Freitag, 2. Juli 2004

Betriebliche Datenschutzbeauftragte in Apotheken

Ein betrieblicher Datenschutzbeauftragter ist nach dem Bundesdatenschutzgesetz in vielen Apotheken Pflicht. Die Organisation des Datenschutzes in Apotheken ist keine einfache Aufgabe: Wie gestalte ich die EDV, wie die Informationsabläufe, wie die Abschottung gegen unberechtigte Kenntnisnahmen? Für die Beantwortung dieser sowie ähnlicher Fragen hat der Apotheker selbst oft weder die nötige Zeit noch das nötige Know-how. Dies ist Grund genug, einen Mitarbeiter als betrieblichen Datenschutzbeauftragten zu bestellen, selbst wenn eine gesetzliche Pflicht hierfür nicht besteht.

Aktion "Datenschutz in meiner Arztpraxis"

Im Jahr 2001 startete das Unabhängige Landeszentrum für Datenschutz (ULD), die Ärztekammer und die Zahnärztekammer Schleswig-Holstein die gemeinsame Aktion "Datenschutz in meiner Arztpraxis". Durch eine Vielzahl unterschiedlicher Module soll mit der Aktion der Schutz des Patientengeheimnisses im medizinischen Bereich verbessert werden (vgl. www.datenschutzzentrum.de/medizin). Im Rahmen der Aktion wurde immer mehr klar, dass nicht nur in ambulanten Arztpraxen und Krankenhäusern Nachbeserungsbedarf in Sachen Datenschutz besteht, sondern auch bei Apotheken. Dies gilt etwa für den Bereich des Einsatzes von Kundenkarten oder für die Speicherung von Kundendaten auf Grund der Rückmeldung von Apothekenrechenzentren, ohne dass die Betroffenen hierüber informiert waren. Ganz neue Brisanz erhält das Thema Datenschutz mit der spätestens ab 2006 geplanten Einführung der elektronischen Gesundheitskarte und der obligatorischen Nutzung des elektronischen Rezeptes. Der Apotheker muss sich, seinen Mitarbeiterm, den Kunden und nicht zuletzt der Datenschutzaufsicht gegenüber Rechenschaft ablegen, wie der Datenschutz in seinem Unternehmen umgesetzt werden kann. Dabei kann ein betrieblicher Datenschutzbeauftragter (bDSB) eine wichtige Rolle erfüllen.

Wer trägt die Verantwortung?

Bei den Kontakten eines Datenschützers mit Apotheken sind die organisatorischen Probleme schnell erkennbar: Die Verantwortung für die Wahrung des Datenschutzes und des Apothekergeheimnisses (§ 203 Abs. 1 Nr. 1 Strafgesetzbuch - StGB) liegt zweifellos bei dem jeweils leitenden Apotheker bzw. der Apothekerin. Doch die sind mit der Führung des Betriebs und Abrechnungsfragen regelmäßig schon übermäßig belastet. Sie können und wollen sich oft nicht noch weitere Aufgaben "ans Bein binden". Daher sollte diese Aufgabe an einen Mitarbeiter oder eine Mitarbeiterin der Apotheke übertragen werden. Zwar sind alle Mitarbeiter und Mitarbeiterinnen durch die berufliche Schweigepflicht in gleichem Maße gebunden. Doch ist Datenschutz angesichts des Einsatzes von elektronischer Datenverarbeitung und der komplexen Organisationsabläufe schon längst ein Thema, das eine Spezialisierung erfordert. Dieses besondere Wissen kann durch die Inanspruchnahme externer Experten in die Praxis eingebracht werden. Die Erfahrung des ULD ist aber, dass i.d.R. die Beauftragung und besondere Ausbildung eines eigenen Mitarbeiters ein noch wirksamerer Weg zur Gewährleistung des Apothekergeheimnisses ist.

Diese Spezialisierung ist nicht nur sinnvoll, sondern in vielen Fällen auch gesetzliche Pflicht: Das Bundesdatenschutzgesetz (BDSG) verpflichtet in § 4f (seit 2001, zuvor § 36 BDSG a.F.) unter bestimmten Voraussetzungen zur Bestellung eines betrieblichen Datenschutzbeauftragten. Doch was die Einhaltung dieser Pflicht angeht, scheint das Vollzugsdefizit groß zu sein. Bei Prüfungen müssen die Datenschutzaufsichtsbehörden wie das ULD feststellen, dass die Apotheker zumeist von dieser Pflicht gar nichts wissen und ihr nicht entsprechen. Die Ursache hierfür ist regelmäßig nicht böser Wille, sondern mangelnde Kenntnis nicht nur über die Pflicht zur Bestellung eines bDSB, sondern auch über das "Wie" der Umsetzung. Dieses Defizit kann und soll behoben werden.

Wann ist ein betrieblicher Datenschutzbeauftragter zwingend vorgeschrieben?

Auch wenn die Bestellung des bDSG eine gesetzliche Pflicht ist, so sollte sie keine lästige Pflicht sein. Der bDSB ist ein vom Gesetzgeber vorgesehenes Hilfsangebot, wie Apothekerinnen und Apotheker, denen der Schutz der Daten ihrer Kunden bzw. der Patienten wichtig ist, dieses Anliegen im Alltag umsetzen können. Daher sollte nicht der Buchstabe des Gesetzes, sondern dessen Sinn und Zweck im Vordergrund stehen. Selbst wenn das Gesetz gar nicht zur Anwendung käme, kann es sinnvoll sein, sich daran zu orientieren. Doch wer in die Gesetze hineinsieht, ist erst einmal ernüchtert: Die Normen sind derart kompliziert formuliert, dass sie selbst für Juristen kaum verständlich sind. Dabei ist das, was an Inhalt dahinter steckt, relativ klar und einfach.

Da in jeder Apotheke personenbezogene Patientendaten verarbeitet werden, konventionell als auch elektronisch, ist das Bundesdatenschutzgesetz (BDSG) anwendbar. Dort gilt für Apotheken vor allem der 1. (allgemeine Bestimmungen) und der 3. Abschnitt (Verarbeitung in nichtöffentlichen, d.h. privaten Unternehmen). Bei großen Apotheken mit 20 und mehr Beschäftigten mit Kontakt zu Patientendaten besteht generell die Pflicht zur Bestellung eines bDSB (§ 4f Abs. 1 S. 3 BDSG). Da Patientendaten besonders sensible Informationen sind, deren automatisierte Verarbeitung grundsätzlich einer sog. Vorabkontrolle unterliegen, empfiehlt sich allein schon aus diesem Grund auch bei weniger Mitarbeitern die Bestellung eines bDSB. Sind mindestens zehn Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten nicht nur gelegentlich beschäftigt, so muss auch ein bDSB bestellt werden (§ 4f Abs. 1 S. 4 BDSG). Mit der Datenverarbeitung beschäftigt sind in einer Apotheke fast alle Mitarbeiter und Mitarbeiterinnen, z.B. am Tresen, bei der Bestellung, bei der Abwicklung der Abrechnung, bei Durchführung von Werbeaktionen...

Wer sollte als bDSB bestellt werden?

Zum bDSB darf nur bestellt werden, wer die zur Erfüllung dieser Aufgabe erforderliche Fachkunde und Zuverlässigkeit hat (§ 4f Abs. 2 S. 1 BDSG). Dies bedeutet: der bDSB muss die relevanten Regelungen (BDSG, § 203 StGB, Standesrecht, die Regeln nach dem Sozialgesetzbuch - SGB - V) kennen. Er muss darüber hinaus aber auch technische und organisatorische Kenntnisse haben. Natürlich gehört zum Anforderungsprofil des bDSB, dass er von den organisatorischen Abläufen mit den Patientendaten in der Praxis (Erhebung, Speicherung, Übermittlung, Dokumentation) weiß und das beim Einsatz der EDV nötige Computerwissen hat. Dies bedeutet nicht, dass der bDSB selbst programmieren können müsste. Wohl aber muss er das eingesetzte System mit allen seinen Komponenten kennen; er muss damit umgehen können und von den Maßnahmen für die Datensicherheit eine praktische Vorstellung haben (z.B. ID- und Passworteingabe, Vergabe von Zugangsberechtigungen, sichere Aufbewahrung der Datensicherheitskopien, evtl. Verschlüsselung, bei Internet-Verbindung Abschottung der Patientendaten gegen externe Angriffe).

Diese Kenntnisse hat u.U. der Apotheker selbst. Vielleicht gibt es auch im Betrieb einen EDV-Freak, der sich vor allem mit Fragen der Sicherheitstechnik gut auskennt und der zugleich die Systemverantwortlichkeit hat. Trotzdem sollte weder der Chef noch der Systemadministrator zum bDSB gemacht werden. Denn Aufgaben des bDSB sind Kontrolle und Beratung. Sich selbst zu kontrollieren oder zu beraten macht wenig Sinn. Für diese Aufgaben sollte man eine weitere Person finden, die sich im Sinne eines Vieraugenprinzips mit dem Chef oder dem Systemverantwortlichen austauschen kann. Geeignet sind z.B. Apothekenhelferinnen mit einer gewissen Berufserfahrung. Gut ist es, wenn sie schon mit etwas EDV-Kenntnissen an diese neue Aufgabe herangehen. Eine Vertiefung des technischen und rechtlichen Wissens kann und muss evtl. dann durch spezielle Kurse erfolgen (dazu siehe weiter unten).

Nimmt der bDSB neben dem Datenschutz noch weitere Aufgaben wahr, so ist dies grds. kein Problem. Tatsächlich kann der Arbeitsaufwand eines bDSB sehr gering sein, wenn es mit dem Datenschutz in einer Apotheke gut bestellt ist und laufend die notwendigen Nachbesserungen dadurch erfolgen, dass der Datenschutz bei der Organisation der Verfahrensabläufe gleich mitbedacht wird. Nicht zu empfehlen ist aber einen Mitarbeiter mit den Aufgaben des bDSB zu betrauen, der durch diese Funktion mit seinen sonstigen Aufgaben in Interessenskonflikte geraten würde (so z.B. der Systemadministrator, s.o.).

Eine moderne und beliebte Methode im Medizinbereich ist das "Outsourcing", das Herausverlagern von eigenen Aufgaben an externe Dienstleister. Daher werden wir immer wieder mit der Frage konfrontiert, ob die Aufgaben des bDSB nicht auch von einer externen Firma, einem Rechtsanwalt oder gar einem auf Datenschutz spezialisierten Berater wahrgenommen werden kann. Für den ärztlichen Bereich stellt eine Stellungnahme der Bundesärztekammer klar, dass es wohl möglich ist, mit der Wahrnehmung der Funktion eines bDSB einen Externen zu beauftragten (§ 4f Abs. 2 S. 2 BDSG): "Die Regelungen zur Einhaltung der ärztlichen Schweigepflicht sind jedoch auch in diesem Fall zu beachten". Übertragen bedeutet dies: Entweder holt der Apotheker von den Patienten eine Einwilligung zur Offenbarung der Patientendaten an den externen bDSB ein, oder dieser darf nicht in Patientendaten Einsicht nehmen. Wie Letzteres konkret im Bereich der Kontrolle und Beratung umgesetzt werden soll, bleibt unklar. Daher rät das ULD für den Fall, dass eine Pflicht zur Bestellung eines bDSB besteht, zunächst eine eigene Mitarbeiterin oder einen eigenen Mitarbeiter hierfür zu suchen und diese entsprechend fortzubilden. Sollte sich hierfür partout niemand finden, kann immer noch auf die externe Lösung zurückgegriffen werden.

Tatsächlich haben Rechtsanwälte und EDV-Berater genau diese Marktlücke entdeckt und bieten Arztpraxen, Apotheken und anderen medizinischen Dienstleistern ihre Dienste als bDSB an. Doch sollte man dabei nicht nach dem Muster "die billigste Lösung ist auch die beste" vorgehen. Vielmehr sollte man sich die Referenzen der externen Anbieter genau ansehen und dann im Vertrag präzise festlegen, welche Dienstleistungen bzw. genauer welche Aufgaben mit dem Auftrag verbunden sind (siehe "Externe Datenschutzbeauftragte und Patientengeheimnis" unter www.datenschutzzentrum.de/medizin).

Bestellung und Stellung des bDSB

Der bDSB ist spätestens innerhalb eines Monats nach Aufnahme der personenbezogenen Datenverarbeitung schriftlich zu bestellen (§ 4f Abs. 1 S. 1, 2 BDSG). Unterbleibt eine rechtzeitige Bestellung, so erfüllt dies grds. einen Bußgeldtatbestand (§ 43 Abs. 1 Nr. 2 BDSG). Doch sind die Datenschutzaufsichtsbehörden hier nachsichtig, wenn sie erkennen, dass die Bestellung mangels Kenntnis der Regelung bisher unterblieben ist und diese umgehend nachgeholt wird. Die schriftliche Bestellungsurkunde wird u.U. im Rahmen einer Datenschutzprüfung durch die Aufsichtsbehörde verlangt (§ 38 Abs. 1 u. 3 BDSG). Daher sollte man hierauf in keinem Fall verzichten. Empfehlenswert ist neben der Bestellung die arbeitsvertragliche Fixierung der wesentlichen Tätigkeitsfelder. Entsprechendes gilt bei einem externen bDSB in einem Dienstleistungsvertrag.

Ein bDSB kann zugleich für mehrere Betriebe, also auch Apotheken, zuständig sein. Dies ist z.B. bei externen bDSB regelmäßig der Fall. Auch eine gemeinsame Berufung eines Mitarbeiters durch mehrere Betriebe ist möglich. Wenn dieser einen Anstellungsvertrag mit allen beteiligten Apothekern hat, hat dies gegenüber dem externen bDSB den Vorteil, dass ihm als Hilfsperson der Apotheker (§ 203 Abs. 3 StGB) Patientengeheimnisse offenbart werden dürfen. Ein solcher gemeinsamer bDSB kann daher - anders als ein externer bDSB - ungehindert Prüfungen durchführen und dabei in Patienten- bzw. in Kundendaten Einblick nehmen. Selbstverständlich darf der bDSB aber die Informationen aus einer Praxis Mitarbeitern der anderen Betriebe nicht weitergeben.

Der bDSB ist im Hinblick auf seine Datenschutztätigkeit direkt dem jeweiligen leitenden Apotheker unterstellt (§ 4f Abs. 3 S. 1 BDSG). Er ist in der Ausübung dieser Tätigkeit weisungsfrei und er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt oder gar gekündigt werden (§ 4f Abs. 3 S. 2-5 BDSG). Damit soll die Unabhängigkeit des bDSB gewährleistet werden. Er soll den Leiter der Apotheke ohne Angst vor irgend welchen Repressalien auf Missstände hinweisen können und ihm ungeschminkt seine Meinung sagen und auf rechtliche und technische Probleme hinweisen können. Da der Apotheker selbst zumeist nicht das notwendige Wissen parat hat, ist auch für ihn dies von großer Bedeutung: Durch die unabhängige Beratung kann er eher davon ausgehen, auf der sicheren Seite zu sein, z.B. wegen des Verstoßes gegen die berufliche Schweigepflicht sich nicht strafbar zu machen. Alle Mitarbeiter eines Betriebs haben den bDSB bei der Erfüllung seiner Aufgaben zu unterstützen und ihm soweit erforderlich die nötigen Hilfe zu leisten. Ihm sind z.B. die nötigen Geräte und Mittel zur Verfügung zu stellen, aber auch genügend Zeit für seine Aufgaben (§ 4f Abs. 5 S. 1 BDSG). Ihm sind die nötigen Informationen zu erteilen und Unterlagen zur Verfügung zu stellen.

Die Aufgaben des bDSB

Einige der Aufgaben des bDSB sind im Gesetz geregelt. Er ist der Ansprechpartner der Geschäftsleitung bzgl. aller Datenschutzfragen (§ 4g Abs. 1 S. 1 BDSG). Er ist ebenso Ansprechpartner für die Beschäftigten der jeweiligen Praxis. Der bDSB ist gegenüber den jeweiligen Betroffenen zur Verschwiegenheit verpflichtet, soweit er hiervon nicht von diesen befreit wurde (§ 4f Abs. 4 BDSG). Daher können sich Beschäftigte wie auch Patienten (bei einem internen bDSB) vertrauensvoll an die Person des bDSB wenden. Gibt es in der Praxis einen Betriebsrat, so sollte der bDSB diesen bei der gemeinsamen Aufgabe der Schutzes der Daten der Beschäftigten unterstützen (vgl. § 75 Abs. 2 Betriebsverfassungsgesetz).

Eine besondere Beratungsfunktion kommt dem bDSB bei der Auswahl, der Konfiguration und dem Einsatz der richtigen EDV-Geräte sowie der Software zu. Nicht nur der Preis und die Funktionalitäten der EDV sollten ein Beschaffungskriterium sein, sondern auch die Möglichkeiten der Datensicherheit. Dies beginnt bei einfachen Funktionen wie z.B. der Dunkelschaltung nicht genutzter Bildschirme oder der Sicherung der Vertraulichkeit ankommender Faxe und geht bis zur sicheren Ablage der Kunden- bzw. Patientendaten durch Verschlüsselung oder zur Abschottung der Internetnutzung von der Praxis-EDV mit den Patientendaten.

Es ist nicht zwingend aber äußerst sinnvoll, wenn Anfragen und Beschwerden von Patienten zum Datenschutz vom bDSB bearbeitet werden. Er sollte in jedem Fall beteiligt werden. Dabei wird es sich regelmäßig um die Bitte von Personen handeln, in die eigenen Patienten- bzw. Kundendaten Einblick oder daraus Auskünfte zu erhalten. Evtl. möchte der Patient Kopien. Denkbar sind aber auch Beschwerden, z.B. über die Datenweitergabe bzw. -beschaffung oder über falsche oder unzulässig gespeicherte Daten. In seltenen Fällen kann es wegen der Datenverarbeitung sogar zu Schadensersatzforderungen kommen.

Der bDSB hat auch einige formale Pflichten: er hat eine Verfahrensübersicht zur führen, wie sie in § 4e S. 1 BDSG beschrieben ist (§ 4g Abs. 2 BDSG). Dies bedeutet, dass der bDSB einen schriftlichen Überblick haben muss über die organisatorischen Angaben zum Betrieb (Name, Firma, Inhaber, Vertreter, Geschäftsführer, Anschrift), über die Zweckbestimmung der Datenverarbeitung, eine Beschreibung der betroffenen Personengruppen, der Daten bzw. Datenkategorien und der Datenempfänger (z.B. Krankenkassen, Kollegen, Apothekenrechenzentrum, regionales Praxisnetz), über die Löschfristen der Daten sowie über die technisch-organisatorischen Maßnahmen zur Gewährleistung der Sicherheit (vgl. § 9 BDSG).

Eine weitere formale Pflicht, die aber mit einer inhaltlichen Prüfung einhergeht, ist die Durchführung von Vorabkontrollen (§ 4d Abs. 6 BDSG). Derartige Vorabkontrollen sind bei der Einführung und wesentlichen Änderung von riskanten automatisierten Verfahren Pflicht (§ 4d Abs. 5 BDSG). Da bei der elektronischen Verarbeitung von Gesundheits- bzw. von Patientendaten immer von einem hohen Risikopotenzial ausgegangen werden muss, ist hier in jedem Fall die Durchführung einer Vorabkontrolle dringend zu empfehlen (vgl. § 4d Abs. 5 Nr. 1 BDSG mit Verweis auf § 3 Abs. 9 BDSG).

Eine wichtige strukturelle Aufgabe des bDSB besteht in der Schulung des Personals in Sachen Datenschutz. Diese Schulung kann durch mündliche oder schriftliche Unterweisung erfolgen oder durch ein "Training on the Job". Während es eigentlich zu den Aufgaben der Ausbildung als Apotheker bzw. der Ausbildung zur Apothekenhelferin usw. gehört, dass allen Beschäftigten die Grundlagen des Berufsgeheimnisses vermittelt werden, ist es die zentrale Funktion des bDSB, die Kollegen in die praktischen Fragen zur Beachtung des Datenschutzes vor Ort einzuweisen (z.B. Umgang mit dem Telefon, mit dem Fax, EDV-Sicherheit, korrekte Vernichtung von Unterlagen, vgl. § 4g Abs. 1 Nr. 2 BDSG). Wünschenswert ist der Aufbau eines richtiggehenden Datenschutzmanagements, d.h. einer Datenschutzorganisation, mit der die Geschäftsleitung in Datenschutzfragen unterstützt wird (vgl. dazu "Betriebliches Datenschutzmanagement nach dem BDSG" unter www.datenschutzzentrum.de/material/themen/wirtsch/dsmanage.htm). U.U., insbesondere wenn ein externer bDSB nicht permanent ansprechbar ist, empfiehlt sich gar eine Art Datenschutzhandbuch für die Praxis, in dem die Mitarbeiter in Zweifelsfragen nachschauen können. Ein solches Handbuch zu erstellen, bei dem auf die konkreten Gegebenheiten vor Ort eingegangen wird, kann zu den Aufgaben gehören, denen sich ein bDSB als Erstes widmet, da ihm dies später möglicherweise viel Arbeit erspart.

Bei aller Prävention durch Organisation, Einsatz datenschutzfreundlicher Technik und Schulung nicht völlig verzichten kann und sollte ein bDSB auf die konkrete Nachschau bzw. auf die - in den Worten des Gesetzgebers - Überwachung "der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme" (§ 4g Abs. 1 Nr. 1 BDSG). Solche Kontrollen können darin bestehen, den Passwortgebrauch oder die Nutzung von Bildschirmschonern, die Verwendung von Diskettenlaufwerken oder die Durchführung von Löschungen zu prüfen. Soweit der bDSB nicht die nötige eigene technische Kompetenz hat, muss ihn bei diesen Kontrollen der Systemadministrator unterstützen. Nicht nur die eigenen Kontrollen gehören zu den Aufgaben des bDSB. Sollten die staatlichen Kontrolleure von der Datenschutzaufsicht in der Praxis eine Prüfung durchführen, so gehört es zu den selbstverständlichen Aufgaben des bDSB, als Ansprechperson zur Verfügung zu stehen.

Unterstützung der Arbeit des bDSB

Die Beschreibung der Arbeit von bDSB mag für den Einen oder die Andere wie die Darstellung der Tätigkeit eines einsamen Kämpfers zwischen allen Fronten erscheinen. Leider sehen sich viele bDSB in genau solch einer Rolle. Dies sollte nicht und muss nicht so sein. Für den Erfolg der praktischen Arbeit wichtig ist der dauernde Austausch zwischen der Leitung des Betriebs, den Beschäftigten, den Systemverantwortlichen und evtl. der Patienten.

Ist ein bDSB mit seinem Latein am Ende, so gibt es zwei Möglichkeiten: Kurzfristig kann er sich in einzelnen Zweifels- und Konfliktfragen vertrauensvoll an die zuständige Datenschutzaufsichtsbehörde wenden (§ 4g Abs. 1 S. 2 BDSG). Dies sind in den norddeutschen Ländern weitgehend die Landesbeauftragten für den Datenschutz (in Schleswig-Holstein das Unabhängige Landeszentrum für Datenschutz - ULD) und in den südlichen Bundesländern die Innenverwaltungen (Innenministerium oder Bezirksverwaltungen). In rechtlichen Fragen stehen auch die Justiziare der Apothekerkammern zur Verfügung, die zumeist auf einen reichen Erfahrungsschatz von Fallkonstellationen zurückgreifen können, z.B. unter welchen Voraussetzungen eine Apotheke Patientendaten herausgeben darf oder gar muss.

Hat ein bDSB den Eindruck, insgesamt den Anforderungen seiner Aufgabe nicht mehr zu entsprechen, so sollte er dringend eine Weiterbildung in Anspruch nehmen. Angesichts des rasanten technischen Fortschritts in Apotheken und der sich immer wieder ändernden gesetzlichen Regelungen, insbesondere im Sozialgesetzbuch V z.B. im Rahmen der Einführung des elektronischen Rezeptes, sollte eine Schulung nicht erst bei völliger Rat- bzw. Sprachlosigkeit in Anspruch genommen werden, sondern schon dann, wenn sich neue Herausforderungen ankündigen. Wo im jeweiligen Bundesland solche Schulungen angeboten werden, kann über die zuständigen Kammern bzw. die Aufsichtsbehörden erfragt werden. In anderen Bereichen schon gängige Praxis ist der Erfahrungsaustausch (Erfa) unter den bDSB. So treffen sich branchenübergreifend bDSB in sog. Erfa-Gruppen. Ob es solche Erfa-Gruppen vor Ort gibt, kann auch bei den Aufsichtsbehörden erfragt werden.

Beendigung der Tätigkeit

Interne bDSB genießen einen besonderen Kündigungsschutz. Sie können nur in entsprechender Anwendung der Regelung zur fristlosen Kündigung (§ 626 BGB) von ihren Aufgaben entbunden werden. D.h. es muss ein wichtiger Grund vorliegen, der es der Leitung des Betriebs unzumutbar macht, die Bestellung zum bDSB aufrecht zu halten. Ein solcher wichtiger Grund kann die Verletzung der Verschwiegenheit sein oder notorische Untätigkeit. Wie bei fristlosen Kündigungen bedarf es für solch einen Widerruf natürlich einer Einzelfallprüfung und -begründung. Der Widerruf muss binnen zwei Wochen nach Kenntniserlangung der maßgeblichen Tatsachen schriftlich erfolgen. Die Kündigung eines externen bDSB bzw. dessen Tätigkeitsende richtet sich nicht nach Arbeitsrecht, sondern nach den jeweiligen vertraglichen Vereinbarungen.

Denkbar ist auch eine Endbindung von der Aufgaben eines bDSB auf Verlangen der Aufsichtsbehörde (§ 38 Abs. 5 S. 3 BDSG). Ein solches Verlangen wird nur in seltenen Ausnahmefällen erfolgen, wenn sich für die Aufsichtsbehörde die Gewissheit ergibt, dass der bDSB ungeeignet und unzuverlässig ist und keine Aussicht besteht, dass diese Mängel, z.B. durch Nachschulung, beseitigt werden.

Schlussfolgerungen

Die obige Beschreibung der Tätigkeit eines bDSB in einer Apotheke mag den einen oder anderen Leser beunruhigen: Die vielen Vorschriften und vielen Aufgaben können den Eindruck vermitteln, bei der Funktion des bDSB handele es sich um einen undankbaren Job. Dies liegt vielleicht daran, dass die gesetzlichen Regelungen für den bDSB nicht nur für in der Regel kleinere Apotheken gemacht sind, sondern für mittlere und große Unternehmen und im Grunde sogar auch für Weltkonzerne. Will man die Kirche im Dorf lassen - und das wollen regelmäßig die Datenschutzaufsichtsbehörden - so ist klar, dass von einem bDSB in einer kleinen Apotheke nicht die gleichen Anforderungen gestellt werden können wie von einer Person in einer solchen Funktion in einem größeren Krankenhaus oder bei einer Krankenkasse, die u.U. vollzeit sich nur mit Datenschutzfragen beschäftigen kann. Der erste Schritt ist zumeist der Wichtigste: die Benennung eines für den Datenschutz Verantwortlichen im Betrieb. Die zentrale Voraussetzung ist die tatsächliche Bereitschaft dieser Person, ihre Aufgabe ernst zu nehmen. Die weiteren Schritte können sich daraus ganz von alleine entwickeln. Wer feststellt, dass diese Tätigkeit verantwortungsvoll und anspruchsvoll ist und dass sie wegen ihrer Vielfältigkeit und ihrer Wichtigkeit Spaß macht und auch einen persönlichen Gewinn darstellt, der besorgt sich die notwendigen Infos, gestaltet die Datenverarbeitung mit und bringt sein Wissen und Können in die betriebliche Organisation ein.

Der bDSB wie auch die Leitung einer Apotheke sollten sich darüber im Klaren sein, dass die Wahrung der beruflichen Schweigepflicht eine der höchsten beruflichen Tugenden ist. Daher ist der bDSB, wenn er seine Aufgabe richtig erfüllt, kein Besserwisser, Nörgler und Verhinderer, sondern jemand, der einen wichtigen Beitrag zum Behandlungserfolg leistet, indem er sich um eine vertrauenswürdige Organisation kümmert.