Datenschutz in der Apotheke

Ein Thema, das vor allem aus Sicht des Datenschutzes immer wieder Fragen und Probleme aufwirft, ist die Abrechnung von Rezepten bei den gesetzlichen Krankenkassen. Viele Apotheken nutzen dafür zentrale Apothekenrechenzentren – also externe Dienstleister. Diese lesen die erhaltenen Daten ein, sortieren sie nach den jeweiligen Krankenkassen und wickeln anschließend die Kostenerstattung für den Apotheker ab. Was dabei häufig vergessen wird: Eine Verarbeitung durch das Rechenzentrum ist nur dann zulässig, wenn es von einer berechtigten Stelle wie der Apotheke beauftragt wurde. Jede andere Datenerhebung darf ausschließlich anonymisiert erfolgen.

Als verantwortlicher Apotheker sind Sie laut Datenschutzgesetz dazu verpflichtet, angemessene technische und organisatorische Maßnahmen zu treffen, um den Schutz personenbezogener Daten vollumfänglich zu gewährleisten.

Dazu können gezählt werden:

• Zutrittskontrolle
• Zugangskontrolle
• Zugriffskontrolle
• Weitergabekontrolle
• Eingabekontrolle
• Auftragskontrolle
• Verfügbarkeitskontrolle
• Trennungsgebot

Die Zutrittskontrolle umfasst dabei beispielsweise die technische Absicherung der Räumlichkeiten vor Unbefugten. Die Zugriffskontrolle hingegen regelt, welche Nutzer berechtigt sind, auf persönliche Kunden- oder Mitarbeiterdaten zuzugreifen. Zu den organisatorischen Maßnahmen, die sich in der Apotheke umsetzen lassen, gehören unter anderem die Einrichtung von Diskretionszonen, Verfahrensanweisungen zur Datenlöschung sowie festgelegte Intervalle für Schulungen. Auch sollten Sie bereits im Vorfeld eine einheitliche Regelung zur Rechtevergabe für die EDV treffen. Dokumentieren Sie den Umgang mit personenbezogenen Informationen so detailliert wie möglich, um späteren Nachfragen oder Unklarheiten vorzubeugen.

Es ist schön, von seinen Kunden eine Einschätzung der eigenen Arbeit zu erhalten – vor allem, wenn sie positiv ausfällt. Kleine Gespräche mit Stammkunden zeigen Ihnen meist recht gut, was gefällt und wo dringend Handlungsbedarf besteht. Um auch andere Kunden zu erreichen, hat sich die Ausgabe von Feedback-Fragebögen in der Apotheke etabliert. Doch was gilt es bei dieser Art von Rückmeldung aus Datenschutz-Sicht zu beachten?

Folgen Sie in Ihrer Gestaltung der Fragebögen idealerweise den Grundprinzipien des Datenschutzes. Diese umfassen:

• Rechtmäßigkeit
• Transparenz
• Fairness
• Zweckbindung
• Datenminimierung
• Integrität und Vertraulichkeit

Im Klartext bedeutet das: Erfragen Sie nur personenbezogene Daten, die für die Auswertung notwendig sind. Klären Sie Ihre Kunden darüber auf, wofür Sie die Daten benötigen. Verwenden Sie die Informationen ausschließlich für den angegebenen Zweck. Sichern Sie sich rechtlich ab, ob Sie sensible Angaben überhaupt abfragen dürfen.

Um auf Nummer sicher zu gehen, empfehlen wir Fragebögen zur Kundenzufriedenheit stets anonym zu halten. Verlangen Sie keine Namen, Telefonnummern, Adressen oder ähnliche persönliche Informationen, wenn der Fragebogen ausschließlich der Evaluation dient. Stellen Sie allgemeine Fragen zur Zufriedenheit mit der Beratung bzw. dem Arzneimittelinformationsservice sowie über die Kanäle der Beratung – persönlich, telefonisch, per E-Mail. Wenn es für Ihre Auswertung notwendig ist, können Sie beispielsweise nach dem Alter fragen. Geben Sie dazu am besten Altersspannen zum Ankreuzen an, um die Zuordnung zu einzelnen Kunden zu erschweren. Möchten Sie auch in diesem Punkt den Datenschutzempfehlungen in der Apotheke vollumfänglich entsprechen, muss das Ausfüllen immer auf freiwilliger Basis erfolgen und darf an keinerlei Leistungen geknüpft sein. Außerdem ist eine Rücksendung des Feedbackbogens per Post zu empfehlen – das erschwert die Identifikationsmöglichkeiten zusätzlich.

Viele Apotheken nutzen Sammel- oder Stammkundenkarten, um eine bessere Übersicht über die Medikation zu haben und entsprechend zielgerichtet beraten zu können. Außerdem bieten solche Sammelkarten einen zusätzlichen Anreiz für Kunden, immer wieder in einer Apotheke einzukaufen. Ein System ist die PAYBACK-Karte, für deren Nutzung persönliche Daten wie Name, Geburtsdatum und Anschrift erforderlich sind. Obwohl das Sammeln der Punkte sowie die Datenverarbeitung über ein externes Unternehmen abgewickelt wird, sollten Sie die Grundmechanismen genau kennen – für eventuelle Nachfragen der Kunden und als rechtliche Absicherung in Datenschutzfragen.

Die PAYBACK-Karte meldet bei jedem Bezahlvorgang, bei dem die Karte vorgelegt wird, die personenbezogenen Daten des Kunden sowie die eingekauften Produkte an die Payback GmbH. Dabei werden Informationen zu Waren bzw. Dienstleistungen, Preis, Rabattbetrag, Ort und Datum übermittelt. Für Apotheken gilt jedoch, dass die Dienstleistung oder Ware nicht gemeldet werden muss, um die sensiblen Kundendaten zu schützen. Nutzen Sie selbst das PAYBACK-System für Ihre Apotheke, sollten Sie die Einhaltung dieser Richtlinie überprüfen und gegebenenfalls die Datenweitergabe anpassen.

Bei anderen Stammkunden- oder Bonuskarten nach Ihrem eigenen Entwurf, muss jeder Kunde vor der Nutzung eine datenschutzrechtliche Einwilligungserklärung bei Ihnen unterzeichnen. Darin sind der Zweck und die Menge an Daten festgelegt, sodass der Kunde stets weiß, warum welche Daten erfasst und verarbeitet werden. Nutzen Sie am besten das sogenannte Opt-In-Verfahren, bei dem der Betroffene zum Beispiel durch Ankreuzen eines Kästchens der Datenverarbeitung zustimmt. Beachten Sie auch, dass aus Sicht des Datenschutzes nur Informationen erfasst werden dürfen, die für eine Kundenstammkarte notwendig sind.

Ein kleiner Hinweis zum Abschluss: Steht eine Apotheke zum Verkauf, gehen die Kundendaten nicht automatisch an den Nachfolger über. Dafür ist eine Einwilligung jedes Kunden unerlässlich.