Datenschutz: Bitte halten Sie Abstand!

Datenschutz: Bitte halten Sie Abstand! Mit der neuen Apothekenbetriebsordnung wird Datenschutz wieder zum Thema, Stichwort: vertrauliche Beratung. Auch ansonsten müssen Pharmazeuten etliche Dinge beachten, um nicht mit Gesetzen in Konflikt zu kommen – zum Wohl der Kunden sowie der Apotheke. Jetzt ist es amtlich: Apotheker müssen die Offizin künftig so einrichten, dass vertrauliche Gespräche möglich sind, wenn Kunden beraten beziehungsweise Medikamente abgegeben werden. Entsprechende Punkte sieht die neue Apothekenbetriebsordnung vor. Umsetzen lässt sich dies mit Markierungen am Boden oder Regalen, die einzelne Bereiche voneinander abgrenzen. Selbst wenn es stressig zugeht, gelten speziell am HV-Tisch ein paar Spielregeln: Rezepte gehen nur die Apotheke etwas an, vor dem nächsten Patienten sind alle Belege wegzuräumen. Auch sollten Bildschirme so gedreht werden, dass ausschließlich Kollegen Einblick haben. Diskretion ist bei Rückfragen an Arztpraxen ebenfalls ein Thema: Die wartende Kundenschlange gehen Telefonate nichts an, also lieber den Apparat im Büro benutzen. Wer dann noch Daten verarbeitet, muss die vergleichsweise strenge Gesetzeslage beachten.
Kontrollen an allen Ecken und Enden Rechtliche Grundlage entsprechender Prozesse ist das Bundesdatenschutzgesetz (BDSG). In der Anlage zu §9 Satz 1 formuliert der Gesetzgeber ein „kleines Einmaleins“, relevant für diverse Bereiche der Apotheke. Einige Kernpunkte:

Zutrittskontrolle, Zugangskontrolle und Zugriffskontrolle: Unbefugte kommen nicht in Bereiche mit Personalakten, Gehaltsabrechnungen, Servern, etc., und haben keine Möglichkeit, sich in elektronische Systeme einzuloggen.

Weitergabekontrolle: Ein Zugriff Unbefugter beim Datentransfer, etwa an Apothekenrechenzentren, wird verhindert.

Eingabekontrolle: Die Apothekenleitung kann nachweisen, inwieweit personenbezogene Daten nach deren Erfassung verändert wurden.

Auftragskontrolle: Externe Firmen haben alle Daten im Sinne des Auftraggebers zu verarbeiten.

Verfügbarkeitskontrolle: Hierzu gehören Maßnahmen zur Datensicherung über zusätzliche Festplatten oder Magnetbänder sowie der Einsatz zeitgemäßer Firewalls und Virenscanner.

Kontrolle der getrennten Verarbeitung: Werden Daten zu verschiedenen Zwecken erhoben, darf das System nur die jeweils erforderlichen Informationen ausspucken, etwa für den Steuerberater oder für die Kundenkarten.

Kleine Kärtchen – großer Aufwand Stichwort Kundenkarten: Heiß begehrt sind sie, die kleinen Plastikstücke mit Rabattvorteilen bei OTCs oder Kosmetika. Auch der Apotheke bieten entsprechende Daten Vorteile zur Kundenbindung beziehungsweise zum gezielten Marketing. Und aus pharmazeutischer Sicht lassen sich bei Stammkunden Interaktionen erkennen. Viele Argumente für die Kundenkarte, dennoch gibt es Fallstricke: Patienten sollten bei der Ausstellung unbedingt eine Datenschutzerklärung unterschreiben. Zustimmungspflichtig ist sowohl die Speicherung von Name und Adresse als auch von Medikationsdaten. Laut BDSG müssen entsprechende Angaben freiwillig erfolgen – um dies zu dokumentieren, sollten Kunden neben ihrem Autogramm ein entsprechendes Einwilligungsfeld ankreuzen. Auch muss dem Wunsch nach Korrektur der Angaben oder nach Löschung aller Einträge entsprochen werden. Kritisch bewerten Datenschützer jegliche Auskunft an Familienmitglieder – genau genommen dürfen Kollegen nur Informationen an die Person weitergeben, auf deren Namen die Kundenkarte ausgestellt wurde, bei nicht bekannten Patienten wäre sogar der Ausweis zu kontrollieren. Viele Apotheken speichern zusammen mit den Kundendaten despektierliche Kommentare – „Kalenderschnorrer“, „Querulant“ oder „Laxantien-Abhängiger“ sind gängige Beispiele, die nicht ins System gehören. Objektive Daten wie etwa eine unbezahlte Rechnung können hingegen sehr wohl aufgenommen werden. Wenig Kopfzerbrechen sollte Apothekern hingegen die elektronische Gesundheitskarte (eGK) bereiten. Fast acht Jahre nach dem eigentlich vorgesehenen Starttermin läuft der Rollout zwar an, betroffen sind momentan nur Arztpraxen, die Offline-Anwendungen nutzen. Online-Applikationen wie das eRezept oder die elektronische Patientenakte werden wohl noch einige Jahre auf sich warten lassen. Zu Hause im Internet Andere Online-Medien haben sich mittlerweile deutlich besser etabliert: Viele Apotheken, auch ohne Versandhandel, kommunizieren über eigene Internetpräsenzen mit Kunden. Nach dem Telemediengesetz (TMG) verdienen einige Punkte Aufmerksamkeit: Wichtig ist ein Impressum mit entsprechenden Pflichtangaben gemäß §5 TMG. Besteht die Möglichkeit, Newsletter zu abonnieren, müssen sich Kunden dafür freiwillig entscheiden. Bewährt hat sich gerade aus datenschutzrechtlichen Aspekten das Verfahren „Double Opt-in“: Nach der Anmeldung erhalten Nutzer eine E-Mail. Erst wenn sie auf einen entsprechenden Aktivierungslink klicken, wird ihre Adresse in die Datenbank eingetragen. Zusätzlich muss bei jeder Infomail die Möglichkeit bestehen, sich aus dem Verteiler löschen zu lassen. Facebook – gefällt Datenschützern nicht Bei Online-Auftritten macht die Social Community Facebook immer wieder Ärger. Das beginnt bereits beim Aufbau einer Apothekenseite – besagte Plattform bietet an, Adressbücher des E-Mail-Postfachs nach potenziellen „Freunden“ zu durchsuchen und diese einzuladen. Vorsicht – schnell gelangen mit diesem kritischen Automatismus Kundendaten nach außen. Auch die bekannte „Gefällt mir“-Schaltfläche auf Websites nervt Datenschützer. Laut dem Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holstein wandern bei jedem Klick Inhalte unkontrolliert in die USA. Daher die Empfehlung: keinen Facebook-Button einbinden und die Rechtslage beobachten. Ob so genannte Fanpages, also auch Apothekenseiten, bei Facebook, generell gelöscht werden sollten, wie das ULD fordert, ist noch umstritten. Juristen berufen sich auf Verstöße gegen das Telemediengesetz, das Bundesdatenschutzgesetz sowie gegen Landesgesetze, warten aber noch auf entsprechende Präzedenzfälle. Die Kamera sieht alles Klarer erweist sich die rechtliche Sachlage da schon beim Thema Kameraüberwachung: Öffentliche Bereiche wie Freiwahl oder Kosmetikbereich können elektronisch beobachtet werden, falls es der tägliche Ablauf erfordert, Stichwort Diebstahlschutz. Ein Hinweisschild auf das digitale Auge ist dennoch anzubringen. Für nicht öffentliche Bereiche wie die Rezeptur oder das Lager ist das schon weitaus diffiziler – nur zur Wahrung berechtigter betrieblicher Interessen darf die Apothekenleitung Kameras installieren. Dazu zählen etwa ominöse Fehlbeträge in der Kasse oder unerklärliche Abweichungen im Arzneimittelbestand. Private Räume wie Umkleiden oder Toiletten bleiben hingegen von jeglicher Überwachung ausgenommen. Daten in Expertenhand Für viele Apotheken stellt sich angesichts dieser Vielzahl an Aufgaben zum Datenschutz die Frage, wie diese neben dem Tagesgeschäft bewältigt werden sollen. Ab einer gewissen Firmengröße kann es daher sinnvoll sein, einen Datenschutzbeauftragten zu benennen. Der Gesetzgeber schreibt diese Position sogar zwingend vor, sollten mindestens 20 Mitarbeiter Kontakt zu personenbezogenen Daten wie Kundenkarten oder bargeldlosen Zahlungen haben. Eine Sache ist klar: Die – zumindest stundenweise – Freistellung einer Person kostet Geld, Schulungen werden nötig, und die Kollegin oder der Kollege genießt einen besonderen Kündigungsschutz. IT-Firmen entsenden als mögliche Alternative externe Datenschutzbeauftragte in die Apotheke. Das kann jedoch mit mehreren Nachteilen verbunden sein. Einerseits kennen Mitarbeiter der Apotheke etwaige Schwachstellen am ehesten und können eingreifen. Andererseits erfordern manche Prozesse ein Mindestmaß an pharmazeutischem Grundverständnis. So oder so erspart ein Datenschutzbeauftragter der Apotheke möglicherweise großen Ärger und damit verbunden auch große materielle Schäden.