Recht

Sechs Monate DSGVO – ein Zwischenfazit

Teil 2: Ist der Datenschutzbeauftragte bald Geschichte?

Vor rund einem halben Jahr ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Im zweiten Teil unseres Zwischenfazits* schauen wir auf die Entwicklung beim Datenschutzbeauftragten. Dieser könnte in Apotheken schon bald Geschichte sein.

Die Frage, unter welchen Voraussetzungen die Apotheke zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, war schon Gegenstand des Beitrages in AZ 2018, Nr. 12, S. 6: Die Vorschriften in der Datenschutz-Grundverordnung (DSGVO) und dem Bundes­datenschutzgesetz (BDSG) sind auslegungsbedürftig und mangels gerichtlicher Entscheidungen sowie Stellungnahmen der Datenschutz-Aufsichtsbehörden war damals nicht abzusehen, wie die Regelungen zum Datenschutzbeauftragten im Hinblick auf Apotheken angewendet werden würden. Seither haben sich mehrere öffentliche Stellen zu der Frage geäußert, um hier für mehr Rechtssicherheit für Apotheken und Arztpraxen zu ­sorgen. Gelungen ist dies nur ­bedingt, denn einig sind sich die Behörden nicht.

Wer fällt unter die 10-Personen-Schwelle?

Relativ einfach zu handhaben schien die Vorgabe, einen Datenschutzbeauftragten zu bestellen, wenn in der Apotheke mindestens zehn Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind (§ 38 BDSG). Für Unsicherheiten sorgt nun allerdings das kleine Wörtchen „ständig“. Die Frage ist, welchen Anteil seiner Arbeitszeit der Mitarbeiter mit der automatisierten Datenverarbeitung beschäftigt sein muss, damit er nach der Vorschrift mitzuzählen ist. ­Sicher nicht mit der Datenverar­beitung ständig betraut ist die Reinigungskraft der Apotheke. Bei ­allen anderen Mitarbeitern ist die Einordnung jedoch weniger klar.

Die Bayerische Datenschutz-Aufsichtsbehörde hat sich in Bezug auf Arztpraxen zu der Frage ge­äußert (LDA Bayern, FAQ Datenschutzbeauftragter im medizinischen Bereich). Danach soll jede Person einschließlich dem Verantwortlichen zu zählen sein, egal ob in Vollzeit oder Teilzeit angestellt, Auszubildender, Leiharbeitnehmer oder freier Mitarbeiter, wenn die automatisierte Verarbeitung personenbezogener Daten ein Schwerpunkt ihrer Tätigkeit ist. Der Arzt, der zur Terminkalender- und Patientendatenverwaltung, für Behandlungszwecke, zur Erfüllung von Dokumentationspflichten und für die Abrechnung im Schwerpunkt Patientendaten automatisiert verarbeitet, soll daher zu berücksichtigen sein, nicht dagegen der Zahntechniker, der in erster Linie handwerkliche Aufgaben erledigt. Vergleichbar äußerten sich auch schon die Datenschutz-Aufsichtsbehörden von Hessen und Schleswig-Holstein zu Datenschutzbeauftragten in Gesundheitsberufen. Überträgt man die Stellungnahmen auf Apotheken, dürften neben dem Apothekeninhaber alle Mitarbeiter, die regelmäßig Rezeptdaten elektronisch verarbeiten oder regelmäßig Daten zu Kundenkarten speichern und ablesen, mitzuzählen sein.

*Teil 1 des Zwischenfazits zur DSGVO „Was tut sich bei Abmahnungen und Bußgeldern?“ finden Sie in AZ 2018, Nr. 46, S. 5.

Anderer Ansicht ist das Bayerische Innenministerium. Ein Sprecher äußerte im August, dass Apothekenmitarbeiter regelmäßig nicht ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst seien, da sie den Großteil ihrer Zeit auf die Beratung von Kunden und den Verkauf von apothekenüblichen Waren und Medikamenten verwendeten (DAZ.online, 15. August 2018, Innenministerium Bayern: Apotheken brauchen keinen Datenschutzbeauftragten). Die unabhängigen Datenschutz-Aufsichtsbehörden sind an diese Ansicht jedoch nicht gebunden.

Die 10-Personen-Schwelle ist eine deutsche Besonderheit, die nicht in der DSGVO vorgesehen ist. Sie könnte bald schon Geschichte sein, denn im Gesetzgebungsverfahren befindet sich zurzeit ein Gesetz zur Anpassung der deutschen Datenschutzvorschriften, das zweite Datenschutz-Anpassungsgesetz (2. DSAnpUG-EU). Die zuständigen Ausschüsse des Bundesrats haben zu dem Gesetzentwurf die Empfehlung abge­geben, die 10-Personen-Schwelle komplett zu streichen, da diese Pflicht zur Bestellung eines Datenschutzbeauftragten insbesondere kleine und mittlere Unternehmen übermäßig belasten ­würde. Hilfsweise schlagen die Ausschüsse vor, die Schwelle auf 50 Personen anzuheben.

Foto: Minerva Studio – stock.adobe.com
Wie so oft sind sich Behörden auch bei einigen Punkten zur Auslegung der DSGVO nicht einig. Deshalb gibt es bislang keine eindeutige Rechtssicherheit, z.B. zur Frage, ob Apotheken umfangreich Gesundheitsdaten verarbeiten.

Findet umfangreiche Datenverarbeitung statt?

Würde sich dieser Vorschlag im Gesetzgebungsverfahren durchsetzen, wäre die Apotheke aber ­leider noch nicht komplett von der Bestellung eines Datenschutzbeauftragten befreit. Es verblieben die Bestellpflichten nach der DSGVO. Für Apotheken besonders ­relevant ist die Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn eine Kerntätigkeit des Unternehmens die umfangreiche Verarbeitung von Gesundheitsdaten ist. Zu der Frage, ob dies bei Apotheken der Fall ist, hat sich die Datenschutzkonferenz (DSK), ein Gremium der deutschen Datenschutzbehörden, mit Beschluss vom 26. April 2018 positioniert. Sie geht davon aus, dass Apotheken regelmäßig keine umfangreiche Verarbeitung von Gesundheitsdaten vornehmen und daher nicht aus diesem Grund zur Bestellung eines Datenschutzbeauftragten verpflichtet sind. Damit sollte eigentlich alles klar sein. Nun erklärt allerdings trotz dieses gemeinsamen Beschlusses die Datenschutz-Aufsichtsbehörde von Hessen auf ihrer Homepage, es sei noch nicht abschließend geregelt, wann von einer umfangreichen Datenverarbeitung im Bereich der Arztpraxen und Apotheken gesprochen werden könne, und empfiehlt allen Apotheken, für eine Übergangszeit von zwei Jahren einen Datenschutzbeauftragten zu bestellen. Alternativ hierzu sollen die Gründe für die Nicht-Bestellung für etwaige zukünftige Prüfungen durch die Aufsichtsbehörde dokumentiert werden.

Datenschutz-Folgen­abschätzung

Nimmt man mit der DSK an, dass die Apotheke keine umfangreiche Verarbeitung von Gesundheitsdaten vornimmt, verbleibt noch die Pflicht zur Bestellung eines Datenschutzbeauftragten, wenn Tätigkeiten der Apotheke eine Datenschutz-Folgenabschätzung erfordern. Auch diese Bestellpflicht ist eine deutsche Besonderheit, die bald passé sein könnte. Denn der Bundesrat empfiehlt, mit dem zweiten Datenschutz-Anpassungsgesetz diese ­Bestellpflicht zu streichen.

Noch gilt die Pflicht aber. Die Datenschutz-Folgenabschätzung ist ein Instrument zur Risikobestimmung. Sie ist durchzuführen, wenn eine Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt (s. dazu Kieser/Buckstegge, AZ 2018, Nr. 13/14, S. 6). Da dies nicht einfach zu bestimmen ist, sollen nach der DSGVO die Aufsichtsbehörden eine Liste mit Verarbeitungsvorgängen erstellen, die eine Datenschutz-Folgenabschätzung erfordern. Die DSK hat mittlerweile eine solche „Black-List“ veröffentlicht (DSK, Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist, Version 1.1 vom 17. Oktober 2018). Zu beachten ist jedoch, dass diese Liste nicht abschließend ist. Aus der Tatsache, dass ein Verarbeitungsvorgang nicht auf der Liste enthalten ist, kann nicht verbindlich gefolgert werden, dass für ihn keine Datenschutz-Folgenabschätzung vorzunehmen ist.

Die in der Liste genannten Vorgänge dürften für die durchschnittliche Apotheke nicht relevant werden. Zwar enthält die Liste auch drei Verarbeitungstätigkeiten im Zusammenhang mit Gesundheitsdaten. Diese kommen jedoch regelmäßig in Apotheken nicht vor. So sind Datenschutz-Folgenabschätzungen durchzuführen,

  • wenn Gesundheitsdaten nicht nur in Einzelfällen anonymisiert werden, um sie an Dritte weiterzugeben,
  • wenn Gesundheitsdaten nicht nur einmalig mittels der innovativen Nutzung von Sensoren oder mobiler Anwendungen erhoben werden und diese Daten von einer zentralen Stelle empfangen und aufbereitet werden

oder

  • wenn Gesundheitsdaten durch die Anbieter neuer Technologien dazu verwendet werden, die Leistungsfähigkeit der Personen zu bestimmen; gemeint sind beispielsweise Dienstleistungen von Unternehmen, bei denen Daten aus Fitnessarmbändern verarbeitet werden.

Die Datenschutz-Aufsichtsbehörde von Schleswig-Holstein geht davon aus, dass auch im Übrigen Datenschutz-Folgenabschätzungen in kleinen und mittelgroßen Arztpraxen und Apotheken nur in besonders gelagerten Fällen durchzuführen sind, in denen der Umfang der Verarbeitung von Gesundheitsdaten weit über das hinausgeht, was üblicherweise anzutreffen ist (ULD Schleswig Holstein, Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbstständige Heilberufler beachten, 25. Mai 2018, S. 6).

Ausblick

Wird die 10-Personen-Schwelle abgeschafft, werden Apotheken nur noch in Ausnahmefällen zur Bestellung eines Datenschutzbeauftragten verpflichtet sein. Das bedeutet für die Apotheken einerseits eine Kostenersparnis, außerdem entfällt die Pflicht zur Meldung und Fortbildung des Datenschutzbeauftragten. Andererseits fällt auch die beratende Instanz in Datenschutzfragen weg. Apothekeninhaber müssen dann ohne Unterstützung die Einhaltung der Datenschutzvorschriften überwachen und den Datenschutz-Aufsichtsbehörden als Ansprechpartner zur Verfügung stehen. |

Dr. Timo Kieser und Dr. Svenja Buckstegge, Oppenländer Rechtsanwälte Stuttgart

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.