Kein Rezept bei Allergen-Bestellung

Während Apotheker der beruflichen Schweigepflicht unterliegen, gilt das für Pharmafirmen nicht. Das ULD hat sich daher mit dem Thema befasst und die Bestellsysteme von zwei Herstellern überprüft. Die Ergebnisse hätten „'allergische' Reaktionen“ ausgelöst, heißt es in dem aktuellen Tätigkeitsbericht des ULD. „Eine Firma hatte in den letzten 18 Jahren unbefugt beinahe eine Million Datensätze von circa 75.000 Patientinnen und Patienten erhoben und gespeichert.“

Die verwendeten Bestellbögen hätten vorgesehen, dass bereits in der Arztpraxis angegeben werde, welcher Patient welches Präparat benötigte. Darauf seien Name, Geburtsdatum, Anschrift und Kassenzugehörigkeit des Patienten vermerkt worden. In der Apotheke seien die Bögen an das Pharmaunternehmen gefaxt worden, „oft genug wurde zusätzlich das Rezept gefaxt“, kritisiert das ULD.

Die Pharmaunternehmen hätten die Daten gespeichert und „konnten so über Jahrzehnte nachvollziehen, welcher Patient von welchem Arzt wegen welcher Diagnose welches Präparat verschrieben und von welcher Apotheke ausgehändigt bekam“, monieren die Datenschützer. Die Übermittlung von Patientendaten an ein Pharmaunternehmen sei aber nur zulässig, wenn der Patient zuvor ausreichend informiert worden sei und schriftlich eingewilligt habe. „Ohne eine derartige Befugnis machen sich die Apotheker strafbar.“

Aber selbst eine Einwilligung hilft aus Sicht des ULD nicht weiter, wenn das Pharmaunternehmen keinen legitimen Grund und Zweck angeben kann, weshalb die Daten benötigt werden. Die Hersteller hätten das Datensammeln mit der Patientensicherheit gerechtfertigt: Immuntherapien könnten sich über Jahre hinziehen, die Dosierung und Zusammensetzung der Präparate sei vom Therapiestand abhängig und eine falsche Medikation könne verheerende Folgen haben. Daher sei es wichtig, ein Serviceangebot für Patienten und Ärzte anzubieten.

Das reichte den Datenschützern nicht. Sie forderten die Unternehmen auf, ein Verfahren zu entwickeln, mit dem Patienten von den Ärzten oder Apothekern über dieses Serviceangebot und die beabsichtigte Datenspeicherung aufgeklärt werden. Zusätzlich sollten sie die Möglichkeit einer anonymen Bestellung anbieten, wenn Patienten ihre Daten nicht übermittelt sehen wollen. In dem Verfahren sollten Einwilligungserklärungen genutzt werden.

Insgesamt sollte aus Sicht des ULD der Umfang der übermittelten Patientendaten durch eine Neugestaltung der Bestellbögen minimiert werden. Zudem solle sichergestellt werden, dass ausschließlich der Bestellbogen und keine Rezepte mehr von den Apotheken geschickt werden. Schließlich sollten sich die Unternehmen verpflichten, Patientendaten nur so lange zu speichern, wie dies wirklich für die Patientensicherheit erforderlich sei.

Der Hersteller Allergopharma setzt die notwendigen Schritte bereits um. Gemeinsam wurden laut ULD datenschutzgerechte Lösungen erarbeitet: Es gibt Aufklärungsbögen und eine Mustereinwilligung, außerdem wurden sichere Übertragungswege geschaffen, Vorgaben für die Apotheker erarbeitet und ein Löschkonzept erstellt.

Seit rund einem Jahr arbeitet der Hersteller an einem datenschutzkonformen Bestellprozess. Im Mai 2014 wurden die Apotheker zum ersten Mal auf neue Prozesse hingewiesen: Die Apotheker sollten zunächst einen neu entwickelten Auftragsdatenverarbeitungsvertrag mit Allergopharma abschließen. Jeder Patient sollte eine Einverständniserklärung unterzeichnen.

Außerdem wurden die Bestellbögen überarbeitet. Ältere Bögen wollte der Hersteller aktiv aus dem Verkehr ziehen. Die Apotheker wurden schließlich darauf hingewiesen, keine Rezepte mehr weiterzuleiten. Diese dürften weder angenommen noch verarbeitet werden.

Im besten Fall sollte der Arzt den Bestellbogen ausfüllen. Falls dennoch ein Rezept ohne diesen Bogen in der Apotheke vorgelegt wird, sollten Apotheker den Bogen herunterladen und ausfüllen. Dabei sollten sie sichergehen, dass die Angaben auf Bestellbogen und Rezept übereinstimmen.

Allerdings war es damit noch nicht getan. Kaum waren die Apotheken über die neuen Bestellmodalitäten informiert, erfuhr der Hersteller, dass diese erneut überarbeitet werden müssten. Im Oktober wurde dem ULD ein neues Konzept vorgelegt. Inzwischen haben die Prozesse bei Allergopharma aber auch grünes Licht vom Datenschutz bekommen.

Ein Mitarbeiter des ULD erklärt, dass eine solche Frist durchaus nicht unüblich sei. Denn die Umstellung sei aufwendig. Immerhin müssten ganze Prozesse umgestellt werden und üblicherweise seien viele Unternehmensbereich eingebunden, etwa auch Juristen und Techniker. „Das schafft man nicht in einer Woche“, so die Einschätzung des Datenschützers. Für ihn sind die neuen Bestellprozesse bei Allergopharma ein Beispiel dafür, wie ein Unternehmen „durch die Prüfung aus dem Schatten ins Licht kommt“.