Je mehr Daten gesammelt werden, desto schwerer fällt es Betroffenen, den Überblick darüber zu behalten, was mit ihren Daten passiert. Das Datenschutzrecht schreibt deshalb eine Vielzahl von Informationspflichten vor, die auch für Apotheken gelten. Gerne beraten wir Sie hierzu als externe Datenschutzbeauftragte für Apotheken.
Nur, wenn Betroffene wissen, welche Rechte sie haben, können sie diese auch nutzen und ihre personenbezogenen Daten richtig schützen. Kern dieser Informationspflicht ist die Datenschutzerklärung.
Betroffene, deren personenbezogene Daten erhoben oder verarbeitet werden, müssen Zugang zu einer Datenschutzerklärung nach Art. 12 ff DSGVO haben. Die Datenschutzerklärung muss in einer präzisen, transparenten und verständlichen Sprache verfasst sein und kann schriftlich oder auch gegebenenfalls elektronisch veröffentlicht sein. Denkbar ist zum Beispiel ein Aushang im Offizin. Möglich sind auch Handzettel mit den Inhalten der Datenschutzerklärung, die bei Bedarf ausgegeben werden können. Nach §13 Telemediengesetz (TMG) muss darüber hinaus jede Webseite eine Datenschutzerklärung aufweisen, das gilt auch für Apothekenwebseiten.
Die Inhalte der Datenschutzerklärung sind in Art. 13 DSGVO benannt. Zuerst muss aus der Datenschutzerklärung hervorgehen, wer für die Verarbeitung der Daten verantwortlich ist. Es sind also Name und Anschrift des verantwortlichen Apothekers zu nennen und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten.
In der Datenschutzerklärung muss darüber hinaus aufgelistet werden, welche Daten verarbeitet werden, wie die Verarbeitung erfolgt, welche Zwecke damit verbunden sind – und was die Rechtsgrundlage für die Verarbeitung ist. Der Patient muss auch auf seine Rechte hingewiesen werden. An erster Stelle steht das Recht, jederzeit die Einwilligung widerrufen zu können, Art. 7 Abs. 3 DSGVO. Dieses Recht kann auch nicht durch Klauseln ausgeschlossen werden. Entscheidend ist, dass der Widerruf der Einwilligung nicht schwieriger sein darf, als die Erklärung der Einwilligung. Wenn die Einwilligung zum Beispiel per E-Mail erfolgt, muss auch den Widerruf per E-Mail möglich sein.
Patienten haben Auskunftsrecht über verarbeitete Personenbezogene Daten
Nach Art. 15 DSGVO haben die Patienten einen Auskunftsanspruch, welche personenbezogene Daten von ihnen verarbeitet werden. Für diese Auskunft darf keine Gebühr erhoben werden, auch wenn die Auskunft unter Umständen einen Mehraufwand für die Apotheke bedeutet. Die Antwort muss unverzüglich erfolgen, spätestens muss sie dem Patienten allerdings innerhalb eines Monats vorliegen. Und: Wenn die Auskunft über einen elektronischen Weg ersucht wird, sollte möglichst auch über einen elektronischen Weg geantwortet werden. Gemäß Art. 16 DSGVO hat der Betroffene ein Recht auf eine unverzügliche Berichtigung seiner personenbezogenen Daten.
In Art. 17 DSGVO ist das Recht auf Löschung festgeschriebene. Betroffene können vom Verantwortlichen verlangen, dass ihre personenbezogene Daten unverzüglich gelöscht werden, sofern einer der Gründe zutrifft: Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig. Der Betroffene hat seine Einwilligung widerrufen. Der Betroffene legt Widerspruch gegen die Verarbeitung ein. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. Die Löschung ist zur Erfüllung von rechtlichen Verpflichtungen notwendig.
Daten, die aufgrund einer gesetzlichen Grundlage erhoben wurden, sind vom Recht auf Löschung nicht betroffen. Auch gesetzliche Aufbewahrungspflichten stehen dem Recht auf Löschung entgegen. Rechnungen etwa sind zehn Jahre aufzubewahren, Unterlagen über Betäubungsmittel drei Jahre und im Rahmen des Transfusionsgesetzes sind sogar 30 Jahre zu beachten.
Beratung zum Datenschutz
Gerne beraten wir Sie hierzu und zu weiteren Themen im Datenschutz in der Apotheke. Sprechen Sie uns als externe Datenschutzbeauftragte für Apotheken an. Sie erreichen uns unter 0511/37388134 oder per Mail über datenschutzbeauftragter@datenschutzundgesundheit.de. Wir freuen auf Ihre Anfrage.