· Nachricht · Datenschutz
Bonpflicht: Kassenbons in der Apotheke besser nicht mehr personalisieren
| Seit dem 01.01.2020 gilt die neue Kassenbon-Pflicht. In dem Gesetz zum Schutz vor Kassenmanipulationen ist geregelt, dass über jeden Geschäftsvorgang in unmittelbarem zeitlichem Zusammenhang ein Beleg auszustellen und dem Kunden zur Verfügung zu stellen ist (Belegausgabepflicht). Für Apotheken ergibt sich ein datenschutzrechtliches Problem, wenn die Bons personalisiert sind. Personalisierte Bons enthalten besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DS-GVO, da dem Namen und ggf. der Anschrift des Patienten eine Medikation zugeordnet wird. Diese Daten sind besonders schutzwürdig. Daraus folgt, dass in der Apotheke verbliebene personalisierte Bons von der Apotheke datenschutzkonform zu vernichten sind. Das kann die Apotheke vermeiden, indem sie keine personalisierten Bons erstellt. |
Verliert der Kunde einen personalisierten Kassenbon in der Apotheke oder lässt er den Bon bewusst oder versehentlich in der Apotheke liegen, verbleiben diese sensiblen Daten im Hoheitsbereich der Apotheke als datenschutzrechtlich verantwortlicher Stelle. Liegt in der Offizin ein solcher personalisierter Bon und wird dies moniert, trifft den Apothekeninhaber oder die Apothekeninhaberin die Beweislast, dass ihn oder sie daran kein Verschulden trifft. Personalisierte Bons sollten daher unbedingt datenschutzkonform vernichtet werden, wenn sie in der Apotheke verbleiben. Das kann durch Schreddern per Aktenvernichter geschehen oder durch die Nutzung verschlossener Datentonnen eines professionellen Entsorgungsunternehmens. Aktenvernichter zur Vernichtung sensibler personenbezogener Daten müssen gemäß DIN-Norm 66399 mindestens Schutzklasse 3, Sicherheits-/Zerkleinerungsstufe 4 entsprechen, was insbesondere bei Neuanschaffungen berücksichtigt werden sollte. Bei der Nutzung von Datentonnen ist darauf zu achten, dass vom Entsorgungsunternehmen ein Entsorgungsbeleg zur Verfügung gestellt wird, der die datenschutzkonforme Vernichtung bestätigt. Gleichzeitig handelt es sich regelmäßig um eine Auftragsverarbeitung, die über eine entsprechende Vereinbarung gemäß Art. 28 DS-GVO zu regeln ist.
Die datenschutzrechtliche Verantwortung der Apotheke endet, wenn der Kunde die Apotheke mit dem Bon verlassen hat. Dann ist es Angelegenheit des Kunden, wie er mit dem Bon umgeht, ob er ihn verwahrt, vernichtet oder einfach wegwirft.
MERKE | Die datenschutzrechtlichen Anforderungen ergeben sich aus der Kombination von personenbezogenen Daten des Kunden und der Medikation. Werden Bons nicht personalisiert, finden die Datenschutzbestimmungen keine Anwendung. Sofern der Bon lediglich Arzneimittel, Medikation, Preis, Datum und Uhrzeit sowie den Namen und die Anschrift der Apotheke enthält, liegen keine schutzbedürftigen personenbezogenen Daten vor. In diesem Fall sind keine besonderen Anforderungen an die Entsorgung zu stellen. |
Quelle
- Apothekerkammer Berlin
