„Es kann keinen ‚bayerischen Weg‘ bei der Umsetzung der DSGVO geben“

Die Aussage des bayerischen Innenministeriums, dass Apotheken keinen Datenschutzbeauftragten benötigen, sorgt derzeit für viel Wirbel in Apotheken. Was war passiert? Die bayerische Landesregierung hatte Ende Juli einen Beschluss gefasst, in dem angekündigt wurde, dass der Freistaat einen „bayerischen Weg“ bei der Umsetzung der neuen Datenschutz-Grundverordnung (DSGVO) und des erneuerten Bundesdatenschutzgesetzes (BDSG) gehen werde. Laut Beschluss sollen die neuen Regeln mit „Augenmaß“ umgesetzt werden, etwa sollen Vereine keinen Datenschutzbeauftragten bestellen müssen und Sanktionen sollen grundsätzlich nur im Notfall ausgesprochen werden.

DAZ.online fragte daraufhin beim Innenministerium nach: Treffen diese Aussagen auch auf Apotheken im Freistaat zu? Die Antwort des Innenministeriums überraschte: Ja, Apotheken brauchen keinen Datenschutzbeauftragten, weil sie nicht ständig mit automatisierten, personenbezogenen Daten zu tun haben. Damit stellt sich das Ministerium nicht nur gegen eine Einschätzung der Bundesregierung zu dem Thema, sondern auch gegen einen Beschluss aller Landesdatenschutzbehörden der Bundesländer. Die hatten sich zur Interpretation der DSGVO darauf geeinigt, dass die Pflicht einen Datenschutzbeauftragten zu bestellen für Apotheken gilt, wenn sie mehr als zehn Mitarbeiter beschäftigen.

Kranig: Die DSGVO ist unmittelbar anwendbares Recht

Nun meldet sich auch das Bayerische Landesamt für Datenschutzaufsicht in der Sache zu Wort und erhebt Vorwürfe gegen das Ministerium. Gegenüber DAZ.online stellt Behörden-Präsident Thomas Kranig zunächst klar: „Die am 25. Mai 2018 anwendbar gewordene Datenschutzgrundverordnung (DSGVO) ist unmittelbar anwendbares europäisches Recht. Dies bedeutet, dass in allen Mitgliedstaaten der Europäischen Union dieses Recht auch einheitlich vollzogen werden muss, so dass es einen abweichenden ‚Bayerischen Weg‘ bei der Umsetzung der DSGVO naturgemäß nicht geben kann.“ Kranig weist darauf hin, dass die DSGVO auch vorgibt, dass die Aufsichtsbehörden für die Umsetzung der neuen Datenschutzregeln zuständig sind und unabhängig tätig sein müssen.

Dass die Landesregierung nun meint, es gebe eine eigene, also bayerische Interpretation der DSGVO und sie selbst bei der Umsetzung eine Rolle spiele, stört den Datenschutz-Experten offenbar. Wörtlich sagt er dazu: „Konkret bedeutet dies, dass wir, das Bayerische Landesamt für Datenschutzaufsicht, als vom bayerischen Gesetzgeber bestimmte (unabhängige) Aufsichtsbehörde für den nicht-öffentlichen Bereich in Bayern alleine und unabhängig zu entscheiden haben, welche aufsichtliche Maßnahmen wir zur Einhaltung der Vorschriften des Datenschutzrechts ergreifen und welche wir nicht ergreifen.“

Im „Bayerischen Weg“ hatte die Landesregierung auch beschlossen, dass von Sanktionen bei Zuwiderhandlungen gegen die neuen Regeln möglichst abgesehen werden soll. Konkret hieß es in dem Beschluss: „Bei einem Erstverstoß im Dickicht der Datenschutzregeln drohen keine Bußgelder.“ Aber auch für diese Aussage hat die Aufsichtsbehörde wenig Verständnis: „Die Entscheidung, welche verantwortliche Stelle wegen eines Datenschutzverstoßes mit einem Bußgeld sanktioniert wird oder auch nicht, treffen wir – nach pflichtgemäßem Ermessen – in völliger Unabhängigkeit von sonstigen öffentlichen oder privaten Stellen.“

Kranig: Datenschutzbeauftragter ist zu benennen ab zehn Mitarbeitern

Und auch zu Apotheken äußerte sich Behörden-Präsident Kranig. Hier ist er ebenfalls anderer Meinung als die bayerische Landesregierung. Zwar erkennt auch Kranig, dass die Datenverarbeitung in Apotheken eigentlich nicht umfangreich ist. Für größere Apotheken sei die Lage jedoch klar: 

Nochmals erklärte Kranig, dass auch Apotheken und Vereinen grundsätzlich Sanktionen drohen könnten: „Unser Ziel ist nicht, derartige Verantwortliche vorrangig mit Bußgeldern zu belegen. Wenn wir aber auf Verantwortliche stoßen, die sich um den Datenschutz nicht kümmern, seien es Vereine, Apotheken oder auch sonstige kleinere Unternehmen, und Verstöße gegen den Datenschutz begehen, würden wir natürlich auch bei Erstverstößen – nach pflichtgemäßem Ermessen – mit Sanktionen reagieren ('müssen').“ Seine Behörde sei jederzeit bereit, sich auch mit den Verbänden im Apothekerbereich zu treffen, um „zu ermitteln und festzulegen, welche Anforderungen das neue Datenschutzrecht konkret für die Mitglieder“ habe.

In ihrem „Bayerischen Weg“ ging die Landesregierung auch auf sogenannte Abmahnanwälte ein. Man wolle es nicht hinnehmen, dass solche Kanzleien „abkassieren“, heißt es in dem Beschluss. Und auch dazu hat Kranig eine Meinung: „Uns ist nicht bekannt, dass es derzeit Abmahnungen wegen Datenschutzverstößen in relevantem Umfang gibt. Im Bereich der Vereine gibt es sie gar nicht. Im Bereich von Apotheken, die im Wettbewerb stehen, könnte es derartige Abmahnungen geben. Nach dem, was uns bekannt geworden ist, sollen Abmahnungen insbesondere darauf gestützt werden, dass die Informationspflichten nach Art. 13 und 14 DS-GVO, insbesondere bei Datenschutzerklärungen für Webseiten, nicht ausreichend erfüllt sind. Insoweit hat die Bayerische Staatsregierung beim Bundesgesetzgeber über den Bundesrat angeregt, dass derartige Datenschutzverstöße grundsätzlich nicht abmahnungsfähig sein sollen.“ Wenn der „Bayerische Weg“ beinhalte, das Wettbewerbsgerecht dahingehend zu ändern, dann wäre es auch aus Sicht der Landesdatenschutzbehörde „ein guter Weg“.