Pharmazeutische Zeitung online
Innovationsfonds

Koalition stellt Regeln klar

21.05.2014
Datenschutz bei der PZ

Von Stephanie Schersch / Union und SPD wollen besondere sektorübergreifende Versorgungsmodelle über einen millionenschweren Innovationsfonds fördern, so steht es im Koalitionsvertrag. Weil immer mehr Lobbyisten Anspruch auf Mittel aus diesem Topf erheben, stellt die Koalition nun klare Spielregeln auf.

Von Anna Pannen / Ab kommendem Mai müssen Apotheker noch besser auf den Datenschutz achten. Das schreibt eine EU-Verordnung vor. Wer Kundeninformationen dann nicht penibel sichert, riskiert hohe Bußgelder.

In einem gemeinsamen Papier konkretisieren die Gesundheitsexperten Jens Spahn (CDU) und Karl Lauterbach (SPD) ihre Vorstellungen von dem geplanten Fonds. Laut Koalitionsvertrag wollen Union und SPD 300 Millionen Euro im Jahr zur Verfügung stellen, um innovative und sektorübergreifende Versorgungsmodelle zu fördern. Ein Teil der Mittel soll zudem in die Versorgungsforschung fließen. Heute scheiterten viele Projekte an einer fehlenden Anschubfinanzierung, erfolgreiche Modelle hätten es zudem häufig schwer beim Übergang in die Regelversorgung, schreiben die beiden Politiker. Der Innovationsfonds soll helfen, diese Probleme zu lösen.

 

Konkrete Vorgaben machen Lauterbach und Spahn nun zur Art der Projekte, die auf eine Unterstützung hoffen können. Gefördert werden könnten ausschließlich Leistungen, »die über die heutige Regelversorgung hinausgehen, dem Bereich der besonderen Versorgungsformen zuzurechnen sind und die erkennbaren Defizite der sektoralen Versorgung zu überwinden oder vermeiden suchen«. Dazu zählten etwa sektorübergreifende Modelle zur Sicherstellung der Versorgung in ländlichen Regionen, zur Delegation ärztlicher Leistungen oder aber Projekte zur Arzneimitteltherapiesicherheit bei multimorbiden Patienten mit Polymedikation.

 

Zu dieser Klarstellung sahen sich Lauterbach und Spahn nach den Erfahrungen der vergangenen Monate regelrecht gezwungen. So habe sich gezeigt, »dass um die Frage, was der Innovationsfonds eigentlich leisten soll, die unterschiedlichsten, zum Teil verwirrenden Vorstellungen existieren«. Zudem wecke das zusätzliche Geld viele Begehrlichkeiten.

 

Welche Projekte am Ende tatsächlich gefördert werden, soll der Gemeinsame Bundesausschuss (G-BA) entscheiden. Dort soll ein neuer Unterausschuss für Innovation und Versorgungsforschung entstehen. Die Verwaltung der Gelder könnte Spahn und Lauterbach zufolge der GKV-Spitzenverband oder der Gesundheitsfonds übernehmen. /

Die Verordnung gilt für alle Institutionen, die mit personenbezogenen Daten umgehen. Zwar liegt der Fokus auf den großen Firmen, die massenhaft Daten sammeln, doch auch kleine und mittlere Unternehmen müssen künftig mehr tun. Jeder Betrieb muss etwa einen Plan ausarbeiten, der darlegt, wie er den Datenschutz sichert. Da Apotheken und Arztpraxen besonders sensible Informationen speichern, müssen sie außerdem ein Risikomanagementsystem nachweisen – also schriftlich erklären, wie sie Daten-Lecks verhindern wollen. Auch müssen sie penibel dokumentieren, woher sie personenbezogene Daten haben und an wen diese weitergegeben werden.

 

Verträge auf dem Prüfstand

 

Beauftragt ein Betrieb ein Subunternehmen mit der Datenverarbeitung, muss er künftig sicherstellen, dass auch dort der Datenschutz gewährt bleibt und hierzu einen Vertrag schließen. Dies kann für Apotheker etwa interessant werden, wenn sie ihre Warenwirtschaft über externe Firmen organisieren und die Daten in Rechenzentren verarbeitet werden. Und nicht nur das: Auch alle bereits bestehenden Verträge mit Subunternehmen müssen überprüft und gegebenenfalls um entsprechende Datenschutz-Klauseln erweitert werden.

 

Schon heute gilt, dass ein Betrieb einen Datenschutzbeauftragten ernennen muss, sobald mehr als neun Beschäftigte mit Kundendaten umgehen. Allerdings hielt sich bislang kaum jemand daran. Künftig muss fast jedes Unternehmen der Aufsichtsbehörde diese Person namentlich nennen. Eine Meldepflicht gilt auch für Daten-Lecks: Wenn trotz aller Vorsicht ein Computer gehackt wird, ein Brief verloren geht oder eine E-Mail mit vertraulichen Daten falsch versendet wird, muss der Betrieb diesen Zwischenfall innerhalb von 72 Stunden melden.

 

Hält sich ein Unternehmen nicht daran, kann das künftig böse ausgehen. Denn die EU hat die Bußgelder bei Verstößen drastisch erhöht. 10 bis 20 Millionen Euro beziehungsweise 2 bis 4 Prozent des Jahresumsatzes können solche Verfehlungen künftig kosten. Diese Summen können für kleine Betriebe das Aus bedeuten.

 

Stephan Rehfeld ist Datenschutzexperte und berät unter anderem den Landesapothekerverband Niedersachsen. Er rät allen Apothekern, sich schon jetzt mit den Details der DSGVO vertraut zu machen. »Überlegen Sie, wie Sie die gestiegenen Anforderungen in Ihrer Offizin umsetzen können und wenden Sie sich gegebenenfalls an einen seriösen Anbieter von Datenschutz-Dienstleistungen«, empfiehlt der Diplom-Ökonom.

 

Keine Namen nennen

 

Rehfeld macht klar, dass es beim Thema Datenschutz zu Konflikten mit dem Berufsgeheimnis kommen kann. Denn was bislang schon für Prüfungen durch das Finanzamt galt, gilt auch für die Prüfer der Datenschutz-Behörde: Apotheker dürfen ihnen ihre Aufzeichnungen ohne richterlichen Beschluss nicht einfach überlassen. Sollte also etwa ein Brief mit vertraulichen Patienteninformationen verschwinden, wird es knifflig für den Pharmazeuten. Denn er ist ab Mai zwar verpflichtet, den Vorfall innerhalb von 72 Stunden zu melden, darf dabei aber keinen Namen nennen. Ob die Behörden das akzeptieren, sei noch völlig offen, erklärt Rehfeld. Gerichtsurteile dazu stehen noch aus.

 

Schwierigkeiten sieht Rehfeld auch beim Thema Kundenkarten. Um Namen, Adresse und andere Daten zu speichern, braucht es laut DSGVO ein schriftliches Einverständnis des Kunden. Viele Betriebe seien in der Vergangenheit recht leichtfertig gewesen und hätten sich auf eine mündliche Bestätigung verlassen, so der Ökonom. All diese Daten seien nun wertlos, da sie nicht mehr verwendet werden dürfen. Das heißt, dass manche Apotheken ihren gesamten Kunden-Stammsatz verwerfen müssen, wenn sie keine schriftlichen Einverständniserklärungen vorlegen können.

 

Kunden via Facebook oder WhatsApp zu kontaktieren, verstößt bereits heute fast immer gegen das Berufsrecht. Das hindert aber manche Apotheker nicht daran, dennoch über diese Dienste mit ihren Patienten zu kommunizieren. Bald könnte das riskant werden, sagt Rehfeld. Schließlich gibt der Betrieb so Informationen an Drittstaaten außerhalb der Europäischen Union weiter. »Theoretisch darf der Apotheker diese Dienste nur nutzen, wenn der Patient sich schriftlich zu dieser Weitergabe bereit erklärt und die Apotheke entsprechende Verträge mit dem Dienstanbieter abgeschlossen hat.«

 

Server im Ausland

 

Auch Online-Speicherdienste – sogenannte Clouds – sieht der Daten-Experte vor dem Hintergrund der DSGVO kritisch. Die Speicher der Anbieter stehen nämlich meist im Ausland. Wie gut sie dort berufsrechtlich geschützt sind, ist oft unklar. Apotheker dürfen Daten aber nur dorthin transferieren, wo sie ihr Berufsrecht auch durchsetzen können. Offizin-Inhaber, die Clouds nutzen, könnten also Ärger kriegen.

 

In Panik verfallen müssen Apotheker nun aber nicht. Schließlich wissen die meisten von ihnen aus Erfahrung sehr gut, wie man Patientendaten schützt und so speichert, dass sensible Informationen nicht an Unbefugte gelangen. Dennoch müssen sie das eine oder andere Detail wohl nachbessern. /

Mehr von Avoxa