Beauftragter für sensible Daten |
 |
25.06.2014 09:37 Uhr |
Von Guido Michels / Apotheken mit einer gewissen Mitarbeiterzahl müssen einen eigenen Datenschutzbeauftragten verpflichten. Diese Aufgabe kann einer der Angestellten oder ein externer Dienstleister übernehmen.
Zum Schutz der Persönlichkeitsrechte gegen eine unkontrollierbare Erhebung, Erfassung, Verarbeitung, Nutzung und Übermittlung personenbezogener oder personenbeziehbarer Daten hat das Bundesverfassungsgericht das Recht auf informationelle Selbstbestimmung geschaffen. Die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) sind subsidiär, als eine Art Auffanggesetz also nur dann wirksam, wenn keine andere spezialrechtliche Regelung vorhanden ist.
Personenbezogene Daten
Ein Datenschutzbeauftragter muss dann bestellt werden, wenn mindestens zehn Arbeitnehmer mit der automatisierten Verarbeitung, Nutzung oder Erhebung personenbezogener Daten beschäftigt sind. Auch wenn die Datenverarbeitung nicht automatisiert stattfindet, gilt das Gleiche für große Apotheken mit mindestens 20 Arbeitnehmern, die Kontakt mit personenbezogenen Daten haben. Hierzu zählen neben Vollzeitkräften auch Teilzeitkräfte, freie Mitarbeiter, Auszubildende, Praktikanten und andere arbeitnehmerähnliche Personen.
Kommt der Apothekenleiter seiner Pflicht zur Bestellung eines Datenschützers nicht nach, kann das als Ordnungswidrigkeit mit einer Geldstrafe von bis zu 50 000 Euro geahndet werden. Apothekeninhaber mit weniger Mitarbeitern benötigen keinen eigenen Datenschützer. Die Apothekenleitung muss jedoch laut Gesetz »in geeigneter Weise« dafür sorgen, dass dessen Aufgaben erfüllt werden.
Bei der Bestellung eines Datenschutzbeauftragten kann ein Mitarbeiter der Apotheke oder ein externer Anbieter ausgewählt werden. Entsprechende Leistungen bieten zum Beispiel der TÜV, das Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG) oder Freiberufler an. Generell darf nur Datenschutzbeauftragter werden, wer über die erforderliche Fachkunde und Zuverlässigkeit verfügt.
Die Bestellung der Datenschutzbeauftragten muss schriftlich erfolgen.Entscheiden Sie sich für einen internen Mitarbeiter muss sich dieser in einem zertifizierten Lehrgang ausbilden lassen. Diese vom Inhaber zu finanzierenden Seminare können zum Beispiel beim TÜV oder an Berufsschulen absolviert werden. Die Kenntnisse sind einmal jährlich aufzufrischen. Sich selbst darf der Inhaber übrigens nicht zum Beauftragten ernennen, da sonst ein Interessenkonflikt bestünde.
Verletzungen des Datenschutzes treten zum Beispiel auf, wenn Kundendaten nicht ordnungsgemäß entsorgt werden. In Brandenburg hatte beispielsweise die Inhaberin einer Apotheke Abholscheine, auf denen Namen, Anschriften und Medikamente ihrer Kunden vermerkt waren, in einer öffentlich zugänglichen Papiertonne entsorgt. /
