Pharmazeutische Zeitung online
AMK
DSGVO

Ist das zu speichern oder kann das weg?

Auch nach Geltungseintritt der Datenschutz-Grundverordnung am 25. Mai 2018 herrscht Uneinigkeit zwischen vielen Akteuren rund um und in der Apotheke darüber, welche Daten von Patienten überhaupt in der Apotheke gespeichert werden dürfen und wenn ja, wie lange.
Juliane Franze
09.02.2019
Datenschutz bei der PZ

Grundsätzlich gilt nach Art. 9 Absatz 1 Datenschutz-Grundverordnung ein Verbot der Speicherung personenbezogener Daten besonderer Kategorien. Zu diesen sensiblen Daten zählen Daten, aus denen die ethnische Herkunft oder religiöse Überzeugung hervorgeht sowie die in der Apotheke wichtigen Gesundheitsdaten. Von diesem Verbot dürfen nur unter den Voraussetzungen des § 6 Absatz 1 Datenschutz-Grundverordnung und den zusätzlichen Voraussetzungen nach Art. 9 Absatz 2 Datenschutz-Grundverordnung Ausnahmen gemacht werden. Zu den Ausnahmen zählen unter anderem die Einwilligung des Patienten in eine bestimmte, zweckgebundene Verarbeitung, ein Vertrag mit einem Vertreter der Gesundheitsberufe oder eine gesetzliche Grundlage. Eine Verarbeitung darf folglich durch die Apotheke erfolgen, wenn eine Einwilligung des Patienten, als Herr seiner Daten, zur zweckgebundenen Verarbeitung vorliegt, wie zum Beispiel im Zusammenhang mit einer Kundenkarte. Auch ist die Apotheke berechtigt, Rezeptdaten zur Abrechnung von Rezepten zulasten der gesetzlichen Krankenversicherung ohne Einwilligung des Pateinten zu speichern und diese den Rechenzentren zu übermitteln, vgl. § 300 SGB V. Ist die Abrechnung abgeschlossen, so muss der Betriebserlaubnisinhaber sicherstellen, dass die Rezeptdaten wieder gelöscht werden. Weiterhin darf er Patientendaten ohne Einwilligung zu den gesetzlich vorgesehenen Dokumentationszwecken oder die zur Erfüllung eines Vertrages benötigten Daten, zum Beispiel über eine Medikationsanalyse oder Ernährungsberatung in der Apotheke, verarbeiten.

Soweit die obigen Voraussetzungen bei Gesundheitsdaten, die sich aus OTC-Verkäufen, Privatrezepten oder auch grünen Rezepten ergeben, nicht vorliegen, gilt grundsätzlich, dass sie nicht gespeichert werden dürfen.

Teilweise wird die abweichende Meinung vertreten, Artikel 9 Absatz 2 lit. h Datenschutz-Grundverordnung beziehungsweise § 22 Bundesdatenschutzgesetz böten eine geeignete Rechtsgrundlage, Rezeptdaten im Allgemeinen in der Apotheke von Patienten ohne Kundenkarte oder Einwilligung zu speichern.1 Diese Regelungen erlauben unter anderem eine Verarbeitung von sensiblen Daten, wenn sie für Zwecke der Gesundheitsvorsorge und der Versorgung und Behandlung im Gesundheits- und Sozialbereich erforderlich sind. Nach dieser Auffassung wäre es auch zulässig, Gesundheitsdaten, die sich aus OTC-Verkäufen, Privatrezepten oder auch grünen Rezepten ergeben, ohne Einwilligung zu speichern. So könne es für einen späteren Wechselwirkungscheck hilfreich sein, auf alte Rezeptdaten zurückzugreifen. Schließlich gäbe die noch recht junge Datenschutz-Grundverordnung noch Argumentationsspielräume.

Diese Auffassung ist höchst angreifbar

Die Speicherung von Gesundheitsdaten nach Artikel 9 Absatz 2 lit. h Datenschutz-Grundverordnung beziehungsweise § 22 Bundesdatenschutzgesetz muss für die Gesundheitsvorsorge erforderlich sein und sich außerdem auch auf eine Rechtsgrundlage im EU-Recht oder im deutschen Recht oder auf einem Vertrag zwischen Patient und Apotheker stützen.2 Eine Verarbeitung ist nach Erwägungsgrund 53 Satz 1 zur Datenschutzgrundverordnung immer dann erforderlich, »wenn dies für das Erreichen der Zwecke im Interesse einzelner natürlicher Personen (Patient) und der Gesellschaft insgesamt er­forderlich ist«.

Diese Erforderlichkeit zur Speicherung von Gesundheitsdaten bei der Bedienung von OTC-Verkäufen, Privatrezepten oder auch grünen Rezepten kann ernsthaft angezweifelt werden.

Zunächst einmal ist der Apotheker gemäß § 20 Apothekenbetriebsordnung zur Beratung verpflichtet. In diesem Rahmen fragt er nach anderer Medikation und berät zu Wechselwirkungen. Eine Speicherung sieht der Gesetzgeber in diesem Zusammenhang nicht vor. Zudem ist ein Nachfragen und freiwilliges Auskunft geben des Patienten ein sogenanntes milderes und somit vorzugswürdigeres Mittel gegenüber der unfreiwilligen Datenspeicherung. Letztere stellt einen Eingriff in das Recht auf informationelle Selbstbestimmung des Patienten dar und ist aufgrund der Beratungspflicht nicht zu rechtfertigen.

Zudem liegt die Hauptverantwortung für die gesamte Therapie eines Patienten beim behandelnden Arzt, der sehr weitreichende Haftungsreglungen und Dokumentationspflichten unterliegt, vgl. § 630f und h BGB. Der Apotheker unterliegt hier anderen Pflichten. Er verantwortet neben dem Arzt die Sicherheit der Arzneimitteltherapie. Er ist dabei nur verpflichtet, diejenigen Informationen zu berücksichtigen, die ihm in der konkreten Beratungssituation zur Verfügung stehen, vgl. § 20 Absatz 2 ApoBetrO. Diese erhält er allein aus aktuell vorgelegten Rezepten und zusätzlicher Nachfrage nach nicht-rezeptpflichtigen Arzneimitteln und Gesundheitsprodukten, die er auf pharmazeutische Risiken prüft. Etwas anderes kann gelten, wenn der Patient eine Kundenkarte hat. In diesem Zusammenhang verpflichtet sich der Apotheker oft, die Medikation des Patienten zu dokumentieren und auf Wechselwirkungen zu bisher dokumentierter Medikation zu prüfen. Ignoriert er solche aufgrund Vertrags mit dem Patienten zu Recht erhobenen Informationen, haftet er für etwaige durch Falschberatung entstandene Schäden.

Eine Speicherung erscheint weiterhin nicht als erforderlich, da Apotheker, wie viele andere Gesundheitsberufe, bereits zahlreichen Regelungen zu Dokumentationspflichten unterliegen, zum Beispiel im Betäubungsmittelrecht, bei Blutprodukten oder der Rezepturherstellung. Der Gesetzgeber hat hier bewusst und im Detail geregelt. Es liegt somit eher der Schluss nah, keine weiteren Dokumentationsrechte oder -pflichten in sehr weitgefasste Normen wie Art. 9 Absatz 2 lit. h Datenschutzgrundverordnung und § 22 Absatz 1 Nr. 1 b) BDSG hineinzuinterpretieren.

Auch aus rein praktischer Sicht ist eine Speicherung von Gesundheitsdaten, die sich aus OTC-Verkäufen, Privatrezepten oder auch grünen Rezepten ergeben, kompliziert. Die Erforderlichkeit einer Speicherung zur Gesundheitsvorsorge nach Art. 9 Absatz 2 lit. h Datenschutzgrundverordnung ist oft eine Einzelfallabwägung und -entscheidung. Diese muss die Apotheke auf Nachfrage von Patienten oder Aufsicht im Einzelfall nachweisen können und somit vorher dokumentiert haben. Die Nachweis- beziehungsweise Beweispflicht für jeden einzelnen Patienten liegt nach Art. 24 Absatz 1 Datenschutzgrundverordnung beim Verantwortlichen, dem Betriebserlaubnisinhaber.

Es sollten daher bei der derzeit unsicheren Rechtslage und mit Blick auf die angeführten Argumente, Gesundheitsdaten aus Privatrezepten oder OTC-Verkäufen nicht ohne Einwilligung gespeichert werden, denn es drohen empfindliche Bußgelder bei datenschutzrechtlichen Verstößen.

Mehr von Avoxa