apotheken cyber risiko datenschutz beauftragter DenPhaMedDatenschutzbeauftragter

Der Datenschutzbeauftragter - Benennung, Stellung und Aufgaben

Eine sperrige Bezeichnung wirft Ihre Schatten voraus: Datenschutzbeauftragter nach der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung - DSGVO -) und der Richtlinie (EU) 2008/977/JI (RLDSJ), denn mit dem Inkrafttreten der DSGVO existiert erstmals eine europaweit verbindliche verpflichtende Regelung zur Bestellung betrieblicher und behördlicher Datenschutzbeauftragter (DSB). Eine Bestell- und Meldepflicht für die Bestellung eines Datenschutzbeauftragten gilt ab dem 25. Mai 2018.

Die 9-Mitarbeiter-Grenze

apotheken cyber risiko datenschutz beauftragter stemplel DenPhaMedFür Unternehmen gilt weiterhin die sogenannte 9 Mitarbeiter-Grenze, nach der jedes Unternehmen mit mehr als neun mit der Datenverarbeitung beauftragten Personen einen Datenschutzbeauftragten bestellen muss. Dieser kann „intern“ oder „extern“ sein, also ein Mitarbeiter oder ein beauftragter Experte von außen. Der Datenschutzbeauftragte hat die Unternehmensleitung zu beraten und zu unterstützen. Die Verantwortung im Fall einer Datenschutzverletzung nimmt der dem Apotheken- oder Praxisinhaber jedoch nicht ab. Diese Verantwortung bleibt eindeutig beim Chef.

Diese Verantwortung gilt dann auch für Apotheker und Ärzte, die weniger als neun Mitarbeiter beschäftigen, die auch Datenverarbeitungstätigkeiten ausführen. Hier ist dann ohne Datenschutzbeauftragtem automatisch grundsätzlich der Inhaber persönlich für diese Aufgaben in der Verantwortung.

Das Bundesdatenschutzgesetz

apotheken cyber risiko datenschutz beauftragter lupe DenPhaMedIn § 38 des am 30. Juni 2017 verkündeten neuen Bundesdatenschutzgesetzes (Artikel 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 -DSAnpUG-EU-) sind für Datenschutzbeauftragte bei Unternehmen und Unternehmensgruppen weitere Bestellpflichten vorgesehen, die im Wesentlichen den derzeit noch geltenden Regelungen des bis dahin geltenden § 4f Abs. 1 Bundesdatenschutzgesetz (BDSG) entsprechen.

In diesem Zusammenhang empfehlen sich zwei Standard-Werke:

  • Gierschmann, Sibylle u.a. (Hg.): Kommentar Datenschutz-Grundverordnung. Direkt-Link
  • Kranig, Thomas - Sachs, Andreas - Gierschmann, Markus: Datenschutz-Compliance nach der DS-GVO. Direkt-Link

Ab 2018 hat der Datenschutzbeauftragte eine entsprechende Fachkenntnis nachzuweisen. Seine Pflichten ergeben sich aus dem folgenden Gesetzestext.

Bundesdatenschutzgesetz (BDSG)

§ 4f Beauftragter für den Datenschutz

(1) Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.

(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten aus einer anderen öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen.

(3) Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches, bei nicht-öffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, widerrufen werden. Ist nach Absatz 1 ein Beauftragter für den Datenschutz zu bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach der Abberufung als Beauftragter für den Datenschutz ist die Kündigung innerhalb eines Jahres nach der Beendigung der Bestellung unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.

(4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.

(4a) Soweit der Beauftragte für den Datenschutz bei seiner Tätigkeit Kenntnis von Daten erhält, für die dem Leiter oder einer bei der öffentlichen oder nichtöffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Beauftragten für den Datenschutz und dessen Hilfspersonal zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht, unterliegen seine Akten und andere Schriftstücke einem Beschlagnahmeverbot.

(5) Die öffentlichen und nicht-öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.


Zudem enthält die DSGVO Regelungen zur Stellung und zu den Aufgaben der oder des DSB, von denen der nationale Gesetzgeber grundsätzlich nicht abweichen darf.

Sie haben Fragen? Dann sprechen Sie mit einem unserer Datenschutz-Experten. Rückrufbitte