DSGVO-Umsetzung in Apotheken

Kammer: Apotheker müssen selbst über Datenschutzbeauftragten entscheiden

Berlin - 20.08.2018, 07:00 Uhr

Die Bayerische Landesapothekerkammer folgt der Aussage des Innenministeriums, dass keine Apotheke einen Datenschutzbeauftragten benötigt, nicht. (s / Foto: Imago)

Die Bayerische Landesapothekerkammer folgt der Aussage des Innenministeriums, dass keine Apotheke einen Datenschutzbeauftragten benötigt, nicht. (s / Foto: Imago)


Muss es in Apotheken nun einen Datenschutzbeauftragten geben oder nicht? Das bayerische Innenministerium meint: nein. Die Landesdatenschutzbehörde des Freistaates widerspricht und sagt: in manchen Fällen. Was empfiehlt also die Bayerische Landesapothekerkammer ihren Mitgliedern? DAZ.online hat dazu mit Justiziar Klaus Laskowski gesprochen. Der Jurist sagt: Er freue sich zwar über das Signal des bayerischen Innenministeriums, letztlich sei aber die Sicht der Datenschutzbehörde entscheidend. Und: Auch aus anderen Gründen könne es hilfreich sein, einen Datenschutzbeauftragten zu bestellen.

Die Debatte darüber, ob Apotheken nach der Umstellung des Bundesdatenschutzgesetzes und der neuen Datenschutzgrundverordnung (DSGVO) einen Datenschutzbeauftragten benötigen, nimmt so langsam groteske Züge an. Denn die Meinungsvielfalt in dieser Frage nimmt derzeit fast wöchentlich zu: Schon vor Inkrafttreten der DSGVO im Mai hatten sich die Landesdatenschutzbehörden, die für die Kontrolle und Umsetzung der Regeln zuständig sind, darauf geeinigt, dass alle Apotheken einen Beauftragten brauchen, die mehr als zehn Mitarbeiter haben. Auch die Bundesregierung interpretiert die neuen Datenschutzregeln so.

Mehr zum Thema

Völlig überraschend beschloss dann die bayerische Landesregierung einen „Bayerischen Weg“ zur DSGVO-Umsetzung. Auf Nachfrage von DAZ.online im zuständigen Innenministerium erklärte ein Sprecher, dass keine Apotheke einen Datenschutzbeauftragten brauche, weil Apotheken nicht ständig mit automatisierten und personenbezogenen Daten beschäftigt sind. Die bayerische Landesdatenschutzbehörde findet das gar nicht lustig und erklärte in der vergangenen Woche, dass sie selbst für die Umsetzung der DSGVO verantwortlich sei und Apotheken mit mehr als zehn Mitarbeitern sehr wohl einen Beauftragten brauchen. Inzwischen ist bekannt geworden, dass die Hessische Apothekerkammer ihren Mitgliedern sogar empfiehlt, dass alle Apotheken einen Datenschutzbeauftragten benötigen. 

DAZ.online hat mit dem Justiziar der BLAK, Klaus Laskowski, über dieses Thema  gesprochen.

Mehr zum Thema

DAZ.online: Herr Laskowski, die Aussage des bayerischen Innenministeriums, dass keine (!) Apotheke einen Datenschutzbeauftragten braucht, sorgt derzeit für viel Wirbel und Unsicherheit im Apothekerlager. Waren Sie überrascht?

Laskowski: Die Datenschutzregeln sind nicht neu, aber die Interpretation des Ministeriums dieser Regeln ist, jedenfalls in einem gewissen Umfang, neu und  wird im Sinne einer pragmatischen Interpretation geltenden Rechts von uns begrüßt.

DAZ.online: Wie interpretieren Sie denn die Aussage des Ministeriums?

Laskowski: Wir begrüßen es, wenn sich das Ministerium für die Entbürokratisierung im Apothekenwesen einsetzt, und werden entsprechende Bemühungen immer gerne unterstützen. Wenn unsere Mitglieder danach fragen, wie die Aussagen des bayerischen Innenministeriums zum Datenschutzbeauftragen in Apotheken einzuschätzen sind, dann würden wir diese als Interpretation des Wortes ‚ständig‘ erläutern.

„Die Aussage des Ministeriums ist auch politisch zu interpretieren“

DAZ.online: Was haben Sie Ihren Mitgliedern denn bisher, also vor der Aussage des Innenministeriums, empfohlen?

Laskowski: Wir haben auch bislang schon immer auf die geltende Rechtslage unter Einbindung aller uns zur Verfügung stehenden nützlichen und validen Informationen hingewiesen, zunächst auf die auch bei den für das Datenschutzrecht zuständigen Vollzugsbehörden der Länder bestehenden Unstimmigkeiten zur Interpretation des Datenschutzrechtes in punkto Bestellungspflicht, dann auf die zwischenzeitlich erreichte Klärung, dass Apotheken mit unter zehn ständig automatisiert datenverarbeitenden Personen jedenfalls grundsätzlich keinen Datenschutzbeauftragten benötigen und dass eine Bestellung eines Datenschutzbeauftragten grundsätzlich erst ab zehn ständig automatisiert datenverarbeitenden Personen erforderlich ist.

DAZ.online: Wie erklären Sie Ihren Mitgliedern die Bedeutung dieser Stellungnahme in der Apothekenpraxis?

Laskowksi: Wir würden unsere Mitglieder zudem darauf hinweisen, dass die Aussage des Innenministeriums auch politisch zu interpretieren ist und dass es in der Umsetzung nun darauf ankommen wird, wie das in Bayern in Sachen Datenschutz für Apotheken zuständige Landesamt für Datenschutzaufsicht damit umgeht.

DAZ.online: Im Gesetzestext heißt es, dass nur Unternehmen einen Datenschutzbeauftragten brauchen, die „ständig“ mit Patientendaten umgehen. Ist diese Formulierung aus Ihrer Sicht nicht klar?

Laskowski: Aus den Datenschutz-Regeln geht hervor, dass Apotheken mit mindestens zehn Personen, die ständig automatisierte und personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten benötigen. In der Tat lässt das Wort ‚ständig‘ einen gewissen Interpretationsspielraum zu.

Was sagt das Gesetz?

§ 38 BDSG-neu gibt vor, dass der Verantwortliche – im Fall einer Apotheke ist dies der Inhaber der Betriebserlaubnis – einen Datenschutzbeauftragten benennt, soweit er „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt. Eine entsprechende Regelung gibt es auch im jetzt noch geltenden Bundesdatenschutzgesetz.

DAZ.online: Wie ist denn Ihre persönliche Empfehlung? Brauchen Apotheker einen Datenschutzbeauftragten oder nicht?

Laskowski: Unabhängig von dieser viel diskutierten Frage sind die datenschutzrechtlichen Anforderungen an den Apothekenbetrieb aber durch das neue Datenschutzrecht der DSGVO stark angestiegen und auch Kleinbetriebe müssen diese Anforderungen erfüllen, und zwar unabhängig von der Frage, ob sie nun einen Datenschutzbeauftragten benötigen oder nicht. Nachdem der Inhaber in jedem Fall rechtlich für die Einhaltung dieser Standards verantwortlich ist, wird sich jeder Apothekeninhaber daher sowieso fragen müssen, ob es nicht sinnvoll ist, einen Datenschutzbeauftragten zu bestellen, der ihn dann bei der Einhaltung dieser Standards mit entsprechendem Sachverstand unterstützen kann.

DAZ.online: Man hört aus dieser Aussage heraus, dass Sie den Inhabern nur Tipps geben können, dass aber die letztendliche Entscheidung und das damit verbundene Risiko bei den Apothekern selbst liegt…

Laskowski: Natürlich haben wir als Kammer in Bayern, wie auch der Apothekerverband und die Datenschutzbehörde, unseren Mitgliedern, auch mit tatkräftiger Unterstützung der ABDA, eine Vielzahl von Hilfestellungen in Form von Mustern von der Einwilligungserklärung bis zum Verarbeitungsverzeichnis zur Verfügung gestellt und viele individuelle Auskünfte gegeben. Dennoch bleibt es im Ergebnis dabei, dass die Umsetzung der vielen formalen Vorgaben der DSGVO in der Apotheke erfolgen muss. Das kann den Inhabern leider keiner abnehmen.



Benjamin Rohrer, Chefredakteur DAZ.online
brohrer@daz.online


Diesen Artikel teilen:


1 Kommentar

Geht es noch um den Datenschutz?

von Hummelmann am 20.08.2018 um 13:48 Uhr

Ich kann den Präsidenten der Landesdatenschutzbehörde gut verstehen. Einmal im Leben fragt jemand nach seiner Meinung und schon wird er vom Innenministerium „entmündigt“. Leider bleibt er aber die Begründung WARUM es keinen bayerischen Weg bei der Umsetzung der DSGVO geben darf. Wir diskutieren über ein EU-Gesetz, das es schon seit Jahren gibt. Bisher bestand bei der Landesdatenschutzbehörde Sendepause zum Thema Datenschutz in Apotheken. Sämtliche Anfragen wurden weggebügelt. Erst drei Monate nach Ablauf der Übergangsfrist waren sie überhaupt in der Lage eine Online-Seite einzurichten, auf der man den Namen eines Datenschutzbeauftragten melden konnte. Aber die Frage ist doch: Wird der Datenschutz in Apotheken allein dadurch besser, dass es einen Datenschutzbeauftragten gibt? Oder geht es hier nur noch um Bürokratie? Gesetze bedürfen grundsätzlich einer Interpredation. Ich kann mir nicht vorstellen, dass die DSGVO in allen europäischen Ländern gleich interpretiert wird. Warum soll sie dann innerhalb der BRD gleich ausgelegt werden? Oder anders herum gefragt: Wenn alle Bundesländer bei der Umsetzung gleich vorgehen, wozu brauchen wir DAN in jedem Bundesland eine eigene Behörde (und einen eigenen Datenschutz-Präsidenten)?
Ich bin sehr froh, dass das Bayerische Innenministerium einen pragmatischen Weg favorisiert. Denn das Datenschutzgesetz wurde in erster Linie geschaffen um dem Datenmissbrauch Grenzen zu setzen und im Falle eines systematischen und gewerbsmäßigen Verstoßes entsprechend hohe Strafen ansprechen zu können.
Die sachgerechte Belieferung eines Rezeptes und die damit verbundene Dokumentation der Abgabe war sicherlich nie das Hauptziel des Gesetzes. Apothekenleiter, die mit dieser Aufgabe verantwortungsbewusst umgehen und wirksame Maßnahmen ergreifen, dass diese Daten nicht außerhalb ihres Hauses gewerbsmäßig weiter verarbeitet und verwendet werden, tun alles, was die EU-DSGVO von ihnen verlangt. Dabei ist es doch völlig egal, ob dort 9 Mitarbeiter beschäftigt sind oder 11. Auch die Anwesenhait eines Datenschutzbeauftragten ändert in solchen Inhabergeführten Kleinbetrieben gar nichts an der Datensicherheit. Denn letztendlich haftet ja der Apothekeninhaber und nicht der mit dem Datenschutz beauftragte Mitarbeiter.
Deshalb begrüße ich auch die Aussage der Apothekerkammer. Der Chef muss entscheiden, ob er sich selbst um den Datenschutz kümmern will oder ob er das einem Mitarbeiter oder einem externen Unternehmen übertragen will.
Die Aussagen der Datenschutzbehörden kann ich nicht nachvollziehen. Sie hat nicht genug Rückrad um eine eigene Meinung zu formulieren, sie will nur eine Umsetzung mit dem geringsten Arbeitsaufwand für die Behörde und gleichzeitig maximale Bürokratie bis in die Kleinsten Betriebe hinein. Wollte sie mich Lügen strafen, dann kann sie ja auf ihrer Homepage eine Muster-Verfahrensbeschreibung für die Datenverarbeitung in Apotheken erstellen. Denn bei einer möglichen Kontrolle erwarte ich schon, dass der Kontrolleur weiß, was hinter dem HV-Tisch passiert..

» Auf diesen Kommentar antworten | 0 Antworten

Das Kommentieren ist aktuell nicht möglich.