Datenschutzbeauftragter für Apotheker Franziska Gerhardt, 14.04.2014 15:17 Uhr
Datenschutz gehört auch in Apotheken zum Alltag: Seit 2001 muss nach einer Übergangsfrist von drei Jahren laut Bundesdatenschutzgesetz (BDSG) in Betrieben, in denen mehr als neun Personen mit der automatisierten Bearbeitung personenbezogener Daten beschäftigt sind, ein Datenschutzbeauftragter tätig sein. Für größere Apotheken und Filialverbünde trifft dies oftmals zu. Kommt der Apothekenleiter seiner Pflicht zur Bestellung eines Datenschützers nicht nach, kann das als Ordnungswidrigkeit mit einer Geldstrafe von bis zu 25.000 Euro geahndet werden.
Die Grenze von neun Beschäftigten, ab der ein Datenschutzbeauftragte nötig ist, gilt allerdings nur für Mitarbeiter, die auch tatsächlich mit der Erhebung, Verarbeitung und der Nutzung personenbezogener Daten befasst sind. Reinigungskräfte oder Fahrer zur Auslieferung werden also nicht mitgezählt.
Apothekeninhaber mit weniger Mitarbeitern benötigen keinen eigenen Datenschützer. Sie müssen jedoch laut Gesetz „in anderer Weise“ dafür sorgen, dass dessen Aufgaben erfüllt werden.
Sensible Daten in Apotheken werden unter anderem auf Kundenkarten festgehalten. Der Datenschutzbeauftragte muss zum Beispiel darauf achten, dass Kunden, die eingewilligt haben, einen Geburtstagsgruß von ihrer Apotheke zu erhalten, nicht auch andere Werbung per Post bekommen. „Wer der Geburtstagskarte zustimmt, erteilt noch lange keine Generaleinwilligung“, erklärte ein Sprecher der Landesapothekerkammer Baden-Württemberg.
Verletzungen des Datenschutz treten auch auf, wenn Kundendaten nicht ordnungsgemäß entsorgt werden. In Brandenburg etwa hatte die Inhaberin einer Apotheke Abholscheine, auf denen Namen, Anschriften und Medikamente ihrer Kunden vermerkt waren, in einer öffentlich zugänglichen Papiertonne entsorgt. Apotheker müssen zudem für Gebäudeschutz und die Sicherheit ihrer EDV-Anlagen garantieren.
Auch die Daten auf Rezepten unterliegen dem Datenschutz, diese muss der betriebliche Datenschutzbeauftragte also ebenfalls im Blick haben. Allerdings dürfen Apotheken diese Daten zur Abrechnung an Apothekenrechenzentren übertragen.
Um dem Bundesdatenschutzgesetz gerecht zu werden, haben Inhaber grundsätzlich zwei Möglichkeiten: Entweder sie beauftragen ein externes Unternehmen mit dem Datenschutz und lagern die Aufgabe aus. Solche Leistungen bieten zum Beispiel der TÜV, das Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG) oder Freiberufler an.
Apotheker können aber auch intern einen Mitarbeiter zum Datenschutzbeauftragten bestellen. Dieser muss sich in einem zertifizierten Lehrgang ausbilden lassen, der in der Regel einmal in der Woche stattfindet und drei Monate dauert. Diese vom Inhaber zu finanzierenden Seminare können zum Beispiel beim TÜV oder in Berufsschulen absolviert werden. Die Kenntnisse müssen dann etwa einmal jährlich aufgefrischt werden.
Der Datenschutzbeauftragte genießt zudem erweiterten Kündigungsschutz – ähnlich wie bei einem Betriebsrat. Bis ein Jahr nach Ende seiner Amtszeit darf er nicht entlassen werden. Das soll den Datenschutzbeauftragten schützen, da er dem Apothekenleiter gegenüber unter Umständen auch unangenehme Pflichten hat.
Sich selbst darf der Inhaber übrigens keinesfalls zum Datenschutzbeauftragten ernennen. Denn damit bestünde ein Interessenkonflikt, da er sich sozusagen selbst kontrollieren würde.