Was Apothekenleiter wissen müssen

Apotheken müssen in zwei Situationen verpflichtend einen Datenschutzbeauftragten benennen: Zum einen – wie derzeit schon vorgeschrieben – wenn sich „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ (§38 neues Bundesdatenschutzgesetz [BDSGneu]). Relevant ist dabei die typischerweise bestehende Anzahl der Mitarbeiter, einschließlich der Auszubildenden und Praktikanten. Ausgenommen sind z.B. Reinigungskräfte. Gezählt werden alle Personen, die tatsächlich auf die automatisierte Datenverarbeitung zugreifen – unabhängig davon, ob sie in Teil- oder Vollzeit arbeiten. Einzubeziehen sind auch Mitarbeiter, die für längere Zeit (z.B. durch Mutterschutz oder Krankheit) ausfallen. Ob der Inhaber der Apotheke mitgezählt wird, ist derzeit noch umstritten, überwiegend wird er nicht berücksichtigt. Im Filialverbund sind die Mitarbeiter der Haupt- und Filialapotheke(n) zu addieren.

Zum anderen muss ein Datenschutzbeauftragter eingesetzt werden, wenn „die Kerntätigkeit des Verantwortlichen (...) in der umfangreichen Verarbeitung“ besonders schutzwürdiger personenbezogener Daten besteht (Art. 37 Datenschutz-Grundverordnung [DS-GVO]): Die Datenverarbeitung muss also einen untrennbaren Bestandteil der Haupttätigkeit ausmachen. In Apotheken ist dies der Fall, wenn Gesundheitsdaten – etwa in Form von Rezepten – verarbeitet werden. Hinzu kommt, dass die in einer Apotheke verarbeiteten Daten sogar einem besonderen gesetzlichen Schutz unterliegen (§203 Strafgesetzbuch: Verletzung von Privatgeheimnissen). Insofern sind sie erst recht auch in datenschutzrechtlicher Hinsicht maßgeblich.

Ob ein Datenschutzbeauftragter im konkreten Fall zu benennen ist, hängt zusätzlich davon ab, ob eine Verarbeitung von Gesundheitsdaten „umfangreich“ erfolgt. Hierzu hat ein Beratungsgremium der EU in der „Leitlinie WP 243“ erklärt, dass die Verarbeitung von Patientendaten zwar im gewöhnlichen Geschäftsbetrieb eines Krankenhauses, nicht jedoch durch einen einzelnen Arzt „umfangreich“ sei. Was genau das für Apotheken bedeutet, ist nach wie vor unklar. Sofern einzelne Apotheken jedoch in großem Stil Medikationsmanagement betreiben oder in der Heimversorgung mit Verblisterung bzw. im Versandhandel aktiv sind, dürfte der relevante „Umfang“ schnell erreicht sein.

Übrigens: Verfügt die Apotheke über eine weitläufige Videoüberwachung, muss ohnehin ein Datenschutzbeauftragter existieren.

Der Datenschutzbeauftragte muss eine berufliche Qualifikation und Fachwissen bezüglich Datenschutzrecht und -praxis haben. Gemessen wird dies an den Datenverarbeitungen in der jeweiligen Apotheke. Auch pharmazeutisches Personal ist daher nicht per se ausgeschlossen. Falls keiner der Mitarbeiter die Anforderungen erfüllt, besteht entweder die Möglichkeit, dass sich ein Mitarbeiter die fehlenden Kenntnisse schnellstmöglich aneignet, oder dass Sie einen externen Datenschutzbeauftragten benennen. Als Apothekenleiter selbst dürfen Sie, um Interessenkonflikte zu vermeiden, nicht Datenschutzbeauftragter werden. Im Filialverbund schließlich kann eine Person Datenschutzbeauftragter für alle Apotheken sein.

Ein Vorteil eines internen Datenschutzbeauftragten: Er ist in die tägliche Kommunikation eingebunden und kennt die internen Abläufe wie auch Ansprechpartner gut. Zusätzliche Kosten fallen zunächst nicht an. Ein Nachteil könnte es sein, dass bestehende suboptimale Lösungen im Umgang mit Daten mangels „Input“ von außen beibehalten werden. Der interne Datenschutzbeauftragte genießt auch zukünftig einen umfassenden Kündigungsschutz, sofern eine Pflicht zur Bestellung vorliegt.

Manches Unternehmen bedient sich eines externen Datenschutzbeauftragten, um die eigenen internen Ressourcen besser nutzen zu können und um von dem spezifischen Fachwissen zu profitieren. Insbesondere hat ein Externer einen besseren Überblick über eine marktübliche Umsetzung der Datenschutzvorgaben. Allerdings verursacht er Zusatzkosten. Zudem ist er nicht automatisch in bestehende Prozesse eingebunden, sondern benötigt gesonderte apothekenspezifische Informationen. Weiterhin kann der Schutz von Betriebsgeheimnissen ein sensibles Thema sein.

Nach Art. 24 DS-GVO bleibt der Apothekenleiter im Außenverhältnis verantwortlich. Gleichwohl haftet auch jeder Datenschutzbeauftragte für die ihm obliegenden Aufgaben nach den allgemeinen Grundsätzen. Während aber ein Externer bei einem Schadensausgleich vereinbarungsgemäß immer vollständig zur Verantwortung gezogen wird, gilt dies bei einem internen Datenschutzbeauftragten nur bei Vorsatz und grober Fahrlässigkeit. Bei leichter Fahrlässigkeit ist er hingegen von der Haftung freigestellt. Bei normaler Fahrlässigkeit sieht der Gesetzgeber eine Quotelung vor. Hier sollten Sie also den Abschluss einer gesonderten Haftpflichtversicherung erwägen.

Nach Art. 37 Abs. 7 DS-GVO sind die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der zuständigen Aufsichtsbehörde mitzuteilen. Dabei muss übrigens nicht der „Klarname“ – also der richtige Name – des Bestellten angegeben werden, sondern nur, wo dieser wie zu erreichen ist. Die Landesdatenschutzbehörden wollen hierzu ab dem 25. Mai 2018 ein einheitliches Online-Meldeformular zur Verfügung stellen.

Durch die Meldepflicht könnten Apotheken mit einer gewissen Größe, die keine Meldung vorgenommen haben, zukünftig schneller als bisher ins Visier der Aufsichtsbehörden geraten. Sie müssen dann darlegen, weshalb keine Meldung abgegeben wurde. Vielerorts wird daher geraten, einen Datenschutzbeauftragten unabhängig von einer etwaigen Pflicht zu bestellen.

Wichtiges Ziel der Datenschutz-Folgenabschätzung ist es, Datenverarbeitungsvorgänge, die eine hohe potenzielle Gefährdung von Rechten und Freiheiten der Betroffenen mit sich bringen, genau zu prüfen und das entsprechende Risiko abzuschätzen. In Art. 35 Abs. 3 DS-GVO werden Fälle genannt, in denen die Folgenabschätzung durchgeführt werden muss. Für Apotheken ist die „umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten“ relevant. Auch hier besteht nach wie vor Klärungsbedarf, was „umfangreich“ für Apotheken bedeutet. Deswegen kommen die datenschutzrechtlichen Aufsichtsbehörden ins Spiel. Diese sollen gemäß Art. 35 Abs. 4 DS-GVO verbindliche Negativ- oder Positivlisten für Verarbeitungen veröffentlichen, bei denen Datenschutz-Folgenabschätzungen typischerweise durchzuführen sind. Solche Listen liegen derzeit allerdings noch nicht vor.

Art. 35 Abs. 7 DS-GVO listet die formalen Mindestanforderungen einer Folgenabschätzung auf, u.a. die Identifizierung und Beschreibung riskanter Verarbeitungsvorgänge sowie die interne Bewertung des Risikos. Allen, die sich näher mit diesem Thema beschäftigen wollen oder müssen, bieten die im Service genannten Links eine gute Grundlage.

Die Entscheidungsfindung über die Erforderlichkeit einer Folgenabschätzung muss dokumentiert und bei Verlangen der Aufsicht vorgezeigt werden – vor allem, um guten Willen zu zeigen. Bei Filialverbünden und sehr großen Einzelapotheken mit vielen datenlastigen Aktivitäten ist die Folgenabschätzung wohl nötig, ebenso bei Videoüberwachung. Bei letzterer muss zusätzlich ein entsprechender Aushang am Apothekeneingang erfolgen.

Hilfreiche Links:

• Häufig gestellte Fragen zum Datenschutzbeauftragten
• Muster für die Bestellung eines internen Datenschutzbeauftragten
• White Paper „Datenschutz-Folgenabschätzung“
• Checkliste zur Datenschutz-Folgenabschätzung
• Beispiel für ein Informationsblatt zur Videoüberwachung
  

Dr. Bettina Mecking, Justiziarin der Apothekerkammer Nordrhein, Fachanwältin für Medizinrecht, 40213 Düsseldorf, E-Mail: b.mecking@aknr.de