Bitte einen Gang zurückschalten ...

Nach gut sechs Jahren Geltung der Europäischen Datenschutz-Grundverordnung (DSGVO) lässt sich festhalten: Der Datenschutz wird von Unternehmen branchenübergreifend berücksichtigt – sei es im Umgang mit Mitarbeitern, gegenüber Kunden und Geschäftspartnern.

Seinerzeit grassierende Horrorszenarien drohender Millionenbußgelder, Sammelklagen und existenzbedrohender Schadensersatzforderungen haben sich im Rückblick als haltlos entpuppt. Zwar gibt es diese Verfahren, was in der Tat zu einer höheren Auslastung bei Gerichten, Behörden und Rechtsanwälten führt. Allerdings verfestigt sich der Eindruck, dass sich nicht immer die strengste Lesart des Gesetzes am Ende durchsetzt.

Dies zeigt sich exemplarisch bei einer Vielzahl von Gerichtsentscheidungen über immateriellen Schadensersatz nach Art. 82 DSGVO. Darin werden zunehmend hohe Anforderungen an die Beweisführung eines kausalen Schadens gestellt, der Betroffenen durch eine solche Verletzung entstanden sein soll. Das pauschale Vorbringen eines vermeintlichen „Kontrollverlusts“ über Daten ist dabei nicht ausreichend.

Insofern eignet sich das Datenschutzrecht nicht mehr zur Einschüchterung oder als „Totschlagargument“. Im Folgenden wird dies an einigen praxisrelevanten Fragestellungen aus Apothekersicht beleuchtet.

Apotheken sehen sich regelmäßig mit der Frage konfrontiert, ob bei Rücksprachen zu ärztlichen Verschreibungen eine Einwilligung des Patienten erforderlich ist. Aus datenschutzrechtlicher Sicht ist dies zu verneinen. Generell gilt, dass nicht für jede Datenverarbeitung eine Einwilligung des Betroffenen erforderlich ist.

Abgesehen von (elektronischer) Werbung (Newsletter, Re-Marketing etc.) sowie bei bestimmten Zusatzleistungen (vgl. unten Kundenkarten) spielen Einwilligungserklärungen als Rechtsgrundlage eine untergeordnete Rolle.

Weit mehr Relevanz haben hingegen Datenverarbeitungen zur Erfüllung von Verträgen oder gesetzlichen Pflichten. Gemäß § 17 Abs. 5 Satz 3 Apothekenbetriebsordnung sind Unklarheiten oder Bedenken im Zusammenhang mit Verordnungen durch den Apotheker zu beseitigen, bevor das Arzneimittel abgegeben wird. Das legitimiert auch die damit einhergehenden Datenverarbeitungen.

Dass solche Rücksprachen nicht nur sensible Gesundheitsdaten des Patienten betreffen, sondern sogar strafbewehrte Berufsgeheimnisse, steht dem nicht entgegen. Im Ergebnis sind Rücksprachen aus rechtlicher Sicht als deutlich weniger brisant einzustufen, als oftmals angenommen.

Wenn sich Arzt und Apotheker, die beide der Verschwiegenheit gemäß § 203 Strafgesetzbuch (StGB) unterliegen, über einen Sachverhalt austauschen, der ihnen jeweils bereits bekannt ist, und diese Rücksprache im Interesse des Patienten erfolgt, dann ist das strafrechtlich unbedenklich.

Für die Datenverarbeitung im Rahmen der Heimversorgung ist eine Einwilligung des betroffenen Heimbewohners ebenfalls nicht erforderlich. Vielmehr sind die vertraglichen Vereinbarungen über die Heimversorgung – einerseits zwischen Heimbewohner und Heim, andererseits zwischen Heim und Apotheke – maßgeblich für die Zulässigkeit der damit verbundenen Datenverarbeitungen. Anderenfalls wäre bei einer unwirksamen oder widerrufenen Einwilligungserklärung die sichere Arzneimittelversorgung des Heimbewohners gefährdet, was einen Zielkonflikt mit dem gesetzlichen Leitbild des Apothekers darstellt.

Wenn Sie als Apotheker in der Heimversorgung tätig sind, sollten Sie für Transparenz und Rechtsicherheit der Vertragsgrundlagen sorgen, etwa indem Sie Ihre Grundsätze der Datenverarbeitung zur Verfügung stellen. Dazu braucht es keine (vermeintlich) freiwilligen Einwilligungserklärungen.

Unabhängig davon, ob mit Ärzten, Heimen oder Patienten kommuniziert wird, enthalten Nachrichten von bzw. an Apotheken in aller Regel zumindest Informationen über den betreffenden Patienten, ggf. auch zu dessen Gesundheitszustand. Aufgrund des erhöhten Schutzniveaus, das für sensible Daten gemäß DSGVO erforderlich ist, stellt sich die Frage, wie eine sichere Kommunikation aussehen sollte.

Eine explizite Pflicht, sensible Daten ausschließlich auf verschlüsseltem Weg zu versenden, ist in der DSGVO nicht enthalten. Dennoch gilt als ganz überwiegende Auffassung, dass eine Ende-zu-Ende-Verschlüsselung bei der Übermittlung sensibler Daten als „geeignete technische Maßnahme“ im Sinne von Art. 32 Abs. 1 DSGVO vom Verantwortlichen verlangt werden kann.

Im Unterschied zur Transportverschlüsselung für den sicheren Versand bietet die Ende-zu-Ende-Verschlüsselung einen zusätzlichen Schutz, indem der Nachrichteninhalt selbst verschlüsselt wird. Dadurch wird das Abfangen von Nachrichten – sog. „Man in the Middle-Angriffe“ – erheblich erschwert.

Um diesen Anforderungen gerecht zu werden, können Sie digitale Dokumente z. B. mithilfe des KIM-Standards (Kommunikation im Medizinwesen) über die Telematik-Infrastruktur sicher versenden und empfangen. Es gibt aber auch entsprechende Add-ins von E-Mail-Anbietern – der digitale Faxversand gilt indes nicht als sichere Kommunikationsform.

Insbesondere in der Endkundenkommunikation spielen Messenger-Lösungen wie WhatsApp eine zunehmend wichtigere Rolle. Hier müssen Sie als Apothekeninhaber die rechtskonforme Nutzung anhand folgender drei Aspekte bewerten:

• Der Messenger-Dienst-Anbieter muss sicherstellen, dass eine hinreichende Verschlüsselung erfolgt.
• Des Weiteren ist zu klären ist, ob der Anbieter die Wahrung von Berufsgeheimnissen im Sinne von § 203 StGB zusichert und wie dies mit Blick auf ggf. weitere Dienstleister in der Vertragskette umgesetzt wird.
• Schließlich ist zu prüfen, ob die beabsichtigte Nutzung mit den Nutzungsbedingungen des Messenger-Dienstleisters im Einklang steht. Gerade bei Arzneimitteln gibt es je nach Anbieter unterschiedliche Einschränkungen.

Das Ziel, zu verhindern, dass Daten in falsche Hände geraten, gilt in gleicher Weise für die telefonische Kommunikation. Bei Anrufen in der Apotheke mit sensiblen Gesprächsinhalten ist sicherzustellen, dass der Gesprächspartner eindeutig identifiziert wird. In diesem Zusammenhang kann ein Abgleich mit der Kundenkartennummer erfolgen, sofern diese verfügbar ist. Sollte dies nicht möglich sein, kann als zusätzliches Kriterium zur Identifizierung die vollständige Anschrift herangezogen werden.

Wie bereits dargelegt, stellt die Einwilligung als Rechtsgrundlage für die Datenverarbeitung eine Ausnahme dar. In vielen Fällen lassen sich deutlich praktikablere Lösungen finden. In diesem Zusammenhang ist zu erinnern, dass eine Einwilligungserklärung ein tatsächliches Handeln des Betroffenen erfordert (z. B. Anklicken, Ankreuzen, Unterschreiben), jederzeit ohne Angabe von Gründen widerruflich ist und von der Apotheke dokumentiert werden muss. Der signifikante Mehraufwand gegenüber dem bloßen Vorhalten von Datenschutzhinweisen, wie sie jede Datenverarbeitung verlangt, liegt auf der Hand.

Insofern ist bei Einwilligungserklärungen für Kundenkartenanträge eine wohlüberlegte Entscheidung erforderlich. In diesem Zusammenhang ist insbesondere an Belege über geleistete Zuzahlungen zu denken. In einem aktuellen Verfahren mit dem Berliner Beauftragten für Datenschutz und Informationsfreiheit wurde geklärt, dass das kundenorientierte Abdrucken von Patienteninformationen auf Kassenbelegen (identisch mit den Angaben zum Kunden auf dem Rezept) ohne Einwilligung nicht zulässig ist.

Weitere Anwendungen für Einwilligungserklärungen bei Kundenkartenanträgen betreffen in der Regel Medikationsanalysen sowie werbliche Ansprachen der Kunden. Wichtig ist, dass Verarbeitungstätigkeiten, die überhaupt keiner Einwilligungserklärung bedürfen, nicht unnötigerweise auf diese Rechtsgrundlage gestützt werden. Anderenfalls kann sich der Verantwortliche im Falle eines Widerrufs in Widersprüchlichkeiten verstricken, die ihm dann auf die Füße fallen.

Dr. Lukas Kalkbrenner, Rechtsanwalt und Partner, Friedrich Graf von Westphalen & Partner mbB | Rechtsanwälte, 79098 Freiburg, E-Mail: lukas.kalkbrenner@fgvw.de

Dr. Morton Douglas, Rechtsanwalt und Partner, Friedrich Graf von Westphalen & Partner mbB | Rechtsanwälte, 79098 Freiburg, E-Mail: morton.douglas@fgvw.de