„Bayerischer Weg“ für die DSGVO

Innenministerium Bayern: Apotheken brauchen keinen Datenschutzbeauftragten

Berlin - 15.08.2018, 07:00 Uhr

Nicht in Bayern: Die bayerische Landesregierung hat eine eigene Interpretation der DSGVO beschlossen. Das Innenministerium erklärt nun, dass Apotheker grundsätzlich keinen Datenschutzbeauftragten benennen müssen. (j/Foto: Imago)

Nicht in Bayern: Die bayerische Landesregierung hat eine eigene Interpretation der DSGVO beschlossen. Das Innenministerium erklärt nun, dass Apotheker grundsätzlich keinen Datenschutzbeauftragten benennen müssen. (j/Foto: Imago)


Seit knapp drei Monaten gelten in Deutschland neue Datenschutzregeln. Auch für Apotheken gab es Neues zu beachten – aber auch viele Unklarheiten: Dass die Pflicht, einen Datenschutzbeauftragten zu bestellen, auch für Apotheken gelten soll, ist zum Beispiel umstritten. Nun hat die bayerische Landesregierung einen „bayerischen Weg“ für die Umsetzung der neuen Regeln beschlossen. Auf Nachfrage von DAZ.online stellt das Innenministerium klar: Zumindest im Freistaat wird es für Apotheker Ausnahmen und wenige bis gar keine Sanktionen geben.

Seit dem 25. Mai 2018 ist die neue Datenschutzgrundverordnung (DSGVO) scharf geschaltet. Am gleichen Tag trat auch das neu gefasste Bundesdatenschutzgesetz (BDSG) in Kraft. Auch für Apotheker enthalten die neuen Datenschutzregeln viele wichtige Neuerungen: Kurz vor Inkrafttreten der DSGVO hatte DAZ.online seinen Leserinnen und Lesern die Möglichkeit gegeben, Datenschutz-Experten Fragen zur Umsetzung der Regulierungen zu stellen. Innerhalb weniger Tage gingen zahlreiche Mails ein – es ging unter anderem um den Datenschutzbeauftragten, Botendienste, die Rezeptübermittlung und Videoüberwachung.

Vor und nach dem Inkrafttreten der neuen Datenschutzregeln wurde heftig darüber diskutiert, wie streng sie ausgelegt und (bei Nichteinhaltung) sanktioniert werden sollen. Für die Kontrolle der Umsetzung sind die Datenschutzbehörden der Länder zuständig. Noch kurz vor dem Inkrafttreten der DSGVO hatten sich die Behörden in Düsseldorf getroffen, um mit Blick auf Apotheken und Arztpraxen einen wichtigen Punkt zu besprechen: die Bestellung eines Datenschutzbeauftragten. Zur Erinnerung: § 38 BDSG-neu gibt vor, dass der Verantwortliche – im Fall einer Apotheke ist dies der Inhaber der Betriebserlaubnis – einen Datenschutzbeauftragten benennt, soweit er „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt.

Datenschutzbehörden: Ein Beauftragter nur in größeren Apotheken

Bei ihrem Treffen in Düsseldorf legten die Datenschutzbehörden fest, wie sie die neuen Vorgaben in Sachen Datenschutzbeauftragter in Apotheken auslegen wollen: „Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB).“

Doch der Freistaat Bayern will nun (zumindest politisch) einen anderen Weg gehen. Im Juli beschloss die Landesregierung eine Klarstellung zur neuen DSGVO mit dem Namen „Der Bayerische Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung“. Den Charakter eines Gesetzes oder einer Verordnung hat dieser „bayerische Weg“ nicht – vielmehr klingt er wie eine Interpretation der auf Bundesebene beschlossenen neuen Datenschutz-Grundsätze. In der Klarstellung macht die bayerische Landesregierung deutlich, dass sie auf eine „mittelstandsfreundliche Anwendung des Datenschutzrechtes“ beharre. Die Anwendung müsse „sachgerecht“ und „mit Augenmaß“ erfolgen.

Innenministerium: Nicht die Größe der Apotheker zählt, sondern ihre Tätigkeit

Konkret fordert die Landesregierung in ihrem Beschluss, dass Vereine und Musikkapellen keinen Datenschutzbeauftragten bestellen müssen. Von Apotheken ist an dieser Stelle (noch) nicht die Rede. Gleichzeitig dürfe es grundsätzlich keine Bußgelder bei einem Erstverstoß geben. Die von „Abmahnanwälten“ angekündigten Klagen wolle man nicht hinnehmen. Außerdem müssten weitere Bereiche identifiziert werden, in denen das neue Datenschutzrecht „mit Augenmaß“ ausgelegt werden müsse.

Auf Nachfrage von DAZ.online stellt das bayerische Ministerium nun aber klar, dass auch Apotheken im Freistaat von diesen Sonderregelungen betroffen sein sollen. Was die Bestellung eines Datenschutzbeauftragten betrifft, erklärt ein Sprecher von Innenminister Joachim Herrmann (CSU):


Wie Vereine müssen auch klassische Apotheken grundsätzlich keinen Datenschutzbeauftragten bestellen. Im Mittelpunkt ihrer Tätigkeit steht unabhängig von der Größe der Apotheke die Beratung, nicht die Datenverarbeitung, sodass schon nach bisherigem deutschen Datenschutzrecht und auch nach den geringfügig erweiterten Bestellungspflichten der Datenschutz-Grundverordnung kein betrieblicher Datenschutzbeauftragter bestellt bzw. beauftragt werden muss. 

Sprecher des bayerischen Innenministeriums


Zur Erklärung fügte das Ministerium an:


Nicht nur die Personenanzahl (mindestens zehn Personen) ist wichtig. Hinzukommen muss, dass die Personen ständig, also mehr als die Hälfte ihrer Arbeitszeit, nur mit der Datenverarbeitung befasst sind.  (…)  Zwar kommen die Mitarbeiter täglich mit den Daten der Kunden in Berührung, wenn sie Rezepte der Kunden entgegennehmen und diese abrechnen. Die Verarbeitung dieser personenbezogenen Daten füllt aber nicht die Hälfte ihrer Arbeitszeit aus. Sie sind daher nicht ständig mit der Datenverarbeitung befasst, da sie den Großteil ihrer Zeit auf die Beratung von Kunden und den Verkauf apothekenüblicher Waren und Medikamente verwenden. (…)Nach Art. 37 Datenschutzgrundverordnung (DSGVO) ist außerdem dann ein Datenschutzbeauftragter nötig, wenn das Kerngeschäft des Selbständigen, also die Haupttätigkeit des Apothekers, in der umfangreichen Verarbeitung sog. sensibler Daten liegt, wie z.B. Gesundheitsdaten, und die Datenverarbeitung so umfangreich ist, dass allein vom schieren Umfang der Datenverarbeitung ein Risiko ausgeht. (…)Die Menge an zu verarbeitenden Daten ist allerdings bei einer Apotheke nicht derart umfangreich, dass allein vom schieren Umfang der Datenverarbeitung ein Risiko ausgeht.

Sprecher des bayerischen Innenministeriums


Bayern widersprechen der Bundesregierung

Damit widerspricht das bayerische Innenministerium nicht nur dem oben genannten Beschluss der Landesdatenschutzbehörden, sondern auch der Bundesregierung. Die hatte auf eine Anfrage der FDP-Bundestagsfraktion nämlich klargestellt: Ein Datenschutzbeauftragter ist eigentlich sogar bei weniger als zehn Mitarbeitern zu bestellen, wenn eine „umfangreiche“ Datenverarbeitung im Sinne einer „Kerntätigkeit“ stattfindet oder eine Datenschutz-Folgeabschätzung nötig ist. Da dies aber in Apotheken nicht der Fall sei, könne zumindest in kleineren Betrieben davon abgesehen werden.

Und auch die Datenschutzexperten Dr. Timo Kieser und Svenja Buckstegge (Oppenländer Rechtsanwälte Stuttgart) erklärten in der Fragen-Antwort-Serie auf DAZ.online: „Nach § 38 Abs. 1 BDSG neu ist ein Datenschutzbeauftragter notwendig, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. (…)Nach Art. 37 Abs. 1 c DSGVO ist aber unabhängig von der 10­-Personen­Schwelle ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung von Gesundheitsdaten besteht.“

Was sagt der Landesdatenschutzbeauftragte dazu?

Doch damit nicht genug. Das bayerische Innenministerium erklärte gegenüber DAZ.online, dass die Apotheker noch in weiteren Punkten nicht mit einer strengen Auslegung der DSGVO zu rechnen haben – etwa bei den Sanktionen. Zwar sei jeder Datenschutz-Verstoß ein „rechtswidriger Zustand“. Aber: „Bei einem auf Unkenntnis beruhenden Erstverstoß soll aber auch bei Selbständigen und damit bei Apothekern Beratung Vorrang vor Sanktionen haben.“ Des Weiteren stellt das Ministerium klar, dass man auch „zunehmende Abmahnrisiken“ vermeiden will. Diesbezüglich habe der Freistaat bereits eine Initiative im Bundesrat eingebracht, die vorsieht, dass datenschutzrechtliche Verstöße generell aus dem Anwendungsbereich des Gesetzes gegen unlauteren Wettbewerb (UWG) herausgenommen werden und das Verbandsklagerecht allein auf anerkannte Verbraucherschutzverbände beschränkt wird.

Wie im Beschluss angekündigt, will die Landesregierung nun bald mit den mittelständischen Berufsgruppen ins Gespräch darüber kommen, welche Umsetzungsprobleme bei der DSGVO noch entstehen könnten. Dazu wolle man auch der Landesapothekerkammer Bayern nach der Sommerpause Gespräche anbieten. „Diese Schritte sollen insgesamt dazu dienen, noch verbliebene nationale Regelungsspielräume für eine bürgernahe und mittelstandsfreundliche Umsetzung der DSGVO in der Praxis zu nutzen und die Chancen der EU-Datenschutzreform für die Digitalisierung in Bayern auszuschöpfen“, so der Ministeriumssprecher.

Landesdatenschutzbeauftragter Petri: Amtsführung der Datenschutzbehörde davon unberührt

Auch beim bayerischen Landesdatenschutzbeauftragten, Prof. Thomas Petri, hat DAZ.online nachgefragt. Wie ist der Beschluss der Landesregierung zu interpretieren? Petri erklärte: „Dazu möchte ich festhalten, dass der Beschluss die unabhängige Amtsführung der beiden bayerischen Datenschutzbehörden nicht berühren kann und vermutlich auch nicht will. Der Beschluss dient wohl in erster Linie dazu, den Mittelstand zu beruhigen.“



Benjamin Rohrer, Chefredakteur DAZ.online
brohrer@daz.online


Diesen Artikel teilen:


3 Kommentare

Datenschutz

von Sven Larisch am 16.08.2018 um 10:50 Uhr

Nachdem das "neue" Datenschutzgesetz sich abzeichnete brach ja bei vielen Apothekern ein wenig Panik aus. Nun dieses Verwirrspiel der Bayern, die aus den europäischen Richtlinien gleich eine Landesinterpretation machen (sorry liebe Bayern - hier ist der Bund zuständig). Der Quatsch mit einem "Datenschutzbeauftragten" ja oder nein erübrigt sich, wenn die Politik wüsste, das in der Apotheke die gleiche Verschwiegenheitspflicht wie bei Ärzten besteht, seit Jahren diskrete Beratung im Fokus steht und das gesamte Gesetz eigentlich für global Player wie Google, Amazone und Co. gedacht war. Es ist nicht gedacht jedem Kleinbetrieb die armseligen Klageanwälte auf den Hals zu hetzen und ihn zu gängeln. Leider hat die Regierung total verpasst, das lange vor in Kraft treten bekannte Papier der EU zeitig!!!! in die eigenen Datenschutzrichtlinien zu integrieren. Eindeutig ist das ganze ein Volversagen einer unfähigen Politik.

» Auf diesen Kommentar antworten | 1 Antwort

AW: Datenschutz

von Dr. Ralf Schabik am 17.08.2018 um 8:06 Uhr

Wer ist denn nun zuständig ? Wirklich der "Bund" ? Oder nicht eher "Europa" ? Fakt ist, dass in KEINEM Land der EU ein auch nur annähernd vergleichbar schwachsinniger Interpretations-Wahnsinn Einzug gehalten hat wie in Deutschland. Weit über das hinausgehend, was auf den offiziellen Seiten der EU zu recherchieren ist. Also brauchen wir jemanden, der hier mal Augenmaß ins Spiel bringt. Und wenn es "der Bund" wie so oft nicht auf die Reihe bringt, dann halt mal wieder Bayern :-)
Wobei ich aus meinen Erfahrungen mit ihm bei Minister Herrmann ausdrücklich einwerfen möchte, dass er auch unabhängig von Wahlen immer ein offenes Ohr für die Belange der Bürger hat.

Datenschutz in Bayern

von Heiko Barz am 15.08.2018 um 10:58 Uhr

Alles vernünftig, nur der letzte Satz des Datenschutzbeauftragten gibt zu denken „ der Beschluß dient wohl in erster Linie dazu, den Mittelstand zu BERUHIGEN“!
Arroganter kann man wohl seine Verachtung dieser Bayrischen Regierungsmeinung nicht zum Ausruck bringen.
So ähnlich klingt dann auch der Satz in dem Koalitionsvertrag, „wir werden uns um das Versandhandelsverbot KÜMMERN“

» Auf diesen Kommentar antworten | 0 Antworten

Das Kommentieren ist aktuell nicht möglich.