Bundestag entschärft Datenschutz-Regeln – auch für Apotheken

Seit dem 25. Mai 2018 gelten die EU-Datenschutzgrundverordnung und das neue Bundesdatenschutzgesetz. Auch Apotheken müssen sich seitdem den neuen Anforderungen stellen. Eine Frage, die viele Apothekenleiter bis heute umtreibt: Brauche ich jetzt einen Datenschutzbeauftragten? Denn: § 38 BDSG-neu gibt vor, dass der Verantwortliche – im Fall einer Apotheke ist dies der Inhaber der Betriebserlaubnis – einen Datenschutzbeauftragten benennt, soweit er „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt. Zu zählen sind alle Apotheken-Mitarbeiter, die auf die automatisierte Datenverarbeitung zugreifen, nicht aber zum Beispiel Reinigungspersonal. Entscheidend sind dabei die Köpfe und nicht, ob die Personen teil- oder vollzeitbeschäftigt sind. Hat eine Apotheke mehrere Filialen, sind die Mitarbeiter aller Filialen mitzuzählen.

GroKo: Kleinbetriebe entlasten

Doch sehr plötzlich ist diese Regelung nun Vergangenheit: Denn der Bundestag hat am gestrigen Donnerstagabend ein Datenschutzgesetz beschlossen, das eine Aufweichung dieser Regel vorsieht. Künftig sollen nur noch Betriebe einen Datenschutzbeauftragten benötigen, wenn sie mindestens 20 Mitarbeiter haben. Zur Begründung heißt es im „Zweiten Datenschutzanpassungs- und Umsetzungsgesetz“, mit dem die Große Koalition die Datenschutzvorgaben weiter an das EU-Recht anpasst: „In § 38 Absatz 1 Satz 1 wird die maßgebliche Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter zu benennen ist, von 10 auf 20 angehoben. Angestrebt wird damit vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine.“

Medienberichten zufolge hat sich mit dieser Klausel die Union durchgesetzt. Die Anpassung dieser Vorgabe erfolgte sehr kurzfristig: Erst in der vergangenen Woche berichtete der Berliner „Tagesspiegel“ von einem „Entschließungsantrag“ von Union und SPD, in dem erstmals die 20-Mitarbeiter-Grenze erwähnt wurde. Am vergangenen Dienstag beschloss der Innenausschuss des Bundestages dann eine Beschlussempfehlung zum oben genannten Gesetz, in dem die Lockerung der Datenschutzbeauftragten-Vorgabe ebenfalls enthalten war. Gestern Abend folgte dann die Abstimmung im Bundestagsplenum. Das Gesetz ist allerdings zustimmungspflichtig, muss also auch vom Bundesrat noch beschlossen werden.

Insbesondere die CSU hatte innerhalb der Großen Koalition Druck gemacht. Denn schon im August 2018 stellte die bayerische Partei klar, dass sie bei der Umsetzung einen eigenen, einen „bayerischen Weg“ gehen wolle. Die bayerische Landesregierung beschloss damals ein Papier mit dem Namen „Der Bayerische Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung“.

Den Charakter eines Gesetzes oder einer Verordnung hat dieser „bayerische Weg“ nicht – vielmehr klingt er wie eine Interpretation der auf Bundesebene beschlossenen neuen Datenschutz-Grundsätze. In der Klarstellung macht die bayerische Landesregierung deutlich, dass sie auf eine „mittelstandsfreundliche Anwendung des Datenschutzrechtes“ beharre. Die Anwendung müsse „sachgerecht“ und „mit Augenmaß“ erfolgen.

Was die Bestellung eines Datenschutzbeauftragten in Apotheken betrifft, hatte das Innenministerium gegenüber DAZ.online schon damals Interpretationsspielraum gesehen. Ein Sprecher erklärte im August 2018 dazu: