07.03.2018

In der Grauzone

(cnie) Rezept fotografieren, per WhatsApp an die Apotheke schicken und von dort den Abholzeitpunkt mitgeteilt bekommen – für den Patienten ist das höchst bequem. Aber für den Apotheker ist das mit erheblichen Risiken verbunden.

© HStocks / Getty Images / iStock

Knapp 50 000 verschreibungspflichtige Medikamente sind auf dem deutschen Markt erhältlich. Zu viel, um sie alle in der Apotheke zu lagern. Oft ist das vom Arzt verschriebene Medikament daher nicht vorrätig und muss bestellt werden. Auch wenn die Präparate häufig noch am selben Tag eintreffen: Der Patient muss den Weg in die Apotheke in der Regel zweimal machen. Dabei würde die digitale Technik des 21. Jahrhunderts doch einen so einfachen Ausweg bieten: das Rezept des Arztes mit dem Smartphone aufnehmen und das Bild an den Apotheker schicken. Dieser schickt ihm eine Abholnummer und den ungefähren Liefertermin zurück. Ein Gewinn für beide Seiten – der Patient spart Wege, der Apotheker stellt den Kunden zufrieden.

Datenschützer misstrauen Facebook-Tochter

Aber zu früh gefreut: Diese, von einer Reihe von Apotheken bereits angewandte, Praxis verstößt gegen gültige Rechtsvorschriften. Und zwar sowohl gegen Datenschutzgesetze als auch gegen das Standesrecht. Der Thüringer Landesbeauftragte für den Datenschutz Dr. Lutz Haase hat dies im Sommer 2017 noch einmal explizit herausgestellt. So muss der Apotheker ab dem Moment, in dem das Bild mit dem Rezept auf seinem WhatsApp-Account eingeht, für dessen absolute Vertraulichkeit sorgen. Bei der Facebook-Tochter unmöglich, räumt sich diese in den Nutzungsbedingungen doch weitreichende Rechte zur Verwendung von Bildern ein. Damit nicht genug besteht auch noch die Gefahr, dass US-amerikanische Behörden die gespeicherten Daten auslesen.

Das verdeutlicht ein weiteres Problem: Der Unternehmenssitz befindet sich im nicht europäischen Ausland, die Firma ist somit Dritter im Sinne des Bundesdatenschutzgesetzes.

Verstoße gegen die Verschwiegenheitspflicht

Da WhatsApp zudem die Metadaten speichert und auswertet, liegt auch in diesem Punkt ein schwerer Verstoß gegen datenschutzrechtliche Vorschriften vor. Der Thüringer Beauftragte wertet dies obendrein als Verletzung der beruflichen Verschwiegenheitspflicht. Setzen Apotheken WhatsApp trotzdem ein, drohen gravierende Folgen: Neben erheblichen Bußgeldern – künftig sogar bis zu vier Prozent des Jahresumsatzes – stehen auch standesrechtliche Sanktionen wegen eventueller Verstöße gegen die Schweigepflicht im Raum.

Kunden müssen unsicherer Kommunikation zustimmen

Zwar verspricht WhatsApp eine Ende-zu-Ende-Verschlüsselung, bei der alle übermittelten Daten verschlüsselt übermittelt werden. Erst beim Empfänger werden Sie wieder entschlüsselt. Das sei aber bisher noch von keiner unabhängigen Aufsichtsbehörde überprüft worden, gibt Rechtsanwalt Dr. Marc Maisch aus München zu bedenken. Maisch hat sich auf die Themen IT-Recht, Datenschutz- und Social-Media-Recht spezialisiert.

Für eine Apotheke, die ihren Kunden einen WhatsApp-Service anbieten wollte, hat er eine Lösung entwickelt, die mit dem Bayerischen Landesamt für Datenschutz abgestimmt ist.

Kann ein Kunde zustimmen, dass das Bundesdatenschutzgesetz von einem US-amerikanischen Unternehmen unterwandert wird?

Die Lösung ähnelt dem Anmelden einer Payback-Karte: In der Offizin liegt ein Stapel mit Einwilligungsformularen, die die Kunden ausfüllen müssen, wenn sie den WhatsApp-Service nutzen möchten. Damit bestätigen Sie, dass Sie den Apotheker von seiner Schweigepflicht entbinden. Außerdem sind alle Daten – die besonders schutzwürdigen Gesundheitsdaten –, detailliert aufgelistet. Der Apotheker muss den Kunden umfassend darüber informieren, dass alle diese Daten in den USA ausgelesen werden können und es sich daher bei WhatsApp um einen unsicheren Kommunikationsweg handelt.

Und genau hier liegt der Knackpunkt: Kann ein Kunde zustimmen, dass das Bundesdatenschutzgesetz von einem US-amerikanischen Unternehmen unterwandert wird?

WhatsApp Business

Anfangs war der Messengerdienst nur für private Kommunikation gedacht. Seit dem 25. Januar 2018 ist WhatsApp Business für Unternehmen auch in Deutschland verfügbar. Bisher gibt es nur eine Version für Android-Smartphones.

Wenn WhatsApp zum Einsatz kommt, müssen Kunden auch darüber informiert werden, dass ihnen die üblichen Kommunikationswege zur Bestellung, wie z.B. Telefon oder Fax, weiterhin offenstehen.

Aufsichtsbehörden nicht einer Meinung

Mit dem Bayerischen Landesamt für Datenschutz hat Maisch sich nach derzeitiger Rechtslage auf dieses Einwilligungsverfahren geeinigt. Die Auffassung, dass Kunden einem unsicheren Kommunikationsweg zustimmen können, teilen aber nicht alle Aufsichtsbehörden, sagt der Rechtsanwalt. Von einem offenen Werben für den WhatsApp-Service auf der eigenen Apothekenwebsite ohne schriftliche Einwilligung rät Maisch ab.

ABDA sieht keine Datensicherheit

Auch die ABDA sieht WhatsApp zum Verschicken von Rezept-Fotos kritisch.

„WhatsApp bietet für die Übermittlung personenbezogener Daten keine hinreichende Datensicherheit. Insbesondere für die Übermittlung von Rezeptdaten eignet sich dieser Dienst nicht. Jenseits von solchen sensiblen gesundheitsbezogenen Daten ist WhatsApp jedoch ein ganz normales Kommunikationsmittel, das von Patienten womöglich genutzt und geschätzt wird, um die genaue Adresse der Apotheke oder ihre Öffnungszeiten zu erfragen“ sagte ein ABDA-Sprecher auf Anfrage von APOTHEKE + MARKETING.

Umfassende Voraussetzungen

Macht der Datenschutz also eine Anwendung von Messengern im Kundenservice unmöglich? Nein. Denn aus den Anmerkungen des Thüringer Datenschützers sind folgende Anforderungen an ein geeignetes Programm herzuleiten:

  • Datenverarbeitung im Inland:  Messengeranbieter ist dann kein Dritter im Sinne § 3 Abs. 8 BDSG
  • kein Zugriff durch ausländische Behörden
  • vollständige, dokumentierte und nachweisbare Verschlüsselung auch der Bilddateien
  • keine Speicherung auch der verschlüsselten Daten von mehr als 30 Tagen:  Dann liegt keine Verarbeitung nach § 3 Abs. 4 BDSG vor.
  • keine Speicherung von Metadaten

Nachdem die Datenschutzgrundverordnung (DSGVO) im Mai 2018 europaweit einheitliche Standards festlegt, wäre auch ein Anbieter aus dem EU-Ausland denkbar

Alternativen zu WhatsApp

„Datenverarbeitung im Inland“ und „Kein Zugriff durch ausländische Behörden“ – diese Kriterien machen klar, dass  nach derzeitiger Rechtslage nur ein deutscher Anbieter in Frage kommen kann. Zwar könnte ein Global Player auch den Betrieb ausschließlich inländischer Server und die Kenntnis und Umsetzung der deutschen Sicherheitsstandards versprechen. Dem Zugriff der Behörden seines Firmensitzes könnte er sich nicht entziehen.

Nachdem die Datenschutzgrundverordnung (DSGVO) im Mai 2018 europaweit einheitliche Standards festlegt, wäre auch ein Anbieter aus dem EU-Ausland denkbar, sagt Rechtsanwalt Maisch.

Er gibt aber zu bedenken, dass die DSGVO auch für Apotheker rund teils neue 46 Pflichten bereithält, die besonders bei der elektronischen Verarbeitung von Gesundheitsdaten – auch über WhatsApp – zu befolgen sein werden und rät dazu, sich und die Beschäftigten frühzeitig über die Änderungen zu informieren.

Eine technische Alternative ist das Angebot SIMSme Business der Deutschen Post. Dieser Messenger ist für den Geschäftskundenbetrieb ausgelegt. Zugleich gibt es von dieser App auch eine Privatkundenversion. Beide Produkte erfüllen auch die weiteren Anforderungen, die sich aus der Haltung des Thüringer Datenschützers ergeben: Dazu zählen eine Verschlüsselung der übertragenen Daten, eine Minimierung des Umfangs der gespeicherten Informationen (Zero-Knowledge-Ansatz) sowie eine automatische Lösch-Routine.

Speziell für den Gesundheitsbereich konzipiert ist die App Meine Apotheke von Pharmatechnik. Mit Ihr können Kunden OTC- oder Rx-Medikamente vorbestellen. Außerdem bietet sie eine Apothekensuche inklusive Notdienstanzeige, persönliche Notfalldaten des Kunden, Medikamenteninformationen, Einnahmepläne, Tagebücher und eine umfangreiche Gesundheitsinfothek.

Das Angebot von Lauer Fischer heißt meineApotheke. In der App werden Bestellanfragen der Kunden direkt an die hinterlegte Stammapotheke gesandt. Dies ermöglicht zudem Bestellanfragen auch außerhalb der Öffnungszeiten Ihrer Apotheke.

Sowohl SIMSme, als auch die Apps von Lauer Fischer und Pharmatechnik sind kostenlos.

Des Weiteren bieten auch verschiedene Kooperationen und Verlage eigene Gratis-Apps an.

Auf Kundenservice nicht verzichten

Fazit: Die Digitalisierung im Gesundheitsbereich kann sich durchaus auch auf die sicherheitsrelevante Kommunikation zwischen Patient und Apotheker erstrecken. Ein Verzicht auf den Kundenservice, Medikamente elektronisch zu bestellen, ist nicht nötig.

Quelle: Rechtsanwalt Dr. Marc Maisch / Goergen Kommunikation / CGM Lauer Fischer / Pharmatechnik


Artikel teilen

Kommentare (0)

Kommentar schreiben

Die Meinung und Diskussion unserer Nutzer ist ausdrücklich erwünscht. Bitte achten Sie im Sinne einer angenehmen Kommunikation auf unsere Netiquette und Nutzungsbedingungen. Vielen Dank!

* Pflichtfeld

Das PTA Magazin

DAS PTA MAGAZIN wendet sich an das Fachpersonal in der öffentlichen Apotheke, wobei die Zeitschrift insbesondere auf das berufliche Informationsbedürfnis der Pharmazeutisch-Technischen Assistentin eingeht.

www.das-pta-magazin.de

Springer Medizin

Springermedizin.de ist das Fortbildungs- und Informationsportal für Ärzte und Gesundheitsberufe, das für Qualität, Aktualität und gesichertes Wissen steht. Das umfangreiche CME-Angebot und die gezielte Berichterstattung für alle Fachgebiete unterstützen den Arbeitsalltag.

www.springermedizin.de

Newsletter

Mit unserem Newsletter erhalten Sie Fachinformationen künftig frei Haus – wöchentlich und kostenlos.