Um an Plattformen wie ApoApp oder ApoScout teilnehmen zu können, müssen Apotheken Daten an deren Betreiber weitergeben, was mit Pflichten über den eigentlichen Vertrag hinaus verbunden sein kann. Zwei Experten erklären, warum das mitunter heikel ist und worauf es bei der Unterzeichnung ankommt.  

Digitale Anwendungen wie ApoApp oder ApoScout bieten Apotheken eine auf den ersten Blick unkomplizierte Möglichkeit, ihr Angebot zu erweitern. Die Verträge mit den Betreibern sind rasch unterzeichnet, sollten aber vor allem in Bezug auf Datenschutzbestimmungen und mögliche Haftung bei Verstößen gründlich geprüft werden. Worauf Apotheken dabei achten sollten, hat PharmaTime mit zwei auf Datenschutz und Cybersecurity spezialisierten Anwälten besprochen: Sascha Jung und Clemens Stadler von Deloitte Legal Österreich.

Das zentrale Problem ist schnell umrissen: Wenn Apotheken Bestandsdaten, d.h. ihren aktuellen Lagerstand, über eine Schnittstelle in der Apothekensoftware an Apps wie ApoScout oder ApoApp bzw. die dahinterliegende Versorgungsplattform der Österreichischen Apothekerkammer übermitteln oder wenn Kundinnen und Kunden über die Apps Medikamente suchen und reservieren, entstehen verschiedene Datenarten, die teils rechtlich geschützt sind. Diese werden in weiterer Folge von unterschiedlichen Akteuren verarbeitet: der Apotheke selbst, dem Betreiber der App oder allfälligen weiteren Datenempfängern (wie z.B. Versanddienstleistern).

Geht es um personenbezogene Daten, etwa bei Reservierungen oder Käufen im Namen eines Kunden, greift die EU-Datenschutzgrundverordnung (DSGVO), die bei Verstößen empfindliche Strafen vorsieht. Der Vertrag mit dem App-Betreiber muss daher genau regeln, welcher Akteur welche Daten zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet bzw. weitergibt – sofern dies erfolgt. Weiters muss geklärt sein, wie die Rollenverteilung und Verantwortung für diese Daten untereinander geregelt ist.

Gemeinsame Verantwortlichkeit

„Bestandsdaten sind grundsätzlich geschützt, es besteht eine eigentümerähnliche Hoheit über sie“, erklärt Sascha Jung. „Dritte dürfen mit ihnen nur das tun, was vertraglich vereinbart wurde.“ Wer die Daten nach Übermittlung an die App bzw. den App-Betreiber nutzen darf und wozu, entscheidet die Ausgestaltung des Teilnahmevertrags, präzisiert Jung. Und stellt klar:

Sobald ich jemandem die Nutzungsrechte an meinen Bestandsdaten uneingeschränkt überlasse, verzichte ich auf den rechtlichen Schutz.

Hon.-Prof. (FH) Mag. Sascha Jung, LL.M. LL.M.
Rechtsanwalt, Partner und Leiter des Teams für Data Protection, Cybersecurity,
IP/IT und Media bei Deloitte Legal Österreich

Eine solche Entscheidung will gut überlegt sein – erst recht, wenn personenbezogene Daten Dritter ins Spiel kommen, die die DSGVO besonders schützt. Diese Daten könnten etwa – wie erwähnt – bei der Reservierung von Medikamenten (aktuell in der ProVersion der ApoScout-App) oder in möglichen zukünftigen Ausbaustufen der Apps auch anderweitig entstehen.

Die Verarbeitung personenbezogener Daten bringt bestimmte rechtliche Pflichten mit sich. Apotheken sollten genau abwägen, ob sie diese Verantwortung übernehmen wollen.

Mag. Clemens Stadler, LL.M.
Rechtsanwalt im Team für Data Protection, Cybersecurity, IP/IT und Media bei Deloitte Legal Österreich

Werden personenbezogene Daten verarbeitet, müsse zudem die Rollenverteilung zwischen App-/Plattform-Betreiber und Apotheke vor Vertragsabschluss eindeutig geklärt sein, so Stadler: „Wenn beide für die Datenverarbeitung gemeinsam verantwortlich sind, haften auch beide bei etwaigen Verstößen gegen die DSGVO.“

Zusatzvertrag nötig

Eine gemeinsame Verantwortlichkeit liege laut Gesetz vor, „wenn zwei oder mehrere Verantwortliche gemeinsam die Zwecke und (wesentlichen) Mittel einer Verarbeitung personenbezogener Daten festlegen“, erläutert Jung. Das letzte Wort bei der Auslegung dieser Bestimmung habe der Europäische Gerichtshof (EuGH). „Und der interpretiert den Begriff der ,gemeinsamen Verantwortlichkeit´ weit, um Betroffenen möglichst viele Ansprechpartner und Schutzmöglichkeiten zu bieten.“

Gemäß DSGVO müssten App-Betreiber und Apotheke bei Vorliegen einer solchen gemeinsamen Verantwortlichkeit zusätzlich zum Teilnahmevertrag zwingend einen „Vertrag über die gemeinsame Verantwortlichkeit“ abschließen, informiert Stadler – und zwar, bevor der erste Kunde in der App reserviert. „Andernfalls begeht man als gemeinsam Verantwortlicher bereits den ersten Verstoß.“ Für diesen Zusatzvertrag gebe es keine Formvorschriften, es müssten aber bestimmte Inhalte geregelt sein und die App-Kunden zumindest grob über die Bestimmungen aufgeklärt werden.

Eine „Mithaftung“ der Apotheke für Datenverarbeitungen könne sich allerdings nicht nur aus einer „gemeinsamen Verantwortlichkeit“ ergeben, ergänzen die beiden Experten, sondern auch bei Vorliegen eines Auftragsverarbeiterverhältnisses, sprich, wenn der App-Betreiber als Dienstleister („Auftragsverarbeiter“) der Apotheke zu qualifizieren sei. „Keine Mithaftung besteht hingegen, wenn sich Apotheke und App-Betreiber als zwei selbstständige, voneinander unabhängige datenschutzrechtliche Verantwortliche gegenüberstehen.“ 

Auskunftsrechte

Will man prüfen, ob Daten vertragswidrig genutzt oder weitergegeben wurden, kann man gegenüber dem App-Betreiber entsprechende Auskunftsrechte geltend machen. Geht es um personenbezogene Daten, besteht ein Auskunftsanspruch gemäß DSGVO, bei Bestandsdaten kommt es auf entsprechende Bestimmungen im Teilnahmevertrag an. „In der Praxis kann die Durchsetzung solcher Ansprüche schwierig sein“, geben Jung und Stadler zu bedenken, „insbesondere dann, wenn Daten nur in aggregierter Form verarbeitet wurden und sich nicht mehr einzelnen Apotheken zuordnen lassen.“

Wurden Daten tatsächlich unrechtmäßig verwendet oder hat der App-Betreiber aus ihrer Verwendung ohne Zustimmung einen wirtschaftlichen Vorteil gezogen, bleibt theoretisch der Klageweg. „In der Praxis ist Derartiges schwer zu beweisen. Meist bleibt nur die Kündigung des Teilnahmevertrags“, sagt Jung, wenngleich es wohl auch einen entsprechenden Imageschaden für den Betreiber bedeuten könnte. Ob und wann die an die App übermittelten Bestandsdaten nach einer Kündigung gelöscht würden, sollte aus dem Teilnahmevertrag hervorgehen. Fehle eine entsprechende Regelung, könne die Apotheke die Löschung verlangen und notfalls einklagen, ergänzt Stadler. Die Löschung personenbezogener Daten ist durch die DSGVO geregelt.

„Genau abwägen und prüfen“

Zusammenfassend geben die Experten Apothekerinnen und Apothekern mit auf den Weg, sich bei Vertragsabschluss nicht darauf zu verlassen, dass „schon alles passen“ werde. Es gelte, Vor- und Nachteile der App-/Plattform-Teilnahme abzuwägen, die vertraglichen Bedingungen genau zu prüfen, sich rechtlich abzusichern – und, wenn nötig, juristischen Rat mit Fokus auf Datenschutz und IT-Recht einzuholen.

„Wichtig ist, dass man sich mit dem Vertrag nicht um eigene Rechte bringt oder zu viele Rechte aus der Hand gibt. Die eigenen Daten sollten uneingeschränkt nutzbar bleiben“, raten Jung und Stadler. Darüber hinaus sollten vor der Unterzeichnung zumindest folgende Fragen geklärt sein:

• Verstehe ich den Vertrag vollständig?
• Welche Daten werden durch die Nutzung der App generiert, verarbeitet oder weitergegeben (Bestandsdaten, personenbezogene Kundendaten, Mitarbeiterdaten usw.)?
• Darf ich diese Daten in der geforderten Form weitergeben? Wer hat in weiterer Folge Zugriff darauf, und was wird damit gemacht? 
• Entstehen durch die Datenweitergabe zusätzliche Pflichten außerhalb des Teilnahmevertrags, z.B. Informationspflichten gegenüber Kunden?
• Wie ist die Rollenverteilung bei der Verarbeitung personenbezogener Daten geregelt (wichtig bei Verstößen gegen die DSGVO)? Sind alle nötigen Zusatzverträge abgeschlossen? 
• Wird von mir verlangt, für die Richtigkeit der gelieferten Daten zu haften? (Anm.: Wenn einem Akteur ein Schaden entsteht, weil etwa die Bestandsdaten der Apotheke aus irgendeinem Grund falsch oder kompromittiert waren, könnte diese dafür haften.)
• Ist/bleibt die Teilnahme entgeltlich oder unentgeltlich?
• Was geschieht bei Vertragsänderungen, etwa durch die Freischaltung neuer App-Funktionen? (In diesem Fall reicht laut Jung und Stadler formalrechtlich eine Checkbox in den Einstellungen der App, wenn die genauen Bestimmungen in einer Fußnote oder ähnlichem nachlesbar sind.)
• Wie lange läuft der Vertrag, welche Kündigungsbedingungen und -fristen gelten?
• Was passiert mit den Daten nach Vertragsende?
• Und nicht zuletzt: Welchen wirtschaftlichen Nutzen hat meine Teilnahme für den Betreiber?