Datenschutz

Der Datenschutzbeauftragte in der Apotheke

Was ändert sich durch die Umsetzung der Datenschutz-Grundverordnung?

Von Andreas Schaupp | Der Datenschutz nimmt im Gesundheitswesen einen sehr hohen Stellenwert ein. Aus diesem Grund haben Datenschutzbeauftragte in Betrieben eine sehr wichtige Funktion, was sich auch an einigen Besonderheiten zeigt. So ist der Datenschutz­beauftragte einer öffentlichen Apotheke direkt der Apothekenleitung unterstellt und ihr gegenüber in Fragen des Datenschutzes weisungsfrei.

Am 25. Mai 2018 tritt ein neues Bundesdatenschutzgesetz in Kraft. Maßgebend dafür ist die Europäische Datenschutz-Grundverordnung ­(DSGVO) [1].

Bestellpflicht

Nach der derzeitigen Gesetzeslage muss ein Datenschutzbeauftragter ­bestellt werden, wenn mehr als zehn Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Im Hinblick auf die Bestellpflicht des Datenschutzbeauftragten bleibt der aktuell geltende Gesetzesrahmen zwar erhalten, dieser wird jedoch um einige Regelungen ergänzt. So kommt nunmehr auch die Bestellung eines Datenschutzbeauftragten in Betracht, wenn eine umfangreiche Verarbeitung von Gesundheitsdaten vorgenommen wird. Folglich müssten Apotheken oder Arztpraxen unabhängig von der Anzahl ihrer Beschäftigten einen Datenschutzbeauftragten bestellen.

Ob es Ausnahmen von dieser Aufhebung der Beschäftigtengrenze geben wird, ist bislang noch unklar. Im Erwägungsgrund 91 der DSGVO steht, dass die Aufhebung nicht gelten soll, wenn es sich bei der datenverarbeitenden Stelle um einen einzelnen Arzt oder sonstigen Angehörigen eines ­Gesundheitsberufes – womit auch Apotheker gemeint sind – handelt. Was dabei konkret mit „einzeln“ gemeint ist, bleibt offen. Interpretationsspielraum bietet das Wort allemal. So ist es denkbar, darunter z. B. eine einzelne Apotheke ohne einen angestellten Apotheker zu verstehen, die dann keinen Datenschutzbeauftragten be­nötigen würde. Bei einer strengen Auslegung müsste hingegen jede Apotheke einen Datenschutzbeauftragten bestellen. Wahrscheinlich werden die zuständigen Datenschutzbehörden der Länder sich hierzu äußern, aber dies dürfte nicht vor dem 25. Mai 2018 geschehen.

Foto: Thomas – stock.adobe.com

Aufgabenfeld

Das Aufgabenfeld eines Datenschutzbeauftragten ist äußert vielfältig. Er ist die verantwortliche Fachkraft für alle Belange des Datenschutzes. Der Datenschutzbeauftragte ist insbesondere zuständig für

  • interne Audits
  • Schulung und Unterweisung
  • für das Führen des Verarbeitungsverzeichnisses, einer Übersicht, in der alle relevanten Datenverarbeitungsvorgänge aufgeführt werden müssen.

Auftragsverarbeitung und Kontrollen

Beim Vorliegen bestimmter rechtlicher Konstellationen muss ein sogenannter Auftragsverarbeitungsvertrag (zusätzlich zum üblichen Dienstleistungsvertrag) abgeschlossen werden. Dies ist meistens der Fall, wenn sich die Apotheke eines externen IT-Dienstleisters bedient, der Wartungsarbeiten im Rahmen der Fernwartung durchführt. Klassische Auftragsverarbeitungs­verhältnisse sind grundsätzlich auch dann anzunehmen, wenn ein Dienstleister mit der Abholung und Ver­nichtung von Akten betraut ist.

Nicht selten bedeuten Auftragsver­arbeitungsverhältnisse auch, dass der Auftraggeber, also die Apotheke, Kontrollen durchführt, um sicherzustellen, dass der Auftragnehmer, also der Dienstleister, seinerseits alle Erfor­dernisse des Datenschutzes beachtet.

Verstöße und Bußgelder

Nimmt die Apotheke solche Aufgaben nicht wahr oder hat sie trotz Bestellpflicht überhaupt keinen Datenschutzbeauftragten benannt, drohen ihr ­äußerst empfindliche Bußgelder. ­Deren Höchstgrenze wird durch die Gesetzesänderung erheblich erhöht und kann dann bis zu 20 Millionen Euro betragen.

Qualifikation für den Schutz besonders sensibler Daten

Dem breiten Spektrum an Aufgaben und Wissen eines Datenschutzbeauftragten entsprechen die hohen Anforderungen an seine Qualifikation und Fachkunde. Jüngst ergaben Kontrollen der Aufsichtsbehörden, dass bestellte Datenschutzbeauftragte häufig gar nicht oder nicht hinreichend ausgebildet waren, d. h. dass sie nicht die vom Gesetzgeber geforderte Fachkunde besaßen.

Schulungsmöglichkeiten für Datenschutzbeauftragte sind reichlich vorhanden. Die Schulungen sollten neben allgemeinen Kenntnissen im Datenschutz vordergründig auch branchenspezifisches Wissen vermitteln.

Hinsichtlich der erforderlichen Quali­fikation des Datenschutzbeauftragten gilt folgender Grundsatz: Je mehr Daten es gibt und je sensibler die Daten sind, die verarbeitet werden, desto höher sind die Anforderungen an die Fachkunde des Datenschutzbeauftragten.

Gesundheitsdaten wurden vom Gesetzgeber als besonders schützenswert eingestuft und sind somit äußerst sensibel. Dabei spielt der Umfang der Datenverarbeitung keine Rolle.

Aus diesen Gründen wird eine Ausbildung von mindestens fünf Tagen empfohlen, welche auch einen spezifischen Bezug auf das Apothekenwesen haben sollte. Beispielsweise wäre hier die „Ausbildung zum Datenschutzbeauftragten im Gesundheitswesen“ zu ­nennen.

Nach der Ausbildung bleibt dem Datenschutzbeauftragten eine ständige Fort- und Weiterbildung nicht erspart. So sollte er mindestens einmal jährlich einen Auffrischungskurs besuchen, der auch aktuelle Neuerungen und Veränderungen im Datenschutz thematisiert.

Meldepflicht an die Aufsichtsbehörde

Für Apotheken, die gesetzlich verpflichtet sind, einen Datenschutz­beauftragten zu bestellen, gilt ab dem 25. Mai 2018 auch eine Meldepflicht an die Aufsichtsbehörde (Art. 37 Abs. 7 DSGVO). Darüber hinaus sind die Kontaktdaten des Datenschutzbeauftragten ganz allgemein zu veröffentlichen, damit er betriebsintern wie -extern unmittelbar erreichbar ist. Zu den Kontaktdaten zählen mindestens die Geschäftsadresse, eine Telefonnummer sowie eine E-Mail-Adresse. Eine Verpflichtung, den Datenschutzbeauftragten namentlich zu nennen, besteht zwar nicht, dieses ist jedoch gegenüber der Aufsichtsbehörde zu empfehlen. Wie genau eine Meldung an die Aufsichtsbehörde zu erfolgen hat, entscheiden die Behörden erst im Laufe der nächsten Wochen und Monate und machen es dann auf ihrer jeweiligen Website bekannt.

Verantwortlich für die Meldung ist der Apothekeninhaber. Wichtig ist, einstweilen mit der Meldung zu warten, weil Meldungen vor dem 25. Mai 2018 nicht berücksichtigt werden.

Bezüglich der Kontaktdaten des Datenschutzbeauftragten empfiehlt sich, dessen Vor- und Nachnamen nicht ­öffentlich im Internet zu nennen, obwohl dies selbstverständlich möglich ist. In jedem Fall ist es sinnvoll, für den Datenschutzbeauftragten eine ­eigene E-Mail-Adresse einzurichten. Diese sollte funktionsbezogen an­gelegt werden und könnte z. B. lauten: „datenschutz@apotheke-xy.de“.

Die E-Mail-Adresse kann dann in das verpflichtend vorgeschriebene Impressum der Apotheken-Website integriert werden. Da das Impressum ohnehin die Nennung einer Telefonnummer sowie einer Adresse vorsieht, wird damit auch den weiteren Erfordernissen, die sich aus einer Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten ergeben, entsprochen.

Betrieblicher versus externer Datenschutzbeauftragter

Da der Apothekeninhaber selbst nicht der Datenschutzbeauftragte seiner Apotheke sein darf, hat er zwei Möglichkeiten, eine Bestellung vorzunehmen: Er kann einen betrieblichen oder einen externen Datenschutzbeauftragten bestellen.

Ein betrieblicher Datenschutzbeauftragter ist ein Mitarbeiter des jeweiligen Betriebs, in diesem Fall also ein Apothekenmitarbeiter. Er muss geschult werden, um die erforderliche Fachkunde zu erlangen. Zudem sollte ihm ein entsprechendes monatliches Arbeitszeitkontingent eingeräumt werden, in dem er regelmäßig die Belange des Datenschutzes bearbeiten kann. Der Apothekenleiter muss wissen, dass der bestellte Apothekenmitarbeiter arbeitsrechtlich privilegiert und praktisch unkündbar ist [2]. 


Ein externer Datenschutzbeauftragter kann ein Dienstleister oder auch eine freiberuflich tätige Einzelperson sein. Eine Vergütung erfolgt entweder nach dem Aufwand oder auf Basis monatlicher Festpreise. Vorteilhaft bei externen Datenschutzbeauftragten ist der Umstand, dass diese in der Regel gut qualifiziert sind und die Apotheke für keinerlei Fortbildungskosten aufkommen muss. Der Apothekenleiter muss allerdings darauf achten, dass der externe Datenschutzbeauftragte seinen Verpflichtungen ernsthaft und gewissenhaft nachkommt. Nicht selten locken Anbieter mit sehr preisgünstigen Angeboten und sind kein einziges Mal persönlich vor Ort. Eine Bestellung solcher „Dienstleister“ wäre unzu­reichend.

Künftig mehr Kontrollen

Unabhängig davon, ob eine Apotheke einen betrieblichen oder einen externen Datenschutzbeauftragten bestellt, sollte sie immer das Ziel verfolgen, die Bestimmungen des Datenschutzes so gut wie möglich umzusetzen. Die drastisch angehobenen Bußgelder und die große Aufmerksamkeit, die der ­Datenschutz durch die neue Gesetz­gebung erfährt, lassen erahnen, dass künftig mit mehr Kontrollen durch die Aufsichtsbehörden zu rechnen ist. |

Quellen

[1] Verordnung (EU) 2016/679 des Europäi­schen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personen­bezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung); https://dsgvo-gesetz.de

[2] Bundesarbeitsgericht, Urteil vom 13.03.2007, 9 AZR 612/05

Autor

Dipl.-Betriebswirt Andreas Schaupp ist Geschäftsführer der DeltaMed Süd GmbH & Co. KG in Ludwigsburg.

DAZ 2018, Nr. 7, S. 56, 15.02.2018

Seite drucken
Startseite

Das könnte Sie auch interessieren

C. KruseDer Datenschutzbeauftragte in der Apotheke

C. KruseDer Datenschutzbeauftragte in der Apotheke

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 3: Wächter über den Datenschutz: Der Datenschutzbeauftragte

Neue Datenschutzregeln ante portas

Sechs Monate DSGVO – ein Zwischenfazit

Teil 2: Ist der Datenschutzbeauftragte bald Geschichte?

Sechs Monate DSGVO – ein Zwischenfazit

Braucht jede Apotheke einen Datenschutzbeauftragten?

Datenschutz-Grundverordnung

Braucht jede Apotheke einen Datenschutzbeauftragten?

„Es kann keinen ‚bayerischen Weg‘ bei der Umsetzung der DSGVO geben“

Präsident der Landesdatenschutzbehörde Bayern

„Es kann keinen ‚bayerischen Weg‘ bei der Umsetzung der DSGVO geben“

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 7: Verstöße gegen das Datenschutzrecht – Meldepflichten und Sanktionen

Neue Datenschutzregeln ante portas

Ein Jahr Datenschutz-Grundverordnung

Zeit für eine Zwischenbilanz / Verstärkte Kontrollen geplant

Ein Jahr Datenschutz-Grundverordnung

Das sind die wichtigsten Antworten zum Datenschutz in der Apotheke (Teil 1)

Top-Themen 2018

Das sind die wichtigsten Antworten zum Datenschutz in der Apotheke (Teil 1)

FDP will missbräuchliche Datenschutz-Abmahnungen verhindern

Die DSGVO und ihre Folgen

FDP will missbräuchliche Datenschutz-Abmahnungen verhindern

Was kommt da auf uns zu?

Im Mai 2018 tritt die Europäische Datenschutzgrundverordnung in Kraft

Was kommt da auf uns zu?

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.

Beginn der neutralisierenden Wirkung von Calcium- und Magnesiumcarbonat-basierten Antazida im künstlichen Magenmodell

DOI: 10.52778/efsm.22.0161
Aktuelle Ausgabe
NR. 28
Cover Jetzt online lesen
Aktuelle Ausgabe
NR. 51-52
Cover Jetzt online lesen
Meist gelesen
Meist kommentiert

Meist gelesen

Apothekenangestellte (die nicht in Nordrhein oder Sachsen beschäftigt sind) bekommen ab dem laufenden Monat Juli mehr Gehalt. (Foto: Schelbert)

Mehr Geld und mehr Urlaub für Apothekenangestellte
Bundesfinanzminister Christian Lindner (FDP): Bei der nächsten Kabinettssitzung wird der Haushalt 2025 im Mittelpunkt stehen. (Foto: IMAGO / dts Nachrichtenagentur)

Apothekenreform in der Warteschleife
Wie stark der gewichtsreduzierende Effekt von Inkretinmimetika ist, wurde insbesondere durch die Zulassungsstudien mit Semaglutid als Antidiabetikum deutlich. (Foto: Natalia/AdobeStock)

Semaglutid: vom Antidiabetikum zum Lifestyle-Arzneimittel
Metamizol ist in Europa unter vielen verschiedenen Handelsnamen erhältlich, darunter etwa: Analgin, Berlosin, Novalgin und Novaminsulfon. (Foto: Semi / AdobeStock)

Aus Sicherheitsgründen – Metamizol verliert Zulassung in Finnland

Karte ans Telefon halten oder wie ging das nochmal mit CardLink? Wir beantworten Ihre Fragen. (Foto: IMAGO / MiS)

DAZ-Webinar: CardLink – was Apotheker jetzt wissen müssen

Meist kommentiert

Ist das die Richtung, in die die Apotheke gehen soll: Automaten, Bildschirmberatung und Avatar-Apothekers? (Foto: Alex Schelbert)

Mein liebes Tagebuch
Apothekenangestellte (die nicht in Nordrhein oder Sachsen beschäftigt sind) bekommen ab dem laufenden Monat Juli mehr Gehalt. (Foto: Schelbert)

Mehr Geld und mehr Urlaub für Apothekenangestellte
Wofür wird das „A“ künftig stehen? Die Expertengruppe um den hessischen Verbandschef Seyfarth sieht die Zukunft unter anderem in der Prävention. (IMAGO / Silas Stein)

Apotheken der Zukunft mit neuen Leistungen und viel Prävention
Schon jetzt werden Teile der Arbeit in Apotheken von Maschinen verrichtet: Ein Kommissionier-Automat im Warenlager. (Foto: IMAGO / Eibner Europa)

Übernehmen Maschinen die Apotheke?
CardLink: Was trieb das BMG, das Verfahren durchzuwinken? (Foto: IMAGO / Funke Foto Services)

Wie kam es zum CardLink-Beschluss der Gematik?

ApoNews

Apotheken-Reform
Article teaser image

Magnesium

» Zu den Artikeln
Handverkauf

Pharmazeutische Dienstleistungen

via-Studie

Bürokratiekosten bei 
GKV-Rezepten

Impfen in Apotheken
Article image

Teamschulung

Alles abgedeckt

Versorgung des Ulcus cruris venosum

» mehr
DAZ Abo

Lernen und Punkten »

Arzneimitteltherapiesicherheit

Wege aus der Abhängigkeit

Wege aus der Abhängigkeit