Externe Dienstleister und ärztliche Schweigepflicht - so wird es nichts werden!

 

Dr. Eugen Ehmann

ist Regierungsvizepräsident von Mittelfranken und Mitglied im Rechtsausschuss der Bayerischen Krankenhausgesellschaft.

 

 

ZD 2017, 201   Die Digitalisierung der Medizin schreitet in Deutschland unverändert mühsam voran. Flächendeckende bundesweite Strukturen sind weiterhin Zukunftsmusik. Lediglich regional gibt es durchaus beeindruckende Anwendungen, z.B. im Bereich der Telemedizin (s. dazu etwa www.telemedizin.bayern.de). Eine Schlüsselrolle bei der Digitalisierung kommt externen Dienstleistern zu, die von Haus aus nicht der ärztlichen Schweigepflicht unterliegen, und zwar weder unmittelbar persönlich noch aus einer Gehilfenstellung heraus. Nur sie verfügen in vielen Fällen über das nötige EDV-Know-how.

Umso größer sind die Erwartungen des medizinischen Bereichs an den "Entwurf eines Gesetzes zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen" (Gesetzentwurf der Bundesregierung in BR-Drs. 163/17 v. 17.2.2017). Was der Entwurf verspricht, scheint einen schon seit langem allgemein gehegten Wunsch zu erfüllen: den Wegfall der Strafbarkeit gem. § 203 StGB beim Einschalten außenstehender Dritter, die sich um Einrichtungen, Betrieb und Wartung informationstechnischer Anlagen kümmern (so eine Ankündigung v. 15.2.2017 auf der Webseite des Bundesministeriums für Justiz und Verbraucherschutz in der Rubrik "Aktuelle Gesetzgebungsverfahren").

Vergleichsweise weniger bedeutend mag es wirken, dass gemäß dieser Ankündigung für Berufsgeheimnisträger im Bereich der rechtsberatenden Berufe außerdem normiert werden soll, "unter welchen Voraussetzungen sie Dienstleistungen auslagern dürfen, bei deren Erbringung der Dienstleister Kenntnis von Daten erhält, die der Verschwiegenheit unterliegen." Im Umkehrschluss heißt dies allerdings, dass eine solche Normierung für Berufsgeheimnisträger im Bereich der ärztlichen Schweigepflicht gerade nicht erfolgen wird. Dies stellt für den medizinischen Bereich ein ernstes Problem dar, das die geplante Neuregelung des § 203 StGB für ihn weitgehend entwertet. In einer Gesamtschau entstünde für die Zukunft nämlich folgende Situation:

 

  • Die rechtsberatenden Berufe erfahren rechtliche Unterstützung in zweierlei Hinsicht:

- Für die Übermittlung von Mandantendaten an externe Dienstleister (etwa an Betreiber einer Cloud, aber auch an Altpapierentsorger usw.) besteht künftig eine ausdrückliche gesetzliche Rechtsgrundlage, geschaffen durch eine Ergänzung der jeweiligen berufsrechtlichen Regelungen für Rechtsanwälte, Steuerberater usw., also nicht etwa i.R.v. § 203 StGB. Damit herrscht dann in datenschutzrechtlicher Hinsicht insoweit Klarheit.

- Ergänzend dazu stellt die vorgesehene Änderung von § 203 StGB sicher, dass entsprechende Übermittlungen "befugt" erfolgen, was eine Strafbarkeit nach § 203 StGB ausschließt.

- I.E. besteht für die rechtsberatenden Berufe somit ein Gleichlauf von Datenschutzrecht und Strafrecht. Allenfalls über einige Details, die dabei noch nachgebessert werden könnten, wäre zu reden.

 

  • Die Gesundheitsberufe kommen dagegen i.E. deutlich schlechter weg:

- Eine ausdrückliche gesetzliche Rechtsgrundlage für die Übermittlung von Patientendaten an externe Dienstleister schafft der vorgesehene Gesetzentwurf gerade nicht. Jedenfalls mit der h.M. wird man deshalb sagen müssen, dass eine solche Übermittlung datenschutzrechtlich gesehen zunächst einmal unzulässig ist. Im Einzelfall mag eine wirksame Einwilligung des Patienten Abhilfe schaffen, doch hat die bisherige Praxis gezeigt, dass die Problematik auf diesem Weg nicht zu lösen ist.

- Lediglich die Strafbarkeit gem. § 203 StGB wird für solche Übermittlungen ausgeschlossen.

- Ein Gleichlauf von Datenschutzrecht und Strafrecht besteht für die Gesundheitsberufe somit nicht. Was gem. § 203 StGB nicht strafbar ist, ist deshalb gemäß Datenschutzrecht noch lange nicht erlaubt.

Nun könnte man vielleicht auf den ersten Blick sagen, dass die Neuregelung den Gesundheitsberufen gleichwohl zumindest teilweise helfe, indem sie sie vom Strafbarkeitsrisiko befreit. Bei näherer Betrachtung ist jedoch noch nicht einmal dies der Fall. Denn die Beseitigung der Strafbarkeit gem. § 203 StGB führt nicht dazu, dass eine Sanktionierung, u.U. auch strafrechtlicher Art, nach anderen Vorschriften ausgeschlossen wird. Insoweit bestehen gleich mehrere offene Flanken:

 

  • Zunächst einmal kann der vorliegende Gesetzentwurf nichts daran ändern, dass das Risiko einer Geldbuße gem. Art. 83 Abs. 4 und Abs. 5 DS-GVO vorhanden ist. Es handelt sich dabei um unmittelbar anwendbare Rechtsvorschriften, die einer Abänderung durch nationales Recht nicht zugänglich sind. Wer meint, aus Art. 83 Abs. 7 DS-GVO ergebe sich etwas anderes, wird enttäuscht werden. Zwar kann demnach jeder Mitgliedstaat festlegen, dass gegen Behörden und öffentliche Stellen keine Geldbußen verhängt werden können. Niedergelassenen Ärzten hilft dies jedoch von vornherein nicht weiter, weil sie ganz offensichtlich weder Behörden noch öffentliche Stellen sind. Doch selbst Krankenhäusern in öffentlicher Trägerschaft geht es nicht besser. Als Unternehmen, die im Wettbewerb stehen, sind sie ungeachtet einer nach nationalem Recht als öffentlich-rechtlich anzusehenden Rechtsform europarechtlich weder Behörde noch öffentliche Stelle i.S.v. Art. 83 Abs. 7 DS-GVO.

 

  • Ferner bleibt eine etwaige Strafbarkeit nach dem Datenschutzrecht der Bundesländer unberührt. Die DS-GVO hält in Erwägungsgrund 149 klar fest, dass die Schaffung von strafrechtlichen Normen allein in den Zuständigkeitsbereich der Mitgliedstaaten fällt. Vorhandene Strafbarkeitsnormen bleiben also ungeachtet der Geltung der DS-GVO erhalten. Dies gilt auch für landesrechtliche Strafnormen.

 

  • I.E. hilft der vorliegende Gesetzentwurf den Gesundheitsberufen also überhaupt nicht. Allenfalls werden Angehörige dieser Berufe künftig dann eben nicht auch noch auf der Basis von § 203 StGB verurteilt, sondern "nur noch" auf der Basis landesrechtlicher Datenschutz-Strafnormen, wenn sie Patientendaten an einen externen Dienstleister übermitteln. Einzig eine wirksame individuelle Einwilligung jedes einzelnen betroffenen Patienten könnte dieses Risiko ausschalten. Wer die Verhältnisse im Gesundheitswesen auch nur ansatzweise kennt und etwa weiß, dass in vielen Krankenhäusern weit über ein Drittel aller eingelieferten Patienten bewusstseinsgetrübt oder gar völlig bewusstlos sind, ahnt die Sinnlosigkeit eines solchen Unterfangens.

 

An dieser Stelle mag mancher Leser dazu neigen, dem Ministerialapparat, der den erwähnten Gesetzentwurf vorbereitet hat, schlechte Arbeit oder gar fachliche Unfähigkeit vorzuhalten. Damit würde man diese Akteure allerdings völlig zu Unrecht tadeln. Sie haben sehr wohl selbst erkannt, dass sie den Angehörigen der Gesundheitsberufe durch die vorgesehenen Regelungen nur äußerst begrenzt helfen werden. Zugleich war ihnen bewusst, dass sie auf Bundesebene gar nicht mehr tun können. In der Gesetzesbegründung heißt es bereits im Vorblatt unter Punkt B. ("Lösung"), völlig zutreffend, dass der Bund für das Berufsausübungsrecht der Gesundheitsberufe keine Gesetzgebungskompetenz habe und dass man deshalb für sie durch die Einschränkung der Strafbarkeit nach § 203 StGB Rechtssicherheit nur "so weit als möglich" schaffe.

Mit anderen Worten: Die fehlende Gesetzgebungskompetenz für das Berufsausübungsrecht etwa von Ärzten hindert den Bund daran, in deren Berufsrecht dieselben datenschutzrechtlichen Übermittlungsbefugnisse zu schaffen, die er etwa für Rechtsanwälte in deren Berufsrecht künftig klugerweise vorsieht.

An dieser Stelle wären ganz klar die Bundesländer gefordert. Sie könnten - möglichst durch untereinander abgestimmte Regelungen -- entweder im Berufsrecht die erforderlichen Übermittlungsbefugnisse vorsehen oder für den besonders wichtigen Bereich der Krankenhäuser entsprechende Regelungen in den Landes-Krankenhausgesetzen schaffen. Stattdessen ist zu hören, dass mit dem Argument, neben der DS-GVO seien entsprechende (vereinzelt durchaus vorhandene!) Regelungen künftig überflüssig, diese sogar zur Streichung anstehen.

Dies zeugt von zu großem Optimismus, was die Leistungsfähigkeit der DS-GVO im Gesundheitswesen angeht. Sie geht davon aus, dass Gesundheitsdaten zunächst einmal einem generellen Verarbeitungsverbot unterliegen (s. Art. 9 Abs. 1 DS-GVO). Davon sieht sie in Art. 9 Abs. 2 DS-GVO eine ganze Reihe von Ausnahmen vor. Zu diesen Ausnahmen gehört in lit. h) auch die Verarbeitung für Zwecke der medizinischen Diagnostik, Versorgung und Behandlung. Allerdings klärt die Verordnung weder in ihrem verfügenden Teil noch in den Erwägungsgründen, ob darunter auch die Einschaltung externer EDV-Dienstleister fällt. Andererseits gibt sie (besonders deutlich in Art. 9 Abs. 3, aber auch Abs. 4 DS-GVO) den Mitgliedstaaten erhebliche Regelungsspielräume. Sie gälte es zu nutzen, um endlich Rechtssicherheit für die Einschaltung externer EDV-Dienstleister (aber auch anderer externer Dienstleister wie Altpapierentsorger) zu schaffen.

Die Lage ist ernst, Abhilfe dringend geboten. Dies hat auch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder erkannt. In einer Entschließung v.15.3.2017 konstatiert sie zutreffend, dass u.a. kaum noch ein Arzt über das nötige Spezialwissen verfüge, um moderne Informations-und Kommunikationstechnik selbst zu warten und vollständig gegen neue Bedrohungen abzusichern. Deshalb wolle der vorliegende Gesetzentwurf "eine Praxis legalisieren, die aus Gründen der Praktikabilität längst etabliert ist." Gemeint ist damit die Praxis, externe Dienstleister einzuschalten.

Gegen dieses Ziel hat die Konferenz offensichtlich prinzipiell nichts. Dies ist zu begrüßen, wobei allerdings zugleich kritisch anzumerken ist, dass das Agieren mancher Aufsichtsbehörde in der Praxis insbesondere auf der Basis der "Orientierungshilfe Krankenhausinformationssysteme" in der Vergangenheit ein solches Verständnis für die Nöte der Praxis keineswegs immer erkennen ließ.

Umso mehr ist es uneingeschränkt gutzuheißen, dass die Entschließung folgende klare Sätze enthält: "Es muss Berufsgeheimnisträgern möglich sein, externe Dienstleister zurate zu ziehen. Im Sinne der ungestörten Berufsausübung der Berufsgeheimnisträger und des Rechts auf informationelle Selbstbestimmung der Betroffenen sollten die Pflichten, die den Berufsgeheimnisträger dabei aus unterschiedlichen Rechtsgebieten treffen, aber so weit als möglich gleichlaufend ausgestaltet werden." Der Bundesgesetzgeber, an den die Entschließung ausdrücklich adressiert ist, kann dies aber jedenfalls im Gesundheitswesen alleine nicht bewirken. Die Landesgesetzgeber müssen vielmehr mit ins Boot und zwar möglichst schnell und möglichst mit inhaltlich parallelen Regelungen. Es wird sich zeigen, ob die vorhandenen föderalistischen Strukturen dies in angemessener Zeit und mit angemessenem Inhalt leisten können.

                                                

 

 

 

 


Transparente Datenschutzhinweise -- den inhärenten Widerspruch auflösen!

 

Dr. Astrid Auer-Reinsdorff

 ist Rechtsanwältin und Fachanwältin für IT-Recht, Berlin und Lissabon, Vorsitzende der davit sowie Mitglied des Wissenschaftsbeirats der ZD.

 

 

 

ZD, 2017, 149     Bereits im Rahmen der IT-Gipfel-Konferenz 2015 präsentierte die vom BMJV und IBM geleitete Plattform "Verbraucherschutz in der Digitalen Welt" den One-Pager als Muster für transparente Datenschutzinformationen im Internet. Das veröffentlichte Material besteht aus einem Muster für transparente Datenschutzhinweise sowie Erläuterungen für den Verwender der Datenschutzhinweise. Das Muster gliedert die Informationen im Wesentlichen in drei Bereiche:

  • Welche Daten werden wie erhoben?
  • Für welche Zwecke werden die Daten verarbeitet?
  • Welche Rechte stehen dem Betroffenen zu?

und optional:

  • Welche Datenschutzzertifizierungen und Selbstverpflichtungen hat sich der Verwender auferlegt?

Neben dem BMJV hat die DTAG den One-Pager nachfolgend umgesetzt. Dabei wird gleich zu Beginn des One-Pagers herausgestellt, dass es sich lediglich um eine vereinfachte und übersichtliche Darstellung zu den weiterhin detaillierten erforderlichen Datenschutzerklärungen handelt und jeweils auf die weitergehenden Informationen verlinkt wird.

In dem sich anschließenden Gipfeljahr 2016 hat Zalando sich nun im Rahmen der Plattformarbeit daran gemacht, ein Tool zu entwickeln, welches es erlaubt, durch einen Multiple-Choice-Fragenkatalog automatisiert einen One-Pager zu generieren, der Hinweise zu den Kernthemen der Datenschutzanforderungen gibt und mittels Grafiken die jeweiligen Datenschutzthemen symbolisiert.

Überlegen wir einmal, welchen Zweck Datenschutzerklärungen erfüllen sollen und welche Anforderungen die Datenschutzgrundverordnung (DS-GVO) stellt, und setzen dies in den Kontext, die Verbraucher und Betroffenen "fit für die digitale Welt" zu machen, nicht technisch, aber datenschutzrechtlich. Dabei unterliegen alle Anwendungen den Grundsätzen des Datenschutzes und die allgemeine Erklärung, dass der Verwender sich diesen verpflichtet zu fühlen hat, ist eine keinen -- über die ohnehin bestehende Verpflichtung hinausgehenden -- Mehrwert bringende Information.

Ausgangspunkt ist aktuell noch § 13 TMG, wonach der Verwender den Betroffenen über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs in allgemein verständlicher Form zu unterrichten hat und diese Unterrichtung jederzeit abrufbar halten muss. Bei der Information an Nutzer von grenzüberschreitenden Internetangeboten hat der Anbieter die nationalen Umsetzungsregelungen zur RL 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DS-RL, ABl. EG Nr. L 281, S. 31) zu beachten.

Art. 12 DS-GVO betont die Form der Information und stellt nachfolgende Anforderungen. Nach Absatz 1 müssen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden, schriftlich, elektronisch oder auch mündlich. Art. 12 Abs. 7 DS-GVO führt die Möglichkeit ein, die Informationen mittels standardisierter Bildsymbole darzustellen, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln, wobei nach Absatz 8 der Kommission die Befugnis übertragen ist, über delegierte Rechtsakte die Informationen zu bestimmen, die mittels Bildsymbolen darzustellen sind.

Die seinerzeit vom Europäischen Parlament entwickelten Bildsymbole (Standpunkt des EP v. 12.3.2014) sind nicht aufgenommen worden und im Hinblick auf Sinn und Zweck der Informationspflichten erscheinen Icons zur Kennzeichnung anderer Informationsinhalte erforderlich. Die damals vorgeschlagenen Symbole erhielten jeweils negative Bestätigungen, wie zum Beispiel: "Es werden keine personenbezogenen Daten unverschlüsselt aufbewahrt." Nutzerfreundlicher ist die jeweils positive Information: "Personenbezogene Daten werden verschlüsselt aufbewahrt.", ggf. unter Hinweis auf entsprechende Zertifizierungen oder Verfahren als ergänzende Information. Der damals vorgeschlagene Hinweis: "Es werden nicht mehr personenbezogene Daten gespeichert, als für die spezifischen Zwecke der Verarbeitung erforderlich sind." könnte lauten: "Die freiwillige Angabe von Daten, die über den erforderlichen Zweck der Verarbeitung hinausgehen, ist möglich."

Dreh- und Angelpunkt ist damit die Frage nach der leicht verständlichen und transparenten Darstellung der erforderlichen Informationen, soweit sie über die rechtlichen Anforderungen nach dem Zweck der Datenverarbeitung hinausgehen und/oder für die Betroffenen besondere Risiken begründen.

Aktuell ist im Online-Marketing die Allzweckwaffe für erfolgreiche Kampagnen schlechthin eine One-Pager-Website, welche Produkte, Services, Veranstaltungen etc. auf das Kernthema reduziert und dessen wichtigste Fakten präsentiert. Kennzeichnend für One-Pager ist die klare Abgrenzung einzelner Themenbereiche durch unterschiedliche grafische Darstellungen. Sie eigenen sich daher bestens für die Darstellung einer überschaubaren Menge an Informationen zu einem klar eingegrenzten Thema. Idealerweise wird das Nutzererlebnis durch die außergewöhnliche Bildsprache zum Erlebnis und erreicht so, dass die vermittelten Informationen länger im Gedächtnis bleiben.

Die Herausforderung ist also, durchaus komplexere Informationen zur Datenerhebung und -nutzung leicht erfassbar und einprägsam darzustellen. Bei der Entwicklung der vereinfachten Darstellungsform wird der Betroffene zukünftig von der Einhaltung der Grundsätze Privacy-by-Design und Privacy-by-Default des jeweiligen Angebots ausgehen dürfen. Zum Beispiel ist die Nicht-Weitergabe seiner Daten an Dritte außerhalb des Nutzungswecks daher keine darzustellende Besonderheit, sondern der Normalfall. Der Betroffene ist durch die Bildsprache vielmehr darauf hinzuweisen, wenn Datennutzungen geplant sind, die ein verständiger Durchschnittsverbraucher nicht erwarten würde.

Um die Informationspflichten auch gegenüber Kindern erfüllen zu können, ist eine weitgehende Vereinfachung zu erreichen. Hierbei ist es nachhaltig nicht allein die Aufgabe der Anbieter, Regeln und Darstellungsformen zu entwickeln und zu erklären, sondern eine allgemeine Aufgabe der Gesellschaft, Kinder über die Gebote und Verbote zu informieren, vergleichbar den Verkehrsregeln. Hier helfen möglicherweise Präsentationsformen mittels Video-Tutorials, mit denen Kinder in vielen Anwendungsbereichen versiert lernen.

Das One-Pager-Muster und -Tool unterstützen Verwender bei der strukturierten Analyse der Themen, welche sie zur Bereithaltung der erforderlichen Informationen zu ihrem Angebot betrachten müssen. Das Ergebnis ist eine Information, welche auf einen Blick die wichtigsten Eckdaten an den Betroffenen übermittelt. Dabei kann es im Sinne der Wahrung der Rechte der Betroffenen nur hilfreich sein, wenn sich standardisierte Prozesse und Darstellungsformen herausbilden, die wie auch in anderen Lebensbereichen ein schnelles Erfassen der Informationen erlauben. Dabei darf nicht außer Acht bleiben, dass aktuell wegen textlastiger umfangreicher Datenschutzhinweise und -erklärungen die Betroffenen die Informationen oftmals gar nicht wahrnehmen. Das begrenzte Platzangebot auf Endgeräten zur Darstellung der Datenschutzhinweise führt aktuell vielfach zum Weglassen oder Überspringen jeglicher Information mit den damit verbundenen Risiken.

Nun ist gegen den One-Pager-Ansatz hervorgebracht worden, dieser könne ausführliche Datenschutzhinweise nicht ersetzen. Dies sollte aber das Ziel aller gemeinsamen Anstrengungen für mehr Transparenz und eine leicht zu erfassende Informationsvermittlung sein. Dabei erfüllt der Ansatz der Darstellung mit übergeordneten Fragen wie bei FAQ-Listen die Anwendererwartung.

Diese Nutzerführung erleichtert das Auffinden von Hinweisen, die dem Betroffenen bei der Nutzung wichtig sind. Das Etablieren gleichförmiger Hinweise erlaubt eine weitergehende Transparenz, da der Nutzer allmählich lernt, welche Hinweise er an welcher Stelle erwarten darf, und auf den ersten Blick erkennt, wenn eine Anwendung noch nicht einmal diese Grundinformationen leicht erfassbar anbietet. Dem Betroffenen reicht regelmäßig die Information aus, dass zum Beispiel ein Analysetool zum Einsatz kommt, und dazu die weitere Information, dass keine Übermittlung in Drittstaaten erfolgt. Auf diese Information darf sich der Nutzer verlassen und der Anbieter ist verantwortlich, wenn seine Information unzutreffend war. Die Arbeitsweise von Analysetools, Cookies etc. bedarf keiner Erläuterung in den Datenschutzhinweisen, aber der Umfang und die Art der Datenverarbeitung, zum Beispiel anonym und die anschließende Löschung.

Die Nutzer sind es im Alltag gewohnt, durch Icons im Sinne von Warnhinweisen oder aber auch Gütemerkmalen geleitet zu werden. Hier ist wohl aber noch Entwicklungsaufwand nötig, um eine europäisch einheitliche Symbolsprache im Datenverkehr zu etablieren. Den bisherigen Versuchen ist die erforderliche Eindeutigkeit und schnelle Erfassbarkeit der Aussage noch nicht gelungen.

 

 

 


DSAnpUG-EU: Ist der sperrige Name hier schon Programm?

Prof. Dr. Marcus Helfrich

ist Professor für Wirtschaftsrecht und Studienleiter Master an der FOM Hochschule für Oekonomie und Management sowie Rechtsanwalt in München.

 

 

 

ZD 2017, 97       Beobachter der jüngsten Entwicklungen des Datenschutzrechts können den Eindruck gewinnen, dass spätestens seit dem bereits ersten „geleakten" Roh-Entwurf der Novelle des BDSG „operative Hektik" ausgebrochen ist, um noch vor der Bundestagswahl das nationale Datenschutzrecht umzustellen.

 

Seit 1.2.2017 liegt nun der Gesetzentwurf der Bundesregierung für ein „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU" vor. Somit sollte - endlich - eine seriöse Auseinandersetzung mit dem Vorhaben der Bundesregierung möglich sein, das nationale Datenschutzrecht an die europarechtlichen Vorgaben der VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung - DS-GVO) sowie der RL (EU) 2016/680 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (JI-RL) anzupassen.

 

Das Gebot der ernsthaften Auseinandersetzung kann nicht deutlich genug hervorgehoben werden. Die Bundesregierung will die Gelegenheit ergreifen, nicht nur dem in der DS-GVO enthaltenen Auftrag nachzukommen, auf nationaler Ebene spezifische Instrumentarien vorzusehen, damit die Vorgaben der Verordnung in der Datenschutzpraxis durchgesetzt werden können. Dies betrifft die Umgestaltung der bisherigen Aufgaben und Zuständigkeiten der Aufsichtsbehörden sowie die Schaffung geeigneter Sanktionen, die in Ergänzung zu den in der DS-GVO enthaltenen Bußgeldtatbeständen die Einhaltung der Datenschutzbestimmungen sichern sollen.

 

Über diese in der DS-GVO vorgesehenen notwendigen Maßnahmen hinaus setzt sich die Bundesregierung zum Ziel, die von ihr identifizierten „Öffnungsklauseln" der Verordnung zur Ausgestaltung des nach ihrer Vorstellung fortbestehenden nationalen Datenschutzrechts auszuschöpfen.

 

Schließlich folgt die Bundesregierung mit dem Gesetzentwurf der Richtlinienvorgabe, zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten sowie zu Zwecken der Strafvollstreckung geeignete Mittel im Gesetzgebungsverfahren vorzusehen.

 

Ziel des Gesetzentwurfs ist u.a., „ein reibungsloses Zusammenspiel" der DS-GVO und der JI-RL „mit dem stark ausdifferenzierten deutschen Datenschutzrecht sicherzustellen". Die Lösung dieser Aufgabe wird allerdings nicht in der Abschaffung des BDSG gesehen. Vielmehr soll an die Stelle des bislang 48 Bestimmungen umfassenden BDSG ein neues BDSG mit nunmehr 85 Vorschriften treten. Bereits dieser Vergleich lässt erste Skepsis aufkommen, ob das ambitionierte Ziel der Schaffung von Rechtssicherheit auf diesem Weg erreicht werden kann.

 

Zunächst muss man sich jedoch die datenschutzrechtliche Situation vor Augen führen. Mehr als 20 Jahre wurde das Datenschutzrecht in Deutschland durch die Zielvorgaben der RL 95/46/EG (Datenschutzrichtlinie - DS-RL) geprägt. In dieser Zeit entwickelte sich ein „stark ausdifferenziertes" Datenschutzrecht. In ähnlicher Weise und in unterschiedlicher Intensität widmeten sich die übrigen europäischen Staaten dem Datenschutz. Die auftretenden regionalen Besonderheiten führten dazu, dass die Informationsgesellschaft zunehmend mit dem Problem der unterschiedlichen datenschutzrechtlichen Regime in Europa konfrontiert ist. Weder die Aufsichtsbehörden noch die Rechtsprechung konnten ein Auseinanderdriften von datenschutzrechtlichem Anspruch und digitaler Wirklichkeit verhindern oder auch nur verlangsamen.

 

Mit der nun vorliegenden DS-GVO soll eine einheitliche Grundlage für die Verarbeitung perso-nenbezogener Daten geschaffen werden. Das Ziel ist folglich: nationale Eigenheiten durch eine europäische Regelung überwinden.

 

Dem im Europarecht erfahrenen Juristen ist klar: Die Verordnung hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich. Sie gilt unmittelbar in jedem Mitgliedstaat.

 

Die DS-GVO ist damit das geeignete Mittel, innerhalb des Binnenmarkts Recht zu vereinheitlichen. Damit wird Rechtssicherheit gestiftet. Der Europäische Gerichtshof hat seit dem Jahr 1964 den Anwendungsvorrang des Gemeinschaftsrechts gegenüber dem nationalen Recht betont und ebenfalls deutlich gemacht, dass den Mitgliedstaaten gerade dort keine Regelungskompetenz mehr zukommt, wo die Europäische Union auf der Grundlage der bestehenden Verträge ihre Kompetenz rechtmäßig ausübt. Dies bedeutet auch, dass der nationale Gesetzgeber gerade nicht befugt ist, europäische Vorschriften schlicht durch nationale Vorschriften zu wiederholen und so den Eindruck zu erwecken, er besitze diesbezüglich noch eine Kompetenz.

 

Bereits die erste eingehende Lektüre des nun vorliegenden Gesetzentwurfs lässt an vielen Stellen Zweifel aufkommen, ob in der Entstehungsphase des Entwurfs eine ernsthafte Beschäftigung mit europarechtlichen Grundsätzen überhaupt stattgefunden hat. Einige Beispiele mögen dies belegen:

 

  • Mit § 4 BDSG-neu soll die Videoüberwachung geregelt werden. Art. 6 Abs. 1 DS-GVO regelt jedoch abschließend die Voraussetzungen für die Rechtmäßigkeit der Verarbeitung. Die im Entwurf vorgesehenen Tatbestände unterscheiden sich nicht von den in Art. 6 Abs. 1 lit. d, e oder f DS-GVO vorgesehenen. Der Gesetzentwurf lässt nicht erkennen, worin eine mögliche „spezifischere Bestimmung" im Sinne des Art. 6 Abs. 2 DS-GVO liegen möge, wenn man einmal davon absieht, dass als Beispiel für öffentlich zugängliche Anlagen u.a. Einkaufszentren oder Parkplätze genannt sind. Wollte der Gesetzgeber hier von der Öffnungsklausel des Art. 6 Abs. 2 DS-GVO Gebrauch machen, hätte er im Hinblick auf die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, eine im Rahmen des Art. 6 Abs. 1 DS-GVO spezifischere Bestimmung gestalten müssen. Dies ist erkennbar aber nicht der Fall. Vielmehr werden Allgemeinplätze des bisher geltenden Rechts aufrechterhalten.

 

  • § 22 BDSG-neu setzt sich mit der Verarbeitung besonderer Kategorien personenbezogener Daten auseinander. Die Vorschrift wiederholt den Regelungsgehalt des Art. 9 DS-GVO. Teilweise deckt sich der Wortlaut sogar mit der europäischen Vorschrift.

 

  • Mit § 23 BDSG-neu will der Entwurf die Zweckänderung normativ fassen. Auch hier verkennt der Regierungsentwurf, dass sämtliche Tatbestände, die eine Zweckänderung durch öffentliche Stellen beschreiben und regeln sollen, bereits durch die DS-GVO erfasst sind. Eine erneute Regelung durch den Bundesgesetzgeber ist nicht nur ein Verstoß gegen geltendes EU-Recht, sondern führt zu zusätzlicher Rechtsunsicherheit, da die Frage aufgeworfen wird, ob nicht im Detail ein überschießender Regelungsgehalt in der nationalen Vorschrift gefunden werden könnte.

 

  • Gänzlich verfehlt ist der Versuch, die in §§ 28a, 28b BDSG enthaltenen Regelungen zu Datenübermittlungen an Auskunfteien und Scoring zu retten. Indes regelt die DS-GVO die Weitergabe personenbezogener Daten im Rahmen des Art. 6 Abs. 1 lit. f DS-GVO sowie die Erstellung von Profilen („Profiling") abschließend in Art. 22 DS-GVO. Auch in diesem Zusammenhang hilft die intensivere Beschäftigung mit dem Wortlaut der Verordnung weiter, da Art. 4 Nr. 4 DS-GVO den Begriff des "Profiling" definiert und auch die Vorhersage künftigen Verhaltens darunter fasst. In diesem Zusammenhang lässt der Gesetzentwurf wiederum nicht erkennen, auf welchen Gesichtspunkt der Gesetzgeber eine Regelungskompetenz nach Art. 6 Abs. 2 DS-GVO stützen möchte.

 

  • Wer im Datenschutzrecht über ein gutes Gedächtnis verfügt, wird sich an das Trauerspiel erinnern, das mit dem Versuch einer Regelung des Beschäftigtendatenschutzes im Jahr 2010 verbunden war. Verdienstvoll ist deshalb, wenn die Bundesregierung sich nunmehr erneut (mutig) mit dem Beschäftigtendatenschutz befasst. Unverständlich ist allerdings, dass mit § 26 BDSG-neu eine Regelung geschaffen werden soll, die nicht nur die Probleme des bislang geltenden § 32 BDSG fortführt, indem beispielsweise nach dem Wortlaut der Vorschrift immer noch keine Maßnahmen der präventiven Compliance möglich sind. Zudem schafft die Vorschrift neue Probleme, da sie bereits begrifflich die Abgrenzung zwischen dem datenschutzrechtlich „Betroffenen" und dem kollektivrechtlichen Begriff des Arbeitnehmers verwischt. So lässt § 26 BDSG-neu offenbar sämtliche leitenden Angestellten, obgleich auch diese „beschäftigt" sind, von der Vorschrift unberührt. In der vorliegenden Fassung dürfte § 26 BDSG-neu wohl den Anforderungen des Art. 88 DS-GVO nicht genügen. Dieser gestattet den Mitgliedstaaten lediglich, spezifischere Vorschriften zu erlassen, die jedoch den in der Verordnung angelegten Rahmen zu beachten haben.

 

  • Positiv ist im Entwurf allerdings zu vermerken, dass der Gesetzentwurf von dem Gestaltungsrecht Gebrauch machen will, über die in Art. 37 Abs. 1 DS-GVO normierten Fallgruppen für die Benennung eines Datenschutzbeauftragten hinaus die im bisherigen § 4f Abs. 1 BDSG angelegten Pflichten zur Benennung eines betrieblichen Datenschutzbeauftragten fortzuführen. Dies ist nicht nur europarechtlich zulässig, sondern zudem auch sinnvoll.

 

Der Entwurf fordert eine intensive Diskussion. Diese muss nicht zuletzt auch deshalb mit der gebotenen Seriosität geführt werden, weil nach besten Kräften danach gestrebt werden sollte, auf nationaler Ebene nur dort datenschutzrechtliche Regelungen (neu) zu schaffen, wo dies unabdingbar ist. Damit wird zugleich das Risiko auf ein erträgliches Maß reduziert, die Geltung und die Reichweite nationaler Vorschriften der Rechtsprechung des Europäischen Gerichtshofs zu überlassen.

 

Eigentlich scheint dies doch sehr einfach: Der Bundesgesetzgeber möge überall dort von seiner Regelungskompetenz Gebrauch machen, wo die Verordnung und die Richtlinie ihn dazu auffordern.

 

In allen anderen Bereichen sollte der Paradigmenwechsel endlich erkannt und akzeptiert werden. Ab dem 25.5.2018 gilt eine einheitliche europäische Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Diese ist auszugestalten. Dies geschieht - ganz im Sinne eines funktionierenden Rechtsstaats - durch die Rechtsanwender, die Aufsichtsbehörden, die Rechtswissenschaft und in letzter Konsequenz durch die Rechtsprechung.

 

Für den nationalen Gesetzgeber bleibt dabei kein Handlungsbedarf. Sollten sich in der Zukunft einzelne Bestimmungen der DS-GVO als weniger geeignet erweisen, dann ist es Sache des europäischen Gesetzgebers, im hierfür vorgesehenen Verfahren die Rechtslage zu verbessern.

 

Übereilte und wenig durchdachte Aktivitäten des nationalen Gesetzgebers können jedenfalls gegenwärtig mehr schaden als nutzen. So bleibt für den vorliegenden Gesetzentwurf zweierlei zu wünschen: Der Gesetzgeber möge sich auf das Wesentliche konzentrieren und in der verbleibenden Zeit bis zum Ende der Legislaturperiode sich über die Einbettung des nationalen Rechts in die europäische Rechtslage bewusst werden. Gelingt dies in der Kürze der verbliebenen Zeit nicht, kann sich die Rechtspraxis jedenfalls mit dem Gedanken trösten:

 

Die DS-GVO als solche gibt eine hinreichend tragfähige Grundlage für die Verarbeitung personenbezogener Daten und den Schutz des Persönlichkeitsrechts des Einzelnen. Sie muss lediglich mit Leben erfüllt werden.