FAQs zur DS-GVO: Fragen zum Datenschutzbeauftragten und zur Einwilligung von Kunden

| Seit dem 25.05.2018 gilt in Deutschland und der gesamten Europäischen Union die DS-GVO, in Deutschland gilt zudem ein neues Bundesdatenschutzgesetz (BDSG). Für die Apotheken hält diese Situation einige Herausforderungen bereit. AH beantwortet die besonders häufig gestellten Fragen ‒ z. B. ob die Apotheke einen Datenschutzbeauftragten braucht oder ob der Umgang mit Kundendaten stets einer Einwilligung bedarf. |

Benötigt die Apotheke einen Datenschutzbeauftragten?

§ 38 BDSG-neu gibt vor, dass der Apothekenleiter einen Datenschutzbeauftragten benennt, soweit er i. d. R. mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Zu zählen sind alle Mitarbeiter ‒ egal ob teil- oder vollzeitbeschäftigt, einschließlich der Leitung ‒, die auf die automatisierte Datenverarbeitung zugreifen. Nicht dazu gehört deshalb z. B. das Reinigungspersonal. Sollten Apotheken Filialen haben, ist die Mitarbeiterzahl für den gesamten Betrieb einschließlich der Filialen zu ermitteln.

Nach Art. 37 Abs. 1c DS-GVO ist unabhängig von der 10-Personen-Schwelle ein Datenschutzbeauftragter zu benennen, wenn die unternehmerische Kerntätigkeit in der umfangreichen Verarbeitung von Gesundheitsdaten besteht. Dies dürfte bei Apotheken nicht der Fall sein, da deren Kerntätigkeit die Versorgung der Bevölkerung mit Arzneimitteln ist. Auch kann bei der Verarbeitung von Daten in einer Apotheke nicht per se von einer umfangreichen Datenverarbeitung mit der Folge der Bestellungspflicht eines Datenschutzbeauftragten ausgegangen werden. Dies hat schon die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26.04.2018 festgestellt. Die Bundesregierung hat im Juli 2018 in ihrer Antwort auf eine kleine Anfrage der FDP bestätigt: Apotheken mit weniger als 10 Mitarbeitern müssen keinen Datenschutzbeauftragten benennen. Nur wer „umfangreich“ Kundendaten verarbeite, brauche einen Datenschutzbeauftragten.