Der 25. Mai rückt näher, doch noch immer wissen viele Apotheker nicht, was mit der EU-Datenschutz-Grundverordnung (DS-GVO) genau auf sie zukommt. Neben Grundsatzfragen wir Rezeptbestellungen über WhatsApp beschäftigt viele Inhaber die Frage: Benötigen auch kleine Apotheken demnächst einen Datenschutzbeauftragten? Auf jeden Fall, so die Experten von Bluedatex. Die Rechtsanwälte raten Apotheken zu einem externen Datenschutzbeauftragten – was nicht weiter wundert, da sie diese Leistung selbst anbieten.
An jenem 25. Mai endet die Übergangsfrist für das Inkrafttreten der DS-GVO. Die neuen Datenschutzregeln gelten unmittelbar ab diesem Stichtag – und sie sollten angesichts der deutlich höheren Bußgeldandrohungen auch eingehalten werden. Wer den Datenschutz heute beachtet, für den ändert sich nicht viel, meinen die einen. Skeptiker raten dagegen, alle Prozesse noch einmal auf Herz und Nieren zu prüfen und gegebenenfalls anzupassen, vor allem aber: alles zu dokumentieren.
In Bezug auf Apotheken kam wiederholt die Frage auf, ob auch kleine Betriebe mit bis zu zehn Mitarbeitern einen eigenen Datenschutzbeauftragen bestellen müssen. Das ist bislang nicht der Fall. Der bayerische Landesdatenschutzbeauftragte sieht auch künftig keine Notwendigkeit für Kleinbetriebe. Die Behörden in anderen Bundesländern werden wohl strenger sein.
Aber auch Apotheken aus Bayern sollten sich laut den Experten von Bluedatex nicht in Sicherheit wiegen: „Es wird nicht lange dauern, bis eine Apotheke mit elf Mitarbeitern ein Verfahren lanciert. Und am Ende entscheidet der Europäische Gerichtshof (EuGH) über solche Fragen“, erklärt Rechtsanwältin Rebecca Mohr von der Berliner Medizinrechtskanzlei Mohr. Sie hat zusammen mit ihren Kollegen Nick Raphael Zänker und Lucas Spradau (beide CliffEagle Rechtsanwälte) sowie Sebastian Dramburg (Kanzlei Dramburg) die Beratungsfirma Bluedatex gegründet. Gegen Gebühr können sich Unternehmen und Verbände, aber auch einzelne Apotheken und Arztpraxen zum Thema Datenschutz beraten lassen und Risiken auslagern.
Apotheken ist es freigestellt, ob sie einen internen oder externen Datenschutzbeauftragten bestellen. Für eine hauseigene Lösung sprechen der unmittelbare Kontakt und die genaue Kenntnis der Abläufe in der Offizin, was freilich auch zu einer gewissen Betriebsblindheit führen kann. Vorteile bei einer externen Lösung sind, dass der Inhaber keine eigenen personellen Ressourcen binden muss, inklusive Fort- und Weiterbildung. Zudem genießt der interne Datenschutzbeauftragte Kündigungsschutz, was je nach Konstellation auch hinderlich sein kann. Bluedatex wirbt damit, dass ein externer Datenschutzbeauftragter mehr Unabhängigkeit und Souveränität mitbringt, was eine Lösungsfindung bei sensiblen Themen erleichtern könne.
Aufpassen sollten Apotheker Zänker zufolge, dass der externe Anbieter keinen Haftungsausschluss vorsieht. Das sei zwar rechtlich zulässig, der Inhaber habe dann aber überhaupt nichts von der Dienstleistung. Bluedatex übernehme das volle vertragliche Haftungsrisiko. Der externe Datenschutzbeauftragte kann natürlich nicht jeden etwaigen Verstoß gegen die DS-GVO verhindern, er muss aber nachweisen, dass er seinen Überwachungspflichten nachkommt.
Auch wenn die Aufsichtsbehörden kaum schon am 25. Mai in der Apotheke stehen werden, sollten die Inhaber zum Stichtag „sauber“ sein. Grund sind laut Bluedatex die stark erweiterte Dokumentationspflichten. „Auch wenn erst ein Jahr später behördliche Kontrollen aufwarten, können Verstöße festgestellt werden und es kann ‚nach hinten‘ geprüft werden“, so die Warnung.
Das betrifft zum Beispiel die Einverständniserklärung der Kunden zur Datennutzung. Die Anwälte gehen davon aus, dass etwa 90 Prozent der heutigen Dokumente den neuen Anforderungen nicht genügen. Dasselbe gilt für Verträge zur Auftragsdatenverarbeitung mit anderen Firmen – EDV-Anbieter, Rechenzentrum, Steuerberater und so weiter.
Bluedatex kassiert pro Kopf im Betrieb, auch wegen des individuellen Schulungsaufwandes wird dabei nicht zwischen Teil- und Vollzeitkräften unterschieden. Differenziert wird zwischen Unternehmen mit bis zu zehn Mitarbeitern, 11 bis 25 Angestellten und mehr als 25. Gruppe 1 mit den Kleinunternehmen ist wiederum in drei Kategorien unterteilt. Das günstigste Angebot: 2000 Euro Startgebühr und eine monatliche Pauschale von 500 Euro, Laufzeit ein Jahr. Als Vorbereitungszeit geben die Rechtsanwälte acht bis zehn Tage als Minimum an.
Mohr räumt ein, dass sie die geforderten Summen im ersten Gespräch oft erklären muss. Ihre Gegenrechnung: Ein interner Datenschutzbeauftragter müsse intensiv und regelmäßig geschult werden. Wenn die Apotheke es ernst nehme, sei ungefähr eine halbe Stelle zu veranschlagen.
Und ernst nehmen sollten die Apotheker die Vorschriften der DS-GVO. Die Behörden täten es nämlich auch: Das Verwaltungsgericht Karlsruhe habe bereits eine Behörde zurückpfeifen müssen, die schon vor Inkrafttreten der DS-GVO Maßnahmen gegen ein Unternehmen verhängen wollte. Außerdem seien die nationalen Behörden den EU-Aufsichtsbehörden zur Rechenschaft verpflichtet. Deutschland würde sich selbst Sanktionen aussetzen, wenn Verstöße gegen die DS-GVO nicht rechtlich geahndet würden.
Diskutieren Sie im LABOR, wie die Kollegen mit dem Thema umgehen.
APOTHEKE ADHOC Debatte