Datenschutz-Kapriolen

Seit dem 25. Mai sind die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) scharf gestellt. Doch offene Fragen gibt es weiterhin. Zum Beispiel ist weiterhin unklar, wann die Pflicht besteht, einen Datenschutzbeauftragten zu bestellen.

Der neue § 38 BDSG schreibt vor, dass der Verantwortliche – im Fall einer Apotheke der Inhaber der Betriebserlaubnis – einen solchen benennt, soweit er „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt. Art. 37 DSGVO bestimmt daneben, dass der Verantwortliche „auf jeden Fall einen Datenschutzbeauftragten“ benennt, wenn seine „Kerntätigkeit“ in der „umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9“ besteht. In eine solche besondere Kategorie von Daten fallen unter anderem Gesundheitsdaten wie Rezeptdaten.

Diese Vorgaben lassen Interpretationsspielraum: Was heißt „ständig“ mit Datenverarbeitung beschäftigt? Und wann ist diese „umfangreich“, sogar „Kerntätigkeit“? Die Datenschutzbehörden der Länder hatten Ende April eine gemeinsame Marschrichtung festgelegt. Sie stellten fest: „Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB).“ Bei weniger als zehn Mitarbeitern sei ein DSB zu bestellen, wenn eine „umfangreiche“ Datenverarbeitung im Sinne einer „Kerntätigkeit“ stattfinde oder eine Datenschutz-Folgeabschätzung nötig ist. Mit Blick auf Erwägungsgründe der DSGVO sei bei der Verarbeitung von Daten in einer Apotheke jedoch nicht per se von einer umfangreichen Datenverarbeitung mit der Folge der Bestellungspflicht eines DSB auszugehen.

Der bayerische Weg und die hessische Alternative

Nun hat Bayerns Landesregierung jedoch einen „bayerischen Weg“ für die Umsetzung der neuen Regeln beschlossen. Im Freistaat ist man der Meinung, dass klassische Apotheken ebenso wie Vereine grundsätzlich keinen Datenschutzbeauftragten bestellen müssen. Denn im Mittelpunkt ihrer Tätigkeit stehe unabhängig von ihrer Größe die Beratung – nicht die Datenverarbeitung. Nach Meinung des bayerischen Landesdatenschutzbeauftragten Prof. Thomas Petri kann der ­Beschluss die unabhängige ­Amtsführung der bayerischen ­Datenschutzbehörde allerdings nicht berühren und wolle dies vermutlich auch nicht. Petri meint, der Beschluss diene in ­erster Linie dazu, den Mittelstand zu beruhigen. Wie die bayerische Behörde die Ansage des Innen­ministeriums auslegen will, ist somit noch unklar.

Anders als die bayerische Landesregierung sieht den Fall Hessens Datenschutzbeauftragter. Das berichtete die stellvertretende Geschäftsführerin des Hessischen Apothekerverbandes (HAV) Berit Gritzka vergangenen Donnerstag bei der HAV-Hauptversammlung. In Anbetracht der bestehenden Unsicherheiten empfehle dieser allen Apotheken unabhängig von ihrer Mitarbeiterzahl, zumindest für eine Übergangsfrist von zwei Jahren einen Datenschutzbeauftragten zu bestellen. So soll die Gefahr eines Bußgeldverfahrens wegen Nichtbestellung vermieden werden, heißt es zur Begründung. Der HAV habe seine Mitglieder darüber bereits vor dem 25. April informiert, so Gritzka.

Beratung vor Sanktion

Die bayerische Regierung gibt sich übrigens nicht nur beim Datenschutzbeauftragten kulant. Das Innenministerium erklärte, dass auch bei Sanktionen nicht das Schlimmste zu befürchten ist. Zwar sei jeder Datenschutzverstoß ein „rechtswidriger Zustand“. Aber: „Bei einem auf Unkenntnis beruhenden Erstverstoß soll aber auch bei Selbstständigen und damit bei Apothekern Beratung Vorrang vor Sanktionen haben.“ Des Weiteren stellte das Ministerium klar, dass man auch „zunehmende Abmahnrisiken“ vermeiden will. Hierzu habe der Freistaat bereits eine Initiative im Bundesrat eingebracht. |