Datenschutz

DS-GVO: Freibrief für Kleinapotheken?

, Uhr
Berlin -

Der Countdown läuft: Heute in einem Monat wird die EU-Datenschschutz-Grundverordnung (DS-GVO) scharf gestellt. Dann drohen auch Apotheken bei Verstößen empfindlichere Strafen. Doch nun kommt von den Datenschutzbehörden ein positives Signal: Man werde mit Augenmaß vorgehen. Und, nicht weniger wichtig: Apotheken mit bis zu zehn Mitarbeitern müssen auch künftig keinen eigenen Datenschutzbeauftragten benennen.

Die 10-Mitarbeiter-Grenze gibt es schon heute. Daran wollen die Datenschützer der Länder künftig festhalten. „Das ist weitgehend Konsens unter den Datenschützern“, so Lukas Gundermann, Referatsleiter beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Die vorsichtige Formulierung „weitgehend“ bezieht sich darauf, dass bei dem Treffen nicht alle Länder vertreten waren, Gegenstimmen wurden in dem Kreis der Vertreter nicht geäußert. Die strengere Regelung ab dem ersten Mitarbeiter wäre Gundermann zufolge in Einzelfällen angezeigt, beispielsweise für Genlabore.

Der sächsische Datenschutzbeauftragte hat sich entsprechend geäußert. In einer Apotheke findet in aller Regel keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten statt, die nach Art. 37 Abs. a lit c DS-GVO zu einer Benennungspflicht führen würde. Auch seien die Voraussetzungen dieser Vorschrift bei Apotheken nicht gegeben, da die „Kerntätigkeit des Verantwortlichen“ nicht in der „Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“.

Und zum Abschluss des Schreibens an Apotheken heißt es: „Es ist daher im Regelfall nur dann ein Datenschutzbeauftragter zu benennen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.“ Die Datenschützer aus Bayern hatten sich ebenfalls schon entsprechend geäußert.

Laut ULD ist es vor allem von Bedeutung, dass zur Kerntätigkeit des Verantwortlichen die Verarbeitung von Gesundheitsdaten „in großem Maßstab“ gehört. Die Dokumentation und Verwaltung von Patientendaten gehöre zwar zur Kerntätigkeit in Arztpraxen und Apotheken. „Allerdings wird in den allermeisten Fällen nicht von einer Verarbeitung in großem Maßstab auszugehen sein“, heißt es in einem Leitfaden.

Mit Blick auf die DS-GVO sei „Panik unangebracht“, betont Gundermann. Die würde vor allem durch externe Anbieter in den Markt getragen, kritisiert das ULD. Dabei werde oft auf die Höhe der Bußgelder verwiesen – künftig bis zu 20 Millionen Euro. „Weil die Obergrenze im Bundesdatenschutzgesetz heute bei 300.000 Euro liegt, werden wir immer wieder gefragt, ob die Strafen jetzt generell 66-mal höher ausfallen. Das ist natürlich nicht der Fall, wir gucken schon auf die wirtschaftliche Leistungsfähigkeit“, so Gundermann. Beim ULD sind auch keine Fälle bekannt, bei denen Bußgelder gegen Apotheker verhängt wurden.

Größere Unternehmen müssen gleichwohl einen Datenschutzbeauftragten bestellen und diesen auch bei der Behörde benennen. Apotheken mit mehr als zehn Mitarbeitern ist es dabei grundsätzlich freigestellt, ob sei einen internen oder externen Datenschutzbeauftragten bestellen. Die Datenschutzbehörden machen diesbezüglich keine Vorgaben. Entscheidet sich der Inhaber für eine interne Lösung, muss er aber einiges beachten: „Der Chef kann sich nicht selbst benennen und der Datenschutzbeauftragte darf nicht nur pro forma bestellt werden, sondern muss entsprechend geschult werden“, so Gundermann.

Doch auch in dieser Frage sind die Begriffe nicht genau bestimmt: Verbindliche Vorgaben oder Mindestanforderungen für die Schulungen gibt es nicht. Eine Einweisung von zwei Stunden reiche jedenfalls nicht, selbst bei einer einmaligen mehrtägigen Schulung sei das fraglich, so Gundermann. Ob sich die Bestellung eines externen Datenschutzbeauftragten lohne, sei eine betriebswirtschaftliche Frage, die der Apothekeninhaber selbst beantworten müsse.

Bei den Angeboten externer Datenschützer sollten Apotheken auf jeden Fall genau hinsehen. Rechtsanwalt Fabian Virkus von der Kanzlei Hönig & Partner ist schon gegen Anbieter vorgegangen, die Apotheke aus seiner Sicht zu viel versprechen oder mit falschen Angaben unter Druck setzen. Die Kanzlei bietet ihren Mandanten an, die Aufgabe als externer Datenschützer zu übernehmen.

Die Kanzlei Dr. Bellinger hatte Mitte März ein Mandantenseminar zu dem Thema gehalten. „Unsere Empfehlung geht ganz klar dahin, diese Aufgaben auszulagern“, sagt Rechtsanwalt und Steuerberater Dr. Bernhard Bellinger. Die interne Lösung verursache am Ende deutlich mehr Kosten, so seine Schätzung. Auch seien Apothekenmitarbeiter nicht als Datenschützer geboren. Sie müssten umfangreich geschult werden und könnten dennoch nicht sicher sein, das Thema wirklich zu beherrschen. „Auch aus haftungsrechtlicher Sicht ist es deutlich interessanter, einen externen Datenschutzbeauftragten zu bestellen“, so Bellinger.

Er steht dabei nicht im Verdacht, damit Geld verdienen zu wollen, denn seine Kanzlei steht für die Aufgabe nicht zur Verfügung. „Wir würden das zwar inhaltlich hinbekommen und haben auch einige Vorlagen entwickelt für diejenigen Apotheken, die die Sache selbst in die Hand nehmen möchten. Aber aus Kapazitätsgründen ist es uns unmöglich, diese Aufgaben für die Mandanten zu übernehmen“, so der Steuerberater.

Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

APOTHEKE ADHOC Debatte