Datenschutz in der Apotheke – Apothekenrecht

A. Einleitung

Spätestens, nachdem der Gesetzgeber die Verpflichtung für die überwiegende Zahl der Arbeitgeber eingeführt hat, einen Datenschutzbeauftragten zu bestellen, ist der Inhaber ei-ner Apotheke veranlasst, sich um den Datenschutz in seiner Apotheke zu kümmern. Fol-gende Fälle und Fragen aus der Praxis des Apothekenbetriebs sollen besprochen werden:

Fall 1:
Kundin Müller lässt in der Apotheke eine Kundenkarte für sich ausstellen. In der folgenden Woche löst der Ehemann ein auf ihn ausgestelltes Rezept ein und lässt dieses auf der Kar-te seiner Frau speichern. Zum Quartalsende verlangt die Ehefrau vom Apotheker einen Ausdruck der unter der Kundenkarte gespeicherten Rezepte und erhält ihn auch. Der Ehe-mann beschwert sich daraufhin beim Landesbeauftragten für den Datenschutz, dass seine Daten unberechtigterweise weitergegeben worden seien.

Fall 2:
Auf dem Rezept der Kundin Schulze ist neben einem oralen Pilzmittel auch eine Kombipa-ckung lokaler Fungizide verordnet. Das Medikament zur lokalen Anwendung ist nicht vorrä-tig und wird zur Nachlieferung besorgt. Aufgrund eines Lieferengpasses kommt das Medi-kament um einen Tag verzögert in der Apotheke an. Die Apotheke ruft bei Frau Schulze an und teilt dem an das Telefon geeilten Ehemann mit, dass das bestellte Fungizid nunmehr zur Abholung bereit liege. Der Ehemann zeigt sich gegenüber Frau Schulze entsetzt dar-über, dass seine Frau eine derartige Erkrankung hat. Frau Schulze ruft daraufhin empört bei dem Inhaber der Gesundheitsapotheke an und droht mit einer Beschwerde bei der Apo-thekerkammer.

Fall 3:
In der Apotheke liegen im Wareneingang Rezepte zur Nachlieferung aus. Der anliefernde Großhandelsfahrer sieht diese zufällig und stellt fest, dass seine Nachbarin Insulin spritzt. Als er sie das nächste Mal trifft, spricht er sie auf ihre Erkrankung an. Die Nachbarin ist empört.

Fall 4:
In der Gesundheitsapotheke werden die persönlichen Daten vieler Kunden und der an sie abgegebenen Medikamente in der EDV gespeichert. Der Apotheker beschäftigt zwei ap-probierte Mitarbeiter, zwei PTA, eine PKA und eine Putzfrau. Muss er einen Datenschutz-beauftragten bestellen, und wenn ja, wen? Welche Aufgabe hat der Datenschutzbeauftrag-te? 

Fall 5: 
Die Apotheke unterhält u. a. zum Zwecke des Direkteinkaufs gute Beziehungen zur for-schenden pharmazeutischen Industrie. Der Apotheker überlegt, ob und inwieweit er sich an Langzeitstudien über Diabetes-Patienten unter Einbeziehung der Diabetes-Patienten unter seinen Kunden beteiligen darf.

B. Schutz von Privatgeheimnissen durch Strafrecht– Reichweite des Datenschutzes nach dem Bundesdatenschutzgesetz (BDSG)

Um die vorstehenden Fälle lösen zu können, sind zwei Regelungsbereiche des Daten-schutzes in der Apotheke zu unterscheiden:

Nach § 203 Abs. 1 Nr. 1 Strafgesetzbuch (StGB) ist es einem Apotheker – wie einem Arzt - unter Androhung einer Freiheitsstrafe bis zu einem Jahr oder von Geldstrafe untersagt, ein zum persönlichen Lebensbereich gehörendes Geheimnis einer seiner Kunden zu offenba-ren. Zum persönlichen Lebensbereich gehören zwar nicht Namen und Anschrift des Kun-den, in jedem Fall aber Angaben über seine Krankheiten bzw. die Medikamente, die er von der Apotheke bezieht.

Regelungsgegenstand der Datenschutzgesetze sind dagegen bereits jedwede personen-bezogenen Daten, die ein Kunde dem Apotheker mitteilt, wenn diese Daten in Datenverar-beitungsanlagen oder auch nicht automatisierten Dateien gespeichert oder übermittelt wer-den (vgl. § 1 Abs. 1 Nr. 3 BDSG). Nach § 28 Abs. 1 Nr. 1 BDSG ist das Erheben, Spei-chern, Verändern oder Übermitteln personenbezogener Daten oder ihrer Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, wenn es der Zweckbestimmung eines Vertragsverhältnisses dient. Darüber hinaus hat der Gesetzgeber die Erhebung personen-bezogener Daten generell erlaubt, wenn die Daten für Zwecke der Gesundheitsvorsorge, der Gesundheitsversorgung oder der Behandlung erforderlich sind und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgen, die einer entsprechenden Geheimhaltungspflicht unterliegen (§ 28 Abs. 7 BDSG). Ein Apotheker und sein von ihm zur Geheimhaltung zu verpflichtendes Personal gehören zu dem Kreis der Personen, die der Gesundheitsversorgung dienen und einer gesetzlichen Geheimhaltungs-pflicht nach § 203 Abs. 1 Nr. 1 StGB unterliegen.

Danach sind die vorstehenden Fälle 1 – 3 und 5 wie folgt zu lösen:

Zu Fall 1:
Indem der Ehemann der Kundin Müller sein Medikament auf der Kundenkarte seiner Frau hat speichern lassen, das er von der Apotheke bezogen hat, hat er schlüssig darin einge-willigt, dass diese Information seiner Ehefrau bekannt wird. Dem Ehemann musste nämlich klar sein, dass seine Frau gegen die Apotheke Anspruch auf Übermittlung der Daten hat, die auf ihrer Kundenkarte gespeichert sind. Die Apotheke hat also formal korrekt gehandelt. Es liegt aufgrund der schlüssigen Einwilligung des Ehemanns weder eine strafbare Verlet-zung eines Privatgeheimnisses nach § 203 Abs. 1 Nr. 1 StGB noch ein Verstoß gegen das Datenschutzgesetz vor. Um Beschwerden von vornherein zu vermeiden, ist der Apotheke jedoch zu empfehlen, für Eheleute getrennte Kundenkarten auszustellen und Kundendaten und an die Eheleute abgegebene Medikamente getrennt zu speichern.

Zu Fall 2:
Objektiv liegt der Straftatbestand der Verletzung eines Privatgeheimnisses vor. Der Tatbe-stand ist auch vorsätzlich verwirklicht worden. Denn der Apotheker bzw. sein handelnder Mitarbeiter kennt alle tatsächlichen Umstände und hat dem Ehemann der betroffenen Kun-din diese Umstände mit der Absicht mitgeteilt, dass dieser die Ehefrau über das zur Abho-lung bereit liegende Arzneimittel verständigen möge. Der Umstand, dass die Kundin verhei-ratet ist, beinhaltet auch keine schlüssige Einwilligung dazu, ihre persönlichen Geheimnisse dem Ehemann mitzuteilen. Der Apotheker bzw. sein Mitarbeiter unterliegt allerdings mög-licherweise einem Verbotsirrtum. Das heißt, ihm ist die Strafbarkeit seines Tuns offenbar nicht bewusst. Ein solcher Irrtum schließt die Strafbarkeit jedoch nicht aus, sondern ist nur ein Strafmilderungsgrund.

Zu Fall 3:
Es liegt sicherlich Nachlässigkeit, jedoch kein Vorsatz vor. Damit ist ein Verstoß gegen den Straftatbestand „Verletzung eines Privatgeheimnisses“ nach § 203 Abs. 1 Nr. 1 StGB aus-geschlossen. Auch der Regelungsbereich der Datenschutzgesetze ist nicht berührt. Die Rezepte liegen zur Bearbeitung von Nachlieferungen, nicht jedoch zur Verarbeitung oder Speicherung in der EDV aus. Der Apotheker muss jedoch befürchten, dass er seine Kundin verliert und Dritte ein nachteiliges Bild von der Apotheke verbreiten, wenn seine Mitarbeiter mit persönlichen Daten nicht sensibler umgehen. Bei wiederholten Vorgängen dieser Art muss die Apotheke darüber hinaus mit dem Einschreiten der Apothekerkammer als Auf-sichtsbehörde rechnen.

Zu Fall 4:
Im Jahr 2002 hat der Gesetzgeber die Verpflichtung, einen Datenschutzbeauftragten zu bestellen, auf alle öffentlichen und nicht öffentlichen Stellen erstreckt, es sei denn, es han-delt sich um eine nicht öffentliche Stelle, die höchstens vier Arbeitnehmer mit Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt (vgl. § 4f Abs. 1 Satz 2 BDSG). Im vorliegenden Fall hat der Apotheker zwar mehr als vier Arbeitnehmer. Die PKA und die Putzfrau sind jedoch nicht mit der Erhebung, Verarbeitung oder Nutzung personen-bezogener Daten beschäftigt. Damit betraut ist nur das pharmazeutische Personal. Der Apotheker beschäftigt nur vier pharmazeutische Mitarbeiter. Erst wenn der Apotheker wei-teres pharmazeutisches Personal einstellt, hat der Apotheker einen Beauftragten für den Datenschutz zu bestellen. 

Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung der Aufgabe erforderliche Fachkenntnis und Zuverlässigkeit besitzt (§ 4f Abs. 2 Satz 1 BDSG). Eine besondere formale Qualifikation wird vom Gesetzgeber jedoch nicht gefordert. Da der Apotheker den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen hat (vgl. § 4f Abs. 5 Satz 1 BDSG), ergibt sich daraus indirekt die Verpflichtung, den vom Apotheker bestellten Datenschutzbeauftragten auf dessen Verlangen und auf Kosten des Apothekers an einschlägigen Fortbildungsmaßnahmen teilnehmen zu lassen. Der Apothe-ker wird sich danach überlegen müssen, wen seiner Mitarbeiter er zweckmäßigerweise zum Datenschutzbeauftragten bestellt, wenn mehr als vier Mitarbeiter zum pharmazeuti-schen Personal gehören.

Zu Fall 5: 
Nach § 203 Abs. 1 Nr. 1 StGB ist es verboten, personenbezogene individuelle Daten ohne Einwilligung des betreffenden Kunden an Dritte weiterzugeben. Anders verhält es sich, wenn die vom Apotheker weitergegebenen Daten derart anonymisiert sind, dass sie keinen Rückschluss auf eine konkrete Person zulassen. In solchen Fällen darf nicht nur der Apo-theker, der aufgrund seiner Geheimhaltungspflicht nach § 203 Abs. 1 Nr. 1 StGB privilegiert ist (vgl. § 28 Abs. 7 BDSG), sondern auch die forschende pharmazeutische Industrie per-sonenbezogene Daten auch ohne ausdrückliche Einwilligung der Betroffenen erheben, verarbeiten und nutzen, wenn dies zur Durchführung wissenschaftlicher Forschung erfor-derlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung und Nut-zung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann (§ 28 Abs. 6 Nr. 4 BDSG). Damit bestehen keine Bedenken, dass der Apotheker von ihm erhobene personenbezogene Da-ten in anonymisierter Form an die Pharmaindustrie übermittelt, wenn und so weit diese Übermittlung zur Durchführung wissenschaftlicher Forschung dient. Dagegen dürfte dem Apotheker, selbst wenn er diese Daten nachträglich anonymisiert, das geschäftsmäßige Erheben und/oder Speichern zum Zwecke der Übermittlung nicht gestattet sein, wenn die Übermittlung der Werbung, der Tätigkeit von Auskunfteien, dem Adresshandel oder der Markt- oder Meinungsforschung dienen soll. Ein solches Vorgehen dürfte nur für Unter-nehmer zulässig sein, die nicht wie Apotheker oder Ärzte der strafbewehrten Geheimhal-tungsverpflichtung unterliegen. Bei Erhebung personenbezogener Daten sind nämlich die Zwecke, für welche die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen (§ 28 Abs. 1 Satz 2 BDSG). Die Kunden vertrauen ihre Daten dem Apotheker zum Zweck der Gesundheitsvorsorge an, nicht aber zur Gewinn maximierenden Nutzung über Dritte.

C. Resümee

Den Apothekern und ihren Mitarbeitern muss bewusst sein, dass sie ihre Funktion in der Ge-sundheitsvorsorge nur erfüllen können, wenn sie das Vertrauen rechtfertigen, das ihnen die Patienten bzw. Kunden entgegenbringen. Dieses Vertrauen erfordert einen sensiblen Umgang mit personenbezogenen Daten. Andererseits sind übertriebene Befürchtungen und Förmeleien nicht begründet, um dem gesetzlichen Schutz von persönlichen Geheimnissen und personen-bezogenen Daten zu genügen. Insbesondere benötigt der Apotheker keine schriftliche Einwilli-gung seines Kunden, um Kundendaten z. B. über eine Kundenkarte zu speichern und für die Zwecke des Apothekenbetriebs zu verarbeiten. Die entsprechende Berechtigung des Apothe-kers ergibt sich bereits aus dem Vertragszweck im Rahmen der Arzneimittelabgabe und der auch im Datenschutz herausgehobenen Position der Apotheker und Ärzte, die einer strafrecht-lich bewehrten Verschwiegenheitsverpflichtung unterliegen. 

Rechtsanwalt und Notar Dr. Johannes Kevekordes