Wenn Sie diesen Newsletter nicht lesen können, klicken Sie bitte auf folgenden Link: Newsletter online ansehen

Schneider + Partner

Branchen-Newsletter Apotheken: 02/ 2018



Was Sie in diesem Newsletter erwartet:

Rundschreiben zur Datenschutz-Grundverordnung (DSGVO) (PDF)

RX-Handelsverbote und kein Ende

Veranstaltungstipp: Fit für die Zukunft



Rundschreiben zur Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) ist bereits seit 2016 in Kraft und wird zum 25. Mai 2018 zur Anwendung gelangen. Sie ist geprägt durch den verfassungsrechtlichen Grundsatz der informationellen Selbstbestimmung und damit von dem Recht jedes einzelnen Bürgers frei zu entscheiden, wann und in welchen Grenzen persönliche Lebenssachverhalte offenbart werden. In der Apotheke ist es Aufgabe des Inhabers darauf zu achten, dass die Grundsätze des Datenschutzes beachtet werden. Die nachfolgenden Hinweise erheben keinen Anspruch auf Vollständigkeit, sollen jedoch nochmals die Grundsätze und wichtigsten Fragen in der Apotheke zusammenfassen:


1. Personenbezogene Daten sind alle Informationen, die eine Identifizierung einer natürlichen Person mittelbar oder unmittelbar ermöglichen.

2. Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche und geistige Gesundheit einer natürlichen Person einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und aus denen Informationen über den Gesundheitszustand hervorgehen. Das gilt u. E. sowohl für Rx Medikationen und OTC Einkäufe.

Achtung: Auch ein Mitarbeiter kann Kunde sein. Er ist dann genauso zu behandeln, wie ein jeder anderer Kunde. Auch er muss z. B. einer weitergehenden Datenverarbeitung zustimmen.


3. Die Erhebung und Verarbeitung von Daten (personenbezogen und Gesundheitsdaten) ist grundsätzlich nur rechtmäßig, wenn ein Erlaubnistatbestand gegeben ist. Alles was nicht ausdrücklich erlaubt ist, ist verboten!

Die Erlaubnis kann gegeben sein, wenn:

- die Einwilligung der betroffenen Person vorliegt,

- die Verarbeitung der Daten für die Erfüllung eines Vertrages erforderlich ist,

- die Verarbeitung für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist,


- die Bearbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen Person zu schützen,

- die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt,

- die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, wenn nicht die Rechte oder Interessen der betroffenen Person überwiegen.

Die Verarbeitung von Gesundheitsdaten unterliegt einem noch strengeren Schutz (s. u.).


4. Daten dürfen nur soweit dies für die Erfüllung des Zwecks notwendig und richtig ist, gespeichert werden. Nach Zweckerreichung sind sie zu löschen, sofern keine anderweitigen gesetzliche Aufbewahrungspflichten bestehen. Mitarbeiter dürfen nur Zugriff auf Daten erhalten, die sie zur Erfüllung ihrer Aufgabe benötigen. Sie sind über die Datenschutzregeln regelmäßig zu informieren. Die Zugriffsrechte und Kontrolle sind mit einem IKS System (internes Kontrollsystem) entsprechend einzurichten. Unterschiedliche Geschäftsbereiche (Offizin/Versand/Heimversorgung) sind möglichst EDV-technisch zu trennen. Bei Finanzamtsdaten ist darauf zu achten, dass aus den GdPDU kein Rückschluss auf Gesundheitsdaten von Personen erfolgen kann. 


5. Sobald personenbezogene Daten verarbeitet werden und immer soweit die Verarbeitung von Gesundheitsdaten erfolgt, ist über sämtliche Verarbeitungstätigkeiten ein Verfahrensverzeichnis zu führen. Das Verfahrensverzeichnis, welches regelmäßig überprüft und angepasst werden muss, beschreibt die Verarbeitungstätigkeiten und enthält u.a. folgende Angaben:

- Namen des Verantwortlichen (Inhaber) sowie des Datenschutzbeauftragten,

- Zweck der Verarbeitung,

- Beschreibung der Kategorien betroffener Personen und der personenbezogenen Daten,

- Beschreibung der Empfänger, gegenüber welchen die Daten gegebenenfalls offengelegt werden,


- gegebenenfalls Übermittlung von personenbezogenen Daten in ein Drittland (Achtung: Soweit die Serverdienste genutzter Kommunikationsmittel sich im Ausland befinden, genügt es, dass die Apotheke das Angebot unterbreitet. Folge: Keine Arzneimittelvorbestellungen per WhatsApp),

- die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,

- Beschreibung der technischen und organisatorischen Maßnahmen der Sicherheit der Verarbeitung.

Muster für die Beschreibung von Verarbeitungstätigkeiten befinden sich auf der Seite des Landesdatenschutzbeauftragten des Landes Bayern (www.lda.bayern.de). Dort finden Sie auch ein Online-Tool zur Selbsteinschätzung und einen Fragebogen zur Umsetzung der DSGVO. Auch gibt es eine sehr informative und umfassende Broschüre ("Erste Hilfe zur DSGVO für Unternehmen und Vereine") des LGA Bayern, die über den Buchhandel zu beziehen ist. Schließlich empfiehlt der DAV die Software von Privacysoft (www.privacysoft.de) zur Umsetzung der DSGVO.


6. Der verantwortliche Inhaber der Apotheke muss als Verarbeiter von Gesundheitsdaten im Kernbereich einen Datenschutzbeauftragten benennen. Dies gilt dann unabhängig von der Größe der Apotheke. Der Datenschutzbeauftragte ist bis 25. Mai 2018 der Datenschutzbehörde des Bundeslandes zu benennen und auch zu veröffentlichen. Für Filialverbünde reicht ein Datenschutzbeauftragter. Der Datenschutzbeauftragte kann intern oder extern gesucht werden. Wir empfehlen die externe Bestellung, weil Mitarbeiter als Datenschutzbeauftragte Qualifikationsnachweise erbringen müssen, nicht die Datenverarbeitungsprozesse wesentlich beeinflussen dürfen und dann zudem Kündigungsschutz genießen. 

7. Werden Personendaten bei den betroffenen Personen oder bei Dritten erhoben, bestehen umfangreiche proaktive Informationspflichten. Dabei muss die Rechtsgrundlage der Datenerhebung und Speicherung den Betroffenen mitgeteilt werden. Dies gilt insbesondere auch für Einwilligungserklärungen. Bei Filialen sollte die Einwilligung auch auf diese ausgedehnt werden. Wir empfehlen die Grundsätze der Datenverarbeitung sowie der Löschung von Daten der Apotheke bereit zu halten und gegebenenfalls online zu stellen. Nicht durch Kunden „genutzte“ Einwilligungserklärungen sind nach zwei Jahren zu löschen.


8. Externe Dienstleister (sog. Auftragsdatenverarbeiter) bleiben im Verantwortungsbereich des Inhabers der Apotheke. Er muss seine Auswahl und die Verpflichtung zur Wahrung der Datenschutzgrundsätze darlegen sowie dies in regelmäßigen Abständen kontrollieren (Bsp.: Rechenzentrum). Dies gilt nicht für die Inanspruchnahme fremder Fachleistungen eines eigenständig Verantwortlichen z. B. Steuerberater oder Rechtsanwalt. Lokale Rezeptkopien zur Rezeptkontrolle sind regelmäßig, spätestens mit Ablauf der Retaxationsfrist zu löschen.

9. Datenpannen, sprich Verlust, Offenlegung der Daten oder Fremdzugriff, sind der Aufsichtsbehörde zukünftig innerhalb von 72 Stunden mitzuteilen.10. Datenschutz gilt auch offline. Bitte prüfen Sie die Einhaltung von Diskretionsabständen, die Sichtfelder der PC Bildschirme, den Umgang mit nicht mitgenommenen Kassenzetteln, die Hörweite von Telefonaten, die Diskretionsverpflichtung des Botendienstes, die Vernichtung von Papier mit sensiblen Daten etc. im Rahmen Ihrer Datenschutzgrundsätze. Wichtig ist auch die Löschung sämtlicher Daten beim Austausch von (Leasing-)geräten oder Verschrottung von Datenträgern. 


11. Die Nichtbeachtung vorgenannter Grundsätze ist umfassend bußgeldbewährt und sollte daher dringend beachtet werden. Daneben wurde die strafrechtliche Verantwortung (§ 203 StGB) erweitert. Die jeweiligen Maßnahmen sind daher schriftlich nachvollziehbar zu dokumentieren. 

Wir empfehlen Ihnen bei der Erhebung von Daten auch Ihre Einwilligungserklärungen bei der Ausgabe von Kundenkarten, insbesondere bei der Einwilligung zur Teilnahme an Mailingaktionen oder im Falle des Betriebes eines Onlineshops etc. zu prüfen. Es ist damit zu rechnen, dass Wettbewerber über das Wettbewerbsrecht (Abmahnungen) die Einhaltung der Regeln der DSGVO verfolgen werden. Gerne benennen wir Ihnen zu den angesprochenen Fragen kompetente Ansprechpartner. 

Dresden, im März 2018

gez. Stefan Kurth
Rechtsanwalt/Steuerberater

Rundschreiben zum Download als PDF



RX-Versandhandelsverbot und kein Ende -
Ein Kommentar von RA StB Stefan Kurth

Das RX-Versandhandelsverbot erhitzt die Gemüter. Nachdem die erste Kammer des EuGH in seiner Entscheidung vom 19.10.2016 die RX-Preisbindung für ausländische Versandapotheken als nicht EU-Rechtskonform verworfen hat, reißt die Diskussion nicht ab, wie wieder die Geschäftsgrundlage gleicher Marktchancen herzustellen sei. Die Begründung des EUGH, die traditionelle Apotheke sei besser als die Versandapotheke mit Ihrem eingeschränkten Leistungsangebot und somit führe ein einheitlicher Preis zu einer Diskriminierung der schlechteren Leistung geht dem Unterzeichner zumindest nicht ein. Richtiger wäre es zu sagen, dass das Geschäftsmodell der ausländischen Versender sich gerade einem einheitlichen Anspruch an die Qualität der Leistung entzieht und dabei die flächendeckende Versorgung gefährdet. Deshalb kann es im Interesse dieses Auftrages auch keine allgemeine Preisöffnung geben. 


Mit diesen Aspekten der Gestaltung der Deutschen Arzneimittelversorgung hat sich die 1. Kammer des EuGH und damit mit der Vorentscheidung der höchstrichterlichen Rechtsprechung der deutschen Gerichte in keiner Weise auseinandergesetzt. Bereits im November 2016 hat der BGH in unmissverständlicher Weise die Entscheidung des EuGH gerügt und auf den, den Mitgliedstaaten zustehenden Wertungsspielraum hingewiesen. Das vorlegende OLG Köln wurde aufgefordert, von der Bundesregierung eine amtliche Auskunft über die Notwendigkeit eines einheitlichen Abgabepreises für die Wahrung der Belange der Gesundheit der Bevölkerung einzuholen. Auch das OLG München folgt in einem ähnlichen Konflikt dem gleichen Weg. Eine erneute Vorlage der Rechtsfrage zum EuGH ist daher bei der klaren Positionierung der Bundesregierung wahrscheinlich. 


Erstaunlicherweise hat auch der EuGH in aktuellen Entscheidungen wieder den Wertungsspielraum der Mitgliedstaaten betont klargestellt und erläutert, dass der Mitgliedstaat für seine Schutzmaßnahmen nicht abwarten muss, bis das Vorliegen einer Gefahr umfassend belegt ist. Es ist Aufgabe des Mitgliedstaates, die Qualität der Versorgung zu bestimmen. Die Gefährdung einer qualitativ hochwertigen Arzneimittelversorgung der Bevölkerung stellt dabei eine Gefahr für die Gesundheit der Bevölkerung dar, gegen die jeder Mitgliedstaat angemessene Maßnahmen treffen kann. 

Im Lichte dieser Entscheidung besteht durchaus berechtigte Hoffnung, dass die erneute Vorlage der vor deutschen Gerichten anhängigen Verfahren die falsche Entscheidung des EuGH aus 2016 revidiert und es damit nicht allein auf den Willen des neuen Gesundheitsministers ankommt, wie zukünftig unsere Versorgung gestaltet wird. 



Veranstaltungstipp: Fit für die Zukunft

Wir möchten Sie gern auf unser nächstes Unternehmerseminar „Fit für die Zukunft“ am Montag, den 16. April 2018 um 18 Uhr im Hilton Hotel Dresden, hinweisen. Unter dem Titel „Mein Smarter Kollege – Hält künstliche Intelligenz Einzug in Unternehmen?“ geben wir Ihnen dieses Mal einen Ausblick darauf, wie intelligente Software unsere Lebens- und Arbeitswelt verändern wird und welche Potenziale – aber auch Risiken – sie für Unternehmen birgt. 

Alle weiteren Informationen zu Thema, Ablauf und Referenten finden Sie unter www.fitfuerdiezukunft.com. Dort können Sie sich auch direkt online für die Veranstaltung anmelden.

Wir freuen uns auf Ihr Kommen!

Unsere Ansprechpartner für Apotheken:

Chemnitz
StB Regine Jeske
regine.jeske@sup-chemnitz.de

Dresden
StB RA Stefan Kurth
stefan.kurth@sup-dresden.de

München
WP StB Christian Seeberg
christian.seeberg@sup-muenchen.de