Einheitlicher Datenschutz in Europa – Des Flickenteppichs zweiter Teil


Prof. Dr. Dr. Christian Dierks

Prof. Dr. med. Dr. iur. Christian Dierks, Rechtsanwalt, DIERKS + BOHLE Rechtsanwälte Partnerschaft mbB

Mit der Datenschutz-Grundverordnung (DS-GVO) wurde das wohl größte Gesetzgebungsverfahren in Europa umgesetzt. Vor dem Hintergrund einer rasanten technischen Entwicklung, die im Sinne einer digitalen Transformation insbesondere auch das Gesundheitswesen und die Gesundheitswirtschaft betrifft, sind die rechtlichen Rahmenbedingungen schon seit einiger Zeit vor neue Herausforderungen gestellt.

Die Verbreitung smarter Geräte und deren permanenter Zugang zum Internet bedingen eine Ubiquität der Datenverarbeitung, die unser Leben verändert hat. Neben neuen sozialen Kommunikationsformen eröffnen sich weitere datengestützte Interaktionen und die Verknüpfung des Internet mit Alltagsgenständen (IoT). Die Nutzung neuer Technologien geht einher mit einer Flut von Daten, die Aufschluss über die persönlichen und sachlichen Verhältnisse von Personen geben, aber als personenbezogene Daten vom Recht auf Informationelle Selbstbestimmung geschützt sind.

Big Data, die algorithmusgestützte Analyse großer Datenmengen, verspricht diesen Datenschatz und die darin verborgenen Potenziale heben zu können. Dem stehen freilich Risiken für den Schutz der Privatsphäre und Vertraulichkeit gegenüber. Probate Mittel der Vergangenheit, wie die Pseudonymisierung oder Anonymisierung kommen an ihre Grenzen, wenn die Re-Identifikation über bestehende (Meta-)Daten kein Mehraufwand ist. Demgegenüber versprechen etwa Blockchaintechnologien eine Verifikation der Datenintegrität und neue Möglichkeiten der Anonymität. Moderne Verschlüsselungsverfahren erlauben auch die Auswertung von Daten, ohne diese zu entschlüsseln oder lesbar zu machen.

Diese und andere Entwicklungen haben die aus dem Jahr 1995 stammende Datenschutz-Richtlinie (DS-RL) und die Gesetze in den jeweiligen Mitgliedstaaten überfordert. Für den europäischen Wirtschaftraum stellte sich nicht nur die Frage nach einem gleichwertigen Datenschutzniveau sondern auch ein zunehmendes Bedürfnis nach einheitlichen Regelungen, die ein über Ländergrenzen hinweg ein arbeitsteiliges Wirtschaftsleben ermöglichen („5th Freedom“).

Die Lösung sollte über ein einheitliches europäisches Datenschutzrecht erreicht werden, eine Verordnung, die verbindlich ist und in jedem Mitgliedstaat der Europäischen Union unmittelbar gilt. Anstelle einer umfassenden „Datenschutzverordnung“ hat man sich in den langen Verhandlungen jedoch nur auf eine Grundverordnung geeinigt. Sie regelt die Verarbeitung personenbezogener Daten nur dem Grunde nach, beinhaltet aber eine Vielzahl an Öffnungsklauseln, aus denen sich Umsetzungspflichten oder -möglichkeiten ergeben. Soweit die DS-GVO unmittelbar anzuwenden ist, müssen nationale Gesetze aufgehoben, Regelungspflichten umgesetzt und in den verbleibenden Handlungsspielräumen Regelungen angepasst oder geschaffen werden. Ein ungeheuer umfangreiches Vorhaben bei einer rechtlichen Querschnittsmaterie wie dem Datenschutz!

In Deutschland gewinnt dieses Vorhaben wegen der föderalen Strukturen an zusätzlicher Komplexität. Neben dem Bundesdatenschutzgesetz und den bereichsspezifischen Datenschutznormen, wie sie sich prominent etwa im Sozialdatenschutzrecht nach dem Sozialgesetzbuch (SGB), im Telemediengesetz, im Telekommunikationsgesetz und nicht zuletzt im Arzneimittelgesetz finden, müssen in allen 16 Bundesländern Datenschutzgesetze, die insbesondere im Bereich der Krankenhäuser eine große Rolle spielen, angepasst werden. Nicht zu vergessen sind die für die kirchlichen Krankenhausträger relevanten kirchlichen Datenschutzgesetze.

Und es drängt die Zeit! Mit Wirksamwerden der DS-GVO zum 25.05.2018 müssen auch die notwendigen Anpassungen abgeschlossen sein.  Die Bundesrepublik blieb nicht untätig und hat mit dem Datenschutzanpassungs- und -Umsetzungsgesetz-EU – DSAnpUG-EU) als erster Mitgliedsstaat eine Reform des allgemeinen Datenschutzrechts (auf Bundesebene) verabschiedet. Das bisher geltende BDSG wird damit zum 25.05.2018 durch ein neu gefasstes BDSG ersetzt. In Anerkennung dieser Leistung wurde dem Leiter des zuständigen Referats „Datenschutzrecht und Reform des Datenschutzes in Deutschland und Europa“ im Bundesministerium des Innern, Jörg Eickelpasch, von der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sogar der diesjährige Datenschutzpreis verliehen.

Eine weitere umfassende Anpassungsgesetzgebung wurde mit dem Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften für das allgemeine Sozialdatenschutzrecht nach § 35 SGB I i.V.m. §§ 67 ff. SGB X verabschiedet. Sie tritt ebenfalls am 25.05.2018 in Kraft.

Auch das kirchliche Datenschutzrecht wird angepasst. So beschloss die 12. Synode der Evangelischen Kirche in Deutschland ein neues „Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD)“ und die Herbstversammlung 2017 des Verbandes der Deutschen Diözesen (VDD) das „Kirchliche Datenschutzgesetz (KDG)“. Die beiden konfessionellen Regelwerke sollen einen Tag vor der DS-GVO, am 24.05.2018, in Kraft treten.

Was das Datenschutzrecht der Länder und die weiteren bereichsspezifischen Bundesgesetze (z.B. im SGB V) angeht, steht eine Anpassungsgesetzgebung weiterhin aus. Nicht nur der Gesetzgeber ist bei der Anpassung an die DS-GVO unter Druck, sondern auch die Adressaten dieser Gesetze wie Unternehmen und Behörden. Je später die neuen Gesetze feststehen, desto weniger Zeit bleibt für die Anpassung der Prozesse bei der Verarbeitung personenbezogener Daten. Daher sind insbesondere Unternehmen, die umfangreich Daten verarbeiten, gut beraten, bestehende Datenverarbeitungsprozesse zu identifizieren, zu evaluieren und die Umsetzung der unmittelbar aus der DS-GVO folgende Pflichten schon frühzeitig vorzubereiten.