Am Freitag ist es so weit, dann tritt die EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft und überlagert das nationale Datenschutzrecht. Der Umgang mit sensiblen Daten ist Alltag in den Apotheken. Ein viel diskutiertes Thema ist die Bestellung von Therapieallergenen, die ohnehin unter das geltende Bundesdatenschutzgesetz (BDSG) fällt. Hersteller sehen die Therapiesicherheit in Gefahr.
Therapieallergene sind traditionell Individualrezepturen nach § 21 Arzneimittelgesetz (AMG). Diese werden unter Weitergabe der Patientendaten beim Hersteller bestellt, individuell angefertigt und an die Apotheke zur Abgabe ausgeliefert. Für diesen Fall muss die DS-GVO beachtet werden. Für Verordnungen von Therapieallergenen, die beim Paul-Ehrlich-Institut (PEI) eine Zulassung haben und ohne Patientendaten in den Verkehr gebracht werden, ist nichts besonderes zu beachten, so Stephan Kerkojus, Geschäftsführer der Lofarma Deutschland GmbH. Denn sie können – wie jede andere klassische Arzneimittelbestellung – über den Großhandel geordert werden. Eine Übertragung von sensiblen Kundendaten findet dabei nicht statt.
Beachtung findet die DS-GVO in der Bestellung der Individualrezepturen nach § 21 AMG. Wer eine Desensibilisierung erhält, wird über einen Zeitraum von drei bis fünf Jahren mit der allergenspezifischen Immuntherapie behandelt. Für die Erstbestellung erhält der Patient neben dem Rezept üblicherweise auch einen herstellerbezogenen Bogen mit seinen Daten, dem herzustellenden Therapieallergen, Arztstempel und Unterschrift. Folgebestellungen erfolgen monatlich oder quartalsweise.
Apotheker und Apothekenpersonal erhalten laut Kerkojus eine zentrale Rolle als Datenschützer am Patienten. „Sie müssen Sorge tragen, dass der Patient sein Einverständnis für die Datenweitergabe gegeben hat.“ Fehlt diese, gestalte sich die Herstellung schwierig, da „die Beteiligten im Falle einer Prüfung nachweisen müssen, dass die Zustimmung durch den Patienten erteilt wurde“.
Die Apotheken müssen also eine Einverständniserklärung zur Weitergabe der Daten von den Patienten einholen. Diese muss vom Betroffenen unterschrieben werden. Einige Hersteller bieten laut Kerkojus auf dem Bestellbogen die Möglichkeit zur Einwilligung. So könne bei der Erstbestellung das Einverständnis auf allen Ebenen – Arzt, Patient, Apotheke, Hersteller – gegeben und dokumentiert werden.
Reicht ein Patient nur das Rezept ohne Bestellbogen in der Apotheke ein, sollte stets erfragt werden, ob dieser bereits seine Zustimmung zur Datenweitergabe erteilt hat. Ist dies nicht der Fall, könne die Einverständniserklärung auf den Webseiten einzelner Hersteller heruntergeladen werden. „Da die Datenverarbeitungsprozeduren der Therapieallergene-Hersteller zum Teil unterschiedlich sind, sollten Apotheker Besonderheiten in der Datenverarbeitung beim Hersteller im Vorfeld abklären“, sagt Kerkojus. Details seien im Auftragsdatenverarbeitungsvertrag, zwischen Apotheke und Hersteller zu finden, der zu Beginn der Zusammenarbeit geschlossen wurde.
Künftig könne ein verschlüsselter Patientencode die Arbeit mit den sensiblen Kundendaten erleichtern. Dieser könne beispielsweise über das Praxissystem der Ärzte generiert werden. Möglich sei auch eine Pseudomisierung der Patientendaten beispielsweise aus den Anfangsbuchstaben des Vor- und Nachnamens sowie dem Geburtsdatum, wobei das Anonymisieren dem Pseudomisieren Vorrang haben sollte. Hierbei bestehe aus Sicht von Kerkojus jedoch ein Problem: Verwechslungen der Arzneimittel seien möglich. Ärzten und Apothekern werde die Endkontrolle erschwert und somit die ordnungsgemäße Zuordnung des Therapieallergens nicht mehr sichergestellt. Verwechslungen könnten nicht ausgeschlossen werden. Die Therapiesicherheit würde unter dem Gebot der Datensparsamkeit aus dem Auge verloren.
APOTHEKE ADHOC Debatte