Auch in Apotheken und Arztpraxen werden eine Vielzahl an Kunden- bzw. Patientendaten verarbeitet. Im Gegensatz zu 1&1 liegt hier allerdings der Schwerpunkt in der Verarbeitung besonders sensibler Gesundheitsdaten. Nicht grundlos wurden diese vom Gesetzgeber als besondere Kategorien von Daten gemäß Art. 9 DS-GVO eingestuft. Jene Gesundheitsdaten bedürfen daher einem ganz besonders hohen Schutz. Um dieses Schutzniveau gewährleisten zu können, sollten gerade auch bei der Entgegennahme von Telefonaten Maßnahmen definiert werden, die geeignet sind, um einen Anrufer eindeutig identifizieren zu können. In anderen Worten: Wenn die Abfrage von Name und Geburtsdatum bei einem Anbieter für Telekommunikationsdienstleistungen für „zu einfach“ befunden wird, dann gilt dies für Einrichtungen mit einem hochsensiblen (Gesundheits-) Datenbestand allemal. Aus diesem Grund sollten Apotheken und Arztpraxen klar definieren, welche konkreten Maßnahmen ergriffen werden, um eine Identifizierung des Anrufers sicherzustellen. Die jeweiligen Maßnahmen sollten selbstverständlich auch mit dem Team besprochen und idealerweise schriftlich festgelegt werden. Dies gilt natürlich nur für diejenigen Fälle, in welchen auch etwaige personenbezogene Abfragen durch den Anrufer beabsichtigt sind. Sofern sich etwa ein Kunde über die allgemeinen Öffnungszeiten der Apotheke erkundigt, spielt die zugrundeliegende Thematik nur eine untergeordnete Rolle.

Es stellt sich die Frage, mit welchen Maßnahmen eine zuverlässige Anruferidentifizierung umgesetzt werden kann. Dabei kommen grundsätzlich mehrere Maßnahmen in Betracht. So können etwa kombinierte Abfragen mehrerer Informationen eine möglichst eindeutige Identifizierung ermöglichen. Selbstverständlich sollten entsprechende Kombinationen der Abfragen deutlich über das Abfrageniveau von Name und Geburtsdatum hinausgehen. Immer häufiger werden mit Anrufern vorab auch spezielle Code- oder Passwörter vereinbart, die geeignet sind, die Identität – ähnlich wie bei einer PIN-Anfrage – verhältnismäßig zuverlässig festzustellen. Dies wird im Übrigen mittlerweile auch durch 1&1 praktiziert. Bestehen nach Beantwortung der genannten Sicherheitsfragen oder auch während des Gespräches dennoch ernstzunehmende Zweifel an der Identität des Anrufers, so sollten keine personenbezogenen Informationen herausgegeben und auf persönliches Erscheinen oder eine alternative Authentifizierungsmethode bestanden werden. Der Fall 1&1 zeigt, wie sensibel das Telefon als Kommunikationsmittel zu sehen ist und wie hoch die damit einhergehenden Anforderungen sind. Daher sollten in jeder medizinischen oder pharmazeutischen Einrichtung klare und vor allem zuverlässige Regeln zur Identifizierung von Anrufern definiert werden.

Letzte Aktualisierung: 12.03.2020 (ls)