Das sind die wichtigsten Antworten zum Datenschutz in der Apotheke (Teil 1)

Frage: In meiner Landapotheke arbeiten ein Apotheker, drei PTA, eine PKA, zwei Boten und eine Putzfrau. Brauche ich einen externen Datenschutzbeauftragten oder kann die Aufgabe mein Apotheker weiterführen, der sie wegen QMS schon seit zehn Jahren ausübt?

Antwort: Der angestellte Apotheker kann die Tätigkeit weiter ausführen, wenn er entsprechende Schulungen besucht hat und eine ausreichende Qualifikation hat. Die spannendere Frage ist aber, ob in dieser Situation überhaupt ein Datenschutzbeauftragter notwendig ist. Nach § 38 Abs. 1 BDSG neu ist ein Datenschutzbeauftragter notwendig, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. 

Dies ist in der oben geschilderten Situation nicht der Fall. Nach Art. 37 Abs. 1 c DSGVO ist aber unabhängig von der 10­-Personen­-Schwelle ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung von Gesundheitsdaten besteht. In einer Apotheke werden sensible gesundheitsbezogene Daten verarbeitet (Rezepte, Kundenkarte, Medikationsplan, Abrechnung etc.). Allerdings soll nach einem Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26. April 2018 mit Blick auf Erwägungsgründe in der Datenschutzgrundverordnung bei der Verarbeitung von Daten in einer Apotheke oder in einer Arztpraxis nicht per se von einer umfangreichen Datenverarbeitung mit der Folge der Bestellungspflicht eines Datenschutzbeauftragten ausgegangen werden. In dem geschilderten Fall, in dem ein Apotheker drei PTA, eine PTA, zwei Boten und eine Putzfrau angestellt sind, kann mit sehr guten Gründen vertreten wer­den, dass ein Datenschutzbeauftragter überhaupt nicht notwendig ist.

Frage:  Müssen auf Informationsseiten eines Gesundheitszentrums (Ärzte, Apotheker) ein oder mehrere Datenschutzbeauftragte/r benannt werden?

Antwort: Typische Juristenantwort: Das kommt drauf an. Die Frage ist sehr unspezifisch. Für die Webseite muss eine Person oder ein Unternehmen die Verantwortung übernommen haben. Wenn sie die Voraussetzungen zur Benennung eines Datenschutzbeauftragten erfüllt, ist dieser anzugeben. Wenn über die Informationsseite Kontakt mit den einzelnen Heilberuflern im Gesundheitszentrum aufgenommen werden kann und diese jeweils einen Datenschutzbeauftragten haben, ist dieser Datenschutzbeauftragte zu benennen. Letztendlich hängt dies aber sehr vom Einzelfall ab, insbesondere auch wie die Datenströme organisiert sind, wie Anfragen weitergeleitet und verwertet werde