Datenschutz in Apotheken

Für Apotheken gelten eine Vielzahl gesetzlicher Vorschriften, insbesondere auch Regelungen aus dem Bereich des Datenschutzrechts. Dies sind einerseits Regelungen bezüglich der inhaltlichen Verarbeitung personenbezogener Daten, wie sie z.B. im SGB V geregelt sind. Daneben gelten andererseits aber auch die Vorschriften des Bundesdatenschutzgesetzes (BDSG).

Eine häufig nicht gesehene, falsch interpretierte oder auch schlicht ignorierte Vorschrift aus den BDSG ist § 4 f BDSG. Hiernach sind auch Apotheken, bei denen eine automatisierte Datenverarbeitung personenbezogener Daten durch mehr als neun ständig beschäftigte Personen erfolgt, verpflichtet, einen Beauftragten für den Datenschutz zu bestellen. Personenbezogene Daten sind nach dem BDSG Einzelangaben zu persönlichen oder sachlichen Verhältnissen einer natürlichen Person.

§ 4 f stellt bezüglich der Personengrenze, ab der ein Beauftragter für den Datenschutz zu bestellen ist, auf die Verarbeitungsform ab. Es müssen mehr als neun Personen ständig mit der automatisierten Verarbeitung beschäftigt sein. Automatisierte Datenverarbeitung ist die automatisierte Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Damit ist nicht gemeint, dass es sich um einen vollautomatischen Prozess handeln muss. Ausreichend ist auch eine teilweise automatisierte Verwendung mittels EDV. Ein Beispiel einer automatisierten Verarbeitung ist beispielsweise die Speicherung von Daten beim Verkauf von Arzneimitteln durch ein EDV-Gestütztes Kassensystem. Aber auch bei einer nicht automatisierten Verarbeitung von personenbezogenen Daten ist ein DSB zu bestellen, wenn mindestens zwanzig Personen damit beschäftigt werden. Es reicht jedoch aus, wenn 20 Personen zumindest gelegentlich Verarbeitungsaufgaben erfüllen. Es kommt nicht auf den Umfang an, in welchem ein Beschäftigter mit der Datenverarbeitung betraut ist, d.h. Teilzeitbeschäftigte werden vollständig berücksichtigt.

Apotheken, bei denen eine automatisierte Datenverarbeitung personenbezogener Daten ständig durch mehr als neun Mitarbeiter (Geschäftsführung, freie Mitarbeiter etc. zählen mit) erfolgt, müssen einen DSB haben (Quelle: Landesapothekerkammer). Ausreichend für eine automatisierte Verarbeitung ist z.B. die automatisierte Erhebung oder die automatisierte Übermittlung von personenbezogenen Daten.

Alle Unternehmen, die Verarbeitungen vornehmen, die der Vorabkontrolle unterliegen oder die personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung automatisiert verarbeiten, haben unabhängig von der Anzahl der hiermit beschäftigten Personen einen Datenschutzbeauftragten zu bestellen. Bezogen auf Apotheken könnte das dann der Fall sein, wenn Gesundheitsdaten nicht ausschließlich zur Erfüllung der Rezept oder Vertragsabwicklung genutzt werden sollen (vgl. § 4 d Abs.5 BDSG).

Durch die Bestellung eines DSB erfüllen Sie die gesetzlichen Verpflichtungen des BDSG. Gesetzeskonformität minimiert wirtschaftliche Risiken z.B. durch Ordnungswidrigkeitsverfahren oder Schadensersatzansprüche von Kunden. Signalisieren Sie Ihren Kunden gleichzeitig Ihre Professionalität. Sofern Sie die sonstigen gesetzlichen Auflagen im Bereich Datenschutz auch umsetzen wollen, handelt es sich um die wirtschaftlichste Lösung. Know How, Objektivität und Kompetenz sind immer gewährleistet, gegenüber den Aufsichtsbehörde entsteht daher kein Rechtfertigungszwang. Auch arbeitsrechtliche Aspekte sind zu beachten, ein interner Datenschutzbeauftragter kann nur in Ausnahmefällen entlassen werden, bei einem externen DSB kann hingegen eine feste Laufzeit (z.B. von drei Jahren) vereinbart werden kann.

• Betriebliche Datenschutzbeauftragte in Apotheken (Internetartikel vom ULD)
• Datenschutzbeauftragter in Apotheken (Internetartikel der Landesapothekerkammer Baden-Württemberg)