Pharmazeutische Zeitung online

Der Datenschutzbeauftragte in der Apotheke

17.05.2004
Datenschutz bei der PZ

Der Datenschutzbeauftragte in der Apotheke

von Guido Kirchhoff, Berlin

Das Bundesdatenschutzgesetz (BDSG) regelt den Datenschutz für Behörden und für „nicht-öffentliche Stellen“. Das Gesetz begründet unter bestimmten Voraussetzungen die Pflicht, bis zum Ablauf einer Übergangsfrist einen Beauftragten für den Datenschutz zu bestellen. Dies gilt auch für Apotheken. Die Übergangsfrist endet am 23. Mai 2004.

Nicht jede Apotheke wird einen Datenschutzbeauftragten bestellen müssen. Das BDSG greift grundsätzlich nur dann ein, wenn „personenbezogene Daten erhoben, verarbeitet oder genutzt“ werden. In der Apotheke müssen also Daten verarbeitet werden, die einen wie auch immer gearteten Aussagegehalt zu einer Person haben. Zu den personenbezogenen Daten, die einem Betroffenen direkt zugeordnet werden können, gehören zum Beispiel: Adresse, Einkommen, Berufsbezeichnung, Krankenkassenzugehörigkeit, Angaben über abgegebene Arzneimittel und sonstige gesundheitsbezogene Daten.

Mindestens fünf Arbeitnehmer

Apotheken haben einen Datenschutzbeauftragten zu bestellen, wenn sie die personenbezogenen Daten automatisiert – also unter Einsatz von Datenverarbeitungsanlagen – erheben, verarbeiten oder nutzen.

Eine automatisierte Verarbeitung ist zum Beispiel gegeben, wenn ein EDV-gestütztes Kassensystem beim Kauf von Arzneimitteln oder anderen Mitteln automatisch Daten mit Personenbezug speichert. Das gleiche gilt bei der Verwendung von POS-Systemen (Point of Sale-Einrichtungen). Nur wenn über die Datenverarbeitungsanlagen überhaupt keine personenbezogenen Daten erhoben, verarbeitet oder genutzt werden, gilt die Pflicht zur Bestellung eines Beauftragten für den Datenschutz nicht. Rein statistische Datensammlungen, die keinen Rückschluss auf einzelne Personen zulassen, sind also zulässig, ohne dass deswegen ein Datenschutzbeauftragter zu bestellen wäre.

Die Pflicht, einen Beauftragten für den Datenschutz zu bestellen, gilt allerdings nicht für Apotheken, die höchstens vier Arbeitnehmer mit der automatisierten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigen. Bedienen aber beispielsweise mehr als vier Angestellte der Apotheke die Computerkassen oder POS-Systeme, die personenbezogene Daten automatisch speichern, greift diese Ausnahme schon nicht mehr. Mit der automatisierten Datenverarbeitung im Sinne des BDSG sind alle Arbeitnehmer beschäftigt, zu deren Aufgabengebiet die Datenverarbeitung gehört.

Auf den Umfang der Beschäftigung mit der Datenverarbeitung kommt es dabei nicht an. Eine Halbtagskraft zählt als voller Mitarbeiter. Generell können betroffene Unternehmen die Arbeit auf die Mitarbeiter so verteilen, dass die Datenverarbeitung nur bei maximal vier Mitarbeitern zum Aufgabengebiet gehört und andere allein mit anderen Aufgaben beschäftigt sind. Diese Möglichkeit wird bei Apotheken aber nur in seltenen Fällen gegeben sein, da in der Regel alle Mitarbeiter auch die Computerkassen bedienen sollen.

Nicht automatisierte Verarbeitung

Auch bei nicht automatisierter Datenverarbeitung kann eine Pflicht, einen Beauftragten für den Datenschutz zu bestellen, entstehen. Das ist dann der Fall, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Eine solche nicht automatisierte Datei liegt aber nur bei einer Sammlung personenbezogener Daten vor, die gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann (zum Beispiel alphabetisch sortierte Karteikarten). Diese Regelung wird in Apotheken eher selten eine Rolle spielen.

Erhebt, verarbeitetet oder nutzt eine Apotheke personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung, hätte sie sogar unabhängig von der Anzahl der Arbeitnehmer einen Beauftragten für den Datenschutz zu bestellen. Diese Alternative trifft beispielsweise auf Unternehmen zu, die Adressen sammeln, um sie an Dritte zu verkaufen. Dieser Fall dürfte aber bei Apotheken regelmäßig nicht gegeben sein, da sie personenbezogene Daten nicht „geschäftsmäßig zum Zwecke der Übermittlung“ erheben, verarbeiten oder nutzen, sondern dies nur für eigene Zwecke, wie zum Beispiel bei der Übermittlung der Abrechnungsdaten über die Rechenzentren an die Krankenkassen, erfolgt.

Bestellung des Beauftragten

Die Apothekenleiter können einen eigenen Mitarbeiter zum Datenschutzbeauftragten bestellen. Mit dieser Aufgabe kann aber auch eine Person außerhalb der Apotheke betraut werden. Betreibt der Apotheker Filialapotheken, genügt die Bestellung eines Mitarbeiters zum Datenschutzbeauftragten, wenn in der Bestellung deutlich wird, dass sie sich auf alle Filialen bezieht. Die Bestellung des Datenschutzbeauftragten hat schriftlich zu erfolgen. Die Landesapothekerverbände stellen hierfür ein geeignetes Formblatt zur Verfügung.

Die Apothekenleiter dürfen zum Beauftragten für den Datenschutz nur bestellen, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Die Zuverlässigkeit, die sich auf die persönliche Eignung des Beauftragten bezieht, kann beispielsweise durch Interessenkollisionen beeinträchtigt sein. So sollte sich der Apothekenleiter nicht selbst zum Datenschutzbeauftragten bestellen, da er ansonsten gezwungen wäre, sich gewissermaßen selbst zu kontrollieren.

Etwas schwieriger ist die Frage der Fachkunde zu beurteilen. Diese Frage ist wichtig, weil ein nicht fachkundiger Datenschutzbeauftragter als nicht bestellt gilt. Das Gesetz definiert den Begriff der Fachkunde nicht.

Einige Konkretisierungen des Inhalts der erforderlichen Fachkunde lassen sich aus den gesetzlichen Aufgaben des Datenschutzbeauftragten herleiten. Danach wirkt der Datenschutzbeauftragte auf die Einhaltung der Datenschutzvorschriften hin. Er hat insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen. Zudem hat er die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Datenschutzvorschriften und den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen. Damit erfordert die Fachkunde:

  • Allgemeine Kenntnisse über die Apotheke, insbesondere Organisation und Geschäftsabläufe (Datenströme).
  • Kenntnisse über die Datenverarbeitung in der Apotheke, insbesondere Datenverarbeitungsanlagen und -programme, allerdings nur soweit mit deren Hilfe personenbezogene Daten verarbeitet werden sollen.
  • Kenntnisse des Datenschutzrechts, da er Mitarbeiter mit bestimmten Vorschriften über den Datenschutz vertraut machen soll und er generell die Ausführung datenschutzrechtlicher Vorschriften zu überwachen hat. Er muss also zumindest in Grundzügen beurteilen können, ob zum Beispiel eine Speicherung oder Übermittlung rechtlich zulässig ist oder wann eine Auskunftspflicht besteht oder nicht.

Ein Mitarbeiter mit derart umfassenden Kenntnissen, der im Idealfall darüber hinaus auch didaktische Fähigkeiten besitzt, wird sich kurzfristig nur schwer finden lassen. Es ist aber anerkannt, dass es zunächst genügt, wenn die zum Datenschutzbeauftragten zu bestellende Person nur einige Erfordernisse erfüllt und sich erst anschließend die noch fehlenden Kenntnisse aneignet. Damit muss der Datenschutzbeauftragte vorrangig zunächst die Fähigkeit und Bereitschaft besitzen, sich kurzfristig in die Aufgaben eines Datenschutzbeauftragten einzuarbeiten. Der Datenschutzbeauftragte darf sich selbstverständlich auch der Mitarbeit anderer Fachleute aus der Apotheke sowie der Apothekerverbände oder sonstiger Organisationen bedienen.

Nachweis der Fachkunde

Problematisch ist, wie der Aufsichtsbehörde gegenüber im Falle einer Prüfung der Nachweis der Fachkunde erbracht werden kann. Der einfachste Weg besteht darin, Bescheinigungen über die Teilnahme an einschlägigen Seminaren vorzulegen. Da das Gesetz den Besuch von Seminaren aber nicht vorschreibt, genügt auch die Vorlage angeschaffter Datenschutz-Literatur. Dabei sollte glaubhaft gemacht werden können, dass diese Literatur auch genutzt wird.

Wer verpflichtet ist, einen Beauftragten für den Datenschutz zu bestellen, und diesen vorsätzlich oder fahrlässig nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, handelt ordnungswidrig. Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 25 000 Euro geahndet werden. Die für den Datenschutz zuständigen Behörden werden die Einhaltung der Datenschutzvorschriften aber nicht flächendeckend, sondern in der Regel nur auf Grund konkreter Anlässe, wie Kundenbeschwerden, prüfen. Stellen sie dabei einen Verstoß fest, werden sie in den meisten Fällen den Apothekenleiter zunächst auffordern, den Mangel abzustellen. Eine sofortige Geldbuße wird die Ausnahme sein.

Aufgaben des Beauftragten

Der Beauftragte für den Datenschutz hat auf die Einhaltung der Datenschutzvorschriften hinzuwirken. In Zweifelsfällen kann er sich an die für die Datenschutzkontrolle zuständige Behörde wenden. Er hat insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen. Zu diesem Zweck ist er vom Apothekenleiter über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten. Er hat ferner die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Datenschutzvorschriften und den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen. Weitere Aufgaben sind in § 4g Absatz 2 BDSG geregelt.

Das BDSG schreibt vor, dass der Datenschutzbeauftragte der Geschäftsleitung, bei Apotheken also dem Apothekenleiter, unmittelbar zu unterstellen ist. In der Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes ist er weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden (Benachteiligungsverbot). Seine Bestellung kann nur bei Vorliegen eines wichtigen Grundes widerrufen werden (Abberufungsschutz).

Der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der Betroffenen sowie über Umstände, die Rückschlüsse auf die Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird (Verschwiegenheitspflicht). Schließlich hat der Apothekenleiter den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere die zur Erfüllung seiner Aufgaben erforderlichen Hilfsmittel (zum Beispiel Literatur, Rundschreiben der Apothekerverbände, soweit sie über den Datenschutz informieren) zur Verfügung zu stellen. Betroffene, insbesondere Apothekenkunden, können sich jederzeit an den Datenschutzbeauftragten wenden.

  • Guido Kirchhoff ist Jurist im Geschäftsbereich Wirtschafts- und Vertragsrecht, Personalangelegenheiten der ABDA - Bundesvereinigung Deutscher Apothekerverbände.

 Top

© 2004 GOVI-Verlag
E-Mail: redaktion@govi.de

Mehr von Avoxa