Datenschutz

Der Datenschutzbeauftragte in der Apotheke

Was ändert sich durch die Umsetzung der Datenschutz-Grundverordnung?

Von Andreas Schaupp | Der Datenschutz nimmt im Gesundheitswesen einen sehr hohen Stellenwert ein. Aus diesem Grund haben Datenschutzbeauftragte in Betrieben eine sehr wichtige Funktion, was sich auch an einigen Besonderheiten zeigt. So ist der Datenschutz­beauftragte einer öffentlichen Apotheke direkt der Apothekenleitung unterstellt und ihr gegenüber in Fragen des Datenschutzes weisungsfrei.

Am 25. Mai 2018 tritt ein neues Bundesdatenschutzgesetz in Kraft. Maßgebend dafür ist die Europäische Datenschutz-Grundverordnung ­(DSGVO) [1].

Bestellpflicht

Nach der derzeitigen Gesetzeslage muss ein Datenschutzbeauftragter ­bestellt werden, wenn mehr als zehn Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Im Hinblick auf die Bestellpflicht des Datenschutzbeauftragten bleibt der aktuell geltende Gesetzesrahmen zwar erhalten, dieser wird jedoch um einige Regelungen ergänzt. So kommt nunmehr auch die Bestellung eines Datenschutzbeauftragten in Betracht, wenn eine umfangreiche Verarbeitung von Gesundheitsdaten vorgenommen wird. Folglich müssten Apotheken oder Arztpraxen unabhängig von der Anzahl ihrer Beschäftigten einen Datenschutzbeauftragten bestellen.

Ob es Ausnahmen von dieser Aufhebung der Beschäftigtengrenze geben wird, ist bislang noch unklar. Im Erwägungsgrund 91 der DSGVO steht, dass die Aufhebung nicht gelten soll, wenn es sich bei der datenverarbeitenden Stelle um einen einzelnen Arzt oder sonstigen Angehörigen eines ­Gesundheitsberufes – womit auch Apotheker gemeint sind – handelt. Was dabei konkret mit „einzeln“ gemeint ist, bleibt offen. Interpretationsspielraum bietet das Wort allemal. So ist es denkbar, darunter z. B. eine einzelne Apotheke ohne einen angestellten Apotheker zu verstehen, die dann keinen Datenschutzbeauftragten be­nötigen würde. Bei einer strengen Auslegung müsste hingegen jede Apotheke einen Datenschutzbeauftragten bestellen. Wahrscheinlich werden die zuständigen Datenschutzbehörden der Länder sich hierzu äußern, aber dies dürfte nicht vor dem 25. Mai 2018 geschehen.

Foto: Thomas – stock.adobe.com

Aufgabenfeld

Das Aufgabenfeld eines Datenschutzbeauftragten ist äußert vielfältig. Er ist die verantwortliche Fachkraft für alle Belange des Datenschutzes. Der Datenschutzbeauftragte ist insbesondere zuständig für

  • interne Audits
  • Schulung und Unterweisung
  • für das Führen des Verarbeitungsverzeichnisses, einer Übersicht, in der alle relevanten Datenverarbeitungsvorgänge aufgeführt werden müssen.

Auftragsverarbeitung und Kontrollen

Beim Vorliegen bestimmter rechtlicher Konstellationen muss ein sogenannter Auftragsverarbeitungsvertrag (zusätzlich zum üblichen Dienstleistungsvertrag) abgeschlossen werden. Dies ist meistens der Fall, wenn sich die Apotheke eines externen IT-Dienstleisters bedient, der Wartungsarbeiten im Rahmen der Fernwartung durchführt. Klassische Auftragsverarbeitungs­verhältnisse sind grundsätzlich auch dann anzunehmen, wenn ein Dienstleister mit der Abholung und Ver­nichtung von Akten betraut ist.

Nicht selten bedeuten Auftragsver­arbeitungsverhältnisse auch, dass der Auftraggeber, also die Apotheke, Kontrollen durchführt, um sicherzustellen, dass der Auftragnehmer, also der Dienstleister, seinerseits alle Erfor­dernisse des Datenschutzes beachtet.

Verstöße und Bußgelder

Nimmt die Apotheke solche Aufgaben nicht wahr oder hat sie trotz Bestellpflicht überhaupt keinen Datenschutzbeauftragten benannt, drohen ihr ­äußerst empfindliche Bußgelder. ­Deren Höchstgrenze wird durch die Gesetzesänderung erheblich erhöht und kann dann bis zu 20 Millionen Euro betragen.

Qualifikation für den Schutz besonders sensibler Daten

Dem breiten Spektrum an Aufgaben und Wissen eines Datenschutzbeauftragten entsprechen die hohen Anforderungen an seine Qualifikation und Fachkunde. Jüngst ergaben Kontrollen der Aufsichtsbehörden, dass bestellte Datenschutzbeauftragte häufig gar nicht oder nicht hinreichend ausgebildet waren, d. h. dass sie nicht die vom Gesetzgeber geforderte Fachkunde besaßen.

Schulungsmöglichkeiten für Datenschutzbeauftragte sind reichlich vorhanden. Die Schulungen sollten neben allgemeinen Kenntnissen im Datenschutz vordergründig auch branchenspezifisches Wissen vermitteln.

Hinsichtlich der erforderlichen Quali­fikation des Datenschutzbeauftragten gilt folgender Grundsatz: Je mehr Daten es gibt und je sensibler die Daten sind, die verarbeitet werden, desto höher sind die Anforderungen an die Fachkunde des Datenschutzbeauftragten.

Gesundheitsdaten wurden vom Gesetzgeber als besonders schützenswert eingestuft und sind somit äußerst sensibel. Dabei spielt der Umfang der Datenverarbeitung keine Rolle.

Aus diesen Gründen wird eine Ausbildung von mindestens fünf Tagen empfohlen, welche auch einen spezifischen Bezug auf das Apothekenwesen haben sollte. Beispielsweise wäre hier die „Ausbildung zum Datenschutzbeauftragten im Gesundheitswesen“ zu ­nennen.

Nach der Ausbildung bleibt dem Datenschutzbeauftragten eine ständige Fort- und Weiterbildung nicht erspart. So sollte er mindestens einmal jährlich einen Auffrischungskurs besuchen, der auch aktuelle Neuerungen und Veränderungen im Datenschutz thematisiert.

Meldepflicht an die Aufsichtsbehörde

Für Apotheken, die gesetzlich verpflichtet sind, einen Datenschutz­beauftragten zu bestellen, gilt ab dem 25. Mai 2018 auch eine Meldepflicht an die Aufsichtsbehörde (Art. 37 Abs. 7 DSGVO). Darüber hinaus sind die Kontaktdaten des Datenschutzbeauftragten ganz allgemein zu veröffentlichen, damit er betriebsintern wie -extern unmittelbar erreichbar ist. Zu den Kontaktdaten zählen mindestens die Geschäftsadresse, eine Telefonnummer sowie eine E-Mail-Adresse. Eine Verpflichtung, den Datenschutzbeauftragten namentlich zu nennen, besteht zwar nicht, dieses ist jedoch gegenüber der Aufsichtsbehörde zu empfehlen. Wie genau eine Meldung an die Aufsichtsbehörde zu erfolgen hat, entscheiden die Behörden erst im Laufe der nächsten Wochen und Monate und machen es dann auf ihrer jeweiligen Website bekannt.

Verantwortlich für die Meldung ist der Apothekeninhaber. Wichtig ist, einstweilen mit der Meldung zu warten, weil Meldungen vor dem 25. Mai 2018 nicht berücksichtigt werden.

Bezüglich der Kontaktdaten des Datenschutzbeauftragten empfiehlt sich, dessen Vor- und Nachnamen nicht ­öffentlich im Internet zu nennen, obwohl dies selbstverständlich möglich ist. In jedem Fall ist es sinnvoll, für den Datenschutzbeauftragten eine ­eigene E-Mail-Adresse einzurichten. Diese sollte funktionsbezogen an­gelegt werden und könnte z. B. lauten: „datenschutz@apotheke-xy.de“.

Die E-Mail-Adresse kann dann in das verpflichtend vorgeschriebene Impressum der Apotheken-Website integriert werden. Da das Impressum ohnehin die Nennung einer Telefonnummer sowie einer Adresse vorsieht, wird damit auch den weiteren Erfordernissen, die sich aus einer Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten ergeben, entsprochen.

Betrieblicher versus externer Datenschutzbeauftragter

Da der Apothekeninhaber selbst nicht der Datenschutzbeauftragte seiner Apotheke sein darf, hat er zwei Möglichkeiten, eine Bestellung vorzunehmen: Er kann einen betrieblichen oder einen externen Datenschutzbeauftragten bestellen.

Ein betrieblicher Datenschutzbeauftragter ist ein Mitarbeiter des jeweiligen Betriebs, in diesem Fall also ein Apothekenmitarbeiter. Er muss geschult werden, um die erforderliche Fachkunde zu erlangen. Zudem sollte ihm ein entsprechendes monatliches Arbeitszeitkontingent eingeräumt werden, in dem er regelmäßig die Belange des Datenschutzes bearbeiten kann. Der Apothekenleiter muss wissen, dass der bestellte Apothekenmitarbeiter arbeitsrechtlich privilegiert und praktisch unkündbar ist [2]. 


Ein externer Datenschutzbeauftragter kann ein Dienstleister oder auch eine freiberuflich tätige Einzelperson sein. Eine Vergütung erfolgt entweder nach dem Aufwand oder auf Basis monatlicher Festpreise. Vorteilhaft bei externen Datenschutzbeauftragten ist der Umstand, dass diese in der Regel gut qualifiziert sind und die Apotheke für keinerlei Fortbildungskosten aufkommen muss. Der Apothekenleiter muss allerdings darauf achten, dass der externe Datenschutzbeauftragte seinen Verpflichtungen ernsthaft und gewissenhaft nachkommt. Nicht selten locken Anbieter mit sehr preisgünstigen Angeboten und sind kein einziges Mal persönlich vor Ort. Eine Bestellung solcher „Dienstleister“ wäre unzu­reichend.

Künftig mehr Kontrollen

Unabhängig davon, ob eine Apotheke einen betrieblichen oder einen externen Datenschutzbeauftragten bestellt, sollte sie immer das Ziel verfolgen, die Bestimmungen des Datenschutzes so gut wie möglich umzusetzen. Die drastisch angehobenen Bußgelder und die große Aufmerksamkeit, die der ­Datenschutz durch die neue Gesetz­gebung erfährt, lassen erahnen, dass künftig mit mehr Kontrollen durch die Aufsichtsbehörden zu rechnen ist. |

Quellen

[1] Verordnung (EU) 2016/679 des Europäi­schen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personen­bezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung); https://dsgvo-gesetz.de

[2] Bundesarbeitsgericht, Urteil vom 13.03.2007, 9 AZR 612/05

Autor

Dipl.-Betriebswirt Andreas Schaupp ist Geschäftsführer der DeltaMed Süd GmbH & Co. KG in Ludwigsburg.

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.