Apotheken sind ein unverzichtbarer Bestandteil der Gesundheitsversorgung und verarbeiten täglich hochsensible personenbezogene Daten. Dazu zählen Informationen über verschreibungspflichtige Medikamente, ärztliche Verordnungen, Gesundheitszustände und persönliche Angaben im Rahmen von Rezeptabrechnungen, pharmazeutischer Beratung oder Botendiensten. Diese Daten fallen unter Artikel 9 der Datenschutz-Grundverordnung (DSGVO) und gelten als besonders schützenswert.

Der verantwortungsvolle Umgang mit diesen Informationen ist nicht nur gesetzlich vorgeschrieben, sondern auch tief im Selbstverständnis des Apothekerberufs verankert. Datenschutz ist daher fester Bestandteil der pharmazeutischen Sorgfaltspflicht und ein zentrales Element im Verhältnis zu den Kundinnen und Kunden.

Berufsrechtliche Stellung von Apothekerinnen und Apothekern

Apothekerinnen und Apotheker unterliegen als Heilberufler einer besonderen berufsethischen und gesetzlichen Verpflichtung zur Wahrung der Vertraulichkeit. Diese Pflicht ist nicht nur Bestandteil des Apothekengesetzes, sondern auch explizit in der Berufsordnung für Apotheker verankert. Dort wird festgelegt, dass Apotheker zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufs anvertrauten oder bekannt gewordenen Informationen verpflichtet sind. Damit gelten Apotheker ebenso wie Ärzte, Anwälte oder Steuerberater als sogenannte Geheimnisträger im Sinne von § 203 Strafgesetzbuch (StGB). Die unbefugte Offenbarung fremder Geheimnisse ist strafbar und unterstreicht die besondere Verantwortung beim Umgang mit personenbezogenen und gesundheitsbezogenen Daten. Diese berufsrechtliche Grundlage ergänzt und verstärkt die Anforderungen der DSGVO und verpflichtet Apotheken zu einem besonders sorgfältigen, diskreten und rechtskonformen Umgang mit allen sensiblen Informationen.

DSGVO als verbindlicher Rahmen für Apotheken

Die DSGVO verpflichtet Apotheken zu einem sicheren, transparenten und zweckgebundenen Umgang mit personenbezogenen Daten. Die Verarbeitung darf nur auf einer klaren Rechtsgrundlage erfolgen – sei es durch gesetzliche Regelungen wie das Apothekengesetz und das Sozialgesetzbuch oder durch eine freiwillige, informierte Einwilligung der betroffenen Personen.

Wichtige Prinzipien wie Datenminimierung, Zweckbindung und Transparenz sind konsequent einzuhalten. Zudem müssen Apotheken organisatorisch und technisch sicherstellen, dass die Rechte der Betroffenen – etwa auf Auskunft, Berichtigung oder Löschung – jederzeit gewahrt bleiben. Die umfassende Dokumentation dieser Maßnahmen ist Teil der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO.

Risiken bei mangelhaftem Datenschutz

Verstöße gegen Datenschutzbestimmungen können für Apotheken weitreichende Folgen haben. Neben empfindlichen Bußgeldern drohen auch erhebliche Imageschäden, insbesondere wenn Gesundheitsdaten unbefugt offengelegt oder unzureichend gesichert wurden. Das Vertrauen der Kundschaft, das für Apotheken eine zentrale Rolle spielt, kann dadurch dauerhaft beeinträchtigt werden.

Darüber hinaus können Betroffene Beschwerden bei der Datenschutzaufsichtsbehörde einreichen, wenn sie Zweifel an der Sicherheit oder Rechtmäßigkeit der Datenverarbeitung haben. Dies kann Prüfverfahren und behördliche Sanktionen nach sich ziehen.

Technische und organisatorische Maßnahmen (TOM) für Apotheken

Um datenschutzrechtlichen Risiken effektiv zu begegnen, müssen Apotheken geeignete technische und organisatorische Maßnahmen umsetzen. Zu den zentralen Punkten zählen:

• Zugriffsmanagement: Der Zugriff auf sensible Daten muss klar geregelt sein. Nur autorisierte Mitarbeitende dürfen Zugang zu Patientendaten erhalten.

• Verschlüsselung und sichere Kommunikation: Elektronische Datenübertragungen, etwa bei E-Rezepten, müssen verschlüsselt erfolgen.

• Datensicherung: Regelmäßige Backups sorgen für Wiederherstellbarkeit im Falle technischer Ausfälle oder Cyberangriffe.

• Verzeichnis der Verarbeitungstätigkeiten: Die Apotheke muss ihre Datenverarbeitung dokumentieren und bei Bedarf der Aufsichtsbehörde vorlegen können.

• Schulung der Mitarbeitenden: Alle Beschäftigten müssen regelmäßig im Umgang mit personenbezogenen Daten geschult und sensibilisiert werden.

• Verträge mit Dienstleistern: Bei externer IT-Nutzung, Warenwirtschaftssystemen oder Abrechnungsdienstleistern sind Auftragsverarbeitungsverträge nach Art. 28 DSGVO zwingend erforderlich.

Benennung eines Datenschutzbeauftragten – Wann besteht eine Pflicht?

Eine Benennungspflicht für einen Datenschutzbeauftragten besteht für Apotheken insbesondere dann, wenn:

• regelmäßig mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten betraut sind,

• besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) in großem Umfang verarbeitet werden,

• oder eine systematische und regelmäßige Beobachtung von Personen erfolgt.

Gerade größere Einzelapotheken, Filialbetriebe oder digital besonders stark aufgestellte Apotheken erfüllen diese Kriterien häufig. In solchen Fällen bietet sich die Bestellung eines externen Datenschutzbeauftragten für Apotheken an. Dieser bringt spezifisches Fachwissen mit, entlastet die Apothekenleitung und stellt die DSGVO-konforme Umsetzung sicher.

Die Benennung muss schriftlich erfolgen und der zuständigen Aufsichtsbehörde mitgeteilt werden. Verstöße gegen diese Pflicht können zu empfindlichen Bußgeldern führen.

Fazit: Datenschutz als Bestandteil moderner Apothekenkultur

Datenschutz in Apotheken ist weit mehr als eine gesetzliche Pflicht – er ist Ausdruck eines verantwortungsvollen und modernen Umgangs mit sensiblen Informationen. Wer den Datenschutz aktiv gestaltet, schützt nicht nur die Rechte der Kundinnen und Kunden, sondern stärkt auch das Vertrauen in die eigene Apotheke.

Die DSGVO liefert hierfür klare Leitplanken. Durch gezielte Schulungen, strukturierte Prozesse und technische Schutzmaßnahmen kann jede Apotheke ihre Datenschutzpflichten effizient und praxisnah erfüllen. So wird Datenschutz zum Qualitätsmerkmal einer zukunftsfähigen, digitalen Arzneimittelversorgung.