In diesem Aufsatz gibt Frau RA' Claudia Holzner, LL.M. einen Überblick über die heuer inkraftgetretene EU-Datenschutz-Grundverordnung und erläutert einzelne bedeutsame Regelungen.
Nach fast vierjähriger Debatte haben sich am 15.12.2015 Europäischer Rat, Europäisches Parlament und Europäische Kommission über den endgültigen Inhalt der neuen Datenschutz-Grundverordnung 2016/679 (EU-DSGVO) [1] geeinigt. Die Verordnung ist am 04.05.2016 veröffentlicht worden, dann äußerst zügig bereits am 24.05.2016 in Kraft getreten.
Die seit 1995 geltende EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) wurde damit ersetzt. Bei dem neuen europäischen Datenschutzrechtsakt handelt es sich aufgrund seiner rechtlichen Ausgestaltung als Verordnung um ein in den Mitgliedsstaaten unmittelbar anwendbares Sekundärrecht, das – anders als europäische Richtlinien – keiner nationalen Umsetzung mehr bedarf. Da europäische Rechtsbestimmungen in den Mitgliedsstaaten in Anbetracht gleichrangiger nationaler Regelungen grundsätzlich Anwendungsvorrang haben, stellt sich zunächst die Frage, in welchem Verhältnis die neuen europäischen Vorgaben nach Ablauf der Übergangsfrist zu den geltenden deutschen datenschutzrechtlichen Bestimmungen der §§ 11 ff. Telemediengesetz (TMG) [2] sowie des BDSG stehen werden. Bisher regelte das BDSG die Rechte und Pflichten der Verantwortlichen. Darüber hinaus beruhen wesentliche Teile des geltenden BDSG auf einer Umsetzung der europäischen Datenschutzrichtlinie RL 95/46/EG. Es ist demnach davon auszugehen, dass maßgebliche Abschnitte des BDSG ihren Geltungsanspruch zugunsten der reformierten Bestimmungen aufgeben werden. Der neue Rechtsakt gibt den gesetzlichen Rahmen für ein harmonisiertes Datenschutzrecht vor, überlässt in vielen Regelungspunkten die gesetzliche Ausgestaltung allerdings der jeweiligen mitgliedsstaatlichen Legislative [3]. Durch diese Aufgabenverteilung an den nationalen Gesetzgeber wird der eigentliche Verordnungszweck der verbindlichen europarechtlichen Harmonisierung des Datenschutzniveaus wieder unterlaufen. Die einzelnen Mitgliedsstaaten haben trotz der direkten Geltung der Verordnung spezialgesetzliche Bestimmungen zu erlassen. Dieser Widerspruch von (nicht aufgehobenen) Vorgaben des BDSG und den Bestimmungen der Datenschutz-Grundverordnung, wird Klärungsbedarf mit sich bringen.
Nachfolgend werden einzelne wesentliche Bestimmungen kurz dargestellt:
Die Datenverarbeitung hat auch nach der EU-DSGVO insbesondere rechtmäßig sein [4]. Die Beurteilung der Rechtmäßigkeit ist an diverse voneinander unabhängigen Voraussetzungen geknüpft. Eine ganz wesentliche davon ist die Einwilligung des Betroffenen [5]. Es besteht das Recht des Betroffenen, die Einwilligung jederzeit zu widerrufen. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein [6].
Jeder hat das Recht zu erfahren, welche Daten über ihn gesammelt werden [7]. Der Nutzer wird Anspruch auf klare und leicht verständliche Informationen darüber haben, wer seine Daten verarbeitet. Dazu gehört, dass Nutzer ausführlich darüber informiert werden müssen, falls ihre Daten gehackt wurden [8].
Es ist die Benennung eines Datenschutzbeauftragten vorzunehmen, der eine sog. „Datenschutz-Folgenabschätzung“ durchzuführen hat [9].
Der Nutzer wird das Recht haben, Daten von einem Internetanbieter zum anderen mitzunehmen, weiterhin hat er einen Anspruch auf Löschung (Recht des Nutzers auf Vergessen) [10].
Für den Bereich von Gesundheitsdaten sind in der EU-DSGVO folgende elementare Eckpunkte geplant:
Der ursprünglich geplante Ausnahmetatbestand des Art. 81 EU-DSGVO „Verarbeitung personenbezogener Daten für Gesundheitszwecke“, der unter anderem beispielsweise: Abrechnungen von Krankenversicherten, Maßnahmen zur Sicherung einer einheitlichen Behandlungsqualität und Maßnahmen zur Aufrechterhaltung von Sicherheitsstandards für Medikamente und Medizinprodukte vorsah, ist entfallen und wurde als Regelung Art. 9 Abs. 2 lit. i EU-DSGVO eingefügt.
Ebenso wurde der im Entwurf noch enthaltene Art. 81a EU-DSGVO „Verarbeitung genetischer Daten“ herausgenommen und in Art. 9 Abs. 2 lit. j EU-DSGVO normiert. Art. 9 Abs. 2 lit. j EU-DSGVO löst offenbar die bislang bekannte Unterbrechung des Datenschutzes gem. § 28 Abs. 9 BDSG ab. Gem. § 28 Abs. 9 BDSG ist die Forschung mit anonymisierten Daten zulässig, besonders mit den im Krebsregister gespeicherten Daten.
Außerdem dürfen anonymisierte "Rohdaten" an andere Forscher weitergegeben werden. Eine Auswertung persönlicher Daten bedarf der Zustimmung des Patienten. Wenn diese Zustimmung nicht erhältlich ist, die Auswertung allerdings einen bedeutsamen Erkenntnisfortschritt bei der Behandlung schwerer Krankheiten zu versprechen vermag, ist zwischen dem Interesse des Patienten an einer Geheimhaltung seiner Daten und dem möglichen Erkenntnisgewinn abzuwägen - am besten unter Zuhilfenahme einer Ethikkommission. Deren Abwägung wird allerdings im Regelfall noch zugunsten der Geheimhaltung ausfallen. Wie diese Frage in Zukunft beantwortet wird, und ob zukünftig das Interesse an der wissenschaftlichen Auswertung das Geheimhaltungsinteresse des Patienten überwiegen wird, gilt es abzuwarten.
Im Ergebnis führt die EU-DSGVO eine Reihe von maßgeblichen Veränderungen herbei, die sich vor allem in einer deutlichen Stärkung der Betroffenenrechte niederschlagen. Die Formulierungen neuer Berechtigungen wie derjenigen auf Datenübertragung, auf Unbetroffenheit von automatischen datenbasierten Entscheidungen und auf Widerspruch werden ebenso zur Anpassung der Datenverarbeitung zwingen wie der Wegfall der Erlaubnistatbestände und die Einführung eines Einwilligungserfordernisses. Weiter wird daraus resultierend eine Neufassung der Datenschutzerklärung erforderlich, die nun über die Dauer der Datenspeicherung und ein Beschwerderecht bei der zuständigen Aufsichtsbehörde aufklären muss. Nachdruck wird dem Regelungs- und Beachtungsbedarf ganz besonders durch stark verschärfte Bußgeldvorschriften verliehen, deren Verstoß als Konsequenz Strafen in Höhe von Millionenbeträgen auslösen kann.
[1]
Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.
[2]
§ 11 TMG „Anbieter-Nutzer-Verhältnis“
„(1) Die Vorschriften dieses Abschnitts gelten nicht für die Erhebung und Verwendung personenbezogener Daten der Nutzer von Telemedien, soweit die Bereitstellung solcher Dienste
1. im Dienst- und Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken oder
2. innerhalb von oder zwischen nicht öffentlichen Stellen oder öffentlichen Stellen ausschließlich zur Steuerung von Arbeits- oder Geschäftsprozessen erfolgt.
(2) Nutzer im Sinne dieses Abschnitts ist jede natürliche Person, die Telemedien nutzt, insbesondere um Informationen zu erlangen oder zugänglich zu machen.“
[3]
beispielsweise hinsichtlich des Mindestalters für einwilligungsfähige Minderjährige, Art. 8 oder der Ausgestaltung der Zulässigkeit des „Profilings“, Art. 20 Datenschutz-Grundverordnung
[4]
Art. 6 EU-DSGVO „Rechtmäßigkeit der Verarbeitung“
[5]
Art. 4 Abs. 11 EU-DSGVO Definition der Einwilligung, Art. 7 EU-DSGVO „Einwilligung“
[6]
Art. 7 S. 3 EU-DSGVO
[7]
Art. 5 EU-DSGVO „Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten“
[8]
Art. 5 S. 2 EU-DSGVO
[9]
Art.35 EU-DSGVO „Benennung eines Datenschutzbeauftragten“
[10]
Art. 17 EU-DSGVO „Recht auf Löschung“ (“Recht auf “Vergessenwerden”)