Von Hannes Munzinger, Pia Ratzesberger und Hakan Tanriverdi

Es fällt erst einmal nichts in dieser Apotheke auf. Die üblichen Regale, die üblichen Medikamente. Aspirin, Voltaren, Hustenbonbons. Vorne dann drei blaue Kassen und eine Frau im weißen Kittel. Die Apothekerin scannt gerade ein Rezept für eine Creme mit dem Namen Advantan ein. Wirkstoff Methylprednisolonaceponat. Die blaue Kasse sollte dieses Rezept vergessen, sie sollte sich nicht mehr an den Namen des Kunden erinnern und auch nicht an sein Geburtsdatum. Doch die Kasse wird sich erinnern.

Wer mit einem Rezept in diese Apotheke kommt, dessen Daten bleiben gespeichert. Die Inhaberin vermutet, dass viele Apotheken im Land das gleiche Problem haben, auch wenn sie vielleicht noch nichts davon wissen. Die Apothekerin nutzt ein Programm der Firma ADG, einem der größten Hersteller für Apotheken-Software in Deutschland. Ihre Vermutung legt den Verdacht nahe, dass Daten von Millionen Menschen unzulässig gespeichert werden - und die Apotheker wenig dagegen tun können. Es sind Vorwürfe, denen nun auch das Bayerische Landesamt für Datenschutzaufsicht nachgeht.

Die Apothekerin mit den blauen Kassen kann nach einem halben Jahr noch immer nachsehen, welcher Kunde wann eine bestimmte Creme gekauft hat. Sie muss auf ihrem Computer nur den Namen eines Medikaments eingegeben und schon listet der Rechner alle Verkäufe der vergangenen Monate auf, mit Vorname, Nachname, Anschrift, Geburtsdatum und Krankenkasse. In einer Zeile steht dann zum Beispiel "Text: Hans Meier". Das Wort "Text" ist der Hinweis darauf, dass Hans Meier kein Kundenkonto hat, sondern sich die Kasse den Namen vom Rezept gespeichert hat - und Hans Meier davon vermutlich keine Ahnung hat.

Der Softwarehersteller weist alle Schuld von sich

Die Software von ADG soll Apothekerinnen wie Kristine Fritsch das Leben eigentlich einfacher machen. Doch als sie sich im Frühjahr dieses Jahres um die Einhaltung der neuen Datenschutzgrundverordnung kümmern wollte und ihre Kundenkonten durchging, fiel ihr auf, dass mit der Software etwas nicht stimmen könne - und sie viel mehr speichert als erlaubt ist. In ihrer Datei fand Fritsch, die eigentlich anders heißt, etwa 8650 Kunden. Ungefähr das Vierfache ihrer Stammkunden. Fritsch fragte sich, wem all die anderen Konten gehören. "Ich habe mich mit meinem Mitarbeiter kurz ins System reingehängt. Es war erschreckend einfach."

Hinter dem Verkaufstresen sitzt gerade ein Professor aus Bamberg. Dominik Herrmann forscht und lehrt zu Datenschutz und Informationssicherheit. Heute will er herausfinden, ob Kristine Fritsch ihre Software überhaupt korrekt betreiben könnte. Nach kurzem Suchen im unverschlüsselten Apothekennetzwerk findet er ein Passwort für das Innerste der Software. Und dort: Kundendaten über Kundendaten, die eigentlich gelöscht sein sollten.

Der Softwarehersteller ADG weist alle Schuld von sich: "Selbstverständlich können nicht (mehr) benötigte Daten auch von der Apotheke gelöscht werden, wobei jedoch ein abgestuftes Löschkonzept zum Tragen kommt", teilt das Unternehmen auf Nachfrage mit. Es bestünden "zahlreiche gesetzliche Dokumentations- und Aufbewahrungspflichten für Apotheken", etwa aus dem Steuerrecht, der Arzneimittelsicherheit oder dem Betäubungsmittelgesetzt. Nach Ablauf der gesetzlichen Aufbewahrungsfristen würden die personenbezogenen Daten jedoch "irreversibel durch anonyme Daten überschrieben".

Zwei Wege, um Kunden zu "löschen" - beide sind heikel

Auf Bitten der Süddeutschen Zeitung untersuchte Dominik Herrmann dasselbe System in einer weiteren Apotheke. Auch dort stieß er auf mehrere, ähnlich fragwürdige Vorgänge.

Es gebe zwei Wege, um Kunden zu "löschen". In Variante eins verschwinden die Kunden aus der Anzeige. Allerdings kann man sie mit einem Klick wieder zurückholen. In der zweiten, vermeintlich DSGVO-konformen Variante lassen sich die Kunden nicht reaktivieren. In der Datenbank bleiben sie aber trotzdem gespeichert.

Als Kristine Fritsch die Apotheke von einer Vorgängerin übernimmt, fragt die bei ihren Kunden nach, ob sie Stammkunden bleiben wollen. Nur ein kleiner Teil stimmt zu. Die Firma ADG wird daraufhin beauftragt, die Datenbank entsprechend zu bereinigen. "ADG hätte die Aufgabe gehabt, die Datenbank ordentlich neu aufzusetzen", sagt Herrmann. "Das wäre aber ein erheblicher Programmieraufwand gewesen, um dem man sich gedrückt hat". Etwa 7000 versteckte Kunden ihrer Vorgängerin bekommt Frau Fritsch übermittelt, entgegen rechtlicher Bestimmungen.

Die Software von ADG speichert viel mehr als sie sollte, sie erfasst zum Beispiel auch Daten von Kunden, die nur einmal vorbeikommen. Wird das Rezept beim Besuch der Apotheke eingescannt, passiert das mit einer Kamera, die den Text automatisch verarbeitet. Apothekern müssen die Adresse dann nicht mehr mit der Hand eintippen, doch die Informationen bleiben gespeichert.

Möglicher Konflikt mit der DSGVO

Die Kamera erfasst unter anderem die Pharmazentralnummer, die jedem Medikament zugeordnet ist, Vorname, Nachname, Anschrift, Geburtsdatum und Krankenkasse. Grundsätzlich müssen Apotheker solche Daten von Kassenpatienten erfassen, um die Medikamente abrechnen zu können. Die Apotheker scannen die Rechnungen separat ein und schicken sie an das Apotheken-Rechenzentrum. Dazu müssen die Informationen aber nicht in einer Datenbank gespeichert bleiben und solange die Kunden nicht zustimmen, dürfen sie das auch nicht. Die ADG-Software speichert die Daten offenbar trotzdem ab. Bernhard Witt, Experte für Datenschutz und Informationssicherheit, sieht hier einen Konflikt mit dem Prinzip der Datenminimierung der DSGVO, wonach so wenig wie nötig gespeichert werden soll. Vor allem, wenn Privatpatienten ihre Rezepte nur vorlegen und dann selbst bezahlen.

Kristine Fritsch beschwerte sich wiederholt bei ADG und wandte sich an das Bayerische Landesamt für Datenschutz.

Das Landesamt für Datenschutz beteuert, dass das Thema "sehr hoch aufgehängt" sei. Das Amt könne einen datenschutzkonformen Zustand der Software erzwingen, im Zweifel auch Bußgelder verhängen. Noch prüfe man die Darstellungen aller Beteiligten. Anfang 2019 gebe es Antworten. Ein Dreivierteljahr nach Einführung der DSGVO.