apotheken cyber risiko datenschutz beauftragter DenPhaMedDatenschutzbeauftragte

Benennung, Stellung und Aufgaben

Mit der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) sind am 25. Mai 2018 die heute für Unternehmen – und damit auch für Apotheken – gültigen Regeln rund um die Bestellung von Datenschutzbeauftragten in Kraft getreten. Da die Gefahr des Datenmissbrauchs zunehmend größer wird und Verstöße gegen die EU-DSGVO mit Bußgeldern belegt werden können, sollten sich Apotheker und Apothekerinnen strikt an die Richtlinien halten.

Die 9-Mitarbeiter-Grenze

apotheken cyber risiko datenschutz beauftragter stemplel DenPhaMedFür Unternehmen gilt die sogenannte 9-Mitarbeiter-Grenze, nach der jedes Unternehmen mit mehr als neun mit der Datenverarbeitung beauftragten Personen einen Datenschutzbeauftragten bestellen muss. Dieser kann „intern“ oder „extern“ sein, also ein Mitarbeiter oder ein beauftragter Experte von außen. Der Datenschutzbeauftragte hat die Unternehmensleitung zu beraten und zu unterstützen. Die Verantwortung im Fall eines Verstoßes nehmen Datenschutzbeauftragte Apotheken- oder Praxisinhabern jedoch nicht ab. Die Verantwortung bleibt eindeutig in der Führungsetage.

Diese Verantwortung gilt in noch größerem Maß für Apotheker und Ärzte, die weniger als neun Mitarbeiter beschäftigen, die Datenverarbeitungstätigkeiten ausführen. Hier ist ohne Datenschutzbeauftragtem automatisch  der Inhaber oder die Inhaberin persönlich für diese Aufgaben in der Verantwortung.

Das Bundesdatenschutzgesetz

apotheken cyber risiko datenschutz beauftragter lupe DenPhaMedIn Paragraf 38 des am 30. Juni 2017 verkündeten Bundesdatenschutzgesetzes (Artikel 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 -DSAnpUG-EU-) sind für Datenschutzbeauftragte bei Unternehmen und Unternehmensgruppen weitere Bestellpflichten vorgesehen, die im Wesentlichen den derzeit noch geltenden Regelungen des bis dahin geltenden § 4f Abs. 1 Bundesdatenschutzgesetz (BDSG) entsprechen.

In diesem Zusammenhang empfehlen sich zwei Standard-Werke:

  • Gierschmann, Sibylle u.a. (Hg.): Kommentar Datenschutz-Grundverordnung. Direkt-Link
  • Kranig, Thomas - Sachs, Andreas - Gierschmann, Markus: Datenschutz-Compliance nach der DS-GVO. Direkt-Link

Ab 2018 hat der Datenschutzbeauftragte eine entsprechende Fachkenntnis nachzuweisen. Seine Pflichten ergeben sich aus dem folgenden Gesetzestext.

Bundesdatenschutzgesetz (BDSG)

§ 4f Beauftragter für den Datenschutz

(1) Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.

(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten aus einer anderen öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen.

(3) Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches, bei nicht-öffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, widerrufen werden. Ist nach Absatz 1 ein Beauftragter für den Datenschutz zu bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach der Abberufung als Beauftragter für den Datenschutz ist die Kündigung innerhalb eines Jahres nach der Beendigung der Bestellung unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.

(4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.

(4a) Soweit der Beauftragte für den Datenschutz bei seiner Tätigkeit Kenntnis von Daten erhält, für die dem Leiter oder einer bei der öffentlichen oder nichtöffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Beauftragten für den Datenschutz und dessen Hilfspersonal zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht, unterliegen seine Akten und andere Schriftstücke einem Beschlagnahmeverbot.

(5) Die öffentlichen und nicht-öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.


Zudem enthält die DSGVO Regelungen zur Stellung und zu den Aufgaben der oder des DSB, von denen der nationale Gesetzgeber grundsätzlich nicht abweichen darf.

Sie haben Fragen? Dann sprechen Sie mit einem unserer Datenschutz-Experten. Rückrufbitte