Das sind die wichtigsten Antworten zum Datenschutz in der Apotheke (Teil 1)

Der 25. Mai ist allgegenwärtig: Zahlreiche Unternehmen sind im Endspurt, um sich für die neuen datenschutzrechtlichen Anforderungen fit zu machen. DAZ.online, DAZ und AZ riefen ihre Leser kürzlich auf, Fragen rund um die Datenschutzgrundverordnung (DSGVO) zu stellen. Es zeigte sich: Diese gab es nicht zu knapp. Wir haben die Fragen thematisch gebündelt und verschiedenen Experten vorgelegt.

Heute starten wir mit den Antworten. Dr. Timo Kieser und Svenja Buckstegge (Oppenländer Rechtsanwälte Stuttgart), die auch die siebenteilige AZ-Serie „Datenschutz ante portas“ geschrieben haben, beantworten für Sie Fragen rund um den Datenschutzbeauftragten.

Frage: Ich bin in der Filialapotheker meiner Tochter als Filialleiter bestellt. Darf ich den Posten als Datenschutzbeauftragter bekleiden? Wo gibt es eine Regelung zu etwaigen Interessenkollisionen?

Antwort: Nein, eine Bestellung als Datenschutzbeauftragter scheidet aus. Ein Datenschutzbeauftragter muss weisungsfrei handeln können. Interessenkonflikte dürfen sich nicht ergeben, Art. 38 Abs. 3, Art. 38 Abs. 6 Satz 2 DSGVO. Filialleiter haben Leitungsfunktion. Der Filialleiter ist dafür verantwortlich, dass jedenfalls die Filialapotheke unter Beachtung der geltenden Vorschriften betrieben wird, § 2 Abs. 1 Ziffer 5, Abs. 2 ApBetrO. In den Aufgabenbereich eines Filialleiters fällt damit auch der Umgang mit Daten. Wird der Filialleiter nun Datenschutzbeauftragter, besteht ein Interessenkonflikt, da er sich jedenfalls teilweise selbst kontrollieren müsste. Ebenso wenig wie ein Geschäftsführer Datenschutzbeauftragter sein kann, ist dies bei einem Filialleiter der Fall. Auch eine zu große familiäre Nähe ist ein Indiz für Interessenskonflikte. Schon bei leitenden Angestellten wird vertreten, dass eine Stellung als Datenschutzbeauftragter nicht in Betracht kommt. Im Verhältnis Eltern/Kinder oder Ehemann­/Ehefrau ist eine noch größere Nähe gegeben. Es besteht die Gefahr von Interessenskonflikten, da der Daten­schutzbeauftragte unter Umständen Kontakt zur Aufsichtsbehörde suchen muss. Droht dann einem Familienangehörigen Ungemach, wird er einen solchen Schritt kaum gehen. Einen detaillierten Katalog mit lnteressenskonflikten gibt es nicht. Hier ist letztendlich eine Gesamtabwägung aller Umstände gefragt.

Frage: In meiner Landapotheke arbeiten ein Apotheker, drei PTA, eine PKA, zwei Boten und eine Putzfrau. Brauche ich einen externen Datenschutzbeauftragten oder kann die Aufgabe mein Apotheker weiterführen, der sie wegen QMS schon seit zehn Jahren ausübt?

Antwort: Der angestellte Apotheker kann die Tätigkeit weiter ausführen, wenn er entsprechende Schulungen besucht hat und eine ausreichende Qualifikation hat. Die spannendere Frage ist aber, ob in dieser Situation überhaupt ein Datenschutzbeauftragter notwendig ist. Nach § 38 Abs. 1 BDSG neu ist ein Datenschutzbeauftragter notwendig, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. 

Dies ist in der oben geschilderten Situation nicht der Fall. Nach Art. 37 Abs. 1 c DSGVO ist aber unabhängig von der 10­-Personen­-Schwelle ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung von Gesundheitsdaten besteht. In einer Apotheke werden sensible gesundheitsbezogene Daten verarbeitet (Rezepte, Kundenkarte, Medikationsplan, Abrechnung etc.). Allerdings soll nach einem Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26. April 2018 mit Blick auf Erwägungsgründe in der Datenschutzgrundverordnung bei der Verarbeitung von Daten in einer Apotheke oder in einer Arztpraxis nicht per se von einer umfangreichen Datenverarbeitung mit der Folge der Bestellungspflicht eines Datenschutzbeauftragten ausgegangen werden. In dem geschilderten Fall, in dem ein Apotheker drei PTA, eine PTA, zwei Boten und eine Putzfrau angestellt sind, kann mit sehr guten Gründen vertreten wer­den, dass ein Datenschutzbeauftragter überhaupt nicht notwendig ist.

Frage:  Müssen auf Informationsseiten eines Gesundheitszentrums (Ärzte, Apotheker) ein oder mehrere Datenschutzbeauftragte/r benannt werden?

Antwort: Typische Juristenantwort: Das kommt drauf an. Die Frage ist sehr unspezifisch. Für die Webseite muss eine Person oder ein Unternehmen die Verantwortung übernommen haben. Wenn sie die Voraussetzungen zur Benennung eines Datenschutzbeauftragten erfüllt, ist dieser anzugeben. Wenn über die Informationsseite Kontakt mit den einzelnen Heilberuflern im Gesundheitszentrum aufgenommen werden kann und diese jeweils einen Datenschutzbeauftragten haben, ist dieser Datenschutzbeauftragte zu benennen. Letztendlich hängt dies aber sehr vom Einzelfall ab, insbesondere auch wie die Datenströme organisiert sind, wie Anfragen weitergeleitet und verwertet werde

Frage:  Welcher Behörde muss ich den Datenschutzbeauftragten melden und wo muss sein Name überall erscheinen?

Antwort: Bei dem Datenschutzbeauftragten ist zunächst zwischen dem Namen und den Kontaktdaten zu unterscheiden. Nur die Kontaktdaten sind nach Art. 37 DSGVO zu veröffentlichen und der Aufsichtsbehörde mitzuteilen. Die Aufsichtsbehörde richtet sich nach dem jeweiligen Sitz der (Haupt-)Apotheke. Sie ist in den verschiedenen Bundesländern unterschiedlich. Einen Katalog, wo die Kontaktdaten (nicht der Name) des Datenschutzbeauftragten überall erscheinen müssen, gibt es nicht. Ein Aushang am Eingang der Apotheke alleine genügt aber nicht. Die ganz herrschende Meinung fordert, dass die Angaben auf der Internetseite im Impressum oder in einer Datenschutzerklärung angegeben werden müssen. Zudem sind die Kontaktdaten in Informationen über die Verarbeitung und Nutzung personenbezogener Daten, die den betroffenen Personen erteilt werden müssen (Art. 13, Art. 14 DSGVO), anzugeben. Mindestens aufzunehmen sind die Kontaktdaten also in:

• einem Aushang,
• im Internet (deutlich sichtbar), Kundenkartenanträge,
• in sonstigen Patienteninformationen (nach Art. 13, 14 DSGVO).

Frage:  Muss ich auf dem allgemeinem Facebook- Account der Apotheke einen Hinweis auf den Datenschutzbeauftragten der Apotheke geben?

Antwort: Wie oben ausgeführt enthält Art. 37 Abs. 7 DSGVO nur eine allgemeine Veröffentlichungspflicht der Kontaktdaten. Die Rechtsprechung hat bei Facebook bisher gefordert, dass ein vollständiges Impressum aufzunehmen ist. Es ist deshalb nur ein kleiner Schritt, dass auch ein Hinweis auf den Datenschutzbeauftragten gefordert wird. Hier sollte kein Risiko eingegangen werden und die Kontaktdaten mit aufgenommen werden.