Interview Professor Dr. Jürgen Kühling

„Apotheker müssen Herren der Daten bleiben“

, Uhr
Berlin -

Die Debatte um den richtigen Umgang mit Patientendaten ist wieder entbrannt: Ein Rechtsgutachten, das das ARZ Darmstadt in Auftrag gegeben hat, wirft die Frage auf, ob die von den Apotheken beauftragten Rechenzentren ihrerseits Unterauftragnehmer einbinden dürfen. Das Gutachten stammt von Professor Dr. Jürgen Kühling, der an der Universität Regensburg den Lehrstuhl für Öffentliches Recht, Immobilienrecht, Infrastrukturrecht und Informationsrecht innehat. Er erklärt, wo Apotheker beim Thema Datenschutz besonders aufpassen müssen – und warum es einfachere Vorgaben braucht.

ADHOC: Was machen die Apotheker beim Datenschutz falsch?
KÜHLING: Ich glaube gar nicht, dass es große Verstöße gibt. Ich habe großes Vertrauen in die Apotheker – es gibt also keinen Grund zur Unruhe. Allerdings beobachte ich, dass einigen Apothekern nicht bewusst ist, wie weit ihre Verantwortung reicht.

ADHOC: Das heißt?
KÜHLING: Es gibt zwei Richtungen, in die man aufpassen muss: Das eine ist das Personal, das man auf den sensiblen Umgang mit Daten hinweisen muss. Das andere sind Rechenzentren und andere Dienstleister, die eingeschaltet werden. Die Verantwortung der Apotheker für die Daten endet nämlich nicht, wenn diese an das Rechenzentrum übergeben werden.

ADHOC: Haften Apotheker, wenn ein Mitarbeiter eines Rechenzentrums sich nicht an die Datenschutzbestimmungen hält?
KÜHLING: Das nicht – aber genauso, wie sie dafür verantwortlich sind, dass ihre Mitarbeiter sich korrekt verhalten, müssen sie sicherstellen, dass auch im Rechenzentrum der Datenschutz gewährleistet ist. Weil man das Rechenzentrum aber nicht ständig kontrollieren kann, kommt den Verträgen eine sehr wichtige Bedeutung zu. Der kritische Moment ist also der der Vertragsunterzeichnung.

ADHOC: Was muss dabei beachtet werden?
KÜHLING: Aus meiner Sicht sind mehrere Punkte wichtig: In den Verträgen sollten den Apothekern Kontrollrechte eingeräumt werden. Sie müssen das Recht haben, sich das Rechenzentrum und die Abläufe anzuschauen. Außerdem sollten Apotheker bei Verstößen des Rechenzentrums gegen den Datenschutz informiert werden und die Rechenzentren nicht auf eigenen Namen und eigene Rechnung das Inkasso übernehmen. Die Apotheker müssen Herren der Daten bleiben. Man sollte außerdem darauf achten, dass das Rechenzentrum die Rechenprozesse selbst durchführt und schon gar nicht Unternehmer aus dem Ausland einschaltet – oder in diesem Fall die Daten ausreichend anonymisiert. Die meisten Anbieter am Markt erfüllen aus meiner Sicht die Anforderungen.

ADHOC: Wie sollen sich Apotheker verhalten, wenn noch nicht einmal geklärt ist, was „ausreichend anonymisiert“ bedeutet?
KÜHLING: Es ist wichtig, dass im Vertrag festgelegt ist, dass die Daten wie gesetzlich vorgeschrieben „ausreichend anonymisiert“ werden. Wie das Rechenzentrum diese Vorgabe umsetzt, liegt in seiner Verantwortung – und nicht in der des Apothekers. Selbst Datenschutzexperten können derzeit nicht sagen, wann die Vorgabe der Anonymität erfüllt ist. Da kann man von den Apothekern nicht mehr erwarten.

ADHOC: Können Sie verstehen, dass das Thema Datenschutz manchem Apotheker zu viel wird?
KÜHLING: Das Gefühl der Überforderung ist im Gesundheitswesen vollkommen nachzuvollziehen. Im Krankenhausbereich beispielsweise gibt es noch zahlreiche ungeklärte Fragen, und welche Datenschutzbestimmungen gelten, hängt auch vom Träger ab. Es kann also passieren, dass sich Apotheken, die mit zwei Krankenhäusern zusammenarbeiten, nach zwei verschiedenen Vorschriften richten müssen.

ADHOC: Warum fällt es den Beteiligten in Deutschland so schwer, sich auf eine einheitliche Linie zu einigen?
KÜHLING: Die Behörden entscheiden ganz unterschiedlich – und es gibt keine höchstrichterliche Rechtsprechung. Das Thema Datenschutz ist sehr skandalisierungsanfällig und schwankt immer zwischen den beiden Extremen Alarmismus und Ignoranz. Die meisten Akteure sind daher bemüht, Probleme einvernehmlich zu lösen. Gesundheitsdaten sind besonders sensibel – die Erwartungshaltung der Verbraucher entsprechend hoch.

ADHOC: Warum sind die Vorgaben beim Datenschutz so kompliziert?
KÜHLING: Anders als in anderen Bereich, in denen alles erlaubt ist, was nicht verboten ist, gilt beim Datenschutz: Jeder Schritt braucht eine rechtliche Grundlage. Daher sind viel zu viele komplizierte Regeln entstanden. Das ist eines der Grundprobleme beim Datenschutz im Gesundheitswesen.

ADHOC: Sollten die Regeln vereinfacht werden?
KÜHLING: Ja. Es braucht dringend eine Entschlackung. Ich hoffe auf eine geplante EU-Verordnung, die sich stark an den deutschen Standards orientiert. Allerdings ist diese Verordnung hoch umstritten: Einige Mitgliedstaaten befürchten zu strenge Vorschriften, andere Akteure setzen auf die vielen Regelungen, die wir derzeit haben. Ich denke aber, mehr Paragrafen bedeuten nicht mehr Datenschutz.

Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

APOTHEKE ADHOC Debatte