Kammer: Apotheker müssen selbst über Datenschutzbeauftragten entscheiden

Die Debatte darüber, ob Apotheken nach der Umstellung des Bundesdatenschutzgesetzes und der neuen Datenschutzgrundverordnung (DSGVO) einen Datenschutzbeauftragten benötigen, nimmt so langsam groteske Züge an. Denn die Meinungsvielfalt in dieser Frage nimmt derzeit fast wöchentlich zu: Schon vor Inkrafttreten der DSGVO im Mai hatten sich die Landesdatenschutzbehörden, die für die Kontrolle und Umsetzung der Regeln zuständig sind, darauf geeinigt, dass alle Apotheken einen Beauftragten brauchen, die mehr als zehn Mitarbeiter haben. Auch die Bundesregierung interpretiert die neuen Datenschutzregeln so.

Völlig überraschend beschloss dann die bayerische Landesregierung einen „Bayerischen Weg“ zur DSGVO-Umsetzung. Auf Nachfrage von DAZ.online im zuständigen Innenministerium erklärte ein Sprecher, dass keine Apotheke einen Datenschutzbeauftragten brauche, weil Apotheken nicht ständig mit automatisierten und personenbezogenen Daten beschäftigt sind. Die bayerische Landesdatenschutzbehörde findet das gar nicht lustig und erklärte in der vergangenen Woche, dass sie selbst für die Umsetzung der DSGVO verantwortlich sei und Apotheken mit mehr als zehn Mitarbeitern sehr wohl einen Beauftragten brauchen. Inzwischen ist bekannt geworden, dass die Hessische Apothekerkammer ihren Mitgliedern sogar empfiehlt, dass alle Apotheken einen Datenschutzbeauftragten benötigen. 

DAZ.online hat mit dem Justiziar der BLAK, Klaus Laskowski, über dieses Thema  gesprochen.

DAZ.online: Herr Laskowski, die Aussage des bayerischen Innenministeriums, dass keine (!) Apotheke einen Datenschutzbeauftragten braucht, sorgt derzeit für viel Wirbel und Unsicherheit im Apothekerlager. Waren Sie überrascht?

Laskowski: Die Datenschutzregeln sind nicht neu, aber die Interpretation des Ministeriums dieser Regeln ist, jedenfalls in einem gewissen Umfang, neu und  wird im Sinne einer pragmatischen Interpretation geltenden Rechts von uns begrüßt.

DAZ.online: Wie interpretieren Sie denn die Aussage des Ministeriums?

Laskowski: Wir begrüßen es, wenn sich das Ministerium für die Entbürokratisierung im Apothekenwesen einsetzt, und werden entsprechende Bemühungen immer gerne unterstützen. Wenn unsere Mitglieder danach fragen, wie die Aussagen des bayerischen Innenministeriums zum Datenschutzbeauftragen in Apotheken einzuschätzen sind, dann würden wir diese als Interpretation des Wortes ‚ständig‘ erläutern.

DAZ.online: Was haben Sie Ihren Mitgliedern denn bisher, also vor der Aussage des Innenministeriums, empfohlen?

Laskowski: Wir haben auch bislang schon immer auf die geltende Rechtslage unter Einbindung aller uns zur Verfügung stehenden nützlichen und validen Informationen hingewiesen, zunächst auf die auch bei den für das Datenschutzrecht zuständigen Vollzugsbehörden der Länder bestehenden Unstimmigkeiten zur Interpretation des Datenschutzrechtes in punkto Bestellungspflicht, dann auf die zwischenzeitlich erreichte Klärung, dass Apotheken mit unter zehn ständig automatisiert datenverarbeitenden Personen jedenfalls grundsätzlich keinen Datenschutzbeauftragten benötigen und dass eine Bestellung eines Datenschutzbeauftragten grundsätzlich erst ab zehn ständig automatisiert datenverarbeitenden Personen erforderlich ist.

DAZ.online: Wie erklären Sie Ihren Mitgliedern die Bedeutung dieser Stellungnahme in der Apothekenpraxis?

Laskowksi: Wir würden unsere Mitglieder zudem darauf hinweisen, dass die Aussage des Innenministeriums auch politisch zu interpretieren ist und dass es in der Umsetzung nun darauf ankommen wird, wie das in Bayern in Sachen Datenschutz für Apotheken zuständige Landesamt für Datenschutzaufsicht damit umgeht.

DAZ.online: Im Gesetzestext heißt es, dass nur Unternehmen einen Datenschutzbeauftragten brauchen, die „ständig“ mit Patientendaten umgehen. Ist diese Formulierung aus Ihrer Sicht nicht klar?

Laskowski: Aus den Datenschutz-Regeln geht hervor, dass Apotheken mit mindestens zehn Personen, die ständig automatisierte und personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten benötigen. In der Tat lässt das Wort ‚ständig‘ einen gewissen Interpretationsspielraum zu.

DAZ.online: Wie ist denn Ihre persönliche Empfehlung? Brauchen Apotheker einen Datenschutzbeauftragten oder nicht?

Laskowski: Unabhängig von dieser viel diskutierten Frage sind die datenschutzrechtlichen Anforderungen an den Apothekenbetrieb aber durch das neue Datenschutzrecht der DSGVO stark angestiegen und auch Kleinbetriebe müssen diese Anforderungen erfüllen, und zwar unabhängig von der Frage, ob sie nun einen Datenschutzbeauftragten benötigen oder nicht. Nachdem der Inhaber in jedem Fall rechtlich für die Einhaltung dieser Standards verantwortlich ist, wird sich jeder Apothekeninhaber daher sowieso fragen müssen, ob es nicht sinnvoll ist, einen Datenschutzbeauftragten zu bestellen, der ihn dann bei der Einhaltung dieser Standards mit entsprechendem Sachverstand unterstützen kann.

DAZ.online: Man hört aus dieser Aussage heraus, dass Sie den Inhabern nur Tipps geben können, dass aber die letztendliche Entscheidung und das damit verbundene Risiko bei den Apothekern selbst liegt…

Laskowski: Natürlich haben wir als Kammer in Bayern, wie auch der Apothekerverband und die Datenschutzbehörde, unseren Mitgliedern, auch mit tatkräftiger Unterstützung der ABDA, eine Vielzahl von Hilfestellungen in Form von Mustern von der Einwilligungserklärung bis zum Verarbeitungsverzeichnis zur Verfügung gestellt und viele individuelle Auskünfte gegeben. Dennoch bleibt es im Ergebnis dabei, dass die Umsetzung der vielen formalen Vorgaben der DSGVO in der Apotheke erfolgen muss. Das kann den Inhabern leider keiner abnehmen.