Datenschutz
Die mannigfachen Möglichkeiten, Daten zu sammeln und auszuwerten, sorgen für eine stetig steigende Bedeutung des Datenschutzes und der Informationsfreiheit. Die Verpflichtung zur Einhaltung der datenschutzrechtlichen Vorschriften ist damit eine vorrangige Aufgabe von Unternehmen. Anlassbezogene Kontrollen der Aufsichtsbehörden (Landesdatenschutzbeauftragte) aufgrund von Anzeigen (Kunden, Konkurrenz, Bewerber, ehemalige Mitarbeiter) nehmen zu. Aber auch von anlasslosen, sogenannten fokussierten Datenschutzprüfungen durch Aufsichtsbehörden werden wir konfrontiert.
Seit dem 26.11.2019 müssen Betriebe erst dann einen Datenschutzbeauftragten benennen, wenn 20 oder mehr Mitarbeiter*innen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Die Landesdatenschutzbehörde Bayern, Ansbach sagt dazu: „Dies bedeutet zwar zunächst eine organisatorische Erleichterung, dennoch sind selbstverständlich die Regelungen des Datenschutzrechts nach wie vor auch in kleineren Betrieben einzuhalten. Ob ein Datenschutzbeauftragter benannt werden muss oder nicht, entbindet nicht von der Pflicht zur Einhaltung des Datenschutzrechts. Weiterhin gilt es zu beachten, dass auch unabhängig von der Anzahl der Beschäftigten ein Datenschutzbeauftragter verpflichtend zu benennen sein kann, wenn sich dies aus Art. 37 DS-GVO oder § 38 BDSG ergibt. Natürlich kann auch freiwillig jederzeit ein Datenschutzbeauftragter benannt werden.“ (Bayrisches Landesamt für Datenschutzaufsicht)
Für Apotheken
Im Falle mehrerer Betriebe (Filialverbund) zählt die Gesamtzahl aller Mitarbeiter in jeder Apotheke nach Köpfen und einschließlich Betriebserlaubnisinhaber/in.
Der Art. 37 DS-GVO oder § 38 BDSG bezieht sich auf Verarbeitungen, die einer Datenschutzfolgenabschätzung (DSFA) unterliegen. Dazu gehören u. a.:
- Verarbeitungen im Rahmen von Kundenkarten/Treuepunktsystem
- Videoüberwachung (mit bzw. ohne Aufzeichnung)
- Einsatz von Fotokassen bzw. Rezeptscannern
- Einsatz von biometrischen Daten (Fingerprint, Venenscanner)
- Einsatz von Botensoftware hinsichtlich GPS-Ortung
So gesehen sind o. g. Verarbeitungen in Apotheken durchaus üblich, und damit ergibt sich auch für Apotheken unabhängig von der Mitarbeiterzahl die Notwendigkeit, einen Datenschutzbeauftragten zu bestellen.
Entsprechend des Strafgesetzbuches (StGB) § 203 unterliegen Sie als Apotheker/in der Schweigepflicht. Hieraus ergibt sich für Sie als Betriebserlaubnisinhaber/in eine besondere Verpflichtung zum Datenschutz.
Externer Datenschutzbeauftragter
Ich berate Sie bei der Einhaltung der Vorschriften der Datenschutzgrundverordnung (DS-GVO) bzw. des Bundesdatenschutzgesetzes (BDSG) und anderer relevanten Datenschutzvorgaben.
Die Datenschutzberatung wirkt auf die Einhaltung des Datenschutzes hin. Grundlage und Maßstab der Aufgabenerfüllung des Auftragnehmers sind die für den Auftraggeber einschlägigen Rechtsvorschriften zum Datenschutz. Der Umfang der Beratung ergibt sich aus den dort im Einzelnen benannten Anforderungen (z.B. der DS-GVO / des BDSG und anderer Datenschutzgesetze).
Zu den Aufgaben des Beraters gehören insbesondere:
- Durchführung einer Bestandsaufnahme (Selbstinspektion) zur Feststellung des derzeitigen Ordnungsmäßigkeitsstandes (Datenschutzniveau) in Bezug auf die Erfüllung der Anforderungen der Datenschutzgesetze.
- Ermittlung und Feststellung des Handlungs- bzw. Änderungsbedarfs in Bezug auf notwendige Datenschutzmaßnahmen, sowie Festlegung der Datenschutzziele des Unternehmens nach Absprache mit dem Auftraggeber.
- Entwicklung von Richtlinien und Arbeitsanweisungen sowie Formularen zur Realisierung der Anforderungen des Datenschutzes.
- Unterstützung bei der Erstellung und Pflege der nach der DS-GVO bzw. dem BDSG vorgeschriebenen Verzeichnissen von Verarbeitungstätigkeiten und regelmäßige Überprüfung der darin enthaltenen Angaben.
- Beratung bei der Auswahl und der Einführung von spezifischen IT-Anwendungen und Prüfung ihrer Datenschutzkonformität. Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden.
- Beratung bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO bzw. § 67 BDSG-neu insbesondere bei der Verarbeitung von besonderen Kategorien personenbezogener Daten.
- Vorschläge zur datenschutzgerechten Gestaltung von Verträgen mit externen Geschäftspartnern des Auftraggebers.
- Information über datenschutzbedeutsame Gesetze, Richtlinien und Rechtsprechung.
- Unterstützung bei der Schulung und Information der Mitarbeiter im datenschutzgerechten Umgang mit personenbezogenen Daten.
- Überprüfung der datenschutzgerechten Gestaltung des Internetauftritts des Auftraggebers hinsichtlich der Anforderungen von Telemediengesetz (TMG) und sonstiger zur Anwendung gelangender Datenschutzgesetze.
- Vorschläge zur datenschutzgerechten Gestaltung von arbeitsvertraglichen Regelungen zur (ggf. privaten) Nutzung von Emails und Internet durch die Mitarbeiter des Auftraggebers.
- Schnittstelle, z. B. zu Aufsichtsbehörden oder Betroffenen nach Absprache mit dem Auftraggeber
- Mitglied: Berufsverband der Datenschutzbeauftragten Deutschlands e. V. (BvD) / Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)
- Premium-Abonnent eRecht24