FAQ zum Datenschutz für Apotheken
Braucht meine Apotheke einen Datenschutzbeauftragten?
In der Apotheke wird ein Datenschutzbeauftragter in der Regel dann benötigt, wenn die Mitarbeiterzahl der Datenverarbeitenden Mitarbeiter die Zahl 20 erreicht (früher 10). Allerdings gibt es Vorgänge, wie die Videoüberwachung oder die Anmeldung im Computersystem mit Fingerprint oder Venenscan, die eine Datenschutzfolgenabschätzung notwendig werden lassen. Und für eine Datenschutzfolgenabschätzung braucht man dann dauerhaft einen Datenschutzbeauftragten.
Muss ich Datenschutz betreiben, auch wenn ich in meiner Apotheke gar keinen Datenschutzbeauftragten brauche?
Jede Verarbeitung von personenbezogenen Daten die nicht privater Natur ist unterliegt der Datenschutzgesetzgebung (DSGVO, BDSG).
Es ist also evtl. ein Nachteil keinen Datenschutzbeauftragten zu haben, da dann die Datenschutzkompetenz im Betrieb fehlt. In diesem Fall ist es möglich, einen Datenschutzbeauftragten freiwillig zu benennen, um wichtige Datenschutz-Aufgaben zu erfüllen. Wenn sich die Apothekenleitung oder ein Mitarbeiter das zutraut können auch Vorlagen (z.B. von den LAK) und Bücher zum Thema Apotheke und Datenschutz verwendet, gelesen und umgesetzt werden.
Soll ich einen Internen Datenschutzbeauftragten oder einen Externen Datenschutzbeauftragten benennen?
Beides ist möglich. Wenn die Personalkapazitäten keine Zeit für Schulung und Beschäftigung mit dem Thema Datenschutz lassen oder sich niemand freiwillig für die Aufgabe meldet, ist es besser einen Externen Datenschutzbeauftragten zu benennen. Ansonsten bietet der Interne Datenschutzbeauftragte durchaus Vorteile auch wenn er im Gegenzug einen gewissen Kündigungsschutz genießt, ist er kostengünstig. Ihr Externer Datenschutzbeauftragter wird Sie nach Prüfung und Beratung alleine zurücklassen und dann müssen Sie die Umsetzung der Verbesserungsvorschläge in der Regel selbst bewältigen, während Sie ihrem Internen Datenschutzbeauftragten, als ihrem Mitarbeiter, die Umsetzung der Maßnahmen als Aufgabe übertragen können. Wenn ihr Externer Datenschutzbeauftragter zusätzliche Hilfe bei der Anpassung der Dokumente anbietet, weil er auch Berater ist, ist das natürlich hilfreich. Bei einem Externen kommt auch als Vorteil der Blick von außen hinzu, manchmal gibt es bei Internen Personen eine gewisse Betriebsblindheit.
Wer ist in der Apotheke für den Datenschutz verantwortlich?
Verantwortlich ist der Apothekenleiter / Inhaber bzw. die OHG sofern vorhanden. Ihn treffen im Fall von Datenschutzpannen auch die Bußgelder und Strafen. Auch gilt hier eine Rechenschaftspflicht. Man muss also nachweisen, dass man alles Notwendige getan hat.
Eine Mitverantwortung trifft den Datenschutzbeauftragten insofern er seinen Aufgaben (Prüfen und Beraten) nicht ordentlich nachgekommen ist.
Weiter ist jeder Mitarbeiter verantwortlich wenn er das Datengeheimnis verletzt oder im Falle der Apotheke natürlich auch das Berufsgeheimnis /Apothekergeheimnis oder wenn Betriebliche Interna an Außenstehende weitergegeben werden.
Welche Datenschutz Dokumente und Aufzeichnungen brauche ich?
Unabhängig davon ob Sie einen Datenschutzbeauftragten benennen müssen oder nicht benötigen Sie folgende Dokumente und Aufzeichnungen (kein Anspruch auf Vollständigkeit): Verzeichnis von Verarbeitungstätigkeiten, Technische und Organisatorische Maßnahmen, Datenschutzerklärung (Aushang und Bereitstellung für Kunden und Mitarbeiter), Verschwiegenheitserklärungen für Mitarbeiter (Interne) und z.B. Handwerker und andere betriebsfremde Personen die sich in der Apotheke aufhalten (Externe), Einwilligungserklärungen für Kunden (Kundenkartenantrag), ggf. Einwilligungserklärungen für Mitarbeiter (Aufnahme nicht vertraglich benötigter Daten, Bilder auf Homepage u. Social Media) etc. Wenn ein DSB benannt wird: schriftliche Benennung des Datenschutzbeauftragten, im Falle eines Externen DSB auf jeden Fall einen Vertrag. Aufgrund der sog. Rechenschaftspflicht gehören auch schriftliche Aufzeichnungen zur Überprüfung der Apotheke durch den DSB und entsprechend umgesetzte Maßnahmen dazu.
Muss ich die Mitarbeiter meiner Apotheke in Datenschutz unterweisen?
Aus einem risikobasierten Ansatz zum Datenschutz ergibt sich die zwingende Notwendigkeit zur Schulung der Mitarbeiter. Wie wollen Sie nachweislich Datenschutz betreiben, wenn Sie die Akteure der Datenverarbeitung nicht entsprechend unterwiesen haben? Eine Schulung wird daher jährlich empfohlen und sollte auch Boten, Hilfskräften und Reinigungskräften zu Teil werden.