Grundsätzlich legt der Gesetzgeber fest, dass alle Stellen im Gesundheitswesen dazu verpflichtet sind, sich an die Datenschutzbestimmungen zu halten, insofern sie personenbezogene Daten erheben, verarbeiten und nutzen. Damit rückt der Datenschutz in der Apotheke noch mehr in den Fokus, da hier besonders schützenswerte Daten wie Name, Anschrift, Medikation sowie Informationen zur Gesundheit oder dem Sexualleben erfasst und weiterverarbeitet werden. Auch scheinbar banale Auskünfte zur Telefonnummer, E-Mail-Adresse oder das Erstellen eines Fotos für die Kundendatei zählen dazu.

Für den Datenschutz in Apotheken spielen nicht nur die gesetzlich anerkannten Zwecke – wie die Übermittlung von persönlichen Informationen zur Abrechnung mit der Krankenkasse – eine Rolle, sondern auch die Verwendung dieser als lukratives Wirtschaftsgut, zum Beispiel für Zwecke der Werbung oder Kundenbindung. Jede Form der Verarbeitung personenbezogener Daten verlangt eine sehr sorgfältige und vertrauliche Datenverwaltung mit entsprechenden Schutzmaßnahmen. Dabei ist es irrelevant, ob die Apotheke mit Kunden- oder Mitarbeiterdaten umgeht. Aus Sicht des Gesetzgebers sind beide gleich schützenswert.

Um Einschätzungen im Sinne des Datenschutzes abgeben zu können, muss im Vorfeld festgelegt werden, wie sensibel die erhobenen Informationen sind. Anschließend kann der Datenschutzbeauftragte anhand verschiedener Gesetze und Regelungen über die notwendigen Maßnahmen entscheiden. Zu den relevanten Verordnungen für Apotheker zählen unter anderem:

  • Bundesdatenschutzgesetz (BDSG)
  • Sozialgesetzbuch (SGB)
  • Telemediengesetz (TMG)
  • Strafgesetzbuch (StGB)
  • Apothekenbetriebsordnung (ApBetrO)

Die Anfänge des deutschen Datenschutzes

Mit dem Volkszählungsurteil aus dem Jahr 1983 wurde die Idee des Datenschutzes geboren. Die Richter des Bundesverfassungsgerichts erklärten darin das Recht auf informationelle Selbstbestimmung zu einem deutschen Grundrecht. Konkret bedeutet das für alle Bürger der Bundesrepublik, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten sind. Allerdings gibt es auch im Rechtswesen regelmäßige Ausnahmen von der Regel. So darf eine Datenverarbeitung trotzdem stattfinden, wenn

  • der Betroffene seine Einwilligung freiwillig erteilt hat oder
  • eine Rechtsvorschrift sie legitimiert.

Das bedeutet im Umkehrschluss, dass jeder Umgang mit personenbezogenen Daten durch Sie oder Ihre Mitarbeiter in der Apotheke strengen Regelungen unterworfen ist. Neben dem BDSG sind noch weitere Gesetzestexte wie das SGB und selbstverständlich die ApBetrO zu beachten – unabhängig davon, ob Sie Rezepte bearbeiten oder Ihre Kunden um ein schriftliches Feedback bitten. Vom Namen bis zur Preisgabe von Vorerkrankungen oder bisherigen Medikationen beruht das Geschäftsverhältnis von Kundenseite aus immer auf Freiwilligkeit. Außerdem wird der Einhaltung der Schweigepflicht in der Apotheke meist Vorrang gewährt, wenn es um den Datenschutz geht. Zusätzlich sollte das Prinzip der Verhältnismäßigkeit immer Anwendung finden – das gilt sowohl für die Datenerfassung als auch für die Datensicherung.

Was müssen Apotheken beim Datenschutz beachten?

Ein Thema, das vor allem aus Sicht des Datenschutzes immer wieder Fragen und Probleme aufwirft, ist die Abrechnung von Rezepten bei den gesetzlichen Krankenkassen. Viele Apotheken nutzen dafür zentrale Apothekenrechenzentren – also externe Dienstleister. Diese lesen die erhaltenen Daten ein, sortieren sie nach den jeweiligen Krankenkassen und wickeln anschließend die Kostenerstattung für den Apotheker ab. Was dabei häufig vergessen wird: Eine Verarbeitung durch das Rechenzentrum ist nur dann zulässig, wenn es von einer berechtigten Stelle wie der Apotheke beauftragt wurde. Jede andere Datenerhebung darf ausschließlich anonymisiert erfolgen.

Als verantwortlicher Apotheker sind Sie laut Datenschutzgesetz dazu verpflichtet, angemessene technische und organisatorische Maßnahmen zu treffen, um den Schutz personenbezogener Daten vollumfänglich zu gewährleisten.

Dazu wurden in einer Anlage des BDSG die sogenannten „Acht Gebote“ formuliert:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennungsgebot

Die Zutrittskontrolle umfasst dabei beispielsweise die technische Absicherung der Räumlichkeiten vor Unbefugten. Die Zugriffskontrolle hingegen regelt, welche Nutzer berechtigt sind, auf persönliche Kunden- oder Mitarbeiterdaten zuzugreifen. Zu den organisatorischen Maßnahmen, die sich in der Apotheke umsetzen lassen, gehören unter anderem die Einrichtung von Diskretionszonen, Verfahrensanweisungen zur Datenlöschung sowie festgelegte Intervalle für Schulungen. Auch sollten Sie bereits im Vorfeld eine einheitliche Regelung zur Rechtevergabe für die EDV treffen. Dokumentieren Sie den Umgang mit personenbezogenen Informationen so detailliert wie möglich, um späteren Nachfragen oder Unklarheiten vorzubeugen.

Gewinnspiele für Kunden – Welche Daten dürfen erhoben werden?

Nette Aktionen und Überraschungen stärken die Kundenbindung und sind auch für Ihre Mitarbeiter eine willkommene Abwechslung zum Apotheker-Alltag. Planen Sie beispielsweise Gewinnspiele für die treue Kundschaft oder Neukunden, sollten Sie sich im Vorfeld genau über die datenschutzrechtlichen Bestimmungen informieren. Denn nur wenn diese einwandfrei geklärt sind, kann die Einhaltung gewährleistet werden.

Bevor Sie mit der Auslobung beginnen, sollten zunächst grundsätzliche Fragen zum Gewinnspiel in Ihrer Apotheke geklärt werden: Welche Preise gibt es zu gewinnen? Wie sehen die Teilnahme- bzw. Ausschlussfristen aus? Mit welchem Verfahren wird der Gewinner ermittelt? Schließen Sie am besten auch den Rechtsweg aus, damit im Nachhinein niemand den Preis einklagen kann

Technisch und organisatorisch muss sichergestellt sein, dass die Erhebung und Verarbeitung der Teilnehmerdaten immer auf freiwilliger Basis erfolgt. Für Sie als Apotheker bedeutet das die Notwendigkeit einer umfassenden Aufklärung und schriftlichen Einwilligungserklärung. Der Kunde muss genau wissen, welche persönlichen Daten er preisgibt und wozu diese verwendet werden. Nur dann kann er eine wirksame Einverständniserklärung abgeben, die auch datenschutzkonform ist.

Wichtig für eventuelle Zweifelsfälle: Eine Person kann immer nur der Verarbeitung seiner eigenen Daten zustimmen – also niemals für andere wie Ehepartner oder Kinder entscheiden.

Fragebögen in der Apotheke: Feedback und Datenschutz im Einklang

Es ist schön, von seinen Kunden eine Einschätzung der eigenen Arbeit zu erhalten – vor allem, wenn sie positiv ausfällt. Kleine Gespräche mit Stammkunden zeigen Ihnen meist recht gut, was gefällt und wo dringend Handlungsbedarf besteht. Um auch andere Kunden zu erreichen, hat sich die Ausgabe von Feedback-Fragebögen in der Apotheke etabliert. Doch was gilt es bei dieser Art von Rückmeldung aus Datenschutz-Sicht zu beachten?

Folgen Sie in Ihrer Gestaltung der Fragebögen idealerweise allensieben Regeln des Datenschutzes. Diese umfassen:

  • Rechtmäßigkeit
  • Einwilligung
  • Zweckbindung
  • Erforderlichkeit und Datensparsamkeit
  • Transparenz und Betroffenenrechte
  • Datensicherheit
  • Kontrolle

Im Klartext bedeutet das: Erfragen Sie nur personenbezogene Daten, die für die Auswertung notwendig sind. Klären Sie Ihre Kunden darüber auf, wofür Sie die Daten benötigen. Verwenden Sie die Informationen ausschließlich für den angegebenen Zweck. Sichern Sie sich rechtlich ab, ob Sie sensible Angaben überhaupt abfragen dürfen.

Um auf Nummer sicher zu gehen, empfehlen wir Fragebögen zur Kundenzufriedenheit stets anonym zu halten. Verlangen Sie keine Namen, Telefonnummern, Adressen oder ähnliche persönliche Informationen, wenn der Fragebogen ausschließlich der Evaluation dient. Stellen Sie allgemeine Fragen zur Zufriedenheit mit der Beratung bzw. dem Arzneimittelinformationsservice sowie über die Kanäle der Beratung – persönlich, telefonisch, per E-Mail. Wenn es für Ihre Auswertung notwendig ist, können Sie beispielsweise nach dem Alter fragen. Geben Sie dazu am besten Altersspannen zum Ankreuzen an, um die Zuordnung zu einzelnen Kunden zu erschweren. Möchten Sie auch in diesem Punkt den Datenschutzempfehlungen in der Apotheke vollumfänglich entsprechen, muss das Ausfüllen immer auf freiwilliger Basis erfolgen und darf an keinerlei Leistungen geknüpft sein. Außerdem ist eine Rücksendung des Feedbackbogens per Fax oder Post zu empfehlen – das erschwert die Identifikationsmöglichkeiten zusätzlich.

Welche Apothekenmitarbeiter benötigen eine Datenschutz-Schulung?

Laut §14 der Berufsordnung für Apothekerinnen und Apotheker ist jeder, der diesen Beruf ausübt, zur absoluten Verschwiegenheit über Kundendaten verpflichtet. Als Geschäftsführer oder leitender Apotheker liegt es in Ihrer Verantwortung, alle Mitarbeiter über diese Schweigepflicht zu belehren – auch wenn diese nicht den gesetzlichen Rahmenbedingungen unterliegen.

Sobald Sie persönliche Daten von Mitarbeitern oder Kunden erheben, verarbeiten und/oder nutzen, greifen zusätzlich die Regelungen des Datenschutzes in Ihrer Apotheke. Das bedeutet, Sie müssen sich strikt an das BDSG halten, um eventuelle rechtliche Konsequenzen zu verhindern. In den meisten Fällen ist es zusätzlich notwendig, einen Datenschutzbeauftragten zu bestellen. Dieser kann entweder ein externer Dienstleister sein oder ein speziell geschulter Mitarbeiter Ihrer Apotheke. Doch wann ist die Bestellung notwendig? Der Gesetzgeber sieht die Beauftragung vor, wenn:

  • mehr als neun Personen automatisiert Daten verarbeiten
  • mehr als 20 Personen angestellt sind und eine nichtautomatisierte Datenverarbeitung erfolgt
  • die Form der Datenverarbeitung eine Vorabkontrolle notwendig macht, z. B. bei sehr sensiblen Daten

Ist eine oder mehrere dieser Bedingungen erfüllt, ist die Inanspruchnahme eines Datenschutzbeauftragten unvermeidlich. Sie können jedoch selbst entscheiden, ob Sie in einen Externen oder Ihren eigenen Mitarbeiter investieren.

Stammkunden- und Sammelkarten datenschutzkonform gestalten

Viele Apotheken nutzen Sammel- oder Stammkundenkarten, um eine bessere Übersicht über die Medikation zu haben und entsprechend zielgerichtet beraten zu können. Außerdem bieten solche Sammelkarten einen zusätzlichen Anreiz für Kunden, immer wieder in einer Apotheke einzukaufen. Ein System ist die PAYBACK-Karte, für deren Nutzung persönliche Daten wie Name, Geburtsdatum und Anschrift erforderlich sind. Obwohl das Sammeln der Punkte sowie die Datenverarbeitung über ein externes Unternehmen abgewickelt wird, sollten Sie die Grundmechanismen genau kennen – für eventuelle Nachfragen der Kunden und als rechtliche Absicherung in Datenschutzfragen.

Die PAYBACK-Karte meldet bei jedem Bezahlvorgang, bei dem die Karte vorgelegt wird, die personenbezogenen Daten des Kunden sowie die eingekauften Produkte an die Payback GmbH. Dabei werden Informationen zu Waren bzw. Dienstleistungen, Preis, Rabattbetrag, Ort und Datum übermittelt. Für Apotheken gilt jedoch, dass die Dienstleistung oder Ware nicht gemeldet werden muss, um die sensiblen Kundendaten zu schützen. Nutzen Sie selbst das PAYBACK-System für Ihre Apotheke, sollten Sie die Einhaltung dieser Richtlinie überprüfen und gegebenenfalls die Datenweitergabe anpassen.

Bei anderen Stammkunden- oder Bonuskarten nach Ihrem eigenen Entwurf, muss jeder Kunde vor der Nutzung eine datenschutzrechtliche Einwilligungserklärung bei Ihnen unterzeichnen. Darin sind der Zweck und die Menge an Daten festgelegt, sodass der Kunde stets weiß, warum welche Daten erfasst und verarbeitet werden. Nutzen Sie am besten das sogenannte Opt-In-Verfahren, bei dem der Betroffene zum Beispiel durch Ankreuzen eines Kästchens der Datenverarbeitung zustimmt. Beachten Sie auch, dass aus Sicht des Datenschutzes nur Informationen erfasst werden dürfen, die für eine Kundenstammkarte notwendig sind.

Ein kleiner Hinweis zum Abschluss: Steht eine Apotheke zum Verkauf, gehen die Kundendaten nicht automatisch an den Nachfolger über. Die vorher erteilten Einwilligungen verlieren damit Ihre Gültigkeit und müssen erneut vom Kunden abgefordert werden. Schließlich gewährt das Bundesdatenschutzgesetz jedem Bürger das Recht der informationellen Selbstbestimmung zu – auch in Apotheken.

Datenschutz-Kit
Das kostengerechte EU-DSGVO Komplettpaket für kleine Unternehmen.
zum Datenschutz Tool »
Compliance-Kit
Das umfassende Tool zur Bewältigung der EU-DSGVO in mittleren und großen Strukturen.
zur DSGVO Software »
eLearning-Plattform
Unter der EU-DSGVO sind Unternehmen verpflichtet, ihre Beschäftigten im Datenschutz regelmäßig zu schulen.
zum Datenschutz Seminar »
EU-Vertreter nach Artikel 27
Der Service für Unternehmen außerhalb der EU.
zum EU DSGVO Vertreter »
Externer Datenschutzbeauftragter
Umfassende Beratung im Bereich des betrieblichen Datenschutzes.
zum externen Datenschutzbeauftragten »