DSGVO in der Apotheke

Auskunfts- und Löschbegehren rechtssicher und effizient umsetzen.

Viele Datenschutz-Verstöße entstehen nicht durch Cyberangriffe, sondern durch schlecht organisierte Auskunfts- und Löschbegehren. Gerade in Apotheken mit sensiblen Gesundheitsdaten kann das schnell zur Belastung werden.

Mit einem klar definierten Prozess erfüllst Du die Anforderungen aus Art. 15 DSGVO (Auskunftsrecht) und Art. 17 DSGVO (Recht auf Löschung) fristgerecht, vollständig und dokumentiert – und stärkst zugleich Deine Organisations-Qualität.

Warum das Thema für Apotheken besonders relevant ist

Betroffene haben das Recht auf Auskunft nach Art. 15 DSGVO und das Recht auf Löschung nach Art. 17 DSGVO.

In Deiner Apotheke verarbeitest Du besonders schützenswerte personenbezogene Daten nach Art. 9 DSGVO, wie Medikationsdaten oder Rezept- und Verordnungsdaten. Auch die Daten der Videoüberwachung sind unter Umständen besonders schützenswert. Dazu kommen Daten aus:

  • Daten aus Kundenkarten-Programmen
  • Abrechnungsdaten mit Rechenzentren
  • Botendienst-Informationen
  • E-Mail- und Kontaktformulare

Ein Auskunfts- oder Löschbegehren betrifft daher häufig mehrere Systeme gleichzeitig:

  • Warenwirtschaftssystem
  • Kassen- und TSE-Systeme
  • Rezeptabrechnungs-Software
  • DATEV-/FiBu-System
  • Dokumenten-Management-System (DMS)
  • Cloud-Services
  • Auftragsverarbeiter (z. B. Rechenzentrum)

Wenn Du nicht ordnungsgemäß reagierst, riskierst Du Bußgelder und Schadenersatzansprüche. Die Frist beträgt in der Regel 1 Monat. Mit einem standardisierten Prozess, klaren Rollen und vorbereiteten Textbausteinen reduzierst Du Risiken und vermeidest Stau in der Bearbeitung.

Der Rechtsrahmen – praxisnah für Apotheken erklärt

1. Recht auf Auskunft (Art. 15 DSGVO)

Ein Patient oder Kunde kann von Dir verlangen:

  • Auskunft über Verarbeitungszwecke
  • Datenkategorien
  • Empfänger (z. B. Rechenzentrum, Steuerberater, IT-Dienstleister)
  • Speicherdauer
  • Herkunft der Daten
  • Hinweise auf Betroffenenrechte
  • Information über automatisierte Entscheidungsprozesse
  • Eine Kopie der gespeicherten personenbezogenen Daten

In Apotheken bedeutet das: Medikationshistorie, Kundenkarten-Daten, Rezeptdaten, Kommunikationsverläufe.

Die Frist: 1 Monat.

2. Recht auf Löschung (Art. 17 DSGVO)

Das Recht auf Löschung oder auch das Recht auf Vergessenwerden nach Art. 17 DSGVO greift bei bestimmten Voraussetzungen. Beispielsweise, wenn der Zweck entfallen ist, eine Einwilligung widerrufen wurde oder die Verarbeitung unrechtmäßig war. Ausnahmen sind etwa gesetzliche Aufbewahrungsfristen oder die Geltendmachung von Rechtsansprüchen.
Apotheken unterliegen umfangreichen gesetzlichen Aufbewahrungsfristen (AO, HGB, SGB V, ApBetrO).

Das bedeutet in der Praxis:

  • Keine vollständige Löschung möglich
  • Stattdessen: Sperrung der Daten bis zum Ablauf der Aufbewahrungsfrist

Hier ist eine saubere rechtliche Abwägung entscheidend.

Typische Fehler in Apotheken

  1. Die Identitätsprüfung ist entweder: zu locker – Herausgabe sensibler Gesundheitsdaten an Unbefugte. Oder wird zu strenggenommen, was zu unnötigen Verzögerungen und Eskalationen führt.
  2. Fehlende Systemübersicht – viele Apotheken unterschätzen die Anzahl datenverarbeitender Systeme.
  3. Unzureichende Dokumentation – Ohne Ticket-ID, Zeitstempel und Entscheidungsvermerk fehlt im Prüfungsfall der Nachweis. Gerade im Kontext von GoBD-konformer Dokumentation und Internem Kontrollsystem (IKS) wird hier zunehmend Struktur erwartet.

Der 10-Schritte-Prozess für Deine Apotheke

  1. Anfragen kanalisiert Du über eine privacy@-Adresse oder ein definiertes Formular. Keine mündlichen „Zurufe“ ohne Dokumentation. So gehen keine Anfragen verloren und alles ist lückenlos dokumentiert.
  2. Für die Identität prüfst Du risikobasiert und verlangst nur die minimal notwendigen Nachweise. Damit wird der Missbrauch verhindert und Betroffene nicht überfordert.
  3. Kläre den Umfang der Anfrage und bitte bei Ungenauigkeiten die betroffene Person um Präzisierung, damit Du zielgenau suchen kannst.
  4. Bestätige den Eingang mit der regulären Monatsfrist und kündige eine mögliche, begründete Verlängerung an, wenn die Anfrage komplex ist.
  5. Starte die Dateninventur (z.B. Warenwirtschaft, Kasse, Rezeptabrechnung, DMS) anhand einer gepflegten Datenlandkarte und beziehe die Auftragsverarbeiter mit klaren Rückmeldefristen ein.
  6. Sichte die Daten und nimm eine rechtliche Bewertung vor, insbesondere zu Rechten Dritter (z. B. Familienrezepte), Betriebsgeheimnissen und etwaigen Ausnahmen von Auskunft oder Löschung.
  7. Bereite die Auskunft verständlich auf und lege eine maschinenlesbare Datenkopie bei. Plane und dokumentiere bei Löschbegehren die Löschung, Sperrung oder Anonymisierung pro System.
  8. Informiere relevante Empfänger und Auftragsverarbeiter über die notwendigen Maßnahmen und dokumentiere die Umsetzung nachvollziehbar.
  9. Die Antwort versendest Du über einen sicheren Kanal. Achte auf klare Sprache und erläutere die getroffenen Maßnahmen sowie etwaige Einschränkungen transparent.
  10. Dokumentiere den gesamten Vorgang einschließlich Fristen, Entscheidungen und Belegen. Leite ein “Lessons Learned” in die Aktualisierung von Löschkonzept, Datenlandkarte und Vorlagen ein.

Diese Dokumentation gehört idealerweise in Deine Verfahrens-Dokumentation.

Löschkonzept für Apotheken – fünf Bausteine

  1. Definiere Datenklassen (Rezepte, Kundenkarten, Lieferdaten etc.).
    Lege Aufbewahrungsfristen pro Kategorie fest.
  2. Pflege ein System-Mapping, das produktive Systeme, Protokollierungen und Backups umfasst, damit keine Dateninseln übersehen werden.
  3. Hinterlege technische Routinen für Löschung oder Sperrung und dokumentiere die Umsetzung nachvollziehbar.
  4. Aktiviere Kontrollmechanismen und Erinnerungsfunktionen, damit Löschfristen nicht verpuffen.

Verbindung zu GoBD und Verfahrens-Dokumentation

Auch wenn DSGVO und GoBD unterschiedliche Rechtsbereiche sind, gilt:

  • Prozesse müssen nachvollziehbar sein
  • Zuständigkeiten klar geregelt
  • Änderungen dokumentiert
  • Daten unveränderbar archiviert
  • Lösch- und Sperrprozesse transparent beschrieben

Eine saubere Prozessbeschreibung im Datenschutz stärkt zugleich Deine steuerliche Dokumentations-Qualität.

Chancen für Deine Apotheke

Ein professioneller Umgang mit Betroffenenrechten bringt:

  • Strukturierte System-Übersicht
  • Klar definierte Verantwortlichkeiten
  • Bessere Datenqualität
  • Höhere Prüfungs-Sicherheit
  • Mehr Vertrauen bei PatientenStatt DSGVO als Belastung zu sehen, kannst Du sie als Hebel für Prozess-Optimierung nutzen.

Fazit

Du brauchst keine überdimensionierte Datenschutz-Abteilung. Du brauchst Klarheit und Konsequenz. So erfüllst Du Art. 15 und 17 DSGVO sicher, effizient und auditfest – und stärkst gleichzeitig die organisatorische Stabilität Deiner Apotheke.