Top-Themen 2018

Das sind die wichtigsten Antworten zum Datenschutz in der Apotheke (Teil 1)

Berlin - 28.12.2018, 13:15 Uhr

Auch Apotheken müssen sich für die EU-Datenschutzgrundverordnung wappnen. (Foto: Wladimir1804 / stock.adobe.com)

Auch Apotheken müssen sich für die EU-Datenschutzgrundverordnung wappnen. (Foto: Wladimir1804 / stock.adobe.com)


Es sind nur noch wenige Tage bis die EU-Datenschutzgrundverordnung und das neue Bundesdatenschutzgesetz in Kraft treten. Wir wollten von unseren Leserinnen und Leser wissen, welche Fragen, den Apothekern noch unter den Nägeln brennen. Ihre Fragen haben wir einigen namhaften Rechtsexperten zugeschickt. Lesen Sie heute die Antworten auf die ersten Fragen – sie ranken sich rund um den Datenschutzbeauftragten.

Top-Themen 2018

In der Kategorie „Top-Themen 2018“ stellen wir Ihnen in diesen Tagen einige der meist gelesenen und meist kommentierten Artikel aus dem Jahr 2018 vor. Dieser Beitrag erschien ursprünglich am 23. Mai 2018 um 07:00 Uhr.

Der 25. Mai ist allgegenwärtig: Zahlreiche Unternehmen sind im Endspurt, um sich für die neuen datenschutzrechtlichen Anforderungen fit zu machen. DAZ.online, DAZ und AZ riefen ihre Leser kürzlich auf, Fragen rund um die Datenschutzgrundverordnung (DSGVO) zu stellen. Es zeigte sich: Diese gab es nicht zu knapp. Wir haben die Fragen thematisch gebündelt und verschiedenen Experten vorgelegt.

Heute starten wir mit den Antworten. Dr. Timo Kieser und Svenja Buckstegge (Oppenländer Rechtsanwälte Stuttgart), die auch die siebenteilige AZ-Serie „Datenschutz ante portas“ geschrieben haben, beantworten für Sie Fragen rund um den Datenschutzbeauftragten.

Frage: Ich bin in der Filialapotheker meiner Tochter als Filialleiter bestellt. Darf ich den Posten als Datenschutzbeauftragter bekleiden? Wo gibt es eine Regelung zu etwaigen Interessenkollisionen?

Antwort: Nein, eine Bestellung als Datenschutzbeauftragter scheidet aus. Ein Datenschutzbeauftragter muss weisungsfrei handeln können. Interessenkonflikte dürfen sich nicht ergeben, Art. 38 Abs. 3, Art. 38 Abs. 6 Satz 2 DSGVO. Filialleiter haben Leitungsfunktion. Der Filialleiter ist dafür verantwortlich, dass jedenfalls die Filialapotheke unter Beachtung der geltenden Vorschriften betrieben wird, § 2 Abs. 1 Ziffer 5, Abs. 2 ApBetrO. In den Aufgabenbereich eines Filialleiters fällt damit auch der Umgang mit Daten. Wird der Filialleiter nun Datenschutzbeauftragter, besteht ein Interessenkonflikt, da er sich jedenfalls teilweise selbst kontrollieren müsste. Ebenso wenig wie ein Geschäftsführer Datenschutzbeauftragter sein kann, ist dies bei einem Filialleiter der Fall. Auch eine zu große familiäre Nähe ist ein Indiz für Interessenskonflikte. Schon bei leitenden Angestellten wird vertreten, dass eine Stellung als Datenschutzbeauftragter nicht in Betracht kommt. Im Verhältnis Eltern/Kinder oder Ehemann­/Ehefrau ist eine noch größere Nähe gegeben. Es besteht die Gefahr von Interessenskonflikten, da der Daten­schutzbeauftragte unter Umständen Kontakt zur Aufsichtsbehörde suchen muss. Droht dann einem Familienangehörigen Ungemach, wird er einen solchen Schritt kaum gehen. Einen detaillierten Katalog mit lnteressenskonflikten gibt es nicht. Hier ist letztendlich eine Gesamtabwägung aller Umstände gefragt.

Gilt in Apotheken die Zehn-Personen-Schwelle?

Frage: In meiner Landapotheke arbeiten ein Apotheker, drei PTA, eine PKA, zwei Boten und eine Putzfrau. Brauche ich einen externen Datenschutzbeauftragten oder kann die Aufgabe mein Apotheker weiterführen, der sie wegen QMS schon seit zehn Jahren ausübt?

Antwort: Der angestellte Apotheker kann die Tätigkeit weiter ausführen, wenn er entsprechende Schulungen besucht hat und eine ausreichende Qualifikation hat. Die spannendere Frage ist aber, ob in dieser Situation überhaupt ein Datenschutzbeauftragter notwendig ist. Nach § 38 Abs. 1 BDSG neu ist ein Datenschutzbeauftragter notwendig, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. 

Dies ist in der oben geschilderten Situation nicht der Fall. Nach Art. 37 Abs. 1 c DSGVO ist aber unabhängig von der 10­-Personen­-Schwelle ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung von Gesundheitsdaten besteht. In einer Apotheke werden sensible gesundheitsbezogene Daten verarbeitet (Rezepte, Kundenkarte, Medikationsplan, Abrechnung etc.). Allerdings soll nach einem Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26. April 2018 mit Blick auf Erwägungsgründe in der Datenschutzgrundverordnung bei der Verarbeitung von Daten in einer Apotheke oder in einer Arztpraxis nicht per se von einer umfangreichen Datenverarbeitung mit der Folge der Bestellungspflicht eines Datenschutzbeauftragten ausgegangen werden. In dem geschilderten Fall, in dem ein Apotheker drei PTA, eine PTA, zwei Boten und eine Putzfrau angestellt sind, kann mit sehr guten Gründen vertreten wer­den, dass ein Datenschutzbeauftragter überhaupt nicht notwendig ist.

Frage:  Müssen auf Informationsseiten eines Gesundheitszentrums (Ärzte, Apotheker) ein oder mehrere Datenschutzbeauftragte/r benannt werden?

Antwort: Typische Juristenantwort: Das kommt drauf an. Die Frage ist sehr unspezifisch. Für die Webseite muss eine Person oder ein Unternehmen die Verantwortung übernommen haben. Wenn sie die Voraussetzungen zur Benennung eines Datenschutzbeauftragten erfüllt, ist dieser anzugeben. Wenn über die Informationsseite Kontakt mit den einzelnen Heilberuflern im Gesundheitszentrum aufgenommen werden kann und diese jeweils einen Datenschutzbeauftragten haben, ist dieser Datenschutzbeauftragte zu benennen. Letztendlich hängt dies aber sehr vom Einzelfall ab, insbesondere auch wie die Datenströme organisiert sind, wie Anfragen weitergeleitet und verwertet werde

Wo ist der Datenschutzbeauftragte zu melden und zu nennen?

Frage:  Welcher Behörde muss ich den Datenschutzbeauftragten melden und wo muss sein Name überall erscheinen?

Antwort: Bei dem Datenschutzbeauftragten ist zunächst zwischen dem Namen und den Kontaktdaten zu unterscheiden. Nur die Kontaktdaten sind nach Art. 37 DSGVO zu veröffentlichen und der Aufsichtsbehörde mitzuteilen. Die Aufsichtsbehörde richtet sich nach dem jeweiligen Sitz der (Haupt-)Apotheke. Sie ist in den verschiedenen Bundesländern unterschiedlich. Einen Katalog, wo die Kontaktdaten (nicht der Name) des Datenschutzbeauftragten überall erscheinen müssen, gibt es nicht. Ein Aushang am Eingang der Apotheke alleine genügt aber nicht. Die ganz herrschende Meinung fordert, dass die Angaben auf der Internetseite im Impressum oder in einer Datenschutzerklärung angegeben werden müssen. Zudem sind die Kontaktdaten in Informationen über die Verarbeitung und Nutzung personenbezogener Daten, die den betroffenen Personen erteilt werden müssen (Art. 13, Art. 14 DSGVO), anzugeben. Mindestens aufzunehmen sind die Kontaktdaten also in:

  • einem Aushang,
  • im Internet (deutlich sichtbar), Kundenkartenanträge,
  • in sonstigen Patienteninformationen (nach Art. 13, 14 DSGVO).

Frage:  Muss ich auf dem allgemeinem Facebook- Account der Apotheke einen Hinweis auf den Datenschutzbeauftragten der Apotheke geben?

Antwort: Wie oben ausgeführt enthält Art. 37 Abs. 7 DSGVO nur eine allgemeine Veröffentlichungspflicht der Kontaktdaten. Die Rechtsprechung hat bei Facebook bisher gefordert, dass ein vollständiges Impressum aufzunehmen ist. Es ist deshalb nur ein kleiner Schritt, dass auch ein Hinweis auf den Datenschutzbeauftragten gefordert wird. Hier sollte kein Risiko eingegangen werden und die Kontaktdaten mit aufgenommen werden.



Diesen Artikel teilen:


Das könnte Sie auch interessieren

Datenschutzbeauftragter, Arztrücksprache, Heimversorgung und mehr – worauf Apotheken achten sollten

DSGVO: Apotheker fragen, Rechtsexperten antworten

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 3: Wächter über den Datenschutz: Der Datenschutzbeauftragte

Neue Datenschutzregeln ante portas

Was ändert sich durch die Umsetzung der Datenschutz-Grundverordnung?

Der Datenschutzbeauftragte in der Apotheke

Teil 2: Ist der Datenschutzbeauftragte bald Geschichte?

Sechs Monate DSGVO – ein Zwischenfazit

Der Startschuss für die DSGVO fällt am Freitag

Fit für die Datenschutzgrundverordnung?

2 Kommentare

Im Würgegriff der Datenkraken

von Heiko Barz am 27.05.2018 um 20:23 Uhr

Ich frage mich bei diesem Wahnsinn, was ich eigentlich noch in meiner Apotheke soll.
Ich habe z. B. Nicht die Fläche an einer Wand, um alle Vorschriften in der nötigen, lesbaren Größe anzuschlagen. Am besten ist, wir bauen alle um, oder besser noch wir machen alle unsere Läden dicht.
So langsam begreife ich den politischen Wahnsinn hinter dieser neuen Diskriminierungswelle aus den Gärtöpfen der EU. Das hat doch schon Methode.
Ich habe Pharmazie studiert, um Menschen in bestimmten Notlagen zu unterstützen, demnächst ist es wohl wichtiger, ein mehrjähriges Datenschutzstudium vorzulegen, bevor man etwas NÜTZLICHES studiert!

» Auf diesen Kommentar antworten | 0 Antworten

Datenschutz

von Conny am 23.05.2018 um 7:55 Uhr

Diese Verordnung wird für viele Apotheken der vorletzte oder schon der letzte Sargnagel sein.

» Auf diesen Kommentar antworten | 0 Antworten

Das Kommentieren ist aktuell nicht möglich.