Stellungnahme zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes vom 09.08.2023
Berlin, 06. September 2023. Stellungnahme von der TMF – Technologie- und Methodenplattform für die vernetzte medizinische Forschung e. V., Medizinischer Fakultätentag (MFT) und dem Verband der Universitätsklinika in Deutschland (VUD).
Downloads
1. Zum Gesetz allgemein
Wir begrüßen das Anliegen der im Gesetzesentwurf zur Änderung des Bundesdatenschutzgesetzes (BDSG-E) enthaltenen Regelungen, auf eine bessere Umsetzung des Datenschutzes und Kohärenz der Datenschutzregelungen hinzuwirken. Die geplanten Änderungen in § 40a und § 27 Abs. 5 BDSG-E sollen bei der Zuständigkeit mehrerer Aufsichtsbehörden eine Aufsichtsbehörde bestimmen und so divergierende Rechtsauffassungen der Aufsichtsbehörden und daraus folgende Rechtsunsicherheit vermeiden. Dies ist aus Sicht der bundeslandübergreifenden medizinischen Forschung ein hoch relevanter und begrüßenswerter Schritt, da Abstimmungsprozesse mit mehreren Aufsichtsbehörden stets zeit- und ressourcenaufwändig sind.
Die Regelungsbedürftigkeit des Abstimmungsprozesses zwischen Aufsichtsbehörden wurde schon im aktuellen Kabinettsentwurf zum Gesundheitsdatennutzungsgesetz (GDNG-KE) erkannt und in § 5 durch ein Prinzip der Federführung einer Aufsichtsbehörde angegangen. Das Prinzip der Federführung lässt die Zuständigkeit aller beteiligten Aufsichtsbehörden unberührt, bestimmt jedoch eine Behörde, die den Abstimmungsprozess koordiniert. Sie hat jedoch keine Durchsetzungsgewalt. Daher stellt sich für uns in der Bewertung des GDNG-KE die Frage, mit welcher Verbindlichkeit die hier intendierte Federführung wirken und tatsächlich zu einer Bündelung, Beschleunigung und Entbürokratisierung der Kommunikationsaufwände mit verteilten Datenschutzaufsichtsbehörden führen kann. Daher kann eine darüberhinausgehende grundlegende Regelung im BDSG, die eine solche Verbindlichkeit herstellt, sehr sinnvoll sein.
Mit den Änderungen im BDSG wird hierfür einer Aufsichtsbehörde die alleinige Zuständigkeit zugewiesen, soweit die gemeinsamen Verantwortlichen diese anzeigen. § 40a BDSG-E sieht nämlich für gemeinsam verantwortliche Unternehmen vor, dass „allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Antragstellung vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat.“ § 27 Abs. 5 BDSG-E dehnt diese Zuständigkeitszuweisung für den Fall der wissenschaftlichen Datennutzung auch auf gemeinsame Verantwortliche aus, die nicht oder nicht ausschließlich Unternehmen sind.
Generell erscheint der Regelungsgehalt des § 27 Abs. 5 BDSG-E innerhalb des § 27 BDSG nicht ideal verortet. Nach der systematischen Verortung setzt die Anwendung des Abs. 5 zunächst eine Verarbeitungssituation im Anwendungsbereich des § 27 Abs. 1 BDSG voraus. Gemeinsam Verantwortliche, die nicht beide Unternehmen sind, profitieren von der angestrebten Verfahrenserleichterung also nur im Rahmen von Forschungsvorhaben, obgleich solche Verantwortlichkeitskonstellationen auch in anderen Verarbeitungssituationen unter dem Regime des BDSG oder sonstigem Bundesrecht denkbar sind. Durch den gewählten Standort sind diese aber ausgeklammert und es bleibt bei Mehrfach-Zuständigkeiten.
Wünschenswert wäre für jeden Fall eine Klarstellung zur Reichweite des § 40a BDSG-E – insbesondere bei Beibehaltung der Regelung in § 27 Abs. 5 BDSG-E – da Konstellationen existieren, bei denen mehrere gemeinsam Verantwortliche die gegenständliche Verarbeitung über unterschiedliche Rechtsgrundlagen legitimieren, etwa teilweise einer Einwilligung statt § 27 BDSG. Ob darüber hinaus auch (ganz oder teilweise) Zuständigkeitszuweisungen durch den Bundesgesetzgeber erfolgen können, wenn auch öffentliche Stellen der Länder zu den gemeinsam Verantwortlichen gehören, sollte aufgrund der praktischen Relevanz dieser Konstellation erörtert werden.
2. Zuständigkeiten der Aufsichtsbehörde
Das BDSG-E knüpft für die Bestimmung der Zuständigkeit im Regelfall (§ 40a BDSG-E) an den größten Jahresumsatz im vorangegangenen Geschäftsjahr an. Dies wird damit begründet, dass das Anknüpfungskriterium „im Zusammenhang mit der Verhängung von Geldbußen [...] bekannt“ sei.
Dagegen ist das Anknüpfungskriterium im Anwendungsbereich des § 27 BDSG-E der Verantwortliche, der die meisten Personen beschäftigt, welche ständig personenbezogene Daten automatisiert verarbeiten. Die Begründung für dieses Kriterium ist auch hier, dass es schon anderweitig Anwendung fand. (§ 38 – Bestellung eines Datenschutzbeauftragten ab 20 Beschäftigten).
Den gewählten Anknüpfungskriterien kann zugutegehalten werden, dass sie in anderen Sachverhalten bekannt und bewährt sind und vollständig objektivierbar sind. Insbesondere beim Kriterium des § 27 Abs. 5 BDSG-E bestehen jedoch Bedenken hinsichtlich seiner Praxistauglichkeit. Die Bestimmung der genauen Personenzahl, die personenbezogene Daten ständig verarbeitet ist besonders bei Verantwortlichen mit einer Vielzahl von Mitarbeitern keine starre Größe. In § 38 BDSG beschränkt sich die Bestimmung lediglich auf weniger oder mehr als 20 Beschäftigte, so dass bisher auch kein Bedarf bestand eine exakte Größe zu erfassen und zu pflegen.
Ein solches Anknüpfungskriterium könnte die gewollte Verfahrensvereinfachung sogar noch verkomplizieren und gemeinsam Verantwortliche von der Anzeige gem. § 40a BDSG-E abhalten. Wir plädieren an dieser Stelle für ein Wahlrecht eines Hauptverantwortlichen auch im BDSG-E und die zuständige Behörde anhand dessen Hauptniederlassung zu bestimmen. Da die Anwendung des § 40a BDSG-E sowieso von einer Übereinkunft der gemeinsam Verantwortlichen abhängt, sind zwingenden Gründe für ein ausschließlich objektives Anknüpfungskriterium jedenfalls nicht auf den ersten Blick ersichtlich.
Ganz allgemein ist nicht ohne Weiteres nachvollziehbar, weshalb bei vergleichbarer Rechtsfolge in identischer Interessenlage an jeweils völlig unterschiedliche Kriterien angeknüpft werden sollte, teilweise in Kombination mit einem Wahlrecht zum „Ob“ (BDSG-E), teilweise zum „Wie“ (GDNG-KE). Hier wäre eine Vereinheitlichung wünschenswert.
Darüber hinaus ist die Stärkung der Datenschutzkonferenz positiv zu bewerten. Zu klären wäre, ob in diesem Zusammenhang das von uns in der Stellungnahme zum Referentenentwurf zum Gesundheitsdatennutzungsgesetz geforderte Mehrheitsprinzip dort verankert werden könnte. Die weiteren Änderungen im BDSG erscheinen uns nachvollziehbar und werden daher begrüßt.
Kontakt für die gemeinsame Stellungnahme:
Koordinationsstelle der Medizininformatik-Initiative
(c/o TMF e.V., Charlottenstraße 42, 10117 Berlin)
office@medizininformatik-initiative.de
030–22 00 247–0