Praxis

C. KruseDer Datenschutzbeauftragte in der Apotheke

Ankündigungen auf Workshops und Tagungen mit datenschutzrechtlichen Themenstellungen haben zurzeit Konjunktur. Im Mittelpunkt steht dabei meist der Stichtag 23. Mai 2004. Bis dahin müssen nämlich nicht nur Großkonzerne und öffentliche Stellen, sondern auch kleine und mittelständische Betriebe, d. h. auch öffentliche und Krankenhausapotheken, den Umgang mit personenbezogenen Daten vollständig an die Bestimmungen des Bundesdatenschutzgesetzes angepasst haben. Von besonderer Bedeutung ist dabei die Bestellung eines internen oder externen Datenschutzbeauftragten. Was ist zu beachten?

Kaum eine Apotheke verzichtet heutzutage auf eine EDV-gestützte Datenverwaltung. Schon die bloße computergestützte Erfassung und Bearbeitung von Patientenrezepten oder die Verwaltung von Arbeitnehmer- und Lieferantendaten schaffen Berührungspunkte mit dem Datenschutz und können rechtlich problematisch sein. Dies liegt nicht immer auf der Hand, geht es doch beispielsweise um Selbstverständlichkeiten wie die Abheftung von Bewerbungsunterlagen und Sammlung von Personalbögen.

Anders als im Zivilrecht, wo der Grundsatz herrscht, wo kein Kläger, da keine Klage, gibt es im deutschen Datenschutzrecht ein ausgefeiltes System der Kontrolle, welches die Einhaltung der datenschutzrechtlichen Bestimmungen durch die Betriebe sicherstellen soll. Das im Zuge der Umsetzung der EU-Datenschutzrichtlinie neu eingeführte System staatlicher Kontrolle durch behördliche Datenschutzbeauftragte wird dabei ergänzt durch den so genannten betrieblichen Datenschutzbeauftragten.

Dieser ist nach innen und außen für die Einhaltung der Datenschutzvorschriften zuständig und Kontaktperson in allen mit dem Datenschutz zusammenhängenden Fragen, z. B. bei Kontrollen durch die Aufsichtsbehörden oder im Fall eines Auskunftsersuchens eines Kunden.

Für Betriebe mit mehr als vier Mitarbeitern

Gemäß § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) sind öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, verpflichtet, einen Beauftragten für den Datenschutz zu bestellen, sobald sie mit mehr als vier Mitarbeitern ständig personenbezogene Daten "automatisiert", d. h. EDV-gestützt, erheben, verarbeiten oder anderweitig nutzen.

Auch schon mittelgroße Apotheken sind daher von dieser Vorschrift betroffen, wenn sie mindestes fünf Mitarbeiter ständig in der Datenverarbeitung beschäftigen, wozu etwa auch das Auslesen von Rezepten zählt. In diesem Sinne ständig in der Datenverarbeitung ist jeder Mitarbeiter, der nicht befristet mit der Verarbeitung personenbezogener Daten betraut ist. Keine Rolle spielt dabei die Arbeitszeit, so dass auch der Teilzeitbeschäftigte oder der gerade erst eingestellte Arbeitnehmer mitgerechnet werden muss.

Mitzuzählen sind auch solche Mitarbeiter, die nur einen Teil ihrer Arbeitszeit mit der Datenverarbeitung verbringen. Allerdings sollte diese Aufgabe nicht nur gelegentlich oder ausnahmsweise von ihnen ausgeführt werden, sondern mit gewisser Regelmäßigkeit zumindest eine der wesentlichen Tätigkeiten des Mitarbeiters darstellen.

Klare gesetzliche Vorgaben

Wenngleich die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten bislang nur wenig bekannt zu sein scheint, bestehen doch klare gesetzliche Vorgaben. Gemäß § 4 f Abs. 1 S. 2 BDSG hat die Apotheke ihrer Bestellpflicht innerhalb eines Monats nach Aufnahme der Daten verarbeitenden Tätigkeit in schriftlicher Form nachzukommen. Dabei genügt die schriftliche Bestellerklärung, nicht erforderlich ist die Anzeige bei der zuständigen Aufsichtsbehörde.

Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig entgegen seiner Pflicht einen Datenschutzbeauftragten nicht oder nicht rechtzeitig bestellt. Ein solcher Verstoß kann sogar mit einer Geldbuße bis zu 25 000 Euro geahndet werden. Bislang verfügen die Aufsichtsbehörden noch nicht über die personellen Kapazitäten, alle in ihrem Zuständigkeitsbereich gelegenen Apotheken hinsichtlich der Einhaltung der Bestellpflicht zu überprüfen.

Insoweit kann von einem faktischen Stillhalteabkommen gesprochen werden. Verstöße wurden daher – soweit ersichtlich – in der Vergangenheit nicht geahndet. Doch dies soll sich nun ändern. Verfügt die Apotheke daher nicht über den obligatorischen Datenschutzbeauftragten, kann dies künftig teuer werden.

Wer kann Datenschutzbeauftragter sein?

Der betriebliche Datenschutzbeauftragte kann sowohl Angestellter des Unternehmens als auch externer Berater bzw. ein entsprechendes Unternehmen sein. In beiden Fällen muss er gemäß § 4 f Abs. 2 BDSG die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen, und müssen etwaige Interessenkonflikte ausgeschlossen sein. Soweit ein Mitarbeiter der Apotheke zum (internen) betrieblichen Datenschutzbeauftragten bestellt worden ist, muss sichergestellt sein, dass er seine Aufgaben in vollständiger Unabhängigkeit ausüben kann, was bedeutet, dass er seine Aufgaben auf dem Gebiet des Datenschutzes weisungsfrei erfüllen kann.

Rechtliche Bedenken, dass er neben seiner Funktion als Datenschutzbeauftragter auch noch andere Aufgaben wahrnimmt, bestehen hingegen nicht. Aufgrund der von den Aufsichtsbehörden in diesem Fall regelmäßig vermuteten Interessenkollision sollte sich jedoch nicht der Inhaber der Apotheke selbst zum Datenschutzbeauftragten bestellen, da andernfalls die Gefahr besteht, dass die Bestellung für unwirksam erachtet wird.

Mitarbeiter in leitender Funktion können demgegenüber zu internen Datenschutzbeauftragten bestellt werden, soweit sie nicht im Bereich Systemadministration oder des Personalmanagements eingesetzt sind, da auch in diesen Fällen eine Interessenkollision vermutet wird. Als externe Datenschutzbeauftragte können insbesondere im Bereich des Datenschutzes spezialisierte Rechtsanwälte und selbständige Serviceunternehmen auf Honorarbasis fungieren. Ein Vorteil externer Datenschutzbeauftragter mag dabei sein, dass sie in der Regel über eine umfassende Fachkunde verfügen, da sie sich anders als die internen Datenschutzbeauftragten zumindest überwiegend mit Datenschutzfragen beschäftigen.

Was muss der Datenschutzbeauftragte können?

Die erforderliche Fachkunde setzt allgemeine Kenntnisse über Unternehmens- und Organisationsabläufe voraus, grundlegende Kenntnisse des Datenschutzrechts und Kenntnisse über die Datenverarbeitung, insbesondere das EDV-System und die eingesetzten Computerprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen. Zu diesem Zweck muss der betriebliche Datenschutzbeauftragte von der Apotheke auch über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig informiert werden.

Auch der interne betriebliche Datenschutzbeauftragte muss über allgemeine Kenntnisse auf den genannten Gebieten verfügen, da er wie der externe betriebliche Datenschutzbeauftragte gemäß § 4 g Abs. 1 BDSG die gesetzliche Aufgabe hat, die aus Datenschutzperspektive ordnungsgemäße Anwendung der EDV zu überwachen. Die erforderlichen Kenntnisse können in Fachlehrgängen vermittelt werden. Soweit dies einmal im Streit stehen sollte, kann mit dem erfolgreichen Abschluss eines derartigen Lehrganges auch gegenüber der Aufsichtsbehörde der Nachweis geführt werden, dass der eingesetzte Datenschutzbeauftragte über die von ihm geforderten Qualifikationen verfügt.

Zu den Aufgaben des Datenschutzbeauftragten zählt unter anderem die Erstellung eines Verzeichnisses über die Datenverarbeitung, welches u. a. Angaben über die Apotheke als verantwortliche Stelle, eine Beschreibung der betroffenen Personengruppen und der verarbeiteten Datenkategorien sowie der Zweckbestimmung der Datenverarbeitung enthält und welches eine Einschätzung darüber erlauben soll, welcher Art die von der Apotheke zu treffenden technischen und organisatorischen Sicherungsmaßnahmen zu sein haben.

Auf entsprechenden Antrag hin hat der betriebliche Datenschutzbeauftragte die in dem Verzeichnis enthaltenen Angaben jedermann verfügbar zu machen, wobei die Angaben in pauschalierter Form erfolgen können. Desweiteren hat der betriebliche Datenschutzbeauftragte in regelmäßigen Abständen Berichte über die Entwicklung des Datenschutzes in der Apotheke zu fertigen. Ihn trifft die Aufgabe, die Mitarbeiter zu schulen, d. h. sie durch geeignete Maßnahmen, beispielsweise ein Merkblatt oder Handbuch zum Datenschutz oder durch Vorträge, mit den datenschutzrechtlichen Bestimmungen und den jeweiligen Erfordernissen des Datenschutzes vertraut zu machen.

Schriftliche Vereinbarung treffen

Die Bestellung des betrieblichen Datenschutzbeauftragten erfolgt aufgrund einer schriftlichen Erklärung oder Vereinbarung, in der die rechtliche Position des Datenschutzbeauftragten geregelt ist. Soweit ein Mitarbeiter zum betrieblichen Datenschutzbeauftragten bestellt werden soll, ist dies streng von der sonstigen anstellungsvertraglichen Tätigkeit abzugrenzen. Die Bestellung sollte daher in einer vom Arbeitsvertrag unabhängigen Erklärung erfolgen.

Der interne betriebliche Datenschutzbeauftragte hat einen Anspruch, von seinen sonstigen Tätigkeiten in einem für die Erfüllung seiner Aufgaben als Datenschutzbeauftragter erforderlichen Zeitumfang freigestellt zu werden. Der genaue Umfang dieser Freistellung ist zu bestimmen anhand der Größe der Apotheke, bei weniger großen Apotheken dürfte ein Zeitaufwand von vier bis acht Stunden pro Monat ausreichend sein.

Ankündigungen auf Workshops und Tagungen mit datenschutzrechtlichen Themenstellungen haben zurzeit Konjunktur. Im Mittelpunkt steht dabei meist der Stichtag 23. Mai 2004. Bis dahin müssen nämlich nicht nur Großkonzerne und öffentliche Stellen, sondern auch kleine und mittelständische Betriebe, d. h. auch öffentliche und Krankenhausapotheken, den Umgang mit personenbezogenen Daten vollständig an die Bestimmungen des Bundesdatenschutzgesetzes angepasst haben. Von besonderer Bedeutung ist dabei die Bestellung eines internen oder externen Datenschutzbeauftragten, auch in der Apotheke. Was ist zu beachten?

Muster: Bestellung eines betrieblichen Datenschutzbeauftragten

Vereinbarung zwischen (Apotheker) und (nachfolgend betrieblicher Datenschutzbeauftragter genannt)

1. Der Apotheker bestellt den betrieblichen Datenschutzbeauftragten mit sofortiger Wirkung zum betrieblichen Datenschutzbeauftragten der Apotheke gemäß § 4 f. BDSG. Der betriebliche Datenschutzbeauftragte nimmt hiermit dieses Amt an. 2. Der betriebliche Datenschutzbeauftragte erhält für seine Tätigkeit gemäß Ziffer 1 ein Honorar in Höhe von _________ 3. Der betriebliche Datenschutzbeauftragte ist in der Ausübung seiner Tätigkeit gemäß Ziffer 1 unmittelbar und ausschließlich dem Apotheker unterstellt. Er wird diesem quartalsweise, und zwar jeweils innerhalb von zwei Wochen für das vorausgegangene Quartal, einen schriftlichen Bericht über seine Arbeit erstatten. 4. Der betriebliche Datenschutzbeauftragte ist bei der Ausübung seiner Tätigkeit gemäß Ziffer 1 weisungsfrei. Er wird von dem Apotheker bei der Erfüllung seiner Aufgaben nach dem BDSG in der jeweils gebotenen Form und im erforderlichen Umfang unterstützt. 5. In seinem Aufgabenbereich nach Ziffer 1 ist er den anderen Mitarbeitern der Apotheke gegenüber weisungsberechtigt. 6. Beide Vertragsparteien können diesen Vertrag mit einer Frist von zwei Monaten zum Quartalsende kündigen. Im Falle der Bestellung eines internen Datenschutzbeauftragten zu Zwecken der Klarstellung: 7. Durch diese Vereinbarung wird der Arbeitsvertrag zwischen den Vertragsparteien vom _________ ergänzt. Beide Vertragspartner können diese Vereinbarung zur Bestellung als Datenschutzbeauftragten mit einer Frist von zwei Monaten zum Quartalsende kündigen, ohne dass dadurch der Arbeitsvertrag vom _________ berührt wird. Soweit die Tätigkeit als interner betrieblicher Datenschutzbeauftragter als mit dem Arbeitsentgelt abgegolten angesehen werden soll, sollte eine zusätzliche Regelung zur Freistellung von der Arbeitszeit aufgenommen werden: 8. Der betriebliche Datenschutzbeauftragte wird in einem Umfang von _________ Stunden pro Monat von seinen sonstigen Tätigkeiten freigestellt.

_______________, den _________

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.