E-Rezept & GDPR: Was jede deutsche Apotheke wissen muss (2026)
Viele Apothekenteams vertrauen darauf, dass ihr AVS die technischen Anforderungen erfüllt. Weniger klar ist häufig die rechtliche Seite: Welche Vorschriften greifen konkret? Sind bestehende Verträge DSGVO-konform? Was bedeutet die 100-Tage-Speicherung praktisch? Und welche Rolle spielt die elektronische Patientenakte (ePA)?
Dieser Leitfaden erläutert die wesentlichen DSGVO-Pflichten Ihrer Apotheke im Zusammenhang mit dem E-Rezept in verständlicher und praxisnaher Form.
Warum das E-Rezept ein Datenschutzthema ist
Verordnungsdaten sind Gesundheitsdaten. Gesundheitsdaten zählen nach Art. 9 DSGVO zu den besonders sensiblen personenbezogenen Daten. Für die Praxis bedeutet das: Allgemeine Rechtsgrundlagen wie berechtigte Interessen reichen regelmäßig nicht aus. Für die Verarbeitung ist eine spezifische Rechtsgrundlage erforderlich, die die Verarbeitung von Gesundheitsdaten ausdrücklich erlaubt. Jedes Mal, wenn Ihre Apotheke ein E-Rezept verarbeitet, verarbeiten Sie Daten im Sinne des Art. 9 DSGVO.
Ihre Rechtsgrundlage für die Verarbeitung von E-Rezept-Daten
Apotheken stützen die Verarbeitung typischerweise auf zwei Ebenen:
Art. 9 Abs. 2 lit. h DSGVO — Gesundheitsversorgung
Die Verarbeitung von Gesundheitsdaten ist zulässig, wenn sie für die Versorgung im Gesundheitswesen erforderlich ist. Dazu zählt die Abgabe verschreibungspflichtiger Arzneimittel.
§ 22 BDSG — Nationale Ergänzung
Zusätzlich konkretisiert § 22 BDSG die Verarbeitung besonderer Kategorien personenbezogener Daten im deutschen Recht. Gemeinsam bilden beide die maßgebliche Grundlage.
Für die reguläre Rezeptbelieferung ist grundsätzlich keine gesonderte Einwilligung erforderlich. Anders kann es bei Zwecken außerhalb der Versorgung sein (z.B. personalisierte Werbung).
Der Auftragsverarbeitungsvertrag mit Ihrem AVS-Anbieter
Wenn ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, ist regelmäßig ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich.
Was ist ein AVV?
Ein AVV regelt unter anderem: welche Daten verarbeitet werden, zu welchem Zweck, welche Sicherheitsmaßnahmen bestehen und wie mit Datenschutzvorfällen umzugehen ist.
Mit wem kann ein AVV erforderlich sein?
AVS-Anbieter, Cloud-Dienstleister mit Patientendatenbezug, IT-Dienstleister mit Systemzugriff, Kommunikations- oder Vorbestellsysteme (z.B. App, Click & Collect).
Speicherfristen: Die 100-Tage-Regel
Für Daten im zentralen E-Rezept-Fachdienst gelten laut gematik definierte Löschfristen:
- Eingelöste E-Rezepte: Speicherung für 100 Tage nach Einlösung, anschließend automatische Löschung (gematik).
- Nicht eingelöste E-Rezepte: Löschung nach Ablauf definierter Fristen.
- Ergänzende Abgabedaten können innerhalb der vorgesehenen Speicherprozesse berücksichtigt werden.
Die Löschung im Fachdienst erfolgt zentral. Davon zu unterscheiden sind lokale Daten im AVS (für Abrechnung, Dokumentation), die eigenen Fristen unterliegen.
Die Verbindung zur ePA
Seit Einführung der elektronischen Patientenakte (ePA) werden Informationen aus dem Verordnungsprozess automatisch in die ePA kopiert, es sei denn, die Patientin oder der Patient widerspricht aktiv (Opt-out). Ihr Team sollte erklären können, dass unterschiedliche Systeme (Fachdienst vs. ePA) getrennt voneinander arbeiten und individuelle Einstellungen in der ePA relevant sind.
Ihre DSGVO-Pflichten im Überblick
| Pflicht | Bedeutung für Ihre Apotheke |
|---|---|
| Art. 9 DSGVO | Gesundheitsdaten benötigen eine besondere Rechtsgrundlage (Art. 9 Abs. 2 lit. h + §22 BDSG). |
| Art. 28 DSGVO | Prüfung und Abschluss eines AVV mit IT- und Softwaredienstleistern. |
| Art. 13/14 DSGVO | Transparente Datenschutzinformationen vor Ort und online. |
| Art. 32 DSGVO | Technische und organisatorische Maßnahmen (z.B. verschlüsselte Datenübertragung, sichere Arbeitsplätze). |
| Art. 35 DSGVO | Prüfung einer DSFA bei risikoreichen Verarbeitungen. |
| Art. 37 DSGVO / §38 BDSG | Prüfung, ob ein/e Datenschutzbeauftragte/r erforderlich ist (meist ab 20 MA oder bei sensibler Kerntätigkeit). |
Technische und organisatorische Maßnahmen (TOM)
Art. 32 DSGVO verlangt angemessene Schutzmaßnahmen für personenbezogene Daten.
Technische Maßnahmen
Aktuelle TI-Anbindung, verschlüsselte Datenübertragung, rollenbasierte Zugriffsrechte, gesicherte Arbeitsplätze (Bildschirmsperren), Software-Updates.
Organisatorische Maßnahmen
Mitarbeiterschulungen, dokumentierte Löschregeln, Datenschutzhinweise, Prozesse für Auskunftsanfragen und Datenschutzvorfälle.
Häufige Fragen
Ist das E-Rezept-System selbst DSGVO-konform?
Ja, das zentrale System wurde innerhalb des geltenden Rechtsrahmens entwickelt. Für Ihre Apotheke bleibt entscheidend, dass die lokalen internen Prozesse korrekt umgesetzt sind.
Darf ich Verordnungsdaten für Marketingzwecke nutzen?
Ohne gesonderte tragfähige Rechtsgrundlage und ausdrückliche Einwilligung grundsätzlich nicht. Hier bestehen hohe rechtliche Anforderungen.
Was passiert bei einem Datenschutzvorfall?
Bei meldepflichtigen Datenschutzverletzungen kann eine Meldung an die zuständige Landesdatenschutzbehörde innerhalb von 72 Stunden erforderlich sein. Ggf. müssen Betroffene informiert werden.
Ein Patient verlangt Löschung seiner Daten. Was nun?
Löschansprüche bestehen, können aber durch gesetzliche Aufbewahrungspflichten (z.B. ApBetrO, Abrechnung) eingeschränkt sein. Jede Anfrage sollte einzeln geprüft werden.
Über Mediloon
Mediloon ist ein Healthtech-Unternehmen mit Sitz in Leipzig und entwickelt digitale Infrastruktur für deutsche Apotheken — darunter E-Rezept-Integration, Apotheken-Apps, Click & Collect, Botendienst-Koordination und den KI-Assistenten Medi. Dieser Beitrag ist Teil der Mediloon-Leitfadenreihe zur Digitalisierung im Apothekenwesen. Er dient allgemeinen operativen und regulatorischen Informationen. Bei konkreten Rechts- oder Compliance-Fragen zum Einsatz von KI-Systemen in Ihrer Apotheke empfiehlt sich die Rücksprache mit Ihrer zuständigen Apothekerkammer oder qualifizierter Rechtsberatung.