Patientendaten unwiderruflich löschen – so geht's und das ist zu beachten
„Vergiss mein doch“ – ist das gute Recht jedes Kunden nach der Datenschutzgrundverordnung (DSGVO), die am 25. Mai in Kraft getreten ist. Denn nach Artikel 17 der DSGVO dürfen Kunden verlangen, dass ihre personenbezogenen Daten unverzüglich und unwiderruflich gelöscht werden, wenn diese nicht mehr benötigt werden.
Löschbegehren versus Aufbewahrungsfrist
Dem entgegen stehen jedoch gesetzliche Aufbewahrungspflichten, wie es etwa bei der Patientenkartei im Rahmen der Opioidsubstitution für 3 Jahre der Fall ist oder bei Rechnungen, die mindestens zehn Jahre aufbewahrt werden müssen. Kundenstammdaten, die in der Apothekensoftware gespeichert werden, müssen in den meisten Fällen nicht aufgehoben werden.
Awinta: Löschen „selbstverständlich“ möglich
Doch ist es technisch überhaupt möglich, die Kundendaten aus der Apothekensoftware zu entfernen? DAZ.online hat bei drei verschiedenen Softwarehäusern nachgefragt. Dazu erklärt der Softwareanbieter Awinta kurz und knapp, dass es „selbstverständlich“ möglich sei, die Kundendaten endgültig zu löschen.
Lauer-Fischer: Kunden mit aufbewahrungspflichtigen Daten „ausblenden“
Die Firma Lauer-Fischer holt bei ihrer Bestätigung schon etwas weiter aus. Das Softwareunternehmen weist darauf hin, dass Aufbewahrungsfristen im Zweifel höher zu bewerten seien als das Löschbegehren des Patienten. „Ein Beispiel hierfür wäre eine hinterlegte Rechnung, die mindestens zehn Geschäftsjahre aufbewahrt werden muss. Hier wird dem Mitarbeiter ein entsprechender Hinweis angezeigt und die Löschung nicht durchgeführt. In so einem Fall empfehlen wir, den Kunden auszublenden. Damit erscheint er nicht mehr im Kundenstamm, die Informationen bleiben aber erhalten“, erklärt Lauer-Fischer gegenüber DAZ.online.
„Winapo-Löschfunktion löscht unwiederbringlich“
Sei die Löschung nämlich einmal angestoßen, werden nicht nur die Kundendaten im Kundenstamm, sondern auch die personenbezogenen Daten in den anderen Applikationen wie beispielsweise der Kasse oder der Rezeptur-Taxation entfernt. Die Löschfunktion in Winapo® 64 entferne gemäß der Datenschutzrichtlinien die Kundendaten unwiederbringlich aus dem System. In dem Lauer-Fischer-System ist die Löschung personenbezogener Daten mit einer Berechtigungsstufe verbunden, sodass nur zuvor definierte Mitarbeiter eine Löschung vornehmen dürfen, in der Regel der Apothekeninhaber, der die sachgemäße Löschung zu verantworten hat. Im Falle eines Inhaberwechsels schlägt das Softwareunternehmen vor, die Kundendaten beispielsweise komplett von der Migration auszuschließen und dann endgültig zu löschen.
ADG: Verantwortung liegt beim Apotheker
Auch die Firma ADG bestätigt, dass das Löschbegehren grundsätzlich erfüllbar sei. „So ist grundsätzlich eine unwiderrufliche Löschung möglich, wobei aber rechtliche oder steuerliche Gründe bestehen können, statt einer Löschung eine Einschränkung der Verarbeitung oder eine Anonymisierung der Kundendaten vorzunehmen“, antwortet die Firma ADG DAZ.online.
Das Softwareunternehmen verweist zudem auf seine „datenschutzfreundlichen Voreinstellungen“ und „verschiedene Möglichkeiten zur Erfüllung von Löschpflichten“. Die jeweilige Beurteilung, ob und wann Daten gelöscht werden dürfen oder müssen, liege allein in der Verantwortung der Apotheke.
Das sagen die Juristen
Nach Auffassung von Dr. Lukas Kalkbrenner und Dr. Morton Douglas ist vor allem der Fall problematisch, in dem die Daten, bei denen Aufbewahrungsfristen gelten, nicht so erhoben werden, dass andere Daten, bei denen diese nicht bestehen, jederzeit gelöscht werden können. So ist es zum Beispiel nicht erforderlich, Angaben zur Medikation eines Kundenkarteninhabers zusammen mit handelsrechtlich relevanten Unterlagen zehn Jahre lang aufzubewahren. Es muss gewährleistet sein, dass die handelsrechtliche Aufbewahrungspflicht auch gewahrt werden kann, wenn der Patient seine Einwilligungserklärung zur Speicherung seiner Medikation widerruft. Hier sollte bereits bei der Datenerhebung sichergestellt werden, dass die unterschiedlichen Kategorien von Daten separat und entsprechend dem jeweiligen Zweck erhoben werden.