Vorwürfe gegen ADG ergeben datenschutzrechtliche Fragen

Welche Daten dürfen Apotheken wie lange speichern?

Freiburg - 02.01.2019, 10:05 Uhr

Was darf eine Apotheke speichern und wie lange? Die DS-GVO lässt hier durchaus Argumentationsspielraum. (c / Foto: imago)

Was darf eine Apotheke speichern und wie lange? Die DS-GVO lässt hier durchaus Argumentationsspielraum. (c / Foto: imago)


Ein Artikel, der kurz vor Weihnachten auf „süddeutsche.de“ erschienen ist, erhebt schwere Vorwürfe gegen den Software-Hersteller ADG. Die Software soll Patientendaten über das notwendige Maß hinaus speichern, zudem soll ADG einem Löschauftrag seitens der Apotheke nicht nachgekommen sein. Nach Ansicht der Datenschutzexperten Dr. Morton Douglas und Dr. Lukas Kalkbrenner, die DAZ.online um eine Einschätzung gebeten hat, werfen die Vorwürfe komplexe datenschutzrechtliche Fragen auf, die über den konkreten Sachverhalt hinausgehen.

Die Vorwürfe gegen den Software-Hersteller ADG klingen schwerwiegend: In einem am 20. Dezember 2018 auf „sueddeutsche.de“ veröffentlichten Artikel hält eine Apothekerin aus München dem Warenwirtschaftssystem-Anbieter vor, die eingesetzte Software speichere zum einen viel mehr als sie sollte, zum anderen sei einem Löschauftrag seitens der Apotheke an ADG, der im Zusammenhang mit der Veräußerung der Apotheke ergangen sei, nicht hinreichend Rechnung getragen worden.

Beide Vorwürfe werfen, über den konkreten Sachverhalt hinaus, der vollständig sicher nur den unmittelbar Beteiligten bekannt ist, komplexe datenschutzrechtliche Fragen auf. Diese betreffen zum einen die allgemeine Frage, welche Daten durch Apotheken gespeichert werden dürfen und zum anderen das konkrete Schicksal dieser Daten im Falle der Übergabe einer Apotheke.

Bei dem Verdacht, der in dem Artikel nahegelegt wird, dass Daten von Millionen Menschen unzulässig mit Hilfe der ADG-Software von Apotheken gespeichert würden, ist zunächst zu differenzieren. So bestehen nicht nur – worauf der Anbieter in einer Stellungnahme zutreffend hinweist – zahlreiche gesetzliche Aufbewahrungspflichten für Apotheken, sondern sind darüber hinaus weitere legitime, gesetzlich nicht explizit verankerte Gründe vorstellbar, die einer Speicherung von Patientendaten nicht per se entgegenstehen.

Mehr zum Thema

Unzulässig gespeicherte Kundendaten

ADG widerspricht Datenschutzvorwürfen

Denn die Verarbeitung von Gesundheitsdaten durch Apotheken dient sowohl der „Behandlung im Gesundheitsbereich“ als auch der „Gesundheitsvorsorge“ und ist damit gemäß Art. 9 Abs. 2 lit. h DS-GVO beziehungsweise § 22 Abs. 1 Nr. 1 lit. a BDSG gesetzlich privilegiert. Mit anderen Worten: Soweit Datenverarbeitungen zu diesen Zwecken „erforderlich“ sind, sind sie – auch ohne Einwilligung der betroffenen Patienten – zulässig. Bei der Bestimmung der Erforderlichkeit ist zu berücksichtigen, dass der Begriff der „Behandlung“ weit auszulegen ist und auch präventive oder nachsorgende Maßnahmen erfasst (Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 9 DS-GVO Rdnr. 83, m.w.N.). Die „Gesundheitsvorsorge“ dient ausweislich des 53. Erwägungsgrundes der DS-GVO sogar ausdrücklich auch „der Sicherstellung und Überwachung der Gesundheit und Gesundheitswarnungen“.

Antworten gaben auch Dr. Lukas Kalkbrenner und Dr. Morton Douglas von der Kanzlei Friedrich Graf von Westphalen & Partner, Freiburg.

Dr. Lukas Kalkbrenner und Dr. Morton Douglas von der Kanzlei Friedrich Graf von Westphalen & Partner, Freiburg, unterstützen die Redaktion regelmäßig bei juristischen Fragestellungen.

Was wie lange gespeichert wird, entscheidet die Apotheke

Vor diesem Hintergrund ist es nicht von vorneherein unzulässig, wenn eine Apotheke (auch sensible) Daten von Patienten ohne deren Einwilligung speichert. Insoweit kann die Speicherung eines Rezept-Scans der Feststellung von Wechselwirkungen und Kontraindikationen zu künftigen Verschreibungen dienen. Vor allem aber kann der Apotheker aus eigenem Interesse im Rahmen der Durchführung der Arzneimittellieferung berechtigt sein, diese Daten zu speichern, etwa zur Abwehr von Retaxationen durch die Krankenkasse. So können Rezept-Scans mindestens so lange gespeichert werden, bis derartige Retaxationen ausgeschlossen sind. Derartige Erwägungen führen zwar nicht zur Zulässigkeit der grenzenlosen Speicherung sämtlicher Patientendaten – gleichwohl eröffnen sie im Lichte der insoweit vagen Vorgaben der DS-GVO einen signifikanten Argumentationsspielraum. Die Festlegung des angemessenen Speicherumfangs und der angemessenen Speicherdauer obliegt dabei der speichernden Apotheke.

Bei Verkauf nur mit Zustimmung der Betroffenen

Zutreffend ist, dass sensible Patientendaten im Falle einer Veräußerung einer Apotheke grundsätzlich nur mit der ausdrücklichen Zustimmung der Betroffenen auf den Erwerber übergehen dürfen. Datenschutzrechtlich verantwortlich dafür sind Veräußerer und Erwerber gleichermaßen. Der Anbieter einer Software unterliegt als Auftragsverarbeiter insoweit den Weisungen seiner Vertragspartner. Wurde ein Anbieter also vor der Übertragung einer Apotheke ordnungsgemäß mit der Bereinigung der Datenbank beauftragt, wie es beispielhaft in dem Süddeutsche-Artikel heißt, so hätte dieser dem nachkommen müssen.

Doch was bedeutet „löschen“ in diesem Zusammenhang eigentlich genau? Eine gesetzliche Definition dieses Verarbeitungsvorgangs fehlt, die Definitionsversuche in der juristischen Literatur reichen vom bloßen „Unkenntlichmachen gespeicherter personenbezogener Daten“ bis hin zu „Unmöglichkeit, die zuvor in den Daten verkörperten Informationen wahrzunehmen“, infolgedessen es nach erfolgreichem Löschen niemandem mehr möglich sein darf, diese Informationen noch wahrzunehmen (Überblick bei Koreng/Lachenmann, Datenschutzrecht, 2. Aufl. 2018, D.IV Rdnr. 10). Abhängig davon, welchen genauen Sachverhalt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), das in der Zwischenzeit in der Angelegenheit ermittelt, zugrunde legen wird, darf mit einer gewissen Spannung erwartet werden, welche Maßstäbe die Behörde bei den Löschfunktionen anlegen wird und ob diese im Ergebnis ausreichend sein werden. Die Entscheidung des BayLDA könnte somit Auswirkungen auf die gesamte Branche haben.



Dr. Lukas Kalkbrenner, Rechtsanwalt, Friedrich Graf von Westphalen & Partner mbB, Freiburg
redaktion@daz.online


Dr. Morton Douglas, Rechtsanwalt, Friedrich Graf von Westphalen & Partner mbB, Freiburg
redaktion@daz.online


Diesen Artikel teilen:


3 Kommentare

SZ? Wieso nicht DAZ?

von Matias Freyberger am 04.01.2019 um 17:55 Uhr

Laut dem SZ-Artikel und dem hinzugezogenen IT-Experten Prof. Herrmann speichert die ADG-Software die Rezeptdaten jedes Kunden. In Ihrem Artikel kommen die beiden Juristen zum Ergebnis: „Vor diesem Hintergrund ist es nicht von vorneherein unzulässig, wenn eine Apotheke (auch sensible) Daten von Patienten ohne deren Einwilligung speichert.“ Die ABDA scheint eine andere Meinung zu vertreten. Wie soll ich jetzt mit diesem Interpretationsspielraum konkret als Apotheker in der Praxis umgehen? Warum gibt es keine einheitliche Stellungnahme? Auf die Tatsache, dass das Löschkonzept der Software nicht funktioniert wurde gar nicht eingegangen.

Darüber hinaus bin ich etwas überrascht, dass so ein sensibles und weitreichendes Thema in einer bayerischen Tageszeitung erst-veröffentlicht/aufgedeckt wird. Ist nicht die DAZ hierfür erste Wahl und Ansprechpartner? Wieso haben Sie keinen Artikel über dieses Thema veröffentlicht? Ein gemeinsames Interview der Apothekerin aus München mit dem eingeschalteten IT-Experten und Ihren Juristen würde eine umfassende journalistische Beleuchtung des Sachverhaltes darstellen.

» Auf diesen Kommentar antworten | 0 Antworten

SZ Artikel wird verfälscht...ACHTUNG

von Redaktion DAZ.online am 04.01.2019 um 13:26 Uhr

Liebe Frau Fäustle,

hier wird nichts verfälscht, sondern es handelt sich lediglich um die Rechtsauffassung von zwei Juristen, die wie die Herren ja auch schreiben, über den konkreten Fall hinausgeht, sondern sich mit grundsätzlichen Fragen der Zulässigkeit der Speicherung befasst. Frau Franze ist diesbezüglich offenbar anderer Auffassung. Dass es hier unterschiedliche Meinungen gibt, ist der vagen Darstellung der Thematik in der DSGVO geschuldet, die Interpretationsspielraum lässt. Bei juristischen Fragestellungen ist das durchaus üblich, dass verschiedene Juristen zu verschiedenen Schlüssen kommen, wie sie als Leserin der Fachpresse ja wissen.
Herzliche Grüße
Ihre DAZ.online-Redaktion

» Auf diesen Kommentar antworten | 0 Antworten

SZ Artikel wird verfälscht...ACHTUNG

von Barbara Fäustle am 04.01.2019 um 12:51 Uhr

Merkwürdigerweise schreibt die SZ/ Prof Herrmann doch, dass das ADG Löschkonzept nicht funktioniert. Somit kann der Apother wohl kaum beeinflussen, wie lange etwas gespeichert wird.
lt ABDA/ Frau Franze darf eben NICHT ohne Einwilligung des Patienten gespeichert werden. Einen Rezept Scan für etwaige Folgeverordnungen zu speichern ist verboten. Das wäre ja ein Freibrief dafür, alle Laufkunden Scans zu bewahren, weil es ja irgendwann einmal zu einer Folgeverordnung kommen würde....
Voll amThema vorbei , und so etwas in der Fachpresse!

» Auf diesen Kommentar antworten | 0 Antworten

Das Kommentieren ist aktuell nicht möglich.