Viele Apotheken missachten Datenschutz Alexander Müller, 21.09.2016 10:29 Uhr
Vielen Apotheken könnte Ärger wegen ihrer Kundenkarten drohen. Denn nach einer Recherche der Wettbewerbszentrale beachten die Inhaber die Vorgaben des Datenschutzes nicht immer. APOTHEKE ADHOC sprach mit Juristin Tina Weigand über klassische Fallstricke.
Weigand hat sich rund 30 Angebote zu Kundenkarten von Apotheken angesehen – und war überrascht: „90 Prozent oder mehr holen die Einverständniserklärung der Kunden entweder nicht korrekt ein oder gar nicht.“ Der Datenschutz werden in vielen Apotheken oftmals noch relativ stiefmütterlich behandelt, so ihre Erklärung.
Ein typischer Fehler sei beispielsweise, dass nicht richtig erklärt werde, wofür die Karte eingesetzt werden soll. „Der Zweck der Datenerhebung muss laut Bundesdatenschutzgesetz genau beschrieben werden“, so Weigand. Das gilt der Wettbewerbszentrale zufolge auch für Dinge, von denen der Kunde eindeutig profitiert, etwa die Überwachung seiner Medikation. „Der Interaktionscheck ist fraglos ein guter Zweck, aber man muss als Unternehmer eben darauf hinweisen, dass die Kundenkarte dafür genutzt wird“, erklärt die Juristin.
Schon bei der Erfassung der Stammdaten auf der Karte können Apotheken einiges falsch machen. Immerhin werden in der Kundendatei für gewöhnlich sensible Daten gespeichert. Nicht nur Name und Vorname des Kunden, sondern auch seine Krankenkasse mit Versichertenstatus.
„Das Bundesdatenschutzgesetz kennt den Grundsatz der Datensparsamkeit. Es dürfen nur die für den Zweck notwendigen Daten gespeichert werden“, erklärt Weigand. Dabei schießen nach ihren Recherchen auch Apotheken regelmäßig über das Ziel hinaus: „Die verpflichtende Angabe einer Telefonnummer ist zum Beispiel schon fraglich, ganz sicher zu weit geht die Forderung nach einer zweiten Mobilnummer als Pflichtangabe.“ Apotheken würden teilweise auch den Hausarzt des Kunden obligatorisch abfragen. „Das geht entschieden zu weit“, so Weigand.
Diese Aussagen gelten vor allem für die Pflichtangaben. Dabei gibt es Weigand zufolge einen weiteren Fallstrick. „Die Pflichtfelder werden zwar meistens mit einem Sternchen versehen, zuweilen wird das aber nicht weiter erklärt.“ Der Anbieter müsse aber zweifelsfrei darüber aufklären, welche Felder ausgefüllt werden müssen und welche Angaben freiwillig sind.
Rechtlich sei es dabei unerheblich, dass die meisten Verbraucher die Kennzeichnung mit dem Sternchen vermutlich richtig verstehen, erklärt Weigand. Auch wenn sich nur vereinzelt Verbraucher dazu gedrängt fühlen könnten, alle Felder auszufüllen, sei dies bereits unzulässig.
Bei freiwilligen Angaben ist der Spielraum relativ groß. Aber auch hier sind Grenzen gesetzt: Im BDSG werden „besondere Arten personenbezogener Daten“ definiert. Dazu zählen Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Sollen diese Daten erhoben werden, bedarf dies einer ausdrücklichen Einwilligung des Betroffenen. Für Apotheken ist das relevant, wenn chronische Erkrankungen des Patienten auf der Kundenkarte gespeichert werden sollen.
Wer die Daten für die Kundenkarte online über ein Formular erhebt, hat laut Weigand weitere IT-Sicherheitsaspekte zu beachten: „Die Apotheke muss in diesem Fall auf eine Verschlüsselung der Daten bei der Übertragung achten.“
Über die Datenweitergabe an Dritte muss ebenfalls unbedingt aufgeklärt werden. Dieser Dritte muss dabei genau benannt werden, ein allgemeiner Hinweis reicht also nicht aus. Weigand rät deshalb in diesem Zusammenhang von der Verwendung von Standardformulierungen ab. Beispielsweise müsse eigens darauf hingewiesen werden, wenn das Unternehmen, an das die Daten weitergegeben werden sollen, seinen Sitz in den USA hat.
Dieser Fall dürfte zwar auf Apotheken nur selten zutreffen. Doch auch in ihrem Alltag gibt es typische Konstellationen, die am besten bereits bei der Abgabe der Kundenkarte bedacht werden müssen: Soll bei einem Inhaberwechsel die Kundendatenbank zusammen mit der Apotheke verkauft werden, müssen die Kundenkarteninhaber dem vorab zustimmen. Ansonsten muss die Freigabe später eingeholt werden. „Das ist aufwändig, weil eine aktive Zustimmung des Kunden notwendig ist. Eine Information mit Einspruchsfrist seitens der Apotheke reicht hier nicht aus“, so Weigand.
Dasselbe gilt für Filialapotheken. Soll die Kundenkarte an allen Standorten funktionieren, muss der Kunde dem vorab zustimmen. Auch Einzelapotheken sollten das bei ihren Verträgen beachten, falls sie später filialisieren möchten, rät Weigand. Alternativ kann die Zustimmung später in der Apotheke eingeholt werden.
Nicht nur Betroffene selbst können gegen Verstöße vorgehen, sondern nach dem Unterlassungsklagengesetz (UklaG) auch Verbände. Die Wettbewerbszentrale mahnt daher zu mehr Sorgfalt – auch bei Apotheken. In Bad Homburg will man aber zunächst auf Aufklärung setzen und die Branche für das Thema sensibilisieren.
+++ APOTHEKE ADHOC Umfrage +++
Wofür nutzen Sie Kundenkarten? Jetzt abstimmen!