Datenschutz: ADG weist Vorwürfe zurück

ADG weist in einer Stellungnahme alle Vorwürfe zurück: „Datenschutz ist uns als Gesundheitsdienstleister sehr wichtig und durch Richtlinien und Prozesse fest in unserer Organisation verankert. Die Warenwirtschaftssysteme der ADG tragen den Anforderungen der Datenschutzgrundverordnung vom 25. Mai 2018 in vollem Umfang Rechnung.“

Warenwirtschaftssysteme in Apotheken müssten den Anforderungen zahlreicher gesetzlicher Dokumentations- und Aufbewahrungspflichten für Apotheken genügen, die etwa aus dem Steuerrecht, dem BTM-Recht, der Arzneimittelsicherheit (Arzneimittelrückrufe) oder den arzneimittelrechtlichen Sorgfaltspflichten des Apothekers zum Schutz von Patienten herrührten. „Daher kommt ein abgestuftes, parametrisierbares Speicherungs- und Löschkonzept zum Tragen. Dieses Datenschutzkonzept ist für den Anwender umfassend dokumentiert, damit er die notwendigen Entscheidungen treffen kann.“

Laut ADG hat Martina Czech, Inhaberin der Münchner Königsapotheke, das BayLDA eingeschaltet. Die Behörde habe sich inzwischen einen „Überblick über die Arbeitsweise des Warenwirtschaftssystem S3000 verschafft“, so ADG. Es gehe hier um den datenschutzkonformen Einsatz. „Die Behörde war am 12. November 2018 zu einem Vorort-Besuch bei der ADG am Standort Fürth. Die Prüfung der Behörde läuft. Aus unserer Sicht konnten wir vermitteln, dass das Warenwirtschaftssystem allen Bedürfnissen des Datenschutzes Rechnung trägt“, teilt ein Sprecher mit.

Im SZ-Bericht ist die Rede von Apothekerin „Kristine Fritsch“, der Name wurde von der Redaktion geändert. Ob es sich im Bericht tatsächlich um Czech handelt, ist daher nicht bekannt. „Die Apothekerin mit den blauen Kassen kann nach einem halben Jahr noch immer nachsehen, welcher Kunde wann eine bestimmte Creme gekauft hat. Sie muss auf ihrem Computer nur den Namen eines Medikaments eingegeben und schon listet der Rechner alle Verkäufe der vergangenen Monate auf, mit Vorname, Nachname, Anschrift, Geburtsdatum und Krankenkasse“, heißt es im Bericht.

Als sich „Fritsch“ im Frühjahr 2018 um die Einhaltung der neuen Datenschutzgrundverordnung (DSGVO) habe kümmern wollen und ihre Kundenkonten durchgegangen sei, sei ihr aufgefallen, dass mit der Software etwas nicht stimmen könne – und diese viel mehr speichere als erlaubt sei. In ihrer Datei fand Fritsch laut SZ etwa 8650 Kunden. Ungefähr das Vierfache ihrer Stammkunden. Sie fragte sich, wem all die anderen Konten gehören. „Ich habe mich mit meinem Mitarbeiter kurz ins System reingehängt. Es war erschreckend einfach“, zitiert die SZ die Apothekerin. „Kristine Fritsch beschwerte sich wiederholt bei ADG und wandte sich an das Bayerische Landesamt für Datenschutz“, schreibt die SZ.

Laut Bericht fragte „Fritsch“ bei der Übernahme der Apotheke bei den Kunden nach, ob sie Stammkunden bleiben wollten. Nur ein kleiner Teil stimmte danach zu. Laut SZ wurde ADG mit der Bereinigung der Datenbank beauftragt. Etwa 7000 versteckte Kunden ihrer Vorgängerin seien „Fritsch“ danach entgegen rechtlicher Bestimmungen zugänglich gewesen.

Auch Czech steht seit längerer Zeit in engem Kontakt mit ADG wegen angeblicher Probleme mit dem Datenschutz ihrer ADG-Software. Als sie die Münchner Königsapotheke übernahm, habe der Vorbesitzer die Kundendatei gelöscht. Hier unterscheiden sich die Geschichten von Czech und „Fritsch“. ADG antwortete Czech, dass bei Löschung der alten Daten durch ADG keine Rückverfolgung mehr möglich gewesen wäre.

Der zweite Vorwurf von Czech lautete im Sommer, von ADG würden im Artikelstamm sensible Daten von Kunden automatisch gespeichert. Dies sei der Fall, wenn ein Rezept eingescannt werde, unabhängig davon, ob eine Kundenkarte vorliege oder nicht. Wähle man im Artikelstamm das Produkt nach dem Abverkauf aus und lasse sich in der Historie die letzten Verkäufe anzeigen, seien sämtliche Daten von Kunden hinterlegt, die das Arzneimittel auf Grundlage eines Rezeptes gekauft hätten. Dies sei gemäß DSGVO nicht mehr zulässig. Sie könne aktuell alle Verkäufe der letzten zwei Jahre einsehen.

Darauf antwortete das Softwarehaus: „Die Warenwirtschaftssysteme der ADG funktionieren korrekt und erfüllen alle Vorgaben der DSGVO. In der Konfiguration des Systems kann die Apotheke die Einstellungen jederzeit selbst bestimmen und einstellen, welche Kundendaten gespeichert werden. So ist etwa bei Rezeptscans eine konkrete Speicherdauer einstellbar. Nicht mehr benötige Daten können von der Apotheke jederzeit gelöscht werden. Im datenschutzrechtlichen Sinne verantwortlich für die Datenerhebung und -verarbeitung ist allein die Apotheke.“

Czech beschwerte sich auch über Probleme im Kontakt mit ADG. Sie werde von der Hotline abgewiesen, ihre Anfragen nicht entgegen genommen. ADG erklärt dazu, dass Czech aufgrund vielfacher Anfragen sogar ein persönlicher Berater zur Seite gestellt worden sei. Jetzt bleibt abzuwarten, wie das BayLDA den Sachverhalt beurteilt. Die Prüfung läuft. Antworten soll es laut SZ Anfang 2019 geben.