FAQ

Datenschutz neu - ein Dschungel?

1. MÜSSEN NUN ALLE STAMMKUNDEN EINE NEUE EINWILLIGUNGSERKLÄRUNG UNTERSCHREIBEN?

Weil die bislang eingeholten Einwilligungserklärungen in den meisten Fällen nicht alle Formalismen erfüllen, die die neuen Einwilligungserklärungen ab 25. Mai 2018 erfüllen müssen (Hinweis auf Recht auf Auskunft, Recht auf Vergessen, ..., Hinweis auf das Recht zur Beschwerde bei der Datenschutzbehörde, explizite Auflistung der Verarbeitungszwecke, die mit den eingeholten Daten verfolgt werden, usw.), müssen alle Stammkunden neuerlich zustimmen.

Viele von uns werden es wohl nicht geschafft haben, alle neuen Einwilligungserklärungen bis Mai 2018 einzuholen. Oft wird man diese Einwilligungserklärungen in der Apotheke auflegen und dann hängt es davon ab, wann die einzelnen Stammkunden das nächste Mal in die Apotheke kommen. 

DI Gerhard Löw, Leiter Sanodat:
Ich hoffe, dass auch die Datenschutzbehörde mit einem gewissen Pragmatismus an diese Übergangszeit herangehen wird.

Wichtig ist:

  • dass ab 25. Mai 2018 bei neuen Stammkunden neue Einwilligungserklärungen eingeholt werden, die den Formalismen der DSGVO entsprechen, und
  • dass man glaubhaft nachweisen kann, bereits alle nötigen Schritte unternommen zu haben, um den bestehenden Stammkunden eine neue Einwilligungserklärung und eine neue Datenschutzerklärung zukommen zu lassen und dass der Unterschriftsprozess in Gang gesetzt wurde.


2. EINWILLIGUNGSERKLÄRUNG – IST DIE UNTERSCHRIFT DES KUNDEN ERFORDERLICH?

Nein, eine Einwilligung kann auch elektronisch gegeben werden. Es ist beispielsweise zulässig, dass Sie einem Kunden die Einwilligungserklärung und die Datenschutzerklärung per Mail zukommen lassen. Antwortet der Kunde auf diese Mail und bestätigt mit seiner Antwort, dass er seine Einwilligung gemäß der zugesandten Einwilligungserklärung erteilt, so gilt dies als ausdrückliche Einwilligung.

Beachten Sie, dass die DSGVO eine ausdrückliche Einwilligung verlangt – der Kunde muss also einen aktiven Schritt setzen, um seine Einwilligung zu erteilen.

Nicht zulässig sind daher folgende Vorgangsweisen:

  • Dem Kunden die Einwilligungserklärung und die Datenschutzerklärung mit dem Hinweis zu senden, dass die Einwilligung als erteilt gilt, wenn nicht innerhalb einer bestimmten Frist ein Widerspruch erfolgt.
  • Dem Kunden die Einwilligungserklärung und die Datenschutzerklärung mit einer zur Nachverfolgung gekennzeichneten Mail zusenden und die Mitteilung, dass der Kunde die Mail gelesen hat, als Einwilligung auffassen.


3. BIETET DIE SOFTWARE VON SANODAT DIE FUNKTIONEN, UM DAS RECHT AUF VERGESSEN, DAS RECHT AUF AUSKUNFT ETC ERFÜLLEN ZU KÖNNEN?

Seit 25. Mai sind sowohl für AIT als auch für AIT2 Versionen verfügbar, die diese Anforderungen gemäß DSGVO erfüllen.

4. WELCHES DOKUMENT WIRD WOFÜR BENÖTIGT?

Die Einwilligungserklärung ist jenes Dokument, das Sie vom Stammkunden unterzeichnen oder sich per Mail bestätigen lassen. Bewahren Sie diese Einwilligungserklärungen bzw. die elektronischen Bestätigungen in Papierform, eingescannt in einer elektronischen Ablage, oder elektronisch in Ihrem Mailsystem auf.

Die Datenschutzerklärung stellen Sie dem Kunden als Information über die Verarbeitung personenbezogener Daten in Ihrer Apotheke zur Verfügung. Der Kunde muss die Datenschutzerklärung nicht unterzeichnen. Idealerweise stellen Sie die Datenschutzerklärung auch auf Ihrer Homepage dar und hängen sie an einer geeigneten Stelle in der Offizin aus.

Nach Rechtsmeinung der Österreichischen Apothekerkammer entfällt gemäß dem am 16. Mai beschlossenen Materien-Datenschutz-Anpassungsgesetz 2018 für Apotheken die Informationspflicht. Somit ist die Ausgabe einer Datenschutzerklärung nicht mehr verpflichtend.

Das Verzeichnis von Verarbeitungstätigkeiten ist ein internes Dokument, das Sie in der Apotheke aufbewahren und nur auf Verlangen der Österreichischen Datenschutzbehörde vorlegen müssen. Dem Kunden müssen Sie dieses Dokument nicht zur Kenntnis bringen.

5. WELCHE ANPASSUNGEN AN DEN DOKUMENTEN SIND NÖTIG?

Grundsätzlich müssen Sie die Dokumente so anpassen, dass sie den Gegebenheiten in Ihrer Apotheke entsprechen. Wird z.B. die Einwilligungserklärung auch als Datenerfassungsformular genutzt, so ist sie um die entsprechenden Stammkundenfelder zu erweitern.

Überlegen Sie aber vor allem, ob es bei Ihnen weitere Verarbeitungszwecke gibt, die uns nicht eingefallen sind und die daher in unseren Vorlagen nicht angeführt werden! (Anmerkung der Redaktion: Vorlagen können Sie gerne direkt im Büro der Sanodat bei Frau Andraschko, Tel:  +43 1 40104 1787 anfordern) 

Vorsicht bei Streichungen: Grundsätzlich sollte man die Dokumente nicht unnötig aufblähen, aber bedenken Sie: Wenn Sie zum heutigen Tage eine bestimmte Dienstleistung für Stammkunden nicht erbringen und diesen Verarbeitungszweck deshalb streichen, und in zwei Jahren erkennen, dass Sie diese Dienstleistung doch erbringen wollen, so kann sich aus diesem Umstand im schlimmsten Fall der Bedarf einer neuerlichen oder einer ergänzenden Einwilligungserklärung ergeben. Tipp: Nehmen Sie daher übliche Serviceleistungen bereits jetzt in alle drei Dokumente auf, auch wenn sie zum heutigen Tage noch gar nicht durchgeführt werden.

6. STEHT DIE DSGVO IM WIDERSPRUCH ZU ELGA?

Nein, weil die ELGA gesetzlich verankert ist und im Interesse unseres Gesundheitssystems und somit im Allgemeininteresse steht. Es ist auch nicht Aufgabe der einzelnen Apotheke, die ELGA für die eigene Apotheke rechtlich abzusichern. Diese Aufgabe liegt beim Gesundheitsministerium bzw. beim Gesetzgeber.

7. GILT NICHT DAS STECKEN DER E-CARD SCHON ALS EINWILLIGUNGSERKLÄRUNG DES KUNDEN?

Ja, als Einwilligungserklärung dafür, dass Sie Zugriff auf seine ELGA erhalten. 

Aber: Nein, nicht als Einwilligungserklärung dafür, dass Sie diesen Kunden als Stammkunden führen und seine Einkäufe in Ihrer Apotheke mit seinem Namen und seiner Adresse versehen.

8. MÜSSEN WIR BEI BESORGER UND EINSATZ EINWILLIGUNGSERKLÄRUNGEN VON LAUFKUNDEN EINHOLEN, UM DEN NAMEN UND DIE TELEFONNUMMER HINTERLEGEN ZU KÖNNEN?

Nach unserem Erachten: Nein, da es sich um eine vorvertragliche bzw vertragliche Beziehung handelt, und da Sie diese Daten benötigen, um den Vertrag Ihrerseits erfüllen zu können.

Wichtig ist in diesem Zusammenhang jedoch, dass diese Daten nur am gegenständlichen Geschäftsfall gespeichert und nicht im Kundenstamm hinterlegt und nicht bei weiteren Geschäftsfällen verwendet werden.

9. SIND IMS (IQVIA) ODER INSIGHT HEALTH ALS EMPFÄNGER ZU BENENNEN?

Nein.

Sie geben zwar möglicherweise Daten an IMS (IQVIA) oder Insight Health weiter, darunter sind aber keinerlei personenbezogene Daten.

10. IST DIE SANODAT EIN AUFTRAGSVERARBEITER?

Ja.

Wir empfangen und verarbeiten zwar keine personenbezogenen Daten aus Ihrer Apotheke. Aber: Vor dem Gesetz gilt bereits das Lesen (und das hierbei vorausgesetzte geistige Verarbeiten) eines Papiers als Datenverarbeitung. Im Rahmen von Unterstützungs- und Fernwartungsleistungen sehen wir die Daten Ihres EDV-Systems, womit der Bestand der Datenverarbeitung erfüllt ist und wir als Auftragsverarbeiter gelten.

Es macht daher Sinn, im Verzeichnis von Verarbeitungstätigkeiten bei jenen Punkten, die mit AIT/AIT2 oder anderweitig mit Software auf Ihrem EDV-System abgewickelt werden, die Kategorie „Datenübertragung an Dritte“ in „Datenübertragung an Dritte / Auftragsverarbeiter“ zu erweitern und dabei die Sanodat als Auftragsverarbeiter zu benennen, der das EDV-System und die Software der Apotheke software- und systemtechnisch wartet:

  • Herba Chemosan Apotheker-AG, Unternehmensbereich Sanodat, Haidestraße 4, 1110 Wien


In diesem Zusammenhang muss auch eine vertragliche Vereinbarung zwischen Apotheke und Sanodat geschlossen werden. Diese Vereinbarungen wurden Anfang Mai von der Österreichischen Apothekerkammer geprüft, für gut befunden und anschließend an alle unsere Kunden ausgesandt.

11. BEZÜGLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN(TOM): MÜSSEN WIR USB-PORTS SPERREN, KENNWORTGESCHÜTZTE BILDSCHIRMSCHONER VERWENDEN ETC.?

Art 32 Abs (1) DSGVO („Sicherheit der Verarbeitung“) legt wie folgt fest:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; ..

Der Artikel regelt in weiterer Folge, was genau unter solchen Maßnahmen zu verstehen ist:

a) Pseudonymisierung und Verschlüsselung personenbezogener Daten
b) Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
c) rasche Wiederherstellung der personenbezogenen Daten bei einem technischen Zwischenfall
d) regelmäßige Überprüfung und Bewertung der Wirksamkeit dieser technischen und organisatorischen Maßnahmen

Unter a) fällt beispielsweise die Übertragung der Rezeptabrechnungsdaten, die durch eine Software der Pharmazeutischen Gehaltskasse entsprechend gesichert wird.

Unter b) fallen alle Maßnahmen, die das EDV-System der Apotheke gegen unberechtigten Zugriff absichern – Firewall, Virenschutz, Benutzerkonzept, Kennwortschutz, etc.

Unter c) fällt die regelmäßige Datensicherung.

d) ist die Verpflichtung, die Maßnahmen gemäß a), b) und c) regelmäßig zu prüfen und zu bewerten, ob sie noch ausreichend und am aktuellen Stand der Technik sind.

Hinsichtlich Punkt b) wurde von der Wirtschaftskammer eine Liste von Beispielen erarbeitet, wie man diesem Punkt erfüllen kann. Darunter fallen Maßnahmen wie „Sperrung von USB-Ports“, „kennwortgeschützte Bildschirmschoner“ etc. Diese beispielhaft beschriebenen Einzelmaßnahmen sind nicht im Gesetz per se als verpflichtende Maßnahmen definiert. Wir sind der Meinung, dass sich der Schutz der Apotheken-EDV in erster Linie gegen Übergriffe aus dem Internet richten muss. 

DI Gerhard Löw:

Diese beispielhaft beschriebenen Einzelmaßnahmen sind nicht im Gesetz per se als verpflichtende Maßnahmen definiert. Wir sind der Meinung, dass sich der Schutz der Apotheken-EDV in erster Linie gegen Übergriffe aus dem Internet richten muss. 

Hierunter fallen Maßnahmen wie der Einsatz einer Firewall und eines geeigneten Virenschutzes, die Verwendung des Active Directory von Microsoft oder etwa die Umsetzung eines Benutzerkonzeptes und entsprechender Sicherheitsrichtlinien in Ihrem Computernetzwerk.

Weniger sinnvoll scheinen uns nach innen gerichtete Maßnahmen wie die Einrichtung eines passwortgeschützten Bildschirmschoners, insbesondere in der Apotheke, in der sich mehrere Mitarbeiter einen gemeinsamen Arbeitsplatz teilen. Auch die USB-Ports können nicht global gesperrt werden – werden doch sämtliche Scanner, sämtliche RKSV-Sticks und viele Bondrucker in der Apotheke über USB-Ports an die PCs angeschlossen. Die Sperrung einzelner USB-Ports löst das Problem ebenso wenig – kann man doch einen Scanner für wenige Minuten abstecken, um stattdessen einen USB-Stick an ebendiesen USB-Port anzuschließen.

In diesem Zusammenhang ist es wichtiger, innerhalb des Warenwirtschaftssystems mit Benutzerberechtigungen zu arbeiten (um nicht jedem Mitarbeiter Zugriff auf alle Daten und Funktionen zu geben – was ein Bildschirmschoner nicht verhindern könnte), und mit allen Mitarbeitern eine Schulung abzuhalten, um das Thema „Datenschutz“ bewusst zu machen, sowie eventuell eine Ergänzung zum Dienstvertrag vorzunehmen, in der Themen wie „Datenschutz, Vertraulichkeit und Verpflichtung zur Verschwiegenheit, auch über die Dauer des Dienstverhältnisses hinaus“ klar geregelt werden.

Gerhard Löw: "Abschließend darf ich nochmals darauf hinweisen, dass Sie in der Apothekerkammer mit Frau Mag. Rösel-Schmid eine kompetente Ansprechpartnerin zu Fragen des neuen Datenschutzrechts finden."


Foto: (c) Bernhard Wolf