- DAZ.online
- News
- Recht
- Braucht jede Apotheke ...
Datenschutz-Grundverordnung
Braucht jede Apotheke einen Datenschutzbeauftragten?
Die Uhr tickt: Ab dem 25. Mai gelten die EU-Datenschutzgrundverordnung und das neue Bundesdatenschutzgesetz. Auch Apotheken müssen sich den neuen Anforderungen stellen. Eine Frage, die viele Apothekenleiter derzeit umtreibt ist: Brauche ich jetzt einen Datenschutzbeauftragten? Und wenn ja: Wer übernimmt diese Aufgabe am besten?
Die rechtlichen Grundlagen für den Datenschutzbeauftragten finden sich künftig an zwei Stellen. Zum einen in der unmittelbar in allen EU-Mitgliedstaaten geltenden EU-Datenschutzgrundverordnung (DSGVO), zum anderen im neu gefassten Bundesdatenschutzgesetz (BDSG). Beide Regelwerke werden zum 25. Mai in Kraft treten.
§ 38 BDSG-neu gibt vor, dass der Verantwortliche – im Fall einer Apotheke ist dies der Inhaber der Betriebserlaubnis – einen Datenschutzbeauftragten benennt, soweit er „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt. Eine entsprechende Regelung gibt es auch im jetzt noch geltenden Bundesdatenschutzgesetz. Zu zählen sind alle Apotheken-Mitarbeiter, die auf die automatisierte Datenverarbeitung zugreifen, nicht aber zum Beispiel Reinigungspersonal. Entscheidend sind dabei die Köpfe und nicht, ob die Personen teil- oder vollzeitbeschäftigt sind. Hat eine Apotheke mehrere Filialen, sind die Mitarbeiter aller Filialen mitzuzählen.
Mehr zum Thema
Thema: Datenschutz
Datenschutzgrundverordnung
Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 3: Wächter über den Datenschutz: Der Datenschutzbeauftragte
Neue Datenschutzregeln ante portas
Was ändert sich durch die Umsetzung der Datenschutz-Grundverordnung?
Der Datenschutzbeauftragte in der Apotheke
Hinzu kommt nun Art. 37 DSGVO. Dieser schreibt vor, dass der Verantwortliche „auf jeden Fall einen Datenschutzbeauftragten“ benennt, wenn seine „Kerntätigkeit“ in der „umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9“ besteht. In eine solche besondere Kategorie von Daten fallen unter anderem Gesundheitsdaten – sie dürfen nur unter bestimmten Voraussetzungen verarbeitet werden. Bei Apotheken sind dies insbesondere Rezeptdaten.
Was bedeutet das für die (kleine) Apotheke?
Diese Vorgaben sind leider nicht ganz so klar, wie man
sich es wünschen würde. Es lässt sich nicht einmal sicher sagen, dass eine
Apotheke, die weniger als zehn Personen beschäftigt, die sich mit automatischer
Datenverarbeitung befassen, keinen
Datenschutzbeauftragten benötigt. Hier wird es darauf ankommen, ob
die Verarbeitung von Gesundheitsdaten als „Kerntätigkeit“ und als „umfangreich“
anzusehen ist. ABDA-Juristen sehen bereits den Schwerpunkt der apothekerlichen Tätigkeit in
der Abgabe und Beratung zu Arzneimitteln, Medizinprodukten und
apothekenüblichen Waren und nicht in der Datenverarbeitung. Damit seien Apotheker
nicht von der Regelung umfasst.
Nimmt man jedoch an, dass die Verarbeitung von Gesundheitsdaten, insbesondere durch die Bearbeitung von Rezepten, doch eine Kerntätigkeit ist, stellt sich die Frage, ob sie als „umfangreich“ zu werten ist.
Datenschutzbehörden: In der Regel nicht umfangreich
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein schreibt hierzu in einem Informationsblatt für Heilberufler:
„Zwar wird man im Hinblick auf die Bedeutung der Dokumentation und der Verwaltung von Patientendaten davon ausgehen können, dass die Verarbeitung solcher Daten zur Kerntätigkeit in Arztpraxen, Apotheken etc. gehört. Allerdings wird in den allermeisten Fällen nicht von einer Verarbeitung in großem Maßstab auszugehen sein. Etwas anderes gilt nur in besonders gelagerten Fällen, in denen der Umfang der Verarbeitung von Gesundheitsdaten (…) weit über das hinausgeht, was in einer üblichen Arztpraxis anzutreffen ist. In einem solchen Fall ist die Benennung eines betrieblichen DSB verpflichtend.“
Von einer „umfangreichen“
Verarbeitung dürfte etwa auszugehen sein, wenn eine Apotheke in der
Heim- und/oder Krankenausversorgung tätig ist oder im großen Stil
Medikationsmanagement betreibt. Das sind sicherlich kaum Apotheken, die weniger als zehn mit Datenverarbeitung Beschäftigte haben.
Ende April hat zudem die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder einen Beschluss gefasst. Darin heißt es: „Bei Ärzten, Apothekern oder sonstigen Angehörigen eines
Gesundheitsberufs (...) ist in der Regel nicht von
einer umfangreichen Verarbeitung besonderer Kategorien von
personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DS-GVO
auszugehen". Hier sei dann kein Datenschutzbeauftragter zu benennen, wenn weniger als zehn Personen mit der
Verarbeitung personenbezogener Daten beschäftigt sind. Doch die Behörden nennen auch eine Ausnahme: Wenn in diesen Apotheken ein hohes Risiko für die Rechte und Freiheiten bei der
Verarbeitung personenbezogener Daten zu erwarten ist, sei eine
Datenschutz-Folgenabschätzung vorgeschrieben – und damit zwingend ein
Datenschutzbeauftragter zu benennen.
Datenschutz-Folgenabschätzung
Die Datenschutz-Folgenabschätzung zielt darauf ab, die potenzielle Gefährdung für die Rechte der Betroffenen bei der umfangreiche Verarbeitung solcher besonderer Daten“ geht, genau zu prüfen: Der Grad dieser Gefährdung soll genauer bestimmt und festgestellt werden, ob hinreichende Schutzmechanismen getroffen worden sind. Hier besteht allerdings noch Klärungsbedarf, was das für Apotheken bedeutet. Die datenschutzrechtlichen Aufsichtsbehörden sollen hier eine verbindliche Liste der Verarbeitungsvorgänge erstellen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. Noch ist dies nicht geschehen. Doch es ist davon auszugehen, dass hier Herausforderungen auf Apotheken zukommen. Bis dahin sollten Apotheken selbst sorgsam abwägen, ob und wann sie eine solche Abschätzung vornehmen – und dies protokollieren.
Mehr zum Thema
Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 4: Neue Risikobewertung – Die Datenschutz-Folgenabschätzung
Neue Datenschutzregeln ante portas
Ein Umstand, der einen Datenschutzbeauftragten nötig macht, selbst wenn es sich um einen Kleinbetrieb mit weniger als zehn relevant Beschäftigten handelt, ist beispielsweise eine weitläufige Videoüberwachung. Ebenso die Verwendung biometrischer Systeme in der Apotheke.
Im Zweifel nachfragen
Wer meint, mit seiner kleinen Apotheke nicht unter die neuen Vorgaben
zu fallen, aber auf Nummer sicher gehen will, sollte sich am besten bei seiner zuständigen Datenschutzbehörde
erkundigen, wie sie diese Fälle handhabt. Unter Datenschutzexperten gibt es durchaus auch die Auffassung, dass für eine Apotheke
per se die Pflicht besteht, einen Datenschutzbeauftragten zu bestellen, weil die
von ihr verarbeiteten Daten einem besonderen gesetzlichen Schutz unterliegen
(§ 203 Strafgesetzbuch – Verletzung von Privatgeheimnissen).
Externer oder interner Datenschutzbeauftragter?
Kommt man nun zu dem Schluss, dass ein betrieblicher Datenschutzbeauftragter zu benennen ist, stellt sich die Frage, ob dieser intern oder extern zu bestellen ist. Ausgeschlossen für diese Aufgabe ist auf jeden Fall der Apothekeninhaber. Pharmazeutisches Personal kann sie jedoch grundsätzlich übernehmen. Wichtig ist aber, dass der Datenschutzbeauftragte die notwendige Fachkunde zu Datenschutzrecht und -praxis besitzt oder sich in kurzer Zeit durch eine Schulung verschafft.
Für einen internen Beauftragten spricht, dass dieser die Abläufe in der Apotheke gut kennt und gut erreichbar ist. Es muss allerdings sichergestellt sein, dass er bei seinen datenschutzrechtlichen Aufgaben unabhängig ist und frei von Interessenkollisionen arbeiten kann. Zudem ist zu beachten, dass er arbeitsrechtlich privilegiert und praktisch unkündbar ist. Vorteil eines externen Datenschutzbeauftragten ist, dass dieser in der Regel bereits qualifiziert ist und einen besseren Überblick über die übliche Umsetzung von Datenschutzvorgaben hat. Der Apothekeninhaber muss allerdings darauf achten, dass sich diese Person mit den Betriebsabläufen und Datenverarbeitungsvorgängen der Apotheke wirklich vertraut macht. Es gibt auch preisgünstige Anbieter, die die Apotheke gar nicht von innen kennen – ein solcher dürfte nicht ausreichen.
Ist der Datenschutzbeauftragte schließlich ausgewählt, so besteht eine Meldepflicht gegenüber der Aufsichtsbehörde. Die Kontaktdaten des Beauftragten sind überdies allgemein zu veröffentlichen. Sein tatsächlicher Name muss dabei nicht preisgegeben werden. Es reichen Adresse und Telefonnummer und/oder E-Mail-Adresse (datenschutzbeauftragter@xy-apotheke.de), unter der er zu erreichen ist. Die Landesdatenschutzbehörden wollen hierzu ab dem 25. Mai ein einheitliches Online-Meldeformular zur Verfügung stellen.
Bei all dem ist zu beachten, dass der Apothekeninhaber durch die Bestellung eines Datenschutzbeauftragten dennoch für Verstöße gegen den Datenschutz verantwortlich bleibt. Ihn treffen etwaige Sanktionen – und die können hart sein. Bei Pflichtverletzungen durch einen externen Datenschutzbeauftragten können allerdings Schadenersatzansprüche des Inhabers entstehen. Auch wenn der Apothekenleiter sich nicht um den Datenschutzbeauftragten kümmert, obwohl er es müsste, muss er mit empfindlichen Bußgeldern rechnen.
1 Kommentar
Datenschutz....?
von Heiko Barz am 04.05.2018 um 11:47 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Das Kommentieren ist aktuell nicht möglich.