Das sind die wichtigsten Antworten zum Datenschutz in der Apotheke (Teil 4)

Ab dem 25. Mai sind Regelungen der neuen EU-Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz verbindlich zu beachten. Ist Ihre Apotheke fit für die neuen Anforderungen?

Dass noch nicht alle Fragen geklärt sind, zeigte unser Aufruf an die Leserinnen und Leser, uns Fragen zur DSGVO zuzuschicken. Wir haben diese gebündelt und verschiedene Rechtsexperten um Antworten gebeten.

Im vierten Teil unserer FAQ-Aktion antwortet Dr. Bettina Mecking, Justiziarin und stellvertretende Geschäftsführerin der Apothekerkammer Nordrhein. Im Mittelpunkt steht diesmal die transparente Information der Kunden – etwa über einen Aushang und in Einwilligungserklärungen. Frau Mecking geht überdies auf die Besonderheiten des Botendienstes ein – inklusive eines Schwenks zu Dokumentationen für das Finanzamt.

Frage: Die Datenschutzerklärung, die im Verkaufsraum aufzuhängen ist, umfasst fünf bis sieben Seiten. Müssen sämtliche Seiten für Kunden in der Offizin gut sichtbar ausgehängt werden? Oder reicht ein Hinweis wie: „Bei Fragen zum Datenschutz sprechen Sie uns gerne an”? 

Antwort: In einem Ladengeschäft, das Waren und Dienstleistungen unter Erhebung und Verarbeitung personenbezogener Daten anbietet wie eine Apotheke, werden die entsprechenden Hinweise üblicherweise in abgedruckter Form an geeigneter Stelle in den Geschäftsräumen, etwa deutlich sichtbar im Verkaufsraum oder aber unmittelbar im Kassenbereich, ausgehängt. Sofern eine betroffene Person es wünscht, sollten Abdrucke zum Mitnehmen zur Verfügung gestellt werden. Der Kunde muss sie in zumutbarer Weise zur Kenntnis nehmen können. Dazu gehört, dass die Informationen im Aushang ohne Weiteres (zum Beispiel nicht nur mit einer Lupe) wahrnehmbar und lesbar sein müssen.

Der Hinweis: „Bei Fragen zum Datenschutz sprechen Sie uns gerne an“ erscheint nicht sehr geeignet, da er eine kleine Hürde für Interessierte aufbaut. Denn man muss selbst aktiv werden, was einem Kunden peinlich sein könnte.

Mancherorts wird es als ein Weg angesehen, die Datenschutzerklärung auszugsweise auszuhängen und darauf hinzuweisen, dass die Langfassung am HV-Tisch ausliegt oder an einem anderen geeigneten Ort.

Frage: Kundenkarten-Anträge sollen nun DSGVO-konform aktualisiert werden. Gibt es sowas wie einen Bestandsschutz für „Altkunden“? Oder müssen alle „Altkundenkarten“-Besitzer neu unterschreiben? Wie lange ist eine solche Einwilligungserklärung gültig?

Antwort: Alte Kundenkarten haben grundsätzlich einen gewissen „Bestandsschutz“. Einwilligungen, die vor dem 25. Mai 2018 eingeholt wurden und deren Handhabung schon den Vorgaben der DS-GVO beziehungsweise dem deutschen Recht entsprechen, behalten ihre Wirksamkeit. Die Einwilligungserklärung ist solange gültig, wie der Kunde diese nicht widerruft.

Für eine problemlose Umstellung auf das neue Datenschutzrecht sollten die bereits eingeholten Einwilligungen überprüft und gegebenenfalls aktualisiert werden. Apotheken müssen also prüfen, ob alle relevanten Vorgänge mit den alten Einwilligungserklärungen abgedeckt werden. Für eine darüber hinausgehende Verarbeitung dürfen die Karten nicht verwendet werden. Kunden müssen wissen, welche Daten verarbeitet werden und wohin diese weitergeleitet werden. Es wird empfohlen, Kundenkarten, die seit 1,5 Jahren ungenutzt sind, zu löschen.

Einwilligungen, die bis zum 25. Mai 2018 eingeholt wurden und nicht den Anforderungen der DS-GVO entsprechen, sind für die Verarbeitung nach dem 25. Mai unwirksam. Es müssen neue, aktualisierte Einwilligungen eingeholt werden, auch wenn dies im Apothekenalltag mühselig ist. Diese Handhabe findet man derzeit allerorten – bei den Kunden dürfte insofern eine gewisse Gewöhnung an und Verständnis für eine solche Vorgehensweise anzutreffen sein.  

Hier finden Sie zum Beispiel eine Muster-Einwilligungserklärung zur Kundenkarte der Apothekerkammer Berlin.

Frage: Brauche ich ein schriftliches Einverständnis vom Kunden, wenn er beliefert werden möchte und keine Kundenkarte besitzt? Schließlich wird die Adresse im Fahrtenbuch gespeichert. Wenn ja: Muss eine solche Einwilligung bei jedem Botendienst neu erfolgen? Wie lange darf oder muss ich Botendaten aufbewahren – Stichwort Finanzamt? 

Antwort: Wenn bei einem Kunden – hier im Rahmen des Botendienstes – personenbezogene Daten erhoben werden, sollte sich jeder Verantwortliche in seinem Apothekenbetrieb vergewissern, auf welcher Grundlage die Erhebung erfolgt.

Als Erlaubnis kommen neben Rechtsnormen und Vertragsabwicklung (um eine solche könnte es sich auch bei der Auslieferung von Produkten handeln, mit der Folge, dass man nicht weiter über die Einwilligungserfordernis sprechen müsste) besonders die Einwilligung des Betroffenen gemäß Artikel 7 DS-GVO in Betracht.

Eine Einwilligung kann auch in mündlicher Form abgegeben werden, jedoch ist der Verantwortliche in der Nachweispflicht, dass er auf Grundlage einer Einwilligung die personenbezogenen Daten erhebt und verarbeitet. Jemand, der eine Auslieferung wünscht, gibt zielgerichtet und freiwillig seine Adressdaten preis. Mit jedem neuen Lieferersuchen wird erneut eingewilligt. Laut Erwägungsgrund 32 – Einwilligung – kann die Einwilligung jedenfalls „durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“. Dies dürfte hier einschlägig sein.

Für das Finanzamt wäre solchen Adressdaten aus Botenfahrten gegebenenfalls zehn Jahre lang aufzubewahren.

Mit Blick auf das Finanzamt ist auch folgender Aspekt interessant:

Für auskunftsverweigerungsberechtigte Berufsgeheimnisträger gilt § 102 Abs. 1 Abgabenordnung (AO). Nach § 102 Abs. 1 Nr. 3 c) AO dürfen Apotheken die Auskunft verweigern.

Entsprechend der Rechtsprechung des Bundesfinanzhofes (unter anderem BFH Urteil vom 14.05.2002, Az. IX R 31/00) kann das Finanzamt auf einzelne im Fahrtenbuch zu machende Angaben verzichten, soweit die berufliche Veranlassung der Fahrten und der Umfang der Privatfahrten ausreichend dargelegt sind und Überprüfungsmöglichkeiten nicht beeinträchtigt werden.

Es ist daher für Angaben im Fahrtenbuch ausreichend, wenn das Datum, der Kilometerstand und der Zielort angegeben werden. Im Feld Reiseziel/Reisezweck/Reiseroute und aufgesuchter Geschäftspartner ist lediglich „Patienten/Kundenbesuch“ aufzuführen. In diesem Fall sind aber in einem zweiten, getrennt vom Fahrtenbuch zu führenden Verzeichnis, Namen und Adresse der aufgesuchten Kunden festzuhalten.