Auftragsdatenverarbeitung und WhatsApp zur Arzneimittelvorbestellung

Nur selten erledigen Apotheken alle ihre Aufgaben ohne fremde Hilfe: So werden externe Dienstleister etwa bei Rezeptabrechnungen mit den gesetzlichen Krankenkassen eingeschaltet, außerdem bei der Werbeadressenverarbeitung im Marketing, bei der Systembetreuung oder bei der Vernichtung von Datenträgern in der EDV sowie bei der Lohnabrechnung. Wenn externe Dienstleister dabei ausschließlich auf Weisung des Auftraggebers mit personenbezogenen Daten umgehen, spricht man von einer „Auftragsdatenverarbeitung“ (AV).

§ 7 Apothekengesetz erlaubt es dem Apothekenleiter zwar, bestimmte nicht pharmazeutische Geschäftsprozesse „auszulagern“. Dabei muss aber die Eigenverantwortung erhalten bleiben: Der Apothekenleiter hat über Zwecke und Mittel der Verarbeitung zu entscheiden. Der Datenverarbeiter übt also mithin nur eine unterstützende Tätigkeit aus, bei der für eigenständige Vorgehensweisen kein Raum bleibt. Daher ist eine anderweitige Übermittlung von Daten an Dritte – etwa bei der Inkassotätigkeit mit Forderungsübertragung oder bei einer Wirtschaftsprüfung – keine AV.

Wenn Datenverarbeitungs-Aufgaben vergeben werden sollen, muss zwischen dem Verantwortlichen und dem Auftragsverarbeiter nach Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) zwingend ein Vertrag in schriftlicher oder elektronischer Form (also nicht nur mündlich) geschlossen werden. Dieser Vertrag muss das Weisungsrecht des Verantwortlichen festlegen und beschreiben, was der Auftragsverarbeiter machen soll. Es gilt, ihn zur Vertraulichkeit und Einhaltung der Sicherheit bei der Verarbeitung zu verpflichten und festzulegen, was mit den Daten nach Abschluss der AV geschehen soll.

Weil bei der AV die Verantwortung für die Einhaltung datenschutzrechtlicher Vorgaben grundsätzlich beim Auftraggeber bleibt, ist er auch Ansprechpartner – gegebenenfalls mit Unterstützung des Auftragsverarbeiters – für die von der Datenverarbeitung betroffenen Personen. Er muss dafür sorgen, dass deren Rechte nach Art. 12 bis 23 DS-GVO und §§32ff. Bundesdatenschutzgesetz neu (BDSG_neu) eingehalten werden, so z.B. die Rechte nach Auskunft, Berichtigung und Löschung der Daten.

Für Schäden infolge eines Verstoßes gegen die DS-GVO haften der auftraggebende Apothekenleiter und der Auftragsverarbeiter im Außenverhältnis nach Art. 82 Abs. 1 und Abs. 4 DS-GVO zunächst gemeinsam für den gesamten Schaden. Wer jedoch nachweist, dass er „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“, wird nach Art. 82 Abs. 3 DS-GVO von der Haftung befreit.

Wer einen Auftragsverarbeiter einschalten möchte, muss vorher prüfen, ob dieser hinreichende Garantien dafür bietet, dass die Verarbeitung im Einklang mit den datenschutzrechtlichen Vorschriften erfolgt. Eben weil der Apothekenleiter gegebenenfalls auch für ein Fehlverhalten des Auftragsverarbeiters mithaftet, treffen ihn vor Vertragsschluss und auch während der Laufzeit gewisse Kontroll- und Dokumentationspflichten (Art. 32 Abs. 1 lit. d DS-GVO). In der Regel ist hierfür die Vorlage aktueller Dokumente (z.B. von Zertifizierungen) ausreichend, aus denen sich ergibt, dass der Auftragsverarbeiter geeignet ist und die gesetzlichen Anforderungen erfüllt. Soweit der Auftragsverarbeiter allerdings gegen Weisungen des Verantwortlichen verstößt, gilt er selber als Verantwortlicher (Art. 28 Abs. 10 DS-GVO).

Hingewiesen sei übrigens noch einmal darauf, dass die Bußgeldandrohungen für Verstöße empfindlich erhöht wurden.

Aktuell wurde der Straftatbestand der Verletzung der heilberuflichen Schweigepflicht nach § 203 Strafgesetzbuch (StGB) ergänzt. Das Heranziehen externer Dienstleister war nach der vorherigen Fassung nicht ohne strafrechtliches Risiko, sofern der Dienstleister – etwa bei der EDV-Wartung – dadurch von geschützten Geheimnissen erfahren konnte.

Nach der Neufassung des § 203 StGB ist es nun nicht mehr strafbar, ein geschütztes Geheimnis gegenüber Personen zu offenbaren, „die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit (…) erforderlich ist.“ Dafür werden diese „mitwirkenden Personen“ in die Strafbarkeit mit einbezogen, sofern sie selber geschützte Geheimnisse unbefugt offenbaren. Apothekenleitern als „Berufsgeheimnisträgern“ sind wiederum Sorgfaltspflichten auferlegt. Insbesondere müssen sie mitwirkende Personen zur Geheimhaltung verpflichten und sollten dies auch unbedingt dokumentieren (vgl. Service am Ende dieses Beitrags).

Es besteht keine grundsätzliche Pflicht, bisher abgeschlossene Vereinbarungen zur AV zu ersetzen, sofern diese bereits alle inhaltlichen Anforderungen der DS-GVO erfüllen. Geboten ist es jedoch, diese Vereinbarungen zusammen mit den Auftragsverarbeitern zu prüfen – diese dürften hieran schon angesichts der sie neu treffenden Haftung Interesse haben.

Immer mehr Apotheken bieten Vorbestellungen von Arzneimitteln über WhatsApp an: Dabei sendet der Kunde ein Foto seines Rezepts über den Instant-Messaging-Dienst an die Apotheke. Diese besorgt daraufhin die verschriebenen Medikamente und legt sie zur Abholung bereit. Für die Patienten ist diese Art der Bestellung zwar bequem und schnell. Datenschutzrechtlich bestehen jedoch bereits jetzt Bedenken. Denn sensible Gesundheitsdaten werden automatisch an den US-amerikanischen Anbieter des Dienstes übermittelt. Mit Blick auf die DS-GVO ist von WhatsApp-Bestellungen noch eher abzuraten als nach altem Recht.

Die rechtlichen Unwägbarkeiten des WhatsApp-Bestellvorgangs wurden z.B. in den im Service genannten Beiträgen diskutiert [1, 2]. Die Autoren weisen vor allem darauf hin, dass der Apothekenleiter damit unmittelbar verantwortlich für die Erhebung und die weitere Verarbeitung der betroffenen Daten wird. Er müsse also sicherstellen, dass die datenschutzrechtlichen Vorgaben eingehalten werden.

Teilweise wird vorgeschlagen, bestimmte Vorkehrungen zu treffen, wenn man trotz der Risiken an WhatsApp festhalten wolle. Dazu zählt z.B., WhatsApp nur über ein Smartphone der Apotheke zu nutzen, in dessen Adressbuch keine anderen Nummern gespeichert sind. Dies kann aber genauso wenig helfen wie die Berufung darauf, dass der informierte Verbraucher einen weniger sicheren Kommunikationsweg für die Übermittlung seiner Gesundheitsdaten gewählt habe, obwohl ihm weitere Kommunikationswege zur Verfügung gestanden hätten.

Die Vorbestellung über SMS wirft weniger Probleme auf als diejenige über WhatsApp. Es ist allerdings zu beachten, dass SMS – ebenso wie E-Mails und Faxe – in der Regel nicht verschlüsselt sind. Und unverschlüsselten Kommunikationswegen stehen die Aufsichtsbehörden bei sensiblen Gesundheitsdaten grundsätzlich kritisch gegenüber.

Wenn Sie also z.B. in Werbematerialien auf Telefonnummern für SMS-Bestellungen, E-Mail-Adressen oder Fax-Nummern verweisen, müssen die Kunden auch über die Datenverarbeitung informiert werden. Zumindest sollte ein Hinweis auf die Unsicherheit der Übermittlung enthalten sein.

hilfreiche Links:

• ausführlich kommentiertes Muster für einen Vertrag mit einem Auftragsverarbeiter:www.daebl.de/CS39
• Muster zur Geheimhaltungsverpflichtung von Auftragsverarbeitern unter „Musterverträge“.

Literatur:

1. https://www.ldi.nrw.de/mainmenu_Service/submenu_Berichte/Inhalt/23_DIB/DIB-2017.pdf

2. https://www.deutsche-apotheker-zeitung.de/news/artikel/2018/03/20/lieber-keine-arzneimittelvorbestellung-ueber-whatsapp

Dr. Bettina Mecking, Justiziarin der Apothekerkammer Nordrhein, Fachanwältin für Medizinrecht, 40213 Düsseldorf, E-Mail: b.mecking@aknr.de