Ob Kundenkarte oder Medikationshistorie, Apotheken sollten achtsam sein bei der Dokumentation personenbezogener Daten. Das gilt nicht erst seit der neuen Datenschutz-Grundverordnung (DSGVO), seitdem sind aber auch die Kunden deutlich sensibilisiert – und fragen nach. Sie haben zum Beispiel das Recht, alle zu ihrer Person gespeicherten Daten löschen zu lassen. Das stellt den Inhaber vor neue Herausforderungen.
Gemäß Art. 17 DSGVO müssen auch Apotheker auf Wunsch des Kunden alle personenbezogenen Daten unverzüglich löschen – wobei es Einschränkungen und Ausnahmen gibt, sofern die Daten für ganz oder teilweise für andere Zwecke gespeichert bleiben müssen. Das gilt für die Abrechnung, teilweise auch für steuerrechtliche Fragen.
Aber was tun, wenn der Ex-Kunde ein Löschprotokoll verlangt? Hat er Anspruch darauf? Der Apotheker muss der betroffenen Person Informationen über die getroffenen Maßnahmen zur Verfügung stellen. Laut Rechtsanwältin Rebecca Mohr beinhaltet diese Pflicht aber nicht das Ausstellen eines Protokolls: „Ich denke das Löschprotokoll zeigt nicht die Maßnahmen, sondern – sehr weitgehend – das Ergebnis und den Prozess.“
Die Apotheke muss die Löschfristen dokumentieren und nachweisen. „Im Prinzip muss der Verantwortliche damit ein Datenschutz-Compliance-Management-System installieren“, so Mohr. Die Verpflichtung zur Löschung könne ab einem gewissen Komplexitätsgrad sowieso nur mit Hilfe eines detaillierten Löschkonzepts gewährleistet werden, so die Datenschutzexpertin. Auch im Verfahrensverzeichnis nach Art. 30 DS-GVO müssen die Löschfristen dokumentiert werde. „Das spricht dafür, dass ein Löschprotokoll quasi als Basic-Ausstattung der DS-GVO anzusehen ist“, so Mohr.
Allerdings gebe weder der Wortlaut des Art. 15 DS-GVO (Auskunftsrecht der betroffenen Person) noch der Art. 17 DS-GVO (Recht auf Vergessenwerden) das Erfordernis eines Löschkonzepts her. Es bleibe letztlich die Rechtsprechung der Gerichte abzuwarten, was der Kunde verlangen kann.
Doch dazu muss es nicht kommen. Mohrs Kanzlei hat schon entsprechende Fälle betreut. Die Mitarbeiterin von Praxen, Apotheken oder Unternehmen gaben dabei jeweils die Versicherung ab, dass die Daten gelöscht wurden und fügten die Versicherung in Schriftform dem Erwiderungsschreiben bei. „Es gab bisher nicht eine Beanstandung.“
Mohr zufolge sollte letztlich darum gehen, eine gerichtliche Streitigkeit zu vermeiden. „Gibt man dem Kunden nichts an die Hand, ist der Einwand nachvollziehbar, dass er eine Bestätigung haben möchte. Gibt man ihm etwas an die Hand, ist er in der Beweispflicht, darzulegen, dass es nicht ausreicht.“
Bei der Löschung der Daten gibt es übrigens keine Bagatellschwelle oder dergleichen. „Dies wäre auch ein Dammbruchargument und würde der Intention der DS-GVO zuwiderlaufen“, erklärt Mohr. Allerdings können in berechtigten Fällen Daten von der Löschung ausgenommen werden. Das regelt Art. 17 Absatz 3 DS-GVO.
APOTHEKE ADHOC Debatte