21. Apr. 2018

„Keine Hexerei, aber jedes Unternehmen ist betroffen“

Foto: Gettyimages/andesr

20 Millionen Euro bzw. vier Prozent des Jahresumsatzes – der mögliche Strafrahmen bei Verstößen gegen die neuen Datenschutzregeln hat es in sich. Kein Unternehmen, das personenbezogene Daten verarbeitet, kann sich dem entziehen. Datenschutzexperte Mag. Rudolf  Urban erklärt, was zu tun ist. (Pharmaceutical Tribune 07/2018)

Elf Kapitel, 99 Paragraphen – die EU-Datenschutz-Grundverordnung (EU-DSGVO) hat es in sich. Ziel der Verordnung, die ab dem 25. Mai zur Anwendung kommt, ist eine Vereinheitlichung und Verbesserung des Datenschutzes in der EU: Verbraucher und Betroffene sollen eine bessere Kontrolle über jene Daten erhalten, die von Unternehmen gespeichert, verarbeitet und teils auch weitergereicht werden.

Es betrifft alle

Mag. Rudolf Urban, Experte für Datenschutz und Informationssicherheit von der Firma Lanexpert, warnt jedenfalls davor, die EUDSGVO auf die leichte Schulter zu nehmen: „Es betrifft alle, die regelmäßig strukturiert Daten verarbeiten. Auch Vereine, die ihre Mitgliederlisten strukturiert führen, oder den Apotheker, der Kundendaten sammelt, um seine Kunden über aktuelle Angebote zu informieren.“ Besonders betroffen sind Unternehmen und Institutionen, die personenbezogene Daten zur Gesundheit sammeln, wie etwa Krankenhäuser, aber auch Banken, Versicherungen oder Web-Shops. Sie alle müssen u.a. einen eigenen Datenschutzbeauftragten einsetzen und dessen Namen an die Datenschutzbehörde melden. Ob Apotheken einen eigenen Datenschutzexperten benötigen, ist noch unklar. In ihren „Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“)“ hat die Arbeitsgruppe europäischer Datenschutzexperten festgehalten, dass „die Verarbeitung von Patientendaten durch einen einzelnen Arzt“ keine umfangreiche Verarbeitung darstellt. Deshalb muss der einzelne Arzt auch keinen eigenen Datenschutzbeauftragten benennen. Legt man diesen Passus um, so dürfte das auch auf Apotheken zutreffen. Die Österreichische Apothekerkammer bemüht sich noch um eine genaue Abklärung.

Was zu tun ist

Einen eigenen Datenschutzexperten einzusetzen bleibt dem Apotheker wohl erspart, „dennoch muss er sich auch auf den 25. Mai vorbereiten“, meint Urban. Was also ist zu tun? Urban: „In erster Linie geht es darum, ein sogenanntes Datenverarbeitungsverzeichnis zu erstellen. Einerseits muss darin stehen, auf welcher Rechtsgrundlage die Daten gesammelt und verarbeitet werden. Dabei ist zu beachten, dass man eine explizite Einverständniserklärung des Kunden haben sollte oder einen anderen gesetzlichen Rechtsgrund.“ Eine solche Einverständniserklärung sollte möglichst schriftlich sein, sie kann aber auch mündlich erfolgen. Die bisherigen Einverständniserklärungen gelten allerdings weiter. Hat eine Apotheke also bereits eine Kundenkartei und verwendet die Daten, um ihre Kunden über aktuelle Aktionen etwa via E-Mail zu informieren, so gilt das ursprüngliche Einverständnis auch weiterhin.

Um sich rechtlich abzusichern, kann es aber klug sein, sich von den Kunden noch einmal ein explizites schriftliches Einverständnis geben zu lassen, meint der Datenschutzexperte. Das kann natürlich auch via E-Mail erfolgen. Bei Anwendungen im Internet muss ebenfalls eine explizite Einverständniserklärung zur Verarbeitung der Daten eingefordert werden. Das kann z.B. mittels Ankreuzen eines Feldes, in dem der Kunde sein Einverständnis gibt, geschehen. Aber Achtung, der Kunde muss das Feld selbst ankreuzen. Außerdem sollte eine Datenschutzerklärung im Internet leicht zugänglich sein. Der Zweck, zu dem die Daten gesammelt werden, sollte in dieser Erklärung ebenso erläutert werden wie die Rechte, die die Betroffenen haben. Empfohlen wird, eine Datenschutzerklärung deutlich sichtbar in der Apotheke aufzuhängen. Ein Muster dafür kann auf der Intranetseite der Apothekerkammer abgerufen werden (s. Kasten).

Verzeichnis erstellen

Zurück zum Datenverarbeitungsverzeichnis: Dieses muss außerdem den Zweck enthalten, für den die Daten gesammelt werden, z.B. zur Kundenbindung oder für Werbemaßnahmen etc. „Zusätzlich muss im Datenverarbeitungsverzeichnis angegeben werden, welche Daten (Name, Geburtsdatum etc.) gesammelt und wie lange sie gespeichert werden“, sagt Urban. „Wie lange Daten gespeichert werden, hängt mitunter von anderen gesetzlichen Regelungen ab“, erklärt er. Und diese sind ebenfalls zu beachten. So müssen etwa Daten, die für die Ausstellung eines Dienstzeugnisses benötigt werden, in der automatisierten Lohnverrechnung 30 Jahre aufbewahrt werden. Die neue Regelung sieht aber auch die Pflicht zur Löschung von Daten, die nicht mehr gebraucht werden, vor – so etwa bei Bewerbungsunterlagen. Diese sollten sechs Monate nach Mitteilung der Entscheidung wieder gelöscht werden.

Löschen von Daten

„Die Löschungsverpflichtung wird zukünftig zu einer großen Herausforderung, weil sie anderen gesetzlichen Regelungen entgegenstehen kann“, sagt Urban. „Hier wird die Rechtsprechung erst im Laufe der Zeit eine klare Regelung bringen.“ Zudem müssen Fälle von Cyberkriminalität, bei denen ein Schaden für den Betroffenen entstehen könnte, binnen 72 Stunden an die Datenschutzbehörde gemeldet werden. Wenn das Datenleck – sprich die Verletzung des Datenschutzes – für den Betroffenen ein hohes Risiko für die persönlichen Rechte und Freiheiten in sich birgt, so sind auch diese unverzüglich zu verständigen. Auf die Frage, wie lange die Erstellung eines Datenverarbeitungsverzeichnisses dauern kann, meint Urban: „Das ist ganz unterschiedlich und hängt sicher von Menge und Komplexität der verarbeiteten Daten ab.“ Bei mittelgroßen Unternehmen könne ein Experte in drei Tagen die Arbeit erledigen. Urban: „Wichtig ist, dass man sich bewusst macht, dass die EU-DSGVO und das entsprechende österreichische Datenschutzanpassungsgesetz umfangreiche technische und organisatorische Maßnahmen nach sich ziehen können.“ Trotzdem sei das Ganze „keine Hexerei, wenn man weiß, was man zu tun hat“, erklärt Urban.

Das Datenverarbeitungsverzeichnis

Folgende Informationen muss ein Datenverarbeitungsverzeichnis enthalten:

  • Name und Kontaktdaten des Verantwortlichen
  • Zweck der Datenverarbeitung (z.B. Kundeninfo etc.)
  • Rechtsgrund (warum Daten verarbeitet werden, z.B. Einwilligungserklärung)
  • Welche Personen betroffen sind (z.B. Kunden, Mitarbeiter, Lieferanten etc.)
  • Welche Daten erhoben werden (Vorname, Name, Geburtsdatum etc.)
  • Speicherdauer bzw. Löschfristen
  • Wo die Daten gelagert sind (Inland, Ausland)
  • Für den Fall, dass die Daten weitergereicht werden – an wen die personenbezogenen Daten übermittelt werden
  • Wie die Daten technisch und organisatorisch gesichert werden

Kammer bietet Handlungsanleitung
Die Österreichische Apothekerkammer bietet in ihrem Intranetbereich (Themenbereiche/Service der Rechtsabteilung/Datenschutzrecht) eine eigene Handlungsanleitung mit Ausfüllhilfe zur DSGVO an. Diese Unterlagen sollen Apotheken helfen, sich auf die neuen Vorschriften vorzubereiten. Die Handlungsanleitung muss von dem einzelnen Apothekenbetreiber an seine individuellen Gegebenheiten angepasst werden. Die fertig ausgefüllten Unterlagen sind in schriftlicher oder elektronischer Form aufzubewahren und der Datenschutzbehörde im Fall einer Kontrolle vorzulegen. Sie dienen als Nachweis dafür, dass die Richtlinien der DSGVO auch tatsächlich eingehalten werden.