EU-Datenschutzgrundverordnung: Das verändert sich im Pharmamarketing
Berlin – Besonders in Branchen wie der Pharmaindustrie, in denen die Arbeit mit sensiblen Daten zum Tagesgeschäft gehört, ist der rechtssichere Umgang seit jeher eine konstante Herausforderung. Mit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai soll eine einheitliche Rechtsgrundlage zur Verarbeitung personenbezogener Daten für alle EU-Mitgliedstaaten geschaffen werden. Hierbei werden vor allem die voranschreitenden digitalen Möglichkeiten berücksichtigt, wodurch sich nicht nur die Anforderungen für Unternehmen weiter verschärfen, es ergeben sich auch zahlreiche neue Vorgaben, wie die „Datenschutz-Folgeabschätzung“ oder die Pflicht zu „Privacy by design“. Ein rechtzeitiges Handeln und Umrüsten ist für Pharmabetriebe essentiell, denn bei Nichteinhaltung der neuen Gesetzgebung drohen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes sowie ein öffentlicher Reputationsverlust. Wie Pharmaunternehmen zukünftig mit ihren Daten umgehen müssen und was sich in puncto E-Mail-Opt-Ins, Direktmarketing und Co. verändert, weiß Dr. Anno Diekmann, Chief Operating & Performance Officer der good healthcare group (www.goodhealthcare.com). Die Allianz aus über 450 Healthcare-Spezialisten hat es sich zum Ziel gesetzt, die anspruchsvolle Kommunikation zwischen Pharmaindustrie, Healthcare-Professionals und Patienten zu verbessern und damit alle Beteiligten dabei zu unterstützen, sich auf das kostbarste Gut zu konzentrieren: Die Gesundheit des Menschen. „Datenschutz hat für uns dabei seit jeher oberste Priorität. Wir verfügen über die DIN EN ISO 27001-Zertifizierung und lassen uns derzeit Re-Zertifizieren“, so der Geschäftsführer. Änderungen und neue Anforderungen für Pharmaunternehmen hat der Pharma-Experte zusammengefasst:
Erstellung von Kundenprofilen: Kundendatenschutz im Überblick
Bei der Arbeit mit Kundendaten gibt es unter der DSGVO einiges zu beachten. Daten, die verarbeitet werden können, sind z.B. Anrede, Vorname, Nachname, E-Mailadresse, Anschrift oder medizinisches Fachgebiet. Generell ist die Berechtigungsgrundlage zum Anlegen und Verwenden von Kundenprofilen nach der DSGVO weiter gelegt als bisher. Denn: Das berechtigte Interesse, auf das die rechtmäßige Nutzung der Kundenprofile basiert, ist unproblematischer herzuleiten. Das bis zum 25. Mai 2018 gültige Bundesdatenschutzgesetz (BDSG) war hier wesentlich restriktiver. Was jedoch unter BDSG und DSGVO gleichermaßen schwierig zu argumentieren ist, ist das Zusammenführen von verschiedenen Datenbanken – das widerspricht nämlich dem Grundsatz der Datensparsamkeit. Darüber hinaus sollte die Verarbeitung besonderer Kategorien von Daten (politische Meinungen, Gesundheitsdaten etc.) vermieden werden – hierzu ist in jedem Fall eine Einwilligung erforderlich.
Profiling: Per Einwilligung auf Nummer sicher
Auch in Bezug auf das Profiling von Kundendaten gibt es unter der DSGVO einige Neuerungen zu beachten. Hier ist es wichtig, zunächst zwischen den Begriffen Profiling und sogenannten automatisierten Entscheidungen zu differenzieren. Während das Profiling laut DSGVO „jede Art der automatisierten Verarbeitung personenbezogener Daten, … um bestimmte persönliche Aspekte … [dieser Person] zu [analysieren und] bewerten, insbesondere … Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort …“ beschreibt, geht es bei einer automatisierten Entscheidung darum, dass keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat. Das ist relevant, denn: Nach DSGVO haben die betroffenen Personen das Recht, keiner ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Generell ist die Einholung einer Einwilligung bei jeder Art der rechtmäßigen Verarbeitung personenbezogener Daten die sicherste Variante. Gibt es jedoch eine gesetzliche Grundlage zur Verarbeitung, z.B. im Rahmen der steuerrechtlichen Aufbewahrungspflichten oder bei der Erhebung von Beschäftigtendaten zur Durchführung des Arbeitsverhältnisses, kann das „vorsorgliche“ Einholen der Einwilligung der Rechtmäßigkeit schaden.
Von Auskünften bis Datenübertragbarkeit: Stärkung der Betroffenenrechte
Ein besonderes Ziel der DSGVO ist der Ausbau der Betroffenenrechte. Wie auch schon unter BDSG haben betroffene Personen ein Recht zu erfahren, ob ein Unternehmen personenbezogene Daten über sie verarbeitet sowie die Umstände der Datenverarbeitung. Die DSGVO erweitert den Anspruchsumfang jetzt auf die geplante Dauer der Speicherung, die Herkunft der Daten und die Frage nach einer automatisierten Entscheidungsfindung einschließlich Profiling. Unternehmen sind weiterhin verpflichtet die Auskünfte unentgeltlich zu erteilen. Neu ist hierbei die Frist für die Beantwortung, sie muss „ohne unangemessene Verzögerung“, mindestens jedoch innerhalb eines Monats und „nach Möglichkeit auf elektronischem Wege“ stattfinden. Ebenfalls neu ist das Recht auf Datenübertragbarkeit. Betroffene können hiernach fordern, „die sie betreffenden personenbezogenen Daten, die sie einem für die Verarbeitung Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“. Weiterhin haben sie das Recht, „diese Daten einem anderen für die Verarbeitung Verantwortlichen ohne Behinderung durch den für die Verarbeitung Verantwortlichen, dem die Daten bereitgestellt wurden, zu übermitteln“.
Während diese Anforderungen bei einzelnen Anfragen noch gut zu erfüllen sind, können sie für große Pharmafirmen mitunter einen erheblichen Mehraufwand bedeuten. Abhilfe kann die Zusammenarbeit mit einem Dienstleister schaffen, der Unternehmen bei der Einhaltung von Form und Frist von Auskunftsansprüchen unterstützt.
Haftung und Datenpannen: Zusammenarbeit mit Dienstleistern
Für die Zusammenarbeit mit Dienstleistern ergeben sich für Pharmaunternehmen einige Besonderheiten. Zum einen haften nach DSGVO nicht mehr nur die Verantwortlichen für die Rechtmäßigkeit der Datenverarbeitung. Auch Auftragsdatenverarbeiter können bei Fehlern haftbar gemacht werden. Eine enge Abstimmung zwischen Pharmaunternehmen und ihren Dienstleistern ist deshalb unabdingbar, schon allein, um das ab sofort nötige Verzeichnis der Verarbeitungstätigkeiten sorgsam führen zu können. Zudem muss in diesem Rahmen festgestellt werden, ob eine gemeinsame Datenverarbeitung vorliegt. Ebenfalls relevant für die Zusammenarbeit ist die verschärfte Meldefrist bei Datenpannen. Waren Unternehmen bisher nur zur Meldung verpflichtet, wenn die Datenpanne besondere Arten personenbezogener Daten, also besonders sensible Informationen, betrifft oder Daten unrechtmäßig übermittelt oder Dritten auf sonstige Weise unrechtmäßig zur Kenntnis gelangt sind und wenn schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohten, ist die zuständige Aufsichtsbehörde unter DSGVO bei jeder „Verletzung des Schutzes personenbezogener Daten“ unverzüglich, also in der Regel binnen maximal 72 Stunden, zu benachrichtigen. Hier müssen Pharmaunternehmen und ihre Dienstleister entsprechende Vorkehrungen treffen, um eine Meldung in dieser Zeitspanne möglich zu machen.
Wer sich in diesen Bereichen rechtssicher aufstellt, ist auch im Zuge der DSGVO gut gewappnet. Für Interessierte bietet die good healthcare group gemeinsam mit der darauf spezialisierten Kanzlei HÄRTING Rechtsanwälte darüber hinaus umfangreiche und individuelle Workshops an, die gezielt auf die Bedürfnisse von Pharmaunternehmen eingehen und praktische Lösungsansätze für die Anwendung im (alltäglichen) Pharmamarketing aufzeigen. Zahlreiche Unternehmen haben diese Chance bereits genutzt und sich so mit professioneller Hilfe auf die Gesetzesänderung vorbereitet.
Quelle: Mashup Communications GmbH