Hessen empfiehlt Datenschutzbeauftragten für alle Apotheken

Seit dem 25. Mai 2018 sind die neuen Datenschutzregeln in der Datenschutz-Grundverordnung (DSGVO) und dem erneuerten Bundesdatenschutzgesetz (BDSG) scharf geschaltet. Noch herrscht nicht in allen Belangen Klarheit. Zum Beispiel bei der Frage, ob die Pflicht, einen Datenschutzbeauftragten zu bestellen, auch für Apotheken gelten soll. Und falls das der Fall ist, ob sie für alle gilt oder erst ab einer bestimmten Mitarbeiterzahl.

Zur Erinnerung: § 38 BDSG-neu gibt vor, dass der Verantwortliche – im Fall einer Apotheke ist dies der Inhaber der Betriebserlaubnis – einen Datenschutzbeauftragten benennt, soweit er „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt.

Bei einem Treffen Ende April dieses Jahres in Düsseldorf legten die Datenschutzbehörden eigentlich schon ein gemeinsames Vorgehen dazu fest, wie sie die neuen Vorgaben in Sachen Datenschutzbeauftragter in Apotheken auslegen wollen. Sie stellten fest: „Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB).“  Bei weniger als zehn Mitarbeitern sei ein DSB zu bestellen, wenn eine „umfangreiche“ Datenverarbeitung im Sinne einer „Kerntätigkeit“ stattfindet oder eine Datenschutz-Folgeabschätzung nötig ist. Mit Blick auf Erwägungsgründe der DSGVO sei bei der Verarbeitung von Daten in einer Apotheke oder in einer Arztpraxis jedoch nicht per se von einer umfangreichen Datenverarbeitung mit der Folge der Bestellungspflicht eines Datenschutzbeauftragten auszugehen. 

Wie diese Woche bekannt wurde, hat die bayerische Landesregierung jedoch einen „bayerischen Weg“ für die Umsetzung der neuen Regeln beschlossen. Im Freistaat ist man der Meinung, dass wie Vereine auch klassische Apotheken grundsätzlich keinen Datenschutzbeauftragten bestellen müssen. Das Ministerium begründet das folgendermaßen: Im Mittelpunkt ihrer Tätigkeit steht unabhängig von der Größe der Apotheke die Beratung, nicht die Datenverarbeitung, sodass schon nach bisherigem deutschen Datenschutzrecht und auch nach den geringfügig erweiterten Bestellungspflichten der Datenschutz-Grundverordnung kein betrieblicher Datenschutzbeauftragter bestellt beziehungsweise beauftragt werden muss. Nach Meinung des bayerischen Landesdatenschutzbeauftragten Prof. Thomas Petri kann der Beschluss die unabhängige Amtsführung der  bayerischen Datenschutzbehörde aber nicht berühren und wolle dies vermutlich auch nicht, wie Petri gegenüber DAZ.online erklärte. Der Beschluss diene wohl in erster Linie dazu, den Mittelstand zu beruhigen, sagte er. Wie die bayerische Behörde die Ansage des Innenministeriums auslegen will, ist noch unklar. Noch hat sie sich nicht gegenüber DAZ.online geäußert.