Kein Datenschutzbeauftragter für kleine Apotheken

Die FDP-Bundestagsfraktion zeigt sich besorgt um kleine Betriebe und speziell um die Gesundheits- und Pflegeberufe: Bürdet ihnen das seit Ende Mai geltende neue Datenschutzrecht zu viel auf? Zu viel Bürokratie, zusätzliche Kosten und die Gefahr von Abmahnungen? Nach einer umfassenderen und allgemeineren Kleinen Anfrage zur Datenschutz-Grundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz hatte die Oppositionsfraktion weitere 16 Fragen formuliert, die speziell den Gesundheitsbereich adressierten.

Nun liegt die Antwort der Bundesregierung vor. Ihr Tenor: Die wesentlichen Grundsätze der Verarbeitung von Daten ändern sich durch die DSGVO nicht. Öffnungsklauseln ermöglichten den Mitgliedstaaten im Gesundheitsbereich spezifische Regelungen. Und bei den hierzulande vorgenommenen Anpassungen sei man der Prämisse gefolgt, das hohe Datenschutzniveau des bereichsspezifischen Gesundheit- und der Sozialdatenschutzes so weit wie möglich beizubehalten.

Auf die Frage, welche Auswirkungen die DSGVO auf den Austausch von Patientendaten zwischen einzelnen Leistungserbringern haben könnte, erklärt die Regierung, dass es im Hinblick auf die Erlaubnistatbestände, die keiner gesonderten Einwilligung des Patienten bedürfen, keine grundsätzlichen Änderungen gebe. Damit blieben die Möglichkeiten des Datenaustauschs zwischen Leistungserbringern sowie mit den Kranken- und Pflegekassen grundsätzlich bestehen. Auch auf die Regelungen im Zusammenhang mit dem Aufbau der Telematikinfrastruktur und den Anwendungen der elektronischen Gesundheitskarte (eGK) habe die Verordnung keine spezifischen Auswirkungen.

Die FDP fragte zudem, ob Praxen, Apotheken und andere Gesundheits- und Pflegeeinrichtungen mit weniger als zehn Mitarbeitern einen Datenschutzbeauftragten brauchen. Diese Frage regeln die neuen Vorgaben nicht eindeutig. Doch ein Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hatte bereits Ende April für Licht im Dunkel gesorgt – und auf diesen weist nun auch die Bundesregierung hin: Zwar ist ein Datenschutzbeauftragter auch bei weniger als zehn Mitarbeitern zu bestellen, wenn eine „umfangreiche“ Datenverarbeitung im Sinne einer „Kerntätigkeit“ stattfindet oder eine Datenschutz-Folgeabschätzung nötig ist. Mit Blick auf Erwägungsgründe der DSGVO sei bei der Verarbeitung von Daten in einer Apotheke oder in einer Arztpraxis jedoch nicht per se von einer umfangreichen Datenverarbeitung mit der Folge der Bestellungspflicht eines Datenschutzbeauftragten auszugehen. „Es ist daher weder ein betrieblicher Datenschutzbeauftragter […] zu benennen, noch zwingend eine Datenschutz-Folgeabschätzung […] durchzuführen“, heißt es in der Antwort.

Die Liberalen wollten zudem wissen, wie es mit einem Anspruch auf Löschung von Daten des Patienten aussieht, wenn beispielsweise Apotheken diese Daten zur Verteidigung von Rechtsansprüchen aufbewahren wollen (absolute Verjährungsfrist: 30 Jahre). Hierzu verweist die Regierung auf Artikel 17 Abs. 3 e DSGVO: Danach besteht ein Anspruch der betroffenen Person auf Löschung nicht, wenn die Verarbeitung zu Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. „Es ist deshalb nachvollziehbar, dass es aus Sicht des Leistungserbringers erforderlich sein kann, einzelne Dokumentationen bis zum Ablauf der in § 199 BGB genannten Verjährungsfristen aufzubewahren.“

Missbräuchliche Abmahnungen sollen verhindert werden

Auf die Frage, ob sie eine Abmahnwelle im Gesundheitssektor erwarte, erklärt die Bundesregierung, ihr lägen keine Erkenntnisse vor, dass dieser von Abmahnungen stärker oder weniger stark betroffen sein könnte als andere Bereiche. Die etwa aus Bremen gemeldeten Abmahnungen von Arztpraxen bezögen sich nicht auf gesundheitsspezifische Problemstellungen des Datenschutzes, sondern auf mangelhafte Datenschutzerklärungen auf der Praxis-Internetseite. Die Bundesregierung nehme dennoch die Befürchtungen ernst, dass es zu einer „Abmahnwelle“ kommen könnte. Im Koalitionsvertrag sei bereits vereinbart, dass ein „Missbrauch des bewährten Abmahnrechts verhindert“ werden soll. Gegenwärtig prüfe die Regierung Maßnahmen in diesem Bereich.

Eine Frage drehte sich auch ums Geld: Die FDP-Fraktion hakte nach, wie viel Apotheken und andere Gesundheitsbetriebe für die Einführung und die dauerhafte Umsetzung der Datenschutzregeln zahlen müssen. Dazu lägen der Regierung keine Erkenntnisse vor, heißt es in der Antwort.