Einwilligungen, WhatsApp, Auftragsverar­beitung, Datenpanne – was ist zu beachten?

Eines der großen Themen bei der Umsetzung der neuen Datenschutzregeln betraf die Einwilligung der Personen, deren Daten erhoben werden. Diese spiele in der Apotheke jedoch nicht die bedeutende Rolle, die ihnen in der öffentlichen Wahrnehmung oft beigemessen werde. Beim Abschluss eines Kaufvertrags dürfen nämlich bereits alle notwendigen Daten ohne Einwilligung erhoben werden – inklusive z. B. einer Schufa-Anfrage zur Bonitäts­prüfung des Kunden. Auch dürfen die Daten ohne Einwilligung zur Geltendmachung von Rechtsansprüchen genutzt werden oder um gesetzliche Verpflichtungen zu erfüllen.

Zudem lasse das neue Datenschutzrecht auch Rückfragen beim Arzt ohne Einwilligung des Patienten zu, denn zur Heilbehandlung könnten Personen befragt werden, die ihrerseits an der Heilbehandlung beteiligt seien. „Im Geschäftsverkehr ist die Einwilligung eine aussterbende Spezies“, resümierte Krämer.

Selbstauskunft nur nach klarer Identifizierung

Wie aber steht es mit Auskunftsansprüchen, die von (vermeintlich) Betroffenen geltend gemacht werden? Nach dem Datenschutzrecht kann eine Person gegenüber dem Verantwort­lichen verlangen, Auskunft über den Umfang der über sie gespeicherten Daten und die Gründe für die Speicherung erteilt zu bekommen. Unrichtige Daten müssten berichtigt bzw. „gelöscht“ werden. Entsprechendes gilt hinsichtlich der Daten, die nicht mehr vom Erfordernis und Zweck der Datenspeicherung abgedeckt sind. Hinsichtlich der Selbstauskunft, die die Kunden in der Apotheke verlangen können, riet Krämer dazu, sicherzustellen, dass Anfragende sich ausreichend identifizieren: „Wenn Sie trotzdem Auskunft erteilen, haben Sie ein Problem.“

Unter dem „Löschen“ von Daten ist – entgegen dem allgemeinen Sprach­gebrauch – datenschutzrechtlich lediglich ein „Sperren“ der Daten für weitere Geschäfte zu verstehen. Es ist nämlich zu berücksichtigen, dass der Verantwortliche personenbezogene Daten Dritter auch nach Erfüllung des „Hauptverarbeitungszwecks“ noch so lange vorzuhalten hat, wie dies im Interesse der betroffenen Person selbst, aufgrund von nationalen Aufbewahrungsvorschriften (Steuerrecht, aber auch apotheken- oder arzneimittelrechtliche Vorschriften), im Hinblick auf Verjährungsregelungen oder zur Geltendmachung von Rechtsansprüchen z. B. gegenüber Kunden oder Krankenkassen geboten ist.

Auftragsverarbeitung: ja oder nein?

Hinsichtlich Auftragsverarbeitung von Daten skizzierte Krämer zwei Fallkonstellationen. Die Definition der „Auftragsverarbeitung“ sei nur dann erfüllt, wenn eine dritte Person (etwa beim Arzneimittelversand) unter der Anleitung des Apothekers und auf Anweisung agiere – zum Beispiel ein angestellter Mitarbeiter, der dann dieselben personenbezogenen Daten verarbeiten darf wie der Apotheker selbst. In diesem Fall behalte die Apotheke die Verantwortung für die Datenverarbeitung. Er riet dazu, jeweils genau zu prüfen, ob ein etwaiger Dienstleister der Apotheke tatsächlich eigenständig über die Art und Weise der Datenverarbeitung entscheide oder nicht. In letzterem Fall verbleibe die Verantwortung beim Apothekenleiter.

Finger weg von WhatsApp

Für rege Diskussionen im Zusammenhang mit dem neuen Datenschutzrecht hat die Nutzung von WhatsApp zur Arzneimittelvorbestellung gesorgt. Facebook, das hinter WhatsApp steht, interessiere sich wahrscheinlich gar nicht für die Inhaltsdaten von Verschreibungen etc., habe jedoch gleichwohl Zugriff auf diese Daten. Krämer geht in diesem Zusammenhang im Hinblick auf etwaige Datenschutz­verstöße von einer Teilentlastung der Apotheker aus, denn heutzutage müsse jedermann wissen, was er tue, wenn er sich der Nutzung von WhatsApp bediene. In gewissem Sinne falle die Nutzung von WhatApp in die Risikosphäre ihrer Nutzer. Gleichwohl mahnte der Referent: „Wir werden nichts unternehmen, wenn Sie das weiterhin nutzen, aber wir raten Ihnen dringend davon ab.“

Welche Datenpannen melden?

Wie ist mit Datenpannen umzugehen? Sie sollten, so Krämer, den Datenschutzbehörden immer (nur) dann gemeldet werden, wenn ein datenschutzrechtliches Risiko fortbestehe und nicht beherrschbar sei. Ein Betroffener müsse nur dann benachrichtigt werden, wenn ein besonders hohes Datenrisiko bestehe (z. B. bei einer versehentlichen Offenlegung der Kontonummer eines Kunden). Im Hinblick auf das einem Betroffenen zustehenden Beschwerderecht bei der Aufsichtsbehörde richtete Krämer die dringende Bitte an das Auditorium: „Formulieren Sie es so, dass die Beschwerde sich auf das Datenschutzrecht beschränkt!“ Ansonsten sei dort mit „Waschkörben voller Beschwerden“ zu rechnen. Für Beschwerden, die den Kaufvertrag oder die Geschäftsbeziehung ansonsten betreffen, etwa wegen der angeblichen Unwirksamkeit eines Medikamentes, sei die Aufsichtsbehörde keineswegs die richtige Anlaufstelle.

„Den meisten Verbrauchern ist der Datenschutz egal“

Auch in der Vergangenheit war das Datenschutzrecht nach Krämers Einschätzung keine große „Spielwiese“ für Rechtsstreitigkeiten. „Das alte Datenschutzrecht galt mehr als zehn Jahre“, stellte er fest. „Dazu haben wir nie höchstrichterliche Rechtsprechung bekommen. Die Richter fassen datenschutzrechtliche Fälle mit ganz spitzen Fingern an.“ Was die Rechtsprechung nun aus dem neuen Recht mache, wisse man nicht. Bis dahin müsse man sich eine eigene Meinung bilden. Trotzdem sollten die Apotheker damit rechnen, dass die Situation hinsichtlich der Einhaltung der Datenschutzbestimmungen „ernster“ geworden sei und werde – auch weil sich der allgemeine Kenntnisstand dazu stark erhöht hat. Bei Verbrauchern konstatiert Krämer in puncto Datenschutz ein eher wenig entwickeltes Problembewusstsein: „Wir kennen die Risiken, aber wir wissen auch, dass die Risiken im Umgang mit Daten 80 Prozent der Bevölkerung schlichtweg egal sind.“ |