apotheken DSGVOEU-DSGVO

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) gehört zur EU-Datenschutzreform, die die Europäische Kommission am 25. Januar 2012 vorgestellt hat. Mit der DSGVO sollen die Regeln für die Verarbeitung von personenbezogenen Daten bei privaten Unternehmen und öffentlichen Stellen vereinheitlicht werden. Deshalb ticken seit dem 25. Mai 2018 auch in Apotheken die Uhren anders. Was bis dahin „nur“ ärgerlich oder teuer war – ein Virus, ein Trojaner oder ein anderer Datenverlust – kann seit diesem Stichtag für alle, die mit besonders schützenswerten Daten umgehen, schon nach 3 Tagen mit Bußgeldern belegt werden. Der europäische Gesetzgeber schreibt ein Informationssicherheits-Managementsystem verbindlich vor – auch für Apotheken. Mehr

apotheken eu dsgvo DenPhaMedDie Umsetzung dieser Verordnung ist in jeder Apotheke Pflicht, wie groß oder klein sie auch immer ist. Seit die Datenschutz-Grundverordnung auch in Deutschland gilt, müssen sich die Sicherheitsvorkehrungen in jedem Betrieb – also auch in jeder Apotheke – an der Risikoexposition ausrichten. Dabei muss in jedem Fall sichergestellt werden, dass die vorgeschriebenen Maßnahmen so umgesetzt werden, dass die Rechte und Freiheiten von Betroffenen wirksam geschützt werden. Für Unternehmen bedeutet dies, dass der Datenschutz im Vergleich mit früheren Praktiken deutlich aufwändiger geworden ist.
 

Meldepflichten – das eigentliche Problem der EU-DSGVO

Die EU-DSGVO beinhaltet eine Obliegenheit, die in fast jeder Apotheke ohne Vorbereitung und externe Unterstützung selbst bei bestem Willen kaum zu erfüllen sein wird. Denn innerhalb von maximal 72 Stunden muss das Informationssicherheits-Managementsystem drei unterschiedliche Meldungen generieren und absetzen, sonst droht eine empfindliche Geldbuße:

  1. Die Feststellung und Behebung der Ursache für den Datenverlust.
    Es muss gemeldet melden, wie genau es zu der Datenschutzverletzung gekommen ist. Hier sind grundsätzlich drei Möglichkeiten denkbar, für die jedoch derselbe Bußgeldrahmen gilt: 

    • Ein gezielter Angriff: Jemand hat es auf bestimmte Daten abgesehen. Das ist bei Apotheken sicher eher unwahrscheinlich, kann aber passieren. 
    • Die Apotheke wird Opfer einer nicht zielgerichteten Attacke. Damit sind vor allem massenhaft verbreitete Schadprogramme gemeint. In der Vergangenheit haben solche Programme mitunter eine globale Reichweite entwickelt.
    • Ein Diebstahl, Streich oder eine unbedachte Aktion: Kundendaten gehen verloren, weil ein Laptop werschwunden ist oder der PC bei der Wartung abhandenkommt oder ein Mitarbeiter (auch ohne böse Absicht) ein Foto bei facebook postet, das Patientendaten enthält.

  2. Die Information der zuständigen Stellen über den Datenverlust als solchen. Der Datenschutzbeauftragte der Apotheke muss alle zuständigen Datenschutz-Institutionen über den Vorfall informieren. Bei Apotheken mit weniger als neun mit der Datenverarbeitung befassten Mitarbeitern ist immer grundsätzlich die Inhaberin oder der Inhaber persönlich haftbar.

  3. Die Kundeninformation muss verschickt werden. Sie müssen jeden einzelnen Kunden persönlich informieren, dessen Daten vom Datenleck in Ihrer Apotheke betroffen sind.
     

Bußgelder: Selbst geringe Verstöße werden teuer

apotheken cyber risiko datenschutz DenPhaMedBei Verstößen gegen die Datenschutz-Grundverordnung und bei Nichteinhalten der Fristen für die Meldungen können gegen betroffene Apotheken Geldbußen in Höhe von bis zu 4 Prozent des gesamten erzielten Jahresumsatzes verhängt werden. Eine Obergrenze der Strafen von 20 Millionen Euro dürfte an dieser Stelle für Apotheker und Apothekerinnen kein wirklicher Trost sein.
Gegen möglicherweise drohende Bußgelder hilft nur eine gute Versicherung. Mehr

Wenn Sie als Apothekeninhaberin oder Apothekeninhaber befürchten, dass die aktuellen Strukturen Ihrer Apotheke eine Erfüllung Ihrer DSGVO-Pflichten im Wege stehen, dann kontaktieren Sie uns.

Wir helfen Ihnen, die Hürde der vorgeschriebenen Datensicherheit zu nehmen. Mehr
 

Datenschutz muss in Apotheken Chefsache sein

apotheken cyber risiko dsgvo DenPhaMed

Die EU-DSGVO, Datenschutz und Datensicherheit sind also immer „Chefsache“. Mehr

Eigentlich war es das natürlich immer schon, aber nun hat der Gesetzgeber diese Zusatzaufgabe rechtsverbindlich definiert. Zusätzlich zur Bestellpflicht eines Datenschutzbeauftragten (DSB) auch eine Pflicht zur Meldung der bestellten Person gegenüber der zuständigen Aufsichtsbehörde.

Bei Apotheken mit neun oder weniger Angestellten mit Zugriffsrechten auf die Datenverarbeitung gilt der Apothekeninhaber persönlich als DSB. Mehr 

 

Verträge mit Rezeptabrechnern

Bei der Beauftragung von Subunternehmern schreibt das Bundesdatenschutzgesetzt vor, dass Verträge zur Auftragsdatenverarbeitung (AV, früher ADV) geschlossen werden müssen. In diesen Verträgen muss dem Dienstleister ein angemessenes Informationssicherheitsniveau vorgeschrieben werden. Die Einhaltung der Verträge zur AV muss durch den Auftraggeber regelmäßig überprüft werden. Mehr 

Aufgrund des nunmehr immens gestiegenen Haftungs- und Bußgeldrisikos kann nur jedem Apothekeninhaber und jeder Apothekeninhaberin dringend geraten werden, alle Verträge zur Auftragsdatenverarbeitung neu zu bewerten. Mehr
 

Vier Kriterien für Cyberrisk-Schutz

apotheken cyber risiko pishing DenPhaMed

Der letzte Baustein im Bereich der Cyber-Sicherheit sind Policen gegen die Folgen von Cyberangriffen.

Damit diese ihrem Namen gerecht werden, müssen sie vier Risiken abdecken, die in den marktüblichen Versicherungen üblicherweise nicht mitversichert sind und eine Reihe von Services bieten, ohne die ein Cyberschutz mit Versicherungsprodukten nur Makulatur wäre. Mehr