Berlin - 15.08.2018, 07:00 Uhr
Nicht in Bayern: Die bayerische Landesregierung hat eine eigene Interpretation der DSGVO beschlossen. Das Innenministerium erklärt nun, dass Apotheker grundsätzlich keinen Datenschutzbeauftragten benennen müssen. (j/Foto: Imago)
Seit knapp drei Monaten gelten in Deutschland neue Datenschutzregeln. Auch für Apotheken gab es Neues zu beachten – aber auch viele Unklarheiten: Dass die Pflicht, einen Datenschutzbeauftragten zu bestellen, auch für Apotheken gelten soll, ist zum Beispiel umstritten. Nun hat die bayerische Landesregierung einen „bayerischen Weg“ für die Umsetzung der neuen Regeln beschlossen. Auf Nachfrage von DAZ.online stellt das Innenministerium klar: Zumindest im Freistaat wird es für Apotheker Ausnahmen und wenige bis gar keine Sanktionen geben.
Seit dem 25. Mai 2018 ist die neue Datenschutzgrundverordnung (DSGVO) scharf geschaltet. Am gleichen Tag trat auch das neu gefasste Bundesdatenschutzgesetz (BDSG) in Kraft. Auch für Apotheker enthalten die neuen Datenschutzregeln viele wichtige Neuerungen: Kurz vor Inkrafttreten der DSGVO hatte DAZ.online seinen Leserinnen und Lesern die Möglichkeit gegeben, Datenschutz-Experten Fragen zur Umsetzung der Regulierungen zu stellen. Innerhalb weniger Tage gingen zahlreiche Mails ein – es ging unter anderem um den Datenschutzbeauftragten, Botendienste, die Rezeptübermittlung und Videoüberwachung.
Vor und nach dem Inkrafttreten der neuen Datenschutzregeln wurde heftig darüber diskutiert, wie streng sie ausgelegt und (bei Nichteinhaltung) sanktioniert werden sollen. Für die Kontrolle der Umsetzung sind die Datenschutzbehörden der Länder zuständig. Noch kurz vor dem Inkrafttreten der DSGVO hatten sich die Behörden in Düsseldorf getroffen, um mit Blick auf Apotheken und Arztpraxen einen wichtigen Punkt zu besprechen: die Bestellung eines Datenschutzbeauftragten. Zur Erinnerung: § 38 BDSG-neu gibt vor, dass der Verantwortliche – im Fall einer Apotheke ist dies der Inhaber der Betriebserlaubnis – einen Datenschutzbeauftragten benennt, soweit er „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt.
Bei ihrem Treffen in Düsseldorf legten die Datenschutzbehörden fest, wie sie die neuen Vorgaben in Sachen Datenschutzbeauftragter in Apotheken auslegen wollen: „Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB).“
Doch der Freistaat Bayern will nun (zumindest politisch) einen anderen Weg gehen. Im Juli beschloss die Landesregierung eine Klarstellung zur neuen DSGVO mit dem Namen „Der Bayerische Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung“. Den Charakter eines Gesetzes oder einer Verordnung hat dieser „bayerische Weg“ nicht – vielmehr klingt er wie eine Interpretation der auf Bundesebene beschlossenen neuen Datenschutz-Grundsätze. In der Klarstellung macht die bayerische Landesregierung deutlich, dass sie auf eine „mittelstandsfreundliche Anwendung des Datenschutzrechtes“ beharre. Die Anwendung müsse „sachgerecht“ und „mit Augenmaß“ erfolgen.
Konkret fordert die Landesregierung in ihrem Beschluss, dass Vereine und Musikkapellen keinen Datenschutzbeauftragten bestellen müssen. Von Apotheken ist an dieser Stelle (noch) nicht die Rede. Gleichzeitig dürfe es grundsätzlich keine Bußgelder bei einem Erstverstoß geben. Die von „Abmahnanwälten“ angekündigten Klagen wolle man nicht hinnehmen. Außerdem müssten weitere Bereiche identifiziert werden, in denen das neue Datenschutzrecht „mit Augenmaß“ ausgelegt werden müsse.
Auf Nachfrage von DAZ.online stellt das bayerische Ministerium nun aber klar, dass auch Apotheken im Freistaat von diesen Sonderregelungen betroffen sein sollen. Was die Bestellung eines Datenschutzbeauftragten betrifft, erklärt ein Sprecher von Innenminister Joachim Herrmann (CSU):
Wie Vereine müssen auch klassische Apotheken grundsätzlich keinen Datenschutzbeauftragten bestellen. Im Mittelpunkt ihrer Tätigkeit steht unabhängig von der Größe der Apotheke die Beratung, nicht die Datenverarbeitung, sodass schon nach bisherigem deutschen Datenschutzrecht und auch nach den geringfügig erweiterten Bestellungspflichten der Datenschutz-Grundverordnung kein betrieblicher Datenschutzbeauftragter bestellt bzw. beauftragt werden muss.
Sprecher des bayerischen Innenministeriums
Zur Erklärung fügte das Ministerium an:
Nicht nur die Personenanzahl (mindestens zehn Personen) ist wichtig. Hinzukommen muss, dass die Personen ständig, also mehr als die Hälfte ihrer Arbeitszeit, nur mit der Datenverarbeitung befasst sind. (…) Zwar kommen die Mitarbeiter täglich mit den Daten der Kunden in Berührung, wenn sie Rezepte der Kunden entgegennehmen und diese abrechnen. Die Verarbeitung dieser personenbezogenen Daten füllt aber nicht die Hälfte ihrer Arbeitszeit aus. Sie sind daher nicht ständig mit der Datenverarbeitung befasst, da sie den Großteil ihrer Zeit auf die Beratung von Kunden und den Verkauf apothekenüblicher Waren und Medikamente verwenden. (…)Nach Art. 37 Datenschutzgrundverordnung (DSGVO) ist außerdem dann ein Datenschutzbeauftragter nötig, wenn das Kerngeschäft des Selbständigen, also die Haupttätigkeit des Apothekers, in der umfangreichen Verarbeitung sog. sensibler Daten liegt, wie z.B. Gesundheitsdaten, und die Datenverarbeitung so umfangreich ist, dass allein vom schieren Umfang der Datenverarbeitung ein Risiko ausgeht. (…)Die Menge an zu verarbeitenden Daten ist allerdings bei einer Apotheke nicht derart umfangreich, dass allein vom schieren Umfang der Datenverarbeitung ein Risiko ausgeht.
Sprecher des bayerischen Innenministeriums
Damit widerspricht das bayerische Innenministerium nicht nur dem oben genannten Beschluss der Landesdatenschutzbehörden, sondern auch der Bundesregierung. Die hatte auf eine Anfrage der FDP-Bundestagsfraktion nämlich klargestellt: Ein Datenschutzbeauftragter ist eigentlich sogar bei weniger als zehn Mitarbeitern zu bestellen, wenn eine „umfangreiche“ Datenverarbeitung im Sinne einer „Kerntätigkeit“ stattfindet oder eine Datenschutz-Folgeabschätzung nötig ist. Da dies aber in Apotheken nicht der Fall sei, könne zumindest in kleineren Betrieben davon abgesehen werden.
Und auch die Datenschutzexperten Dr. Timo Kieser und Svenja Buckstegge (Oppenländer Rechtsanwälte Stuttgart) erklärten in der Fragen-Antwort-Serie auf DAZ.online: „Nach § 38 Abs. 1 BDSG neu ist ein Datenschutzbeauftragter notwendig, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. (…)Nach Art. 37 Abs. 1 c DSGVO ist aber unabhängig von der 10-PersonenSchwelle ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung von Gesundheitsdaten besteht.“
Doch damit nicht genug. Das bayerische Innenministerium erklärte gegenüber DAZ.online, dass die Apotheker noch in weiteren Punkten nicht mit einer strengen Auslegung der DSGVO zu rechnen haben – etwa bei den Sanktionen. Zwar sei jeder Datenschutz-Verstoß ein „rechtswidriger Zustand“. Aber: „Bei einem auf Unkenntnis beruhenden Erstverstoß soll aber auch bei Selbständigen und damit bei Apothekern Beratung Vorrang vor Sanktionen haben.“ Des Weiteren stellt das Ministerium klar, dass man auch „zunehmende Abmahnrisiken“ vermeiden will. Diesbezüglich habe der Freistaat bereits eine Initiative im Bundesrat eingebracht, die vorsieht, dass datenschutzrechtliche Verstöße generell aus dem Anwendungsbereich des Gesetzes gegen unlauteren Wettbewerb (UWG) herausgenommen werden und das Verbandsklagerecht allein auf anerkannte Verbraucherschutzverbände beschränkt wird.
Wie im Beschluss angekündigt, will die Landesregierung nun bald mit den mittelständischen Berufsgruppen ins Gespräch darüber kommen, welche Umsetzungsprobleme bei der DSGVO noch entstehen könnten. Dazu wolle man auch der Landesapothekerkammer Bayern nach der Sommerpause Gespräche anbieten. „Diese Schritte sollen insgesamt dazu dienen, noch verbliebene nationale Regelungsspielräume für eine bürgernahe und mittelstandsfreundliche Umsetzung der DSGVO in der Praxis zu nutzen und die Chancen der EU-Datenschutzreform für die Digitalisierung in Bayern auszuschöpfen“, so der Ministeriumssprecher.
Auch beim bayerischen Landesdatenschutzbeauftragten, Prof. Thomas Petri, hat DAZ.online nachgefragt. Wie ist der Beschluss der Landesregierung zu interpretieren? Petri erklärte: „Dazu möchte ich festhalten, dass der Beschluss die unabhängige Amtsführung der beiden bayerischen Datenschutzbehörden nicht berühren kann und vermutlich auch nicht will. Der Beschluss dient wohl in erster Linie dazu, den Mittelstand zu beruhigen.“
3 Kommentare
Datenschutz
von Sven Larisch am 16.08.2018 um 10:50 Uhr
» Auf diesen Kommentar antworten | 1 Antwort
AW: Datenschutz
von Dr. Ralf Schabik am 17.08.2018 um 8:06 Uhr
Datenschutz in Bayern
von Heiko Barz am 15.08.2018 um 10:58 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Das Kommentieren ist aktuell nicht möglich.