- DAZ.online
- News
- Apotheke
- Wo endet die Datenschutz-...
Bonpflicht
Wo endet die Datenschutz-Verantwortung der Apotheker für Kassenbons?
Berlin - 10.01.2020, 07:00 Uhr
Kassenzettel aus der Apotheke sind häufig auch datenschutzrechtlich kritisch. (b/Foto: imago images / Steinach)
Die seit 1. Januar geltende „Bonpflicht“ erhitzt nach wie vor die Gemüter vieler Einzelhändler. Apotheken haben dabei ein besonderes Päckchen zu tragen: Anders als beim Bäcker oder im Supermarkt finden sich auf ihren Bons nicht nur die erworbenen Produkte, sondern häufig auch persönliche Daten der Kunden. Damit kann ihnen nicht ganz egal sein, was mit den von Kunden verschmähten Kassenzetteln geschieht. Doch wie weit geht die datenschutzrechtliche Verantwortung in der Offizin?
Die rechtlichen Vorgaben, die Gesetzgeber zum Schutz vor Kassenmanipulationen geschaffen hat, haben in diesem Jahr die sogenannte Belegausgabepflicht für elektronische Registrierkassen mit sich gebracht: Über jeden Geschäftsvorgang ist in unmittelbarem zeitlichem Zusammenhang ein Beleg auszustellen und dem Kunden zur Verfügung zu stellen. Entweder auf Papier oder auch in elektronischer Form.
Mehr zum Thema
Ergebnis der Umfrage
So gehen die Apotheker mit der Bonpflicht um
Belegausgabepflicht
Finanzministerium: Die Bonpflicht kommt!
Kassenführung in der Apotheke
Die neue Bon-Pflicht: Was ist zu beachten?
In der Apotheke üblich ist nach wie vor der normale Kassenbon auf Papier. Ausgedruckt und angeboten werden muss der Bon auf jeden Fall – ob der Kunde ihn auch mitnimmt, bleibt allerdings allein ihm überlassen. Die Apothekerkammer Berlin machte kürzlich auf ein besonderes Problem dabei aufmerksam: Apotheken-Kassenzettel enthalten oft den Namen des Kunden, dazu Anschrift, Geburtsdatum und natürlich die erworbenen Arzneimittel. Dabei handelt es sich um Gesundheitsdaten, die zu einer „besonderen Kategorie personenbezogene Daten“ im Sinne des Art. 9 Datenschutz-Grundverordnung (DSGVO) zählen. Diese Daten sind besonders schutzwürdig.
Daraus folgt, dass in der Apotheke bewusst verbliebene personalisierte Bons von der Apotheke datenschutzkonform zu vernichten, also möglichst zu schreddern, sind. Darauf hatte auch die ABDA schon hingewiesen. Aber was ist, wenn der Kunde den Zettel zwar mitnimmt, dann aber verliert oder selbst wegwirft ohne auf seine sensiblen Daten zu achten? Ist die Apotheke dann weiterhin datenschutzrechtlich verantwortlich?
Dazu erklärt die Apothekerkammer Berlin:
Verliert der Kunde einen personalisierten Kassenbon in der Apotheke oder lässt er den Bon bewusst oder versehentlich in der Apotheke liegen, verbleiben diese sensiblen Daten im Hoheitsbereich der Apotheke als datenschutzrechtlich verantwortliche Stelle. Liegt in der Offizin ein solcher personalisierter Bon und wird dies moniert – beispielsweise durch eine Beschwerde bei der zuständigen Berliner Landesdatenschutzbeauftragten –, trifft den Apothekeninhaber oder die Apothekeninhaberin die Beweislast, dass ihn oder sie daran kein Verschulden trifft.“
Newsletter der Apothekerkammer Berlin, 23.12.2019
Kurzum: Ein nicht mitgenommener Bon, der in der Apotheke verblieben ist, ist unter allen Umständen datenschutzkonform zu vernichten.
Aufgepasst bei der Entsorgung!
Natürlich gibt es auch bei dieser „datenschutzkonformen“ Vernichtung einiges zu beachten. Die Kammer weist darauf hin, dass Aktenvernichter zur Vernichtung sensibler personenbezogener Daten gemäß DIN-Norm 66399 mindestens Schutzklasse 3, Sicherheits-/Zerkleinerungsstufe 4 entsprechen müssen. Dies sollte insbesondere bei Neuanschaffungen berücksichtigt werden. Bei der Nutzung von Datentonnen sei darauf zu achten, dass vom Entsorgungsunternehmen ein Entsorgungsbeleg zur Verfügung gestellt wird, der die datenschutzkonforme Vernichtung bestätigt. Gleichzeitig handele es sich regelmäßig um eine Auftragsverarbeitung, die über eine entsprechende Vereinbarung gemäß Art. 28 DSGVO zu regeln sei.
Außerhalb der Apotheke endet die Verantwortung
Die datenschutzrechtliche Verantwortung der Apotheke endet laut Kammer-Info, wenn der Kunde die Apotheke mit dem Bon verlassen hat. Dann sei es Angelegenheit des Kunden, wie er mit dem Bon umgeht: ob er ihn verwahrt, vernichtet oder ob er ihn einfach wegwirft.
Aus dem Wege gehen lässt sich dem Problem, wenn die Bons nicht mehr personalisiert ausgegeben werden. Denn es ist erst die Kombination von persönlichen Daten wie dem Namen und der Medikation, die die Bons so sensibel machen. Stehen auf dem Kassenzettel nur die Apotheke mit Anschrift, Preis, Datum, Uhrzeit und die gekauften Produkte, so ist dies datenschutzrechtlich unproblematisch – und die Entsorgung ebenso. Die Kammer regt für den Fall einer Umstellung auf nicht personalisierte Bons an, auch auf den Namen der bedienenden Person zu verzichten – wahlweise gänzlich oder indem er durch eine Nummer ersetzt wird.
Die Apothekerkammer Berlin rät überdies, die Kundenkarte zu nutzen, wenn ein Kunde einen Nachweis über seine Käufe und die geleistete Zuzahlung möchte. Die Kundenkartenvereinbarungen enthielten – soweit ersichtlich – die erforderlichen datenschutzrechtlichen Regelungen auf Basis der Einwilligung. Auf Wunsch des Kunden könne ihm eine Dokumentation seiner eingelösten Verordnungen und getätigten Käufe zur Verfügung gestellt werden.
Kunden, die auf einen personalisierten Bon bestehen, sollte man nicht nachgeben. Ihr sei keine Vorschrift bekannt, die den Ausdruck eines personalisierten Bons erfordere, erklärt die Kammer.
2 Kommentare
Nicht personalisierte Bons
von Christoph am 12.01.2020 um 13:02 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Nichtpersonalisierte Bons
von Karich am 10.01.2020 um 9:17 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Das Kommentieren ist aktuell nicht möglich.