Datenschutz gehört in Apotheken zum Alltag: Seit 2004 muss laut Bundesdatenschutzgesetz (BDSG) in Betrieben, in denen mehr als neun Personen mit der automatisierten Bearbeitung personenbezogener Daten beschäftigt sind, ein Datenschutzbeauftragter tätig sein. Für größere Apotheken und Filialverbünde trifft dies oftmals zu. Kommt der Apothekenleiter seiner Pflicht zur Bestellung eines Datenschützers nicht nach, kann das als Ordnungswidrigkeit mit einer Geldstrafe von bis zu 25.000 Euro geahndet werden.
Diese Regelung gilt aber nur in Apotheken, in denen tatsächlich Mitarbeiter mit der Erhebung, Verarbeitung und Nutzung der personenbezogener Daten beauftragt sind. Apothekeninhaber mit weniger Mitarbeitern benötigen keinen eigenen Datenschützer. Sie müssen jedoch laut Gesetz „in anderer Weise“ dafür sorgen, dass dessen Aufgaben erfüllt werden.
Entweder Apotheker beauftragen ein externes Unternehmen mit dem Datenschutz und lagern die Aufgabe aus. Solche Leistungen bieten zum Beispiel der TÜV, das Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG) oder Freiberufler an. Oder der Inhaber benennt intern einen Mitarbeiter – außer sich selbst. Dieser muss sich in einem zertifizierten Lehrgang ausbilden lassen, der in der Regel einmal in der Woche stattfindet und drei Monate dauert. Diese vom Inhaber zu finanzierenden Seminare können zum Beispiel beim TÜV oder in Berufsschulen absolviert werden. Die Kenntnisse müssen dann etwa einmal jährlich aufgefrischt werden.
Der auserwählte „Mr. Datenschutz“ muss ein Verzeichnis erstellen und alle Daten protokollieren, die in der Apotheke erhoben werden und was mit welchen Informationen passiert. Sowohl bei der Erstellung einer Rechnung als auch beim Ausstellen einer Kundenkarte muss die Einwilligung des Kunden eingeholt werden. Diese Erlaubnis wird einmalig erteilt und kann jederzeit widerrufen werden.
Sensible Daten in Apotheken – wie zum Beispiel Adresse, Geburtsdatum, Krankenkassenzugehörigkeit und Angaben der abgegebenen Arzneimittel – werden unter anderem auf Kundenkarten festgehalten. Der Datenschutzbeauftragte muss zum Beispiel darauf achten, dass Kunden, die eingewilligt haben, einen Geburtstagsgruß von ihrer Apotheke zu erhalten, nicht auch andere Werbung per Post bekommen.
Verletzungen des Datenschutz treten auch auf, wenn Kundendaten nicht ordnungsgemäß entsorgt werden. Die Entsorgung von Papiermüll mit vertraulichen Kundendaten in öffentlich zugänglichen Mülltonnen ist nicht zulässig.
Auch die Daten auf Rezepten unterliegen dem Datenschutz, diese muss der betriebliche Datenschutzbeauftragte also ebenfalls im Blick haben. Allerdings dürfen Apotheken diese Daten zur Abrechnung an Apothekenrechenzentren übertragen. Gehen sie aber an Genehmigungszentren, die die Lieferverträge zwischen Krankenkassen und Apotheken prüfen, müssen sie anonymisiert werden: Der Patientenname darf dann nicht mehr auftauchen, nur noch Versichertennummer und Geburtsdatum.
Der Datenschutzbeauftragte muss nach den Bestimmungen des BDSG über die Einhaltung der Vorschriften zum Datenschutz wachen. Er ist dafür verantwortlich, dass Datenverarbeitungsprogramme, wie zum Beispiel ein EDV-gestütztes Kassensystem, ordnungsgemäß benutzt werden, und muss seine Kollegen mit den Datenschutzvorschriften vertraut machen. Verstößt jemand tatsächlich gegen die Regeln oder weigert sich, diese einzuhalten, muss der Beauftragte ihn im Ernstfall melden.
Bei Konflikten oder anderen Fragen kann sich der Datenschutzbeauftragte an die zuständige Datenschutzaufsichtsbehörde wenden. In rechtlichen Angelegenheiten können oft auch die Justiziare der Apothekerkammern helfen.
Wer Betroffene im Falle der Verletzung des Datenschutzes nicht ausreichend oder nicht rechtzeitig informiert, kann laut BDSG mit einer Geldbuße von bis zu 50.000 Euro bestraft werden. Erhebt oder verarbeitet jemand personenbezogene Daten unbefugt, droht ihm sogar eine Geldbuße von bis zu 300.000 Euro.
APOTHEKE ADHOC Debatte