Datenschutz in der Apotheke

Grundsätzlich legt der Gesetzgeber fest, dass alle Stellen im Gesundheitswesen dazu verpflichtet sind, sich an die Datenschutzbestimmungen zu halten, insofern sie personenbezogene Daten verarbeiten. Je sensibler die Daten, desto höher die datenschutzrechtlichen Anforderungen! Damit rückt der Datenschutz in der Apotheke noch mehr in den Fokus, da hier besonders schützenswerte Daten wie beispielsweise Medikation sowie Informationen zur Gesundheit oder dem Sexualleben erfasst und weiterverarbeitet werden.

Für den Datenschutz in Apotheken spielen nicht nur die gesetzlich anerkannten Zwecke – wie die Übermittlung von persönlichen Informationen zur Abrechnung mit der Krankenkasse – eine Rolle, sondern auch die Verwendung dieser als lukratives Wirtschaftsgut, zum Beispiel für Zwecke der Werbung oder Kundenbindung. Jede Form der Verarbeitung personenbezogener Daten verlangt eine sehr sorgfältige und vertrauliche Datenverwaltung mit entsprechenden Schutzmaßnahmen. Um Einschätzungen im Sinne des Datenschutzes abgeben zu können, muss im Vorfeld festgelegt werden, wie sensibel die erhobenen Informationen sind.

Anschließend kann der Datenschutzbeauftragte anhand verschiedener Gesetze und Regelungen über die notwendigen Maßnahmen entscheiden. Zu den relevanten Verordnungen für Apotheker zählen unter anderem:

  • EU-Datenschutzgrundverordnung (EU-DSGVO)
  • Bundesdatenschutzgesetz (BDSG)
  • Sozialgesetzbuch (SGB)
  • Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
  • Telemediengesetz (TMG)
  • Strafgesetzbuch (StGB)
  • Apothekenbetriebsordnung (ApBetrO)

Was müssen Apotheken beim Datenschutz beachten?

Ein Thema, das vor allem aus Sicht des Datenschutzes immer wieder Fragen und Probleme aufwirft, ist die Abrechnung von Rezepten bei den gesetzlichen Krankenkassen. Viele Apotheken nutzen dafür zentrale Apothekenrechenzentren – also externe Dienstleister. Diese lesen die erhaltenen Daten ein, sortieren sie nach den jeweiligen Krankenkassen und wickeln anschließend die Kostenerstattung für den Apotheker ab. Was dabei häufig vergessen wird: Eine Verarbeitung durch das Rechenzentrum ist nur dann zulässig, wenn es von einer berechtigten Stelle wie der Apotheke beauftragt wurde. Jede andere Datenerhebung darf ausschließlich anonymisiert erfolgen.

Als verantwortlicher Apotheker sind Sie laut Datenschutzgesetz dazu verpflichtet, angemessene technische und organisatorische Maßnahmen zu treffen, um den Schutz personenbezogener Daten vollumfänglich zu gewährleisten.

Dazu können gezählt werden:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennungsgebot

Die Zutrittskontrolle umfasst dabei beispielsweise die technische Absicherung der Räumlichkeiten vor Unbefugten. Die Zugriffskontrolle hingegen regelt, welche Nutzer berechtigt sind, auf persönliche Kunden- oder Mitarbeiterdaten zuzugreifen. Zu den organisatorischen Maßnahmen, die sich in der Apotheke umsetzen lassen, gehören unter anderem die Einrichtung von Diskretionszonen, Verfahrensanweisungen zur Datenlöschung sowie festgelegte Intervalle für Schulungen. Auch sollten Sie bereits im Vorfeld eine einheitliche Regelung zur Rechtevergabe für die EDV treffen. Dokumentieren Sie den Umgang mit personenbezogenen Informationen so detailliert wie möglich, um späteren Nachfragen oder Unklarheiten vorzubeugen.

Gewinnspiele in Apotheken – Was gilt mit Blick auf den Datenschutz?

Nette Aktionen und Überraschungen stärken die Kundenbindung und sind auch für Ihre Mitarbeiter eine willkommene Abwechslung zum Apotheker-Alltag. Planen Sie beispielsweise Gewinnspiele für die treue Kundschaft oder Neukunden, sollten Sie sich im Vorfeld genau über die datenschutzrechtlichen Bestimmungen informieren. Denn nur wenn diese einwandfrei geklärt sind, kann die Einhaltung gewährleistet werden.

Bevor Sie mit der Auslobung beginnen, sollten zunächst grundsätzliche Fragen zum Gewinnspiel in Ihrer Apotheke geklärt werden: Welche Preise gibt es zu gewinnen? Wie sehen die Teilnahme- bzw. Ausschlussfristen aus? Mit welchem Verfahren wird der Gewinner ermittelt? Schließen Sie am besten auch den Rechtsweg aus, damit im Nachhinein niemand den Preis einklagen kann

Technisch und organisatorisch muss sichergestellt sein, dass die Erhebung und Verarbeitung der Teilnehmerdaten immer auf freiwilliger Basis erfolgt. Für Sie als Apotheker bedeutet das die Notwendigkeit einer umfassenden Aufklärung und schriftlichen Einwilligungserklärung. Der Kunde muss spätestens bei Abgabe seiner Daten genau wissen, welche persönlichen Daten er preisgibt und wozu diese verwendet werden. Nur dann kann er eine wirksame Einverständniserklärung abgeben, die auch datenschutzkonform ist.

Fragebögen in der Apotheke: Feedback und Datenschutz im Einklang

Es ist schön, von seinen Kunden eine Einschätzung der eigenen Arbeit zu erhalten – vor allem, wenn sie positiv ausfällt. Kleine Gespräche mit Stammkunden zeigen Ihnen meist recht gut, was gefällt und wo dringend Handlungsbedarf besteht. Um auch andere Kunden zu erreichen, hat sich die Ausgabe von Feedback-Fragebögen in der Apotheke etabliert. Doch was gilt es bei dieser Art von Rückmeldung aus Datenschutz-Sicht zu beachten?

Folgen Sie in Ihrer Gestaltung der Fragebögen idealerweise den Grundprinzipien des Datenschutzes. Diese umfassen:

  • Rechtmäßigkeit
  • Transparenz
  • Fairness
  • Zweckbindung
  • Datenminimierung
  • Integrität und Vertraulichkeit

Im Klartext bedeutet das: Erfragen Sie nur personenbezogene Daten, die für die Auswertung notwendig sind. Klären Sie Ihre Kunden darüber auf, wofür Sie die Daten benötigen. Verwenden Sie die Informationen ausschließlich für den angegebenen Zweck. Sichern Sie sich rechtlich ab, ob Sie sensible Angaben überhaupt abfragen dürfen.

Um auf Nummer sicher zu gehen, empfehlen wir Fragebögen zur Kundenzufriedenheit stets anonym zu halten. Verlangen Sie keine Namen, Telefonnummern, Adressen oder ähnliche persönliche Informationen, wenn der Fragebogen ausschließlich der Evaluation dient. Stellen Sie allgemeine Fragen zur Zufriedenheit mit der Beratung bzw. dem Arzneimittelinformationsservice sowie über die Kanäle der Beratung – persönlich, telefonisch, per E-Mail. Wenn es für Ihre Auswertung notwendig ist, können Sie beispielsweise nach dem Alter fragen. Geben Sie dazu am besten Altersspannen zum Ankreuzen an, um die Zuordnung zu einzelnen Kunden zu erschweren. Möchten Sie auch in diesem Punkt den Datenschutzempfehlungen in der Apotheke vollumfänglich entsprechen, muss das Ausfüllen immer auf freiwilliger Basis erfolgen und darf an keinerlei Leistungen geknüpft sein. Außerdem ist eine Rücksendung des Feedbackbogens per Post zu empfehlen – das erschwert die Identifikationsmöglichkeiten zusätzlich.

Welche Apothekenmitarbeiter benötigen eine Datenschutz-Schulung?

Laut §14 der Berufsordnung für Apothekerinnen und Apotheker ist jeder, der diesen Beruf ausübt, zur absoluten Verschwiegenheit über Kundendaten verpflichtet. Als Geschäftsführer oder leitender Apotheker liegt es in Ihrer Verantwortung, alle Mitarbeiter über diese Schweigepflicht zu belehren – auch wenn diese nicht den gesetzlichen Rahmenbedingungen unterliegen.

Sobald Sie persönliche Daten von Mitarbeitern oder Kunden erheben, verarbeiten und/oder nutzen, greifen zusätzlich die Regelungen des Datenschutzes in Ihrer Apotheke. Das bedeutet, Sie müssen sich strikt an datenschutzrechtliche Regularien halten, um eventuelle rechtliche Konsequenzen zu verhindern. In den meisten Fällen kann es zusätzlich notwendig sein, einen Datenschutzbeauftragten zu bestellen. Dieser kann entweder ein externer Dienstleister sein oder ein speziell geschulter Mitarbeiter Ihrer Apotheke. Doch wann ist die Bestellung notwendig? Der Gesetzgeber sieht die Beauftragung vor, wenn mindestens 20 Mitarbeiter mit der personenbezogenen Datenverarbeitung beschäftigt sind. – Bei Apotheken, die mit besonders sensiblen Daten in Berührung kommen, führt dies nach Ansicht der Aufsichtsbehörden nicht zwangsläufig zu einer Bestellpflicht.

Sollten Sie jedoch zur Bestellung verpflichtet sein oder sich – freiwillig – zu einer solchen entscheiden, können Sie selbst entscheiden, ob Sie in einen externen Datenschutzbeauftragten oder Ihren eigenen Mitarbeiter investieren.

Stammkunden- und Sammelkarten datenschutzkonform gestalten

Viele Apotheken nutzen Sammel- oder Stammkundenkarten, um eine bessere Übersicht über die Medikation zu haben und entsprechend zielgerichtet beraten zu können. Außerdem bieten solche Sammelkarten einen zusätzlichen Anreiz für Kunden, immer wieder in einer Apotheke einzukaufen. Ein System ist die PAYBACK-Karte, für deren Nutzung persönliche Daten wie Name, Geburtsdatum und Anschrift erforderlich sind. Obwohl das Sammeln der Punkte sowie die Datenverarbeitung über ein externes Unternehmen abgewickelt wird, sollten Sie die Grundmechanismen genau kennen – für eventuelle Nachfragen der Kunden und als rechtliche Absicherung in Datenschutzfragen.

Die PAYBACK-Karte meldet bei jedem Bezahlvorgang, bei dem die Karte vorgelegt wird, die personenbezogenen Daten des Kunden sowie die eingekauften Produkte an die Payback GmbH. Dabei werden Informationen zu Waren bzw. Dienstleistungen, Preis, Rabattbetrag, Ort und Datum übermittelt. Für Apotheken gilt jedoch, dass die Dienstleistung oder Ware nicht gemeldet werden muss, um die sensiblen Kundendaten zu schützen. Nutzen Sie selbst das PAYBACK-System für Ihre Apotheke, sollten Sie die Einhaltung dieser Richtlinie überprüfen und gegebenenfalls die Datenweitergabe anpassen.

Bei anderen Stammkunden- oder Bonuskarten nach Ihrem eigenen Entwurf, muss jeder Kunde vor der Nutzung eine datenschutzrechtliche Einwilligungserklärung bei Ihnen unterzeichnen. Darin sind der Zweck und die Menge an Daten festgelegt, sodass der Kunde stets weiß, warum welche Daten erfasst und verarbeitet werden. Nutzen Sie am besten das sogenannte Opt-In-Verfahren, bei dem der Betroffene zum Beispiel durch Ankreuzen eines Kästchens der Datenverarbeitung zustimmt. Beachten Sie auch, dass aus Sicht des Datenschutzes nur Informationen erfasst werden dürfen, die für eine Kundenstammkarte notwendig sind.

Ein kleiner Hinweis zum Abschluss: Steht eine Apotheke zum Verkauf, gehen die Kundendaten nicht automatisch an den Nachfolger über. Dafür ist eine Einwilligung jedes Kunden unerlässlich.