen Stelle seine Aufgaben

grundsätzlich bejaht und ihn bei deren Erfüllung unterstützt. Dies bedeutet neben

den erforderlichen Fortbildungsveranstaltungen, selbstverständlich auch den Um-

stand, dass dem Datenschutzbeauftragten die erforderliche Zeit zur Wahrnehmung

der Tätigkeit eingeräumt wird, d.h., dass er von anderen Aufgaben entlastet wird.

Bei mehreren Filialen kann eine Person für alle Filialen beauftragt werden. Ein

Exemplar der Bestellungsurkunde muss in jeder Filiale vorliegen, eines erhält der DSB

für seine Unterlagen. Seine Aufgaben sind unter anderem die Überwachung der

ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme und die Schu-

lung der Mitarbeiter bezüglich des Datenschutzes. Die Schulung sollte er dokumentie-

ren und fehlende Mitarbeiter nachschulen.

6. Das Verfahrensverzeichnis:

Die Grundlage für das Führen von Verfahrensverzeichnissen liegt im BDSG, genauer in

§ 4g Abs. 2 BDSG. Dem Beauftragten für den Datenschutz ist von der verantwortli-

chen Stelle, der Apotheke, eine Übersicht über die in § 4e Satz 1 genannten Anga-

ben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Der Beauftrag-

te für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag

jedermann in geeigneter Weise verfügbar. Ein solches Verfahrensverzeichnis kann


© 2015 | Seite 28

beispielsweise im Internet veröffentlicht werden. Auf diese Art und Weise signalisiert

eine Apotheke, dass das Thema Datenschutz ernst genommen wird und die gesetzli-

chen Verpflichtungen eingehalten werden. In dem öffentlichen Verfahrensverzeich-

nis ist unter anderem die Zweckbestimmung der Datenerhebung, Datenverarbeitung

oder Datennutzung zu beschreiben. Darüber hinaus sind die betroffenen Personen-

gruppen zu benennen, deren personenbezogene Daten erhoben, verarbeitet und

genutzt werden. Weiterhin sind die Datenkategorien anzugeben, die Gegenstand

der Datennutzung sind.


© 2015 | Seite 29

6.1. Internes Verfahrensverzeichnis

Der erste Satz enthält zwei Informationen zu dem sog. internen Verfahrensverzeichnis:

1. Es ist von der verantwortlichen Stelle zur Verfügung zu stellen.

Dies bedeutet eigentlich, dass entweder der/die Leiter/in – z.B. ein Apotheker/in –

einer rechtlich selbstständigen Einheit, die personenbezogene Daten erhebt, verar-

beitet oder nutzt, diese Übersicht erstellt, oder diese Aufgabe delegiert – z.B. an ei-

nen IT-Leiter. Manchmal bleibt dem bDSB nichts anderes übrig, als die Übersicht ein-

mal selbst zu erstellen und nur den erforderlichen Input von den jeweiligen Fachver-

antwortlichen einzuholen. Trotz dieses in der Praxis häufig anzutreffenden Umgangs

mit dem Thema, sollte betont werden, dass es nach dem Wortlaut des BDSG nicht

dem bDSB obliegt, selbst diese „Übersicht“ zu erstellen; sie ist ihm vielmehr unaufge-

fordert bereitzustellen.

2. Es hat die Angaben aus § 4e Satz 1 BDSG sowie über zugriffsberechtigte Personen

zu enthalten.

Nun gut, dies sind zumindest klare Anforderungen und Punkte, die man mit entspre-

chendem Know-how und ein wenig Geduld abarbeiten kann. Das Gesetz definiert

den Begriff des Verfahrens nicht. Mit dem Begriff soll sichergestellt werden, dass nicht

einzelne Verarbeitungsvorgänge, d. h. das Erheben oder Übermitteln bestimmter Da-

ten, sondern einer bestimmten Zweckbestimmung dienende „Verarbeitungspakete“

(…) erfasst und bewertet werden. Beispiele sind Mitglieder- oder Personalverwaltung,

Telefondatenerfassung, Videoüberwachung, Kundenbetreuung (…)

Auch hier hat sich in der Praxis gezeigt, dass selbst in mittelständigen Unternehmen

eine ganze Reihe dieser Verfahren zum Einsatz kommen. Hier offenbart sich der erste

der drei Vorteile von Verfahrensverzeichnissen: Man kann sich damit im wahrsten Sin-

ne des Wortes eine Übersicht über die laufenden Verarbeitungen von personenbe-

zogenen Daten verschaffen. Während die Verfahrensübersicht zur Orientierung

reicht, sollte dennoch ergänzend ein komplettes Verzeichnis erstellt werden, in dem

die erforderlichen Angaben zu den jeweiligen Verfahren detailliert aufgelistet wer-

den. Nur dort, wo sinnvoll zusammengefasst werden kann, sollte dies auch gesche-

hen, z.B. bei den Angaben zu § 4e Nr. 1, 2 und 3 sowie bei einigen Angaben zu Nr. 9.


© 2015 | Seite 30

6.2. Öffentliches Verfahrensverzeichnis

Im Gesetz brauchen Sie nach diesem Begriff nicht zu suchen – der Begriff hat sich

unabhängig davon eingebürgert. Ausgangspunkt ist der o.g. § 4g Abs. 2 Satz 2

BDSG. Auch hier sind wieder zwei Informationen enthalten:

1. Es enhält die Angaben nach § 4e Satz 1 Nr. 1 bis 8

Was im Gegensatz zum internen Verzeichnis fehlt, sind also die allgemeinen Be-

schreibungen der technischen und organisatorischen Maßnahmen und der zugriffs-

berechtigten Personen. Dies ist nicht nur sinnvoll sondern auch erforderlich, denn die-

se Information sollte auf jeden Fall innerhalb einer organisatorischen Einheit bleiben.

2. Die Übersicht ist jedermann auf Antrag verfügbar zu machen

“Jedermann” bedeutet genau das – damit sind auch Sie gemeint. Machen Sie die

Probe aufs Exempel und beantragen Sie ein solches Verzeichnis beim Online-

Versender etc. Ihrer Wahl. Sie dürfen uns gerne von Ihren Erfahrungen berichten…

Beim öffentlichen Verfahrensverzeichnis zeigt sich, dass zumindest ein guter bDSB die-

ses sehr wohl in der eingangs erwähnten Schublade haben sollte – der zweite Vorteil

eines Verfahrensverzeichnisses. Hier reicht wiederum eine Übersicht – eine detaillierte

Auflistung muss nicht sein, es sollte aber zusammengefasst alle Verfahren beinhalten.

Zum Schluss…

Bleibt noch der dritte Vorteil:

Bei einer Prüfung durch die zuständige Aufsichtsbehörde für den Datenschutz sind

regelmäßig beide Verfahrensverzeichnisse vorzulegen.

Bleiben die Nachteile:

Es ist ein nicht zu unterschätzender bürokratischer Aufwand, die Verzeichnisse sowohl

zu erstellen wie zu pflegen. In der Praxis ist dies manchmal kaum zu schaffen und

geht in der täglichen Arbeit oft unter. Doch überlegen Sie selbst, angesichts der be-

schriebenen Vorteile, ob es sich nicht lohnt, auch hierfür Ressourcen bereitzustellen –

vielleicht auch unter Zuhilfenahme eines externen Beraters?


© 2015 | Seite 31

7. Rechte des Betroffenen:

Was passiert, wenn bei Datenschutzverstößen Betroffene Schadenersatz fordern?

Diese Ansprüche treffen zunächst die Apotheke. Ein entsprechender Versicherungs-

schutz ist daher wichtig. Die Apotheke hat aber die Möglichkeit des Rückgriffs gegen

den Verursacher, wobei zwischen internen und externen DSB zu unterscheiden ist.

Schon im eigenen Interesse sollte der DSB ständig seine ordnungsgemäße Aufga-

benerfüllung belegen können, zum Beispiel indem er seine Tätigkeiten dokumentiert

und regelmäßig an Fortbildungen teilnimmt.

Datenzugriff auf Kundendaten durch Hacker, Verlust von transportablen Datenträ-

gern oder Falschversendung einer E-Mail mit Kundendaten: Solche Datenpannen in

der Apotheke erfordern Handlungsbedarf, denn das BDSG sieht bei schwerwiegen-

den Datenpannen Informationspflichten vor. Die Aufsichtsbehörde ist unverzüglich

offiziell zu informieren. Auch der Betroffene muss unterrichtet werden.

Verspätete, unzureichende oder unterlassene Meldungen können sehr teuer werden.

Leichte Verstöße gegen den Datenschutz werden mit Bußgeldern bis zu 50 000 Euro

geahndet, schwere mit bis zu 300 000 Euro. Zur letztgenannten Gruppe gehört zum

Beispiel die unterbliebene Information der Aufsichtsbehörde bei einer schweren Da-

tenpanne. Mitarbeiter müssen bei Verstößen gegen den Datenschutz mit arbeits-

rechtlichen Konsequenzen rechnen, etwa Abmahnung oder Kündigung.

Die Aufsichtsbehörden kontrollieren den Datenschutz – meistens anlassbezogen, zum

Beispiel nach Beschwerden von Kunden, aber auch stichprobenweise. Bei einer Kon-

trolle ist die Apotheke verpflichtet, unverzüglich Auskunft zu erteilen. Fehlverhalten

kann teuer werden. Anordnung von Maßnahmen, Abberufung eines DSB, Zwangs-

geld: Die Aufsichtsbehörde hat verschiedene Möglichkeiten, datenschutzrechtliche

Belange durchzusetzen. Sie hat aber auch die Aufgabe, die Apotheken bei Fragen

zur Umsetzung des Datenschutzes zu beraten und zu unterstützen.


© 2015 | Seite 32

III. Regeln/Gebote des Datenschutzes/Sieben

goldene Regeln des Datenschutzes:

1. Rechtmäßigkeit

Für die Erhebung, Speicherung und Verarbeitung personenbezogener Daten benöti-

gen Sie entweder eine Norm, oder aber eine Einwilligung. Gemäß § 1 Abs. 3 BDSG ist

das Bundesdatenschutzgesetz gegenüber eventuell einschlägigen Spezialgesetzen

subsidiär anwendbar. Infolgedessen bietet es sich an, zunächst spezialgesetzliche

Normen auf ihre Anwendbarkeit hin zu überprüfen. Sollten die Spezialgesetze keine

Norm bereithalten, ist das Bundesdatenschutzgesetz zu prüfen. Rechtmäßigkeit liegt

immer dann vor, wenn also ein Gesetz einschlägig ist, oder aber eine Einwilligung

vorliegt.

2. Einwilligung

Aus dem Grundrecht der informationellen Selbstbestimmung resultiert ein generelles

Verbot der Datenerhebung. Es ist demnach verboten, was nicht ausdrücklich erlaubt

wurde. Das bedeutet, im Bundesdatenschutzgesetz gilt als allgemeiner Grundsatz

der des Verbots mit Erlaubnisvorbehalt zur Erhebung, Verarbeitung und Nutzung per-

sonenbezogener Daten. Daten dürfen damit nicht erhoben, verarbeitet oder genutzt

werden, außer der Betroffene hat dazu ausdrücklich seine Einwilligung erklärt oder

das BDSG bzw. eine andere gesetzliche Vorschrift rechtfertigt den Vorgang gemäß §

4 Abs. 1 BDSG. Im Übrigen muss der Betroffene für seine Einwilligung ausreichend in-

formiert werden und diese Einwilligung in die Datenverarbeitung freiwillig und schrift-

lich erteilen. So ist der Betroffene über Dinge wie den Zweck der Erhebung oder die

Nutzung seiner personenbezogenen Daten aufzuklären. Besondere Vorsicht ist bei

der Verarbeitung ganz spezieller Arten personenbezogener Daten geboten. Dazu

zählen Angaben zur

rassischen und ethnischen Herkunft,

politischen Meinung, religiösen oder philosophischen Überzeugung,

Gewerkschaftszugehörigkeit,

Gesundheit oder

Sexualleben


© 2015 | Seite 33

Hier muss sich die Einwilligung nach § 3 Abs. 9 BDSG ausdrücklich auf diese Daten

beziehen. Die Rechtsgrundlage für nicht-öffentliche Stellen zu Datenerhebung finden

sich in den §§ 27 ff. BDSG. Für Unternehmen spielt vor allem der § 28 BDSG eine wich-

tige Rolle. Dieser erlaubt das Erheben, Speichern, Verändern oder Übermitteln perso-

nenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäfts-

zwecke,

1. wenn es für die Begründung, oder der Beendigung eines rechtsgeschäftli

chen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen

erforderlich ist,

2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle er

forderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige

Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung

überwiegt oder,

3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie

veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Be

troffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem

berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.

3. Zweckbindung

Werden personenbezogene Daten erhoben, verarbeitet, gespeichert oder genutzt,

so unterliegen öffentliche, wie nicht-öffentliche Stellen dem Zweckbindungsgrund-

satz nach §§ 14, 28, 29 BDSG. Es ist daher sicherzustellen, dass die Daten tatsächlich

nur dem Zweck einer eindeutigen, vorher konkret festgelegten Verwendungen die-

nen. Dieser konkrete Zweck der Verwendung ist der betroffenen Personen mitzutei-

len. Sollen diese Daten für einen weiteren Zweck genutzt werden, muss eine erneute

Einwilligung der betroffenen Person eingeholt werden.

Beispielsweise muss im Rahmen einer Kundenkarte der Apothekenkunde auf den

Zweck der Antragstellung hingewiesen werden. Sollten die Daten daraufhin an ein

Pharma-Unternehmen weitergeleitet werden und schickt dieses Pharma-

Unternehmen z.B. eine Tüte Bonbons an den jeweiligen Kunden, liegt ein daten-

schutzrechtlicher Verstoß vor. Die Erhebung der personenbezogenen Daten war vom

ursprünglichen Zwecke nicht umfasst. Dem Kunden war nicht ersichtlich, dass mit sei-

nen persönlichen Daten Drittunternehmen werben würden.


© 2015 | Seite 34

Ausnahmsweise kommt eine Verwendung der Personaldaten für andere Zwecke

dann infrage, wenn:

dabei z.B. die Wahrung berechtigter Interessen der verantwortlichen Stelle im

Vordergrund steht,

die Daten allgemein zugänglich sind oder veröffentlicht werden dürfen,

wissenschaftliche Zwecke damit verknüpft werden, oder

zur Werbung oder zu Mark-oder Meinungsforschung bei listenmäßige

Übermittlung.

4. Erforderlichkeit

Nach § 3a BDSG gehört zum Schutz personenbezogener Daten das Prinzip der so

genannten Datensparsamkeit, bzw. Datenvermeidung. Informationen zu einer kon-

kreten, natürlichen Person dürfen demnach nur in dem Umfang erhoben werden,

der für den Zweck von Nutzen sind. Die Folge daraus ist klar: Sind die Personendaten

nicht unmittelbar erforderlich, dürfen sie nicht erhoben werden und müssen gelöscht

oder zumindest gesperrt werden. Es sollten nur so viele Daten benötigt, aber so we-

nige wie möglich erhoben werden.

Unter Bezugnahme auf die bereits erwähnten Kompressionsstrümpfe, ist regelmäßig

die Adresse und der Name des Kunden zu speichern. Zusätzliche Daten wie das Alter,

das Geburtsdatum und der Familienstand sind nicht erforderlich. Die Erhebung und

Speicherung dieser Daten stellt sich wiederum als ein datenschutzrechtlicher Verstoß

dar.

Zudem sind personenbezogene Daten zu anonymisieren oder zu Pseudonymisieren,

soweit dies nach dem Verwendungszweck möglich ist und dies keinen im Verhältnis

zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand darstellt. Gesetzt

den Fall Sie lassen intern Statistiken über den Bezug des Arzneimittels Viagra anferti-

gen, sollten die Daten anonymisiert werden.


© 2015 | Seite 35

5. Transparenz

Ein weiteres wichtiges Prinzip des Datenschutzes ist die Transparenz. Erhebt, verarbei-

tet oder nutzt ein Unternehmen, oder aber eine Apotheke personenbezogene Da-

ten, muss damit transparent gearbeitet werden. Transparent bedeutet, das Unter-

nehmen, oder aber die Apotheke muss bei der Datenerhebung mit seinem eigenen

Namen auftreten, so dass sie für ihre Tätigkeit im Zweifel auch zur Verantwortung ge-

zogen werden kann. Besonders wichtig ist dabei, die Erhebung und Verarbeitung

von personenbezogenen Daten zu Kontrollzwecken zu dokumentieren.

6. Datensicherheit:

Personenbezogene Daten unterliegen bei ihrer Verarbeitung einem Mindestmaß an

Sicherheitsvorkehrungen. Das Bundesdatenschutzgesetz fordert dazu in § 9 BDSG

und in der Anlage zu § 9 BDSG konkrete Schutzmaßnahmen. Demnach sind die Da-

ten vor allem vor Verlust, unerlaubter Kenntnisnahme oder Verfälschung zu schützen.

6.1. Technische und organisatorische Maßnahmen:

Die acht Gebote

In einer Anlage zum BDSG ist der gesetzliche Maßstab zur technisch-

organisatorischen Umsetzung des Datenschutzes nachzulesen. Die acht Gebote des

Datenschutzes lauten:

Zutrittskontrolle,

Zugangskontrolle,

Zugriffskontrolle,

Weitergabekontrolle,

Eingabekontrolle,

Auftragskontrolle,

Verfügbarkeitskontrolle und

Trennungskontrolle.


© 2015 | Seite 36

Apotheken sind dadurch aufgefordert, konkrete Schutzmaßnahmen zu ergreifen.

Apotheken, die selbst oder im Auftrag anderer personenbezogene Daten erheben,

verarbeiten oder nutzen, müssen technische und organisatorische Maßnahmen tref-

fen, um die Daten wirksam zu schützen.

Zutrittskontrolle:

Nur befugte Personen dürfen Zutritt zu den Datenverarbeitungsanlagen haben. Die

Zutrittskontrolle verlangt, Unbefugten den „körperlichen“ Zutritt zu Datenverarbei-

tungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verweh-

ren.

Zugangskontrolle:

Unbefugte dürfen keine Möglichkeit haben, die Datenverarbeitungsanlagen zu nut-

zen. Gemeint ist hiermit im Gegensatz zur Zutrittskontrolle das Eindringen in das EDV-

System selbst seitens unbefugter (externer) Personen, während die nachfolgend ge-

regelte Zugriffskontrolle die Tätigkeit innerhalb des EDV-Systems durch einen grund-

sätzlich Berechtigten außerhalb seiner Berechtigung umfasst.

Zugriffskontrolle:

Personen, die zur Benutzung der Datenverarbeitungsanlagen berechtigt sind, dürfen

nur auf solche Daten zugreifen können, die ihrer jeweiligen Zugriffsberechtigung un-

terliegen. Zusätzlich darf es nicht möglich sein, dass personenbezogene Daten nach

dem Speichern unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Weitergabekontrolle:

Personenbezogene Daten dürfen während der elektronischen Übertragung oder

während eines Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt

werden können. Dies muss nachvollziehbar und überprüfbar sein, an welchen Stellen

Daten übermittelt werden.


© 2015 | Seite 37

Eingabekontrolle:

Es muss nachträglich überprüft werden können, von wem personenbezogene Daten

eingegeben, verändert oder entfernt wurden.

Auftragskontrolle:

Werden personenbezogene Daten im Auftrag von Dritten verarbeitet, darf dies nur

den Anweisungen des Auftraggebers folgend geschehen.

Verfügbarkeitskontrolle:

Die Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein und meint

damit z.B. Wasserschäden, Brand, Blitzschlag, Stromausfall. Beispiele für Sicherungs-

maßnahmen sind: Auslagerung von Sicherungskopien, Notstromaggregate, unter-

brechungsfreie Stromversorgung, Katastrophenplan, etc.

Trennungsgebot/Getrennte Verarbeitung:

Zu unterschiedlichen Zwecken erhobene Daten müssen grundsätzlich auch getrennt

verarbeitet werden können.

Diese Maßnahmen werden üblicherweise von dem Datenschutzbeauftragten des

Unternehmens sichergestellt und überwacht. Bei Unternehmen, die nicht verpflichtet

sind, Datenschutzbeauftragte zu bestellen, muss die verantwortliche Stelle sicherstel-

len, dass diese Anforderungen erfüllt werden. Falls automatisierte Verarbeitungen zur

Anwendung kommen, die eine Vorabkontrolle nötig machen, ist die Bestellung von

Datenschutzbeauftragten stets Pflicht.

Selbstverständlich sind beispielsweise das Verschließen der Apothekenräume, eine

festgelegte Schlüsselregelung für das Personal und regelmäßige Datensicherungen.

Aber auch eine Benutzerkennung mit Passwortsicherung, die Beschränkung der Ad-

ministrator- und Userrechte auf das zwingend Erforderliche und klare Regeln für die

Mitarbeiter, an wen Daten weitergegeben werden dürfen, sind hier zu bedenken.


© 2015 | Seite 38

6.2. Pflichten bei unerlaubter Datenweitergabe:

Apotheken, die feststellen, dass gespeicherte Daten unrechtmäßig an Dritte weiter-

gegeben wurden und dadurch die Rechte und schutzwürdigen Interessen der Be-

troffenen schwer beeinträchtigt werden, sind verpflichtet, dies unverzüglich sowohl

dem Betroffenen, als auch dem Landesbeauftragten für den Datenschutz zu melden

gemäß § 42a BDSG.

Das betrifft:

Besondere Arten personenbezogener Daten (Angaben über rassische oder

ethnische Herkunft, politische Meinungen, religiöse oder philosophische Über

zeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben),

personenbezogenen Daten, die einem Berufsgeheimnis unterliegen,

personenbezogene Daten, die sich auf strafbare Handlungen oder Ord

nungswidrigkeiten oder den Verdacht darauf beziehen, und

personenbezogene Daten bezüglich Bank-oder Kreditkartenkonten.

Der Betroffene muss darüber informiert werden, auf welche Art die Daten unrecht-

mäßig zugänglich geworden sind und welche Maßnahmen er treffen kann, um ne-

gative Folgen abzuwenden. Zudem ist dem Landesbeauftragten für Datenschutz

mitzuteilen, welche negativen Folgen mit dem Bekanntwerden der Daten verbunden

sein können und welche Maßnahmen durch das Unternehmen getroffen wurden,

um dem entgegenzuwirken. Falls die Benachrichtigung der Betroffenen einen unver-

hältnismäßigen Aufwand darstellt (z.B. aufgrund der Vielzahl der Betroffenen), muss

das Unternehmen stattdessen die Öffentlichkeit per Anzeigen informieren. Diese An-

zeige muss mindestens halbseitig sein und in mindestens zwei bundesweit aufgeleg-

ten Tageszeitungen erscheinen, bzw. auf eine vergleichbare acht und Weise veröf-

fentlicht werden.

6.3. Datenschutz bei der Datenträgervernichtung:

Auch das Löschen personenbezogener Daten, bzw. das vernichten elektronisch oder

mechanisch lesbarer Datenträger (z.B. CD-ROMs, Festplatten, Akten) ist eine Form

der Verarbeitung im Sinne des Bundesdatenschutzgesetzes und muss nach bestimm-

ten Vorschriften erfolgen. Werden Daten im eigenen Unternehmen gelöscht oder


© 2015 | Seite 39

Datenträger vernichtet, muss das Unternehmen bzw. die dort verantwortliche Stelle

sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz

der Daten umgesetzt werden. Wird ein auf Datenvernichtung spezialisiertes gewerb-

liches Drittunternehmen mit der Löschung oder Datenträgervernichtung beauftragt,

muss der Auftrag schriftlich erfolgen und muss folgende Angaben enthalten gemäß

§§ 9, 11 BDSG:

Welcher Art die Daten oder Datenträger sind und wie die Schutzbedürftigkeit der

Daten eingestuft wird,

auf welche Weise die Vernichtung erfolgen muss,

wo die Datenträger vernichtet werden,

von wem die Datenträger abgeholt und wie sie transportiert werden,

wo die Datenträger bis zur Vernichtung aufbewahrt werden,

bis wann die Datenträger vernichtet sein müssen,

Ob der Auftragnehmer andere Unternehmen bei der Vernichtung einschalten

darf und

dass das Unternehmen als Auftraggeber berechtigt ist, Transport und Vernich

tung zu überwachen.

Als Auftraggeber muss sich die Apotheke, bzw. der Datenschutzbeauftragte oder die

sonst verantwortliche Stelle davon überzeugen, dass der Auftragnehmer die im Ver-

trag festgehaltenen Maßnahmen einhält. Dies gilt auch, wenn regelmäßig das glei-

che Unternehmen mit der Datenvernichtung betraut wird. Es ist in diesem Fall stich-

probenartig die Einhaltung der Maßnahmen zu überprüfen. Bis zum Abschluss der

Vernichtung der Datenträger ist ausschließlich der Auftraggeber, also die Apotheke,

für die Einhaltung der Datenschutzanforderungen verantwortlich.

Verstößt die Apotheke gegen die vorstehend dargestellten Pflichten, drohen gemäß

§ 43 BDSG Bußgelder von bis zu 300.000 €. Dabei soll die Höhe des Bußgeldes den

Vorteil, den derjenige hatte, der seine datenschutzrechtlichen Pflichten verletzt hat,

übersteigen.


© 2015 | Seite 40

7. Kontrolle / Rechte des Betroffenen

Die Rechte des Betroffenen sind bei der Datenerhebung für nicht-öffentliche Stellen

in §§ 33-35 BDSG geregelt.

7.1. Benachrichtigung und Auskunft:

Der Betroffene hat gegenüber dem Unternehmen, das Daten über ihn verarbeitet,

bei erstmaliger Speicherung seiner Daten das Recht, von der Datenerhebung in

Kenntnis gesetzt zu werden, wenn die Speicherung ohne sein Wissen erfolgte, § 33

Abs. 1 BDSG. Zudem ist der Betroffene gemäß § 33 Abs. 1 BDSG über die Art der Da-

ten, die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und die Identi-

tät der verantwortlichen Stelle zu unterrichten.

Der Betroffene kann weiter nach § 34 Abs. 1 BDSG Auskunft von der erhebenden

Stelle darüber verlangen, welche Daten von ihm gespeichert wurden, wo die Spei-

cherung stattgefunden hat, zu welchem Zweck die Daten erhoben oder verarbeitet

wurden, von wem die Daten erhoben wurden und wer der Empfänger seiner Daten

war.

Benachrichtigung und Auskunft sind Ausprägung des Transparenzgedankens. Auf

diese Rechte kann der Betroffene auch vertraglich nicht verzichten, sie sind unab-

dingbar.

Gegenläufige Formulierungen im Rahmen der Kundenkarte oder dergleichen sind

somit mit dem Bundesdatenschutzgesetz nicht vereinbar, rechtlich unwirksam und

somit am besten gar nicht zu verwenden.

7.2. Berichtigung, Löschung und Sperrung

Unrichtige personenbezogene Daten sind gemäß § 35 Abs. 1 BDSG zu berichtigen.

Die personenbezogenen Daten sind auf Verlangen des Betroffenen zu löschen. Zu-

dem sind personenbezogene Daten nach § 35 Abs. 2 BDSG zu löschen, wenn

ihre Speicherung unzulässig ist,

es sich um Daten über die rassische oder ethnische Herkunft, politische Mei-

nungen, religiöse oder philosophische Überzeugung, Gewerkschaftszugehö-

rigkeit, Gesundheit, Sexualleben, strafbare Handlungen oder Ordnungswidrig-

keiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht be-

wiesen werden kann,

sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung

des Zwecks der Speicherung nicht mehr erforderlich ist, oder


© 2015 | Seite 41

sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine

Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte

Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am

Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, dass der

erstmaligen Speicherung folgt, ergibt, dass eine länger währende Speiche-

rung nicht erforderlich ist.

An die Stelle der Löschung tritt gemäß § 35 Abs. 3 BDSG eine Sperrung, soweit

einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewah-

rungsfristen entgegenstehen,

Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige In-

teressen des Betroffenen beeinträchtigt würden, oder

eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit

unverhältnismäßig hohem Aufwand möglich ist.

Sperren von Daten bedeutet, dass die Daten in der entsprechenden Datei des ver-

arbeitenden Unternehmens verbleiben, jedoch doch einen so genannten Sperrver-

merk gekennzeichnet werden und somit für die weitere Verarbeitung und zugänglich

werden.

8. Was passiert bei einer Datenpanne:

§ 42a BDSG kodifiziert Informationspflichten bei unrechtmäßiger Kenntniserlangung

von Daten.

Stellt eine nicht-öffentliche Stelle fest, dass bei ihr gespeicherte

1. besondere Arten personenbezogener Daten (§ 3 Abs. 9),

2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,

3. personenbezogene Daten, die sich auf strafbare Handlungen und Ordnungs-

widrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrig-

keiten beziehen, oder

4. personenbezogene Daten zu Bank-oder Kreditkartenkonten

unrechtmäßig übermittelt, oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis

gelangt sind, und schwerwiegende Beeinträchtigungen für die Rechte und Interes-

sen der Betroffenen drohen, muss die Daten verarbeitende Stelle unverzüglich die

zuständige Aufsichtsbehörde, sowie den Betroffenen unterrichten. Die spezialgesetz-

liche Aufzählung ähnlicher Normen würde den Rahmen dieses Scripts sprengen.


© 2015 | Seite 42

8.1. Unrechtmäßige Übermittlung oder Kenntniserlangung in sonstiger Weise:

§ 42a BDSG setzt die Offenbarung der Daten an einen Dritten voraus. Dies kann

durch Übermittlung, oder Kenntniserlangung auf sonstige Weise geschehen. Un-

rechtmäßig ist die Übermittlung, wenn Sie nicht auf einem Erlaubnistatbestand der

Einwilligung nach § 4a BDSG, oder etwa den §§ 28 ff. BDSG beruht. Anwendungsfälle

sind etwa der Datendiebstahl auf Serversystemen, oder der irrtümliche Versand per-

sonenbezogener Informationen an eine falsche Adresse. Typisch ist dafür die Ver-

sendung einer E-Mail an den falschen Empfänger. Mitarbeiter der verantwortlichen

Stelle und Auftragsdatenverarbeitung sind grundsätzlich nicht als Dritte anzusehen.

Verwendet ein Mitarbeiter jedoch Informationen seines Arbeitgebers missbräuchlich

zu privaten Zwecken, handelt er insofern jedoch nicht mehr als Teil der verantwortli-

chen Stelle. Ein datenschutzrechtlicher Verstoß ist gegeben.

8.2. Wann muss ich informieren:

§ 42a S. 1 BDSG spricht davon, dass die Kenntniserlangung von der Daten verarbei-

tenden Stelle festgestellt worden sein muss. Gleichwohl wird die Vorschrift dahinge-

hend verstanden, dass bereits eine hohe Wahrscheinlichkeit der Kenntnisnahme

durch Dritte genügt. Dies entspricht dem Schutzzweck des Bundesdatenschutzgeset-

zes, den Betroffenen vor einem möglichen Datenmissbrauch zu warnen.


„Im Falle geschickter Angreifer, die ihre Spuren auf dem datenverarbeitenden Sys-

tem weitgehend verwischen, sollte proaktiv gehandelt werden. Es ist besser, den Be-

troffenen und die Aufsichtsbehörde, bereits bei der Möglichkeit eines Datenschutz-

verstoßes zu involvierten, als abzuwarten und Zeit vergehen zu lassen.“

Die Feststellung, dass sich eine Datenpanne ereignet hat, muss nicht zwingend vom

Apothekeninhaber getroffen werden. Insoweit bedarf es der Installation eines geeig-

neten Verfahrens, um die betriebsinterne Kommunikation zu gewährleisten.

8.3. Drohen schwerwiegende Beeinträchtigungen:

Die Bedrohungslage ist anhand objektiver Kriterien zu bewerten. Ein allzu strenger

Maßstab sollte hierbei nicht angelegt werden. Je größer der potentielle Schaden

ausfallen könnte, desto geringer sollten die Anforderungen an die Eintrittswahrschein-

lichkeit veranschlagt werden. Das nachfolgende Schema dürfte Ihnen dabei eine

geeignete Hilfestellung bieten:


© 2015 | Seite 43

Indizien zur Gefahrenprognose:

Auf Seiten der Betroffenen sind zu berücksichtigen:

o Übermittelte Datenkategorie(n)

o abstraktes Missbrauchsrisiko:

o Risiko materieller Schäden

o Risiko des Identitätsbetruges

o Risiko soziale Nachteile

o Gefahr von Erpressbarkeit, Bloßstellung, Rufschädigung

Auf Seiten der Empfänger sind zu berücksichtigen:

o Zahl der Empfänger

o konkretes Missbrauchsrisiko, z.B.

o handelt es sich um einen vorsätzlichen Angriff durch Dritte oder eine

unachtsamen Herausgabe durch die datenverarbeitende Stelle?

o Hat der Empfänger selbst auf das Datenleck aufmerksam gemacht?

o Ist die datenverarbeitende Stelle ein allgemein lohnendes Ziel für Angrif-

fe?

o Risiko der Weitergabe und/oder Veröffentlichung.

8.4. Art und Weise der Information:

Nachrichtenempfänger ist die zuständige Aufsichtsbehörde, wie auch der Betroffe-

ne selbst.

Die Benachrichtigung hat dabei unverzüglich zu erfolgen. Dies bedeutet jedoch

nicht, dass sofort übermittelt werden muss. Die Daten verarbeitende Stelle hat zu-

nächst ausreichend Zeit beispielsweise dem Betroffenen Handlungsempfehlungen zu

erteilen, um sich gegen den Missbrauch seiner Daten zu schützen.

Gemäß § 42a S. 3 BDSG muss die Benachrichtigung der Betroffenen eine Darlegung

der Art der unrechtmäßigen Kenntniserlangung, sowie Empfehlungen für Maßnah-


© 2015 | Seite 44

men zur Minderung möglicher nachteiliger Folgen enthalten. Die Betroffenen sollen

letztendlich erkennen können, was die Ursache für das Datenleck war und wer hierfür

verantwortlich ist. Es genügt also z.B. die Angabe, dass ein Datendiebstahl, ein Angriff

auf das IT System, oder eine irrtümliche Übermittlung stattgefunden hat. Ins Detail

müssen Sie hierzu nicht gehen. Gerade im Hinblick auf eventuelle Nachahmer reicht

das dargelegte Vorgehen aus.

Die Benachrichtigung der zuständigen Aufsichtsbehörde muss gemäß § 42a S. 4

BDSG zunächst alle Informationen enthalten, die dem Betroffenen mitgeteilt werden.

Zudem ist eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kennt-

niserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen anzufügen.

Eine bestimmte Form wird vom Gesetz nicht gefordert. Freilich empfiehlt sich regel-

mäßig zumindest die Textform, eine telefonische Mitteilung ist ebenfalls möglich. So-

weit die individuelle Benachrichtigung einen unverhältnismäßigen Aufwand erfor-

dern würde, genügt auch die Information der Öffentlichkeit. Die öffentliche Informa-

tion wird nach Vorstellung des Gesetzgebers sichergestellt durch Anzeigen mindes-

tens zwei bundesweit erscheinenden Tageszeitungen, welche jeweils mindestens ei-

ne halbe Seite umfassen müssen. Die Kosten für eine solche Maßnahme belaufen

sich auf ca. 25.000-30.000 €. Wenn der Kreis der Betroffenen entsprechen lokal ange-

siedelt ist, kann dies auch durch elektronische Medien, oder regionale Zeitungen er-

folgen.

8.5. Haftung und Schadensersatz:

Wenn die Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig ge-

macht wird, stellt dies eine Ordnungswidrigkeit gemäß § 43 Abs. 2 Nr. 7 BDSG dar. Der

Verstoß kann mit einer Geldbuße bis zu 300.000 € geahndet werden.

Weiterhin kann der Betroffene gemäß § 7 BDSG und gemäß § 823 BGB Ihnen gegen-

über Schadensersatzansprüche geltend machen. Freilich hängt dies jedoch von

dem Vorliegen einer konkreten Schadensposition bei dem Betroffenen ab.

9. Handlungsempfehlungen:

I. Formulierung von internen Richtlinien für den Fall einer Datenpanne

Definition von Datenpannen

Identifizierung der zuständigen Aufsichtsbehörde

Festlegung von Data-Breach-Notification-Verantwortlichen (wer entscheidet,

ob sich eine Datenpanne im Rechtssinne ereignet hat, muss hinreichend ge-

schützt sein) und weiteren Ansprechpartnern


© 2015 | Seite 45

gegebenenfalls Schaffung eines Krisenteams

Unterrichtung sämtlicher Mitarbeiter

II. Implementierung eines geeigneten Security Incident Response Systems

Monitoring der IT-Systeme auf sicherheitsrelevante Zugriffe

Bestimmung von Art und Umfang des Datenlecks

Beseitigung von Datenlecks und Sicherheitsrisiken

Sicherstellung Computer forensischer Analyse

III. Implementierung eines geeigneten Data Breach Notification Management Sys-

tems:

Festlegung von Kommunikationswegen

Kooperation verschiedener Untergliederungen

Informationsaustausch mit Auftragsdatenverarbeitung

rechtzeitige Benachrichtigung der Entscheidungsträger

Vorbereitung von Musterbenachrichtigungen

IV. Kontakt zu Aufsichtsbehörde:

Erörterung von Zweifelsfällen schon vor offizieller Meldung

Beachtung behördlicher Hinweise, sofern vorhanden

Vermeidung befindlicher Benachrichtigungsanordnungen nach § 38 Abs. 5 S.

1 BDSG

V. Kontakt zur Strafverfolgungsbehörde:

Erstattung einer Strafanzeige/gegebenenfalls Stellen eines Strafantrages

Abstimmung, ob Betroffenen Mitteilung die Ermittlungen gefährden könnte

10. Checkliste des Data-Breach-Notification-Verantwortlichen:

Vorliegen einer Datenpanne:

Wann und wo ist die Datenpanne aufgetreten?

Wie sind die Daten abhandengekommen?

Sind Daten im Sinne des § 42a S. 1 Nr. 1-4 BDSG betroffen?

Wie viele Datensätze sind (ungefähr) betroffen?

Ist der Empfänger der Daten bekannt?

Besteht das Risiko eines Datenmissbrauchs?


© 2015 | Seite 46

Drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwür-

digen Interessen der Betroffenen?

Weiteres Vorgehen:

Welche Maßnahmen zur Sicherung der Daten wurden ergriffen?

Kann der Missbrauch noch verhindert werden oder dessen Folgen einge-

dämmt werden?

Gefährde die Mitteilung an den Betroffenen laufende Ermittlungen?

Welche Abteilungen sind zu informieren und einzubinden?

Welche Datenschutzaufsichtsbehörde zuständig?

Ist Strafantrag zu stellen/Strafanzeige zu erstatten?

Bestehen Anzeigenkontakte mit bundesweit erscheinenden Tageszeitungen?


© 2015 | Seite 47

11. Muster:

Mitarbeiterrichtlinie zum Umgang mit Daten von der nach § 42a BDSG

In unserer Apotheke Werden personenbezogene Daten verarbeitet. Diese bedürfen

des besonderen Schutzes. Im Falle einer Datenpanne ist unserer Apotheke verpflich-

tet, die Betroffenen und die zuständige Datenschutzaufsichtsbehörde zu informieren.

Ziel der Regelung ist unter anderem, bei Datenverlusten Folgeschäden für den Be-

troffenen in Form von finanziellen Einbußen unter sozialen Nachteilen zu vermeiden.

Personenbezogene Daten sind alle Einzelangaben über persönliche oder sachliche

Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1

BDSG).

Eine Datenpanne im Sinne des Bundesdatenschutzgesetzes liegt vor, wenn gesetzlich

näher bezeichnete sensible personenbezogene Informationen unrechtmäßig an Drit-

te weitergegeben werden oder Dritte sich diese Daten unrechtmäßig verschaffen.

Eine Datentanne liegt auf, wenn Geräte oder Speichermedien mit unverschlüsselt

Daten verloren gehen.

Sollten Sie bemerken oder den Verdacht haben, dass personenbezogene Daten

unrechtmäßig Dritten zugänglich gemacht wurden, sich Dritte solche Daten un-

rechtmäßig verschafft haben oder entsprechende Informationen abhandenge-

kommen sind, informieren Sie bitte umgehend

_______________________ (Zimmer/Durchwahl)

(Hinweis: Bitte ausfüllen. Als unternehmensinternen Adressaten der Meldung kommen

etwa in Betracht: Der Apotheker, der Datenschutzbeauftragte)

Aus dieser Meldung entstehen Ihnen als Mitarbeiter/in keinerlei berufliche oder per-

sönliche Nachteile. Die Namensangabe erfolgt freiwillig.

1. wann und wo ist die Datenpanne aufgetreten?

2. Beschreibung des konkreten Vorfalls

z.B. Verlust oder Diebstahl von Datenträgern, unrechtmäßige/irrtümliche Übermitt-

lung, unrechtmäßige Einsichtnahme durch einen Mitarbeiter, Angriff auf Computer-

systeme

3. welche Datenarten sind betroffen?

Angaben über rassische oder ethnische Herkunft

politische Meinungen

religiöse oder philosophische Überzeugungen

Gewerkschaftszugehörigkeit


© 2015 | Seite 48

Gesundheit

Sexualleben

Daten, die einem Berufsgeheimnis unterliegen

Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder ei-

nen Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen

sonstige/unbekannt

4. wie viele Datensätze sind (ungefähr betroffen?

5. besteht aus Ihrer Sicht das Risiko des Datenmissbrauchs?

Ja___ nein___

Wenn nein, warum?

6. drohen aus Ihrer Sicht schwerwiegende Beeinträchtigungen für die Rechte und

schutzwürdige Interessen der Betroffenen (z.B. Identität betrug, unberechtigte Abbu-

chungen, soziale Nachteile)?

Ja___ nein___

Wenn nein, warum?

7. sind Maßnahmen zur Sicherung der Daten ergriffen worden?

8. sonstige Mitteilungen:

Name (optional) Datum


© 2015 | Seite 49

12. Muster:

Apotheke X-Stadt

Öffentliches Verfahrensverzeichnis für Jedermann

Gemäß §4g BDSG hat der Beauftragte für Datenschutz auf Antrag Jedermann in geeigneter

Weise die in §4e BDSG festgelegten Angaben verfügbar zu machen. Dieser Verpflichtung

kommen wir hier nach und verzichten damit auf den individuellen Antrag Ihrerseits.

1. Name der Verantwortlichen Stelle

Apotheke X-Stadt

2. Inhaber / Leiter

Apotheker Max Mustermann

3. verantwortlicher Leiter der Datenverarbeitung

Apotheker Max Mustermann

4. Anschrift

Lange Str. 1

00000 X-Stadt

5. Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung

Die entsprechenden Daten werden erhoben, verarbeitet und genutzt zum Betrieb

einer Apotheke mit der Beschaffung, Bewertung und Abgabe von Waren und In-

formationen, sowie der Erbringung von Dienstleistungen und der Abrechnung von

Leistungen.

6. Beschreibung der betroffenen Personengruppen

Es werden im Wesentlichen zu folgenden Gruppen, soweit es sich um natürliche

Personen handelt, personenbezogene Daten erhoben, verarbeitet und genutzt:

- Kunden, potentielle Kunden, Interessenten

- Lieferanten

- Ärzte, Therapeuten

- Mitarbeiter, ehemalige Mitarbeiter, Bewerber

- Krankenkassen

- Dienstleistungserbringer


© 2015 | Seite 50

- Kommunikationspartner

- Kontaktpersonen zu den vorgenannten Gruppen

7. Beschreibung der Datenkategorien

Die Datenerhebung, -verarbeitung und -nutzung erfolgt zur Ausübung der oben

genannten Zwecke.

- Stamm-, Liefer-, Bewegungs-, Zahlungs-, Betreuungs- und Abrechnungsdaten

- Gesundheitsdaten

- Telefonverbindungen

- Daten von Dienstleistern

- Standortbestimmung der dienstlich genutzten Fahrzeuge

- Daten zur Erfüllung sozialversicherungsrechtlicher und sonstiger gesetzlicher Ver-

pflichtungen

8. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:

intern:

- Mitarbeiter

extern:

- Ärzte, Therapeuten, Krankenhäuser, Pflege- und Betreuungseinrichtungen

- EDV-Dienstleister, Rechenzentren

- Standesvertretungen

- Kreditinstitute

- Versicherungsgesellschaften

- Steuerberater

- öffentliche Stellen, die Daten aufgrund gesetzlicher Vorschriften erhalten, wie

z.B. Finanzbehörden und Sozialversicherungsträger

- externe Auftragsnehmer entsprechend §11 BDSG


© 2015 | Seite 51

9. Regelfristen für die Löschung der Daten

Der Gesetzgeber hat vielfältige Aufbewahrungspflichten und -fristen erlassen.

Nach Ablauf dieser Fristen werden die entsprechenden Daten routinemäßig ge-

löscht, sofern sie nicht mehr erforderlich sind. Sollten Daten hiervon nichtmehr er-

forderlich sein, werden sie gelöscht, sobald die unter Punkt 5 genannten Zwecke

weggefallen sind.

10. Geplante Datenübermittlung an Drittstaaten

Eine Übermittlung der Daten an Drittstaaten ist nicht geplant.

Kontakt zum Beauftragten für Datenschutz:

Datenschutzbeauftragte der Apotheke X-Stadt

c/o Frau Petra Mustermann

Lange Str. 1

00000 X-Stadt

E-Mail: [email protected]

mailto:[email protected]


© 2015 | Seite 52


© 2015 | Seite 53

13. Muster:

Verpflichtungserklärung

bezüglich des Bundesdatenschutzgesetzes

Ich, Frau/Herr……………………………………………………………………….…….wurde

darauf hingewiesen, dass es untersagt ist, personenbezogene Daten unbefugt zu

erheben, zu verarbeiten oder zu nutzen (Datengeheimnis, § 5 BDSG). Diese Verpflich-

tung besteht über die Beendigung meiner Tätigkeit hinaus.

Verstöße gegen das Datengeheimnis können nach §§ 43, 44 BDSG sowie anderen

einschlägigen Rechtsvorschriften (wie z. B. § 203 StGB, Verletzung von Privatgeheim-

nissen) mit einer Geldbuße

oder Geld- oder Freiheitsstrafe geahndet werden.

In der Verletzung des Datengeheimnisses kann zugleich eine Verletzung arbeitsrecht-

licher Schweigepflichten liegen. Eventuelle arbeitsrechtliche Maßnahmen werden

dadurch nicht ausgeschlossen.

Gleichzeitig wird hiermit bestätigt, eine Durchschrift dieser Verpflichtungserklärung

erhalten zu haben.

Ort, Datum…………….......………….. ……………………………………………………

(Unterschrift des/der Verpflichteten)


© 2015 | Seite 54


© 2015 | Seite 55

14. Muster: Benachrichtigung der Betroffenen

Information nach § 42a des Bundesdatenschutzgesetzes

Sehr geehrter…

Am (…)/Im Zeitraum von (…) bis (…) Sind ihre bei uns gespeicherten personenbezo-

genen Daten dritten unrechtmäßig zur Kenntnis gelangt.

Alternativ: Es ist nicht auszuschließen, dass ihre bei uns gespeicherten personenbezo-

genen Daten am (…)/Im Zeitraum von (…) bis (…) Dritten unrechtmäßig zur Kenntnis

gelangt sind.

In diesem Zeitraum sind Daten mit personenbezogenen und gesundheitsbezogenen

Daten von Unbekannten entwendet worden. Die Daten enthalten Namen, Adressen,

Rezeptinformationen, etc.…

Im Missbrauchsfall sind Daten möglicherweise geeignet, schwerwiegende Beein-

trächtigungen für ihre Rechte und schutzwürdigen Interessen herbeizuführen. Bitte

achten Sie in Ihrem eigenen Interesse auf unerwartete, bzw. verdächtige Kenntnis

Dritter von ihren persönlichen Lebensumständen.

Der Landesdatenschutzbeauftragte und die Staatsanwaltschaft… Sind über den Vor-

fall bereits informiert. Bitte teilen Sie etwaige Unregelmäßigkeiten unserer Daten-

schutzabteilung mit.

Mit freundlichen Grüßen


© 2015 | Seite 56


© 2015 | Seite 57

15. Muster: Benachrichtigung der Aufsichtsbehörde

An (die zuständige Datenschutzaufsichtsbehörde)

am (…)/Im Zeitraum von (…) Bis (…) Sind bei uns gespeicherte personenbezogene

Daten im Sinne von § 42a S. 1 BDSG dritten unrechtmäßig zur Kenntnis gelangt.

Alternativ: Es ist nicht auszuschließen, dass bei uns gespeicherte personenbezogene

Daten im Sinne von § 42a S. 1 BDSG am (…)/Im Zeitraum von (…) Bis (…) Dritten un-

rechtmäßig zur Kenntnis gelangt sind.

1.) Beschreibung des konkreten Vorfalls

z.B. Verlust oder Diebstahl von Datenträgern, unrechtmäßige/irrtümliche Übermitt-

lung, unrechtmäßige Einsichtnahme durch einen Mitarbeiter, Angriff auf Computer-

systeme

2.) Welche Datenarten im Sinne von § 42a S. 1 BDSG sind betroffen:

Angaben über rassische oder ethnische Herkunft

politische Meinungen

religiöse oder philosophische Überzeugungen

Gewerkschaftszugehörigkeit

Gesundheit

Sexualleben

Daten, die einem Berufsgeheimnis unterliegen

Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder ei-

nen Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen

sonstige/unbekannt

3.) Wie viele Datensätze sind (ungefähr) betroffen?

4.) Gefahrenpotenzial

Die Betroffenen Daten bergen ein Missbrauchsrisiko und könnten dazu verwendet

werden,

Identitäten (etwa bei online-Geschäften) vorzutäuschen

Vermögensschäden herbeizuführen

soziale und/oder berufliche Nachteile herbeizuführen

sonstige Nachteile herbeizuführen


© 2015 | Seite 58

5.) Maßnahmen

Welche Maßnahmen wurden zum Schutz der im konkreten Fall betroffenen perso-

nenbezogenen Daten ergriffen (z.B. Information von irrtümlichen Empfängern und

Aufforderung zur Datenlöschung)?

Welche Maßnahmen wurden ergriffen, um die Ursache der unrechtmäßigen Kennt-

niserlangung personenbezogener Daten für die Zukunft zu beseitigen (einspielen von

Sicherheitspatches, Einführung von Verschlüsselungsverfahren)?

Wenn entsprechende Strafanzeige ist anhängig.

Wenn ja, Staatsanwaltschaft..

Die Betroffenen sind informiert worden.

Ja_______ nein_______

Wenn ja, durch

Individuelle Mitteilung

Öffentliche Bekanntmachung.

Wenn nein, warum nicht?

Ein Muster der Benachrichtigung ist als Anlage beigefügt. Die Betroffenen sind gebe-

ten worden, sich vor einem eventuellen Missbrauch der Daten durch kriminelle Dritte

zu schützen durch

6.) Kontakt

Bei Rückfragen wenden Sie sich bitte an (…)


© 2015 | Seite 59

16. Muster

BESTELLUNG EINES DATENSCHUTZBEAUFTRAGTEN

Frau/Herrn

Sehr geehrte/r Frau/Herr __________________ ,

ich/wir bestellen Sie mit sofortiger Wirkung zur/m Datenschutzbeauftragten gemäß §

4f Bundesdatenschutzgesetz.

In Ihrer Funktion als Datenschutzbeauftragte/r sind Sie der Geschäftsleitung unmittel-

bar

unterstellt. Zuständiges Mitglied der Geschäftsleitung ist

_______________________________________

Ihre Aufgaben als Datenschutzbeauftragte/r ergeben sich aus dem Bundesdaten-

schutzgesetz.

In Anwendung Ihrer Fachkunde auf dem Gebiet des Datenschutzes sind Sie wei-

sungsfrei.

Über Ihre Tätigkeit werden Sie der Geschäftsleitung laufend Bericht erstatten.

Erforderliche Organisationsanweisungen schlagen Sie der Geschäftsleitung vor.

Documents

RECHT DER INFORMATIONSTECHNOLOGIEN...gen Aufwand durchführen können. Werden beispielsweise anonyme Daten an eine Stelle übermittelt, die in der Lage ist, den Personenbezug herzustellen,