Apotheken-Datenschutz bei Inhaberwechsel?

elmuc · 11. Juli 2022 um 13:32

Trifft es zu, dass nach “Datenschutzgesetz” erneut eine Datenschutzerklärung beim Wechsel des Inhabers einer Apotheke unterschrieben werden muss?

Bei Unterschriftsverweigerung werde das Kundenkontro gelöscht und somit auch die Jahresberichte der Zuzahlungen nicht mehr möglich, die man dann nur mit gesammelten Kassenzettel rekonstruieren kann.

Wie üblich beim Einsatz des Totschlagarguments “Datenschutz” wird nie die entsprechende Gesetztesstelle zitiert. Rückfragen werden nicht beantwortet, auch nicht von einer zuständigen Apothekenkammer. Es gibt bundesweit auch keine zentral zuständige Stelle in dieser speziellen Frage, auch nicht beim BfDI.

joeDS · 11. Juli 2022 um 13:52

Hallo elmuc, willkommen im Forum.

Erst einmal glaube ich, dass hier Missverständnisse beim Wording bestehen, die man erstmal klären sollte.

Du sprichst von Datenschutzerklärungen. Diese Begriff ist die landläufige Bezeichnung für die Umsetzung der Informationspflichten und bedarf keiner Unterschrift. Man muss sie nur den Kunden zur Verfügung stellen und dies nachweisen können.
Eine Einwilligung in ein Kundenkonto kann mit einer Unterschrift erfolgen und der Nutzer / Kunde muss informiert sein, daher braucht es hier die Datenschutzhinweise / erklärung.

Nun stellt sich die Frage in was der Kunde in der Vergangenheit eingewilligt hat und was damals als Information zur Weitergabe von Daten kommuniziert wurde. Dies kann auch mögliche Nachfolger schon einschließen.

Wenn sich aber die Zwecke und Mittel ändern sollte in jedem Fall neu informiert werden. Es schadet auch nicht wenn der neue Inhaber (der ja sowieso die Datenschutzhinweise updaten muss) sich auch die Einwilligung bestätigen lässt. insbesondere da es hier um hochsensible Gesundheitsdaten geht.

Datenschutz ist auch kein Totrschlagargument - es ist lediglich ein Thema in dem viel Halb- und Unwissen den Ruf des Datenschutzes schlecht machen. Wenn er richtig umgesetzt wird ist Datenschutz sogar ein mehrwert für Kunden und Firma und ein Wettbewerbsvorteil durch gute Customer Experience. Aber das sehen viele anders auch wegen dem Halbwissen und Angst um Einnahmen.

Und was die Fundsetllen und Gesetzestextes angeht, lasse ich die gerne weg wenn ich mit Nicht-Juristen spreche. Die verstehen das sowieso selten. Hier sind nur die Maßnahmen wichtig die aus den Gesetzen und Urteilen folgen.

Was den Kassenzettel angeht - wieso muss dies auf eine Einwilligung gestützt werden - es gibt auch Aufbewahrungspflichten aus dem Steuerrecht etc. Und hier ist die Grundlage nicht die Einwilligung sondern gesetzliche Vorschriften. Diese Unterscheidung ist ein Punkt den ich mit Halbwissen meinte (ebenso bei der Datenschutzerklärung oben).

Arbeitet Ihr mit einem Datenschutzbeauftragten oder Anwalt zusammen? Der kann euch da sicherlich noch mehr helfen, also nur eine Frage im Forum.

Falls du hier das nicht ganz verstanden hast gerne nochmal fragen dann helfen wir dir gerne genauer weiter.

Hier noch ein Artikel aus 2014 (vor DSGVO) aber der Kern sollte noch stimmen: https://www.dr-datenschutz.de/datenschutz-bei-betriebsuebergang/

elmuc · 11. Juli 2022 um 14:13

Ich schrieb als Apotheken-KUNDE, und was ich zu unterschreiben hatte, wird von der Apotheke “Datenschutzerklärung” genannt.
Zwar bin auch ich einer der blöden Nicht-Juristen, kenne das Datenschutz-Blabla als Systemingenieur aber seit Simitis. Hier bin ich wohl fehl am Platz.

joeDS · 11. Juli 2022 um 14:21

Nein du bist nicht fehl am Platz und blöd habe ich dich nicht genannt. Wenn du das so verstanden hast. Sorry tut mir leid. Ich wollte es nur allgemin beschreiben…

Also nochmal du bist hier gerne willkommen und wir geben gerne Tipps zur korrekten Auslegung. Auch denen die Nutzer sind.

anzolino · 11. Juli 2022 um 17:50

Blabla offensichtlich, Datenschutz eher nicht… aber “seit Simitis” ist eine interessante Zeitrechnung.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder weist im Beschluss vom 24.05.2019 darauf hin, dass bei Asset Deals Kundendaten der besonderen Kategorie nach Art.9 Abs.1 DS-GVO “nur im Wege der informierten Einwilligung nach Art.9 Abs.2 lit.a), Art. 7 DS-GVO übergeleitet werden” können. Angesichts der mageren Informationen gehe ich von einem solchen Fall aus.

elmuc · 12. Juli 2022 um 06:21

Danke anzolino!
Damit kann ich etwas anfangen.
Bei Arztpraxis-Übergang hingegen scheint dies aber nicht zu gelten. Ich wurde mehrfach damit konfrontiert, dass neue Praxisinhaber z.B. durch Verkauf nach Todesfall auch meine gesamten Patientenunterlagen ohne mein Wissen bekamen. In einem Fall musste ich sogar eine Teil-Herausgabe mit Hilfe der Ärztekammer erstreiten, da diese als “käuflich erworbenes Eigentum” von der Praxis-Nachfolgerin, die ich ablehnte, deklariert wurden. Um den Rest meiner dem verstorbenen Vorgänger zur Verfügung gestellten Unterlagen, z.B. selbst beschafffte Unfall-Gutachten, zu erhalten, hätte ich vor Gericht gehen müssen.
Der zunächst kontaktierte Anwalt wollte zum fetten Vorschuss auch den Kauf eines Kommentars beim Beck-Verlag…

Domasla · 12. Juli 2022 um 07:53

Das kann man nach dem 2-Schränke-Prinzip handhaben: Vorgänger-Arzt übergibt Patientenakten zur Aufbewahrung an Nachfolger. (Ebenfalls Berufsgeheimnisträger aber erst mal ohne Erlaubnis, reinzuschauen.) Nachfolger würde die alte Akte nur nach der Patienten-Zustimmung herausholen, daran anknüpfen zu dürfen. Sonst müsste man nämlich für das neue Verhältnis eine neue Akte anlegen und mit der Diagnose usw. von vorn beginnen. (Was evtl. auch kein Fehler ist…)

D., der bei Apotheken-Übernahmen viel weniger Potenzial für Weiterverwendung der Patientendaten sieht als bei Artzpraxen. Evtl. wenn Stammkunden bestimmte Mischungen weiter benötigen. Ansonsten wären das nur neue Rezepte, neue Auslieferaufträge, bei denen man nicht an die alte Beziehung anknüpfen muss. Oder geht es um die Erlaubnis für… Werbung?

SaharaAG · 12. Juli 2022 um 09:43

Hallo Elmuc, wir arbeiten überwiegend als externe DSB mit Apothekenkunden zusammen. Wir hatten diese Frage schon öfters bei der Übernahme von Apotheken. Wenn der neue Apothekeninhaber die Apotheke mit allen Rechten und Pflichten übernimmt, dann ist eine erneute Einwilligung nicht erforderlich. Jedoch sollte geprüft werden, ob die Einwilligungserklärung, die man in der Vergangenheit geleistet hat, bereits DSGVO-konform war. Wenn alles okay ist, benötigt man keine erneute Einwilligung. Wir hatten das mal mit unserer zuständigen Aufsichtsbehörde geklärt. Übrigens: Oft werden die Begrifflichkeiten in Apotheken durcheinander geworfen. Wenn man etwas unterschreiben muss, dann handelt es sich um eine Einwilligung zur Speicherung der Daten mit Angabe von Zwecken und vor allem dem Widerrufsrecht. Beste Grüße

daimos · 14. Juli 2022 um 20:22

@anzolino hat es doch bereits beschrieben:

asset deal = keine Betriebsübernahme, separater (neuer) Verantwortlicher neben dem “alten” Verantwortlichen
share deal = Betriebsübernahme, Eintreten in die Stellung des Verantwortlichen (Übernahme aller Rechte und Pflichten - und der Daten)

Domasla · 15. Juli 2022 um 05:49

Normalerweise wäre eine volle Betriebsübernahme keine große Sache. Aber hier geht es um eine schweigepflichtige Berufsgruppe.

Ursprüngliche Apothekeninhaber sind persönlich vom Offenbarungsverbot aus § 203 Abs. 1 StGB betroffen. Wer kein harmloses Papiertaschentuch-Abo laufen hat müsste also in die Offenbarung der bisherigen Geheimnisdaten einwilligen, indem der alte Inhalber gegenüber dem Apothekenerwerber zu diesem Zweck ausdrücklich von der Schweigepflicht entbunden wird.

D., der immer noch zwischen dem Übergang normaler Daten und von Geheimnisdaten unterscheiden möchte. (Eine Unterscheidung, die in der Praxis nicht vorbereitet sein wird.)