hatte ich über verschiedene datenschutzrechtliche Anforderungen im Zusammenhang mit dem Rabattkartenverfahren Payback berichtet

Aufgrund dieser Neuregelungen und der Tatsache, dass die Regelungen ohne Übergangsfrist in Kraft getreten sind, war ich gezwungen, mein bisheriges Register der meldepflichtigen Stellen relativ schnell und vollständig umzustellen. Parallel zum BDSG-Novellierungsverfahren hatte ich bereits im Vorfeld in Zusammenarbeit mit verschiedenen anderen Datenschutzaufsichtsbehörden mit Vorüberlegungen für ein neues Registerverfahren begonnen (vgl. 23. JB, Ziff. 16.7.1). Unmittelbar nach Inkrafttreten des novellierten BDSG wurden unter meinem Vorsitz die begonnenen Arbeiten wieder aufgenommen und die vorläufig erstellten Unterlagen (Merkblatt zur Meldepflicht, Meldeformulare, Ausfüllhinweise) endgültig fertig gestellt. Ziel der Arbeit war es, möglichst schnell nach Inkrafttreten der neuen Regelungen bundesweit ein einheitliches Register- und Meldeverfahren verfügbar zu machen. Seit dem Sommer des vergangenen Jahres können das Merkblatt zur Meldepflicht, die Meldeformulare und die Ausfüllhinweise aus meinem Internet-Angebot abgerufen werden.

Die Umstellung meines Registers habe ich schrittweise vorgenommen. In einem ersten Schritt habe ich die verantwortlichen Stellen, bei denen ich von einer weiterbestehenden Meldepflicht ausgehen konnte, angeschrieben und um Überprüfung ihrer Meldepflicht gebeten. In einem zweiten Schritt habe ich sodann die übrigen Registerfirmen angeschrieben und um Prüfung ihrer Meldepflicht gebeten. Diese Arbeit ist noch nicht abgeschlossen. Anzunehmen ist, dass hier weitgehend keine meldepflichtigen automatisierten Verarbeitungen vorliegen werden, so dass sich mein Register künftig nur noch auf wenige verantwortliche Stellen mit automatisierten Verarbeitungen bezieht. Dabei ist aber nicht abzusehen, ob kleine Betriebe tatsächlich nicht zur Meldung verpflichtet sind, weil bei ihnen die Ausnahmeregelungen des § 4 d Abs. 2 und 3 BDSG greifen.

14.7. Payback-Verfahren

Im letzten Jahresbericht (23. JB, Ziff. 16.3.) hatte ich über verschiedene datenschutzrechtliche Anforderungen im Zusammenhang mit dem Rabattkartenverfahren Payback berichtet. Diese Fragen betrafen neben einer datenschutzrechtlichen Gestaltung der Einverständniserklärung und der Allgemeinen Geschäftsbedingungen insbesondere die Aufklärung der Inhaber dieser Rabattkarten über die Datenverarbeitung, die Nutzer und die Nutzung dieser Daten, die Verwendung der Daten für Zwecke der Markt- und Meinungsforschung und für Werbemaßnahmen und die Möglichkeiten des Widerrufs der Einwilligung. Das Landgericht München II hat in einem Urteil vom Frühjahr 2001 meine Rechtsauffassung in wesentlichen Teilen bestätigt.

Das Rabattkartenverfahren betreibende Unternehmen unterliegt einer bayerischen Aufsichtsbehörde, die den Datenschutzaufsichtsbehörden nach einem längeren Abstimmungsprozess vor kurzem mitgeteilt hat, welche Anforderungen sie an die veranwortliche Stelle für das Payback-Verfahren stellt. Sollten der Betreiber und die angeschlossenen Partnerfirmen dieses Rabattkartenverfahrens diesen Forderungen zustimmen, so wäre auch meinen wesentlichen Kritikpunkten Rechnung getragen.

14.8. Patientendaten - Apotheken-Rechenzentren - Apotheken-CD Apotheken leiten Rezepte, die ihnen von Versicherten bei einer gesetzlichen Krankenversicherung vorgelegt werden, in der Regel nicht direkt der jeweiligen Krankenkasse zur Abrechnung zu, sondern nehmen hierfür die Dienste von hierauf spezialisierten berufsständischen oder gewerblichen Rechenzentren in Anspruch. Diese bereiten die ihnen zugeleiteten Rezeptdaten, d. h. die Identitätsdaten von Ärzten und Patienten sowie die verschriebenen Arzneimittel, elektronisch auf, bevor sie sie den jeweiligen Kassen zuordnen und zuleiten. § 300 Abs. 2 SGB V lässt dies ausdrücklich zu.

In letzter Zeit sind die Apotheken-Rechenzentren, auch das in Bremen ansässige für Apotheken in ganz Norddeutschland tätige Norddeutsche Apotheken-Rechenzentrum (NARZ), dazu übergegangen, die Rezeptdaten über den Zweck der Abrechnung mit den Kassen hinaus für andere Zwecke aufzubereiten und die neu strukturierten Daten der jeweiligen Apotheke auf CD oder im Onlineabruf zur Verfügung zu stellen. Das NARZ hatte die so genannte Apotheken-CD allein im Lande Bremen an etwa 50 Apotheken ausgeliefert. Bei einem Prüfbesuch stellte mir das NARZ die Inhalte der von ihm vertriebenen Apotheken-CD vor. Sie bietet:

- Kopien (Images) der von der jeweiligen Apotheke eingereichten Rezepte zum Zwecke der Rezeptrecherche.

- Versicherten-Datenbank mit Krankenversichertennummern, Verordnungsvolumen und Medikamentenlisten zum Zweck der Beratung der Patienten und zum Ausdruck von Medikamentenlisten zur Vorlage durch die Patienten bei Krankenkassen (Zuzahlungsbescheinigungen) und bei Finanzämtern (Nachweis von Sonderbelastungen).

- Ärzte-Datenbank mit Arztnummern und Verordnungen sowie diversen Funktionen für die Auswertung des Verschreibungsverhaltens der einzelnen Ärzte zum Zweck der Führung von Ärzte-Renn-Statistiken und der pharmazeutischen Beratung von Ärzten.

Die Apotheken, die eine solche CD bezogen, konnten mit ihrer Hilfe auf die gespeicherten Daten auch zu anderen als Abrechnungszwecken zugreifen, ohne dass die betroffenen Patienten zuvor eingewilligt hatten. Auf dem Bildschirm erschien lediglich vor Aufruf der Versicherten-Datenbank ein Hinweis darauf, dass die in ihr erfassten Daten nur mit schriftlicher Einwilligung des jeweiligen Patienten aufgerufen werden dürften und entsprechende Vordrucke auf Anforderung zugeleitet würden. In einer von mir exemplarisch überprüften Apotheke waren Einwilligungen der Kunden nicht eingeholt worden, vielmehr hatte der Apotheker den Vordruck selbst unterzeichnet und dem Rechenzentrum eingesandt.

Ein derartiges Verfahren ist rechtswidrig. Bereits 1999 hatten die obersten Aufsichtsbehörden für den Datenschutz festgestellt, dass die Apotheken und ihre Rechenzentren die Rezeptdaten nur für die Abrechnung mit den Krankenkassen verarbeiten dürfen, für andere Zwecke dagegen bedürfte es der Einwilligung der Betroffenen. Meinem Hinweis auf die Rechtslage entgegnete das NARZ, es stehe im Wettbewerb zu anderen Rechenzentren, die den Apotheken entsprechende Angebote machten, ohne dass die zuständigen Aufsichtsbehörden gegen diese vorgegangen seien. Diese Sachlage veranlasste mich dazu, nicht nur dem NARZ gegenüber, sondern auch bundesweit mit dem Ziel tätig zu werden, möglichst einvernehmlich sowohl eine für die Versicherten datenschutzkonforme als auch für die Rechenzentren und Apotheken akzeptable Lösung wie folgt zu erreichen:

Ich erklärte mich bereit, in Bremen den weiteren Vertrieb einer in Inhalten und Funktionen reduzierten CD vorübergehend zu tolerieren, zugleich drang ich aber darauf, dass das NARZ ein Verfahren entwickeln solle, das technisch und organisatorisch sicherstellt, dass die Betroffenen über die Nutzung ihrer Rezeptdaten zu anderen als den gesetzlich festgelegten Zwecken selbst entscheiden können.

Dem ist das NARZ nachgekommen. Zwar vertreibt das NARZ weiterhin CD mit Rezeptdaten, ohne dass die Betroffenen zuvor in die Speicherung ihrer Daten auf der CD eingewilligt hätten. Bevor aber der Apotheker die CD auslesen kann, muss zunächst der Betroffene seine Krankenversichertenkarte durch einen Kartenleser gezogen haben. Dann erscheint auf dem Bildschirm eine Maske, in die differenziert die Einwilligung des Patienten in jede einzelne der Funktionen der CD eingetragen werden kann. Diese Erklärung soll ausgedruckt und vom Patienten unterzeichnet werden. Nachdem schließlich der Apotheker die Abgabe der Einwilligung bestätigt, kann er die entsprechenden Funktionen und Inhalte aufrufen.

Auf diese Weise erhält der Patient Gelegenheit, nur die ihm nützlich erscheinenden Funktionen zu erlauben (z. B. Rezeptrecherche oder Ausdruck einer Zuzahlungsbescheinigung für seine Krankenkasse). Zugleich bemühte ich mich bundesweit im Düsseldorfer Kreis um eine Zustimmung der anderen obersten Aufsichtsbehörden zu dem mit dem NARZ abgestimmten Verfahren mit dem Ziel, dass die anderen Aufsichtsbehörden, in deren Zuständigkeitsgebiet ein Apotheken-Rechenzentrum seinen Sitz hat, ein vergleichbares Verfahren durchzusetzen versuchen. Eine Einigung ist bislang nicht gelungen. Zwar teilt die Mehrheit des Düsseldorfer Kreises meine Rechtsauffassung und ist z. B. in Bayern ein vergleichbares Verfahren zwischen Rechenzentrum und Aufsichtsbehörde abgestimmt worden, doch fand zugleich die Forderung nach Verbesserung und Konkretisierung des vom NARZ entwickelten Verfahrens Unterstützung. Darüber hinaus vertreten der Bundesbeauftragte für den Datenschutz und die Aufsichtsbehörde Nordrhein-Westfalen die Auffassung, auch die Einwilligung der Betroffenen könne die Nutzung ihrer Rezeptdaten für die CD nicht legitimieren.

Zuvor hatte ich im Auftrag des Düsseldorfer Kreises an das Bundesministerium für Gesundheit die Frage gerichtet, ob es der Rechtsauffassung zustimme, die in Rede stehende Verarbeitung von Rezeptdaten sei rechtswidrig, könne aber durch Einwilligung der Betroffenen legitimiert werden. Das Ministerium hatte dem unter Hinweis auf das informationelle Selbstbestimmungsrecht der Betroffenen zugestimmt. Inzwischen hat jedoch der Bundesbeauftragte für den Datenschutz das Ministerium gebeten, seine Stellungnahme unter Hinblick auf die strikte Ablehnung kommerzieller Verwertung von Rezeptdaten seitens der französischen Datenschutzaufsichtsbehörde CNIL zu überdenken.

Zugleich hatte ich - ebenfalls im Auftrag des Düsseldorfer Kreises - die Bundesvereinigung Deutscher Apothekenverbände (ABDA) und die Bundesapothekerkammer angeschrieben, sie auf die Rechtswidrigkeit der Praxis vieler berufsständischer Apotheken-Rechenzentren hingewiesen, Rezeptdaten ohne Einwilligung der Betroffenen auf CD zu speichern und an Apotheken zu vertreiben. Die ABDA hatte hierauf erwidert, sie erachte die kritisierte Praxis mit Hinblick auf die öffentlichen Aufgaben der Apotheken zur Sicherstellung einer ordnungsgemäßen Arzneimittelversorgung der Bevölkerung für rechtmäßig, hat aber Gesprächsbereitschaft signalisiert.

Kürzlich hat mir das NARZ erbetene Ergänzungen und Konkretisierungen des von ihm entwickelten Verfahrens zugeleitet. Diese habe ich allen am Verfahren Beteiligten zugeleitet. Ich erkenne zwar an, dass Schutznormen nicht durch eine einfache Einwilligung ausgehebelt werden können. Ich strebe aber weiterhin an, dass die Aufsichtsbehörden mit den Apotheken-Rechenzentren bzw. der ABDA ein Verfahren abstimmen, das eine Nutzung der auf den CD gespeicherten Rezeptdaten von der Einwilligung der jeweils Betroffenen abhängig macht, zumal die Zugriffe der Apotheken in vielen Fällen im Interesse der Betroffenen liegen dürften und von diesen gesteuert werden können. Ich glaube, davon ausgehen zu können, dass das vom NARZ entwickelte und modifizierte Verfahren nunmehr von allen Beteiligten akzeptiert wird. Andernfalls muss der Gesetzgeber Öffnungsklauseln für anerkannte Zwecke schaffen.

14.9. Datenabruf der Finanzämter bei den Firmen

Am 1. Januar 2002 ist die neue Bestimmung des § 147 Absatz 6 AO (Abgabenordnung) in Kraft getreten. Über diese Rechtsvorschrift habe ich bereits berichtet (23. JB, Ziff. 12.2.) und darauf hingewiesen, dass die Betriebe verpflichtet sind, ihre DV so zu gestalten, dass eine Trennung von steuerrechtlich relevanten Daten und anderen Daten gewährleistet ist. Den Steuerbehörden sind nur die Daten zur Verfügung zu stellen, die steuerrechtlich relevant sind. So haben die verantwortlichen Stellen sicherzustellen, dass die Daten von Kunden und Mitarbeitern, soweit sie für die Steuerverarbeitung nicht vorzuhalten sind, auch ihr nicht übermittelt werden. Mir ist bekannt, dass diese datenschutzrechtlichen Vorkehrungen in vielen Betrieben noch nicht getroffen worden sind bzw. ihnen keine Buchhaltungssoftware zur Verfügung steht, die dieses umsetzt.

14.10. Ausgewählte Prüfergebnisse im nicht öffentlichen Bereich

Neben meiner Beratungstätigkeit (die in diesem Jahr wegen des neuen BDSG und der Neuregelungen in weiteren Rechtsbereichen wie z. B. dem TDG/TDDSG, zugenommen hat) und der Bearbeitung von Eingaben und Beschwerden (so genannte Anlassprüfungen) habe ich auch in diesem Jahr wieder mehrere systematische Datenschutzprüfungen mit einem bestimmten Prüfansatz durchgeführt (weitere Prüfungen unter Ziff. 2. dieses Berichts). Einige Prüfungen fanden noch nach alter Rechtslage (BDSG) statt, die Mehrzahl der Prüfung basierte auf dem novellierten BDSG.