Ein Kunde beklagt sich über das „Verhör“ bei der Abgabe von Codein-Lutschtabletten. Später sollen alle seine Daten gelöscht werden. Ich frage mich, was er davon hat.
Es erreicht uns in der Apotheke ein handgeschriebener Brief mit einer Kundenreklamation. Der Kunde – nennen wir ihn Herr Sommer, beklagt sich (schön geschrieben) darüber, dass er beim Bezug von Codein-Lutschtabletten schon zwei Mal seine Daten angeben musste und jedes Mal einer langwierigen, verhörähnlichen Befragung unterworfen wurde. Außerdem wurde auf den Verkaufspreis (von etwa 10 Franken) ein Zuschlag (von 7 Franken) erhoben. Er verzichte also in Zukunft auf den Bezug der Pastillen und bitte uns, seinen Namen aus unserer Kundenliste zu streichen und alle damit verbundenen Daten zu löschen.
Beim Bezug der Codein Lutschtabletten (die neu Liste B minus sind) wurde die Abgabe wie vorgeschrieben dokumentiert und dafür die Pauschale verlangt. Dass er das nicht mehr will, kann man verstehen und ist seine Entscheidung … aber das mit dem Daten löschen? Wir haben natürlich, wie verpflichtend eine Datenschutzerklärung auf unserer Webseite. Da steht drauf, was für Daten wir in der Apotheke erheben (Name, Geburtsdatum, Adresse, eventuell Versicherungsinformationen …) und für was wir die Daten benötigen. Zum Beispiel, um unsere Arbeit in der Apotheke korrekt zu machen und aus Sicherheitsgründen. Natürlich steht auch dabei, dass wir die Daten nur mit einer gesetzlichen oder vertraglichen Basis oder für Dinge bearbeiten, die im öffentlichen Interesse liegen (wie anonymisierte Nebenwirkungsmeldungen).
Da steht auch, dass wir die Daten teilweise weitergeben – das kann aus einer gesetzlichen Pflicht, einer Vertragserfüllung, einer Einwilligung des Patienten selber, einem öffentlichen Interesse oder einem berechtigten Interesse unsererseits an der Datenweitergabe herrühren. Des Weiteren enthält die Datenschutzerklärung die Information, dass eine Einwilligung – die man beim Verkauf oder ähnlichem automatisch mit Angabe der Daten gibt – jederzeit widerrufbar ist. Als Patient und Kunde hat man Rechte, was die eigenen Daten angeht. Man darf jederzeit Auskunft verlangen über die bei uns gespeicherten Daten und man hat das Recht, Löschung oder Einschränkung der Bearbeitung zu verlangen. Zusätzlich unterstehen wir in der Apotheke natürlich dem Patientengeheimnis … weshalb wir jedes kleinste Zettelchen mit einem Patientennamen drauf vernichten – nicht einfach nur wegwerfen.
Da wir damit erstmals so einen Löschungsantrag bekommen, frage ich bei unserer Rechtsabteilung nach. Ich soll Herrn Sommer erst mal schreiben, dass das Löschbegehren bei uns eingetroffen ist, wir aber – damit wir sicher die richtigen Daten löschen – von ihm einen Ausweis benötigen. Der kommt dann auch postwendend: eine ID-Kopie am Brief. Ich also nochmal zur Rechtsabteilung. Die fragen nach, was bei uns für Daten von ihm gespeichert sind (nur die beiden Abgaben der Lutschtabletten, er ist sonst kein Kunde, hat keine Kundenkarte und ansonsten haben wir keine Daten von ihm) und sagen, dass sie ihm innerhalb der nächsten 30 Tage, die sie anhand der Datenschutzerklärung für die Löschung Zeit haben, einen Brief senden.
In dem versprochenen Brief unserer Rechtsabteilung steht folgendes: „Ihren Antrag auf Datenlöschung haben wir von Ihnen erhalten, Sie haben ihre Identität mit Ihrer ID ausreichend nachgewiesen, gerne kommen wir Ihrem Wunsch nach Löschung Ihrer Daten nach. Wir haben sämtliche Personendaten von Ihnen auf unseren Systemen gelöscht, sofern nicht eine gesetzliche Archivierungspflicht besteht.“ Gemacht haben wir in der Apotheke in dem Fall: genau gar nichts. Schließlich besteht für alle Daten, die wir von ihm haben, eine gesetzliche Archivierungsfrist. Seine Personalien und die Bezüge von rezeptpflichtigen Arzneimitteln ohne Rezept (Codeinpastillen der Liste B minus) dürfen wir auch auf Geheiß des Kunden nicht löschen. Sie müssen von Gesetzes wegen mindestens 10 Jahre gespeichert bleiben. So steht das im kantonalen Gesundheitsgesetz und der eidgenössischen Arzneimittelverordnung, welche die Dokumentation der Abgaben von B minus ebenfalls vorschreibt. Sonst könnte ja jeder, der einen Eintrag im Strafregister oder Betreibungsregister hat, verlangen, dass seine Daten sofort gelöscht werden müssen.
Ein paar Tage später bekomme ich eine Anfrage von einem anderen Kunden – nennen wir ihn Herr Herbst. Er möchte gerne wissen, ob er bei uns in der Apotheke erfasst ist und was genau erfasst ist (ein Datenauskunftsbegehren). Er verbietet uns außerdem per sofort und auf weiteres jede Datenweitergabe seiner Personendaten an Dritte, speziell Krankenkassen und behandelnde Ärzte. Kurios. Aber jetzt weiß ich ja schon etwas mehr. Er weist sich also mit ID aus. Ich bestätige, dass er bei uns erfasst ist – als Patient, der schon Rezepte bei uns eingelöst hat. Löschen kann ich das (aus oben genannten Gründen) auch hier nicht, das war aber auch nicht sein Anliegen. Ich hinterlege bei ihm also einen Kommentar. In Zukunft wird er, falls er bei uns ein Rezept einlöst, die Medikamente selber bezahlen müssen – dann geht seine Information auch nicht an die Krankenkasse. Wenn ich das direkt mit der Kasse abrechnen soll, dann bekommen die gezwungenermaßen auch die (dafür nötige) Info. Aber wenn ich dann etwas beim Arzt nachfragen muss, habe ich ein Problem: Das darf ich nun nicht mehr ohne ausdrückliche Erlaubnis des Kunden. Falls das ein ernstes medizinisches Problem wäre (zum Beispiel wegen Wechselwirkungen) oder Missbrauch, dann würde ich in dem Fall eine Abgabe verweigern, weil mir dieser Datenschutz nicht erlaubt, meine Arbeit korrekt zu machen.
So ganz verstehe ich das bei Herrn Herbst aber nicht. Er hat bisher nur zwei Mal etwas bezogen. Das war beide Male absolut unverdächtig. Weshalb also die Geheimniskrämerei? Aber okay – wenn er das so will … Was ich mich dennoch frage: Haben die Leute einen Facebook-Account? Wissen sie, welche Daten da gesammelt werden und in wessen Hände diese dann sind? Wie handeln sie da?
Bildquelle: Midjourney
