17. Januar 2020
Seit dem 1. Januar gilt die Bonpflicht in Deutschland, das heißt auch für Apotheken, dass sie für ihre Kunden nach dem Erwerb von Medikamenten zwingend ein Kassenbon erstellen und mitgeben müssen.
Problematisch bei Apotheken im Gegensatz zu Bäckereien und Supermärkten ist, dass ihre Kassenbons personenbezogene Daten, wie den Namen, das Geburtsdatum, die Anschrift sowie das erworbene Produkt, enthalten. Es handelt sich hier um sensible Gesundheitsdaten, die einen besonderen Schutz genießen. Damit könnte es zu einem Problem werden, wenn die Kunden ihre Kassenbons vergessen oder verlieren. Die Frage ist, wie weit die datenschutzrechtliche Verantwortung von Apotheken in dieser Hinsicht geht.
Die Bundesvereinigung Deutscher Apothekerverbände e. V. wies darauf hin, dass in der Apotheke bewusst verbliebene personalisierte Bons von der Apotheke datenschutzkonform zu vernichten, also möglichst zu schreddern, sind.
Die Apothekenkammer Berlin erklärt zudem: “Verliert der Kunde einen personalisierten Kassenbon in der Apotheke oder lässt er den Bon bewusst oder versehentlich in der Apotheke liegen, verbleiben diese sensiblen Daten im Hoheitsbereich der Apotheke als datenschutzrechtlich verantwortliche Stelle. Liegt in der Offizin ein solcher personalisierter Bon und wird dies moniert – beispielsweise durch eine Beschwerde bei der zuständigen Berliner Landesdatenschutzbeauftragten –, trifft den Apothekeninhaber oder die Apothekeninhaberin die Beweislast, dass ihn oder sie daran kein Verschulden trifft.“
Die datenschutzrechtliche Verantwortung der Apotheke endet laut Kammer-Info, wenn der Kunde die Apotheke mit dem Bon verlassen hat. Dann sei es Angelegenheit des Kunden, wie er mit dem Bon umgeht: ob er ihn verwahrt, vernichtet oder ob er ihn einfach wegwirft.
Empfehlenswert ist es, überhaupt keine personenbezogene Daten auf die Kassenbons mehr zu drucken.
16. Januar 2020
Bereits im Juni 2018 berichteten wir über die Verpflichtung von Arztpraxen zur Bestellung von Datenschutzbeauftragten (DSB) nach der DSGVO. Grundsätzlich durfte man zu diesem Zeitpunkt davon ausgehen, dass bei einer Beschäftigtenanzahl von 10 Personen häufig eine Bestellpflicht vorlag, wenn wenn diese 10 Mitarbeiter ständig personenbezogene Daten verarbeiteten.
Der Bundestag hat mit Beschluss des sogenannten Zweiten
Datenschutzanpassungs- und Umsetzungsgesetzes im Juni 2019 diese Anforderungen
für Kleinunternehmen gelockert und die Zahl der Beschäftigen auf 20 angehoben. Das
Gesetz wurde am 25.11.2019 im Bundesgesetzblatt verkündet. Insgesamt wurden
dadurch Anpassungen in rund 150 Gesetzen erforderlich.
Aufgrund des geänderten § 38 BDSG besteht seitdem für Ärzte, die eine eigene Praxis betreiben, erst ab einer Mitarbeiterzahl von 20 Personen eine erhöhte Bestellpflicht. Mit der Veränderung wolle man „vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine“ erreichen, heißt es in der Gesetzesbegründung. Kritisiert wurde an der Gesetzesänderung vor allem der Umstand, dass lediglich die Pflicht zur Bestellung eines DSB erleichert worden wäre, alle anderen datenschutzrechtlichen Verpflichtungen für kleinere Unternehmen aber nicht angetastet wurden, sodass die Änderung den Unternehmen deswegen nicht viel nütze.
Zu beachten ist allerdings, dass die Mitarbeiterzahl in Arztpraxen ist im Hinblick auf die Bestellpflicht dann irrelevant ist, wenn dort Datenschutzfolgenabschätzungen vorgenommen werden. Dann besteht die Pflicht zur Bestellung eines DSB unabhängig von der Anzahl der Beschäftigten. Datenschutzfolgenabschätzungen sind beispielsweise dann durchzuführen, wenn eine systematische Videoüberwachung der Praxisräume erfolgt oder wenn Daten besonderer Kategorien umfangreich verarbeitet werden (z.B. Gesundheitsdaten). Wann letzteres in Arztpraxen genau der Fall ist, wird bislang noch diskutiert. Vieles spricht dafür, dass eine Verarbeitung von Daten durch einen einzelnen Arzt keine „umfangreiche Verarbeitung“ darstellt, somit noch keine Pflicht zur Datenschutzfolgenabschätzung auslösen soll und dann auch die Pflicht zur Bestellung eines Datenschutzbeauftragten in Einzelpraxen entfallen lässt, sofern die Mitarbeiterzahl ohnehin unter 20 liegt.
