„Keine Hexerei, aber jedes Unternehmen ist betroffen“

Es betrifft alle

Mag. Rudolf Urban, Experte für Datenschutz und Informationssicherheit von der Firma Lanexpert, warnt jedenfalls davor, die EUDSGVO auf die leichte Schulter zu nehmen: „Es betrifft alle, die regelmäßig strukturiert Daten verarbeiten. Auch Vereine, die ihre Mitgliederlisten strukturiert führen, oder den Apotheker, der Kundendaten sammelt, um seine Kunden über aktuelle Angebote zu informieren.“ Besonders betroffen sind Unternehmen und Institutionen, die personenbezogene Daten zur Gesundheit sammeln, wie etwa Krankenhäuser, aber auch Banken, Versicherungen oder Web-Shops. Sie alle müssen u.a. einen eigenen Datenschutzbeauftragten einsetzen und dessen Namen an die Datenschutzbehörde melden. Ob Apotheken einen eigenen Datenschutzexperten benötigen, ist noch unklar. In ihren „Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“)“ hat die Arbeitsgruppe europäischer Datenschutzexperten festgehalten, dass „die Verarbeitung von Patientendaten durch einen einzelnen Arzt“ keine umfangreiche Verarbeitung darstellt. Deshalb muss der einzelne Arzt auch keinen eigenen Datenschutzbeauftragten benennen. Legt man diesen Passus um, so dürfte das auch auf Apotheken zutreffen. Die Österreichische Apothekerkammer bemüht sich noch um eine genaue Abklärung.

Was zu tun ist

Einen eigenen Datenschutzexperten einzusetzen bleibt dem Apotheker wohl erspart, „dennoch muss er sich auch auf den 25. Mai vorbereiten“, meint Urban. Was also ist zu tun? Urban: „In erster Linie geht es darum, ein sogenanntes Datenverarbeitungsverzeichnis zu erstellen. Einerseits muss darin stehen, auf welcher Rechtsgrundlage die Daten gesammelt und verarbeitet werden. Dabei ist zu beachten, dass man eine explizite Einverständniserklärung des Kunden haben sollte oder einen anderen gesetzlichen Rechtsgrund.“ Eine solche Einverständniserklärung sollte möglichst schriftlich sein, sie kann aber auch mündlich erfolgen. Die bisherigen Einverständniserklärungen gelten allerdings weiter. Hat eine Apotheke also bereits eine Kundenkartei und verwendet die Daten, um ihre Kunden über aktuelle Aktionen etwa via E-Mail zu informieren, so gilt das ursprüngliche Einverständnis auch weiterhin.

Um sich rechtlich abzusichern, kann es aber klug sein, sich von den Kunden noch einmal ein explizites schriftliches Einverständnis geben zu lassen, meint der Datenschutzexperte. Das kann natürlich auch via E-Mail erfolgen. Bei Anwendungen im Internet muss ebenfalls eine explizite Einverständniserklärung zur Verarbeitung der Daten eingefordert werden. Das kann z.B. mittels Ankreuzen eines Feldes, in dem der Kunde sein Einverständnis gibt, geschehen. Aber Achtung, der Kunde muss das Feld selbst ankreuzen. Außerdem sollte eine Datenschutzerklärung im Internet leicht zugänglich sein. Der Zweck, zu dem die Daten gesammelt werden, sollte in dieser Erklärung ebenso erläutert werden wie die Rechte, die die Betroffenen haben. Empfohlen wird, eine Datenschutzerklärung deutlich sichtbar in der Apotheke aufzuhängen. Ein Muster dafür kann auf der Intranetseite der Apothekerkammer abgerufen werden (s. Kasten).

Verzeichnis erstellen

Zurück zum Datenverarbeitungsverzeichnis: Dieses muss außerdem den Zweck enthalten, für den die Daten gesammelt werden, z.B. zur Kundenbindung oder für Werbemaßnahmen etc. „Zusätzlich muss im Datenverarbeitungsverzeichnis angegeben werden, welche Daten (Name, Geburtsdatum etc.) gesammelt und wie lange sie gespeichert werden“, sagt Urban. „Wie lange Daten gespeichert werden, hängt mitunter von anderen gesetzlichen Regelungen ab“, erklärt er. Und diese sind ebenfalls zu beachten. So müssen etwa Daten, die für die Ausstellung eines Dienstzeugnisses benötigt werden, in der automatisierten Lohnverrechnung 30 Jahre aufbewahrt werden. Die neue Regelung sieht aber auch die Pflicht zur Löschung von Daten, die nicht mehr gebraucht werden, vor – so etwa bei Bewerbungsunterlagen. Diese sollten sechs Monate nach Mitteilung der Entscheidung wieder gelöscht werden.

Löschen von Daten

„Die Löschungsverpflichtung wird zukünftig zu einer großen Herausforderung, weil sie anderen gesetzlichen Regelungen entgegenstehen kann“, sagt Urban. „Hier wird die Rechtsprechung erst im Laufe der Zeit eine klare Regelung bringen.“ Zudem müssen Fälle von Cyberkriminalität, bei denen ein Schaden für den Betroffenen entstehen könnte, binnen 72 Stunden an die Datenschutzbehörde gemeldet werden. Wenn das Datenleck – sprich die Verletzung des Datenschutzes – für den Betroffenen ein hohes Risiko für die persönlichen Rechte und Freiheiten in sich birgt, so sind auch diese unverzüglich zu verständigen. Auf die Frage, wie lange die Erstellung eines Datenverarbeitungsverzeichnisses dauern kann, meint Urban: „Das ist ganz unterschiedlich und hängt sicher von Menge und Komplexität der verarbeiteten Daten ab.“ Bei mittelgroßen Unternehmen könne ein Experte in drei Tagen die Arbeit erledigen. Urban: „Wichtig ist, dass man sich bewusst macht, dass die EU-DSGVO und das entsprechende österreichische Datenschutzanpassungsgesetz umfangreiche technische und organisatorische Maßnahmen nach sich ziehen können.“ Trotzdem sei das Ganze „keine Hexerei, wenn man weiß, was man zu tun hat“, erklärt Urban.