Recht auf Löschung: Umsetzung in der Apothekensoftware

Dem entgegen stehen jedoch gesetzliche Aufbewahrungspflichten, wie es etwa bei der Patientenkartei im Rahmen der Opioidsubstitution für 3 Jahre der Fall ist oder bei Rechnungen, die mindestens zehn Jahre aufbewahrt werden müssen. Kundenstammdaten, die in der Apothekensoftware gespeichert werden, müssen in den meisten Fällen nicht aufgehoben werden. 

Doch ist es technisch überhaupt möglich, die Kundendaten aus der Apothekensoftware zu entfernen? DAZ.online hat bei drei verschiedenen Softwarehäusern nachgefragt. Dazu erklärt der Softwareanbieter Awinta kurz und knapp, dass es „selbstverständlich“ möglich sei, die Kundendaten endgültig zu löschen.

Die Firma Lauer-Fischer holt bei ihrer Bestätigung schon etwas weiter aus. Das Softwareunternehmen weist darauf hin, dass Aufbewahrungsfristen im Zweifel höher zu bewerten seien als das Löschbegehren des Patienten. „Ein Beispiel hierfür wäre eine hinterlegte Rechnung, die mindestens zehn Geschäftsjahre aufbewahrt werden muss. Hier wird dem Mitarbeiter ein entsprechender Hinweis angezeigt und die Löschung nicht durchgeführt. In so einem Fall empfehlen wir, den Kunden auszublenden. Damit erscheint er nicht mehr im Kundenstamm, die Informationen bleiben aber erhalten“, erklärt Lauer-Fischer gegenüber DAZ.online.  

Auch die Firma ADG bestätigt, dass das Löschbegehren grundsätzlich erfüllbar sei. „So ist grundsätzlich eine unwiderrufliche Löschung möglich, wobei aber rechtliche oder steuerliche Gründe bestehen können, statt einer Löschung eine Einschränkung der Verarbeitung oder eine Anonymisierung der Kundendaten vorzunehmen“, antwortet die Firma ADG DAZ.online.

Das Softwareunternehmen verweist zudem auf seine „datenschutzfreundlichen Voreinstellungen“ und  „verschiedene Möglichkeiten zur Erfüllung von Löschpflichten“. Die jeweilige Beurteilung, ob und wann Daten gelöscht werden dürfen oder müssen, liege allein in der Verantwortung der Apotheke.

Nach Auffassung von Dr. Lukas Kalkbrenner und Dr. Morton Douglas ist vor allem der Fall problematisch, in dem die Daten, bei denen Aufbewahrungsfristen gelten, nicht so erhoben werden, dass andere Daten, bei denen diese nicht bestehen, jederzeit gelöscht werden können. So ist es zum Beispiel nicht erforderlich, Angaben zur Medikation eines Kundenkarteninhabers zusammen mit handelsrechtlich relevanten Unterlagen zehn Jahre lang aufzubewahren. Es muss gewährleistet sein, dass die handelsrechtliche Aufbewahrungspflicht auch gewahrt werden kann, wenn der Patient seine Einwilligungserklärung zur Speicherung seiner Medikation widerruft. Hier sollte bereits bei der Datenerhebung sichergestellt werden, dass die unterschiedlichen Kategorien von Daten separat und entsprechend dem jeweiligen Zweck erhoben werden.

----------------------------------------------------------------------------------------------------------

Anmerkung der Redaktion: Auf Wunsch des Softwareunternehmens Pharmatechnik ergänzen wir wie folgt: „In den Pharmatechnik Warenwirtschaftssystemen IXOS und XT ist das Löschen von personenbezogenen Daten in zwei Schritten möglich. Zuerst werden die zu löschenden Daten in einen gesperrten (XT: deaktivierten) Zustand gesetzt, was einer Einschränkung der Verarbeitung nach Art. 18 DSGVO entspricht. Die Daten sind so in der Datenbank zwar weiterhin gespeichert, stehen den regulären Arbeitsprozessen jedoch nicht mehr zur Verfügung. Erst in einem weiteren Schritt können die gesperrten/deaktivierten Daten unwiederbringlich aus dem System gelöscht werden. Dieser endgültige Prozess ist durch eine entsprechende Berechtigung geschützt und erfüllt die Vorgaben nach Art. 17 DSGVO „Recht auf Löschung“.

Sofern Gründe gegen ein Sperren oder auch Löschen der Kundenstammdaten sprechen (z.B. Kunde mit offener Rechnung), wird der Bediener darauf mit einer entsprechenden Meldung hingewiesen.   

Die Entscheidung, wann und mit welchen Fristen personenbezogene Daten gesperrt oder gelöscht werden sollen oder müssen, liegt beim Verantwortlichen der Apotheke."