Unzulässig gespeicherte Kundendaten

ADG widerspricht Datenschutzvorwürfen

Stuttgart - 21.12.2018, 16:00 Uhr

Speichern ADG-Kassen standardmäßig Rezeptdaten? (c / Foto: imago)

Speichern ADG-Kassen standardmäßig Rezeptdaten? (c / Foto: imago)


Werden in der Apothekensoftware mehr Daten erfasst und gespeichert, als zulässig ist? Ein Artikel vom gestrigen Donnerstag auf „süddeutsche.de“ erhebt genau diesen Vorwurf gegen den zur Phoenix-Group gehörenden Software-Hersteller ADG. Dieser entgegnet, dass die Warenwirtschaftssysteme den Anforderungen der Datenschutzgrundverordnung in vollem Umfang Rechnung tragen.

Viele Apotheken arbeiten mittlerweile mit Rezeptscannern. Diese lesen nicht nur die zur Abgabe zwingend notwendigen Daten aus, wie das verordnete Arzneimittel und die Kassen-IK, sondern auch die Daten des Patienten – und speichern diese anscheinend teilweise auch. Zumindest erhebt ein aktuell in der Süddeutschen Zeitung erschienener Artikel diesen Vorwurf gegen den Softwarehersteller ADG. Dort wird über eine Apothekerin berichtet, die, als sie sich im Frühjahr um die DSGVO kümmerte, Daten von mehreren 1.000 Patienten gefunden hatte – deutlich mehr als sie wissentlich als Stammkunden mit deren Einwilligung gespeichert hatte. Sie habe die ADG beauftragt, die Datenbank entsprechend zu bereinigen. Darum habe die Firma sich aber gedrückt, heißt es.

Die von der SZ befragten Datenschutzexperten sehen in der standardmäßigen Speicherung nicht benötigter Daten einen Konflikt mit dem Prinzip der Datenminimierung der DSGVO, wonach so wenig wie nötig gespeichert werden soll. Vor allem, wenn Privatpatienten ihre Rezepte nur vorlegen und dann selbst bezahlen, wie es in dem Artikel heißt. Laut SZ ist das kein Einzelfall. Die Überprüfung einer weiteren Apotheke soll einen vergleichbaren Datenfriedhof zutage gebracht haben.

Mehr zum Thema

Softwarehersteller ADG erklärt dazu: „Datenschutz ist uns als Gesundheitsdienstleister sehr wichtig und durch Richtlinien und Prozesse fest in unserer Organisation verankert. Die Warenwirtschaftssysteme der ADG tragen den Anforderungen der Datenschutzgrundverordnung vom 25. Mai 2018 in vollem Umfang Rechnung. Warenwirtschaftssysteme in Apotheken müssen den Anforderungen zahlreicher gesetzlicher Dokumentations- und Aufbewahrungspflichten für Apotheken genügen, die etwa aus dem Steuerrecht, dem BtM-Recht, der Arzneimittelsicherheit (zum Beispiel Arzneimittelrückrufe) oder den arzneimittelrechtlichen Sorgfaltspflichten des Apothekers zum Schutz von Patienten herrühren. Daher kommt ein abgestuftes, parametrisierbares Speicherungs- und Löschkonzept zum Tragen. Dieses Datenschutzkonzept ist für den Anwender umfassend dokumentiert, damit er die notwendigen Entscheidungen treffen kann.“

ADG: Der Apotheker kann bestimmen, ob und wie lange er Rezeptscans speichern will

Auf Nachfrage von DAZ.online, ob dies im Klartext bedeute, dass jeder Apotheker es selber in der Hand hat, was er wie lange speichern möchte, erklärte ein Sprecher des Unternehmens. Das System S300 trage dem Grundsatz „privacy by default“ Rechnung, da es in den Standardeinstellungen auf maximalen Datenschutz eingestellt sei. Im datenschutzrechtlichen Sinne verantwortlich für die Datenerhebung und -verarbeitung sei aber die Apotheke. Sie könne in den Einstellungen des Systems jederzeit selbst bestimmen und einstellen, welche Daten erfasst und wie diese verarbeitet werden sollen. Dies sei in den Handbüchern zum Warenwirtschaftssystem auch klar beschrieben. So sei einstellbar, ob die Daten aus einem Rezept überhaupt übernommen werden sollen. Bei Rezeptscans könne man zudem eine konkrete Speicherdauer einstellen. Selbstverständlich können nicht (mehr) benötigte Daten auch von der Apotheke gelöscht werden, wobei jedoch ein abgestuftes Löschkonzept zum Tragen komme. Weiter erklärt er, dass es wichtig zu erwähnen sei, dass Aufbewahrungs- und Speicherfristen aus den unterschiedlichsten Gesetzen resultieren, etwa aus dem Handels-, Gewerbe-, Steuer-, Sozialrecht sowie Vorschriften des Gesundheitswesens. Bestünden gesetzliche Aufbewahrungspflichten, so gehen diese zwingend dem Grundsatz der Datenminimierung vor. Eine Löschung dürfe dann nicht erfolgen und könnte – wie etwa im Fall des Steuerrechts – sogar eine Straftat darstellen, so der Sprecher.

Mehr zum Thema

Teil 3: Gemeinsame Verantwortlichkeit und Facebook-Fanpages

Sechs Monate DSGVO – ein Zwischenfazit

Teil 2: Ist der Datenschutzbeauftragte bald Geschichte?

Sechs Monate DSGVO – ein Zwischenfazit

Teil 3: Gemeinsame Verantwortlichkeit und Facebook-Fanpages

Sechs Monate DSGVO – ein Zwischenfazit

Antworten soll es 2019 geben

Laut SZ hat sich die Apothekerin nach wiederholter Beschwerde bei ADG an das bayerische Landesamt für Datenschutz gewandt. Das soll erklärt haben, das Thema hoch aufgehängt zu haben und will Anfang des kommenden Jahres Antworten geben.



Julia Borsch, Apothekerin, Chefredakteurin DAZ
jborsch@daz.online


Diesen Artikel teilen:


3 Kommentare

SZ-Artikel

von Daniel Schober am 24.12.2018 um 11:58 Uhr

Der SZ-Artikel sieht die ganze Situation doch deutlich kritischer. Eben so der IT-Experte und Universitätsprofessor Dominik Herrmann

https://www.sueddeutsche.de/digital/datenschutz-verdacht-auf-unzulaessig-gespeicherte-kundendaten-in-apotheken-1.4261029

» Auf diesen Kommentar antworten | 0 Antworten

Unfähigkeit....

von Felix Maertin am 22.12.2018 um 10:57 Uhr

Unangenehm, wenn eine Kollegin nicht in der Lage ist eine Anleitung zu lesen und die Einstellungen korrekt zu hinterlegen. Das ist ja der große Vorteil bei ADG, individuell zu entscheiden und nicht geknebelt zu werden.

» Auf diesen Kommentar antworten | 1 Antwort

AW: Unfähigkeit

von Felix Maertin am 25.12.2018 um 11:05 Uhr

Nachdem ich mich nun mit dem Thema beschäftigt habe, muss ich meinen 1. Kommentar revidieren:
Liebes DAZ-Team, wieso ist eine Redaktion nicht in der Lage den SZ-Artikel in seiner gesamten Tragweite korrekt wiederzugeben, mit Herr Professor Herrmann Kontakt aufzunehmen oder sogar, wie verwegen, mit der Betroffenen Apothekerin zu sprechen?
Schlamperei wäre ja fast noch verzeihlich, aber hier riecht es doch eher nach Hörigkeit gegenüber der Industrie...
reinwachsen könnte man sich, indem die Komplexität korrekt dargestellt werden würde.
Liebe Kollegen mit ADG als Software, nehmt das Problem ernst, formal haften wir für die nachgewiesen Verstöße. Und da wir es nicht verhindern können, muss der Gesetzgeber auch die Täter in die Verantwortung nehmen, nicht die Opfer. Die wie so oft die Apothekers am Ende der Kette sind...

Das Kommentieren ist aktuell nicht möglich.