Apotheken haben gestern mit der Ausstellung der ersten Zertifikate begonnen. Nach wie vor tappen sie im Dunkeln, was die Abrechnung angeht. Lediglich die Anzahl der insgesamt ausgestellten Zertifikate ist im Portal zu finden. Einige Apotheker:innen haben sich deshalb für Strichlisten zur Gegenkontrolle entschieden. Doch reicht diese Vorgehensweise aus? Sollten sich die Mitarbeiter:innen die Ausstellung nicht lieber von jedem Kunden/jeder Kundin quittieren lassen? Oder kommt es dann zu einem Verstoß gegen die Datenschutz-Grundverordnung (DGSVO)?

Der Datenschutz sei weniger das Problem, erklärt Silke Braun-Powalka, PTA und Datenschutzbeauftragte. „Bei der Eingabe und Übermittlung der Patientendaten an das Robert Koch-Institut (RKI) gibt es keine datenschutzrechtlichen Bedenken, da die für die Abrechnung zu übermittelnden Angaben keinen Bezug zu den Personen haben, für welche Covid-19-Impfzertifikate ausgestellt wurden.“ Die Daten, die in das Apothekenportal eingegeben werden, werden nicht gespeichert. Das gleiche gilt für die erstellten Dokumente. Die Abda schreibt hierzu: „In das Apothekenportal eingegebene Daten, sowie in diesem erstellte Dokumente, werden nicht gespeichert […]. Die Speicherung der Daten wie auch der erstellten PDF-Dokumente ist nicht vorgesehen und mangels Rechtsgrundlage auch nicht zulässig. Zwischengespeicherte PDF-Dateien müssen aus dem Browser-Cache gelöscht werden.“

„Sollte der Kunde das Covid-19-Impfzertifikat verlieren, muss ein neues erstellt werden. Da in der Apotheke keine personenbezogenen Daten gespeichert oder aufbewahrt werden und auch nicht digital weiterverarbeitet oder gespeichert werden, ist eine zusätzliche Einverständniserklärung seitens des Kunden nicht erforderlich“, erklärt Braun-Powalka weiter.

Die Abda empfiehlt eine Ergänzung der Datenschutzerklärung in der Apotheke. Im Leitfaden heißt es hierzu: „Gemäß Artikel 13 DSGVO müssen Apotheken über die Verarbeitung personenbezogener Daten in einer Datenschutzinformation beziehungsweise Datenschutzerklärung informieren.“ Es wird ein Vorschlag zur Ergänzung gegeben. Und ganz nach dem Motto „Was nicht dokumentiert wurde, wurde nicht gemacht“ sollte die Apotheke sich die Aufklärung über die Verarbeitung der personenbezogenen Daten unterschreiben lassen.

Das digitale Impfzertifikat basiert auf Open Source – das bedeutet, der Quelltext der Software ist öffentlich einsehbar. Die Erstellung des digitalen Zertifikates wiederum folgt dem PKI-Verfahren. Damit ist die Verschlüsselung EU-konform, denn es sind nur Personen und Geräte identifizierbar – einzelne Identitäten oder Bewegungsprofile sind nicht ermittelbar.

Doch genau hier könnte der Knackpunkt für die Apotheke liegen. Denn der Apotheker/die Apothekerin ist die letzte prüfende Instanz. Im Falle einer Klage könnte die Apotheke theoretisch haftbar gemacht werden. Beispielsweise könnten Kund:innen verneinen, dass sie in der Apotheke waren, um sich den QR-Code abzuholen, oder dass die Apotheke Falschangaben gemacht hat, die zu einem nicht funktionstüchtigen QR-Code geführt haben. Eine Dokumentation könnte eine rechtssichere Grundlage liefern.

Doch selbst wenn dabei alles glatt läuft, könnten Kunden versuchen, Apotheken im Nachhinein für fehlerhafte Zertifikate verantwortlich zu machen. Der Fall ist nicht so weit hergeholt, wie es im ersten Moment scheinen mag: Bereits am ersten Tag zeigte sich, dass die Impfzertifikate durchaus auch mit unvollständigen oder fehlerhaften Daten ausgestellt werden können. Mal fehlt ein Buchstabe im Nachnamen, mal ist das Geburtsdatum falsch. Und die digitalen Zertifikate werden vor allem vor einem Hintergrund so schnell ausgestellt: Sie sollen dem innereuropäischen Reiseverkehr der laufenden Urlaubssaison erleichtern.

„Vermögensschäden sind die wahrscheinlichsten Schäden im Zusammenhang mit digitalen Impfzertifikaten“, sagt Apothekenversicherungsexperte Michael Jeinsen. „Stellen Sie sich vor, jemand holt sich das Zertifikat für den Urlaub, steht dann am Flughafen und kann nicht einchecken, weil das Zertifikat fehlerhaft ist. Dann könnte derjenige versuchen, die Apotheke wegen des fehlerhaften Zertifikats haftbar zu machen. Das betrifft im Prinzip alles, woran jemand wegen eines fehlerhaften Impfzertifikats nicht teilnehmen kann.“

Die Möglichkeit, dass jemand versuche, sich Nachteile durch fehlerhafte Überträge im Nachhinein vom Apotheker ersetzen zu lassen oder wegen solcher Fehler einfach nur Kasse machen zu wollen, sei nicht von der Hand zu weisen, so Jeinsen. Deshalb komme es in dem Fall auf die richtige Rechtsschutzversicherung des Inhabers an. Die Police müsse unbedingt apothekenspezifische Risiken sowie Rechtsstreit aus Dienstleistungen und für Regressfragen abdecken. „Wer also sicher sein möchte, dass der Apothekenrechtsschutz das auch wirklich abdeckt, sollte ebenfalls bei seinem Rechtsschutzversicherer anfragen.“

Und was ist, wenn die Apotheke eine Fälschung nicht erkennt? Auch hier fragt die Apotheke bestenfalls noch einmal bei ihrer Versicherung nach – denn eigentlich sollte dieser Fall von der Haftpflichtversicherung abgedeckt sein. „Die Übermittlung von Daten an das RKI und das Nachtragen von Impfungen gemäß § 22 des Infektionsschutzgesetzes sehen wir als apothekentypische Tätigkeit, die im Rahmen und Umfang der Haftpflichtversicherung Ihrer Police als mitversichert gilt“, erklärt dazu beispielsweise die PharmAssec.

Eine solche Antwort sollten auch andere Versicherungsnehmer auf Anfrage erhalten. „Bitte beachten Sie, dass Versicherungsschutz für aus dieser Tätigkeit resultierenden Personen- und Sachschäden besteht“, so PharmAssec. Für reine Vermögensschäden bestand hingegen bisher kein Versicherungsschutz. Zumindest bei PharmAssec hat sich das nun aber geändert: Ab Dienstag sind auch Vermögensschäden bis zu einer Höhe von 1500 Euro mitversichert, allerdings nur ein einziges Mal.