Foto: Stockwerk-Fotodesign - stock.adobe.com

Recht

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 3: Wächter über den Datenschutz: Der Datenschutzbeauftragte

Der Datenschutz ist Chefsache. Für die Einhaltung der Bestimmungen zum Datenschutz ist der Apothekeninhaber verantwortlich; neben dem Apothekenalltag sicherlich eine Herausforderung, die ihn mit der Geltung der neuen Datenschutz-Grundverordnung ab 25. Mai 2018 deutlich mehr beanspruchen wird. Unterstützung hierbei bietet aber ein Datenschutzbeauftragter.

Unter bestimmten Voraussetzungen ist der Datenschutzbeauftragte für die Apotheke Pflicht. Die Apotheke kann sich aber jederzeit freiwillig für die Bestellung eines Datenschutzbeauftragten entscheiden. Der Datenschutzbeauftragte muss vom Inhaber verschieden sein; der Inhaber kann also weder sich selbst und wohl auch nicht ­einen Filialleiter zum Datenschutzbeauftragten bestellen, da sonst Interessenskonflikte bestehen können.

Welche Aufgaben der Datenschutzbeauftragte hat und was bei der Auswahl zu beachten ist, wollen wir im Folgenden betrachten.

Die Aufgaben des Datenschutzbeauftragten

Die Aufgaben des Datenschutz­beauftragten sind vielfältig. Einerseits hat er die Rolle eines Wächters über den Datenschutz. Er soll die Einhaltung der Datenschutzvorschriften in der Apotheke überwachen und kontrollieren. Andererseits erfüllt er auch die Funktion eines Beraters für den Apothekeninhaber und seine ­Mitarbeiter zu Fragen des Datenschutzes. Zudem soll er bei der Durchführung von Datenschutz-Folgenabschätzungen unterstützen. Damit der Datenschutzbe­auftragte seine Beratungs- und Kontrollfunktionen erfüllen kann, hat die Apotheke ihn frühzeitig in alle Vorgänge, die mit der Verarbeitung personenbezogener Daten zusammenhängen, einzubeziehen.

Weiter gehört zu den Aufgaben des Datenschutzbeauftragten, auf die Schulung und Sensibilisierung der Mitarbeiter hinzuwirken und dabei zu beraten. Zur Durchführung der Schulungen ist der Datenschutzbeauftragte gesetzlich nicht verpflichtet. Der Apotheke steht es aber frei, dies vertraglich mit dem Datenschutz­beauftragten zu vereinbaren.

Nicht zuletzt ist der Datenschutzbeauftragte Ansprechpartner ­sowohl für die datenschutzrecht­lichen Aufsichtsbehörden als auch für die Kunden der Apotheke, wenn diese Fragen zur Verarbeitung ihrer personenbezogenen Daten haben.

Die Bestellpflicht

Der Datenschutzbeauftragte ist ein Schlüsselelement, um im Wege der Eigenkontrolle die Durchsetzung des Datenschutzrechts in den Unternehmen zu befördern. In vielen Fällen ist die Bestellung eines Datenschutzbeauftragten daher verpflichtend vorgeschrieben. Für Apotheken sind die folgenden drei Fälle wesentlich:

Die Apotheke muss einen Datenschutzbeauftragten benennen, wenn bei mindestens zehn Mitarbeitern die Verarbeitung per­sonenbezogener Daten zu einer regelmäßig wiederkehrenden Aufgabe gehört. Dazu zählen beispielsweise Mitarbeiter, die Rezeptdaten verarbeiten, Daten auf Kundenkarten speichern/abrufen oder mit der Personalverwaltung betraut sind. Approbierte und PTAs fallen immer darunter, aber auch viele PKAs dürften mit solchen Tätigkeiten befasst sein.

Ob die Mitarbeiter in Vollzeit, Teilzeit oder als 450-Euro-Kraft beschäftigt sind, ist nicht entscheidend. Die Schwelle ist also schnell erreicht. Hat eine Apotheke mehrere Filialen, sind die Mitarbeiter aller Filialen zu zählen.

Ein Datenschutzbeauftragter ist ferner zu bestellen, wenn eine Kerntätigkeit des Unternehmens die umfangreiche Verarbeitung von Gesundheitsdaten ist. Wie bei vielen Vorschriften des neuen Datenschutzrechts ist noch unklar, wie die Aufsichtsbehörden und Gerichte diese Norm auslegen werden.

Die Verarbeitung von Gesundheitsdaten könnte eine Kerntätigkeit der Apotheke neben ihrer Haupttätigkeit, der Sicherstellung der Arzneimittelversorgung der Bevölkerung nach § 1 ApoG, sein. Dann stellt sich die Frage nach dem Umfang der Verarbeitung. Aus den Erwägungsgründen zur Datenschutz-Grundverordnung geht hervor, dass die Verarbeitung von Patientendaten durch einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufs nicht umfangreich ist. Daraus könnte abgeleitet werden, dass die Verarbeitung von Patientendaten durch einen Apotheker bzw. eine Apotheke ebenfalls nicht als umfangreich zählt.

Etwas anderes kann aber gelten, wenn ein Apotheker mehrere Filialen betreibt, Arzneimittel versendet, in der Heimversorgung tätig ist oder Krankenhäuser beliefert. Dies gilt umso mehr, als schon Stimmen von Aufsichtsbehörden vernehmbar sind, die für jeden Arzt einen Datenschutzbeauftragten fordern; für eine Apotheke wäre dies dann erst recht der Fall.

Die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht für die Apotheke des Weiteren, wenn sie Verarbeitungstätigkeiten vornimmt, die eine Datenschutz-Folgenabschätzung erfordern. Was dies im Einzelnen bedeutet und wann eine Datenschutz-Folgenabschätzung vorzunehmen ist, werden wir in der nächsten AZ beleuchten.

Falls die Apotheke zu dem Er­gebnis kommt, dass kein Datenschutzbeauftragter zu bestellen ist, sollte sie die Prüfung in jedem Fall schriftlich dokumentieren, um gegenüber der Aufsichtsbehörde nachweisen zu können, dass sie alle relevanten Faktoren berücksichtigt hat.

Intern oder extern?

Ist die Apotheke zur Bestellung eines Datenschutzbeauftragten verpflichtet oder entscheidet sie sich – ggf. auch um Diskussionen zu vermeiden über die Frage, ob es eine Pflicht gibt – freiwillig dafür, hat sie die Wahl, einen Mitarbeiter mit der Aufgabe zu betrauen oder eine externe Person zu beauftragen. Die erste Variante scheint zunächst einfacher und kostengünstiger: „Frau Musterfrau, Sie sind unsere neue Datenschutzbeauftragte!“ – und schon wäre der Punkt abgehakt.

Ganz so einfach ist es jedoch nicht. Der Datenschutzbeauftragte muss gewisse Anforderungen erfüllen, insbesondere die notwen­digen Qualifikationen haben. Die Qualifikationen müssen dem Umfang und der Art der Datenverarbeitung angemessen sein. Der Datenschutzbeauftragte einer Apotheke sollte also insbesondere im Umgang mit Gesundheitsdaten geschult sein. Es ist abzuwägen, ob ein interner oder externer Datenschutzbeauftragter bestellt wird, denn beide Varianten haben Vor- und Nachteile.

Einen Mitarbeiter zum Datenschutzbeauftragten zu machen, hat den Vorteil, dass dieser die Betriebsabläufe der Apotheke mit den Datenverarbeitungsvorgängen sowie die anderen Mitarbeiter kennt. Er ist außerdem ständig für den Apothekeninhaber und das Team erreichbar. Allerdings muss er die notwendigen Qualifikationen aufweisen. Es sind also Schulungs- und Fortbildungsmaßnahmen zu finanzieren, was den Kostenvorteil gegenüber einem externen Datenschutzbeauftragten relativiert.

Zudem ist sicherzustellen, dass der Mitarbeiter die Aufgaben als Datenschutzbeauftragter unabhängig und frei von Interessenskonflikten erledigen kann. Anweisungen dürfen dem Datenschutzbeauftragten bei der Erfüllung seiner datenschutzrechtlichen Aufgaben nicht erteilt werden. Der in § 7 ApoG verankerte Grundsatz der eigenverantwortlichen Leitung einer Apotheke durch den Inhaber und dessen absolute Weisungshoheit wird hier also durchbrochen.

Dem Mitarbeiter ist zudem ein angemessenes Arbeitszeitkontingent zur Verfügung zu stellen, in dem er seiner Tätigkeit als Datenschutzbeauftragter nachgehen kann. Darüber hinaus darf nicht übersehen werden, dass der Mitarbeiter einem besonderen Kündigungsschutz unterliegt, der auch noch nach seiner Abbestellung als Datenschutzbeauftragter für ein Jahr fortgilt. Der Mitarbeiter hat also eine wirklich besondere ­Stellung; der Inhaber muss genau überlegen, ob er sich in eine solche Abhängigkeit begeben will.

Ein externer Datenschutzbeauftragter verfügt dagegen über eine größere Unabhängigkeit und bringt ohne Weiteres die erforderlichen Qualifikationen mit. Er kann jederzeit vom Apothekenleiter abbestellt werden, solange die Gründe für die Abbestellung nicht mit der Erfüllung seiner Aufgaben als Datenschutzbeauftragter zusammenhängen. Damit soll verhindert werden, dass der Datenschutzbeauftragte aufgrund der von ihm ­ergriffenen Maßnahmen benachteiligt wird. Die ordentliche Kündigung eines Vertrages mit einem externen Datenschutzbeauftragten und die damit einhergehende Abberufung sind aber grundsätzlich möglich. Der Wechsel ist leichter als bei eigenen Mitarbeitern.

Wenn die Apotheke sich für einen externen Datenschutzbeauftragten entscheidet, muss sie sicherstellen, dass dieser sich mit den Betriebsabläufen und Datenver­arbeitungsvorgängen vertraut macht, diese regelmäßig überprüft und in angemessenem Umfang erreichbar ist. Ein Datenschutzbeauftragter, von dem die Apotheke nur alle drei Jahre hört, dürfte nicht ausreichen.

Allzu günstige Angebote im Internet für externe Datenschutzbeauftragte sind kritisch zu hinterfragen. Denn alleine den Stempel Datenschutzbeauftragter zu haben, ohne die notwendigen Inhalte zu liefern, wird mittelfristig nicht ausreichen.

Mitteilung an die Aufsichtsbehörde

Wenn die Apotheke einen Datenschutzbeauftragten bestellt hat, sind dessen Kontaktdaten (Adresse sowie Telefonnummer und/oder datenschutzbeauftragter@musterapotheke.de, nicht aber der Name) zu veröffentlichen. Außerdem sind diese Kontaktdaten der zuständigen Aufsichtsbehörde mitzuteilen. Zuständige Aufsichtsbehörde ist der Landesbeauftragte für den Datenschutz des Bundeslandes, in dessen Gebiet die (Haupt-)Apotheke ihren Sitz hat.

Haftung bleibt beim Inhaber

Die Bestellung eines Datenschutzbeauftragten hat nicht zur Folge, dass der Apothekeninhaber von seiner Verantwortung entbunden wird. Sanktionen für Verstöße gegen das Datenschutzrecht treffen weiterhin ihn. Pflichtverletzungen des externen Datenschutz­beauftragten können aber Schadensersatzansprüche des Apo­thekeninhabers begründen. Bei ­einem internen Datenschutz­beauftragten kann nur eingeschränkt nach den Grundsätzen der Arbeitnehmerhaftung Rückgriff genommen werden.

Fazit und Vorschau

Die Wahl des Datenschutzbeauftragten will gut überlegt sein. Ein Richtig oder Falsch gibt es ­dabei nicht. Datenschutzbeauftragte sind aber nicht nur lästig; sie können die Apotheke hilfreich bei der Einhaltung der neuen Datenschutzvorschriften unterstützen. Zu ihren Aufgaben gehört auch die Beratung bei der Durchführung von Datenschutz-Folgenabschätzungen, mit denen wir uns in der nächsten AZ beschäftigen werden. |

Dr. Timo Kieser und Svenja Buck­stegge, Oppenländer Rechtsanwälte Stuttgart

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.