Das sind die wichtigsten Antworten zum Datenschutz in der Apotheke (Teil 5)

Die EU-Datenschutzgrundverordnung ist eigentlich schon vor zwei Jahren in Kraft getreten – doch heute, am 25. Mai 2018, ist die zweijährige Übergangsfrist abgelaufen. Das heißt: Alle hatten zwei Jahre Zeit sich vorzubereiten – nun sind die Regeln scharf gestellt. Allerdings ging es einigen Unternehmen offenbar kaum anders als vielen Privatpersonen: Sie haben Unangenehmes aufgeschoben – und gerieten in den vergangenen Tagen unter Stress.

Unmittelbare Sanktionen sind nicht zu befürchten

Die Bundesbeauftragte für Datenschutz, Andrea Voßhoff, hat bereits erklärt, dass seitens der Behörden keine unmittelbare Bußgelder zu befürchten, wenn sich Betroffene nicht sogleich an die DSGVO halten. Auch die Deutschland-Vertretung der Europäischen Kommission betont in ihren aktuellen „Fragen und Antworten“ zur DSGVO, dass es zwar grundsätzlich keine Schonfrist gibt. Aber: „Sicher werden die nationalen Behörden aber auf die Verhältnismäßigkeit der Sanktionen achten“. EU-Justizkommissarin Vera Jourová geht demnach davon aus, dass sich die Datenschutzbehörden in den ersten ein, zwei Jahren darauf konzentrieren, Unternehmen zu helfen, die Regeln umzusetzen und nicht zu „Sanktionsmaschinen“ werden.

Wir hoffen, dass Ihre Apotheke vorbereitet ist – auch wenn noch immer die eine oder andere offene Frage gibt. Das zeigte unser Aufruf an unserer Leserinnen und Leser uns Fragen zur DSGVO zu schicken. Im fünften Teil geht es um Datenauftragsverarbeitung, um Löschfristen und WhatsApp. Die Antworten kommen diesmal von den Rechtsanwälten Dr. Morton Douglas und Dr. Lukas Kalkbrenner (Friedrich Graf von Westphalen & Partner Rechtsanwälte, Freiburg) sowie Dr. Timo Kieser und Svenja Buckstegge (Oppenländer Rechtsanwälte, Stuttgart).

Zunächst antworten Dr. Lukas Kalkbrenner und Dr. Morton Douglas auf Fragen zu Löschfristen, dem Verarbeitungsverzeichnis und zur Auftragsverarbeitung:

Frage: Wenn ein Kunde dies wünscht, sollen Daten sofort gelöscht werden. Dem könnten aber gesetzliche Aufbewahrungsfristen entgegenstehen. Wie ist hier zu verfahren?

Antwort: Sofern es gesetzliche Aufbewahrungspflichten und Aufbewahrungsfristen gibt, gehen diese dem Löschungsgesuch des Patienten vor. Problematisch ist allerdings der Fall, in dem die Daten, bei denen Aufbewahrungsfristen gelten, nicht so erhoben werden, dass andere Daten, bei denen diese nicht bestehen, jederzeit gelöscht werden können. So ist es zum Beispiel nicht erforderlich, Angaben zur Medikation eines Kundenkarteninhabers zusammen mit handelsrechtlich relevanten Unterlagen zehn Jahre lang aufzubewahren. Es muss gewährleistet sein, dass die handelsrechtliche Aufbewahrungspflicht auch gewahrt werden kann, wenn der Patient seine Einwilligungserklärung zur Speicherung seiner Medikation widerruft. Hier sollte bereits bei der Datenerhebung sichergestellt werden, dass die unterschiedlichen Kategorien von Daten separat und entsprechend dem jeweiligen Zweck erhoben werden.

Frage: Muss ein Verarbeitungsverzeichnis für Jedermann auf der Apotheken Homepage veröffentlicht werden?

Antwort: Nein, das sogenannte Jedermann-Verzeichnis, wie es Gegenstand des alten Bundesdatenschutzgesetzes war, gibt es nach der DS-GVO nicht mehr. Das neue Verarbeitungsverzeichnis ist nur der Behörde auf deren Verlangen vorzulegen.

Frage: Braucht man einen Vertrag zur Datenauftragsverarbeitung für die Genehmigungen bei Krankenkassen, die Bestellung von Kompressionsstrümpfen oder die Nutzung von Portalen zur Erstellung von individuellen Rezepturen (z.B. Taomed oder Unisan)?

Antwort: Nein, für die Erfüllung des Vertrages einschließlich der Einholung von Genehmigungen bei Krankenkassen oder der Bestellung von patientenindividuell anzufertigenden Produkten bedarf es keiner datenschutzrechtlichen Einwilligungserklärung. Dies ist Teil der Durchführung des Vertrages und insoweit ist die Verarbeitung durch Art. 6 Abs. 1 b) DS-GVO gedeckt. Diese Anbieter erbringen selbständige Leistungen in eigener datenschutzrechtlicher Verantwortung. Es ist lediglich sicherzustellen, dass sie entsprechend datenschutzkonform agieren

Von größerer Bedeutung ist in diesem Zusammenhang, dass der Apothekeninhaber gesundheitsbezogene Informationen, die Teil des Berufsgeheimnisses nach § 203 StGB darstellen, an Dritte weiterleitet, so dass hier die besonderen Vorgaben des § 203 Abs. 3 und 4 StGB zu berücksichtigen sind.

Frage: Was ist im Zusammenhang mit der Zahlung mit EC/Kreditkarten zu beachten? Müssen Anbieter von EC-Karten-Geräten eine Datenschutzerklärung abgeben oder Auftragsdatenverarbeitungsverträge zur Verfügung stellen? Muss die Apotheke hierzu etwas in ihrer eigenen Datenschutzerklärung erläutern? Wenn ja, in welchem Umfang?

Antwort: Nein, für die Erfüllung des Vertrages einschließlich des Einsatzes von Zahlungsdienstleistern bedarf es keiner datenschutzrechtlichen Einwilligungserklärung. Dies ist Teil der Durchführung des Vertrages und insoweit ist die Verarbeitung durch Art. 6 Abs. 1 b) DS-GVO gedeckt.

Frage: Was ist bei der Zusammenarbeit mit sonstigen externen Dienstleistern zu beachten, mit denen ein Datenaustausch stattfindet? Müssen etwa Verträge mit EDV-Partnern, Rezeptabrechnungsstellen oder Clearing-Stellen angepasst werden? Reicht es, wenn Auftragsverarbeiter statt eines Vertrages eine Art Verpflichtungserklärung zur Verfügung stellen?

Antwort: In diesen Fällen ist in der Regel eine Vereinbarung über die Auftragsverarbeitung nach Art. 28 DS-GVO erforderlich. Zusätzlich hierzu ist in den Fällen, in denen der Apotheker Daten weiterleitet, die dem § 203 StGB unterliegen, eine entsprechende Erklärung nach § 203 Abs. 3 und 4 StGB erforderlich.

Svenja Buckstegge und Dr. Timo Kieser geben Antworten zum Thema WhatsApp und Apothekenübernahme.

Frage: Wir haben für unsere Apotheke WhatsApp als Kommunikationskanal für unsere Kunden installiert und beworben. Im Accounttext weisen wir auf den mangelnden Datenschutz hin und erklären, WhatsApp nicht für Bestellungen zu nutzen. Trotzdem schicken uns Kunden hierüber ihre Bestellungen. Wenn wir trotz des Hinweises zum mangelnden Datenschutz den Auftrag bearbeiten sollen, müssen uns die Absender das mit ihrem Namen bestätigen. Davon drucken wir einen Screenshot aus und löschen nach Abschluss den kompletten Chat vom Tablet, auf dem auch keinerlei Adressdaten vorhanden sind. Ist das zulässig?

Antwort: Zur Benutzung von WhatsApp in der Apotheke ­– unabhängig ob als Kommunikationskanal oder für Bestellungen – werden sehr unterschiedliche Auffassungen vertreten. Bis es hier zu einer höchstrichterlichen Klärung der sich stellenden Fragen mit Blick auf Datenschutz, Berufsrecht und Verschwiegenheitspflichten einerseits und dem Recht des Kunden auf informationelle Selbstbestimmung, der über einen unsicheren Weg aufgeklärt wird und diesen bewusst beschreitet, kommt, verbleiben Unsicherheiten. Es kann deshalb nicht sicher beantwortet werden, ob ein Vorgehen zulässig ist oder nicht.

Was gilt bei einer Apothekenübernahme? 

Frage: Ich werde eine Apotheke übernehmen. Was ist für die korrekte Übergabe der Kundendaten zu beachten? Gibt es hierfür auch eine empfehlenswerte Formulierung im Kaufvertrag?

Antwort: Wichtig ist, dass die jeweiligen Kunden zustimmen, dass die Kundendaten übergehen und der Käufer diese Daten zukünftig verwendet. Wie, in welchem Zeitraum und in welcher Form die Einwilligung eingeholt wird, hängt von der Ausgestaltung der Kundendatei und den näheren Umständen des Einzelfalls ab. Es gibt dabei käufer­ und verkäuferfreundliche Formulierungen, die allerdings regelmäßig daran ansetzen, dass der Kunde individuell zustimmt.