PHARMATECHNIK

IXOS FAQ

Kategorie

Klicken Sie auf Jetzt suchen um innerhalb der ausgewählten Kategorie nach dem eingegebenen Stichwort zu suchen.

Datenübermittlung in Drittstaaten (Art. 46-49 DSGVO)


1. Ist der Sitz des Unternehmens außerhalb der Europäischen Union? Wenn "Ja", liegt ein  Angemessenheitsbeschluss der  Europäischen Kommission vor?

Wir bestätigen, dass das Unternehmen seinen Sitz in Deutschland hat.

2. Greift die PHARMATECHNIK auf Unterauftragnehmer bei der Datenverarbeitung zu, welche die Voraussetzung nach Ziff. 1 zutreffen?

Unser Unternehmen greift anlässlich der Datenverarbeitung nicht auf Unterauftragsnehmer zurück, auf welche die Voraussetzungen nach Ziff. 1 zutreffen.

Welche Fingerprint-Sensoren werden in der Apotheke installiert und nach welchen Verfahren werden die Daten erfasst und wie ist Datensicherheit gewährleistet?

Als Fingerprint-Scanner wird bei IXOS das Modell HID® DigitalPersona® 4500 Fingerabdruck-Lesegerät (https://www.hidglobal.de/products/readers/single-finger-readers/4500-fingerprint-reader) eingesetzt. Der Zugriff auf die vom Fingerabdruck-Lesegerät bereitgestellten biometrischen Daten erfolgt über DigitalPersona One Touch for Windows SDK (https://github.com/iamonuwa/Digital-Persona-SDK).

In der IXOS Datenbank werden ausschließlich die vom Fingerabdruck-Lesegerät bereitgestellten Fingerprint-Templates als Referenzdaten gespeichert. IXOS speichert niemals Bilddaten eines Fingerabdrucks und kommt auch nicht mit Bilddaten des Fingerabdrucks in Berührung.
Bei den Fingerprint-Templates handelt es sich um mit einem Template-Protection-Verfahren verschlüsselte Informationen der Minutien des gescannten Fingers. Aus einem Fingerprint-Template ist es nicht möglich das Bild des Fingerabdrucks zu rekonstruieren. Bei der Fingerprint-Authentifizierung wird das in der IXOS Datenbank hinterlegte Fingerprint-Template gegen das Fingerprint-Template des aktuellen Scans verglichen. Die von der DigitalPersona FingerJet™-Engine des Lesegeräts verwendeten Templategenerierungs- und -protection-Algorithmen sind vom Hersteller nicht veröffentlicht.

Zur Arbeitsweise der Fingerprint-Registrierung und Fingerprint-Verifikation siehe auch:
https://github.com/iamonuwa/Digital-Persona-SDK/blob/master/Docs/Fingerprint%20Guide.pdfhttps://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/BioKeys/DatenschutzfreundlicheAuthentisierungmitFingerabdruecken.html

Ist die Aussage richtig, dass der Einsatz eines Fingerprintscanners oder eines Rezeptscanners stets zur Bestellpflicht eines Datenschutzbeauftragten führt?

Der Einsatz eines Datenschutzbeauftragten ist bei der Verwendung von Fingerprintscannern und Rezeptscanner nicht zwingend erforderlich.
Wir haben das entsprechend durch eine Fachanwaltskanzlei prüfen lassen. Einen ausführlichen Faktencheck der Fachanwaltskanzlei zu dem Thema finden Sie unter folgendem Link:

Fingerprint: Was muss ich in meiner Apotheke bei der Einführung eines biometrischen Systems beachten?

PHARMATECHNIK ist lediglich der technische Anbieter der Fingerprint-Lösung. Die Apotheke selbst ist die ‚datenschutzrechtlich verantwortliche Stelle‘. In dieser Verantwortung ist die Apothekerin / der Apotheker selbst dafür verantwortlich, den Einsatz der Fingerprint-Lösung gegenüber einer entsprechenden Personalkraft rechtskonform auszugestalten.

Nach Art. 4 Nr. 14 DSGVO sind „biometrische Daten“ personenbezogene Daten (persönliche Daten) zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen.

Nach den Vorgaben des Datenschutzes erfordert die betriebliche Einführung eines biometrischen Systems zur Erfassung von Fingerabdrücken (Fingerprint) die Einwilligung der jeweils betroffenen Person.

Hinweis: Wir weisen an dieser Stelle ausdrücklich darauf hin, dass PHARMATECHNIK mit den vorstehenden Ausführungen keine Rechtsberatung erbringt oder diese ersetzt und keine Haftung übernimmt.

Was kann ein Apothekenkunde laut DSGVO von der Apotheke fordern?

  • Eine Aufstellung aller Daten, die die Apotheke von ihm gespeichert hat, gemäß Artikel 15 der DSGVO.
  • Das Sperren von Daten zur "Einschränkung der Verarbeitung" gemäß Artikel 18 der DSGVO.
  • Die Löschung seiner Daten gemäß dem "Recht auf Vergessenwerden" in Artikel 17 der DSGVO
    • Wenn der Zweck der Datenverarbeitung nicht mehr gegeben ist - z.B. Kunde ist weggezogen und hatte schon seit Jahren keinen Kontakt mehr zur Apotheke.
    • „Die Berichtigung seiner Daten gemäß dem „Recht auf Korrekturbegehren“ in Artikel 16 der DSGV.

Was sind personenbezogene Daten?

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt mittels Zuordnung einer Kennung wie einem Namen zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Praktisch sind das „alle mit einer Person auf irgendeine Weise verknüpften Daten“; hierzu zählen auch Geschäftsgeheimnisse. Geschäftsgeheimnisse sind etwa i.d.R. alle mit Einkaufsvorgängen verbundenen Daten oder auch Informationen dazu, welche Mitarbeiter Daten verarbeitet haben.

Muss ich von allen Kunden, die bereits eine Einwilligungserklärung zur Speicherung ihrer Daten unterzeichnet haben, eine neue DSGVO-konforme Einwilligungserklärung unterzeichnen lassen?

Zur Beantwortung dieser Frage verweisen wir auf einen Beschluss des „Düsseldorfer Kreises“ (Zusammenschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich) aus September 2016 [Zitat]:

 „Bisher erteilte Einwilligungen gelten fort, sofern sie der Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen (Erwägungsgrund 171, Satz 3 Datenschutz-Grundverordnung).

Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen.

Informationspflichten nach Artikel 13 Datenschutz-Grundverordnung müssen dafür nicht erfüllt sein, da sie keine Bedingungen im Sinne des genannten Erwägungsgrundes sind. Besondere Beachtung verdienen allerdings die folgenden Bedingungen der Datenschutz-Grundverordnung; sind diese Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort:

    • Freiwilligkeit („Kopplungsverbot“, Artikel 7 Absatz 4 in Verbindung mit Erwägungsgrund 43 Datenschutz-Grundverordnung),

    • Altersgrenze: 16 Jahre (soweit im nationalen Recht nichts anderes bestimmt wird; Schutz des Kindeswohls, Artikel 8 Absatz 1 in Verbindung mit Erwägungsgrund 38 Datenschutz-Grundverordnung).

Für die Mustertexte aus XT/IXOS hat PHARMATECHNIK eine fachanwaltliche Überarbeitung vornehmen lassen, bei der nur einzelne Formulierungen verändert oder entfernt wurden (z.B. wurde „persönliche Informationen“ durch den neuen gesetzlichen Begriff „personenbezogene Daten“ ersetzt).

Braucht die Apotheke einen Datenschutzbeauftragten?

Diese Frage lässt sich nicht pauschal mit „Ja“ oder „Nein“ beantworten. Im Kern wird eine datenschutzrechtlich belastbare Antwort von der Anzahl der Mitarbeiter (sogenannte 20-Mitarbeiter-Grenze) sowie den abschließenden Auslegungen der Datenschutzaufsichtsbehörden abhängig sein.

Da es in der jüngeren Vergangenheit zu dieser Frage unterschiedliche und sich teilweise auch widersprechende Aussagen und Berichterstattungen gab, empfiehlt PHARMATECHNIK im Zweifelsfall die zuständige Datenschutzaufsichtsbehörde des Bundeslandes zu befragen.

Was passiert mit Standard-Einwilligungen und sonstigen Formularen?

Die schon heute in den Warenwirtschaftssystemen hinterlegten Standard-Einwilligungserklärungen werden im Rahmen der PHARMATECHNIK Serviceangebote laufend auf die gültige Rechtsgrundlage angepasst, damit sie den Vorgaben der DSGVO entsprechen. Diese Standard-Einwilligungserklärungen sind somit Bestandteil des Warenwirtschaftssystems.

Unter den Begriff „sonstige Formulare“ fallen z.B. unser „Flyer für die Beantragung einer Kundenkarte“ oder auch die „Einwilligungserklärung für Mitarbeiterinnen / Mitarbeiter zum Umgang mit biometrischen Daten“, wenn der Apotheker aus Gründen der Datensicherheit ein Fingerprint-System verwenden will.

Was passiert mit der Verschwiegenheitserklärung nach § 203 StGB?

Wir versenden einen anwaltlich ausgearbeiteten und somit DSGVO-konformen AV-Vertrag, der auch eine entsprechende Verschwiegenheitsklausel enthält (Vertragspunkt 3.10).

Muss ich zukünftig beim Hochfahren den Computer durch ein Passwort schützen?

Der Zugriff auf die Benutzeroberflächen, Programme und Anwendungen kann durch Passwörter, KeyCards oder auch Fingerprint-Funktionalität geschützt werden.

Hintergrund: die DSGVO ist „technologieoffen“ formuliert und schreibt somit nicht zwingend bestimmte Maßnahmen vor. Diese müssen den aktuellen Stand der Technik entsprechen.

DSGVO (Datenschutzgrundverordnung): Wie unterstützt mich PHARMATECHNIK bei der Umsetzung der neuen Vorgaben?

Wir unterstützen Sie in gewohnter Weise bei der Beachtung und Umsetzung der neuen Vorgaben durch Hilfestellungen und Serviceangebote wie z.B.:

• Vertragsmuster zur Auftragsverarbeitung (früher 'Auftragsdatenverarbeitung')
• Standard-Einwilligungserklärungen für den Einsatz in der Warenwirtschaft
• sonstige Formulare

Darüber hinaus unterstützen wir Sie im Rahmen der Weiterentwicklung unserer Produktpalette natürlich auch funktional, etwa durch eine programmtechnische Berücksichtigung von Lösch- und Sperrvorgaben für personenbezogene Daten oder auch die Möglichkeit, einem Auskunftsanspruch Ihrer Kunden mit einem entsprechenden Report nachkommen zu können. Über weitere Einzelthemen werden wir Sie sowohl über Newsletter als auch gesonderte Informationsangebote und natürlich auch hier in der Rubrik FAQ fortlaufend informieren.

Kann ich Werbung an Stammkunden od. Patienten verschicken, wenn ich die Adressdaten aus dem System entnehme?

Eine Einwilligung für die Zusendung von Werbung oder Newsletter muss erteilt sein und es darf kein Widerspruch gegen Werbung vorhanden sein.

Nach welchen Fristen werden personenbezogene Daten gelöscht?

Daten in IXOS sind in mehrere Bereiche eingeteilt, für die die Löschfristen gesetzt werden können. Einer dieser Bereiche umfasst alle verkaufsbezogenen Daten.
Für diese Daten ist aus Gründen der GoBD-Konformität eine minimale Löschfrist von etwas über 10 Jahren (konkret 12 Jahre) festgelegt.

Durch die gemeinsame Gruppierung vieler verkaufsbezogenen Daten werden dadurch auch Daten, die prinzipiell eine kürzere Speicherdauer vertragen, mindestens so lange gespeichert.
Dies ist u.a. aus der Pflicht gemäß Art. 13 und 14 der DSGVO, bspw. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen bis zum Abschluss des Verkaufsvorgangs (bis zur gesetzlichen Löschung), notwendig.
In IXOS hat PHARMATECHNIK die Entscheidung getroffen, alle verkaufsbezogenen Daten mit einer gemeinsamen Löschfrist zu versehen. Um das „Recht auf Vergessen“ dennoch angemessen zu gewährleisten, kann aber durch Einstellung einer niedrigeren Sperrfrist die Anzeige und Verwendung dieser Daten durch das Bedienpersonal verhindert werden.

Wie verhält es sich mit der Speicherung von personenbezogenen Daten bei Einsatz des Rezeptscanners?

Die Verarbeitung dieser Daten ist abhängig davon, ob der Kunden der weiteren Verarbeitung und Speicherung vorher ausdrücklich zugestimmt hat („Stammkunden“ mit Einverständniserklärung), dann sind die Daten auch weiterhin abrufbar – oder ob es sich um einen „Laufkunden“ (ohne Einverständniserklärung) handelt, dann werden die Daten nur für kurze Zeit für die Zwecke der Rezeptbearbeitung und – abrechnung mit Personenbezug gespeichert, anschließend wird der Personenbezug gelöscht.

Warum kann man die Kunden nicht per Masse löschen bzw. sperren?

Dies ist über die Einstellung der entsprechenden Konfigurationsparameter möglich. Eine Beschreibung der Einstellungsmöglichkeiten finden Sie in unserem Tipps&Tricks Artikel zum Thema.

Wie lange werden Laufkunden im System gespeichert?

Hierzu sind entsprechende Einstellmöglichkeiten (Konfigurationsparameter) in IXOS vorhanden. Eine Beschreibung der Einstellungsmöglichkeiten finden Sie in unserem Tipps&Tricks Artikel zum Thema.

Wo finde ich das Feld, in dem ich den Datenschutzbeauftragten hinterlegen kann?

IXOS > Firmenstamm > Finanzen > Datenschutzbeauftragter
Mehr dazu finden Sie in der IXOS Onlinehilfe.

Ich arbeite bisher nicht mit gesonderten Rechten. Muss ich jetzt mit dem Arbeitsplatzschutz arbeiten?

Haftbar bei Verstößen gegen die DSGVO ist immer der Verantwortliche, also der Apothekeninhaber. Daher müssen Sie dies für Ihre Apotheke individuell entscheiden. Wenn bisher schon alle Mitarbeiter vertrauensvoll mit personenbezogenen Daten umgegangen sind, erreichen Sie mit dem Arbeitsplatzschutz nur eine zusätzliche Sicherheit in Bezug auf gesperrte Daten im Sinne der DSGVO. Hierzu sollten Sie sich ggf. gesondert informieren.

Kann ich auch weiterhin Kunden endgültig löschen?

Ja, dies ist möglich, nachdem der Kunde vorher manuell oder automatisch gesperrt wurde. Hier kann über Löschen - F4 ein endgültiges Löschen des Kontaktes erfolgen. Bisher funktioniert dies bei Stammkunden nur manuell, da nach dem endgültigen Löschen die Daten unwiederbringlich überschrieben werden.
Gesperrte Laufkunden werden automatisch über den Zeitraum des KP „Gesperrte Laufkunden löschen nach“ endgültig gelöscht.

Wie soll ich mit nicht mehr benötigten Kundendaten umgehen?

Nicht mehr benötigte Kundendaten (Kunde kommt nicht mehr in die Apotheke, Kunde hat keine Einwilligung erteilt oder diese widerrufen) werden automatisch nach einem über den KP „Sperrfristen für personenbezogene Daten“ gesteuerten Zeitraum aus der Anzeige entfernt (gesperrt). Dieser Zeitraum wird von PHARMATECHNIK so ausgeliefert, dass am 25.5. keine Daten gesperrt sind, muss aber umgehend von jeder Apotheke individuell angepasst werden.

Zusätzlich können auch einzelne Kunden aus der Übersicht mittels Löschen - F4 sofort gesperrt werden. Dies ist vorgesehen, um das Recht auf „Einschränkung der Verarbeitung“ nach Artikel 18 DSGVO zu gewährleisten.

Was muss ich tun, um in IXOS DSGVO-konform zu arbeiten?

  • Die Prozesse und Dokumente außerhalb der Warenwirtschaft DSGVO-konform gestalten

  • In IXOS die Systemeinstellungen rechtskonform einstellen; die konkreten Werte muss der Verantwortliche, ggf. in Zusammenarbeit mit (s)einem Rechtsvertreter und Berufsorganisationen festlegen

  • In IXOS Daten sauber pflegen - dies erleichtert die Zuordnung zu spezifischen Personen und damit ein korrektes Umgehen mit Kundenanfragen im Bereich des Datenschutzes

Müssen Heimbewohner eine extra Einwilligungserklärung unterschreiben?

 Nach der neuen DSGVO benötigt die Apotheke von allen Betroffenen eine Einwilligungserklärung. Diese Einwilligung muss auch alle Stellen auflisten, an denen die Daten der betroffenen Person gespeichert, genutzt und verarbeitet werden (Partnerapotheken). Es geht also nicht darum, einen Kontaktaustausch für Heimbewohner auszuschließen, sondern darum sicherzustellen, dass dort, wo das aus Datenschutzgründen gefordert ist, auch eine informierte und vollständige Einwilligung vorliegt. Die Einhaltung datenschutzrechtlicher Vorgaben obliegt dabei ausschließlich der Apotheke als Verantwortlichem. So muss sich die Apotheke auch um eine datenschutzkonforme Vertragsgestaltung mit dem Heim kümmern, in der alle datenschutzrechtlichen Aspekte berücksichtigt sind.

Was sind laut DSGVO legitime Gründe für die Speicherung personenbezogener Daten in der Apotheke?

Neben anderen, die für Apotheken i.d.R. nicht relevant sind, führt die DSGVO im Artikel 6 folgende Gründe auf:

  • Die Einwilligung des Betroffenen

    • Dafür muss die Apotheke nachweisen können, dass der Betroffene eine Einwilligung zur Datenspeicherung erteilt hat.

  • Die Erfüllung gesetzlicher Aufgaben

    • Dazu gehört etwa die Aufbewahrung aufgrund steuerlicher Aufbewahrungsfristen, bei BtM-Dokumentation usw.

  • Die Wahrung berechtigter Interessen des Apothekers

    • Z.B. Steuerprüfung, Retax-Recherche

    • Diese Interessen sind gegenüber den Interessen des Betroffenen abzuwägen, d.h. das Interesse des Apothekers muss höher sein als jenes des Betroffenen daran, dass die Daten nicht gespeichert werden.

Wer ist für den Datenschutz in der Apotheke verantwortlich und haftbar?

 Verantwortlich ist der Apothekeninhaber.

DSGVO (Datenschutzgrundverordnung): Was muss ich in meiner Apotheke hierzu beachten?

Das Thema Datenschutz ist aus der öffentlichen Diskussion nicht mehr wegzudenken. Jedes Unternehmen, das Kundendaten erhält und verarbeitet, muss sich über die (datenschutz-) rechtliche Zulässigkeit dieses Umgangs Gedanken machen. Dies gilt umso mehr für Apotheken, verarbeiten sie doch besonders sensible (Gesundheits-) Daten.

Was Sie in Ihrem Betrieb grundsätzlich bei der Umsetzung der Vorgaben aus der DSGVO zu berücksichtigen haben, erfahren Sie u.a. über die Datenschutzaufsichtsbehörden der einzelnen Bundesländer, über Institutionen für Datenschutz und Datensicherheit sowie über Apothekerverbände, etwa unter den nachfolgenden Internetadressen:

https://www.bfdi.bund.de/DE/Home/home_node.html
https://www.bsi.bund.de/DE/Home/home_node.html
https://www.datenschutzkonferenz-online.de/

Über alle Teilbereiche und Themen, die direkt unsere Warenwirtschaftssysteme betreffen, erhalten Sie alle notwendigen Informationen selbstverständlich kompakt & zeitnah stets über die Informationskanäle von PHARMATECHNIK.

Datenschutz & Datensicherheit: Kann ich Auskunft über erhobene und gespeicherte Daten verlangen?

Als betroffener Dateninhaber steht Ihnen eine schriftliche Auskunft über die bei uns von Ihnen gespeicherten Daten zu.

Sie können diese Auskunft per Fax, E-Mail, mündlich oder telefonisch anfordern.

Datenschutz & Datensicherheit: Kann von externer Seite auf das System zugegriffen werden?

Jeglicher Zugriff kann grundsätzlich per Berechtigungsmanagementkonzept ausschließlich durch einen sehr kleinen und somit stark eingeschränkten Expertenkreis aus dem Support und der Produktentwicklung erfolgen.

Ein Zugriff ist zusätzlich technisch nur von einem von PHARMATECHNIK im Rahmen der Domänen-Verwaltung eigenen Arbeitsplatzrechner innerhalb des Unternehmens möglich, was zusätzlich einen unberechtigten Zugriff von externer Seite vom Konzept her grundsätzlich ausschließt und durch die internen technischen Sicherheitsmaßnahmen überwacht und potenziellen Angreifern eine entsprechende große Hürde bietet.

Grundsätzlich gilt aber, dass hinsichtlich des Datenschutzes nur ein ganzheitliches, aber auch praxistaugliches Konzept greift. 

Dazu gehört neben den durch IXOS bereitgestellten Lösungen auch die Mitwirkung unter der Verantwortung des Kunden wie z.B. die Verwendung eigener Passwörter sowie auch eine regelmäßige Datensicherung.

Datenschutz & Datensicherheit: Wie ist die Aktualität von Virenscannern, Firewalls usw. gewährleistet?

Ein automatischer Update-Mechanismus hält Virenscanner, Firewalls und Windows jederzeit auf dem neuesten Stand.

Haben Sie Fragen?