Einmal Europa, Deutschland und zurück!

 

Susanne Dehmel ist Mitglied der Geschäftsleitung des Bitkom e.V. und Mitglied des Wissenschaftsbeirats der ZD.

 

 

 

ZD 2017, 249   Das neue Bundesdatenschutzgesetz ist verabschiedet. Knapp ein Jahr nach Inkrafttreten der EU-Datenschutzgrundverordnung (DS-GVO) und noch gut ein Jahr, bevor es ernst wird mit ihrer Anwendung, hat die Bundesregierung das "Gesetz zur Anpassung des Datenschutzrechts an die EU-Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie zur Datenverarbeitung bei Polizei und Justiz (DSAnpUG-EU)" durch den Bundestag und am 12.5.2017 durch den Bundesrat gebracht. Damit stehen die allgemeinen Datenschutzgesetze für Unternehmen und Behörden für die Zeit ab dem 25.5.2018. Lediglich Spezial- und Landesgesetze müssen noch angepasst werden. Die Bundesregierung selbst hatte diesen ehrgeizigen Zeitplan aufgestellt. Denn das Ende der Legislaturperiode ist nah und wäre das Gesetz nicht vor der Sommerpause fertig geworden, hätte es eng werden können mit der Anpassung der Gesetzgebung bis Mai 2018. Für datenverarbeitende Stellen ist es gut, dass nun der Rechtsrahmen weitgehend gesetzt ist, unter dem sie in Deutschland operieren. Denn nun ist für jeden die Basis klar, auf der die Anpassung der internen Prozesse, Dokumentationen und Verträge bei den Verantwortlichen vorgenommen werden kann.

 

Inhaltlich ist das BDSG-neu mit Blick auf die Unternehmen weder ein großer Wurf noch besonders bedenklich. Die entscheidenden Fragen für die Datenverarbeitung im Unternehmen sind bereits abschließend in der Grundverordnung geregelt, wie z.B. das Gros der Rechtsgrundlagen für die Verarbeitung einschließlich der Bedingungen für die Einwilligung und auch alle Vorgaben zu Verträgen und den internen Datenschutzprozessen. Zur Form muss man leider feststellen, dass das Gesetz durch die gemeinsame Umsetzung von EU-Verordnung und Richtlinie sowie die gleichzeitige Schaffung von allgemeinen Datenschutzregeln für Bereiche, die gar nicht von der EU vorgegeben sind (z.B. Geheimdienste), leider sehr komplex und schwer lesbar geworden ist.

 

Für Unternehmen ist die Vereinheitlichung des Datenschutzrechts in der EU fast die einzige große Erleichterung, die durch die DS-GVO erreicht wird. Bitkom hatte sich deshalb dafür eingesetzt, die nationalen Regelungen möglichst schlank zu halten, um die europäische Rechtsharmonisierung nicht zu konterkarieren. Das ist teilweise gelungen, teilweise hält man an bereits aus dem alten BDSG bekannten Regelungen fest. So sieht das nationale Gesetz einzelne Beschränkungen bei den Betroffenenrechten vor, diese sind jedoch sehr überschaubar. Ferner gibt es spezifische Verarbeitungsregeln für besondere Kategorien von personenbezogenen Daten wie etwa Gesundheitsdaten. Wichtig wird es weiterhin sein, dass auch die Landesgesetzgeber bei der Anpassung an die DS-GVO für möglichst schlanke und vor allem einheitliche Spezialgesetze (wie z.B. Krankenhausgesetze) sorgen. Sonst könnte der Harmonisierungseffekt der DS-GVO noch auf dieser Ebene ausgehebelt werden.

 

An dem grundsätzlichen Problem, dass die DS-GVO insgesamt zu bürokratisch und zu wenig zukunftsgerichtet ist, kann auch das nationale Gesetz nichts ändern. Ärgerlich ist jedoch das grundsätzliche Schriftformerfordernis für die Einwilligung in eine Datenverarbeitung im Beschäftigtenverhältnis, sofern nicht wegen besonderer Umstände eine andere Form angemessen ist (Art. 26 Abs. 2 BDSG-neu). Es ist unverständlich, warum das Gesetz es hier nicht bei der Formulierung der DS-GVO belässt und ausdrücklich die Erteilung auch in elektronischer Form zulässt. Wenn hier tatsächlich Papier gemeint ist, wäre das eine völlig praxisferne Formvorgabe, die auch für den Arbeitnehmer unbequem wäre. Um hier zu praktikablen Lösungen zu kommen, dürften dann an das Vorliegen der besonderen Umstände nicht allzu hohe Bedingungen geknüpft werden.

 

Ungelöst bleibt das Problem der Heraufsetzung des Mindestalters für die Einwilligung auf lebensfremde 16 Jahre durch die DS-GVO, sofern die Mitgliedstaaten hierzu keine explizite Regelung treffen, mit der sie das Mindestalter auf 13 Jahre herabsetzen können (Art. 8 Abs. 1 DS-GVO). Gerade bei dieser Regelung wäre eine EU-weite Regelung sinnvoll gewesen, aber eine Einigung war im Rat damals nicht möglich. Auch der deutsche Gesetzgeber wollte sich dieses Themas nicht annehmen. Dabei wäre hier möglicherweise eine Chance gewesen, eine Regelung mit Vorbildcharakter für die anderen Mitgliedstaaten zu schaffen. In der neuen Legislaturperiode sollte dieses Thema möglichst im Schulterschluss mit anderen Mitgliedstaaten noch einmal angegangen werden.

 

Positiv fällt auf, dass im Gesetzgebungsverfahren neben einem Verfahren für die Positionierung der deutschen Aufsichtsbehörden im zukünftigen EU-Datenschutzausschuss (EDA) mit Art. 40 Abs. 2 BDSG-neu auch noch ein Kohärenzverfahren für Sachverhalte eingeführt wurde, die nicht grenzüberschreitend, sondern auf Deutschland beschränkt sind. Dies lässt hoffen, dass auch innerhalb Deutschlands trotz des föderalen Aufsichtssystems schnellere Abstimmungen und belastbare einheitliche Entscheidungen der Aufsichtsbehörden erreicht werden können. Spannend ist, wie dieses Verfahren in der Praxis genau aussehen wird.

 

Obwohl wir nun sowohl den Text der DS-GVO als auch des neuen BDSG kennen, ist es für Unternehmen immer noch schwer einzuschätzen, wie die gesetzlichen Vorgaben im Einzelnen umgesetzt werden müssen. Erste Orientierung gibt es von der Art. 29-Datenschutzgruppe in Form von Leitlinien zu verschiedenen Themen. Einzelne deutsche Behörden haben ebenfalls erläuternde Papiere veröffentlicht. Doch auch diese Leitlinien und erste Kommentare beantworten nicht alle Fragen, die bei der Übertragung des abstrakten Gesetzestexts auf den einzelnen Datenverarbeitungsvorgang auftauchen. Der Arbeitskreis Datenschutz des Bitkom hat in Teamarbeit und mit vielen Beratungsrunden die erstenArt Leitfäden an die DS-GVO angepasst, um möglichst praktische Hilfe zur Umsetzung zu leisten. Umfassende Klarheit gibt es jedoch noch nicht. Denn es dauert, bis Unternehmen und Aufsichtsbehörden sämtliche Themen abgearbeitet haben, die sich ihnen bei der Implementierung der neuen Prozesse nach der DS-GVO und einer einheitlichen europäischen Auslegung stellen. Es bedarf eines intensiven Austauschs zwischen Unternehmen und Aufsichtsbehörden, um Probleme bei der konkreten Umsetzung der abstrakten Vorgaben schnell zu erkennen und zu lösen. Erst durch solche Dialoge wird man realistisch einschätzen können, was tatsächlich an konkreten Umsetzungsmaßnahmen verpflichtend sein wird. Entweder die Aufsichtsbehörden machen erste Vorschläge in Form von Guidelines oder die Wirtschaft legt vor - ebenfalls in Form von Empfehlungen oder gleich in der Form von Kodizes oder zertifizierbaren Standards, die mit den Aufsichtsbehörden diskutiert und von diesen anerkannt werden können. Ein arbeitsteiliges Vorgehen ist durchaus sinnvoll, um die riesige Menge an offenen Fragen möglichst zeitnah beantworten zu können. Wünschenswert wäre es in diesem Sinne auch, dass das Verfahren zur Kommentierung von Guidelines der Art. 29-Datenschutzgruppe beibehalten und noch ausgebaut wird. Parallel dazu wäre es sinnvoll, wenn es auch in Deutschland vorbereitende Konsultationen für die in der Art. 29-Datenschutzgruppe anstehenden Themen geben würde. Die CNIL führt solche in Frankreich durch, der ICO in der UK. Fragen, die sich den Unternehmen stellen, könnten dann direkt in der Art. 29-Datenschutzgruppe bearbeitet werden. Daneben sind alle europäischen und internationalen Plattformen hilfreich, die den informellen Austausch zwischen Wirtschaft, Aufsicht und Wissenschaft befördern. Eine solche Gelegenheit wird auch wieder die Privacy Conference sein, die die ZD mit Bitkom und der IAPP am 19.9.2017 in Berlin organisiert.

 

Doch wie schon gesagt - Unternehmen können mit der Prüfung und Anpassung ihrer datenverarbeitenden Prozesse nicht warten, bis alle Fragen beantwortet sind. Sie müssen sich jetzt ihren Reim auf die Vorgaben machen und sich auf die Anwendung der Verordnung vorbereiten. Einige sind damit schon recht weit, andere haben noch gar nicht begonnen. Die meisten Unternehmen erwarten jedoch erheblichen einmaligen und auch dauerhaften Mehraufwand für die Einhaltung der Datenschutzvorgaben. Am aufwändigsten schätzen von Bitkom befragte Unternehmen die Umsetzung neuer Pflichten, wie z.B. die Datenübertragbarkeit oder Datenschutz durch Technikgestaltung, ein. Aber auch bereits bekannte Vorgänge bekommen neues Gewicht durch die Pflicht, die rechtmäßige Datenverarbeitung nachweisen zu können. Dadurch steigt der Aufwand für die Dokumentation. Die erhöhten Sanktionen tun ihr Übriges, um zu datenschutzkonformem Handeln zu motivieren. Dabei machen es die sehr allgemein gehaltenen Tatbestände für Datenschutzverstöße auf der einen und die (noch) offenen Auslegungsfragen auf der anderen Seite allerdings schwer, das tatsächliche Risiko solcher Sanktionen einzuschätzen. Auch ist noch nicht klar, wie die Aufsichtsbehörden die Durchsetzung und Kontrolle der Einhaltung der DS-GVO angehen werden.

 

Apropos Rechtsunsicherheit: Nach der DS-GVO ist vor der ePrivacy-VO - und wenn wir die Rechtsunsicherheit für Datenverarbeitungsvorgänge nicht vergrößern wollen, sollten wir dringend noch an dieser neuen Verordnung arbeiten, damit sie die DS-GVO sinnvoll ergänzt und nicht Verwirrung stiftend überlagert. Die unterschiedlichen, aber überlappenden Anwendungsbereiche beider Verordnungen bergen in Kombination mit noch unklaren Definitionen und Anknüpfungspunkten erhebliches Potenzial für Regelungen, die den Datenschutz nicht nennenswert voranbringen, dafür aber bestehende und zukünftige Dienste massiv gefährden. Die Vertraulichkeit der Kommunikation muss besonders geschützt werden, das steht außer Frage. Aber die von der EU-Kommission vorgelegten Vorschläge lassen momentan auch Experten rätseln, welche Datenverarbeitungsvorgänge nun nach der DS-GVO zu beurteilen sind und welche nach der ePrivacy-VO. Gerade mit Blick auf Kommunikationsvorgänge zwischen Maschinen und kombinierte Dienste mit Kommunikations-Elementen und sonstiger Datenverarbeitung ist die Abgrenzung unklar. Es bleibt abzuwarten, ob bis zum 25.5.2018 mehr Klarheit in die ePrivacy-VO gebracht werden kann. Jedenfalls können Unternehmen, die in den Anwendungsbereich der ePrivacy-VO fallen, nach Implementierung der DS-GVO gleich den nächsten Änderungsprozess starten.

 

Zusammengefasst: Intensive Zeiten für diejenigen, die Datenschutz im Unternehmen umsetzen sollen - aber auch sehr spannende!

 

 

 

 


Externe Dienstleister und ärztliche Schweigepflicht - so wird es nichts werden!

 

Dr. Eugen Ehmann

ist Regierungsvizepräsident von Mittelfranken und Mitglied im Rechtsausschuss der Bayerischen Krankenhausgesellschaft.

 

 

ZD 2017, 201   Die Digitalisierung der Medizin schreitet in Deutschland unverändert mühsam voran. Flächendeckende bundesweite Strukturen sind weiterhin Zukunftsmusik. Lediglich regional gibt es durchaus beeindruckende Anwendungen, z.B. im Bereich der Telemedizin (s. dazu etwa www.telemedizin.bayern.de). Eine Schlüsselrolle bei der Digitalisierung kommt externen Dienstleistern zu, die von Haus aus nicht der ärztlichen Schweigepflicht unterliegen, und zwar weder unmittelbar persönlich noch aus einer Gehilfenstellung heraus. Nur sie verfügen in vielen Fällen über das nötige EDV-Know-how.

Umso größer sind die Erwartungen des medizinischen Bereichs an den "Entwurf eines Gesetzes zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen" (Gesetzentwurf der Bundesregierung in BR-Drs. 163/17 v. 17.2.2017). Was der Entwurf verspricht, scheint einen schon seit langem allgemein gehegten Wunsch zu erfüllen: den Wegfall der Strafbarkeit gem. § 203 StGB beim Einschalten außenstehender Dritter, die sich um Einrichtungen, Betrieb und Wartung informationstechnischer Anlagen kümmern (so eine Ankündigung v. 15.2.2017 auf der Webseite des Bundesministeriums für Justiz und Verbraucherschutz in der Rubrik "Aktuelle Gesetzgebungsverfahren").

Vergleichsweise weniger bedeutend mag es wirken, dass gemäß dieser Ankündigung für Berufsgeheimnisträger im Bereich der rechtsberatenden Berufe außerdem normiert werden soll, "unter welchen Voraussetzungen sie Dienstleistungen auslagern dürfen, bei deren Erbringung der Dienstleister Kenntnis von Daten erhält, die der Verschwiegenheit unterliegen." Im Umkehrschluss heißt dies allerdings, dass eine solche Normierung für Berufsgeheimnisträger im Bereich der ärztlichen Schweigepflicht gerade nicht erfolgen wird. Dies stellt für den medizinischen Bereich ein ernstes Problem dar, das die geplante Neuregelung des § 203 StGB für ihn weitgehend entwertet. In einer Gesamtschau entstünde für die Zukunft nämlich folgende Situation:

 

  • Die rechtsberatenden Berufe erfahren rechtliche Unterstützung in zweierlei Hinsicht:

- Für die Übermittlung von Mandantendaten an externe Dienstleister (etwa an Betreiber einer Cloud, aber auch an Altpapierentsorger usw.) besteht künftig eine ausdrückliche gesetzliche Rechtsgrundlage, geschaffen durch eine Ergänzung der jeweiligen berufsrechtlichen Regelungen für Rechtsanwälte, Steuerberater usw., also nicht etwa i.R.v. § 203 StGB. Damit herrscht dann in datenschutzrechtlicher Hinsicht insoweit Klarheit.

- Ergänzend dazu stellt die vorgesehene Änderung von § 203 StGB sicher, dass entsprechende Übermittlungen "befugt" erfolgen, was eine Strafbarkeit nach § 203 StGB ausschließt.

- I.E. besteht für die rechtsberatenden Berufe somit ein Gleichlauf von Datenschutzrecht und Strafrecht. Allenfalls über einige Details, die dabei noch nachgebessert werden könnten, wäre zu reden.

 

  • Die Gesundheitsberufe kommen dagegen i.E. deutlich schlechter weg:

- Eine ausdrückliche gesetzliche Rechtsgrundlage für die Übermittlung von Patientendaten an externe Dienstleister schafft der vorgesehene Gesetzentwurf gerade nicht. Jedenfalls mit der h.M. wird man deshalb sagen müssen, dass eine solche Übermittlung datenschutzrechtlich gesehen zunächst einmal unzulässig ist. Im Einzelfall mag eine wirksame Einwilligung des Patienten Abhilfe schaffen, doch hat die bisherige Praxis gezeigt, dass die Problematik auf diesem Weg nicht zu lösen ist.

- Lediglich die Strafbarkeit gem. § 203 StGB wird für solche Übermittlungen ausgeschlossen.

- Ein Gleichlauf von Datenschutzrecht und Strafrecht besteht für die Gesundheitsberufe somit nicht. Was gem. § 203 StGB nicht strafbar ist, ist deshalb gemäß Datenschutzrecht noch lange nicht erlaubt.

Nun könnte man vielleicht auf den ersten Blick sagen, dass die Neuregelung den Gesundheitsberufen gleichwohl zumindest teilweise helfe, indem sie sie vom Strafbarkeitsrisiko befreit. Bei näherer Betrachtung ist jedoch noch nicht einmal dies der Fall. Denn die Beseitigung der Strafbarkeit gem. § 203 StGB führt nicht dazu, dass eine Sanktionierung, u.U. auch strafrechtlicher Art, nach anderen Vorschriften ausgeschlossen wird. Insoweit bestehen gleich mehrere offene Flanken:

 

  • Zunächst einmal kann der vorliegende Gesetzentwurf nichts daran ändern, dass das Risiko einer Geldbuße gem. Art. 83 Abs. 4 und Abs. 5 DS-GVO vorhanden ist. Es handelt sich dabei um unmittelbar anwendbare Rechtsvorschriften, die einer Abänderung durch nationales Recht nicht zugänglich sind. Wer meint, aus Art. 83 Abs. 7 DS-GVO ergebe sich etwas anderes, wird enttäuscht werden. Zwar kann demnach jeder Mitgliedstaat festlegen, dass gegen Behörden und öffentliche Stellen keine Geldbußen verhängt werden können. Niedergelassenen Ärzten hilft dies jedoch von vornherein nicht weiter, weil sie ganz offensichtlich weder Behörden noch öffentliche Stellen sind. Doch selbst Krankenhäusern in öffentlicher Trägerschaft geht es nicht besser. Als Unternehmen, die im Wettbewerb stehen, sind sie ungeachtet einer nach nationalem Recht als öffentlich-rechtlich anzusehenden Rechtsform europarechtlich weder Behörde noch öffentliche Stelle i.S.v. Art. 83 Abs. 7 DS-GVO.

 

  • Ferner bleibt eine etwaige Strafbarkeit nach dem Datenschutzrecht der Bundesländer unberührt. Die DS-GVO hält in Erwägungsgrund 149 klar fest, dass die Schaffung von strafrechtlichen Normen allein in den Zuständigkeitsbereich der Mitgliedstaaten fällt. Vorhandene Strafbarkeitsnormen bleiben also ungeachtet der Geltung der DS-GVO erhalten. Dies gilt auch für landesrechtliche Strafnormen.

 

  • I.E. hilft der vorliegende Gesetzentwurf den Gesundheitsberufen also überhaupt nicht. Allenfalls werden Angehörige dieser Berufe künftig dann eben nicht auch noch auf der Basis von § 203 StGB verurteilt, sondern "nur noch" auf der Basis landesrechtlicher Datenschutz-Strafnormen, wenn sie Patientendaten an einen externen Dienstleister übermitteln. Einzig eine wirksame individuelle Einwilligung jedes einzelnen betroffenen Patienten könnte dieses Risiko ausschalten. Wer die Verhältnisse im Gesundheitswesen auch nur ansatzweise kennt und etwa weiß, dass in vielen Krankenhäusern weit über ein Drittel aller eingelieferten Patienten bewusstseinsgetrübt oder gar völlig bewusstlos sind, ahnt die Sinnlosigkeit eines solchen Unterfangens.

 

An dieser Stelle mag mancher Leser dazu neigen, dem Ministerialapparat, der den erwähnten Gesetzentwurf vorbereitet hat, schlechte Arbeit oder gar fachliche Unfähigkeit vorzuhalten. Damit würde man diese Akteure allerdings völlig zu Unrecht tadeln. Sie haben sehr wohl selbst erkannt, dass sie den Angehörigen der Gesundheitsberufe durch die vorgesehenen Regelungen nur äußerst begrenzt helfen werden. Zugleich war ihnen bewusst, dass sie auf Bundesebene gar nicht mehr tun können. In der Gesetzesbegründung heißt es bereits im Vorblatt unter Punkt B. ("Lösung"), völlig zutreffend, dass der Bund für das Berufsausübungsrecht der Gesundheitsberufe keine Gesetzgebungskompetenz habe und dass man deshalb für sie durch die Einschränkung der Strafbarkeit nach § 203 StGB Rechtssicherheit nur "so weit als möglich" schaffe.

Mit anderen Worten: Die fehlende Gesetzgebungskompetenz für das Berufsausübungsrecht etwa von Ärzten hindert den Bund daran, in deren Berufsrecht dieselben datenschutzrechtlichen Übermittlungsbefugnisse zu schaffen, die er etwa für Rechtsanwälte in deren Berufsrecht künftig klugerweise vorsieht.

An dieser Stelle wären ganz klar die Bundesländer gefordert. Sie könnten - möglichst durch untereinander abgestimmte Regelungen -- entweder im Berufsrecht die erforderlichen Übermittlungsbefugnisse vorsehen oder für den besonders wichtigen Bereich der Krankenhäuser entsprechende Regelungen in den Landes-Krankenhausgesetzen schaffen. Stattdessen ist zu hören, dass mit dem Argument, neben der DS-GVO seien entsprechende (vereinzelt durchaus vorhandene!) Regelungen künftig überflüssig, diese sogar zur Streichung anstehen.

Dies zeugt von zu großem Optimismus, was die Leistungsfähigkeit der DS-GVO im Gesundheitswesen angeht. Sie geht davon aus, dass Gesundheitsdaten zunächst einmal einem generellen Verarbeitungsverbot unterliegen (s. Art. 9 Abs. 1 DS-GVO). Davon sieht sie in Art. 9 Abs. 2 DS-GVO eine ganze Reihe von Ausnahmen vor. Zu diesen Ausnahmen gehört in lit. h) auch die Verarbeitung für Zwecke der medizinischen Diagnostik, Versorgung und Behandlung. Allerdings klärt die Verordnung weder in ihrem verfügenden Teil noch in den Erwägungsgründen, ob darunter auch die Einschaltung externer EDV-Dienstleister fällt. Andererseits gibt sie (besonders deutlich in Art. 9 Abs. 3, aber auch Abs. 4 DS-GVO) den Mitgliedstaaten erhebliche Regelungsspielräume. Sie gälte es zu nutzen, um endlich Rechtssicherheit für die Einschaltung externer EDV-Dienstleister (aber auch anderer externer Dienstleister wie Altpapierentsorger) zu schaffen.

Die Lage ist ernst, Abhilfe dringend geboten. Dies hat auch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder erkannt. In einer Entschließung v.15.3.2017 konstatiert sie zutreffend, dass u.a. kaum noch ein Arzt über das nötige Spezialwissen verfüge, um moderne Informations-und Kommunikationstechnik selbst zu warten und vollständig gegen neue Bedrohungen abzusichern. Deshalb wolle der vorliegende Gesetzentwurf "eine Praxis legalisieren, die aus Gründen der Praktikabilität längst etabliert ist." Gemeint ist damit die Praxis, externe Dienstleister einzuschalten.

Gegen dieses Ziel hat die Konferenz offensichtlich prinzipiell nichts. Dies ist zu begrüßen, wobei allerdings zugleich kritisch anzumerken ist, dass das Agieren mancher Aufsichtsbehörde in der Praxis insbesondere auf der Basis der "Orientierungshilfe Krankenhausinformationssysteme" in der Vergangenheit ein solches Verständnis für die Nöte der Praxis keineswegs immer erkennen ließ.

Umso mehr ist es uneingeschränkt gutzuheißen, dass die Entschließung folgende klare Sätze enthält: "Es muss Berufsgeheimnisträgern möglich sein, externe Dienstleister zurate zu ziehen. Im Sinne der ungestörten Berufsausübung der Berufsgeheimnisträger und des Rechts auf informationelle Selbstbestimmung der Betroffenen sollten die Pflichten, die den Berufsgeheimnisträger dabei aus unterschiedlichen Rechtsgebieten treffen, aber so weit als möglich gleichlaufend ausgestaltet werden." Der Bundesgesetzgeber, an den die Entschließung ausdrücklich adressiert ist, kann dies aber jedenfalls im Gesundheitswesen alleine nicht bewirken. Die Landesgesetzgeber müssen vielmehr mit ins Boot und zwar möglichst schnell und möglichst mit inhaltlich parallelen Regelungen. Es wird sich zeigen, ob die vorhandenen föderalistischen Strukturen dies in angemessener Zeit und mit angemessenem Inhalt leisten können.