Der deutsche Föderalismus bereitet bei der Umsetzung der neuen europäischen Datenschutz-Grundverordnung (DS-GVO) in den Apotheken Probleme: Der Hessische Datenschutzbeauftragte empfiehlt auch kleineren Apotheken des Bundeslandes, für einen Übergangszeitraum einen Datenschutzbeauftragten zu bestellen, um möglichen rechtlichen Risiken und Folgen vorzubeugen. Darüber hat der Hessische Landesapothekerverband jetzt seine Mitglieder in einem Rundschreiben informiert.
Damit äußert sich der Hessische Datenschutzbeauftragte abweichend von seinen Kollegen aus Schleswig-Holstein. Zuvor hatte Lukas Gundermann, Referatsleiter beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), darauf verwiesen, dass es „weitgehend Konsens unter den Datenschützern“ sei, dass es bei unter zehn mit der Verabreitung persönlicher Daten befasster Mitarbeiter keine Pflicht gebe, einen Datenschutzbeauftragen in der Apotheke zu bestellen.
Der Hesssiche Landesapothekerverband teilte seinen Mitglieder dahingegen mit, dass der deutsche Gesetzgeber die Regelung übernommen hat, dass ein Datenschutzbeauftragter zu benennen sei, soweit in der Regel mindestens zehn Personen ständig mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind. Bei Apotheken mit mehreren Filialen gilt, dass deren Mitarbeiteranzahlen nicht getrennt zu betrachten sind, sondern als eine Einheit. Es sollte daher ein Datenschutzbeauftragter für Haupt- und Filialapotheken zusammen benannt werden. Das ist unstrittig.
Ein Datenschutzbeauftragter sei zudem dann zu benennen, so der Hessische Landesapothekerverband, wenn die Kerntätigkeit eine umfangreiche Verarbeitung besonderer personenbezogener Daten umfasst: „In der Interpretation dieser Norm bestehen noch erhebliche Rechtsunsicherheiten, die sich voraussichtlich erst durch gerichtliche Entscheidungen in den kommenden Jahren klären werden.“ Mit dem Hessischen Datenschutzbeauftragten habe man die Frage der Bestellung eines Datenschutzbeauftragten in Apotheken erörtert, bei denen weniger als zehn Mitarbeiter ständig mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind.
Der Hessische Datenschutzbeauftragte empfehle in Anbetracht der noch bestehenden Unsicherheiten, dass jede Apotheke zumindest für die Dauer von zwei Jahren einen Datenschutzbeauftragten bestellt, der mit der Umsetzung der Vorgaben der DS-GVO betraut werde. Das bestätigt Herr Dr. Gaebel, Leiter des Referates Gesundheit, Wissenschaft und Forschung beim Hessischen Datenschutzbeauftragten: „Die Definition der ‚umfangreichen Datenverarbeitung‘ ich noch nicht geklärt“. Durch die Bestellung eines Datenschutzbeauftragten auch für kleine Apotheken könne die Gefahr eines Bußgeldverfahrens wegen Nichtbestellung eines Datenschutzbeauftragten vermieden werden.
Zudem können so die wesentlichen Anpassungen nach der DS-GVO durchgeführt werden. Zu berücksichtigen ist auch, dass die neue Verordnung verstärkt Dokumentations, Beratungs- und Informationspflichten vorsieht, die kaum in der Weise von der alten geltenden Rechtslage zur Bestellpflicht abgedeckt werden können. Die Position wird derzeit auch von der Landesärztekammer Hessen und der Bundesärztekammer so geteilt und vertreten.
Nach wie vor gibt es damit keine einheitliche Sichtweise der für die Aufsicht zuständigen Datenschutzbehörden der Länder. Für den sächsische Datenschutzbeauftragte findet in Apotheken in aller Regel keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten statt, die nach Art. 37 Abs. a lit c DS-GVO zu einer Benennungspflicht führen würde. Auch seien die Voraussetzungen dieser Vorschrift bei Apotheken nicht gegeben, da die „Kerntätigkeit des Verantwortlichen“ nicht in der „Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“.
Und zum Abschluss des Schreibens an Apotheken heißt es: „Es ist daher im Regelfall nur dann ein Datenschutzbeauftragter zu benennen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.“ Die Datenschützer aus Bayern hatten sich ebenfalls schon entsprechend geäußert.
Laut ULD ist es vor allem von Bedeutung, dass zur Kerntätigkeit des Verantwortlichen die Verarbeitung von Gesundheitsdaten „in großem Maßstab“ gehört. Die Dokumentation und Verwaltung von Patientendaten gehöre zwar zur Kerntätigkeit in Arztpraxen und Apotheken. „Allerdings wird in den allermeisten Fällen nicht von einer Verarbeitung in großem Maßstab auszugehen sein“, heißt es in einem Leitfaden.
Mit Blick auf die DS-GVO sei „Panik unangebracht“, betonte Gundermann. Die würde vor allem durch externe Anbieter in den Markt getragen, kritisiert das ULD. Dabei werde oft auf die Höhe der Bußgelder verwiesen – künftig bis zu 20 Millionen Euro. „Weil die Obergrenze im Bundesdatenschutzgesetz heute bei 300.000 Euro liegt, werden wir immer wieder gefragt, ob die Strafen jetzt generell 66-mal höher ausfallen. Das ist natürlich nicht der Fall, wir gucken schon auf die wirtschaftliche Leistungsfähigkeit“, so Gundermann. Beim ULD sind auch keine Fälle bekannt, bei denen Bußgelder gegen Apotheker verhängt wurden.
Größere Unternehmen müssen gleichwohl einen Datenschutzbeauftragten bestellen und diesen auch bei der Behörde benennen. Apotheken mit mehr als zehn Mitarbeitern ist es dabei grundsätzlich freigestellt, ob sei einen internen oder externen Datenschutzbeauftragten bestellen. Die Datenschutzbehörden machen diesbezüglich keine Vorgaben. Entscheidet sich der Inhaber für eine interne Lösung, muss er aber einiges beachten: „Der Chef kann sich nicht selbst benennen und der Datenschutzbeauftragte darf nicht nur pro forma bestellt werden, sondern muss entsprechend geschult werden“, so Gundermann.
Doch auch in dieser Frage sind die Begriffe nicht genau bestimmt: Verbindliche Vorgaben oder Mindestanforderungen für die Schulungen gibt es nicht. Eine Einweisung von zwei Stunden reiche jedenfalls nicht, selbst bei einer einmaligen mehrtägigen Schulung sei das fraglich, so Gundermann. Ob sich die Bestellung eines externen Datenschutzbeauftragten lohne, sei eine betriebswirtschaftliche Frage, die der Apothekeninhaber selbst beantworten müsse.
APOTHEKE ADHOC Debatte