Der richtige Umgang mit Gesundheitsdaten

Zu den Gesundheitsdaten, mit denen Sie im Apothekenalltag konfrontiert werden, gehören neben dem Namen, Geburtsdatum und der Anschrift des Kunden auch seine Krankheit, Medikation, Krankenkasse sowie allein die Tatsache, dass er zur Kundschaft einer Apotheke gehört.

Gesundheitsdatenschutz ist in der mündlichen Kommunikation, in der Papierform (z.B. Karteikarten) sowie online (z.B. Kundenkarten) zu gewährleisten. Das fängt schon bei der Einrichtung von Diskretionszonen für die persönliche Beratung an. Weiterhin gilt es, die Vertraulichkeit bei Telefonaten im laufenden Apothekenbetrieb zu wahren. Selbstverständlich sollten auch Computerplätze nicht einsehbare Bildschirme haben. Überdies müssen Sie Kundenunterlagen sicher sowie vor Zugriffen Unbefugter geschützt aufbewahren und Akten zuverlässig vernichten.

Das „Apothekergeheimnis“ darf zwischen Dienstleistung und Kundenbindung nicht auf der Strecke bleiben. Bei Fragen der Weitergabe von Daten („Offenbaren“) kommen allerdings nicht die EU-Datenschutz-Grundverordnung (DS-GVO) und das neue Bundesdatenschutzgesetz (BDSG_neu) zum Tragen, sondern die Vorschriften über die apothekerliche Schweigepflicht in §203 Strafgesetzbuch (StGB) sowie die entsprechenden berufsordnungsrechtlichen Vorgaben.

§203 StGB ist neu gefasst worden: Ein unbefugtes „Offenbaren“ ist nun nicht mehr gegeben, wenn es gegenüber „mitwirkenden Dritten“ erfolgt und „dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen“ erforderlich ist. In der Praxis geht es hier in erster Linie um die Einbindung von IT-Dienstleistern, die von extern auf Kundendaten zugreifen können. Um den Apothekeninhaber straffrei zu stellen, muss dieser die mitwirkenden Dienstleister schriftlich zur Verschwiegenheit verpflichten.

Zur Geheimhaltung müssen nur solche Personen verpflichtet werden, die an der beruflichen Tätigkeit eines Apothekers mitwirken, so z.B. Rechtsanwälte, Wirtschaftsprüfer, IT-Dienstleister, Abrechnungsstellen und Herstellerbetriebe. Nicht hierzu zählen hingegen die Botenfahrer von Herstellern und Großhändlern. Bei ihnen muss der Apotheker selbst dafür Sorge tragen, dass sie z.B. bei der Warenanlieferung keine Abholervorgänge einsehen können. Das Thema „Datensicherheit beim Outsourcing“ ist wichtig, sollte aber mit Augenmaß behandelt werden, um Geschäftsbeziehungen nicht ohne Not zu belasten.

Rechtmäßig ist eine Datenverarbeitung nach Art. 6 DS-GVO dann, wenn die Verarbeitung für die Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung erforderlich ist oder eine Einwilligung vorliegt.

§300 Sozialgesetzbuch (SGB) V regelt für den Abrechnungsverkehr, dass die Pharmazentralnummer maschinenlesbar auf das Rezept zu übertragen ist, sowie dass die Rezepte und Abrechnungsdaten an die Krankenkassen weitergeleitet werden. Eine Einwilligung der Kunden, dass der Apotheker die Leistung für gesetzlich Krankenversicherte mit den Krankenkassen abrechnen kann, sieht SGB V nicht vor.

Zudem ist eine Apotheke mehr denn je auch ein „Dokumentationszentrum“: §17 Abs. 6 Apothekenbetriebsordnung (ApBetrO) sieht z.B. eine Aufzeichnung und Speicherungspflicht von Patientendaten vor, sofern eine Abgabe von Blutzubereitungen oder bestimmten Sera erfolgt.

Von den gesetzlichen Verpflichtungen sind die Ermächtigungsgrundlagen zu unterscheiden, die dem Apotheker die Speicherung von Daten erlauben: Nach §300 Abs. 2 SGB V kann der Apotheker zur Abrechnung mit der Krankenkasse patientenbezogene Daten an Apothekenrechenzentren übermitteln. Durch zahlreiche Vorkehrungen muss dabei sichergestellt werden, dass unbefugte Dritte keinen Zugang zu diesen hochsensiblen Abrechnungsdaten bekommen.

§22 BDSG_neu erweitert die Möglichkeiten der Verarbeitung besonderer Kategorien von personenbezogenen Daten, z.B. zum Zweck der Gesundheitsvorsorge. In diesen Fällen sind besondere Schutzmaßnahmen, wie vor allem Pseudonymisierung und Verschlüsselung, zu ergreifen. Nach §24 BDSG_neu soll die Datenverarbeitung zu anderen als zu den ursprünglich vorgesehenen Zwecken auch dann zulässig sein, wenn sie zur Abwehr von Gefahren für die öffentliche Sicherheit oder zur Verfolgung von Straftaten oder zur Geltendmachung zivilrechtlicher Ansprüche erforderlich ist.

Für alle anderen Verarbeitungsvorgänge ist in der Regel eine Einwilligung des Betroffenen erforderlich, so etwa, wenn der Apotheker die im Zusammenhang mit der Arzneimittelabrechnung erlangten Daten für Kundenbindungsmaßnahmen einsetzen möchte.

Eine Einwilligung muss zwar nicht mehr schriftlich erfolgen, aber nachweisbar – also dokumentiert – sein. Sie ist u.a. freiwillig, in informierter Weise und unmissverständlich abzugeben (Art. 4 DS-GVO). Zudem müssen die Zwecke, für die die Einwilligung erfolgt, festgelegt sein (Art. 5 DS-GVO). Es ist ein Hinweis auf die Möglichkeit des jederzeitigen Widerrufs der Einwilligungserklärung zu geben (Art. 21 DS-GVO). Der Widerruf muss dabei so einfach wie die Erteilung selbst sein. Der Apotheker ist dann verpflichtet, die Daten zu löschen (Art. 17 DS-GVO).

Wenn eine Apotheke verkauft wird, ist die Veräußerung der Apotheken-Stammkunden-Beziehungen ein wesentliches Element. Die Vertrauensbeziehung der Kunden mit dem Verkäufer lässt sich jedoch nicht ohne Weiteres auf einen Nachfolger übertragen. Deshalb muss ein Apotheken-Kaufvertrag auch den Schutz der Kundengeheimnisse gewährleisten. Die Kunden sollten um ihr Einverständnis zur Fortführung ihrer Datensätze gebeten werden.

Nach Art. 12 DS-GVO müssen Verantwortliche geeignete Maßnahmen treffen, um die betroffenen Personen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu informieren, so etwa über die Zwecke der Datenverarbeitung (Art. 13 bzw. 14 DS-GVO).

Ein Aushang derartiger Informationen dürfte zwar hilfreich, aber wohl nicht ausreichend sein. Deswegen können Sie ein entsprechendes Schriftstück erstellen und Neukunden überreichen, wenn Sie diese in Ihre Kundendatei aufnehmen. Wichtig: Auch Bestandskunden sollten Sie das Schriftstück aushändigen, soweit diese noch nicht über die Informationen verfügen.

Es ist zu empfehlen, die aufgeführten Informationen auch für Ihre Apotheken-Homepage bereitzustellen, vor allem, wenn „Tools“ zur Statistik-Auswertung, Kontaktformulare o.Ä. zum Einsatz kommen. Übrigens: Auch die für den Aufruf einer schlichten Homepage erforderliche IP-Adresse gehört nach derzeitiger Ansicht zu den „personenbezogenen Daten“ i.S.d. DS-GVO.

Alle Datenschutzerklärungen auf Webseiten müssen zum 25. Mai 2018 neu erstellt werden. Vorlagen zur Orientierung gibt es inzwischen viele. Aber Datenschutz ist eine sehr individuelle Angelegenheit: Brauchbar als erster Anhaltspunkt (nicht zur unkritischen Übernahme!) sind im Internet (teils) kostenfrei angebotene Applikationen, die nach Angabe der individuellen Funktionen betroffener Homepages online individuelle Datenschutzerklärungen erstellen.

Wir stellen Ihnen folgende Dokumente als Muster zur Verfügung:

• Verpflichtung eines Dienstleisters zur Geheimhaltung
• Einwilligung in die Verarbeitung personenbezogener Daten
• Kundeninformation zur Erhebung personenbezogener Daten

Im Internet finden Sie einen „Datenschutzerklärungsgenerator“ beispielsweise unter:

• https://www.e-recht24.de/muster-datenschutzerklaerung.html

Dr. Bettina Mecking, Justiziarin der Apothekerkammer Nordrhein, Fachanwältin für Medizinrecht, 40213 Düsseldorf, E-Mail: b.mecking@aknr.de