Datenschutzbeauftragter für Apotheker

Die Grenze von neun Beschäftigten, ab der ein Datenschutzbeauftragte nötig ist, gilt allerdings nur für Mitarbeiter, die auch tatsächlich mit der Erhebung, Verarbeitung und der Nutzung personenbezogener Daten befasst sind. Reinigungskräfte oder Fahrer zur Auslieferung werden also nicht mitgezählt.

Apothekeninhaber mit weniger Mitarbeitern benötigen keinen eigenen Datenschützer. Sie müssen jedoch laut Gesetz „in anderer Weise“ dafür sorgen, dass dessen Aufgaben erfüllt werden.

Sensible Daten in Apotheken werden unter anderem auf Kundenkarten festgehalten. Der Datenschutzbeauftragte muss zum Beispiel darauf achten, dass Kunden, die eingewilligt haben, einen Geburtstagsgruß von ihrer Apotheke zu erhalten, nicht auch andere Werbung per Post bekommen. „Wer der Geburtstagskarte zustimmt, erteilt noch lange keine Generaleinwilligung“, erklärte ein Sprecher der Landesapothekerkammer Baden-Württemberg.

Verletzungen des Datenschutz treten auch auf, wenn Kundendaten nicht ordnungsgemäß entsorgt werden. In Brandenburg etwa hatte die Inhaberin einer Apotheke Abholscheine, auf denen Namen, Anschriften und Medikamente ihrer Kunden vermerkt waren, in einer öffentlich zugänglichen Papiertonne entsorgt. Apotheker müssen zudem für Gebäudeschutz und die Sicherheit ihrer EDV-Anlagen garantieren.

Auch die Daten auf Rezepten unterliegen dem Datenschutz, diese muss der betriebliche Datenschutzbeauftragte also ebenfalls im Blick haben. Allerdings dürfen Apotheken diese Daten zur Abrechnung an Apothekenrechenzentren übertragen.

Um dem Bundesdatenschutzgesetz gerecht zu werden, haben Inhaber grundsätzlich zwei Möglichkeiten: Entweder sie beauftragen ein externes Unternehmen mit dem Datenschutz und lagern die Aufgabe aus. Solche Leistungen bieten zum Beispiel der TÜV, das Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG) oder Freiberufler an.

Apotheker können aber auch intern einen Mitarbeiter zum Datenschutzbeauftragten bestellen. Dieser muss sich in einem zertifizierten Lehrgang ausbilden lassen, der in der Regel einmal in der Woche stattfindet und drei Monate dauert. Diese vom Inhaber zu finanzierenden Seminare können zum Beispiel beim TÜV oder in Berufsschulen absolviert werden. Die Kenntnisse müssen dann etwa einmal jährlich aufgefrischt werden.

Der Datenschutzbeauftragte genießt zudem erweiterten Kündigungsschutz – ähnlich wie bei einem Betriebsrat. Bis ein Jahr nach Ende seiner Amtszeit darf er nicht entlassen werden. Das soll den Datenschutzbeauftragten schützen, da er dem Apothekenleiter gegenüber unter Umständen auch unangenehme Pflichten hat.

Sich selbst darf der Inhaber übrigens keinesfalls zum Datenschutzbeauftragten ernennen. Denn damit bestünde ein Interessenkonflikt, da er sich sozusagen selbst kontrollieren würde.