Es klingt einfach: Foto vom Rezept machen, an die ortsnahe Apotheke schicken und Medikament später abholen. Aber was sagt die neue Datenschutz-Verordnung dazu? © Tatsiana Yuralaits / 123rf.com

Datenschutz | Kundendaten

WHATSAPP-BESTELLUNGEN AB SOFORT TABU?

Das Angebot, den Kurznachrichtendienst zur Vorbestellung von Medikamenten, vor allem Rezepten in der Apotheke zu nutzen, gilt schon länger als umstritten. Ab Mai wird es dann richtig knifflig, denn mit der neuen europäischen Datenschutz-Grundverordnung (DS-GVO) kommen erhebliche Veränderungen auf die Apotheken zu.

Seite 1/1 3 Minuten

Seite 1/1 3 Minuten

Egal ob am Telefon, im Kundengespräch oder bei der Rezeptbelieferung – im Apothekenalltag trifft man ständig auf sensible Daten, die es zu schützen gilt. Zusätzlich greift für das Apothekenpersonal (vom Boten bis zum Apothekeninhaber) eine Schweigepflicht, die am besten schriftlich festgehalten werden sollte. Die gesetzlichen Regelungen zum Datenschutz sollen den Einzelnen vor unbegrenzter Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten schützen. Am 25. Mai 2018 löst das DS-GVO das bisher geltende Bundesdatenschutzgesetz (BDSG) ab, mit den Neuerungen ändert sich auch einiges im Datenschutz-Alltag der Apotheken. Das Spannende dabei: Die Auslegung und Umsetzung der neuen Vorschriften liegt in den Händen der Datenschutzbeauftragten der Länder – das bedeutet, man kann mit unterschiedlichen Ansichten rechnen.

Mit im Fokus der Diskussion steht der Messenger-Dienst WhatsApp. Fast jede Apotheke wirbt mit einer kostenlosen Reservierung des gewünschten Medikamentes. Einfach mit dem Handy ein Foto machen, an die Apotheke schicken und später abholen. Die Service-Leistung soll praktisch sein und vor allem den Kunden entgegenkommen, die es aus beruflichen oder privaten Gründen nicht immer zeitnah in die Apotheke schaffen. Kritisiert wird das Modell bereits seit längerem von den jeweiligen Apothekenkammern. Sie empfehlen, aus Gründen des Datenschutzes, diesen Service besser nicht anzubieten. Das Bundesamt für Sicherheit in der Informationstechnik hat die Apps nicht zertifiziert, eine Verschlüsselung seitens des Facebook-Dienstes wird zurzeit nur von selbigem gewährleistet, nachprüfen lässt sich das nicht. Sensible Patientendaten wie Medikamenten- oder Hilfsmittelverordnungen lassen zudem auf die Krankengeschichte folgern und sollten daher besonders vorsichtig gehandelt werden. WhatsApp halte sich derzeit auch nicht an das deutsche und europäische Datenschutzrecht oder an das Fernmeldegeheimnis.
Im Hinblick auf die neue DS-GVO hat der Facebook-Konzern zwar bereits reagiert und die App dahingehend verbessert, dass Nutzer nun in ihren Konto-Einstellung alle Daten, die WhatsApp erhebt und verwendet, abfragen können, dies kann aber bis zu 20 Tage dauern. In den neuen Regeln wird jedoch verlangt, dass alle personenbezogenen Daten dokumentiert und jederzeit abrufbar sein müssen.

Ein weiteres Problem liegt in der Synchronisation der Kontaktdaten. Wer WhatsApp auf seinem Smartphone installiert, gewährt dem Dienst Zugriff auf sein gesamtes Adressbuch, das bedeutet der Messenger-Dienst kann so auch Daten von Nicht-Nutzern verwenden ohne deren Wissen, was wiederum den Datenschutzrichtlinien widerspricht, dass jede Datenverarbeitung ausdrücklich erlaubt werden muss.
Aber das größte Problem liegt an dem bald mit hohen Bußgeldern (bis zu 20 Millionen) geahndeten Datentransfer in Drittländer (bei WhatsApp v.a. USA), in welchen ein niedrigeres Datenschutzniveau als in der EU herrscht. Grundlegend unklar ist zudem, ob WhatsApp überhaupt für nicht-private Zwecke genutzt werden darf. Eine offizielle Bestellung im Einzelhandel, auch der Apotheke, ist ebenso fraglich, wie die Nutzung von WhatsApp zu Marketingzwecken oder für berufliche interne Kommunikation, zum Beispiel im Team.

Was kommt sonst noch auf die Apotheken zu? Ein Datenschutzbeauftragter zum Beispiel. Zumindest wenn mindestens zehn Mitarbeiter ständig mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind. Dazu zählen beispielsweise Rezeptabrechnungen, Medikationsplan, das Erstellen von Kundenkarten oder die Zahlung mit EC- oder Kredit-Karte – außer Reinigungskräfte betrifft dies eigentlich das gesamte Apotheken-Team. Ob dieser Beauftragte extern oder intern besetzt wird, ist egal, es darf nur nicht der Inhaber sein. Außerdem muss der Kunde über jede Verarbeitung persönlicher Daten aufgeklärt und informiert werden, ebenso muss er zustimmen, am besten schriftlich. Nicht zulässig ist hierbei die kombinierte Einwilligung, also zum Beispiel dem Zustimmen zu einer Kundenkarte und zu einem Newsletter oder dem Erhalt von Werbung.
Letztlich haften die Apotheken natürlich auch für die Sicherheit der Daten: Virenschutz und Firewalls sollten auf dem neusten Stand sein und entstandene Lecks innerhalb von drei Tagen dem Bundesbeauftragten für Datenschutz gemeldet werden. Wer also dachte mit Rezeptur und BtM habe man genug mit Dokumentation zu tun, der darf sich schon einmal auf Mai freuen.

Farina Haase,
Apothekerin, Volontärin

Quelle: Apotheke adhoc

×