Dem Großhändler Alliance Healthcare Deutschland (AHD) ist eine Datenpanne unterlaufen. Kunden in Itzehoe in Schleswig-Holstein erhielten per Fax Daten anderer AHD-Kunden – laut dem Großhändler aber keine sensiblen Informationen.
Auf Anfrage bestätigte der Großhänder gegenüber APOTHEKE ADHOC: „Am Freitag ist versehentlich ein Fax an unsere Kunden in Itzehoe herausgegangen, das öffentlich zugängliche Daten anderer Kunden beinhaltete. Datenschutzbestimmungen wurden nicht verletzt, und der Irrtum ist auch bereits korrigiert.“
Die Zugehörigkeit zu einem bestimmten Kundenkreis zählt zwar datenschutzrechtlich zu den personenbezogenen Daten. Ob es sich um einen relevanten Vorfall nach der Datenschutz-Grundverordnung (DSGVO) handelt, hängt allerdings maßgeblich vom entstandenen Schaden ab. Dieser sollte zu vernachlässigen sein, wenn tatsächlich nur Kunden aus Itzehoe angeschrieben wurden.
In einem solchen Fall raten Datenschützer dazu, die wenigen betroffenen Personen direkt zu kontaktieren, zum Löschen der Daten aufzufordern und um eine Bestätigung des Vorgangs zu bitten. Wenn also in diesem Fall die Apotheken versichern, dass sie das Fax vernichtet haben, verfügt AHD über die entsprechende Dokumentation und müsste den Fall nicht beim Datenschutzbeauftragten melden.
Allerdings sollte der Großhändler seine internen Prozesse überprüfen, denn schon vor einigen Monaten hatte eine Apotheke eine Liste mit Daten anderer Apotheken in der Lieferwanne. Betroffen war dieselbe AHD-Niederlassung.
Wo mit vielen Daten hantiert wird, bleiben solche Pannen nicht aus – AHD bildet hier keinen Einzelfall. So hatte auch Branchenprimus Phoenix Ende 2019 eine Datenpanne: Ein Mitarbeiter hatte versehentlich Liefer- und Umsatzdaten von 211 Apotheken per Fax versandt. Die Daten gaben Auskunft über Lieferungen der Monate September, Oktober und November 2018. Nach Firmenangaben wurde beim elektronischen Faxversand irrtümlich eine falsche Datei ausgewählt. In diesem Fall wurde der Datenschützer eingeschaltet.
2016 war es beim Großhändler Sanacorp zu einem noch schwerwiegenderem Vorfall gekommen: Versehentlich wurden sensible Kundendaten in großem Umfang an die Apotheken verschickt. Eigentlich sollten die Sanacorp-Kunden im Norddeutschland nur die Einladung zu einem Seminar erhalten. Doch beim Versand wurde nicht nur die Faxnummer, sondern die komplette Datenbank des Mitarbeiters angehängt, eine Tabelle mit rund 70 Seiten.
Ebenfalls 2016 schickte das Digitale Rezept Zentrum (DRZ) die Rezeptabrechnung einer Apotheke aus Niedersachsen an einen Kollegen im Siegerland. Aus den versehentlich mitgeschickten Daten waren unter anderem die Anzahl der Rezepte und Packungen pro verordnendem Arzt ersichtlich sowie der Rohertrag der Apotheke – streng vertrauliche Informationen. Das DRZ, das zum Softwarehaus Pharmatechnik gehört, räumte den Fehler ein und entschuldigte sich.
APOTHEKE ADHOC Debatte