RECHT DER INFORMATIONSTECHNOLOGIEN
Interner Datenschutzbeauftragter
in der Apotheke
von Dominic Baumüller Rechtsanwalt FA für Arbeitsrecht LIEB.Rechtsanwälte, Erlangen
Stand: 02/2015
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 2
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 3
Inhaltsverzeichnis Datenschutzrecht in der Apotheke ......................................................................................................... 5
I. Was ist Datenschutz ......................................................................................................................... 5
1. Datenschutz betrifft .................................................................................................................... 6
1.1. Personenbezogene Daten .................................................................................................... 6
1.1.1. Einzelangaben ................................................................................................................ 6
1.1.2. Persönliche oder sachliche Verhältnisse ....................................................................... 7
1.1.3. Bestimmte/bestimmbare Personen .............................................................................. 7
1.1.4. Natürliche Person .......................................................................................................... 7
1.1.5. Verbot mit Erlaubnisvorbehalt ...................................................................................... 8
1.2. Anonymisieren und Pseudonymisieren ................................................................................ 8
1.3. Schweigepflicht und Datengeheimnis .................................................................................. 9
II. Warum ist Datenschutz in der Apotheke relevant ........................................................................ 13
1. Die Offizin .................................................................................................................................. 13
1.1. Räumlichkeiten ................................................................................................................... 13
1.2. Handverkaufstische ............................................................................................................ 14
1.3. Diskretionszone und Beratungsecke der Offizin ................................................................ 14
1.4. Videoüberwachung ............................................................................................................ 15
1.5. Die Rezepte ......................................................................................................................... 16
1.6. Statistiken ........................................................................................................................... 16
1.7. Dokumentation ................................................................................................................... 17
1.8. Auskünfte an nahe Angehörige, oder dergleichen ............................................................. 18
1.9. Die Kundenkarte ................................................................................................................. 18
1.10. Lieferung per Bote ............................................................................................................ 21
2. Das Büro .................................................................................................................................... 22
2.1. IT-Sicherheit ........................................................................................................................ 22
2.2. Die Internetpräsentation .................................................................................................... 23
3. Die Personalabteilung................................................................................................................ 23
4. Apotheken und Dritte (Auftragsdatenverarbeitung in der Apotheke)...................................... 24
5. Der Datenschutzbeauftragte ..................................................................................................... 24
5.1. Der interne Datenschutzbeauftragte ................................................................................. 24
5.2. Die Person des Beschäftigten ............................................................................................. 25
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 4
5.3. Die erforderliche Fachkunde und Zuverlässigkeit .............................................................. 26
5.4. Die Bestellung des Datenschutzbeauftragten .................................................................... 26
6. Das Verfahrensverzeichnis ........................................................................................................ 27
6.1. Internes Verfahrensverzeichnis .......................................................................................... 29
6.2. Öffentliches Verfahrensverzeichnis.................................................................................... 30
7. Rechte des Betroffenen ......................................................................................................... 31
III. Regeln/Gebote des Datenschutzes/Sieben goldene Regeln des Datenschutzes ......................... 32
1. Rechtmäßigkeit .......................................................................................................................... 32
2. Einwilligung ................................................................................................................................ 32
3. Zweckbindung............................................................................................................................ 33
4. Erforderlichkeit .......................................................................................................................... 34
5. Transparenz ............................................................................................................................... 35
6. Datensicherheit ......................................................................................................................... 35
6.1. Technische und organisatorische Maßnahmen ................................................................. 35
6.2. Pflichten bei unerlaubter Datenweitergabe ....................................................................... 38
6.3. Datenschutz bei der Datenträgervernichtung .................................................................... 38
7. Kontrolle / Rechte des Betroffenen .......................................................................................... 40
7.1. Benachrichtigung und Auskunft ......................................................................................... 40
7.2. Berichtigung, Löschung und Sperrung ................................................................................ 40
8. Was passiert bei einer Datenpanne .......................................................................................... 41
8.1. Unrechtmäßige Übermittlung oder Kenntniserlangung in sonstiger Weise ...................... 42
8.2. Wann muss ich informieren ............................................................................................... 42
8.3. Drohen schwerwiegende Beeinträchtigungen ................................................................... 42
8.4. Art und Weise der Information .......................................................................................... 43
8.5. Haftung und Schadensersatz .............................................................................................. 44
9. Handlungsempfehlungen .......................................................................................................... 44
10. Checkliste des Data-Breach-Notification-Verantwortlichen ................................................... 45
11. Muster: Mitarbeiterrichtlinie zum Umgang mit Daten ........................................................... 47
12. Muster: Öffentliches Verfahrensverzeichnis für Jedermann .................................................. 49
13. Muster: Verpflichtungserklärung bezügl. des Bundesdatenschutzgesetzes ........................... 53
14. Muster: Benachrichtigung der Betroffenen ............................................................................ 55
15. Muster: Benachrichtigung der Aufsichtsbehörde ................................................................... 57
16. Muster: Bestellung eines Datenschutzbeauftragten ............................................................... 59
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 5
Datenschutzrecht in der Apotheke
Bei dem Thema Datenschutz handelt es sich um ein sehr umfassendes und weitgefä-
chertes Thema. Das vorliegende Skript soll einen ersten Überblick verschaffen, wel-
che Vorgaben in Apotheken hinsichtlich des Themas Datenschutz einzuhalten sind, in
welchen Bereichen es zu Berührungspunkten mit dem Datenschutz kommt und wie
man die Mitarbeiter in den Apotheken für das Thema Datenschutz sensibilisieren
kann.
I. Was ist Datenschutz:
Um sich über die Vorschriften mit datenschutzrechtlicher Relevanz zu informieren,
müssen sich Apothekenleiter und -mitarbeiter mit verschiedenen gesetzlichen Rege-
lungen auseinandersetzen. Ausgangspunkt für den Datenschutz ist das Grundrecht
der informationellen Selbstbestimmung, welches aus der allgemeinen Handlungsfrei-
heit und der Menschenwürde, Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG hergeleitet wird.
Dieses räumt jedem Menschen das Recht ein, selbst zu bestimmen, welche Informa-
tionen über ihn, wann, wo und wie bekannt gegeben werden. Es ist eine Art generel-
les Verbot, Daten ohne Zustimmung einer Person, über diese zu erheben.
Aus diesem Grund normiert § 1 Abs. 1 BDSG, dass es Zweck des Gesetzes sei, den
einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezo-
genen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
§1 Abs. 1 BDSG:
„Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, dass er durch den Umgang
mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“
Der Datenschutz begrenzt damit die wirtschaftliche Betätigung im Bereich der Da-
tenverarbeitung auf das erforderliche Maß und auf einen gesellschaftlich verträgli-
chen Umfang. Maßgeblich für den Datenschutz in Apotheken sind vor allem die Re-
gelungen des Bundesdatenschutzgesetzes. Daneben enthalten zahlreiche andere
Gesetze, wie beispielsweise das Telemediengesetz, das Apothekengesetz, die Ver-
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 6
ordnung über den Betrieb von Apotheken, ebenso wie die Berufsordnung für Apo-
thekerinnen und Apotheker bereichsspezifische Sonderregeln zum Datenschutz. Ne-
ben der Anwendbarkeit des Strafgesetzbuches, der Berufsordnung und der Strafpro-
zessordnung sind auch noch die europäischen Verordnungen zum Datenschutz an-
wendbar.
Nachfolgend sollen die wichtigsten Anforderungen aus dem BDSG und ausgewähl-
ten Spezialgesetzen überblicksartig dargestellt werden.
1. Datenschutz betrifft:
Datenschutz betrifft die Informationen über natürliche Personen. § 3 Abs. 1 BDSG
enthält dabei eine Vielzahl von Legaldefinitionen, die den Gesetzesanwender dabei
behilflich sein sollen, das Bundesdatenschutzgesetz und den Zweck des Bundesda-
tenschutzgesetzes zu verstehen.
§ 3 Abs. 1 BDSG :
„Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse
einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“
Darin wird zum Beispiel definiert, was personenbezogene und besondere Arten per-
sonenbezogener Daten sind.
1.1. Personenbezogene Daten:
1.1.1. Einzelangaben:
Einzelangaben sind Informationen, die sich auf eine bestimmte -einzelne- natürliche
Person beziehen oder geeignet sind, einen Bezug zu ihr herzustellen; z.B. Name, Aus-
weisnummer, Versicherungsnummer, Telefonnummer. Keine Einzelangaben im Sinne
des Gesetzes sind Angaben, die sich zwar auf eine einzelne Person beziehen, die
aber nicht identifizierbar ist. Einzelangaben sind ferner nicht gegeben, bei anonymi-
sierten Daten sowie bei Sammelangaben über Personengruppen. Wird jedoch eine
Einzelperson als Mitglied einer Personengruppe gekennzeichnet, über die bestimmte
Angaben gemacht werden, so handelt es sich auch um Einzelangaben zu dieser
Person, wenn die Daten auf die Einzelperson durchschlagen.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 7
1.1.2. Persönliche oder sachliche Verhältnisse:
Die Einzelangaben müssen Aussagen enthalten über persönliche oder sachliche
Verhältnisse der natürlichen Person. Es muss sich also um Daten handeln, die Informa-
tionen über den Betroffenen selbst oder über einen auf ihn beziehbaren Sachverhalt
enthalten.
Als persönliche Verhältnisse werden Angaben über den Betroffenen selbst, seine
Identifizierung und Charakterisierung anzusehen sein, wie z.B. Name, Anschrift, Fami-
lienstand, Geburtsdatum, Staatsangehörigkeit, Konfession, Beruf, Erscheinungsbild,
Eigenschaften, Aussehen, Gesundheitszustand, Überzeugungen. Ferner gehören hier-
zu Fotografieren, Fingerabdrücke oder Röntgenbilder.
Sachliche Verhältnisse werden beschrieben durch Angaben über einen auf den Be-
troffenen beziehbaren Sachverhalt, z.B. seinen Grundbesitz, vertragliche oder sonsti-
ge Beziehungen zu Dritten, so auch das Führen eines Telefongespräches mit Dritten.
1.1.3. Bestimmte/bestimmbare Personen:
Personenbezogen sind nur die Daten, die sich auf eine bestimmte oder bestimmbare
natürliche Person beziehen. Ersteres ist der Fall, wenn die Daten mit dem Namen des
Betroffenen verbunden sind, oder sich aus dem Inhalt bzw. dem Zusammenhang der
Bezug unmittelbar herstellen lässt. Für die Bestimmbarkeit kommt es auf die Kenntnis-
se, Mittel und Möglichkeiten der speichernden Stelle an. Sie muss den Bezug mit den
ihr normaler Weise zur Verfügung stehenden Hilfsmitteln und ohne unverhältnismäßi-
gen Aufwand durchführen können. Werden beispielsweise anonyme Daten an eine
Stelle übermittelt, die in der Lage ist, den Personenbezug herzustellen, so ist der
Übermittlungstatbestand des BDSG erfüllt.
1.1.4. Natürliche Person:
Geschützt vom Anwendungsbereich des BDSG sind natürliche Personen. Juristische
Personen (Aktiengesellschaften, GmbHs, etc.), Verstorbene, oder aber der nasciturus
sind vom Anwendungsbereich des Bundesdatenschutzgesetzes nicht umfasst. Das
Gesetz geht davon aus, dass der Betroffene eine handelnde, d.h. eine lebende Per-
son ist, wie sich aus den Kontroll-und Mitwirkungspflichten ergibt.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 8
1.1.5. Verbot mit Erlaubnisvorbehalt:
Im BDSG ist ein sogenanntes Verbot mit Erlaubnisvorbehalt verankert. Das heißt, es
gibt ein generelles Verbot der Verwendung personenbezogener Daten, egal ob Er-
hebung, Verarbeitung oder Nutzung. Nur in Ausnahmefällen, beispielsweise bei Ein-
willigung des Betroffenen, etwa bei Kundenkarten oder bei gesetzlicher Erlaubnis,
zum Beispiel die Rezeptabrechnung über ein Apothekenrechenzentrum gemäß § 302
Sozialgesetzbuch V, darf man sich darüber hinwegsetzen (Erlaubnisvorbehalt).
LIEB.Rechtsanwälte empfehlen:
„Bevor man personenbezogene Daten erhebt verarbeitet oder nutzt, sollte zunächst
darüber nachgedacht werden, ob ein Gesetz dies erlaubt. Ist dies nicht der Fall, soll-
te zumindest geprüft werden, ob eine Einwilligung gemäß § 4a Abs. 1 BDSG vorliegt.
Ist wieder ein Gesetz, noch eine Einwilligung zu finden, dürfte im Zweifel das Erheben
Verarbeiten oder Übermitteln von personenbezogenen Daten rechtswidrig sein.“
Die Frage des Datenschutzes stellt sich in der Apotheke folglich vor allem im Hinblick
auf Daten von Kunden, anderen Geschäftspartnern, Lieferanten, Bewerbern und
Mitarbeitern.
Keine Probleme mit dem Datenschutz gibt es bei anonymisierten oder pseudonymi-
sierten Daten, gemäß § 3 Abs. 6,6a BDSG.
1.2. Anonymisieren und Pseudonymisieren
§ 3 Abs. 6, 6a BDSG:
„Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben
über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismä-
ßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren
natürlichen Person zugeordnet werden können.“
„Unter Pseudonymisieren versteht man das Ersetzen des Namens und anderer Identifikations-
merkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszu-
schließen oder wesentlich zu erschweren.“
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 9
Das Anonymisieren von Daten kann dadurch geschehen, dass aus einem Bestand
personenbezogener Daten, Angaben ohne Personenbezug per entsprechender
Auswertung herausgefiltert und für planerische oder statistische Zwecke genutzt wer-
den, wobei die diesbezügliche Veränderung und die nachfolgende Nutzung oder
Verarbeitung mangels Personenbezug der Daten nicht mehr den Regeln des Bun-
desdatenschutzgesetzes unterliegen. Sie kann dadurch geschehen, dass der Perso-
nenbezug insgesamt durch Löschung der Identifikationsmerkmale entfällt. Werden
von vornherein Daten ohne Personenbezug erhoben und gespeichert, so findet das
BDSG mangels Verarbeitung und Nutzung personenbezogener Daten von vorneher-
ein keine Anwendung. Die Daten sind jedoch nur dann anonym, wenn der Perso-
nenbezug nicht mehr herstellbar, d.h. eine RE-Anonymisierung unmöglich, ist.
§ 295 Abs. 2 iVm. § 291 Abs. 2 Nr. 1,6, 7 SGB V schreibt beispielsweise die Anonymisie-
rung der Abrechnungsdaten der kassenärztlichen Vereinigung explizit vor. Familien-
name und Vorname des Versicherten müssen nicht weitergegeben werden.
Pseudonymisierung hat das Ziel, die unmittelbare Kenntnis der vollen Identität des
Betroffenen während solcher Verarbeitungs-und Nutzungsvorgänge, bei denen der
Personenbezug nicht zwingend erforderlich ist, auszuschließen. Die Daten werden
durch eine Zuordnungsvorschrift derart verändert, dass die Einzelangaben ohne
Kenntnis oder Nutzung der Zuordnungsvorschrift nicht mehr einer natürlichen Person
zugeordnet werden können.
Generell lohnt es sich, immer zu hinterfragen, welche Daten an Dritte weitergegeben
werden müssen und welche nicht.
Beispiel:
Bei der Bestellung von Kompressionsstrümpfen reichen der beauftragten Firma die
Maße des Patienten. Name, Geburtsdatum und Adresse sind nicht notwendig, um
den Auftrag ausführen zu können. Der Kunde kann in die Apotheke kommen, um
sich die maßangefertigten Strümpfe abzuholen.
1.3. Schweigepflicht und Datengeheimnis
Selbstverständlich unterliegen alle Daten der Apothekenkunden der Schweigepflicht.
Diese ist regelmäßig in der Berufsordnung der zuständigen Apothekerkammer zu fin-
den. In Bayern in § 14 der Berufsordnung für Apothekerinnen und Apotheker. Dort
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 10
wird der Apothekenleiter verpflichtet, alle Mitarbeiter schriftlich zur Verschwiegenheit
zu verpflichten. Das sollte gerade auch bei Boten, Praktikanten und kurzzeitig Be-
schäftigten nicht vergessen werden. Zudem müssen Mitarbeiter auf das Datenge-
heimnis nach § 5 BDSG verpflichtet werden.
§ 5 BDSG :
„Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene
Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen
sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tä-
tigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Be-
endigung ihrer Tätigkeit fort.“
Nach dieser Vorschrift ist es untersagt, personenbezogene Daten unbefugt zu erhe-
ben, zu verarbeiten oder zu nutzen. Angesprochen werden die bei der Datenverar-
beitung beschäftigten Personen, d.h. § 5 liegt den Beschäftigten persönlich unmit-
telbar Pflichten auf, während sich das BDSG ansonsten an die Daten verarbeitenden
Stellen gemäß § 1 Abs. 2 BDSG als Normadressat wendet. Wer beispielsweise im Lau-
fe seiner dienstlichen oder beruflichen Tätigkeit bekannt gewordene Daten zu priva-
ten Zwecken nutzt, missbrauchst zwar, kann aber nach der Strafvorschrift nicht zur
Rechenschaft gezogen werden. Allenfalls kommt eine Strafbarkeit nach § 203 StGB in
Betracht. In jeden Fall kann aber eine unbefugte zweckentfremdete Verwendung
der Daten, dienst-oder arbeitsvertragliche Konsequenzen auslösen.
LIEB.Rechtsanwälte raten:
„Halten sich Dritte in der Apotheke auf, zum Beispiel Handwerker, oder Reinigungs-
personal, ist sicherzustellen, dass diese keinen Zugriff auf personenbezogene Daten
haben. Ansonsten sollten Sie, diesen Personen eine Datenschutzerklärung zur Unter-
schrift vorlegen.“ Einen Formulierungsvorschlag finden Sie am Ende unseres Skriptes.
Sinnvoll ist es zudem, alle Mitarbeiter darüber zu belehren, dass die Schweigepflicht
umfassend gilt, also auch gegenüber den Angehörigen der Kunden, nicht beteilig-
ten Kollegen und Ärzten.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 11
Die Verletzung der Verschwiegenheitspflicht wird im § 203 des Strafgesetzbuchs
(StGB) unter Strafe gestellt:
§ 203 Verletzung von Privatgeheimnissen (Auszug)
(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich
gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als
1.Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die
Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung
erfordert,
2.Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlußprüfung,
3.Rechtsanwalt, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren,
Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Or-
gan oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-,
Buchprüfungs- oder Steuerberatungsgesellschaft,
anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr
oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer …
(2a) Die Absätze 1 und 2 gelten entsprechend, wenn ein Beauftragter für den Datenschutz
unbefugt ein fremdes Geheimnis im Sinne dieser Vorschriften offenbart, das einem in den
Absätzen 1 und 2 Genannten in dessen beruflicher Eigenschaft anvertraut worden oder sonst
bekannt geworden ist und von dem er bei der Erfüllung seiner Aufgaben als Beauftragter für
den Datenschutz Kenntnis erlangt hat.
(3) Einem in Absatz 1 Nr. 3 genannten Rechtsanwalt stehen andere Mitglieder einer Rechts-
anwaltskammer gleich. Den in Absatz 1 und Satz 1 Genannten stehen ihre berufsmäßig täti-
gen Gehilfen und die Personen gleich, die bei ihnen zur Vorbereitung auf den Beruf tätig sind.
Den in Absatz 1 und den in Satz 1 und 2 Genannten steht nach dem Tod des zur Wahrung des
Geheimnisses Verpflichteten ferner gleich, wer das Geheimnis von dem Verstorbenen oder
aus dessen Nachlaß erlangt hat.
(4) Die Absätze 1 bis 3 sind auch anzuwenden, wenn der Täter das fremde Geheimnis nach
dem Tod des Betroffenen unbefugt offenbart.
(5) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu berei-
chern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren o-
der Geldstrafe.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 12
In der Strafprozessordnung wird dem Apotheker ferner bei einer Vernehmung ein
Zeugnisverweigerungsrecht gewährt.
§ 53 StPO (Auszug)
(1) Zur Verweigerung des Zeugnisses sind ferner berechtigt
1.Geistliche über das, was ihnen in ihrer Eigenschaft als Seelsorger anvertraut worden oder
bekanntgeworden ist;
2.Verteidiger des Beschuldigten über das, was ihnen in dieser Eigenschaft anvertraut worden
oder bekanntgeworden ist;
3.Rechtsanwälte, Patentanwälte, Notare, Wirtschaftsprüfer, vereidigte Buchprüfer, Steuerbe-
rater und Steuerbevollmächtigte, Ärzte, Zahnärzte, Psychologische Psychotherapeuten, Kin-
der- und Jugendlichenpsychotherapeuten, Apotheker und Hebammen über das, was ihnen
in dieser Eigenschaft anvertraut worden oder bekanntgeworden ist, Rechtsanwälten stehen
dabei sonstige Mitglieder einer Rechtsanwaltskammer gleich;
(2) Die in Absatz 1 Satz 1 Nr. 2 bis 3b Genannten dürfen das Zeugnis nicht verweigern, wenn
sie von der Verpflichtung zur Verschwiegenheit entbunden sind. Die Berechtigung zur Zeug-
nisverweigerung der in Absatz 1 Satz 1 Nr. 5 Genannten über den Inhalt selbst erarbeiteter
Materialien und den Gegenstand entsprechender Wahrnehmungen entfällt, wenn die Aus-
sage zur Aufklärung eines Verbrechens beitragen soll oder wenn Gegenstand der Untersu-
chung
Darauf kann er sich zum Beispiel berufen, wenn beispielsweise ein drogensüchtiger
Kunde wegen Rezeptfälschung, also einer Urkundenfälschung, vor Gericht steht.
Achtung:
„Sagt der Apotheker gegen den Willen des Kunden aus, macht also nicht vom Zeug-
nisverweigerungsrecht Gebrauch, kann das für ihn strafrechtliche Konsequenzen ha-
ben. Er riskiert die eigene Strafbarkeit nach § 203 StGB, da er berufsrechtlich zur Ver-
schwiegenheit verpflichtet ist.“
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 13
II. Warum ist Datenschutz in der Apotheke
relevant:
Als größte Errungenschaft des Datenschutzes in Deutschland gilt das sogenannte
Volkszählungsurteil, eine Grundsatzentscheidung des Bundesverfassungsgerichts aus
dem Jahr 1983. Aufbauend auf diesem Urteil genießt das Recht auf informationelle
Selbstbestimmung nunmehr Grundrechtschutz.
Das Grundgesetz vermittelt dem Einzelnen Schutz, vor unbegrenzter Erhebung, Spei-
cherung, Verwendung und Weitergabe seiner persönlichen Daten.
Gerade persönliche Daten werden zwangsläufig in Rahmen des Apothekenalltags
erhoben, verarbeitet und genutzt. Die Belieferung von Rezepten, die Ausgabe von
Kundenkarten und Auskünfte am Telefon, zeigen exemplarisch, dass das Apothe-
kenpersonal ständig mit personenbezogenen Daten der Patienten/Kunden umgeht.
Der Datenschutz endet jedoch nicht bei den Kunden. Selbstverständlich sind auch
die Daten der Mitarbeiter zu schützen.
Zunächst werden somit die einzelnen Berührungspunkte im Rahmen des Apotheken-
ablaufs skizziert. Insbesondere ist der Aufbau und die Ausgestaltung der Apotheke, im
Hinblick auf die Apothekenbetriebsordnung zu behandeln:
1. Die Offizin:
1.1. Räumlichkeiten:
Der Datenschutz beginnt bereits in den Räumlichkeiten der Apotheke, ja sogar mit
dem Betreten der selbigen. So spricht bereits die Verordnung über den Betrieb von
Apotheken in § 4 Absatz 2a ApBetrO davon, dass die Offizin so gestaltet werden
muss, dass ausgeübte wesentliche Aufgaben, insbesondere die Beratung von Patien-
ten und Kunden, genügend Raum bleibt. Die Offizin muss so eingerichtet sein, dass
die Vertraulichkeit der Beratung, insbesondere an den Stellen, an denen Arzneimittel
an Kunden abgegeben werden, so gewahrt wird, dass das Mithören des Beratungs-
gesprächs durch andere Kunden weitestgehend verhindert wird.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 14
Bereits der Wortlaut der Verordnung ist derart detailliert gefasst, dass jedem Betreiber
einer Apotheke klar sein muss, dass die Offizin so ausgestaltet werden muss, dass we-
der Beratungsgespräch, noch Inhalt der vom Patienten/Kunden an den Apotheker
übergebenen Daten unberechtigten Dritten zu Ohren gelangt. Diskretion muss das
oberste Gebot sein. So sollte bei einem Kundenandrang gewährleistet sein, dass aus-
reichend Abstand zwischen den Kunden besteht. Gleichwohl sollte das Apotheken-
personal darauf achten, die Stimme, dem Kundenaufkommen anzupassen.
1.2. Handverkaufstische:
In der Offizin sind die Handverkaufstische der Ort in der Apotheke, an dem die Kun-
den ihre Wünsche äußern und Sie Informationen über die Arzneimittel verschaffen.
Dieser Bereich sollte möglichst so gestaltet werden, dass ein Mithören der Kundenge-
spräche durch andere Kunden weitgehend ausgeschlossen ist. Auch das Verwahren
von Rezepten auf den Handverkaufstischen ist zu überdenken. Die nachfolgenden
Kunden dürfen die Rezepte nicht lesen oder gar unbemerkt mitnehmen können. Auf
vielen Handverkaufstischen finden sich nunmehr auch PC-Bildschirme. Wartende
Kunden dürfen nicht die Möglichkeit haben, diese einzusehen. Datenschutz bedeu-
tet auch, dass Kundendaten nicht auf dem PC-Bildschirm für Dritte, also Apotheken-
fremde, lesbar sind.
Deshalb sollten die Bildschirme so stehen und positioniert sein, dass andere Kunden
diese nicht einsehen können. Was die Rezepte betrifft, sollten diese auch bei starkem
Kundenverkehr, niemals für andere Kunden lesbar oder gar greifbar auf dem HV-
Tisch liegen. Verstöße gegen den Datenschutz wie diese, wurden schon mehrfach
der zuständigen Datenschutzbehörde angezeigt und mit einem Bußgeld bestraft. Die
Höhe des Bußgeldes ist dabei abhängig von der sonstigen Qualität des Datenschut-
zes, insbesondere den Umständen des Einzelfalls und der Strenge der jeweiligen Auf-
sichtsbehörde.
1.3. Diskretionszone und Beratungsecke der Offizin:
Spätestens seit 1999 müssen alle Apotheken so eingerichtet sein, dass die Vertrau-
lichkeit der Beratung gewährleistet wird. Dies wurde in vielen Apotheken so interpre-
tiert, dass ein Beratungsraum eingerichtet oder eine Beratungsecke abgetrennt wur-
de. Dieser Beratungsraum ist nach wie vor unerlässlich, etwa für Blutuntersuchungen,
Gespräche im Rahmen der Pharmazeutischen Betreuung oder aber zum Anmessen
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 15
von Kompressionsstrümpfen, das nicht im Verkaufsraum erfolgen kann. Aber der Be-
ratungsraum allein reicht bei Weitem nicht aus. Banal aber wichtig erscheint schon
der Rat, diesen vor allem zu nutzen. Es ist wichtig, dass jedes einzelne Gespräch zwi-
schen einem Mitarbeiter der Apotheke und dem Kunden diskret verläuft. Sollte dies
lediglich in der Beratungsecke möglich sein, ist diese aufzusuchen. Die Diskretionszo-
ne kann schnell verletzt werden. Bestehen Sie darauf, die Beratungsecke aufzusu-
chen. Der Kunde wird meist kein Interesse daran haben, möchte vielmehr eine
schnelle Bearbeitung. Gerade in dieser Hinsicht obliegt es Ihnen, den Schutz der Da-
ten im Hinterkopf zu haben.
In vielen Apotheken ist die Offizin schon so gestaltet, dass jedes Beratungsgespräch
vertraulich bleibt. Auch wenn eine innenarchitektonische Lösung der Königsweg ist,
so können Diskretionszonen in jeder Apotheke schnell und effektiv eingerichtet wer-
den. Oft reicht es schon aus, auf dem Boden mit einem Klebeband eine Wartelinie zu
markieren. Kunden kennen dies beispielsweise von Banken oder der Post und akzep-
tieren solche Abtrennungen schnell. Ebenso zeigt ein einfaches Hinweisschild, auf
dem HV-Tisch oder als Bodenständer, gute Erfolge. Ein durchgehender HV-Tisch kann
mit Trennwänden oder Ständern in zwei oder drei »Beratungsbuchten« unterteilt wer-
den. Zusätzlich bietet sich an, die Abtrennung noch durch Regale aus dem Freiwahl-
bereich, die an den HV-Tisch herangeschoben werden, zu verstärken. Der Kreativität
sind keine Grenzen gesetzt.
1.4. Videoüberwachung:
Der Datenschutz beginnt schon an der Eingangstür. Dies ist relevant für die Apothe-
ken, die eine Videoüberwachung installiert haben.
§ 6b BDSG nimmt Bezug auf die »Beobachtung öffentlich zugänglicher Räume mit
optisch-elektronischen Einrichtungen«. Daraus leitet sich ab, dass Apotheken, die in
der Freiwahl eine Videoüberwachungs-Anlage (oder eine Attrappe) installieren, die-
se sichtbar kennzeichnen müssen – möglichst direkt am Eingang. Hierzu sollte an der
Eingangstür ein entsprechender Hinweis angebracht werden. In nicht öffentlich zu-
gänglichen Bereichen ist eine Videoüberwachung nur in bestimmten Fällen erlaubt.
Ein heimliches Filmen ist nie rechtmäßig. Gleiches gilt etwa für Aufnahmen in Berei-
chen der privaten Lebensgestaltung, zum Beispiel in Sanitärräumen, in den Umklei-
den, so es solche gibt, oder im Nachtdienstzimmer.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 16
1.5. Die Rezepte:
Können die Rezepte nicht vom HV-Tisch entfernt werden, sollten die Mitarbeiter sie
zumindest umdrehen, in der Hand behalten, oder in einer undurchsichtigen Hülle ver-
stauen. Rezepte enthalten viele sensible Daten. Daher darf man nicht mehr benötig-
te Privatrezepte, grüne Rezepte oder Kopien, die dem Kunden nicht mitgegeben
werden können, auf keinen Fall lediglich in den Papierkorb werfen. Diese Rezepte
müssen durch den Aktenvernichter (dieser sollte mindestens Stufe 4 für geheim zuhal-
tendes Schriftgut der DIN-Norm 32757 entsprechen).
Bei Unklarheiten auf dem Rezept sollten die Apothekenmitarbeiter den Patienten
fragen, ob sie den Arzt kontaktieren dürfen. In der Regel dürfte das kein Problem dar-
stellen, da der Kunde selbst an der Klärung interessiert ist. Der Patient sollte die Mög-
lichkeit haben, das Gespräch mithören. Unter Verweis auf die Beratungsecke ist der
HV-Bereich selbstverständlich kein guter Ort für Telefonate, da andere Personen mit-
hören könnten.
Will man sich, zum Beispiel mit einem Arzt, per E-Mail über ein Rezept austauschen, so
dürfen Sie das Rezept nicht einscannen und dann unverschlüsselt, oder als Anhang
versenden. Die Daten der Kunden müssen verschlüsselt werden. Sollte die E-Mail ab-
gefangen werden, gelangen sensible Daten Dritten zur Kenntnis. Folgeansprüche
drohen. Sollte eine Verschlüsselung nicht möglich sein, muss sollte im Hinblick auf den
Datenschutz davon abgeraten werden. Sollte der Kunde trotz dieses Defizits den-
noch zustimmen, kann die E-Mail versendet werden.
1.6. Statistiken:
Statistiken müssen ebenfalls in datenschutzrechtlicher Hinsicht gewürdigt werden. So
ist es gängige Praxis, dass am Ende des Monats die Rezepte abgeholt und eingele-
sen werden.
Gesundheitsdaten bzw. Rezeptdaten sind besonders sensible Daten und werden
durch das Bundesdatenschutzgesetz und verschiedene Spezialgesetze (Sozialge-
setzbuch, Strafgesetzbuch) besonders geschützt. Die Einschaltung externer Rechen-
zentren durch Apotheken und die Datenverarbeitung durch diese Rechenzentren ist
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 17
im Rahmen von § 300 Abs. 1 SGB V l zulässig. Sinn der (anonymisierten) Datenweiter-
gabe ist etwa, Erfolge von Werbemaßnahmen zu messen und das Außendienst- und
Vertriebsmanagement zu optimieren. Die Unternehmen haben dadurch die Mög-
lichkeit, das) Verschreibungsverhalten von Ärzten zu überprüfen und ihre Werbe- und
Vertriebsstrategien darauf abzustimmen. Dieses Verfahren ist jedoch nur solange zu-
lässig, wie aus den aufbereiteten Daten keinerlei Rückschlüsse auf konkrete Personen
möglich ist.
Vermeiden Sie es also, weder Name des verschreibenden Arztes, noch Name des
Patienten zu speichern und an die Pharma-Unternehmen weiterzugegeben.
1.7. Dokumentation:
Auch wenn der Kunde die Apotheke wieder verlassen hat, bestehen die Anforde-
rungen an den Datenschutz selbstverständlich weiter. Das ist am Beispiel von Doku-
mentationspflichten leicht zu erklären.
Von Betäubungsmitteln, über verschreibungspflichtige Tierarzneimittel, bis hin zum
Erwerb und Abgabe von Produkten, die unter das Transfusionsgesetz fallen, enthal-
ten diese Aufzeichnungen personenbezogene Daten, an die Unbefugte nicht heran-
kommen dürfen. Gerade auch dann nicht, wenn die Aufbewahrungspflicht bereits
abgelaufen ist.
Zu entsorgende Unterlagen sind ein Fall für den Aktenvernichter. Dort hinein gehören
auch nicht mehr benötigte Faxe, die personenbezogene Daten enthalten. Beim Ver-
senden von Kundendaten per Fax ist sicherzustellen, dass dieses ausschließlich den
berechtigten Empfänger erreicht. Faxe sollte man dem Empfänger unter Umständen
vorher ankündigen. Bei Faxen an den Arbeitsplatz, sollte man diese ankündigen und
sich den Empfang gegebenenfalls bestätigen lassen.
Faxe, die in der Apotheke ankommen, müssen sofort aus dem Gerät entnommen
werden. Es sollten nirgendwo in der Apotheke, auch nicht auf dem Büroschreibtisch
des Inhabers der Apotheke, sensible Daten in Papierform länger liegengelassen wer-
den. Sinnvoll ist es, Unterlagen in der Apotheke, im Hinblick auf die Sensibilität der
Daten, in Kategorien einzuteilen und zu kennzeichnen. Das QM-Handbuch beinhaltet
bspw. Daten zum internen Gebrauch. Streng vertraulich, sind Personalakten. Persön-
lich wären Gehaltsabrechnungen und Beurteilungen der Mitarbeiter.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 18
1.8. Auskünfte an nahe Angehörige, oder dergleichen:
Ein häufiges Problem sind Auskünfte an Angehörige. Zum Vergleich: Wenn der Ehe-
partner die Post des Ehegatten öffnet, ist dies ein Straftatbestand. Deshalb sollten
auch Auskünfte auf der Basis von Kundenkarten nur dem Kunden selbst erteilt wer-
den dürfen. Was also tun, wenn Angehörige zum Beispiel Zuzahlungsbescheinigun-
gen des Ehepartners verlangen? Eine Möglichkeit ist es, die Bescheinigung auf dem
Postweg zu versenden. Am Telefon ist eine Auskunft zu persönlichen Daten immer
verboten, wenn die sichere Identifikation des Anrufers nicht gewährleistet ist.
Auch den Strafverfolgungsbehörden darf man nicht ohne Weiteres am Telefon Aus-
kunft erteilen. Wir raten Ihnen dazu, um eine persönliche Vorsprache des Beamten
oder eine schriftliche Anfrage zu bitten. Mitarbeiter sollten immer auch die Apothe-
kenleitung in den Fall einbeziehen.
Und wie sieht es bei Minderjährigen aus? Dürfen Eltern eine Auskunft über ihre Kinder
erhalten?
LIEB.Rechtsanwälte raten:
„Gerade bei schon verständigen und einsichtsfähigen Minderjährigen kurz vor der
Volljährigkeit kann es zu Konflikten zwischen dem Auskunftsanspruch der Eltern und
der Schweigepflicht gegenüber dem Minderjährigen kommen. Stellen Sie sich vor,
der Vater eines 15-jährigen Mädchens ruft sie an und fragt Sie darüber aus, ob seine
Tochter die Antibabypille bezieht. Hier ist Vorsicht geboten. Gehen Sie auf Nummer
sicher und machen Sie von ihrem Schweigerecht Gebrauch. Notfalls muss der Erzie-
hungsberechtigte in Beisein mit dem Minderjährigen vorstellig werden und um Aus-
kunft bitten. Bei kleineren Kindern haben sorgeberechtigte Elternteile Auskunftsan-
sprüche. Auch hier gilt wieder der Grundsatz, dass das Schweigen im vorliegenden
Fall besser ist, als die Auskunftserteilung.“
1.9. Die Kundenkarte:
Viele Apotheken wollen ihre Patienten mithilfe einer Kundenkarte an die Apotheke
binden. Dabei ist zu beachten, dass alle Karteninhaber zuvor eine datenschutzrecht-
liche Einwilligungserklärung abgeben müssen. Die besagte Einwilligungserklärung
sollte bestenfalls schriftlich erfolgen. Regelmäßig werden hierbei von Apotheken Kar-
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 19
tenanträge genutzt, die ausdrücklich auf die datenschutzrechtliche Einwilligung hin-
weisen.
LIEB.Rechtsanwälte raten:
„Überprüfen Sie die von Ihnen verwendeten Kartenanträge. Sollten diese keine Ein-
willigungserklärung beinhalten, ist davon abzuraten, diese weiterhin zu benutzen. Bei
Schriftform sind sie weitestgehend sicher. Ändern Sie das!“
Die Einwilligungserklärung der Kunden muss sich auf die personenbezogenen und
ausdrücklich auch auf die Gesundheitsdaten beziehen. Sie sollte immer schriftlich
erfolgen und an einem für Unbefugte nicht zugänglichen Ort sicher aufbewahrt wer-
den. Es gibt keine feste Frist, wann ungenutzte Kundenkarten zu löschen sind.
LIEB.Rechtsanwälte raten:
„Eine Löschung nach drei Jahren ist sinnvoll; wir weisen jedoch darauf hin, dass eini-
ge Steuerberater wegen des steuerlichen Bezugs der Daten eine Aufbewahrung von
zehn Jahren für sinnvoll erachten. Laut BDSG (§ 4a, Absatz 1) ist die Einwilligungserklä-
rung (optisch) besonders hervorzuheben, wenn sie zusammen mit anderen Erklärun-
gen erteilt wird.“
Selbstverständlich ist ebenfalls der Fall zu würdigen, dass die Kundendaten infolge
Ruhestand oder Tod des Apothekers oder bei einem Verkauf der Apotheke nicht au-
tomatisch an den Nachfolger übergehen.
Dürfen Kundendaten bei einem Verkauf der Apotheke an den Nachfolger überge-
ben werden und was ist dabei zu beachten?
Im Kammerrundschreiben (Mai/Juni 2012) informiert die Landesapothekerkammer
Hessen zu diesem Thema.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 20
„Sofern nicht ausdrücklich anders vereinbart, willigt der Kunde beim Erwerb einer
Kundenkarte durch seine Einverständniserklärung nur in das Speichern seiner perso-
nenbezogenen Daten bei dem Apotheker seines Vertrauens ein. Der Kunde muss frei
darüber entscheiden können, ob er seine Daten weitergeben will oder nicht. Daher
ist für die Übermittlung der gespeicherten Daten an einen Dritten bei einem Verkauf
der Apotheke erneut eine Einwilligung, und zwar eine vorherige Einverständniserklä-
rung des Betroffenen, erforderlich. Die Kammer plädiert dafür, die schriftliche Einwilli-
gung jedes betroffenen Kunden einzuholen.“
Weiter heißt es in dem Rundschreiben:
„Zu überlegen wäre, ob Apotheken ihre Kundenkarten dahingehend überarbeiten,
dass diese eine Einwilligungserklärung auch zur Weitergabe der Kundendaten an
einen Rechtsnachfolger für den Fall eines Apothekenverkaufs enthalten.“
LIEB.Rechtsanwälte raten:
„Es bietet sich an, im Falle eines Verkaufs der Apotheke erneut eine Einwilligungser-
klärung der jeweiligen Kundenkarteninhaber einzuholen. Dass dies umständlich und
eventuell mühsam ist, dürfte jedoch im Hinblick auf der der Apotheke eventuell dro-
hende Bußgelder das geringere Übel darstellen. Somit bietet sich an, bereits bei Be-
antragung der Kundenkarte die Einwilligungserklärung auf etwaige Rechtsnachfolger
zu erstrecken.“
Von der Ausgabe einer Kundenkarte ist daher abzuraten, wenn der Kunde die Erklä-
rung nicht oder nur mündlich abgeben will. Im Falle eines Streits müssen Sie die Einwil-
ligung beweisen. Oftmals steht Aussage gegen Aussage!
Grundsätzlich sollte man nur Daten erfassen, die tatsächlich benötigt werden. Gän-
gig ist auch, dass die Bewohner belieferter Altenheime in der Kundendatei der Apo-
theke eingetragen sind. Wenn man nicht von allen einzeln die Einwilligung einholen
will, oder kann, ist es sinnvoll, beim Abschluss des Vertrags mit der Heimleitung fest-
zuhalten, dass diese sich um die Einwilligungen kümmert.
Was in der Praxis bereits häufiger zu Ärger geführt hat, sind Antragsformulare für Kun-
denkarten, auf denen nicht alles aufgeführt ist, was die Apotheke mit den Daten tun
wird.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 21
Beispiel:
Thema Geburtstagskarte. Sollten Sie im Rahmen der Kundenpflege eine Geburts-
tagskarte versenden wollen, muss dieser „Service“ explizit im Kartenauftrag vermerkt
sein.
Die Geburtstagskarte kann zum Bumerang werden, wenn Verstorbene eine Karte
zum Geburtstag bekommen. Sind in den Kundenkartenanträgen solche Geburts-
tagsaktionen nicht aufgeführt, können Angehörige gegen Datenschutzverstöße der
Apotheke vorgehen. Auch Post aus einer Filialapotheke, die ohne Kenntnis des Kar-
teninhabers auf die Daten zurückgreift, kann zu Irritationen führen.
Schlichtweg verboten sind auch in der EDV gespeicherte Daten, die ein Werturteil
enthalten, etwa „Nervensäge“, „Pfennigfuchser“ oder „schwieriger Kunde“. Möglich
ist aber, auf Tatsachen wie „offene Rechnung“ oder „bisher nicht abgeholter Bestel-
lartikel“ hinzuweisen.
Generell hat der Kunde ein Recht auf schriftliche Auskunft über die zu seiner Person
gespeicherten Daten. Dies muss er in der Apotheke kundtun, aber nicht begründen.
Die Unentgeltlichkeit dieser Auskunft ist ausdrücklich im Gesetz vorgesehen Die Aus-
kunft kann mündlich erfolgen, auf Verlangen des Kunden ist sie aber schriftlich zu
erteilen. Ferner haben Kunden ein Anrecht auf Datenkorrektur, zum Beispiel auf Be-
richtigung oder Löschen von Daten.
1.10. Lieferung per Bote:
Apothekenboten sind ebenso an Schweigepflicht und Datengeheimnis gebunden,
wie die übrigen Apothekenmitarbeiter auch. Laut § 14 Apothekenbetriebsordnung
sind die auszuliefernden Arzneimittel für jeden Empfänger getrennt zu verpacken und
jeweils mit dessen Namen und Anschrift zu versehen.
Achtung: Damit gelangen personenbezogene Daten in Umlauf.
Bei der Auslieferung mit einem Pkw dürfen die Medikamente nicht sichtbar im Pkw
liegen oder dort längere Zeit, zum Beispiel über Nacht, deponiert werden. Beim Ver-
lassen ist der Wagen stets abzuschließen. Fahrradboten müssen alle auszuliefernden
Medikamente immer mit sich führen.
Der Bote darf die Medikamente nur dem Kunden selbst aushändigen. Andernfalls,
zum Beispiel bei Abgabe beim Nachbarn oder Einwurf in den Briefkasten, ist vorher
eine schriftliche Einverständniserklärung einzuholen. Ebenfalls abklären sollte man, ob
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 22
das Medikament an andere Familienangehörige im gleichen Haushalt ausgehändigt
werden kann. Es ist stets sinnvoll, wenn sich der Bote die Übergabe bestätigen lässt.
2. Das Büro:
Fernab des Verkaufsraums lauern ebenfalls mögliche datenschutzrechtliche Verstö-
ße. Hierbei ist unter anderem das Büro des Apothekers anzusprechen. Unabhängig
davon, ob allenfalls der Apotheker persönlich dieses Büro betreten darf sollte zumin-
dest ein Augenmerk darauf gerichtet werden, dass hierbei ähnlich wie auf dem Ver-
kaufstisch keine Rezepte oder ähnliche sensible Daten aufzufinden sind. Auch hier
gilt wiederum der Grundsatz, dass persönliche Daten von Kunden sicher verwahrt
werden sollen. Dies gilt jedoch ebenso für relevante Mitarbeiterdaten. Gesetzt den
Fall, das Reinigungspersonal betritt das Büro des Apothekers und kennt durch Zufall
die Person die als Adressat eines Rezeptes genannt ist, ist der datenschutzrechtliche
Verstoß eingetreten.
2.1. IT-Sicherheit(Anforderungen an Arbeitsplatz und Mitarbeiter, effektiver Passwort-
schutz, regelmäßige Datensicherung, Anforderungen an den Datenaustausch)
Ohne Informationstechnologie (IT) geht es in der Apotheke nicht. Um deren Sicher-
heit muss sich der Apothekeninhaber Gedanken machen. Nicht nur Hackerangriffe
von außen sind zu befürchten, auch technische Schäden (etwa Überhitzung), Ele-
mentarschäden (Brand, Wasserschäden) sowie Unkenntnis und Selbstüberschätzung
des Personals sind Risikofaktoren.
Wirksame Maßnahmen zur Gefahrenabwehr beginnen bei regelmäßigen Mitarbei-
terschulungen und enden bei einem umfassenden Passwortschutz. Auch an eine
unterbrechungsfreie Stromversorgung mit Überspannungsschutz, aktualisierte Viren-
schutzprogramme und regelmäßige Datensicherungen ist zu denken. Nach der Da-
tensicherung sollte der Sicherungsträger nicht am oder in unmittelbarer Nähe des
Computers gelagert werden; am besten wird er an einem vor Diebstahl und Elemen-
tarschäden gesicherten Ort aufbewahrt. Empfehlenswert ist auch, den Datenträger
mindestens einmal pro Monat auf Funktionstüchtigkeit zu überprüfen.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 23
2.2. Die Internetpräsentation:
Mittlerweile haben viele Apotheken einen eigenen Internetauftritt. Dafür sind die all-
gemeinen Informationspflichten nach § 5 Telemediengesetz zu beachten. Zu einem
Impressum gehören folgende Angaben:
vollständiger Name der Apotheke mit Postanschrift,
Inhaber und Vertretungsberechtigter der Apotheke mit vollem
Vor- und Zunamen,
E-Mail-Adresse, Telefon- und Faxnummer,
UmsatzsteuerIdentifikationsnummer,
Handelsregister mit Handelsregisternummer,
Aufsichtsbehörde,
zuständige Berufskammer,
gesetzliche Berufsbezeichnung und Staat, in welchem diese verliehen wurde,
berufsrechtliche Regelungen und Zugangsmöglichkeit.
Auch an eine Datenschutzerklärung und einen Sicherheitshinweis an Kunden, dass
beispielsweise eine offene Dateneingabe freiwillig und nicht sicher ist, ist bei dem
Internetauftritt zu denken. Kunden und Mitarbeiter müssen zuvor natürlich zugestimmt
haben, wenn personenbezogene Daten und Bilder von ihnen auf der Website veröf-
fentlicht werden. Die Überwachung der Website auf Datenschutzrelevante Aspekte
zählt zu den Aufgaben eines Datenschutzbeauftragten.
3. Die Personalabteilung:
Die Personalakten sind in Papierform in einem abgeschlossenen Schrank aufzube-
wahren, für per Computer geführte Akten muss es ein sicheres Zugriffsberechtigungs-
konzept geben. Mitarbeiter haben jederzeit das Recht, die eigene Personalakte ein-
zusehen, die Daten zu prüfen und bei Bedarf gegen Einträge vorzugehen. Dies je-
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 24
doch nur nach vorherigem Antrag bei dem Arbeitgeber. Von einer eigenmächtigen
Einsichtnahme abzuraten. Stellen Sie sicher, dass Mitarbeiter keinen Zugriff auf die
Personalakten haben. Passwortschutz ist unerlässlich.
4. Apotheken und Dritte (Auftragsdatenverarbeitung in der Apotheke)
Wird ein externer Auftragnehmer mit der Erhebung, Verarbeitung und Nutzung per-
sonenbezogener Daten von einer Apotheke beauftragt, unterliegt dies der Auftrags-
datenverarbeitung und den entsprechenden rechtlichen Regelung im Bundesdaten-
schutzgesetz (§ 11 BDSG). Der Gesetzgeber stellt hohe Erwartungen an eine entspre-
chende Beauftragung. Eine Auftragsdatenverarbeitung liegt beispielsweise vor,
wenn die Buchhaltung ausgelagert wird, eine Aktenvernichtung durch ein externes
Unternehmen erfolgt oder die Lohnbuchhaltung durch Dritte vorgenommen wird.
Vielen ist unbekannt, dass auch die Beauftragung eines EDV-Unternehmens mit einer
Fernwartung unter die Auftragsdatenverarbeitung fällt. Der Gesetzgeber erwartet,
dass eine Apotheke vor der Beauftragung sich bei dem Dienstleister überzeugt, dass
das Thema Datenschutz ernst genommen wird. In der Praxis wird häufig ein Daten-
schutzkonzept abgefordert. Auch während der Beauftragung erwartet der Gesetz-
geber, dass eine Apotheke den Dienstleister beaufsichtigt und regelmäßig kontrol-
liert. Entsprechende Kontrollrechte müssen auch in den Verträgen zu Auftragsdaten-
verarbeitung enthalten sein. In § 11 Abs. 2 BDSG findet sich eine Aufzählung von 10
Punkten, die bei einer Auftragsdatenverarbeitung berücksichtigt werden müssen.
Sollten die in § 11 Abs. 2 BDSG enthaltenen Punkte allesamt im Rahmen einer Verein-
barung über die Auftragsdatenverarbeitung abgelichtet sein, sind sie grundsätzlich
auf der sicheren Seite. Die profunde Darstellung der Auftragsdatenverarbeitung wür-
de jedoch den Rahmen dieses Scripts sprengen.
5. Der Datenschutzbeauftragte:
5.1. Der interne Datenschutzbeauftragte:
Die gesetzliche Regelung findet sich hierzu in § 4f BDSG. Im Bereich der Privatwirt-
schaft trifft die Bestellpflicht die Nicht-öffentliche Stelle, d.h. den Unternehmensinha-
ber, bzw. die Leitung der juristischen Person, der das Unternehmen gehört.
Bei den besagten Stellen ist auch bei automatisierter Verarbeitung die Bestellpflicht
weiterhin an einen Mindestumfang der Datenverarbeitung und damit ein bestimmtes
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 25
Gefährdungspotenzial geknüpft. Die private Stelle muss in der Regel im Falle automa-
tisierter Datenverarbeitung zehn, oder im Falle herkömmlicher Verarbeitung, 20 Per-
sonen, ständig mit der Verarbeitung personenbezogener Daten betraut haben. So-
lange im Bereich der automatisierten Datenverarbeitung weniger als zehn Personen
beschäftigt sind, bedarf es keines betrieblichen Beauftragten. Der arbeitsrechtliche
Status ist hierbei irrelevant. Weiterhin fordert das Gesetz, dass die Person ständig da-
mit beschäftigt sein muss. Hat jemand nur gelegentlich und gegebenenfalls zur Erle-
digung andere Aufgaben auch mit der Datenverarbeitung zu tun, so ist er nicht
ständig damit beschäftigt.
Als Fazit bleibt somit festzuhalten, dass gerade in Apotheken, in denen mehr als neun
Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, ein Da-
tenschutzbeauftragte zu bestellen ist, gemäß § 4f Abs. 1 S. 4 BDSG.
Der Beauftragte ist bei Nicht-öffentlichen Stellen spätestens binnen eines Monats
nach dem Eintreten der Voraussetzungen zu bestellen. Sinkt wiederum bei diesen
Stellen die maßgebende Beschäftigtenzahl dauerhaft unter die gesetzliche vorgese-
hene Anzahl, so entfällt auch die Bestellungsvoraussetzung nach § 4f Abs. 1 BDSG.
Ein spezieller Widerruf der Bestellung sollte zwar zur Klarstellung der arbeitsvertragli-
chen Situation erfolgen/gegebenenfalls ist insoweit auch eine Kündigung erforder-
lich. Gleichwohl bleibt es der Apotheke jedoch unbenommen, in derartigen Fällen,
den Datenschutzbeauftragten „freiwillig“ weiterhin mit diesen Aufgaben zu betrau-
en.
5.2. Die Person des Beschäftigten:
Der Gesetzeswortlaut erlaubt es nunmehr, sowohl einen Beschäftigten des Unter-
nehmens als so genannten internen Datenschutzbeauftragten, als auch eine Person
außerhalb des Unternehmens, als so genannten externen Datenschutzbeauftragten
mit den Aufgaben des Datenschutzbeauftragten gemäß § 4f Abs. 2 S. 3 BDSG zu be-
stellen. Es muss jedoch darauf hingewiesen werden, dass der Bestellung einer juristi-
schen Person (z.B. Unternehmensberatungsgesellschaft) zum betrieblichen Daten-
schutzbeauftragten die Voraussetzungen des §§ 4f Abs. 2 BDSG entgegenstehen.
Fachkunde und Zuverlässigkeit sind nur von einer natürlichen Person erfüllbar, die
unmittelbare Unterstellung unter die Leitung der verantwortlichen Stelle kann nur von
einer natürlichen Person verwirklicht werden.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 26
5.3. Die erforderliche Fachkunde und Zuverlässigkeit:
Weiterhin fordert das Gesetz, dass jeder Beauftragte besondere Fachkunde und Zu-
verlässigkeit vorweisen muss. Zum Grundwissen gehört in erster Linie das Datenschutz-
recht, das wegen seines besonderen Charakters als Querschnittsmaterie nur diejeni-
gen richtig beherrschen, die über allgemeine Rechtskenntnisse verfügen. Weiterhin
wird vom Gesetzgeber ein Verständnis für betriebswirtschaftliche Zusammenhänge,
sowie Grundkenntnisse über Verfahren und Techniken der automatisierten Daten-
verarbeitung gefordert. Überdies muss der DSB mit der Organisation und Informatio-
nen seines Betriebes vertraut sein.
Es steht Ihnen als DSB das Recht gegenüber dem Arbeitgeber zu, Fortbildungsveran-
staltungen zu besuchen. Der Arbeitgeber hat die Kosten hierfür zu übernehmen, ge-
mäß § 4f Abs. 5 S. 1 BDSG.
LIEB.Rechtsanwälte raten:
„Neben der Fachkunde muss der DSB auch die zur Erfüllung seiner Aufgaben erfor-
derliche Zuverlässigkeit besitzen. Es kann also niemand zum Datenschutzbeauftrag-
ten bestellt werden, der durch persönliche Unzuverlässigkeit aufgefallen ist. Das Er-
fordernis der persönlichen Integrität soll verhindern, dass ein für andere Arbeiten nicht
qualifizierter Arbeitnehmer auf die Position des DSB abgeschoben wird.“
Wer eine Person bestellt, der ersichtlich Fachkunde und Zuverlässigkeit fehlen, hat
keinen Datenschutzbeauftragten bestellt und damit eine Ordnungswidrigkeit nach §
43 Abs. 1 Nr. 2 BDSG begangen. Empfindliche Bußgelder können drohen.
Die Zuverlässigkeit des Datenschutzbeauftragten bedingt auch, ihm die hierfür erfor-
derliche Arbeitszeit, also Freistellung von bisheriger Tätigkeit zu gewähren. Bestimmte
Personen können unabhängig von ihrer Fachkunde und Zuverlässigkeit nicht zum
Datenschutzbeauftragten bestellt werden. Dies gilt ausnahmslos für den Inhaber
selbst, den Vorstand, den Geschäftsführer oder sonstigen gesetzlichen oder verfas-
sungsmäßig berufenen Leiter.
5.4. Die Bestellung des Datenschutzbeauftragten:
Die Bestellung des Datenschutzbeauftragten muss schriftlich erfolgen, wobei auch
Aufgaben und organisatorische Stellung zu konkretisieren sind. Die Bestellung kann
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 27
nur widerrufen werden, wenn die Aufsichtsbehörde dies verlangt, oder ein wichtiger
Grund im Sinne des § 626 BGB vorliegt. Neben dieser Einschränkung des Widerrufs
genießt der in einem Arbeitsverhältnis beschäftigte Datenschutzbeauftragte einen
besonderen Kündigungsschutz gemäß § 4f Abs. 3 BDSG. Dieser Kündigungsschutz gilt
jedoch nur für pflichtgemäße Datenschutzbeauftragte, also nicht für den Fall, dass
ein Kleinbetrieb freiwillig einen Datenschutzbeauftragten bestellt.
Weiterhin hat der Datenschutzbeauftragte als unabhängige Stelle eine Verschwie-
genheitsverpflichtung. Dies bedeutet, dass der DSB berechtigt und verpflichtet ist,
über die Identität eines Betroffenen, Stillschweigen zu bewahren. Regelmäßig wer-
den sich Betroffene mit einer Beschwerde oder Anfrage an den Datenschutzbeauf-
tragten wenden. Dies bedingt selbstverständlich, dass der Datenschutzbeauftragte
ebenfalls auf das Datengeheimnis zu verpflichten ist.
Als innerbetriebliche Konsequenz besteht ein Verbot der Benachteiligung des Beauf-
tragten für den Datenschutz. Der Arbeitgeber hat den Datenschutzbeauftragten
weiterhin zu unterstützen. Der Erfolg des Beauftragten für den Datenschutz beruht
wesentlich darauf, dass die Leitung der verantwortlichen Stelle seine Aufgaben
grundsätzlich bejaht und ihn bei deren Erfüllung unterstützt. Dies bedeutet neben
den erforderlichen Fortbildungsveranstaltungen, selbstverständlich auch den Um-
stand, dass dem Datenschutzbeauftragten die erforderliche Zeit zur Wahrnehmung
der Tätigkeit eingeräumt wird, d.h., dass er von anderen Aufgaben entlastet wird.
Bei mehreren Filialen kann eine Person für alle Filialen beauftragt werden. Ein
Exemplar der Bestellungsurkunde muss in jeder Filiale vorliegen, eines erhält der DSB
für seine Unterlagen. Seine Aufgaben sind unter anderem die Überwachung der
ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme und die Schu-
lung der Mitarbeiter bezüglich des Datenschutzes. Die Schulung sollte er dokumentie-
ren und fehlende Mitarbeiter nachschulen.
6. Das Verfahrensverzeichnis:
Die Grundlage für das Führen von Verfahrensverzeichnissen liegt im BDSG, genauer in
§ 4g Abs. 2 BDSG. Dem Beauftragten für den Datenschutz ist von der verantwortli-
chen Stelle, der Apotheke, eine Übersicht über die in § 4e Satz 1 genannten Anga-
ben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Der Beauftrag-
te für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag
jedermann in geeigneter Weise verfügbar. Ein solches Verfahrensverzeichnis kann
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 28
beispielsweise im Internet veröffentlicht werden. Auf diese Art und Weise signalisiert
eine Apotheke, dass das Thema Datenschutz ernst genommen wird und die gesetzli-
chen Verpflichtungen eingehalten werden. In dem öffentlichen Verfahrensverzeich-
nis ist unter anderem die Zweckbestimmung der Datenerhebung, Datenverarbeitung
oder Datennutzung zu beschreiben. Darüber hinaus sind die betroffenen Personen-
gruppen zu benennen, deren personenbezogene Daten erhoben, verarbeitet und
genutzt werden. Weiterhin sind die Datenkategorien anzugeben, die Gegenstand
der Datennutzung sind.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 29
6.1. Internes Verfahrensverzeichnis
Der erste Satz enthält zwei Informationen zu dem sog. internen Verfahrensverzeichnis:
1. Es ist von der verantwortlichen Stelle zur Verfügung zu stellen.
Dies bedeutet eigentlich, dass entweder der/die Leiter/in – z.B. ein Apotheker/in –
einer rechtlich selbstständigen Einheit, die personenbezogene Daten erhebt, verar-
beitet oder nutzt, diese Übersicht erstellt, oder diese Aufgabe delegiert – z.B. an ei-
nen IT-Leiter. Manchmal bleibt dem bDSB nichts anderes übrig, als die Übersicht ein-
mal selbst zu erstellen und nur den erforderlichen Input von den jeweiligen Fachver-
antwortlichen einzuholen. Trotz dieses in der Praxis häufig anzutreffenden Umgangs
mit dem Thema, sollte betont werden, dass es nach dem Wortlaut des BDSG nicht
dem bDSB obliegt, selbst diese „Übersicht“ zu erstellen; sie ist ihm vielmehr unaufge-
fordert bereitzustellen.
2. Es hat die Angaben aus § 4e Satz 1 BDSG sowie über zugriffsberechtigte Personen
zu enthalten.
Nun gut, dies sind zumindest klare Anforderungen und Punkte, die man mit entspre-
chendem Know-how und ein wenig Geduld abarbeiten kann. Das Gesetz definiert
den Begriff des Verfahrens nicht. Mit dem Begriff soll sichergestellt werden, dass nicht
einzelne Verarbeitungsvorgänge, d. h. das Erheben oder Übermitteln bestimmter Da-
ten, sondern einer bestimmten Zweckbestimmung dienende „Verarbeitungspakete“
(…) erfasst und bewertet werden. Beispiele sind Mitglieder- oder Personalverwaltung,
Telefondatenerfassung, Videoüberwachung, Kundenbetreuung (…)
Auch hier hat sich in der Praxis gezeigt, dass selbst in mittelständigen Unternehmen
eine ganze Reihe dieser Verfahren zum Einsatz kommen. Hier offenbart sich der erste
der drei Vorteile von Verfahrensverzeichnissen: Man kann sich damit im wahrsten Sin-
ne des Wortes eine Übersicht über die laufenden Verarbeitungen von personenbe-
zogenen Daten verschaffen. Während die Verfahrensübersicht zur Orientierung
reicht, sollte dennoch ergänzend ein komplettes Verzeichnis erstellt werden, in dem
die erforderlichen Angaben zu den jeweiligen Verfahren detailliert aufgelistet wer-
den. Nur dort, wo sinnvoll zusammengefasst werden kann, sollte dies auch gesche-
hen, z.B. bei den Angaben zu § 4e Nr. 1, 2 und 3 sowie bei einigen Angaben zu Nr. 9.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 30
6.2. Öffentliches Verfahrensverzeichnis
Im Gesetz brauchen Sie nach diesem Begriff nicht zu suchen – der Begriff hat sich
unabhängig davon eingebürgert. Ausgangspunkt ist der o.g. § 4g Abs. 2 Satz 2
BDSG. Auch hier sind wieder zwei Informationen enthalten:
1. Es enhält die Angaben nach § 4e Satz 1 Nr. 1 bis 8
Was im Gegensatz zum internen Verzeichnis fehlt, sind also die allgemeinen Be-
schreibungen der technischen und organisatorischen Maßnahmen und der zugriffs-
berechtigten Personen. Dies ist nicht nur sinnvoll sondern auch erforderlich, denn die-
se Information sollte auf jeden Fall innerhalb einer organisatorischen Einheit bleiben.
2. Die Übersicht ist jedermann auf Antrag verfügbar zu machen
“Jedermann” bedeutet genau das – damit sind auch Sie gemeint. Machen Sie die
Probe aufs Exempel und beantragen Sie ein solches Verzeichnis beim Online-
Versender etc. Ihrer Wahl. Sie dürfen uns gerne von Ihren Erfahrungen berichten…
Beim öffentlichen Verfahrensverzeichnis zeigt sich, dass zumindest ein guter bDSB die-
ses sehr wohl in der eingangs erwähnten Schublade haben sollte – der zweite Vorteil
eines Verfahrensverzeichnisses. Hier reicht wiederum eine Übersicht – eine detaillierte
Auflistung muss nicht sein, es sollte aber zusammengefasst alle Verfahren beinhalten.
Zum Schluss…
Bleibt noch der dritte Vorteil:
Bei einer Prüfung durch die zuständige Aufsichtsbehörde für den Datenschutz sind
regelmäßig beide Verfahrensverzeichnisse vorzulegen.
Bleiben die Nachteile:
Es ist ein nicht zu unterschätzender bürokratischer Aufwand, die Verzeichnisse sowohl
zu erstellen wie zu pflegen. In der Praxis ist dies manchmal kaum zu schaffen und
geht in der täglichen Arbeit oft unter. Doch überlegen Sie selbst, angesichts der be-
schriebenen Vorteile, ob es sich nicht lohnt, auch hierfür Ressourcen bereitzustellen –
vielleicht auch unter Zuhilfenahme eines externen Beraters?
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 31
7. Rechte des Betroffenen:
Was passiert, wenn bei Datenschutzverstößen Betroffene Schadenersatz fordern?
Diese Ansprüche treffen zunächst die Apotheke. Ein entsprechender Versicherungs-
schutz ist daher wichtig. Die Apotheke hat aber die Möglichkeit des Rückgriffs gegen
den Verursacher, wobei zwischen internen und externen DSB zu unterscheiden ist.
Schon im eigenen Interesse sollte der DSB ständig seine ordnungsgemäße Aufga-
benerfüllung belegen können, zum Beispiel indem er seine Tätigkeiten dokumentiert
und regelmäßig an Fortbildungen teilnimmt.
Datenzugriff auf Kundendaten durch Hacker, Verlust von transportablen Datenträ-
gern oder Falschversendung einer E-Mail mit Kundendaten: Solche Datenpannen in
der Apotheke erfordern Handlungsbedarf, denn das BDSG sieht bei schwerwiegen-
den Datenpannen Informationspflichten vor. Die Aufsichtsbehörde ist unverzüglich
offiziell zu informieren. Auch der Betroffene muss unterrichtet werden.
Verspätete, unzureichende oder unterlassene Meldungen können sehr teuer werden.
Leichte Verstöße gegen den Datenschutz werden mit Bußgeldern bis zu 50 000 Euro
geahndet, schwere mit bis zu 300 000 Euro. Zur letztgenannten Gruppe gehört zum
Beispiel die unterbliebene Information der Aufsichtsbehörde bei einer schweren Da-
tenpanne. Mitarbeiter müssen bei Verstößen gegen den Datenschutz mit arbeits-
rechtlichen Konsequenzen rechnen, etwa Abmahnung oder Kündigung.
Die Aufsichtsbehörden kontrollieren den Datenschutz – meistens anlassbezogen, zum
Beispiel nach Beschwerden von Kunden, aber auch stichprobenweise. Bei einer Kon-
trolle ist die Apotheke verpflichtet, unverzüglich Auskunft zu erteilen. Fehlverhalten
kann teuer werden. Anordnung von Maßnahmen, Abberufung eines DSB, Zwangs-
geld: Die Aufsichtsbehörde hat verschiedene Möglichkeiten, datenschutzrechtliche
Belange durchzusetzen. Sie hat aber auch die Aufgabe, die Apotheken bei Fragen
zur Umsetzung des Datenschutzes zu beraten und zu unterstützen.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 32
III. Regeln/Gebote des Datenschutzes/Sieben
goldene Regeln des Datenschutzes:
1. Rechtmäßigkeit
Für die Erhebung, Speicherung und Verarbeitung personenbezogener Daten benöti-
gen Sie entweder eine Norm, oder aber eine Einwilligung. Gemäß § 1 Abs. 3 BDSG ist
das Bundesdatenschutzgesetz gegenüber eventuell einschlägigen Spezialgesetzen
subsidiär anwendbar. Infolgedessen bietet es sich an, zunächst spezialgesetzliche
Normen auf ihre Anwendbarkeit hin zu überprüfen. Sollten die Spezialgesetze keine
Norm bereithalten, ist das Bundesdatenschutzgesetz zu prüfen. Rechtmäßigkeit liegt
immer dann vor, wenn also ein Gesetz einschlägig ist, oder aber eine Einwilligung
vorliegt.
2. Einwilligung
Aus dem Grundrecht der informationellen Selbstbestimmung resultiert ein generelles
Verbot der Datenerhebung. Es ist demnach verboten, was nicht ausdrücklich erlaubt
wurde. Das bedeutet, im Bundesdatenschutzgesetz gilt als allgemeiner Grundsatz
der des Verbots mit Erlaubnisvorbehalt zur Erhebung, Verarbeitung und Nutzung per-
sonenbezogener Daten. Daten dürfen damit nicht erhoben, verarbeitet oder genutzt
werden, außer der Betroffene hat dazu ausdrücklich seine Einwilligung erklärt oder
das BDSG bzw. eine andere gesetzliche Vorschrift rechtfertigt den Vorgang gemäß §
4 Abs. 1 BDSG. Im Übrigen muss der Betroffene für seine Einwilligung ausreichend in-
formiert werden und diese Einwilligung in die Datenverarbeitung freiwillig und schrift-
lich erteilen. So ist der Betroffene über Dinge wie den Zweck der Erhebung oder die
Nutzung seiner personenbezogenen Daten aufzuklären. Besondere Vorsicht ist bei
der Verarbeitung ganz spezieller Arten personenbezogener Daten geboten. Dazu
zählen Angaben zur
rassischen und ethnischen Herkunft,
politischen Meinung, religiösen oder philosophischen Überzeugung,
Gewerkschaftszugehörigkeit,
Gesundheit oder
Sexualleben
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 33
Hier muss sich die Einwilligung nach § 3 Abs. 9 BDSG ausdrücklich auf diese Daten
beziehen. Die Rechtsgrundlage für nicht-öffentliche Stellen zu Datenerhebung finden
sich in den §§ 27 ff. BDSG. Für Unternehmen spielt vor allem der § 28 BDSG eine wich-
tige Rolle. Dieser erlaubt das Erheben, Speichern, Verändern oder Übermitteln perso-
nenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäfts-
zwecke,
1. wenn es für die Begründung, oder der Beendigung eines rechtsgeschäftli
chen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen
erforderlich ist,
2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle er
forderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige
Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung
überwiegt oder,
3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie
veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Be
troffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem
berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.
3. Zweckbindung
Werden personenbezogene Daten erhoben, verarbeitet, gespeichert oder genutzt,
so unterliegen öffentliche, wie nicht-öffentliche Stellen dem Zweckbindungsgrund-
satz nach §§ 14, 28, 29 BDSG. Es ist daher sicherzustellen, dass die Daten tatsächlich
nur dem Zweck einer eindeutigen, vorher konkret festgelegten Verwendungen die-
nen. Dieser konkrete Zweck der Verwendung ist der betroffenen Personen mitzutei-
len. Sollen diese Daten für einen weiteren Zweck genutzt werden, muss eine erneute
Einwilligung der betroffenen Person eingeholt werden.
Beispielsweise muss im Rahmen einer Kundenkarte der Apothekenkunde auf den
Zweck der Antragstellung hingewiesen werden. Sollten die Daten daraufhin an ein
Pharma-Unternehmen weitergeleitet werden und schickt dieses Pharma-
Unternehmen z.B. eine Tüte Bonbons an den jeweiligen Kunden, liegt ein daten-
schutzrechtlicher Verstoß vor. Die Erhebung der personenbezogenen Daten war vom
ursprünglichen Zwecke nicht umfasst. Dem Kunden war nicht ersichtlich, dass mit sei-
nen persönlichen Daten Drittunternehmen werben würden.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 34
Ausnahmsweise kommt eine Verwendung der Personaldaten für andere Zwecke
dann infrage, wenn:
dabei z.B. die Wahrung berechtigter Interessen der verantwortlichen Stelle im
Vordergrund steht,
die Daten allgemein zugänglich sind oder veröffentlicht werden dürfen,
wissenschaftliche Zwecke damit verknüpft werden, oder
zur Werbung oder zu Mark-oder Meinungsforschung bei listenmäßige
Übermittlung.
4. Erforderlichkeit
Nach § 3a BDSG gehört zum Schutz personenbezogener Daten das Prinzip der so
genannten Datensparsamkeit, bzw. Datenvermeidung. Informationen zu einer kon-
kreten, natürlichen Person dürfen demnach nur in dem Umfang erhoben werden,
der für den Zweck von Nutzen sind. Die Folge daraus ist klar: Sind die Personendaten
nicht unmittelbar erforderlich, dürfen sie nicht erhoben werden und müssen gelöscht
oder zumindest gesperrt werden. Es sollten nur so viele Daten benötigt, aber so we-
nige wie möglich erhoben werden.
Unter Bezugnahme auf die bereits erwähnten Kompressionsstrümpfe, ist regelmäßig
die Adresse und der Name des Kunden zu speichern. Zusätzliche Daten wie das Alter,
das Geburtsdatum und der Familienstand sind nicht erforderlich. Die Erhebung und
Speicherung dieser Daten stellt sich wiederum als ein datenschutzrechtlicher Verstoß
dar.
Zudem sind personenbezogene Daten zu anonymisieren oder zu Pseudonymisieren,
soweit dies nach dem Verwendungszweck möglich ist und dies keinen im Verhältnis
zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand darstellt. Gesetzt
den Fall Sie lassen intern Statistiken über den Bezug des Arzneimittels Viagra anferti-
gen, sollten die Daten anonymisiert werden.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 35
5. Transparenz
Ein weiteres wichtiges Prinzip des Datenschutzes ist die Transparenz. Erhebt, verarbei-
tet oder nutzt ein Unternehmen, oder aber eine Apotheke personenbezogene Da-
ten, muss damit transparent gearbeitet werden. Transparent bedeutet, das Unter-
nehmen, oder aber die Apotheke muss bei der Datenerhebung mit seinem eigenen
Namen auftreten, so dass sie für ihre Tätigkeit im Zweifel auch zur Verantwortung ge-
zogen werden kann. Besonders wichtig ist dabei, die Erhebung und Verarbeitung
von personenbezogenen Daten zu Kontrollzwecken zu dokumentieren.
6. Datensicherheit:
Personenbezogene Daten unterliegen bei ihrer Verarbeitung einem Mindestmaß an
Sicherheitsvorkehrungen. Das Bundesdatenschutzgesetz fordert dazu in § 9 BDSG
und in der Anlage zu § 9 BDSG konkrete Schutzmaßnahmen. Demnach sind die Da-
ten vor allem vor Verlust, unerlaubter Kenntnisnahme oder Verfälschung zu schützen.
6.1. Technische und organisatorische Maßnahmen:
Die acht Gebote
In einer Anlage zum BDSG ist der gesetzliche Maßstab zur technisch-
organisatorischen Umsetzung des Datenschutzes nachzulesen. Die acht Gebote des
Datenschutzes lauten:
Zutrittskontrolle,
Zugangskontrolle,
Zugriffskontrolle,
Weitergabekontrolle,
Eingabekontrolle,
Auftragskontrolle,
Verfügbarkeitskontrolle und
Trennungskontrolle.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 36
Apotheken sind dadurch aufgefordert, konkrete Schutzmaßnahmen zu ergreifen.
Apotheken, die selbst oder im Auftrag anderer personenbezogene Daten erheben,
verarbeiten oder nutzen, müssen technische und organisatorische Maßnahmen tref-
fen, um die Daten wirksam zu schützen.
Zutrittskontrolle:
Nur befugte Personen dürfen Zutritt zu den Datenverarbeitungsanlagen haben. Die
Zutrittskontrolle verlangt, Unbefugten den „körperlichen“ Zutritt zu Datenverarbei-
tungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verweh-
ren.
Zugangskontrolle:
Unbefugte dürfen keine Möglichkeit haben, die Datenverarbeitungsanlagen zu nut-
zen. Gemeint ist hiermit im Gegensatz zur Zutrittskontrolle das Eindringen in das EDV-
System selbst seitens unbefugter (externer) Personen, während die nachfolgend ge-
regelte Zugriffskontrolle die Tätigkeit innerhalb des EDV-Systems durch einen grund-
sätzlich Berechtigten außerhalb seiner Berechtigung umfasst.
Zugriffskontrolle:
Personen, die zur Benutzung der Datenverarbeitungsanlagen berechtigt sind, dürfen
nur auf solche Daten zugreifen können, die ihrer jeweiligen Zugriffsberechtigung un-
terliegen. Zusätzlich darf es nicht möglich sein, dass personenbezogene Daten nach
dem Speichern unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Weitergabekontrolle:
Personenbezogene Daten dürfen während der elektronischen Übertragung oder
während eines Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt
werden können. Dies muss nachvollziehbar und überprüfbar sein, an welchen Stellen
Daten übermittelt werden.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 37
Eingabekontrolle:
Es muss nachträglich überprüft werden können, von wem personenbezogene Daten
eingegeben, verändert oder entfernt wurden.
Auftragskontrolle:
Werden personenbezogene Daten im Auftrag von Dritten verarbeitet, darf dies nur
den Anweisungen des Auftraggebers folgend geschehen.
Verfügbarkeitskontrolle:
Die Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein und meint
damit z.B. Wasserschäden, Brand, Blitzschlag, Stromausfall. Beispiele für Sicherungs-
maßnahmen sind: Auslagerung von Sicherungskopien, Notstromaggregate, unter-
brechungsfreie Stromversorgung, Katastrophenplan, etc.
Trennungsgebot/Getrennte Verarbeitung:
Zu unterschiedlichen Zwecken erhobene Daten müssen grundsätzlich auch getrennt
verarbeitet werden können.
Diese Maßnahmen werden üblicherweise von dem Datenschutzbeauftragten des
Unternehmens sichergestellt und überwacht. Bei Unternehmen, die nicht verpflichtet
sind, Datenschutzbeauftragte zu bestellen, muss die verantwortliche Stelle sicherstel-
len, dass diese Anforderungen erfüllt werden. Falls automatisierte Verarbeitungen zur
Anwendung kommen, die eine Vorabkontrolle nötig machen, ist die Bestellung von
Datenschutzbeauftragten stets Pflicht.
Selbstverständlich sind beispielsweise das Verschließen der Apothekenräume, eine
festgelegte Schlüsselregelung für das Personal und regelmäßige Datensicherungen.
Aber auch eine Benutzerkennung mit Passwortsicherung, die Beschränkung der Ad-
ministrator- und Userrechte auf das zwingend Erforderliche und klare Regeln für die
Mitarbeiter, an wen Daten weitergegeben werden dürfen, sind hier zu bedenken.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 38
6.2. Pflichten bei unerlaubter Datenweitergabe:
Apotheken, die feststellen, dass gespeicherte Daten unrechtmäßig an Dritte weiter-
gegeben wurden und dadurch die Rechte und schutzwürdigen Interessen der Be-
troffenen schwer beeinträchtigt werden, sind verpflichtet, dies unverzüglich sowohl
dem Betroffenen, als auch dem Landesbeauftragten für den Datenschutz zu melden
gemäß § 42a BDSG.
Das betrifft:
Besondere Arten personenbezogener Daten (Angaben über rassische oder
ethnische Herkunft, politische Meinungen, religiöse oder philosophische Über
zeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben),
personenbezogenen Daten, die einem Berufsgeheimnis unterliegen,
personenbezogene Daten, die sich auf strafbare Handlungen oder Ord
nungswidrigkeiten oder den Verdacht darauf beziehen, und
personenbezogene Daten bezüglich Bank-oder Kreditkartenkonten.
Der Betroffene muss darüber informiert werden, auf welche Art die Daten unrecht-
mäßig zugänglich geworden sind und welche Maßnahmen er treffen kann, um ne-
gative Folgen abzuwenden. Zudem ist dem Landesbeauftragten für Datenschutz
mitzuteilen, welche negativen Folgen mit dem Bekanntwerden der Daten verbunden
sein können und welche Maßnahmen durch das Unternehmen getroffen wurden,
um dem entgegenzuwirken. Falls die Benachrichtigung der Betroffenen einen unver-
hältnismäßigen Aufwand darstellt (z.B. aufgrund der Vielzahl der Betroffenen), muss
das Unternehmen stattdessen die Öffentlichkeit per Anzeigen informieren. Diese An-
zeige muss mindestens halbseitig sein und in mindestens zwei bundesweit aufgeleg-
ten Tageszeitungen erscheinen, bzw. auf eine vergleichbare acht und Weise veröf-
fentlicht werden.
6.3. Datenschutz bei der Datenträgervernichtung:
Auch das Löschen personenbezogener Daten, bzw. das vernichten elektronisch oder
mechanisch lesbarer Datenträger (z.B. CD-ROMs, Festplatten, Akten) ist eine Form
der Verarbeitung im Sinne des Bundesdatenschutzgesetzes und muss nach bestimm-
ten Vorschriften erfolgen. Werden Daten im eigenen Unternehmen gelöscht oder
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 39
Datenträger vernichtet, muss das Unternehmen bzw. die dort verantwortliche Stelle
sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz
der Daten umgesetzt werden. Wird ein auf Datenvernichtung spezialisiertes gewerb-
liches Drittunternehmen mit der Löschung oder Datenträgervernichtung beauftragt,
muss der Auftrag schriftlich erfolgen und muss folgende Angaben enthalten gemäß
§§ 9, 11 BDSG:
Welcher Art die Daten oder Datenträger sind und wie die Schutzbedürftigkeit der
Daten eingestuft wird,
auf welche Weise die Vernichtung erfolgen muss,
wo die Datenträger vernichtet werden,
von wem die Datenträger abgeholt und wie sie transportiert werden,
wo die Datenträger bis zur Vernichtung aufbewahrt werden,
bis wann die Datenträger vernichtet sein müssen,
Ob der Auftragnehmer andere Unternehmen bei der Vernichtung einschalten
darf und
dass das Unternehmen als Auftraggeber berechtigt ist, Transport und Vernich
tung zu überwachen.
Als Auftraggeber muss sich die Apotheke, bzw. der Datenschutzbeauftragte oder die
sonst verantwortliche Stelle davon überzeugen, dass der Auftragnehmer die im Ver-
trag festgehaltenen Maßnahmen einhält. Dies gilt auch, wenn regelmäßig das glei-
che Unternehmen mit der Datenvernichtung betraut wird. Es ist in diesem Fall stich-
probenartig die Einhaltung der Maßnahmen zu überprüfen. Bis zum Abschluss der
Vernichtung der Datenträger ist ausschließlich der Auftraggeber, also die Apotheke,
für die Einhaltung der Datenschutzanforderungen verantwortlich.
Verstößt die Apotheke gegen die vorstehend dargestellten Pflichten, drohen gemäß
§ 43 BDSG Bußgelder von bis zu 300.000 €. Dabei soll die Höhe des Bußgeldes den
Vorteil, den derjenige hatte, der seine datenschutzrechtlichen Pflichten verletzt hat,
übersteigen.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 40
7. Kontrolle / Rechte des Betroffenen
Die Rechte des Betroffenen sind bei der Datenerhebung für nicht-öffentliche Stellen
in §§ 33-35 BDSG geregelt.
7.1. Benachrichtigung und Auskunft:
Der Betroffene hat gegenüber dem Unternehmen, das Daten über ihn verarbeitet,
bei erstmaliger Speicherung seiner Daten das Recht, von der Datenerhebung in
Kenntnis gesetzt zu werden, wenn die Speicherung ohne sein Wissen erfolgte, § 33
Abs. 1 BDSG. Zudem ist der Betroffene gemäß § 33 Abs. 1 BDSG über die Art der Da-
ten, die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und die Identi-
tät der verantwortlichen Stelle zu unterrichten.
Der Betroffene kann weiter nach § 34 Abs. 1 BDSG Auskunft von der erhebenden
Stelle darüber verlangen, welche Daten von ihm gespeichert wurden, wo die Spei-
cherung stattgefunden hat, zu welchem Zweck die Daten erhoben oder verarbeitet
wurden, von wem die Daten erhoben wurden und wer der Empfänger seiner Daten
war.
Benachrichtigung und Auskunft sind Ausprägung des Transparenzgedankens. Auf
diese Rechte kann der Betroffene auch vertraglich nicht verzichten, sie sind unab-
dingbar.
Gegenläufige Formulierungen im Rahmen der Kundenkarte oder dergleichen sind
somit mit dem Bundesdatenschutzgesetz nicht vereinbar, rechtlich unwirksam und
somit am besten gar nicht zu verwenden.
7.2. Berichtigung, Löschung und Sperrung
Unrichtige personenbezogene Daten sind gemäß § 35 Abs. 1 BDSG zu berichtigen.
Die personenbezogenen Daten sind auf Verlangen des Betroffenen zu löschen. Zu-
dem sind personenbezogene Daten nach § 35 Abs. 2 BDSG zu löschen, wenn
ihre Speicherung unzulässig ist,
es sich um Daten über die rassische oder ethnische Herkunft, politische Mei-
nungen, religiöse oder philosophische Überzeugung, Gewerkschaftszugehö-
rigkeit, Gesundheit, Sexualleben, strafbare Handlungen oder Ordnungswidrig-
keiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht be-
wiesen werden kann,
sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung
des Zwecks der Speicherung nicht mehr erforderlich ist, oder
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 41
sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine
Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte
Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am
Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, dass der
erstmaligen Speicherung folgt, ergibt, dass eine länger währende Speiche-
rung nicht erforderlich ist.
An die Stelle der Löschung tritt gemäß § 35 Abs. 3 BDSG eine Sperrung, soweit
einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewah-
rungsfristen entgegenstehen,
Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige In-
teressen des Betroffenen beeinträchtigt würden, oder
eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit
unverhältnismäßig hohem Aufwand möglich ist.
Sperren von Daten bedeutet, dass die Daten in der entsprechenden Datei des ver-
arbeitenden Unternehmens verbleiben, jedoch doch einen so genannten Sperrver-
merk gekennzeichnet werden und somit für die weitere Verarbeitung und zugänglich
werden.
8. Was passiert bei einer Datenpanne:
§ 42a BDSG kodifiziert Informationspflichten bei unrechtmäßiger Kenntniserlangung
von Daten.
Stellt eine nicht-öffentliche Stelle fest, dass bei ihr gespeicherte
1. besondere Arten personenbezogener Daten (§ 3 Abs. 9),
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. personenbezogene Daten, die sich auf strafbare Handlungen und Ordnungs-
widrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrig-
keiten beziehen, oder
4. personenbezogene Daten zu Bank-oder Kreditkartenkonten
unrechtmäßig übermittelt, oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis
gelangt sind, und schwerwiegende Beeinträchtigungen für die Rechte und Interes-
sen der Betroffenen drohen, muss die Daten verarbeitende Stelle unverzüglich die
zuständige Aufsichtsbehörde, sowie den Betroffenen unterrichten. Die spezialgesetz-
liche Aufzählung ähnlicher Normen würde den Rahmen dieses Scripts sprengen.
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 42
8.1. Unrechtmäßige Übermittlung oder Kenntniserlangung in sonstiger Weise:
§ 42a BDSG setzt die Offenbarung der Daten an einen Dritten voraus. Dies kann
durch Übermittlung, oder Kenntniserlangung auf sonstige Weise geschehen. Un-
rechtmäßig ist die Übermittlung, wenn Sie nicht auf einem Erlaubnistatbestand der
Einwilligung nach § 4a BDSG, oder etwa den §§ 28 ff. BDSG beruht. Anwendungsfälle
sind etwa der Datendiebstahl auf Serversystemen, oder der irrtümliche Versand per-
sonenbezogener Informationen an eine falsche Adresse. Typisch ist dafür die Ver-
sendung einer E-Mail an den falschen Empfänger. Mitarbeiter der verantwortlichen
Stelle und Auftragsdatenverarbeitung sind grundsätzlich nicht als Dritte anzusehen.
Verwendet ein Mitarbeiter jedoch Informationen seines Arbeitgebers missbräuchlich
zu privaten Zwecken, handelt er insofern jedoch nicht mehr als Teil der verantwortli-
chen Stelle. Ein datenschutzrechtlicher Verstoß ist gegeben.
8.2. Wann muss ich informieren:
§ 42a S. 1 BDSG spricht davon, dass die Kenntniserlangung von der Daten verarbei-
tenden Stelle festgestellt worden sein muss. Gleichwohl wird die Vorschrift dahinge-
hend verstanden, dass bereits eine hohe Wahrscheinlichkeit der Kenntnisnahme
durch Dritte genügt. Dies entspricht dem Schutzzweck des Bundesdatenschutzgeset-
zes, den Betroffenen vor einem möglichen Datenmissbrauch zu warnen.
LIEB.Rechtsanwälte raten:
„Im Falle geschickter Angreifer, die ihre Spuren auf dem datenverarbeitenden Sys-
tem weitgehend verwischen, sollte proaktiv gehandelt werden. Es ist besser, den Be-
troffenen und die Aufsichtsbehörde, bereits bei der Möglichkeit eines Datenschutz-
verstoßes zu involvierten, als abzuwarten und Zeit vergehen zu lassen.“
Die Feststellung, dass sich eine Datenpanne ereignet hat, muss nicht zwingend vom
Apothekeninhaber getroffen werden. Insoweit bedarf es der Installation eines geeig-
neten Verfahrens, um die betriebsinterne Kommunikation zu gewährleisten.
8.3. Drohen schwerwiegende Beeinträchtigungen:
Die Bedrohungslage ist anhand objektiver Kriterien zu bewerten. Ein allzu strenger
Maßstab sollte hierbei nicht angelegt werden. Je größer der potentielle Schaden
ausfallen könnte, desto geringer sollten die Anforderungen an die Eintrittswahrschein-
lichkeit veranschlagt werden. Das nachfolgende Schema dürfte Ihnen dabei eine
geeignete Hilfestellung bieten:
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 43
Indizien zur Gefahrenprognose:
Auf Seiten der Betroffenen sind zu berücksichtigen:
o Übermittelte Datenkategorie(n)
o abstraktes Missbrauchsrisiko:
o Risiko materieller Schäden
o Risiko des Identitätsbetruges
o Risiko soziale Nachteile
o Gefahr von Erpressbarkeit, Bloßstellung, Rufschädigung
Auf Seiten der Empfänger sind zu berücksichtigen:
o Zahl der Empfänger
o konkretes Missbrauchsrisiko, z.B.
o handelt es sich um einen vorsätzlichen Angriff durch Dritte oder eine
unachtsamen Herausgabe durch die datenverarbeitende Stelle?
o Hat der Empfänger selbst auf das Datenleck aufmerksam gemacht?
o Ist die datenverarbeitende Stelle ein allgemein lohnendes Ziel für Angrif-
fe?
o Risiko der Weitergabe und/oder Veröffentlichung.
8.4. Art und Weise der Information:
Nachrichtenempfänger ist die zuständige Aufsichtsbehörde, wie auch der Betroffe-
ne selbst.
Die Benachrichtigung hat dabei unverzüglich zu erfolgen. Dies bedeutet jedoch
nicht, dass sofort übermittelt werden muss. Die Daten verarbeitende Stelle hat zu-
nächst ausreichend Zeit beispielsweise dem Betroffenen Handlungsempfehlungen zu
erteilen, um sich gegen den Missbrauch seiner Daten zu schützen.
Gemäß § 42a S. 3 BDSG muss die Benachrichtigung der Betroffenen eine Darlegung
der Art der unrechtmäßigen Kenntniserlangung, sowie Empfehlungen für Maßnah-
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 44
men zur Minderung möglicher nachteiliger Folgen enthalten. Die Betroffenen sollen
letztendlich erkennen können, was die Ursache für das Datenleck war und wer hierfür
verantwortlich ist. Es genügt also z.B. die Angabe, dass ein Datendiebstahl, ein Angriff
auf das IT System, oder eine irrtümliche Übermittlung stattgefunden hat. Ins Detail
müssen Sie hierzu nicht gehen. Gerade im Hinblick auf eventuelle Nachahmer reicht
das dargelegte Vorgehen aus.
Die Benachrichtigung der zuständigen Aufsichtsbehörde muss gemäß § 42a S. 4
BDSG zunächst alle Informationen enthalten, die dem Betroffenen mitgeteilt werden.
Zudem ist eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kennt-
niserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen anzufügen.
Eine bestimmte Form wird vom Gesetz nicht gefordert. Freilich empfiehlt sich regel-
mäßig zumindest die Textform, eine telefonische Mitteilung ist ebenfalls möglich. So-
weit die individuelle Benachrichtigung einen unverhältnismäßigen Aufwand erfor-
dern würde, genügt auch die Information der Öffentlichkeit. Die öffentliche Informa-
tion wird nach Vorstellung des Gesetzgebers sichergestellt durch Anzeigen mindes-
tens zwei bundesweit erscheinenden Tageszeitungen, welche jeweils mindestens ei-
ne halbe Seite umfassen müssen. Die Kosten für eine solche Maßnahme belaufen
sich auf ca. 25.000-30.000 €. Wenn der Kreis der Betroffenen entsprechen lokal ange-
siedelt ist, kann dies auch durch elektronische Medien, oder regionale Zeitungen er-
folgen.
8.5. Haftung und Schadensersatz:
Wenn die Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig ge-
macht wird, stellt dies eine Ordnungswidrigkeit gemäß § 43 Abs. 2 Nr. 7 BDSG dar. Der
Verstoß kann mit einer Geldbuße bis zu 300.000 € geahndet werden.
Weiterhin kann der Betroffene gemäß § 7 BDSG und gemäß § 823 BGB Ihnen gegen-
über Schadensersatzansprüche geltend machen. Freilich hängt dies jedoch von
dem Vorliegen einer konkreten Schadensposition bei dem Betroffenen ab.
9. Handlungsempfehlungen:
I. Formulierung von internen Richtlinien für den Fall einer Datenpanne
Definition von Datenpannen
Identifizierung der zuständigen Aufsichtsbehörde
Festlegung von Data-Breach-Notification-Verantwortlichen (wer entscheidet,
ob sich eine Datenpanne im Rechtssinne ereignet hat, muss hinreichend ge-
schützt sein) und weiteren Ansprechpartnern
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 45
gegebenenfalls Schaffung eines Krisenteams
Unterrichtung sämtlicher Mitarbeiter
II. Implementierung eines geeigneten Security Incident Response Systems
Monitoring der IT-Systeme auf sicherheitsrelevante Zugriffe
Bestimmung von Art und Umfang des Datenlecks
Beseitigung von Datenlecks und Sicherheitsrisiken
Sicherstellung Computer forensischer Analyse
III. Implementierung eines geeigneten Data Breach Notification Management Sys-
tems:
Festlegung von Kommunikationswegen
Kooperation verschiedener Untergliederungen
Informationsaustausch mit Auftragsdatenverarbeitung
rechtzeitige Benachrichtigung der Entscheidungsträger
Vorbereitung von Musterbenachrichtigungen
IV. Kontakt zu Aufsichtsbehörde:
Erörterung von Zweifelsfällen schon vor offizieller Meldung
Beachtung behördlicher Hinweise, sofern vorhanden
Vermeidung befindlicher Benachrichtigungsanordnungen nach § 38 Abs. 5 S.
1 BDSG
V. Kontakt zur Strafverfolgungsbehörde:
Erstattung einer Strafanzeige/gegebenenfalls Stellen eines Strafantrages
Abstimmung, ob Betroffenen Mitteilung die Ermittlungen gefährden könnte
10. Checkliste des Data-Breach-Notification-Verantwortlichen:
Vorliegen einer Datenpanne:
Wann und wo ist die Datenpanne aufgetreten?
Wie sind die Daten abhandengekommen?
Sind Daten im Sinne des § 42a S. 1 Nr. 1-4 BDSG betroffen?
Wie viele Datensätze sind (ungefähr) betroffen?
Ist der Empfänger der Daten bekannt?
Besteht das Risiko eines Datenmissbrauchs?
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 46
Drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwür-
digen Interessen der Betroffenen?
Weiteres Vorgehen:
Welche Maßnahmen zur Sicherung der Daten wurden ergriffen?
Kann der Missbrauch noch verhindert werden oder dessen Folgen einge-
dämmt werden?
Gefährde die Mitteilung an den Betroffenen laufende Ermittlungen?
Welche Abteilungen sind zu informieren und einzubinden?
Welche Datenschutzaufsichtsbehörde zuständig?
Ist Strafantrag zu stellen/Strafanzeige zu erstatten?
Bestehen Anzeigenkontakte mit bundesweit erscheinenden Tageszeitungen?
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 47
11. Muster:
Mitarbeiterrichtlinie zum Umgang mit Daten von der nach § 42a BDSG
In unserer Apotheke Werden personenbezogene Daten verarbeitet. Diese bedürfen
des besonderen Schutzes. Im Falle einer Datenpanne ist unserer Apotheke verpflich-
tet, die Betroffenen und die zuständige Datenschutzaufsichtsbehörde zu informieren.
Ziel der Regelung ist unter anderem, bei Datenverlusten Folgeschäden für den Be-
troffenen in Form von finanziellen Einbußen unter sozialen Nachteilen zu vermeiden.
Personenbezogene Daten sind alle Einzelangaben über persönliche oder sachliche
Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1
BDSG).
Eine Datenpanne im Sinne des Bundesdatenschutzgesetzes liegt vor, wenn gesetzlich
näher bezeichnete sensible personenbezogene Informationen unrechtmäßig an Drit-
te weitergegeben werden oder Dritte sich diese Daten unrechtmäßig verschaffen.
Eine Datentanne liegt auf, wenn Geräte oder Speichermedien mit unverschlüsselt
Daten verloren gehen.
Sollten Sie bemerken oder den Verdacht haben, dass personenbezogene Daten
unrechtmäßig Dritten zugänglich gemacht wurden, sich Dritte solche Daten un-
rechtmäßig verschafft haben oder entsprechende Informationen abhandenge-
kommen sind, informieren Sie bitte umgehend
_______________________ (Zimmer/Durchwahl)
(Hinweis: Bitte ausfüllen. Als unternehmensinternen Adressaten der Meldung kommen
etwa in Betracht: Der Apotheker, der Datenschutzbeauftragte)
Aus dieser Meldung entstehen Ihnen als Mitarbeiter/in keinerlei berufliche oder per-
sönliche Nachteile. Die Namensangabe erfolgt freiwillig.
1. wann und wo ist die Datenpanne aufgetreten?
2. Beschreibung des konkreten Vorfalls
z.B. Verlust oder Diebstahl von Datenträgern, unrechtmäßige/irrtümliche Übermitt-
lung, unrechtmäßige Einsichtnahme durch einen Mitarbeiter, Angriff auf Computer-
systeme
3. welche Datenarten sind betroffen?
Angaben über rassische oder ethnische Herkunft
politische Meinungen
religiöse oder philosophische Überzeugungen
Gewerkschaftszugehörigkeit
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 48
Gesundheit
Sexualleben
Daten, die einem Berufsgeheimnis unterliegen
Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder ei-
nen Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen
sonstige/unbekannt
4. wie viele Datensätze sind (ungefähr betroffen?
5. besteht aus Ihrer Sicht das Risiko des Datenmissbrauchs?
Ja___ nein___
Wenn nein, warum?
6. drohen aus Ihrer Sicht schwerwiegende Beeinträchtigungen für die Rechte und
schutzwürdige Interessen der Betroffenen (z.B. Identität betrug, unberechtigte Abbu-
chungen, soziale Nachteile)?
Ja___ nein___
Wenn nein, warum?
7. sind Maßnahmen zur Sicherung der Daten ergriffen worden?
8. sonstige Mitteilungen:
Name (optional) Datum
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 49
12. Muster:
Apotheke X-Stadt
Öffentliches Verfahrensverzeichnis für Jedermann
Gemäß §4g BDSG hat der Beauftragte für Datenschutz auf Antrag Jedermann in geeigneter
Weise die in §4e BDSG festgelegten Angaben verfügbar zu machen. Dieser Verpflichtung
kommen wir hier nach und verzichten damit auf den individuellen Antrag Ihrerseits.
1. Name der Verantwortlichen Stelle
Apotheke X-Stadt
2. Inhaber / Leiter
Apotheker Max Mustermann
3. verantwortlicher Leiter der Datenverarbeitung
Apotheker Max Mustermann
4. Anschrift
Lange Str. 1
00000 X-Stadt
5. Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung
Die entsprechenden Daten werden erhoben, verarbeitet und genutzt zum Betrieb
einer Apotheke mit der Beschaffung, Bewertung und Abgabe von Waren und In-
formationen, sowie der Erbringung von Dienstleistungen und der Abrechnung von
Leistungen.
6. Beschreibung der betroffenen Personengruppen
Es werden im Wesentlichen zu folgenden Gruppen, soweit es sich um natürliche
Personen handelt, personenbezogene Daten erhoben, verarbeitet und genutzt:
- Kunden, potentielle Kunden, Interessenten
- Lieferanten
- Ärzte, Therapeuten
- Mitarbeiter, ehemalige Mitarbeiter, Bewerber
- Krankenkassen
- Dienstleistungserbringer
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 50
- Kommunikationspartner
- Kontaktpersonen zu den vorgenannten Gruppen
7. Beschreibung der Datenkategorien
Die Datenerhebung, -verarbeitung und -nutzung erfolgt zur Ausübung der oben
genannten Zwecke.
- Stamm-, Liefer-, Bewegungs-, Zahlungs-, Betreuungs- und Abrechnungsdaten
- Gesundheitsdaten
- Telefonverbindungen
- Daten von Dienstleistern
- Standortbestimmung der dienstlich genutzten Fahrzeuge
- Daten zur Erfüllung sozialversicherungsrechtlicher und sonstiger gesetzlicher Ver-
pflichtungen
8. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:
intern:
- Mitarbeiter
extern:
- Ärzte, Therapeuten, Krankenhäuser, Pflege- und Betreuungseinrichtungen
- EDV-Dienstleister, Rechenzentren
- Standesvertretungen
- Kreditinstitute
- Versicherungsgesellschaften
- Steuerberater
- öffentliche Stellen, die Daten aufgrund gesetzlicher Vorschriften erhalten, wie
z.B. Finanzbehörden und Sozialversicherungsträger
- externe Auftragsnehmer entsprechend §11 BDSG
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 51
9. Regelfristen für die Löschung der Daten
Der Gesetzgeber hat vielfältige Aufbewahrungspflichten und -fristen erlassen.
Nach Ablauf dieser Fristen werden die entsprechenden Daten routinemäßig ge-
löscht, sofern sie nicht mehr erforderlich sind. Sollten Daten hiervon nichtmehr er-
forderlich sein, werden sie gelöscht, sobald die unter Punkt 5 genannten Zwecke
weggefallen sind.
10. Geplante Datenübermittlung an Drittstaaten
Eine Übermittlung der Daten an Drittstaaten ist nicht geplant.
Kontakt zum Beauftragten für Datenschutz:
Datenschutzbeauftragte der Apotheke X-Stadt
c/o Frau Petra Mustermann
Lange Str. 1
00000 X-Stadt
E-Mail: [email protected]
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 52
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 53
13. Muster:
Verpflichtungserklärung
bezüglich des Bundesdatenschutzgesetzes
Ich, Frau/Herr……………………………………………………………………….…….wurde
darauf hingewiesen, dass es untersagt ist, personenbezogene Daten unbefugt zu
erheben, zu verarbeiten oder zu nutzen (Datengeheimnis, § 5 BDSG). Diese Verpflich-
tung besteht über die Beendigung meiner Tätigkeit hinaus.
Verstöße gegen das Datengeheimnis können nach §§ 43, 44 BDSG sowie anderen
einschlägigen Rechtsvorschriften (wie z. B. § 203 StGB, Verletzung von Privatgeheim-
nissen) mit einer Geldbuße
oder Geld- oder Freiheitsstrafe geahndet werden.
In der Verletzung des Datengeheimnisses kann zugleich eine Verletzung arbeitsrecht-
licher Schweigepflichten liegen. Eventuelle arbeitsrechtliche Maßnahmen werden
dadurch nicht ausgeschlossen.
Gleichzeitig wird hiermit bestätigt, eine Durchschrift dieser Verpflichtungserklärung
erhalten zu haben.
Ort, Datum…………….......………….. ……………………………………………………
(Unterschrift des/der Verpflichteten)
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 54
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 55
14. Muster: Benachrichtigung der Betroffenen
Information nach § 42a des Bundesdatenschutzgesetzes
Sehr geehrter…
Am (…)/Im Zeitraum von (…) bis (…) Sind ihre bei uns gespeicherten personenbezo-
genen Daten dritten unrechtmäßig zur Kenntnis gelangt.
Alternativ: Es ist nicht auszuschließen, dass ihre bei uns gespeicherten personenbezo-
genen Daten am (…)/Im Zeitraum von (…) bis (…) Dritten unrechtmäßig zur Kenntnis
gelangt sind.
In diesem Zeitraum sind Daten mit personenbezogenen und gesundheitsbezogenen
Daten von Unbekannten entwendet worden. Die Daten enthalten Namen, Adressen,
Rezeptinformationen, etc.…
Im Missbrauchsfall sind Daten möglicherweise geeignet, schwerwiegende Beein-
trächtigungen für ihre Rechte und schutzwürdigen Interessen herbeizuführen. Bitte
achten Sie in Ihrem eigenen Interesse auf unerwartete, bzw. verdächtige Kenntnis
Dritter von ihren persönlichen Lebensumständen.
Der Landesdatenschutzbeauftragte und die Staatsanwaltschaft… Sind über den Vor-
fall bereits informiert. Bitte teilen Sie etwaige Unregelmäßigkeiten unserer Daten-
schutzabteilung mit.
Mit freundlichen Grüßen
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 56
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 57
15. Muster: Benachrichtigung der Aufsichtsbehörde
An (die zuständige Datenschutzaufsichtsbehörde)
am (…)/Im Zeitraum von (…) Bis (…) Sind bei uns gespeicherte personenbezogene
Daten im Sinne von § 42a S. 1 BDSG dritten unrechtmäßig zur Kenntnis gelangt.
Alternativ: Es ist nicht auszuschließen, dass bei uns gespeicherte personenbezogene
Daten im Sinne von § 42a S. 1 BDSG am (…)/Im Zeitraum von (…) Bis (…) Dritten un-
rechtmäßig zur Kenntnis gelangt sind.
1.) Beschreibung des konkreten Vorfalls
z.B. Verlust oder Diebstahl von Datenträgern, unrechtmäßige/irrtümliche Übermitt-
lung, unrechtmäßige Einsichtnahme durch einen Mitarbeiter, Angriff auf Computer-
systeme
2.) Welche Datenarten im Sinne von § 42a S. 1 BDSG sind betroffen:
Angaben über rassische oder ethnische Herkunft
politische Meinungen
religiöse oder philosophische Überzeugungen
Gewerkschaftszugehörigkeit
Gesundheit
Sexualleben
Daten, die einem Berufsgeheimnis unterliegen
Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder ei-
nen Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen
sonstige/unbekannt
3.) Wie viele Datensätze sind (ungefähr) betroffen?
4.) Gefahrenpotenzial
Die Betroffenen Daten bergen ein Missbrauchsrisiko und könnten dazu verwendet
werden,
Identitäten (etwa bei online-Geschäften) vorzutäuschen
Vermögensschäden herbeizuführen
soziale und/oder berufliche Nachteile herbeizuführen
sonstige Nachteile herbeizuführen
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 58
5.) Maßnahmen
Welche Maßnahmen wurden zum Schutz der im konkreten Fall betroffenen perso-
nenbezogenen Daten ergriffen (z.B. Information von irrtümlichen Empfängern und
Aufforderung zur Datenlöschung)?
Welche Maßnahmen wurden ergriffen, um die Ursache der unrechtmäßigen Kennt-
niserlangung personenbezogener Daten für die Zukunft zu beseitigen (einspielen von
Sicherheitspatches, Einführung von Verschlüsselungsverfahren)?
Wenn entsprechende Strafanzeige ist anhängig.
Wenn ja, Staatsanwaltschaft..
Die Betroffenen sind informiert worden.
Ja_______ nein_______
Wenn ja, durch
Individuelle Mitteilung
Öffentliche Bekanntmachung.
Wenn nein, warum nicht?
Ein Muster der Benachrichtigung ist als Anlage beigefügt. Die Betroffenen sind gebe-
ten worden, sich vor einem eventuellen Missbrauch der Daten durch kriminelle Dritte
zu schützen durch
6.) Kontakt
Bei Rückfragen wenden Sie sich bitte an (…)
Interner Datenschutzbeauftragter in der Apotheke
© 2015 | Seite 59
16. Muster
BESTELLUNG EINES DATENSCHUTZBEAUFTRAGTEN
Frau/Herrn
Sehr geehrte/r Frau/Herr __________________ ,
ich/wir bestellen Sie mit sofortiger Wirkung zur/m Datenschutzbeauftragten gemäß §
4f Bundesdatenschutzgesetz.
In Ihrer Funktion als Datenschutzbeauftragte/r sind Sie der Geschäftsleitung unmittel-
bar
unterstellt. Zuständiges Mitglied der Geschäftsleitung ist
_______________________________________
Ihre Aufgaben als Datenschutzbeauftragte/r ergeben sich aus dem Bundesdaten-
schutzgesetz.
In Anwendung Ihrer Fachkunde auf dem Gebiet des Datenschutzes sind Sie wei-
sungsfrei.
Über Ihre Tätigkeit werden Sie der Geschäftsleitung laufend Bericht erstatten.
Erforderliche Organisationsanweisungen schlagen Sie der Geschäftsleitung vor.