Braucht jede Apotheke einen Datenschutzbeauftragten?

Kommt man nun zu dem Schluss, dass ein betrieblicher Datenschutzbeauftragter zu benennen ist, stellt sich die Frage, ob dieser intern oder extern zu bestellen ist. Ausgeschlossen für diese Aufgabe ist auf jeden Fall der Apothekeninhaber. Pharmazeutisches Personal kann sie jedoch grundsätzlich übernehmen. Wichtig ist aber, dass der Datenschutzbeauftragte die notwendige Fachkunde zu Datenschutzrecht und -praxis besitzt oder sich in kurzer Zeit durch eine Schulung verschafft.

Für einen internen Beauftragten spricht, dass dieser die Abläufe in der Apotheke gut kennt und gut erreichbar ist. Es muss allerdings sichergestellt sein, dass er bei seinen datenschutzrechtlichen Aufgaben unabhängig ist und frei von Interessenkollisionen arbeiten kann. Zudem ist zu beachten, dass er arbeitsrechtlich privilegiert und praktisch unkündbar ist. Vorteil eines externen Datenschutzbeauftragten ist, dass dieser in der Regel bereits qualifiziert ist und einen besseren Überblick über die übliche Umsetzung von Datenschutzvorgaben hat. Der Apothekeninhaber muss allerdings darauf achten, dass sich diese Person mit den Betriebsabläufen und Datenverarbeitungsvorgängen der Apotheke wirklich vertraut macht. Es gibt auch preisgünstige Anbieter, die die Apotheke gar nicht von innen kennen – ein solcher dürfte nicht ausreichen.

Ist der Datenschutzbeauftragte schließlich ausgewählt, so besteht eine Meldepflicht gegenüber der Aufsichtsbehörde. Die Kontaktdaten des Beauftragten sind überdies allgemein zu veröffentlichen. Sein tatsächlicher Name muss dabei nicht preisgegeben werden. Es reichen Adresse und Telefonnummer und/oder E-Mail-Adresse (datenschutzbeauftragter@xy-apotheke.de), unter der er zu erreichen ist. Die Landesdatenschutzbehörden wollen hierzu ab dem 25. Mai ein einheitliches Online-Meldeformular zur Verfügung stellen.

Bei all dem ist zu beachten, dass der Apothekeninhaber durch die Bestellung eines Datenschutzbeauftragten dennoch für Verstöße gegen den Datenschutz verantwortlich bleibt. Ihn treffen etwaige Sanktionen – und die können hart sein. Bei Pflichtverletzungen durch einen externen Datenschutzbeauftragten können allerdings Schadenersatzansprüche des Inhabers entstehen. Auch wenn der Apothekenleiter sich nicht um den Datenschutzbeauftragten kümmert, obwohl er es müsste, muss er mit empfindlichen Bußgeldern rechnen.