Zurück zur Übersicht
07.08.2024

Datenschutz in der Apotheke

Umgang einer Apotheke mit zu vernichtenden Dokumenten

Eine angemessene Sicherheit der personenbezogenen Daten muss auch gewährleistet sein, wenn Daten gelöscht oder vernichtet werden sollen.

In einer Beschwerde wurde geschildert, dass eine Apotheke eine Datenmülltonne, über die Dokumente mit Gesundheitsdaten entsorgt werden, in einem ohne Weiteres zugänglichen Innenhof einer Wohnanlage aufgestellt habe. Dieser Aufstellungsort sei besonders ungeeignet, da die Apotheke Drogenabhängige substituiere. Drogenabhängige seien bereits mehrfach im Innenhof angetroffen worden. Darüber hinaus werden Dokumente mit sensiblen Gesundheitsdaten auch über die im Hof stehenden Altpapiercontainer der Wohnanlage entsorgt.

Die Schilderungen veranlasste die Datenschutzbehörde sofort, kurzfristig unangekündigt die Apotheke aufzusuchen, um den Sachverhalt vor Ort aufzuklären und ggf. Abhilfe zu schaffen.

Die in der Eingabe erwähnte Datenmülltonne und die Altpapiercontainer befanden sich zum Zeitpunkt meiner Begehung tatsächlich im Innenhof einer Wohnanlage. Der Innenhof wurde von den Bewohnern und Besuchern der Wohnanlage und der Apotheke genutzt und war nur über eine Tür mit Schließanlage zugänglich. Bei diesem unangekündigten Besuch wurde in dem den Bewohnern und Besuchern zugänglichen Altpapiercontainern Schreddergut der Apotheke, allgemeinen Müll der Bewohner und allgemeine Post gefunden.

Unterlagen mit personenbezogenen Daten, die sich Kunden der Apotheke zuordnen ließen, wurden zu diesem Zeitpunkt nicht gefunden. Eine zusätzliche, von der Apotheke genutzte Datenmülltonne befand sich neben den Altpapiercontainern. Sie war mit einem Vorhängeschloss versehen und zur Hälfte gefüllt. Durch die Aufstellung im Innenhof war die Datenmülltonne allerdings Tag und Nacht allen Bewohnern und Besuchern der Anlage zugänglich ist. Sie ließe sich hier leicht wegrollen und entwenden. Mit geringer krimineller Energie wäre es auch möglich, das Vorhängeschloss zu öffnen oder über den Einwurfschlitz an einzelne Dokumente zu gelangen. Ein ausreichender Diebstahlschutz war nicht gegeben.

Die Datenschutzbehörde hat daher gefordert, dass die Datenmülltone entweder im Außenbereich gesondert zu sichern ist (abschließbarer Verschlag) oder durchgängig in den Räumlichkeiten der Apotheke zu verwahren ist. Auf diese Weise kann sichergestellt werden, dass Unbefugte keine Möglichkeit haben, sich Zugang zu dem Inhalt der Tonne zu verschaffen. Es sollte im Übrigen noch einmal schriftlich für die Mitarbeiter festgelegt werden, für welche Art von Datenmüll die übrigen Mülltonnen genutzt werden dürfen. Die Apotheke sagte vor Ort zu, eine entsprechende Lösung umzusetzen.

Die „Löschung und Vernichtung“ von personenbezogenen Daten fällt gemäß Art. 4 Nr. 2 DSGVO unter den Verarbeitungsbegriff der DSGVO. Nach Art. 5 DSGVO müssen personenbezogene Daten entsprechend den in Abs. 1 Buchst. a bis f enthaltenen Grundsätzen verarbeitet werden. Dabei muss die Verarbeitung in einer Weise erfolgen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

Neben der Möglichkeit, zu vernichtende Unterlagen direkt zu schreddern, besteht die Möglichkeit, durch einen zertifizierten Entsorgungsbetrieb eine verschlossene Papiertonne aufstellen zu lassen, bei der die fachgerechte Entsorgung des Inhalts vertraglich und organisatorisch sichergestellt ist. Dabei ist allerdings auch zu beachten, dass die Datenmülltonne so aufgestellt wird, dass diese angemessen sicher verwahrt wird, damit nicht Unbefugte Zugang erlangen können.

Die Apotheke hat die  Forderungen umgehend umgesetzt. Für die sichere Datenvernichtung gib es dokumentierte Prozessbeschreibungen und Arbeitsanweisungen. Der Prozess und die damit verbundenen Arbeitsanweisungen sind, nach Angabe der Apotheke, ebenfalls Gegenstand der Schulungen bei Aufnahme der Arbeitstätigkeit und ggf. von Folgeschulungen. Die Einhaltung werde laufend überwacht, z.B. durch Stichprobenkontrollen der Altpapiercontainer und der Datenmülltonne. Die Inhalte der Datenmülltonne werden regelmäßig von einem auf Aktenvernichtung spezialisierten Dienstleister entsorgt. Die von der Apotheke getroffenen Maßnahmen wurden dann als ausreichend erachtet und von weiteren aufsichtsrechtlichen Maßnahmen abgesehen.

Quelle: HBDI

Fragen Sie sich, ob Ihre Apotheke bei Datenschutz und Datensicherheit gut aufgestellt ist?

Unverbindlich mit Datenschutzbeauftragten sprechen

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks