Der Datenschutzbeauftragte in der Apotheke

Benennung eines Datenschutzbeauftragten

Unter welchen Voraussetzungen eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht, wird in Artikel 37 Absatz 1 DS-GVO und in § 38 Absatz 1 BDSG-neu geregelt. So ist ein Datenschutzbeauftragter zu benennen, wenn in der Regel mindestens 10 Personen ständig mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind. Zu den automatisierten Verarbeitungen in der Apotheke zählen zum Beispiel Rezeptabrechnungen oder die Zahlungen mit EC- und Kreditkarte. Sollte ein Betrieb weniger als 10 ständig mit der auto­matischen Verarbeitung personenbezogener Daten Beschäftigte haben, muss ein Datenschutzbeauftragter gleichwohl unabhängig von der Mit­arbeiteranzahl benannt werden, wenn eine Datenschutz-Folgenabschätzung im Betrieb durchzuführen ist. Eine Folgenabschätzung ist gemäß Art. 35 DS-GVO immer dann durchzuführen, wenn eine Verarbeitung voraussichtlich ein besonders hohes Risiko für die Rechte und Freiheiten natürlicher Personen (keine Unternehmen, sondern Privatpersonen) zur Folge haben kann. Hier bestehen noch erhebliche Rechtsunsicherheiten in der Interpretation dieser Norm, die sich voraussichtlich erst durch gerichtliche Entscheidungen in den kommenden Jahren klären werden und die Apotheken und andere Betriebe bis dahin im Ungewissen lassen. Ein Datenschutzbeauftragter ist darüber hinaus unter den Voraussetzungen des Art. 37 DS-GVO zu benennen, wenn die Kerntätigkeit des Verantwortlichen (Betriebserlaubnisinhaber) in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht. Von dieser Vorschrift sind Apotheken nach Auffassung der Autorin grundsätzlich nicht erfasst, da die Kerntätigkeit einer Apotheke in der Abgabe von und Beratung zu Arzneimitteln, Medizinprodukten und apothekenüblichen Waren liegt und nicht in der Datenverarbeitung. (Vertiefende Ausführungen zur Benennung des Datenschutzbeauftragten und zur Berechnung der 10-Personen-Regel finden sich in der PZ-Ausgabe 3/2018, Seite 46 f.)

Sofern keine Pflicht zur Benennung eines Datenschutzbeauftragten besteht oder der Verantwortliche un­sicher ist, ob er der Benennungspflicht unterliegt, kann jederzeit freiwillig ein Datenschutzbeauftragter benannt werden. Ist ein Datenschutzbeauftragter benannt, sind dessen dienstliche Kontaktdaten ab dem 25. Mai 2018 der zuständigen Aufsichtsbehörde beziehungsweise dem jeweiligen Landes­datenschutzbeauftragten zu melden.

Form und Dauer der Benennung

Im Rahmen der Entwicklung der DS-GVO sah der Kommissionsentwurf noch 2 Jahre als Mindestdauer für die Benennung eines Datenschutzbeauftragten vor. In der finalen und beschlossenen Fassung der Verordnung wird jedoch keine Mindestdauer mehr festgelegt, wodurch es dem Verantwort­lichen freigestellt ist, ob er eine be­fristete Benennung des Daten­schutz- beauftragten wünscht. Empfehlenswert ist aber eine kontinuierliche und zuverlässige Betreuung des Datenschutzes durch einen unbefristet benannten Datenschutzbeauftragten. Auch die Form der Benennung ist nicht geregelt, es empfiehlt sich jedoch zu allgemeinen Beweiszwecken die Schriftform. Von der Benennung zu unterscheiden ist jedoch die oben angesprochene Meldung des Datenschutzbeauftragten bei der Aufsichtsbehörde und die unten beschriebene Veröffentlichung seiner dienstlichen Kontaktdaten zum Beispiel zur Kontaktaufnahme durch Betroffene.

Aufgaben und Anforderungen

Der Datenschutzbeauftragte ist gemäß Artikel 37 Absatz 5 DS-GVO auf der Grundlage seiner beruflichen Qualifi­kation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutz­- praxis sowie auf der Grundlage seiner Fähigkeiten zur Erfüllung seiner Auf­gaben zu benennen. Artikel 39 DS-GVO zählt die mindestens zu erfüllenden Aufgaben des Datenschutzbeauftragten auf. Demnach übernimmt der Datenschutzbeauftragte die Unterrichtung und Beratung des Verantwortlichen sowie der Beschäftigten über ihre datenschutzrechtlichen Pflichten, die Überwachung der Einhaltung des Datenschutzrechts, insbesondere der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfung. Dies bedeutet nicht, dass der Datenschutzbeauftragte die Schulungen der Mitarbeiter selbst durchführen muss, ihm obliegt lediglich die Kontrolle und Beratung zum Thema Mitarbeiterschulungen. Dass Mitarbeiter geschult werden, fällt allein in den Aufgabenbereich des Verantwortlichen beziehungsweise Betriebserlaubnisinhabers. Der Verantwortliche kann jedoch mit dem Datenschutzbeauftragten vereinbaren, dass dieser Schulungen organisiert oder auch durchführt. Unter dem Begriff der Unterrichtung und Beratung ist zu verstehen, dass der Datenschutzbeauftragte den Verantwortlichen und die jeweiligen Beschäftigten über ihre Pflichten nach dem Datenschutzrecht auf EU- und nationaler Ebene in­formiert. In der Beratung auf allen Hierarchieebenen des Betriebes soll der Datenschutzbeauftragte bei der Findung von Lösungen für konkrete datenschutzrechtliche Probleme unterstützen.

Weiterhin zählen die Mitwirkung bei der Datenschutzfolgenabschätzung vor risikoreichen Datenverarbeitungen, die Überwachung ihrer Durchführung sowie die Zusammenarbeit mit der Aufsichtsbehörde und das Agieren als deren Anlaufstelle zu den Aufgaben des Datenschutzbeauftragten. Dadurch wird der Verantwortliche nach außen sachkundig vertreten und die Behörde hat direkt einen fachkundigen Ansprechpartner. Der Datenschutzbeauftragte ist auch berechtigt, gegebenenfalls die Aufsichtsbehörde von sich aus zu konsultieren. Er darf die Aufsichtsbehörde bei Fragen zur konkreten Anwendung des Datenschutzes kontaktieren, wenn seine Stellung als Datenschutzbeauftragter beeinträchtigt wird oder das Datenschutzrecht verletzt wird. Dabei hat der Datenschutzbeauftragte jedoch immer auf seine Loyalität und Pflicht zur vertrauens­vollen Zusammenarbeit gegenüber dem Verantwortlichen zu achten, indem er zuvor alle Möglichkeiten zur Abhilfe gegen die datenschutzrechtlichen Verstöße ausschöpft. Erst wenn der Verantwortliche es bei den Verstößen belässt oder eine geplante Verarbeitung eine schwere Beeinträchtigung für die Rechte und Freiheiten betroffener Personen zur Folge hätte, ist der Datenschutzbeauftragte verpflichtet, die Aufsichtsbehörde zu informieren.

Er ist jedoch nicht nur Anlaufstelle für die Aufsichtsbehörde, sondern auch für die Betroffenen. Gemäß Artikel 38 Absatz 4 DS-GVO können betroffene Personen den Datenschutzbeauftragten zu allen Fragen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte nach der DS-GVO zurate ziehen. Stellt ein Patient beispielsweise in der Apotheke fest, dass Mitarbeiter der Apotheke ihn betreffende Daten, etwa über seine OTC-Käufe, ohne seine Einwilligung dokumen­tieren, so kann er den Datenschutzbeauftragten konsultieren. Der Datenschutzbeauftragte prüft anschließend die Beschwerde, informiert den Betroffenen über das Ergebnis und wirkt da­raufhin, dass etwaige Verstöße gegen Betroffenenrechte abgestellt werden. Im genannten Beispiel müsste der Datenschutzbeauftragte den Verantwortlichen zur Löschung auffordern. In solchen Konstellationen, in denen sich externe Dritte an den Datenschutzbeauftragten wenden, ist er gemäß Artikel 38 Absatz 5 DS-GVO in Verbindung mit §§ 38 Absatz 2 und 6 Absatz 5 BDSG-neu zur Verschwiegenheit über die Identität der betroffenen Personen und über Umstände, die Rückschlüsse auf diese zulassen, verpflichtet, sofern der Datenschutzbeauftragte nicht von der betroffenen Person von seiner Pflicht zur Verschwiegenheit befreit wurde. Die Vertraulichkeitspflicht gilt jedoch nicht nur gegenüber betroffenen, externen Personen, sondern auch zum Wohle von betroffenen Beschäftigten, die sich so ohne Angst vor beruflichen Nachteilen an den Datenschutzbeauftragten wenden können. Er ist zudem zur Verschwiegenheit bzgl. betriebsinterner Datenverarbeitungen gegenüber Außenstehenden verpflichtet, welches eine Grundbedingung für den Zugang zu Datenverarbeitungen von Berufsgeheimnisträgern wie Apothekern ist. Damit der Datenschutzbeauftragte überhaupt von Beschäftigten oder betroffenen Patienten kontaktiert werden kann, schreibt Artikel 37 Absatz 7 DS-GVO die Veröffentlichung seiner dienstlichen Kontaktdaten vor. Es bietet sich an, die Kontaktdaten auf der Webseite der Apotheke unter der Rubrik Datenschutz zu veröffentlichen und eine E-Mail-Adresse anzugeben, auf die nur der Datenschutzbeauftragte Zugriff hat, um so seiner Pflicht zur Verschwiegenheit nachkommen zu können.

Stellung des Datenschutzbeauftragten

Damit der Datenschutzbeauftragte in seiner Rolle als Überwachungs- und Beratungsinstanz in Sachen Datenschutz agieren kann, spricht ihm das Gesetz eine gewisse Unab­hängigkeit zu, vgl. Artikel 38 Absatz 3 und Erwägungsgrund 97 DS-GVO. Zwar kann er dem Verantwortlichen in seiner Beraterfunktion keine verbindlichen Weisungen erteilen, andererseits ist er unabhängig von inhaltlichen oder zeit­lichen Weisungen bzgl. seiner Tätigkeit als Datenschutzbeauftragter und genießt einen Abberufungsschutz und ein Benachteiligungsverbot. Der Datenschutzbeauftragte darf daher nicht wegen der Erfüllung seiner Aufgabe abberufen oder benachteiligt werden und somit nicht nachträglich für zum Beispiel seine datenschutzrechtlichen Einschätzungen sanktioniert werden oder bei Beförderungen diskriminiert werden. Weiterhin hat der Datenschutzbeauftragte einen Sonderkündigungsschutz. Dieser ist zwar nicht in der DS-GVO geregelt, jedoch hat der deutsche Gesetzgeber auf nationaler Ebene einen Sonderkündigungsschutz durch §§ 38 Absatz 2, 6 Absatz 4 BDSG-neu eingeführt. Dieser gilt jedoch nur für die Datenschutzbeauftragten, deren Benennung eine Pflicht ist beziehungsweise wenn es sich nicht um eine freiwillige Benennung handelt. Der Datenschutzbeauftragte darf daher während seiner Tätigkeit nur aus wichtigem Grund fristlos entlassen werden, wie zum Beispiel bei strafbaren Handlungen gegen den Arbeitgeber et cetera Nach dem Ende der Tätigkeit als Datenschutzbeauftragter im Betrieb ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, es liegt ein wichtiger Grund vor.

Sofern er seine Aufgabe als Datenschutzbeauftragter neben weiteren beruflichen Aufgaben im Betrieb in Teilzeit wahrnimmt, muss ihm ausreichend Zeit für seine Tätigkeit als Datenschutzbeauftragter gewährt werden. Auch dürfen seine weiteren Tätigkeiten im Betrieb keinen Interessenkonflikt darstellen. So besteht ein klarer Interessenkonflikt, wenn sich derjenige, der im großen Umfang im Betrieb personenbezogene Daten verarbeitet oder für die Verarbeitung verantwortlich ist, wie zum Beispiel der Betriebsinhaber oder ein Leiter der IT, letztlich selbst überwachen und kontrollieren müsste. Zudem muss der Datenschutzbeauftragte neben den ausreichenden zeitlichen Ressourcen auch über ausreichend finanzielle Ressourcen gemessen an den zu erledigenden Aufgaben verfügen. So sollte der Verantwortliche dem Datenschutzbeauftragten zum Beispiel Schulungen ermöglichen.

Weiterhin muss der Verantwortliche bei der Überwachungstätigkeit des Datenschutzbeauftragten gewährleisten, dass er entsprechenden Zugang zu allen Verarbeitungsvorgängen, die personenbezogene Daten involvieren, hat. Gemäß Artikel 38 Absatz 1 DS-GVO soll er frühzeitig und ordnungsgemäß in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einbezogen werden. Nur so kann er den Verantwortlichen auf Verstöße aufmerksam machen und ein effektiver Datenschutz gewährleistet werden.

Interner oder externer Datenschutzbeauftragter

Artikel 37 Absatz 6 DS-GVO gibt jedem Verantwortlichen die Möglichkeit, einen internen oder externen Datenschutzbeauftragten zu benennen. Dabei sollte sich der Betriebserlaubnisinhaber bewusst sein, dass er auch bei der Benennung eines externen oder internen Datenschutzbeauftragten alleiniger Verantwortlicher für die Einhaltung des Datenschutzrechts in seinem Betrieb bleibt. Er ist somit bei Verstößen auch Adressat von Bußgeldern, Strafen, Löschungsansprüchen und Schadensersatzforderungen et cetera, vgl. Artikel 24 und 82 DS-GVO, und kann daher seine Haftung nach der Datenschutzgrundverordnung nicht auf den Datenschutzbeauftragten abwälzen.

Der Datenschutzbeauftragte haftet daneben nur für die ihm obliegenden Pflichten nach den allgemeinen Grundsätzen, zum Beispiel bei einem Verstoß gegen die Verschwiegenheit gemäß § 203 Strafgesetzbuch. Sofern der Datenschutzbeauftragte seinen Pflichten nicht nachkommt, können Schadensersatzansprüche im Innenverhältnis zwischen dem Verantwortlichen gegen den Datenschutzbeauftragten bestehen. An diesem Punkt ist zu differenzieren, ob sich der Verantwortliche für einen externen oder internen Datenschutzbeauftragten entschieden hat. Hat der Verantwortliche einen internen Datenschutzbeauftragten benannt, so handelt es sich um einen Arbeitnehmer des Betriebserlaubnisinhabers. Die Rechtsprechung hat in analoger Anwendung zu § 254 BGB (Mitverschulden) Grundsätze zur beschränkten Haftung von Arbeitnehmern gegenüber Arbeitgebern entwickelt. Im Rahmen des entwickelten innerbetrieblichen Schadensausgleichs haftet der Arbeitnehmer nur bei Vorsatz für den gesamten Schaden gegenüber dem Arbeitgeber. Zwar haftet der Arbeitnehmer grundsätzlich auch bei einem grob fahrlässig verursachten Schaden voll, jedoch nimmt die Rechtsprechung meist eine Haftungserleichterung zugunsten des Arbeitnehmers an, wenn zwischen dem Verdienst des Arbeitnehmers und der Schadenshöhe ein deutliches Missverhältnis besteht. Daher wird in diesen Fällen oft eine quotale beziehungsweise anteilige Haftung angenommen. Bei leichter Fahrlässigkeit wird der Arbeitnehmer von der Haftung vollständig freigestellt und der Arbeitgeber hat keinen Schadensersatzanspruch gegen ihn. Es kommt somit häufig vor, dass der Arbeitgeber auf dem Schaden »sitzen bleibt«, der ihm zum Beispiel durch die Inanspruchnahme von betroffenen Personen im Außenverhältnis entstanden ist. Anders sieht es bei der Benennung eines externen Datenschutzbeauftragten aus. Im Dienstverhältnis zwischen Verantwortlichem und einem externen Datenschutzbeauftragten werden die Grundsätze des innerbetrieblichen Schadensausgleichs nicht angewendet. Hier kann der Verantwortliche vollständig Rückgriff beim externen Datenschutzbeauftragten nehmen, sofern er im Außenverhältnis auf Schadensersatz in Anspruch genommen wurde. Ein Rückgriffs- beziehungsweise Schadensersatzanspruch besteht nicht oder nur gekürzt, sofern der Verantwortliche selbst den Schaden verursacht hat oder die als richtig zu bewertenden Empfehlungen des Datenschutzbeauftragten missachtet hat.

Bei der Überlegung, ob ein externer oder interner Datenschutzbeauftragter benannt werden soll, muss daher jeder Betriebserlaubnisinhaber abwägen, wie hoch die Risiken für personenbezogene Daten in seinem Betrieb sind, ob er die Tätigkeit einem seiner An­gestellten fachlich zutraut, ob es sich finanziell lohnt, einen eigenen Mit­arbeiter für dieses Thema zumindest in Teilzeit abzustellen und zu schulen oder ob doch lieber ein fachkundiger, externer Datenschutzbeauftragter beauftragt werden soll. /