- DAZ.online
- DAZ / AZ
- DAZ 50/2003
- Th. Graefe et. al....
Recht
Th. Graefe et. al.Arzneimittelversand nach neuem Rec
Welche Daten fallen an?
Der Benutzer hinterlässt bei der Nutzung eines Apothekenwebshops zahlreiche Daten. Beim bloßen "Surfen" auf dem Apothekenwebshop sind dies IP-Adresse, Zeitpunkt und Dauer des Zugriffs sowie die aufgerufenen Webseiten. Beim Einloggen in den Apothekenshop z. B. über einen Account fallen zusätzlich Daten wie Benutzeridentifikation, Anschrift, E-mail-Adresse, Telefon- oder Telefaxnummer an.
Bei der Bestellung eines Produktes wird das Datenaufkommen noch umfangreicher: Hinzu kommen Daten über das bestellte Produkt, Lieferadresse, Angaben zu Zahlungsmodalitäten, unter Umständen Rezeptdaten und Krankenkassendaten.
Der Gesetzgeber schützt vor allem personenbezogene Daten. Die im Apothekenshop erhobenen Datensätze sind wegen eindeutig zuordenbarer Anknüpfungspunkte wie Name, Adresse etc. zunächst personenbezogen, der Personenbezug kann jedoch durch Anonymisierung entfernt werden.
Die Datensätze sind außerdem in der Regel "besondere" personenbezogene Daten im Sinne des § 3 Abs. 9 Bundesdatenschutzgesetz (BDSG), da sie sich - durch die Speicherung des bestellten Arzneimittels - auf die Gesundheit des Kunden beziehen. Diese Daten sieht der Gesetzgeber als besonders schutzwürdig an.
Der Apothekenshop generiert wertvolle Daten
Der gesetzliche Schutz kollidiert oft mit dem Interesse an unbeschränkter Datennutzung. Aus den anfallenden Daten lässt sich, gerade wenn mehrere Bestellungen abgewickelt werden, viel über den Kunden erfahren. Das Surf-Verhalten des Kunden auf dem Apotheken-Webshop gibt Aufschluss über Wissenstand und Interessensgebiete.
Von der Art und Häufigkeit der Medikation lässt sich schließen auf vorhandene Krankheiten und sonstige Leiden. Lieferadressen beschreiben das soziale Umfeld des Kunden, Zahlungsdaten schließlich dessen Bonität und Zahlungsmoral.
Verknüpft man die Daten miteinander, so lässt sich mit bereits vorhandenen Data-Mining-Tools ein gerade in medizinischer Hinsicht höchst aussagekräftiges Profil des Kunden erstellen. Dies würde sicher nicht nur der eine oder andere marketingbewusste Apotheker nützlich finden - beispielsweise um den Kunden gezielt auf ergänzende OTC-Präparate und Freiware anzusprechen.
Vor allem Unternehmen im medizinnahen Bereich, wie z. B. Hersteller von Nahrungsergänzungsmitteln oder Kosmetika wären an diesen Daten höchst interessiert; der Gedanke, dem einzelnen Patienten speziell auf den Gesundheitszustand zugeschnittene Angebote zu unterbreiten dürfte für solche Unternehmen sehr verführerisch sein.
Welche Datennutzung ist gesetzlich erlaubt?
Personenbezogene Daten können grundsätzlich nur dann verwendet werden, wenn entweder der Betroffene eingewilligt hat oder das Gesetz dies erlaubt. Aus den Spezialregelungen zum Arzneimittelversand, die im GKV-Modernisierungsgesetz vorgesehen sind, lässt sich ein Recht zum umfangreichen Speichern von Kundendaten nicht herleiten.
Die dortigen Vorschriften (Sendungsverfolgung, Zweitsendung etc.) machen eine personenbezogene Datenspeicherung nur bis zu dem Zeitpunkt notwendig, an dem sowohl die Lieferung als auch die Bezahlung vollständig abgewickelt ist - ab diesem Zeitpunkt kann sich die Apotheke nur noch auf die Datenverarbeitungsbefugnisse berufen, die für die Abrechnung mit der Krankenkasse notwendig sind.
Auch die Tatsache, dass der Apotheker pharmazeutische Beratung sicherstellen muss (§ 11 a Nr. 2 d) ApoG n.F.), ermächtigt ihn nicht, z. B. eine Datei über alle jemals von einem Patienten bestellten Arzneimittel anzulegen. Der Apotheker kann bei Unkenntnis der medizinischen Hintergründe des Patienten nur dann individuelle Aufklärung schulden, wenn der Patient diese Daten offen legt; der Apotheker darf diese Daten jedoch nicht "auf Vorrat" sammeln.
Nutzungsprofile nach dem Teledienstedatenschutzgesetz
Der Apothekenwebshop ist ein Teledienst mit der Folge, dass auch das Teledienstedatenschutzgesetz (TDDSG) gilt. Dort finden sich allgemeine Erlaubnistatbestände für den Umgang mit Daten.
Das TDDSG erkennt an, dass es für viele Gewerbetreibende wichtig ist, Daten zu erheben zum Zwecke der Werbung, der Marktforschung oder zur Verbesserung des jeweiligen Teledienstes.
Die Erstellung von Nutzungsprofilen regelt § 6 Abs. 3 TDDSG, wonach der Diensteanbieter für die genannten Zwecke Nutzungsprofile bei Verwendung von Pseudonymen erstellen darf. Beim "Pseudonymisieren" werden Name und andere Identifikationsmerkmale durch ein nicht auf den Betroffenen beziehbares Kennzeichen ersetzt.
Der Apotheker muss durch technische und organisatorische Vorkehrungen sicherstellen, dass die Pseudonymisierung nicht rückgängig gemacht werden kann. Es gibt eine wichtige Einschränkung: Dem Nutzer muss die Möglichkeit eröffnet werden, der Erstellung eines pseudonymisierten Nutzungsprofiles zu widersprechen.
In diesem Falle muss der Apotheker hierauf verzichten - u. U. kommt eine Weiternutzung der Daten dann nur noch in Frage, wenn diese anonymisiert werden.
Datenverarbeitungserlaubnis nach dem Bundesdatenschutzgesetz?
Auch das Bundesdatenschutzgesetz (BDSG) enthält Erlaubnistatbestände für Datenerhebung, -verarbeitung und -nutzung. Soweit es "zur Wahrung berechtigter Interessen" des Apothekers erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Kunden überwiegt, würde § 28 Abs. 1 Nr.2 BDSG die Datennutzung erlauben.
Ein solches berechtigtes wirtschaftliches Interesse an der Weiternutzung von Bestelldaten für Werbezwecke ist bei "normalen" Unternehmen anerkannt. Ausgerechnet bei Apotheken überwiegt jedoch "das schutzwürdige Interesse des Betroffenen".
Grund: Der Betroffene kann nicht gänzlich freiwillig über die Preisgabe seiner Daten bestimmen. Erstens ist er auf den Bezug des Arzneimittels angewiesen; zweitens kann er als gesetzlich Versicherter nicht darauf verzichten, personenbezogene Daten anzugeben (im Gegensatz zum Privatversicherten, der durch sofortige Barbezahlung weitgehend anonym bleiben kann).
Da daher ein Kassenpatient nicht verhindern kann, dass seine Daten gespeichert werden, vertreten viele Aufsichtsbehörden die Auffassung, dass der weiteren Speicherung und Nutzung der Kundendaten für andere Zwecke - wie z. B. für Werbezwecke der Apotheke - das überwiegende schutzwürdige Interesse des Kassenpatienten entgegensteht.
Datennutzung nur mit Einwilligung
Es ist festzuhalten, dass anonyme Daten erlaubnisfrei verarbeitet werden dürfen. Gesetzliche Erlaubnistatbestände finden sich nur hinsichtlich der Erstellung pseudonymisierter Nutzungsprofile. Falls die Datennutzung hierüber hinausgehen und auch eindeutig personenbezogene Daten umfassen soll, kann sich der Apotheker auf keinerlei gesetzliche Erlaubnis berufen.
Die Datenerhebung, -speicherung und -nutzung solcher Daten ist daher nur möglich, wenn der Betroffene eingewilligt hat. Eine ähnliche Einwilligung sehen manche Apothekenhomepages jetzt schon vor, um den Apotheker zur Führung einer "Kundenkarte" zu ermächtigen.
Diese Einwilligung muss vom Kunden eingeholt werden. Dabei sind verschiedene Vorschriften zu beachten. Der Nutzer muss zunächst wissen, worin er einwilligt. Gemäß § 4 Abs. 1 TDDSG hat der Apotheker den Nutzer daher über Art, Umfang und Zwecke der Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu unterrichten.
Es ist also auf die gesamte beabsichtigte Verwendung (z. B. Werbemaßnahmen des Apothekers) hinzuweisen, ebenso auf alle potenziellen Übermittlungsempfänger.
Um eine rechtswirksame Einwilligung zu erhalten muss sie vor Beginn der Datenverarbeitung eingeholt werden. Es bietet sich hier an, ein Web-Formular mit dem besonders hervorgehobenen Einwilligungstext zu erstellen, das der Nutzer ausfüllt und abschickt.
Die Einwilligung muss protokolliert werden und der Inhalt der Einwilligung muss vom Nutzer jederzeit abgerufen werden können. Die Einwilligung muss vor allem freiwillig erfolgen, insbesondere darf die Nutzung des Apothekenshops nicht von der Erteilung der Einwilligung abhängig gemacht werden (§ 3 Abs. 4 TDDSG).
Datentransparenz
Mit Erteilung seiner Einwilligung verzichtet der Kunde keineswegs auf alle Rechte an seinen Daten, im Gegenteil: Der Apotheker muss dem Kunden durch Datentransparenz stets die Kontrolle über seine Daten ermöglichen.
So muss der Apotheker dem Nutzer auf Verlangen unentgeltlich und unverzüglich Auskunft über alle zu seiner Person oder zu seinem Pseudonym gespeicherten Daten erteilen. Die einmal erteilte Einwilligung kann der Kunde schließlich auch jederzeit widerrufen.
Fazit
Will der Apotheker die Daten, die Kunden bei der Nutzung seines Apotheken-Webshops preisgeben, nicht nur zur Abwicklung der Bestellung sondern auch zu anderen Zecken nutzen, vielleicht sogar weitergeben, so muss er die Einwilligung der Kunden einholen. Ohne diese Einwilligung sind lediglich anonyme oder im Einzelfall pseudonyme Datenbestände verwertbar.
Anzumerken ist, dass auf diesem Gebiet möglicherweise bald neue Vorschriften erlassen werden. Das neue Apothekengesetz sieht unter § 21 Abs. 3 vor, dass im Rahmen der Apothekenbetriebsordnung Regelungen zu "Informationen in elektronischen Medien" getroffen werden können, soweit diese in Verbindung mit dem elektronischen Handel mit Arzneimitteln verwendet werden. Hierbei sind insbesondere Regelungen zu Geheimhaltung und Datenschutz vorgesehen. Die Ergebnisse sind abzuwarten.
Der Mustershop bietet eine rechtlich kommentierte, vor allem aber visualisierte Auseinandersetzung mit den Regelungen über den Arzneimittelversand.
0 Kommentare
Das Kommentieren ist aktuell nicht möglich.