Recht

Ein Jahr Datenschutz-Grundverordnung

Zeit für eine Zwischenbilanz / Verstärkte Kontrollen geplant

Vor einigen Jahren hätte sich wohl kaum ein Apotheker träumen lassen, in welchem Umfang er sich einmal mit dem Datenschutz befassen würde. Damals führte das Thema unter dem ­alten Datenschutzregime noch ein Schattendasein. Das änderte sich mit dem Wirksamwerden der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018. Nun ist die DSGVO schon ein Jahr alt. Grund genug für eine kleine Zwischenbilanz.

Vor einem Jahr war die Aufregung groß. Kaum ein Unternehmen war sich sicher, die Vorgaben der DSGVO ausreichend umgesetzt zu haben, und Spekulationen in den Medien zu möglichen Abmahnwellen und hohen Bußgeldern taten ihr Übriges. Mittlerweile hat sich die Aufregung gelegt. Als wiederkehrendes Thema in den Medien hat sich die DSGVO aber gehalten. Insbesondere haben Berichte über geschwärzte Fotos in Kindergärten, verschwundene Klingelschilder oder die abgesagte Wunsch­zettel-Aktion auf dem Rother Weihnachtsmarkt über das ganze Jahr hinweg für Schlagzeilen und einiges Schmunzeln gesorgt. Oftmals lagen diese datenschutzrechtlichen Kuriositäten jedoch nicht in der DSGVO selbst begründet, sondern in der fehlenden Kenntnis ihrer Vorschriften und Rechtsunsicherheiten bei den Verantwortlichen.

Beratung im Vordergrund

Angesichts der bestehenden Rechtsunsicherheiten haben sich die Datenschutz-Aufsichtsbehörden der Länder entgegen allen Befürchtungen im ersten Jahr der DSGVO vorrangig auf die Beratung konzentriert. Mit Kurzpapieren, Orientierungshilfen, FAQ-Listen und Stellungnahmen wollten sie Verantwortliche bei der Um­setzung der Vorschriften unterstützen und zu einer einheitlichen Rechtsanwendung beitragen. Aufgrund der besonderen, dem Föderalismus geschuldeten Struktur in Deutschland mit 17 Landesdatenschutzbeauftragten und einem Bundesdatenschutzbeauftragten ist die einheitliche Anwendung der DSGVO allerdings eine Herausforderung. Nicht immer sind sich die Datenschutz-Aufsichts­behörden einig. So muss beispielsweise die Apotheke in Nordrhein-Westfalen, wenn sie der Auffassung ihres Landesbeauftragten für Datenschutz und Informationsfreiheit folgt, einen Auftragsver­arbeitungsvertrag schließen mit dem Steuerberater, den sie für die Lohnbuchhaltung einsetzt, während nach Auffassung des Bayerischen Landesamts für Datenschutzaufsicht der Steuer­berater für die Lohnbuchhaltung eigenverantwortlich tätig wird und daher kein Auftragsverarbeiter ist.

Foto: stock.adobe.com – Andrey Popov
Wachsam und vorbereitet sein – es könnte sein, dass das Auge des Gesetzes dieses Jahr die Einhaltung der DSGVO-Bestimmungen genauer überprüft.

Bilanz der Aufsichts­behörden

Diese unterschiedlichen Rechtsauffassungen machen die Anwendung der DSGVO für die Verantwortlichen nicht einfacher. Umso wichtiger war es, dass sich die Datenschutz-Aufsichtsbehörden bisher mit der Verteilung von Bußgeldern zurückgehalten haben. Nach einer Umfrage der „Welt am Sonntag“ bei den Datenschutz-Aufsichtsbehörden der Länder haben diese im vergangenen Jahr ins­gesamt 81 Bußgelder in einer Gesamthöhe von 485.490 Euro verhängt. An der Umfrage haben sich bis auf die Behörde aus Mecklenburg-Vorpommern alle Datenschutz-Aufsichtsbehörden beteiligt. Danach ist Spitzenreiter hinsichtlich der Bußgeldhöhe Baden-Württemberg mit sieben Bußgeldern in einer Gesamthöhe von 203.000 Euro. Die weiteren Bußgelder verteilen sich wie folgt: Rheinland-Pfalz (9 Fälle/124.000 Euro), Berlin (18 Fälle/105.000 Euro), Hamburg (2 Fälle/25.000 Euro), Nordrhein-Westfalen (36 Fälle/15.600 Euro), Sachsen-Anhalt (6 Fälle/11.700 Euro) und Saarland (3 Fälle/590 Euro). Daraus ergibt sich eine durchschnittliche Bußgeldhöhe von 6000 Euro pro Verstoß, wobei die tatsächliche Höhe von Fall zu Fall stark variiert. Insgesamt hielten sich die Bußgelder jedoch im Rahmen.

Ein ähnliches Bild zeigt sich auf europäischer Ebene. Hier hat der Europäische Datenschutzausschuss schon vor drei Monaten einen ersten Bericht zur Umsetzung der DSGVO veröffentlicht. Dieser zeigt, dass die elf befragten Mitgliedstaaten zu diesem Zeitpunkt insgesamt Bußgelder in Höhe von fast 56 Mio. Euro verhängt hatten, wobei davon jedoch allein 50 Mio. Euro auf ein von der französischen Datenschutz-Aufsichtsbehörde gegen Google erlassenes Bußgeld zurückzuführen sind.

2019 wird das Jahr der Kontrollen

Es ist nicht zu erwarten, dass die Datenschutz-Aufsichtsbehörden im zweiten Jahr der DSGVO weiterhin so zurückhaltend mit den Bußgeldern sein werden. Der Landesbeauftragte für den Datenschutz und die Informations­freiheit Baden-Württemberg hat schon angekündigt, dass „2019 das Jahr der Kontrolle“ wird. Es sollen 250 angekündigte und unangekündigte Kontrollen durchgeführt werden. Ein Schwerpunkt der Kontrollen wird das Gesundheitswesen sein. Hier stehen insbesondere Krankenhäuser, Arztpraxen und Apotheken im Fokus. Die Kontrollen können durch Beschwerden ausgelöst werden, aber auch anlasslos erfolgen. Es ist daher ratsam, anlässlich der einjährigen Geltung der DSGVO die Einhaltung der Datenschutzvorschriften in der Apotheke noch einmal einer kritischen Prüfung zu unterziehen. Grund zur Panik besteht jedoch nicht. So hat der Landesdatenschutzbeauftragte auch darauf hingewiesen, dass nicht jeder entdeckte Verstoß zwingend zu einem Bußgeld führen wird und die Be­ratung weiterhin das Mittel der Wahl bleibt.

Und die Gerichte?

Gerichtsentscheidungen zur DSGVO sind aufgrund der Verfahrensdauern im vergangenen Jahr naturgemäß noch nicht sehr viele ergangen. Instanzgerichtliche Entscheidungen befassten sich insbesondere mit der Frage, ob Verstöße gegen die DSGVO nach wettbewerbsrechtlichen Vorschriften abgemahnt werden können. Wir berichteten darüber in der AZ 2018, Nr. 46, S. 5. Ein einheitliches Meinungsbild zu der Frage gibt es auch sechs Monate später nicht. Die Urteile der Landgerichte fallen unterschiedlich aus.

Eine erste Entscheidung zum Auskunftsrecht hat das Landes­arbeitsgericht Stuttgart erlassen (LAG Stuttgart, Urt. v. 20.12.2018, Az. 17 Sa 11/18). Der Auskunftsanspruch ist Teil der Betroffenenrechte und wird mit zunehmender Informiertheit der Betroffenen eine größere Rolle spielen. Es ist zu erwarten, dass zukünftig auch einzelne Kunden und/oder Mitarbeiter der Apotheke den Auskunftsanspruch geltend machen, wenn dies nicht sogar schon geschehen ist. Nach Art. 15 DSGVO kann der Betroffene von dem Verantwortlichen Auskunft über die von diesem verarbeiteten personenbezogenen Daten ver­langen. Welche Informationen dem Betroffenen zusätzlich zur Ver­fügung zu stellen sind, ist in Art. 15 DSGVO aufgeführt. Es handelt sich um die folgenden Angaben zu den personenbezo­genen Daten:

  • die Verarbeitungszwecke (z. B. Kundenkarte, Rezept­abrechnung),
  • die Kategorien personenbezo­gener Daten (z. B. Adressdaten, Rezeptdaten),
  • die Empfänger oder Kategorien von Empfängern der Daten und ob diese in einem Drittland sitzen (z. B. Gesetzliche Krankenkasse, Rechenzentrum),
  • falls möglich die geplante Speicherdauer oder ansonsten die Kriterien für die Speicherdauer,
  • das Bestehen der Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen die Datenverarbeitung,
  • das Bestehen eines Beschwerderechts bei einer Aufsichts­behörde,
  • die Herkunft der Daten, falls sie nicht bei der betroffenen Person selbst erhoben werden;
  • das Bestehen einer automatisierten Entscheidungsfindung.

Über die Einzelheiten der zu machenden Angaben bestehen allerdings noch Unsicherheiten, beispielsweise darüber, wann die Empfänger der Daten namentlich zu benennen sind und wann die Angabe einer Empfängerkategorie ausreicht. Das Landesarbeitsgericht Stuttgart ging in der genannten Entscheidung davon aus, dass der Arbeitgeber dem Arbeitnehmer im Rahmen der geforderten Auskunft über sämtliche Verhaltens- und Leistungsdaten die konkreten Empfänger zu benennen hat.

Zum „Nach“-Lesen

Die Beiträge zu „Sechs Monate DSGVO – ein Zwischenfazit“ finden Sie in folgenden AZ-Ausgaben:

Anspruch auf Kopie der Daten

Neben der Auskunft hat der Betroffene Anspruch auf eine Kopie der Daten. Inhalt und Umfang dieses Anspruchs sind allerdings ebenfalls ungeklärt. Es ist zum Beispiel umstritten, ob dem Arbeitnehmer eine Kopie der gesamten Personalakte zur Verfügung gestellt werden muss. Leider hat das Landesarbeitsgericht in seiner Entscheidung, in der es den Arbeitgeber auch verurteilte, dem Arbeitnehmer eine Kopie seiner personenbezogenen Leistungs- und Verhaltensdaten zur Ver­fügung zu stellen, weitgehend offengelassen, was es unter einer solchen Kopie versteht.

Es bleibt daher abzuwarten, wie sich die Rechtsprechung zu diesen Fragen entwickelt. Angesichts der kurzen Fristen, die für die Beantwortung von Auskunftsersuchen gelten – die Auskunft ist innerhalb eines Monats zu erteilen –, ist es ratsam, sich schon im Vorfeld Gedanken zu machen, wie Auskünfte in der Apotheke erteilt werden, und gegebenenfalls einen entsprechenden Prozess und ein Musterschreiben zu erstellen.

Fazit

Auf das erste Jahr der DSGVO, in dem viele Apotheken noch mit der Umsetzung der neuen Datenschutzvorschriften beschäftigt waren, könnte nun ein Jahr der Kon­trollen folgen. Es wird sich zeigen, ob neben dem Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg auch die anderen Datenschutz-Aufsichtsbehörden ihre Kontrolltätigkeiten verstärken. Jedenfalls darf mit weiteren Gerichtsentscheidungen nationaler Gerichte und des Europäischen Gerichtshofs gerechnet werden, die hoffentlich einige der zahlreichen Rechtsunsicherheiten bei der Anwendung der DSGVO beseitigen. |

Dr. Svenja Buckstegge, Oppenländer Rechtsanwälte Stuttgart

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.