DSGVO-Umsetzung in Apotheken

Kammer: Apotheker müssen selbst über Datenschutzbeauftragten entscheiden

Berlin - 20.08.2018, 07:00 Uhr

Die Bayerische Landesapothekerkammer folgt der Aussage des Innenministeriums, dass keine Apotheke einen Datenschutzbeauftragten benötigt, nicht. (s / Foto: Imago)

Die Bayerische Landesapothekerkammer folgt der Aussage des Innenministeriums, dass keine Apotheke einen Datenschutzbeauftragten benötigt, nicht. (s / Foto: Imago)


„Die Aussage des Ministeriums ist auch politisch zu interpretieren“

DAZ.online: Was haben Sie Ihren Mitgliedern denn bisher, also vor der Aussage des Innenministeriums, empfohlen?

Laskowski: Wir haben auch bislang schon immer auf die geltende Rechtslage unter Einbindung aller uns zur Verfügung stehenden nützlichen und validen Informationen hingewiesen, zunächst auf die auch bei den für das Datenschutzrecht zuständigen Vollzugsbehörden der Länder bestehenden Unstimmigkeiten zur Interpretation des Datenschutzrechtes in punkto Bestellungspflicht, dann auf die zwischenzeitlich erreichte Klärung, dass Apotheken mit unter zehn ständig automatisiert datenverarbeitenden Personen jedenfalls grundsätzlich keinen Datenschutzbeauftragten benötigen und dass eine Bestellung eines Datenschutzbeauftragten grundsätzlich erst ab zehn ständig automatisiert datenverarbeitenden Personen erforderlich ist.

DAZ.online: Wie erklären Sie Ihren Mitgliedern die Bedeutung dieser Stellungnahme in der Apothekenpraxis?

Laskowksi: Wir würden unsere Mitglieder zudem darauf hinweisen, dass die Aussage des Innenministeriums auch politisch zu interpretieren ist und dass es in der Umsetzung nun darauf ankommen wird, wie das in Bayern in Sachen Datenschutz für Apotheken zuständige Landesamt für Datenschutzaufsicht damit umgeht.

DAZ.online: Im Gesetzestext heißt es, dass nur Unternehmen einen Datenschutzbeauftragten brauchen, die „ständig“ mit Patientendaten umgehen. Ist diese Formulierung aus Ihrer Sicht nicht klar?

Laskowski: Aus den Datenschutz-Regeln geht hervor, dass Apotheken mit mindestens zehn Personen, die ständig automatisierte und personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten benötigen. In der Tat lässt das Wort ‚ständig‘ einen gewissen Interpretationsspielraum zu.

Was sagt das Gesetz?

§ 38 BDSG-neu gibt vor, dass der Verantwortliche – im Fall einer Apotheke ist dies der Inhaber der Betriebserlaubnis – einen Datenschutzbeauftragten benennt, soweit er „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt. Eine entsprechende Regelung gibt es auch im jetzt noch geltenden Bundesdatenschutzgesetz.

DAZ.online: Wie ist denn Ihre persönliche Empfehlung? Brauchen Apotheker einen Datenschutzbeauftragten oder nicht?

Laskowski: Unabhängig von dieser viel diskutierten Frage sind die datenschutzrechtlichen Anforderungen an den Apothekenbetrieb aber durch das neue Datenschutzrecht der DSGVO stark angestiegen und auch Kleinbetriebe müssen diese Anforderungen erfüllen, und zwar unabhängig von der Frage, ob sie nun einen Datenschutzbeauftragten benötigen oder nicht. Nachdem der Inhaber in jedem Fall rechtlich für die Einhaltung dieser Standards verantwortlich ist, wird sich jeder Apothekeninhaber daher sowieso fragen müssen, ob es nicht sinnvoll ist, einen Datenschutzbeauftragten zu bestellen, der ihn dann bei der Einhaltung dieser Standards mit entsprechendem Sachverstand unterstützen kann.

DAZ.online: Man hört aus dieser Aussage heraus, dass Sie den Inhabern nur Tipps geben können, dass aber die letztendliche Entscheidung und das damit verbundene Risiko bei den Apothekern selbst liegt…

Laskowski: Natürlich haben wir als Kammer in Bayern, wie auch der Apothekerverband und die Datenschutzbehörde, unseren Mitgliedern, auch mit tatkräftiger Unterstützung der ABDA, eine Vielzahl von Hilfestellungen in Form von Mustern von der Einwilligungserklärung bis zum Verarbeitungsverzeichnis zur Verfügung gestellt und viele individuelle Auskünfte gegeben. Dennoch bleibt es im Ergebnis dabei, dass die Umsetzung der vielen formalen Vorgaben der DSGVO in der Apotheke erfolgen muss. Das kann den Inhabern leider keiner abnehmen.



Benjamin Rohrer, Chefredakteur DAZ.online
brohrer@daz.online


Diesen Artikel teilen:


1 Kommentar

Geht es noch um den Datenschutz?

von Hummelmann am 20.08.2018 um 13:48 Uhr

Ich kann den Präsidenten der Landesdatenschutzbehörde gut verstehen. Einmal im Leben fragt jemand nach seiner Meinung und schon wird er vom Innenministerium „entmündigt“. Leider bleibt er aber die Begründung WARUM es keinen bayerischen Weg bei der Umsetzung der DSGVO geben darf. Wir diskutieren über ein EU-Gesetz, das es schon seit Jahren gibt. Bisher bestand bei der Landesdatenschutzbehörde Sendepause zum Thema Datenschutz in Apotheken. Sämtliche Anfragen wurden weggebügelt. Erst drei Monate nach Ablauf der Übergangsfrist waren sie überhaupt in der Lage eine Online-Seite einzurichten, auf der man den Namen eines Datenschutzbeauftragten melden konnte. Aber die Frage ist doch: Wird der Datenschutz in Apotheken allein dadurch besser, dass es einen Datenschutzbeauftragten gibt? Oder geht es hier nur noch um Bürokratie? Gesetze bedürfen grundsätzlich einer Interpredation. Ich kann mir nicht vorstellen, dass die DSGVO in allen europäischen Ländern gleich interpretiert wird. Warum soll sie dann innerhalb der BRD gleich ausgelegt werden? Oder anders herum gefragt: Wenn alle Bundesländer bei der Umsetzung gleich vorgehen, wozu brauchen wir DAN in jedem Bundesland eine eigene Behörde (und einen eigenen Datenschutz-Präsidenten)?
Ich bin sehr froh, dass das Bayerische Innenministerium einen pragmatischen Weg favorisiert. Denn das Datenschutzgesetz wurde in erster Linie geschaffen um dem Datenmissbrauch Grenzen zu setzen und im Falle eines systematischen und gewerbsmäßigen Verstoßes entsprechend hohe Strafen ansprechen zu können.
Die sachgerechte Belieferung eines Rezeptes und die damit verbundene Dokumentation der Abgabe war sicherlich nie das Hauptziel des Gesetzes. Apothekenleiter, die mit dieser Aufgabe verantwortungsbewusst umgehen und wirksame Maßnahmen ergreifen, dass diese Daten nicht außerhalb ihres Hauses gewerbsmäßig weiter verarbeitet und verwendet werden, tun alles, was die EU-DSGVO von ihnen verlangt. Dabei ist es doch völlig egal, ob dort 9 Mitarbeiter beschäftigt sind oder 11. Auch die Anwesenhait eines Datenschutzbeauftragten ändert in solchen Inhabergeführten Kleinbetrieben gar nichts an der Datensicherheit. Denn letztendlich haftet ja der Apothekeninhaber und nicht der mit dem Datenschutz beauftragte Mitarbeiter.
Deshalb begrüße ich auch die Aussage der Apothekerkammer. Der Chef muss entscheiden, ob er sich selbst um den Datenschutz kümmern will oder ob er das einem Mitarbeiter oder einem externen Unternehmen übertragen will.
Die Aussagen der Datenschutzbehörden kann ich nicht nachvollziehen. Sie hat nicht genug Rückrad um eine eigene Meinung zu formulieren, sie will nur eine Umsetzung mit dem geringsten Arbeitsaufwand für die Behörde und gleichzeitig maximale Bürokratie bis in die Kleinsten Betriebe hinein. Wollte sie mich Lügen strafen, dann kann sie ja auf ihrer Homepage eine Muster-Verfahrensbeschreibung für die Datenverarbeitung in Apotheken erstellen. Denn bei einer möglichen Kontrolle erwarte ich schon, dass der Kontrolleur weiß, was hinter dem HV-Tisch passiert..

» Auf diesen Kommentar antworten | 0 Antworten

Das Kommentieren ist aktuell nicht möglich.