Stellungnahme von TMF, MFT und VUD zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes vom 09.08.2023
© artbesouro - stock.adobe.com
Die Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V. (TMF) hat eine Stellungnahme zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes abgegeben.
1. Zum Gesetz allgemein
Die TMF begrüßt das Anliegen der im Gesetzesentwurf zur Änderung des Bundesdatenschutzgesetzes (BDSG-E) enthaltenen Regelungen, auf eine bessere Umsetzung des Datenschutzes und Kohärenz der Datenschutzregelungen hinzuwirken. Die geplanten Änderungen in § 40a und § 27 Abs. 5 BDSG-E sollen bei der Zuständigkeit mehrerer Aufsichtsbehörden eine Aufsichtsbehörde bestimmen und so divergierende Rechtsauffassungen der Aufsichtsbehörden und daraus folgende Rechtsunsicherheit vermeiden. Dies ist aus Sicht der bundeslandübergreifenden medizinischen Forschung ein hoch relevanter und begrüßenswerter Schritt, da Abstimmungsprozesse mit mehreren Aufsichtsbehörden stets zeit- und ressourcenaufwändig sind.
Die Regelungsbedürftigkeit des Abstimmungsprozesses zwischen Aufsichtsbehörden wurde schon im aktuellen Kabinettsentwurf zum Gesundheitsdatennutzungsgesetz (GDNG-KE) erkannt und in § 5 durch ein Prinzip der Federführung einer Aufsichtsbehörde angegangen. Das Prinzip der Federführung lässt die Zuständigkeit aller beteiligten Aufsichtsbehörden unberührt, bestimmt jedoch eine Behörde, die den Abstimmungsprozess koordiniert. Sie hat jedoch keine Durchsetzungsgewalt. Daher stellt sich für die TMF in der Bewertung des GDNG-KE die Frage, mit welcher Verbindlichkeit die hier intendierte Federführung wirken und tatsächlich zu einer Bündelung, Beschleunigung und Entbürokratisierung der Kommunikationsaufwände mit verteilten Datenschutzaufsichtsbehörden führen kann. Daher kann eine darüberhinausgehende grundlegende Regelung im BDSG, die eine solche Verbindlichkeit herstellt, sehr sinnvoll sein.
Mit den Änderungen im BDSG wird hierfür einer Aufsichtsbehörde die alleinige Zuständigkeit zugewiesen, soweit die gemeinsamen Verantwortlichen diese anzeigen. § 40a BDSG-E sieht nämlich für gemeinsam verantwortliche Unternehmen vor, dass „allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Antragstellung vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat.“ § 27 Abs. 5 BDSG-E dehnt diese Zuständigkeitszuweisung für den Fall der wissenschaftlichen Datennutzung auch auf gemeinsame Verantwortliche aus, die nicht oder nicht ausschließlich Unternehmen sind.
Generell erscheint der Regelungsgehalt des § 27 Abs. 5 BDSG-E innerhalb des § 27 BDSG nicht ideal verortet. Nach der systematischen Verortung setzt die Anwendung des Abs. 5 zunächst eine Verarbeitungssituation im Anwendungsbereich des § 27 Abs. 1 BDSG voraus. Gemeinsam Verantwortliche, die nicht beide Unternehmen sind, profitieren von der angestrebten Verfahrenserleichterung also nur im Rahmen von Forschungsvorhaben, obgleich solche Verantwortlichkeitskonstellationen auch in anderen Verarbeitungssituationen unter dem Regime des BDSG oder sonstigem Bundesrecht denkbar sind. Durch den gewählten Standort sind diese aber ausgeklammert und es bleibt bei Mehrfach-Zuständigkeiten.
Wünschenswert wäre für jeden Fall eine Klarstellung zur Reichweite des § 40a BDSG-E – insbesondere bei Beibehaltung der Regelung in § 27 Abs. 5 BDSG-E – da Konstellationen existieren, bei denen mehrere gemeinsam Verantwortliche die gegenständliche Verarbeitung über unterschiedliche Rechtsgrundlagen legitimieren, etwa teilweise einer Einwilligung statt § 27 BDSG. Ob darüber hinaus auch (ganz oder teilweise) Zuständigkeitszuweisungen durch den Bundesgesetzgeber erfolgen können, wenn auch öffentliche Stellen der Länder zu den gemeinsam Verantwortlichen gehören, sollte aufgrund der praktischen Relevanz dieser Konstellation erörtert werden.
2. Zuständigkeiten der Aufsichtsbehörde
Das BDSG-E knüpft für die Bestimmung der Zuständigkeit im Regelfall (§ 40a BDSG-E) an den größten Jahresumsatz im vorangegangenen Geschäftsjahr an. Dies wird damit begründet, dass das Anknüpfungskriterium „im Zusammenhang mit der Verhängung von Geldbußen [...] bekannt“ sei.
Dagegen ist das Anknüpfungskriterium im Anwendungsbereich des § 27 BDSG-E der Verantwortliche, der die meisten Personen beschäftigt, welche ständig personenbezogene Daten automatisiert verarbeiten. Die Begründung für dieses Kriterium ist auch hier, dass es schon anderweitig Anwendung fand. (§ 38 – Bestellung eines Datenschutzbeauftragten ab 20 Beschäftigten).
Den gewählten Anknüpfungskriterien kann zugutegehalten werden, dass sie in anderen Sachverhalten bekannt und bewährt sind und vollständig objektivierbar sind. Insbesondere beim Kriterium des § 27 Abs. 5 BDSG-E bestehen jedoch Bedenken hinsichtlich seiner Praxistauglichkeit. Die Bestimmung der genauen Personenzahl, die personenbezogene Daten ständig verarbeitet ist besonders bei Verantwortlichen mit einer Vielzahl von Mitarbeitern keine starre Größe. In § 38 BDSG beschränkt sich die Bestimmung lediglich auf weniger oder mehr als 20 Beschäftigte, so dass bisher auch kein Bedarf bestand eine exakte Größe zu erfassen und zu pflegen.
Ein solches Anknüpfungskriterium könnte die gewollte Verfahrensvereinfachung sogar noch verkomplizieren und gemeinsam Verantwortliche von der Anzeige gem. § 40a BDSG-E abhalten. Die TMF plädiert an dieser Stelle für ein Wahlrecht eines Hauptverantwortlichen auch im BDSG-E und die zuständige Behörde anhand dessen Hauptniederlassung zu bestimmen. Da die Anwendung des § 40a BDSG-E sowieso von einer Übereinkunft der gemeinsam Verantwortlichen abhängt, sind zwingenden Gründe für ein ausschließlich objektives Anknüpfungskriterium jedenfalls nicht auf den ersten Blick ersichtlich.
Ganz allgemein ist nicht ohne Weiteres nachvollziehbar, weshalb bei vergleichbarer Rechtsfolge in identischer Interessenlage an jeweils völlig unterschiedliche Kriterien angeknüpft werden sollte, teilweise in Kombination mit einem Wahlrecht zum „Ob“ (BDSG-E), teilweise zum „Wie“ (GDNG-KE). Hier wäre eine Vereinheitlichung wünschenswert.
Darüber hinaus ist die Stärkung der Datenschutzkonferenz positiv zu bewerten. Zu klären wäre, ob in diesem Zusammenhang das von der TMF in der Stellungnahme zum Referentenentwurf zum Gesundheitsdatennutzungsgesetz geforderte Mehrheitsprinzip dort verankert werden könnte. Die weiteren Änderungen im BDSG erscheinen der TMF nachvollziehbar und werden daher
begrüßt.
Kontakt für die gemeinsame Stellungnahme
Koordinationsstelle der Medizininformatik-Initiative
(c/o TMF e.V., Charlottenstraße 42, 10117 Berlin)
office@medizininformatik-initiative.de
030–22 00 247–0
Downloads
