AUS SICHT DER STIFTUNG DATENSCHUTZ - Was noch zu erledigen ist
Neues Jahr, neues Datenschutzrecht, neues Glück? Die Einigung zur Datenschutzgrundverordnung (DS-GVO) und das Ringen um eine Nachfolgeregelung zum invalidierten Safe Harbor-Abkommen drängten zu Beginn des Jahres alle anderen Datenschutz-Themen an den Rand – und das mit Recht.
Denn etwas Bedeutenderes als eine komplette Umwälzung der Kodifizierung eines ganzen Themengebietes kann man sich in der Rechtsentwicklung kaum vorstellen. Dennoch bleiben weitere Felder, auf denen die Entwicklung alles andere als abgeschlossen ist. Ein paar Beispiele für aktuelle und liegengebliebene Aufgaben der Datenpolitik seien im Folgenden in Erinnerung gerufen. Manches davon ließe sich bei Gelegenheit der Umstellung auf die Grundverordnung sogar mit erledigen.
1. Grundverordnung umsetzen
Käme die Europäische Datenschutzreform in Gestalt einer klassischen Verordnung ohne Ausnahmen und Öffnungsklauseln, so hätten die mitgliedstaatlichen Gesetzgeber leichtes Spiel. Doch dem ist nicht so. Bereits der Kommissionsentwurf aus 2012 enthielt 36 Öffnungsklauseln – und unterstrich damit, dass es eben nur eine Grundverordnung werden würde, die manches offen lassen würde. Das Europäische Parlament erhöhte die Öffnungsvielfalt um weitere zehn Möglichkeiten und der Rat der Mitgliedstaaten legte abermals zehn Klauseln obendrauf. Als Ergebnis finden sich nach den abschließenden Kompromissverhandlungen der europäischen Organe aus dem vergangenen Dezember über 50 Öffnungsklauseln für Mitgliedstaaten und Kirchen im finalen Verordnungstext.
Folglich können sich die Parlamente nicht zurücklehnen und warten, bis Exe- kutive und Judikative automatisch ihre Aufgaben bei der Ausfüllung der neuen Regeln bekommen. Der Deutsche Bundestag wird ein Ausführungs- oder Umsetzungsgesetz mit vielen Artikeln beschließen müssen – und er hat hierfür nicht viel Zeit. Effektiv wird nur ein Jahr bleiben, nämlich jenes zwischen Amtsblatt-Veröffentlichung und Bundestagswahl. Geregelt werden müssen vor allem Dinge, zu denen sich die Grundverordnung nicht verhält, z. B. die Stellung der Bundesdatenschutzbeauftragten.
2. Betrieblichen Datenschutz sichern
Bei der Umsetzung der EU-Datenschutzgrundverordnung kann der Gesetzgeber auch direkt etwas für den praktischen Datenschutz tun. Er sollte aus unserer Sicht die auf europäischer Ebene mit
Art. 35 Abs. 4 DS-GVO eröffnete Chance nutzen und das in Deutschland wohlerprobte Modell des kooperativen betrieblichen Datenschutzes erhalten. Es erscheint ratsam, in mehr als nur den sehr datenintensiv arbeitenden Unternehmen die Pflicht zur Bestellung kompetenter Ansprechpartner aufrechtzuerhalten. Die sich einzig bietende Alternative heißt: Bereits jetzt völlig überlastete Aufsichtsbehörden sollen Unternehmen zum Datenschutz beraten. Der eigene Fachberater, der die betrieblichen Abläufe kennt und – idealerweise – mit seinen Hinweisen zur Datenschutz-Compliance bei der Geschäftsleitung schnell und früh Gehör findet, erscheint als besserer Weg. Dass dieser Weg nicht mehr Bürokratie, sondern mehr Selbstregulierung bedeutet, hatten die deutschen Verhandler ihren Kollegen aus den übrigen Mitgliedstaaten leider nicht vermitteln können.
3. Lösungen für Datentransfer suchen
Die wohl schwierigste Aufgabe wurde Anfang Februar bereits angegangen: Die Findung einer Nachfolgekonstruktion zur im Herbst 2015 vom Europäischen Gerichtshof kassierten Entscheidung der EU-Kommission aus dem Jahr 2000 zum „sicheren Hafen“. Auf Basis dieser Art Unbedenklichkeitsbescheinigung zum Transfer personenbezogener Daten europäischer Bürgerinnen und Bürger in die USA hatten jahrelang tausende Unternehmen gearbeitet. Das Safe Harbor-Abkommen barg jedoch den Makel einer fehlenden umfassenden Kontrolle des von ihm Versprochenen in sich. Datenzugriffe durch US-Behörden auf Basis amerikanischen Rechts konnten in keiner Hinsicht ausgeschlossen werden.
Das neue Abkommen namens EU-US Privacy Shield soll den Umgang amerikanischer Unternehmen mit europäischen Personendaten nun einem strengeren Kontroll-Regime der dortigen Federal Trade Commission unterwerfen. Es will den Zugriff von US-Behörden streng reglementieren und es EU-Bürgern zudem erleichtern, ihre Rechte in den USA zu verfolgen. Die Durchsetzungskraft der dafür zu installierenden Ombudsperson wird sich allerdings erst noch zeigen müssen. Die Gerichtsfestigkeit der neuen Regelung wird ebenfalls zu testen sein, denn es ist sehr wahrscheinlich, dass der Europäische Gerichtshof Gelegenheit haben wird, den EU-US Privacy Shield an den von ihm zu Safe Harbor aufgestellten Vorgaben zu messen.
4. Beschäftigtendatenschutz regeln
Ein dickes Brett blieb lange liegen – und auch die Grundverordnung ändert daran nichts. Aus dem Arbeitnehmerdatenschutz wurde zwar über die Jahre der Beschäftigtendatenschutz, doch eine umfassende Kodifikation hat die deutsche Legislative bislang in keiner Regierungskonstellation hinbekommen. Die nationalen Reformansätze brachten lediglich im Herbst 2009 die Grundsatznorm des § 32 BDSG hervor.
Angesichts dessen, dass es in vielen EU-Ländern gar keine Bestimmungen zum Beschäftigtendatenschutz gibt, wäre es sicher eine zu hohe Erwartung gewesen, mit der Grundverordnung in diesem Bereich eine staatenübergreifende Generallösung erlangen zu können. Enttäuschend war es gleichwohl, im europäischen Reformprozess wieder die aus den vergangenen innerdeutschen Datenschutzreformen bekannten Einlassungen vernehmen zu müssen. Erneut hieß es, dass man statt einer schlechten Regelung lieber gar keine machen solle. Es käme einer gesetzgeberischen Kapitulation gleich, sollte es tatsächlich dauerhaft subjektiv unmöglich sein, den Datenschutz in Angestellten- und Beschäftigungsverhältnissen detailliert gesetzlich zu regeln.
Ob der § 32 BDSG seinem Inhalt im Umsetzungsgesetz zur Grundverordnung Bestand haben wird, ist noch nicht bekannt. Angesichts des hohen richterrechtlich gesetzten Standards in Deutschland wird jedenfalls bezweifelt, dass der deutsche Gesetzgeber es sich politisch leisten kann, den Beschäftigtendatenschutz durch das Außerkraftsetzen von § 32 BDSG auf einen gesamteuropäischen Durchschnitt zurückzuführen. Dass die Bundesregierung die sich mit der Notwendigkeit eines „BDSG- Auffanggesetzes“ bietende Chance zu einer umfassenden Regelung des innerbetrieblichen Datenschutzes nutzen wird, erscheint alleine vor dem eingangs geschilderten Zeithorizont äußerst fraglich. Wünschenswert bleibt es allemal, die Erlaubnis aus Art. 82 DS-GVO in nicht allzu ferner Zeit zu nutzen, den Beschäftigtendatenschutz auf nationaler Ebene dezidierter zu regeln.
5. Schweigepflicht-Problem lösen
Einerseits wird nach § 203 Abs. 1 StGB bestraft, wer unbefugt ein fremdes Geheimnis offenbart, das ihm als Arzt anvertraut worden ist. Andererseits nutzen Ärzte, wie in der arbeitsteiligen Welt selbstverständlich, für Randmaterien wie die Abrechnungsadministration externe Dienstleister. Dies muss kein Widerspruch sein, denn soweit es klare Rechtsgrundlagen gibt, reichen diese als Rechtfertigungsgründe für die Geheimnisweitergabe aus und lassen Strafrechtsprobleme entfallen. Schwieriger wird es, wenn nicht reguläre Auftragsdatenverarbeiter eingesetzt werden, sondern wenn zunehmend Befunde, Arztbriefe u. ä. per unverschlüsselter Mail – manchmal gar Röntgenbilder und Behandlungsfotos per offenem Messenger-Service verschickt werden.
Angesichts der rasanten technischen Modernisierung der Vorgänge in der (Arzt-)Praxis hinkt das Recht wie so oft hinterher. Die derzeit gegebenen gesetzlichen Übermittlungsbefugnisse jedenfalls bieten Ärzten und Heilberuflern oft nicht die Reichweite und Rechtssicherheit, die sie gerne hätten. Daher sind sie in vielen Fällen gezwungen, für die geplante Übermittlung personenbezogener Patientendaten die vorherige Zustimmung des Patienten einzuholen. Diese Einwilligungserklärung muss sich zudem auf den konkreten Übermittlungsvorgang beziehen. Sie kann nicht etwa bequem und pauschal bei Abschluss des Behandlungsvertrages für alle denkbaren Fälle der Datenweiter- gabe besorgt werden. Es liegt auf der Hand, dass sich im klinischen Alltag eklatante praktische Problem einstellen, wenn mangels vorhandener Alternativen auf diese Form der zwingenden Einzelfallzustimmung zurückgegriffen werden muss. Nicht nur deshalb sollte eine Reform an der Schnittstelle Geheimnisschutzrecht / Datenschutzrecht vor allem die Handhabbarkeit des Rechts im Blick haben. Der Gesetzgeber sollte realitätsnah bedenken, dass ein Arzt kein IT-Fachmann ist. Gleichwohl muss er sich derzeit zur Meidung von Schweigepflichtsverstößen fast zu einem solchen fortbilden. So muss er bei Nutzung externer Systeme zur Datensicherung außerhalb der Praxis überwachen, dass Einsichtnahmen des externen Personals technisch „ausgeschlossen“ sind. Und auch Fernwartungen soll er persönlich autorisieren und überwachen können. Hier ist deutlich mehr Anwendernähe gefragt.
Dieser Aufsatz ist erschienen in PinG 02/16.
Medienanfragen: presse(at)stiftungdatenschutz.org