- Anzeigen -

Sie sind hier: Home » Recht » Datenschutz und Compliance

BDSG-Entwurf und Datenschutz-Kontrolle


Patientengeheimnis: Vertrauen ist gut – doch eine Kontrolle soll wegfallen!?
Drohende Verschlechterungen im Entwurf für das neue Bundesdatenschutzgesetz

- Anzeigen -





Mit dem Datenschutzanpassungs- und Umsetzungsgesetz soll das Bundesdatenschutzgesetz an die europäische Datenschutz-Grundverordnung angepasst werden. Nachbesserungen sind dringend nötig. Marit Hansen, Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), kommentiert dies: "Nach den Errungenschaften, die – auch dank des Einsatzes der Bundesrepublik in den Verhandlungen – in der Datenschutz-Grundverordnung für den Datenschutz erzielt werden konnten, sollte man nun eigentlich Verbesserungen auch im deutschen Datenschutzrecht erwarten. Das Gegenteil ist der Fall: Wird der Gesetzentwurf in der von der Bundesregierung vorgelegten Form beschlossen, drohen empfindliche Einbußen für die Datenschutzrechte der Bürgerinnen und Bürger."

Besonders gravierend sind die folgenden geplanten Einschnitte:

1. Fehlende Kontrolle von Berufsgeheimnisträgern
Die Kontrolle des Datenschutzes bei den sogenannten Berufsgeheimnisträgern soll ersatzlos wegfallen.

Wir alle müssen uns irgendwann Ärzten, Therapeuten und Apothekern anvertrauen. Wir alle wollen darauf vertrauen können, dass unsere (Patienten-)Geheimnisse sicher geschützt werden. Dabei ist Vertrauen gut, aber manchmal ist Kontrolle nötig. Diese Kontrolle wird bisher durch die Datenschutz-Aufsichtsbehörden wahrgenommen, d. h. in Schleswig-Holstein durch das ULD. Patienten und andere Betroffene können sich gegenwärtig an das ULD wenden und Missstände und mutmaßliche Datenschutzverstöße melden. Das ULD ist Datenschutz-Aufsichtsbehörde für Ärzte und viele weitere Gesundheitsberufe wie z. B. Logopäden, Hebammen, Psychotherapeuten und Krankengymnasten. Ebenso unterliegen die in Sucht-, Familien-, Ehe- oder Schuldnerberatungsstellen, bei freien Trägern der Jugendhilfe oder SGB II-Maßnahmeträgern tätigen Sozialarbeiter und Sozialpädagogen einer Datenschutz-Aufsicht. Das ULD muss den Beschwerden nachgehen und kann die Datenverarbeitung der Berufsgeheimnisträger kontrollieren, auch soweit es um Daten geht, die unter die Schweigepflicht der genannten Berufsgruppen fallen.

Dieses funktionierende Kontrollsystem soll nun ohne Not beseitigt werden. Der Entwurf für ein neues Bundesdatenschutzgesetz (BDSG) sieht vor, dass die Kontrollbefugnis der Datenschutz-Aufsichtsbehörden wegfällt, wenn die fraglichen Daten der Schweigepflicht unterliegen. Und ersetzt werden soll die Kontrolle durch die Datenschutz-Aufsichtsbehörden mit: Nichts.

Künftig könnte das ULD nicht mehr die Fälle aufklären, wenn Patienten Fragen zur fehlenden Diskretion in einer Arztpraxis haben, zu falschen Angaben in der Pflegeakte, zu Patientendaten, die auf dunklen Wegen zu Krankenkassen, Pharmaunternehmen oder privaten Versicherungen wandern, zu Computern, die gehackt wurden, oder zu Dienstleistern, die per Handschlag mit der Verarbeitung von Patientendaten beauftragt werden. Hinzukommt, dass die Bundesregierung gerade mit einem anderen Gesetzentwurf es den Berufsgeheimnisträgern erleichtern will, externe Auftragsverarbeiter einzusetzen. Auch deren Tätigkeit soll nach dem BDSG-Entwurf der Datenschutz-Kontrolle entzogen sein.

Marit Hansen stellt dazu fest:
"Es ist völlig unverständlich, dass nun gerade die am stärksten schutzbedürftigen Informationen faktisch vom Datenschutz ausgenommen werden sollen. Die möglichen Gefährdungen der Gesundheitsdaten nehmen zu, doch der BDSG-Entwurf lässt die Kontrolle wegfallen. Die vorgesehene Änderung des BDSG kann auch nicht im Interesse der Ärzte und der anderen Medizinberufe sein. Nicht nur drohen rein praktisch die Standards für die Vertraulichkeit zu sinken – mit allen negativen Auswirkungen für die Patienten. Es drohen auch Nachteile für die Ärzte: Jeder etwaige Verstoß kann künftig nur noch mit dem scharfen Schwert des Strafrechts verfolgt werden. Sollte das Gesetz so in Kraft treten, wird das ULD letztlich allen, die Verstöße melden, empfehlen müssen, diese der Staatsanwaltschaft anzuzeigen."

2. Beschränkung der Betroffenenrechte
Transparenz über die Datenverarbeitung ist Grundvoraussetzung für das Recht auf informationelle Selbstbestimmung. Jede Bürgerin und jeder Bürger hat daher einen Anspruch zu erfahren, welche öffentlichen und nicht-öffentlichen Stellen welche Daten über die eigene Person in welcher Weise und zu welchen Zwecken verarbeitet. Entsprechende Informationen müssen die verantwortlichen Stellen von sich aus bereitstellen. Außerdem haben die betroffenen Personen einen Auskunftsanspruch gegenüber verantwortliche Stellen. Diese Transparenz wird mit dem vorgelegten Entwurf erheblich eingeschränkt. Verantwortliche Stellen sollen von ihrer Informationspflicht befreit werden, wenn diese einen unverhältnismäßigen Aufwand verursachen würden. Hier wird die Transparenz für die Betroffenen zugunsten einer Einsparung von Verwaltungsaufwand für die verantwortlichen Stellen eingeschränkt. Diese Einschränkung ist in der Datenschutz-Grundverordnung nicht vorgesehen und somit verfassungs- wie europarechtlich äußerst bedenklich.

Auch der Auskunftsanspruch der Betroffenen soll erheblich eingeschränkt werden. Würden Daten nur noch aufgrund von gesetzlichen oder vertraglichen Aufbewahrungsfristen gespeichert, bräuchte die verantwortliche Stelle über diese Daten keine Auskunft zu erteilen. Damit würde eine große Menge von Daten vom Auskunftsanspruch ausgenommen, zum Beispiel Daten, die für steuerliche Zwecke aufbewahrt werden müssen, aber auch diejenigen Verkehrsdaten, die Telekommunikationsanbieter nach der sogenannten Vorratsdatenspeicherung aufbewahren müssen. Ob diese Daten tatsächlich, wie vom Gesetzentwurf gefordert, gegen eine Verwendung zu anderen Zwecken wirksam geschützt sind, können die Betroffenen mangels Information darüber nicht prüfen oder durch die Aufsichtsbehörden prüfen lassen.

3. Ausufernde Verarbeitungsmöglichkeiten von Gesundheitsdaten
Der Gesetzentwurf sieht zur Verarbeitung von Gesundheitsdaten sehr weitgehende Regelungen ohne Interessenabwägung vor. Er schafft damit zu allgemeine gesetzliche Verarbeitungsbefugnisse sowohl für nicht-öffentliche als auch öffentliche Stellen. Es werden zudem keine verbindlichen technisch-organisatorischen Schutzmaßnahmen geregelt. Dies kann zu Lücken im gebotenen Grundrechtsschutz führen.

4. Unkonkrete Vorgaben beim technischen Datenschutz
Der Entwurf zum Bundesdatenschutzgesetz liefert Steine statt Brot, was die technisch-organisatorische Gestaltung von Datenverarbeitungssystemen angeht: Zwar könnte man diesen Vorwurf schon an die sehr abstrakt gehaltene Datenschutz-Grundverordnung und die parallel beschlossene Datenschutz-Richtlinie für Justiz und Inneres richten. Jedoch hätte der nationale Gesetzgeber die Hinweise aus dem europäischen Recht aufgreifen können, nach denen Hersteller ermutigt werden sollen, Produkte, Dienste und Anwendungen datenschutzgerecht zu entwickeln und zu gestalten. Ebenso fehlt die Klarstellung, dass die Grundsätze des technischen Datenschutzes auch bei öffentlichen Ausschreibungen aufgenommen werden sollen. Außerdem verändert der BDSG-Entwurf die Terminologie der europäischen Gesetzeswerke und schränkt damit den adressierten Personenkreis bei der Risikobetrachtung ein: Statt "Risiken für Rechte und Freiheiten natürlicher Personen" einzudämmen, geht es in dem deutschen Entwurf um die "Gefahr für Rechtsgüter betroffener Personen". Risiken für (noch) nicht betroffene Personen und Effekte wie Einschüchterung und Diskriminierung geraten damit aus dem Blick.

Ergebnis
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein appelliert an den Bundesrat, keine Verschlechterungen im Datenschutz zuzulassen. Bundes- und Landesgesetzgeber sollten die Chancen aus der europäischen Datenschutzreform aufgreifen, um das Datenschutzniveau – und damit den Schutz der Grundrechte – zu verbessern.
(ULD: ra)


eingetragen: 01.02.17
Home & Newsletterlauf: 06.03.17

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Unzulässig Insolvenzdaten veröffentlicht

    Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat in den letzten Monaten zahlreiche Eingaben von Bürgerinnen und Bürgern erhalten, die sich über die Auffindbarkeit ihrer Insolvenzdaten über die Google-Suchmaschine beschwert haben. Der HmbBfDI konnte nun durchsetzen, dass die Google Inc. mehrere Internetangebote, auf denen personenbezogene Daten aus Insolvenzverfahren unzulässig veröffentlicht werden, generell nicht mehr als Suchergebnisse verlinkt. Personenbezogene Daten in Insolvenzverfahren, dazu zählen u.a. Name, Adresse, Verfahrensstand sowie Aktenzeichen, sind nach Maßgabe der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekV) durch eine zentrale, länderübergreifende Veröffentlichung im Internet bekannt zu machen. Die InsoBekV enthält für das amtliche Portal auch Vorschriften zur Beschränkung der Auffindbarkeit und zur Löschung von Bekanntmachungen. Insbesondere werden Suchmaschinen durch eine sog. robots.txt-Datei erfolgreich ausgeschlossen.

  • Datenschutzrechte & Überwachungsmaßnahmen

    Nach dem Urteil intensivierten die US-Regierung und die Europäischen Kommission ihre ohnehin bereits begonnen Verhandlungen zur Verbesserung der Safe Harbor-Übereinkunft, um die entstandene Lücke für rechtmäßige Datenübermittlungen in die USA zu schließen. Der von der Europäischen Kommission veröffentlichte erste Entwurf für eine EU-US Privacy Shield genannte Nachfolgevereinbarung wurde von den in der Artikel-29-Datenschutzgruppe versammelten europäischen Datenschutzbehörden einer umfassenden Prüfung unterzogen. Nachdem insbesondere Fragen der Überwachungstätigkeiten der US-Geheimdienst- und Sicherheitsbehörden und die Rechtsschutzmöglichkeiten für Betroffene im Fokus des EuGH-Urteils standen, hat die Artikel-29-Datenschutzgruppe zunächst einen aus der einschlägigen Rechtsprechung des EuGH und des Europäischen Gerichtshofs für Menschenrechte (EGMR) abgeleiteten Bewertungsmaßstab entwickelt.

  • Datenschutz und Informationsfreiheit im Umbruch

    Das Unabhängige Landeszentrums für Datenschutz Schleswig-Holstein (ULD) seinen Tätigkeitsbericht für die vergangenen zwei Jahre vorgestellt. Es handelt sich um den 36. Tätigkeitsbericht der Dienststelle. Dies ist zugleich der erste Tätigkeitsbericht der Landesbeauftragten für Datenschutz Marit Hansen, die im Juli 2015 vom Schleswig-Holsteinischen Landtag als Nachfolgerin von Dr. Thilo Weichert gewählt wurde. Der Tätigkeitsbericht beschreibt die wichtigen Entwicklungen und interessante Einzelfälle zu den Kernthemen des ULD Datenschutz und Informationsfreiheit.

  • Grundrechtskonformität nach wie vor zweifelhaft

    Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit begrüßt die am 28. Juni 2017 bekannt gewordene Mitteilung der Bundesnetzagentur, vorerst keine Durchsetzungsmaßnahmen gegenüber den zur Vorratsdatenspeicherung verpflichteten Telekommunikationsanbietern zu ergreifen und keine Bußgeldverfahren wegen einer nicht erfolgten Umsetzung gegen die verpflichteten Unternehmen einzuleiten. Andrea Voßhoff sagte: "Die Entscheidung der Bundesnetzagentur ist in Anbetracht der aktuellen Rechtsprechung zur Vorratsspeicherung von Telekommunikationsverkehrsdaten konsequent und richtig. Die Vorratsdatenspeicherung stellt einen massiven Eingriff in die Rechte aller von ihr Betroffenen dar, dessen Grundrechtskonformität nach wie vor zweifelhaft ist."

  • EuGH verhandelt über Facebook-Seitenbetreiber

    Rückblick: Am 25. Februar 2016 hat das Bundesverwaltungsgericht in dem Verwaltungsrechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH (WAK) und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) sechs Vorlagefragen an den Gerichtshof der Europäischen Union (EuGH) gerichtet. Die mündliche Verhandlung fand am 27. Juni vor dem Gerichtshof in Luxemburg statt. Das Verfahren beruht auf einer Anordnung des ULD gegen die WAK aus dem Jahre 2011, wonach die Facebook-Seite (Fanpage) der WAK deaktiviert werden sollte. Hintergrund ist die Rechtsauffassung des ULD, dass der Betrieb der Facebook-Seite gegen deutsches und europäisches Datenschutzrecht verstößt. An der mündlichen Verhandlung nahmen neben den Parteien (WAK und ULD) auch Facebook Ireland Limited als Beigeladene und Vertreter der Regierungen von Belgien, Deutschland, Finnland und Irland sowie der Europäischen Kommission teil.