Rechenzentren: Apotheker sollen Verträge prüfen

Dass Rechenzentren Unterauftragnehmer einschalten, ist nicht unüblich. So lässt das „Digitale Rezept Zentrum“ (DRZ), das zum Softwarehaus Pharmatechnik gehört, seit 2010 Rezepte beim Schweriner Apothekenrechenzentrum (SARZ) abrechnen. Die Rezeptabrechnungsstelle Berliner Apotheker (RBA) arbeitet mit dem ARZ Haan zusammen und die zur VSA-Gruppe gehörende ALG hat bestimmte Teilleistungen an die VSA ausgegliedert.

Die Rechenleistung für das Norddeutsche Apothekenrechenzentrum (NARZ) und die 1986 übernommene Apotheken-Verrechnungsstelle Dr. Carl Carstens (AVN) übernimmt die 1998 gegründete Gesellschaft für Informations- und Datenverarbeitung (GFI).

Das ARZ Darmstadt, selbst nicht betroffen, hat zu der Frage, ob solche Konstruktionen erlaubt sind, ein Rechtsgutachten in Auftrag gegeben – nach eigenen Angaben, um für das Thema zu sensibilisieren. Professor Dr. Jürgen Kühling von der Universität Regensburg legt dar, dass Apotheken laut Sozialgesetzbuch (SGB V) „zur Erfüllung ihrer Verpflichtungen [...] Rechenzentren in Anspruch nehmen“ können. Da aber der Begriff nicht definiert sei, müsse er nach seinem natürlichen Wortlaut ausgelegt werden: Als Rechenzentrum können laut Kühling nur Dienstleister angesehen werden, die die Rechenleistung tatsächlich und unmittelbar in eigener Regie erbringen.

Kühling warnt: „Fehlt eine solche eigene personelle und technische Ausstattung und bedient sich der beauftragte Dienstleister lediglich rechenzentrumstypischer Leistungen Dritter, wird man in Folge eine Qualifikation als Rechenzentrum ablehnen müssen.“ Ob die Voraussetzungen erfüllt seien, müsse jede Apotheke eigenverantwortlich prüfen. Anderenfalls laufe sie Gefahr, kein „Rechenzentrum“ zu beauftragen.

„Die Weitergabe der Rezeptblätter an solche Dienstleister durch die Apotheke wäre dann datenschutzrechtlich – und auch strafrechtlich – als sehr bedenklich einzustufen“, so Kühling. Primär bleibe nämlich die Apotheke datenschutzrechtlich verantwortlich für die Verarbeitung der Rezeptdaten. „An ihr liegt es daher, die Voraussetzungen für eine rechtmäßige Einschaltung von Rechenzentren vor der Beauftragung eines Dienstleisters sorgfältig zu prüfen.“

Aufbauend auf dem Rechtsgutachten hat das ARZ Darmstadt einen Fragebogen entwickelt, mit dem Apotheker ihr Rechenzentrum konfrontieren sollen: Wird selbst abgerechnet? Liegt ein Auftragsdatenverarbeitungsvertrag vor und enthält dieser die aus dem Rechtsgutachten resultierenden wesentlichen Punkte?

Die Rechenzentren, die Unterauftragnehmer nutzen, kommen nach eigener juristischer Begutachtung zu einem anderen Ergebnis. Philipp Körnig, Rechtsanwalt bei Pharmatechnik, betont, dass die Problematik 2010 geprüft worden sei – und „dies trotz des Umstands, dass bereits 2010 verschiedene Rezeptabrechner so arbeiteten“.

In der Regelung des SGB V sieht Körnig kein Verbot der Einschaltung Dritter: „Das Prinzip der Arbeitsteilung ist heute so selbstverständlich, dass ein Wille des Gesetzgebers diesen zentralen Aspekt heutigen Wirtschaftslebens auszuschalten, deutlicher formuliert wäre, etwa durch die Formulierung, der Apotheker dürfe sich nur der Rechenzentren bedienen.“

Im SGB X zum Sozialdatenschutz sei zudem geregelt, dass eine Datenverarbeitung unter Einhaltung strenger Voraussetzungen durch Dritte möglich sei und dieser Dritte auch weitere Dritte als Unterauftragnehmer einsetzen könne, so Körnig. „Dies zeigt, dass der Gesetzgeber einer Unterauftragsvergabe als legitime Möglichkeit datenschutzkonformen Handelns ansieht.“

Dass Unterauftragnehmer eingeschaltet werden dürfen, ist laut Körnig auch in den Verträgen zwischen Apotheken und Rechenzentrum geregelt. Genauso handhaben es auch NARZ und AVN: In dem Auftrag, den die Apotheken einem der beiden Anbieter erteilten, sei festgelegt, dass Unterauftragnehmer eingeschaltet werden dürften, erklärt Michael Irmer, der beim Verbund den Fachbereich Wirtschaft und Recht leitet.

Das System sei vor einem Jahr von der Prüfstelle „Datenschutz Cert“ zertifiziert worden, betont Irmer. Er beruft sich auch auf das Bundesdatenschutzgesetz. Darin ist das Verhältnis zwischen Auftraggeber, in diesem Fall den Apothekern, und Auftragnehmern, den Rechenzentren, geregelt. Demnach dürfen Rechenzentren die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten und nutzen. In dem Vertrag zur Auftragsdatenverarbeitung stimmen die Apotheker der Einbeziehung von Unterauftragnehmern zu.

Die VSA-Geschäftsführung betont, dass die ALG ein Rechenzentrum im Sinne des SGB V sei und selbstständig Leistungen erbringe. Lediglich einige Teilleistungen seien ausgegliedert worden. Das Verfahren sei in allen Details juristisch geprüft worden und mit dem Bayerischen Landesamt für Datenschutzaufsicht und dessen Präsidenten Thomas Kranig abgestimmt.