- DAZ.online
- News
- Recht
- ADG widerspricht ...
Unzulässig gespeicherte Kundendaten
ADG widerspricht Datenschutzvorwürfen
Werden in der Apothekensoftware mehr Daten erfasst und gespeichert, als zulässig ist? Ein Artikel vom gestrigen Donnerstag auf „süddeutsche.de“ erhebt genau diesen Vorwurf gegen den zur Phoenix-Group gehörenden Software-Hersteller ADG. Dieser entgegnet, dass die Warenwirtschaftssysteme den Anforderungen der Datenschutzgrundverordnung in vollem Umfang Rechnung tragen.
Viele Apotheken arbeiten mittlerweile mit Rezeptscannern. Diese
lesen nicht nur die zur Abgabe zwingend notwendigen Daten aus, wie das verordnete
Arzneimittel und die Kassen-IK, sondern auch die Daten des Patienten – und
speichern diese anscheinend teilweise auch. Zumindest erhebt ein aktuell in der
Süddeutschen Zeitung erschienener Artikel diesen Vorwurf gegen den Softwarehersteller
ADG. Dort wird über eine Apothekerin berichtet, die, als sie sich im Frühjahr um
die DSGVO kümmerte, Daten von mehreren 1.000 Patienten gefunden hatte – deutlich
mehr als sie wissentlich als Stammkunden mit deren Einwilligung gespeichert
hatte. Sie habe die ADG beauftragt, die Datenbank entsprechend zu bereinigen. Darum habe die Firma sich aber gedrückt, heißt es.
Die von der SZ befragten Datenschutzexperten sehen in der standardmäßigen Speicherung nicht benötigter Daten einen Konflikt mit dem Prinzip der Datenminimierung der DSGVO, wonach so wenig wie nötig gespeichert werden soll. Vor allem, wenn Privatpatienten ihre Rezepte nur vorlegen und dann selbst bezahlen, wie es in dem Artikel heißt. Laut SZ ist das kein Einzelfall. Die Überprüfung einer weiteren Apotheke soll einen vergleichbaren Datenfriedhof zutage gebracht haben.
Mehr zum Thema
Datenschutz vs. Patientenschutz
Arzneimittelrückruf: Darf man Patienten anrufen?
Softwarehersteller ADG erklärt dazu: „Datenschutz ist uns als Gesundheitsdienstleister sehr wichtig und durch Richtlinien und Prozesse fest in unserer Organisation verankert. Die Warenwirtschaftssysteme der ADG tragen den Anforderungen der Datenschutzgrundverordnung vom 25. Mai 2018 in vollem Umfang Rechnung. Warenwirtschaftssysteme in Apotheken müssen den Anforderungen zahlreicher gesetzlicher Dokumentations- und Aufbewahrungspflichten für Apotheken genügen, die etwa aus dem Steuerrecht, dem BtM-Recht, der Arzneimittelsicherheit (zum Beispiel Arzneimittelrückrufe) oder den arzneimittelrechtlichen Sorgfaltspflichten des Apothekers zum Schutz von Patienten herrühren. Daher kommt ein abgestuftes, parametrisierbares Speicherungs- und Löschkonzept zum Tragen. Dieses Datenschutzkonzept ist für den Anwender umfassend dokumentiert, damit er die notwendigen Entscheidungen treffen kann.“
ADG: Der Apotheker kann bestimmen, ob und wie lange er Rezeptscans speichern will
Auf Nachfrage von DAZ.online, ob dies im Klartext bedeute,
dass jeder Apotheker es selber in der Hand hat, was er wie lange speichern
möchte, erklärte ein Sprecher des Unternehmens. Das System S300 trage dem
Grundsatz „privacy by default“ Rechnung, da es in den Standardeinstellungen auf
maximalen Datenschutz eingestellt sei. Im datenschutzrechtlichen Sinne
verantwortlich für die Datenerhebung und -verarbeitung sei aber die Apotheke.
Sie könne in den Einstellungen des Systems jederzeit selbst bestimmen und
einstellen, welche Daten erfasst und wie diese verarbeitet werden sollen. Dies
sei in den Handbüchern zum Warenwirtschaftssystem auch klar beschrieben. So sei
einstellbar, ob die Daten aus einem Rezept überhaupt übernommen werden sollen.
Bei Rezeptscans könne man zudem eine konkrete Speicherdauer einstellen.
Selbstverständlich können nicht (mehr) benötigte Daten auch von der Apotheke
gelöscht werden, wobei jedoch ein abgestuftes Löschkonzept zum Tragen komme. Weiter
erklärt er, dass es wichtig zu erwähnen sei, dass Aufbewahrungs- und
Speicherfristen aus den unterschiedlichsten Gesetzen resultieren, etwa aus dem
Handels-, Gewerbe-, Steuer-, Sozialrecht sowie Vorschriften des
Gesundheitswesens. Bestünden gesetzliche Aufbewahrungspflichten, so gehen diese
zwingend dem Grundsatz der Datenminimierung vor. Eine Löschung dürfe dann nicht
erfolgen und könnte – wie etwa im Fall des Steuerrechts – sogar eine Straftat
darstellen, so der Sprecher.
Mehr zum Thema
Teil 3: Gemeinsame Verantwortlichkeit und Facebook-Fanpages
Sechs Monate DSGVO – ein Zwischenfazit
Teil 2: Ist der Datenschutzbeauftragte bald Geschichte?
Sechs Monate DSGVO – ein Zwischenfazit
Teil 3: Gemeinsame Verantwortlichkeit und Facebook-Fanpages
Sechs Monate DSGVO – ein Zwischenfazit
Antworten soll es 2019 geben
Laut SZ hat sich die Apothekerin nach wiederholter Beschwerde bei ADG an das bayerische Landesamt für Datenschutz gewandt. Das soll erklärt haben, das Thema hoch aufgehängt zu haben und will Anfang des kommenden Jahres Antworten geben.
3 Kommentare
SZ-Artikel
von Daniel Schober am 24.12.2018 um 11:58 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Unfähigkeit....
von Felix Maertin am 22.12.2018 um 10:57 Uhr
» Auf diesen Kommentar antworten | 1 Antwort
AW: Unfähigkeit
von Felix Maertin am 25.12.2018 um 11:05 Uhr
Das Kommentieren ist aktuell nicht möglich.