Kein Datenschutzbeauftragter für kleine Apotheken

Die FDP fragte zudem, ob Praxen, Apotheken und andere Gesundheits- und Pflegeeinrichtungen mit weniger als zehn Mitarbeitern einen Datenschutzbeauftragten brauchen. Diese Frage regeln die neuen Vorgaben nicht eindeutig. Doch ein Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hatte bereits Ende April für Licht im Dunkel gesorgt – und auf diesen weist nun auch die Bundesregierung hin: Zwar ist ein Datenschutzbeauftragter auch bei weniger als zehn Mitarbeitern zu bestellen, wenn eine „umfangreiche“ Datenverarbeitung im Sinne einer „Kerntätigkeit“ stattfindet oder eine Datenschutz-Folgeabschätzung nötig ist. Mit Blick auf Erwägungsgründe der DSGVO sei bei der Verarbeitung von Daten in einer Apotheke oder in einer Arztpraxis jedoch nicht per se von einer umfangreichen Datenverarbeitung mit der Folge der Bestellungspflicht eines Datenschutzbeauftragten auszugehen. „Es ist daher weder ein betrieblicher Datenschutzbeauftragter […] zu benennen, noch zwingend eine Datenschutz-Folgeabschätzung […] durchzuführen“, heißt es in der Antwort.

Die Liberalen wollten zudem wissen, wie es mit einem Anspruch auf Löschung von Daten des Patienten aussieht, wenn beispielsweise Apotheken diese Daten zur Verteidigung von Rechtsansprüchen aufbewahren wollen (absolute Verjährungsfrist: 30 Jahre). Hierzu verweist die Regierung auf Artikel 17 Abs. 3 e DSGVO: Danach besteht ein Anspruch der betroffenen Person auf Löschung nicht, wenn die Verarbeitung zu Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. „Es ist deshalb nachvollziehbar, dass es aus Sicht des Leistungserbringers erforderlich sein kann, einzelne Dokumentationen bis zum Ablauf der in § 199 BGB genannten Verjährungsfristen aufzubewahren.“

Missbräuchliche Abmahnungen sollen verhindert werden

Auf die Frage, ob sie eine Abmahnwelle im Gesundheitssektor erwarte, erklärt die Bundesregierung, ihr lägen keine Erkenntnisse vor, dass dieser von Abmahnungen stärker oder weniger stark betroffen sein könnte als andere Bereiche. Die etwa aus Bremen gemeldeten Abmahnungen von Arztpraxen bezögen sich nicht auf gesundheitsspezifische Problemstellungen des Datenschutzes, sondern auf mangelhafte Datenschutzerklärungen auf der Praxis-Internetseite. Die Bundesregierung nehme dennoch die Befürchtungen ernst, dass es zu einer „Abmahnwelle“ kommen könnte. Im Koalitionsvertrag sei bereits vereinbart, dass ein „Missbrauch des bewährten Abmahnrechts verhindert“ werden soll. Gegenwärtig prüfe die Regierung Maßnahmen in diesem Bereich.

Eine Frage drehte sich auch ums Geld: Die FDP-Fraktion hakte nach, wie viel Apotheken und andere Gesundheitsbetriebe für die Einführung und die dauerhafte Umsetzung der Datenschutzregeln zahlen müssen. Dazu lägen der Regierung keine Erkenntnisse vor, heißt es in der Antwort.