Personalisierte Kassenbons in der Apotheke datenschutzkonform vernichten. Problemvermeidung: Bons nicht personalisieren.

Ab dem 01.01.2020 gilt die neue Kassenbon-Pflicht. In dem Gesetz zum Schutz vor Kassenmanipulationen ist geregelt, dass über jeden Geschäftsvorgang in unmittelbarem zeitlichem Zusammenhang ein Beleg auszustellen und dem Kunden zur Verfügung zu stellen ist (Belegausgabepflicht).

Für Apotheken ergibt sich ein datenschutzrechtliches Problem, wenn die Bons personalisiert sind. Personalisierte Bons enthalten besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DS-GVO, da dem Namen und ggf. der Anschrift des Patienten eine Medikation zugeordnet wird. Diese Daten sind besonders schutzwürdig.

Daraus folgt, dass in der Apotheke verbliebene personalisierte Bons von der Apotheke datenschutzkonform zu vernichten sind. Das kann die Apotheke vermeiden, indem sie keine personalisierten Bons erstellt.

Verliert der Kunde einen personalisierten Kassenbon in der Apotheke oder lässt er den Bon bewusst oder versehentlich in der Apotheke liegen, verbleiben diese sensiblen Daten im Hoheitsbereich der Apotheke als datenschutzrechtlich verantwortliche Stelle. Liegt in der Offizin ein solcher personalisierter Bon und wird dies moniert - beispielsweise durch eine Beschwerde bei der zuständigen Berliner Landesdatenschutzbeauftragten -, trifft den Apothekeninhaber oder die Apothekeninhaberin die Beweislast, dass ihn oder sie daran kein Verschulden trifft.

Personalisierte Bons sollten daher unbedingt datenschutzkonform vernichtet werden, wenn sie in der Apotheke verbleiben. Das kann durch Schreddern per Aktenvernichter geschehen oder durch die Nutzung verschlossener Datentonnen eines professionellen Entsorgungsunternehmens. Aktenvernichter zur Vernichtung sensibler personenbezogener Daten müssen gemäß DIN-Norm 66399 mindestens Schutzklasse 3, Sicherheits-/Zerkleinerungsstufe 4 entsprechen, was insbesondere bei Neuanschaffungen berücksichtigt werden sollte. Bei der Nutzung von Datentonnen ist darauf zu achten, dass vom Entsorgungsunternehmen ein Entsorgungsbeleg zur Verfügung gestellt wird, der die datenschutzkonforme Vernichtung bestätigt. Gleichzeitig handelt es sich regelmäßig um eine Auftragsverarbeitung, die über eine entsprechende Vereinbarung gemäß Art. 28 DS-GVO zu regeln ist.

Die datenschutzrechtliche Verantwortung der Apotheke endet, wenn der Kunde die Apotheke mit dem Bon verlassen hat. Dann ist es Angelegenheit des Kunden, wie er mit dem Bon umgeht, ob er ihn verwahrt, vernichtet oder ob er ihn einfach wegwirft.

Problemvermeidung: Bons nicht personalisieren.

Die datenschutzrechtlichen Anforderungen ergeben sich aus der Kombination von personenbezogenen Daten des Kunden und der Medikation. Werden Bons nicht personalisiert, finden die Datenschutzbestimmungen keine Anwendung. Sofern der Bon lediglich Arzneimittel, Medikation, Preis, Datum und Uhrzeit sowie den Namen und die Anschrift der Apotheke enthält, liegen keine schutzbedürftigen personenbezogenen Daten vor. In diesem Fall sind keine besonderen Anforderungen an die Entsorgung zu stellen.

Wenn ein Kunde einen Nachweis über seine Käufe und die geleistete Zuzahlung möchte, sollte dies im Wege einer Kundenkarte erfolgen. Die Kundenkartenvereinbarungen enthalten soweit ersichtlich die erforderlichen datenschutzrechtlichen Regelungen auf Basis der Einwilligung. Auf Wunsch des Kunden kann ihm eine Dokumentation seiner eingelösten Verordnungen und getätigten Käufe zur Verfügung gestellt werden.

Soweit Kunden, die keine Kundenkarte der Apotheke haben, einen personalisierten Bon wünschen, sollte dem nicht nachgekommen werden. Es gibt keine Vorschrift, die den Ausdruck eines personalisierten Bons erfordert. Sofern behauptet wird, dass Kassen einen solchen Bon verlangen sollte nach der Rechtsgrundlage gefragt werden. Der Kammer ist eine solche nicht bekannt.

Fazit:

  1. Die beste Lösung: Keine personalisierten Bons erstellen.
  2. Wenn personalisierte Bons, dann datenschutzkonforme Entsorgung aller in der Apotheke verbliebenen Bons – Schreddern oder Datentonne.

Hinweis: Bei Gelegenheit der Umstellung auf nicht-personalisierte Bons sollte auch auf die Namen der bedienenden Person verzichtet werden, entweder ganz oder ersetzt durch eine Nummer.

 

Apothekerkammer Berlin, 23.12.2019

Druckversion