Читать книгу DS-GVO/BDSG - David Klein - Страница 600

103

Der Gesetzgeber hat im Zuge der DS-GVO das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz – DSAnpUG)[194] verabschiedet. Es trat zusammen mit der DS-GVO am 25. Mai 2018 in Kraft. Teil des DSAnpUG ist in Art. 1 ein neues BDSG (im Folgenden BDSG n.F.). Ende 2019 hat der Gesetzgeber durch das 2. DSAnpUG unter anderem § 22 BDSG mit Wirkung zum 26.11.2019 geändert.[195]

104

§ 22 BDSG n.F. regelt die Verarbeitung besonderer Kategorien personenbezogener Daten. Dabei macht er von den Öffnungsklauseln des Art. 9 Abs. 2 lit. b (durch § 22 Abs. 1 Nr. 1 lit. a BDSG n.F.), Art. 9 Abs. 2 lit. g (durch § 22 Abs. 1 Nr. 1 lit. d, Nr. 2 lit. a–c BDSG n.F.), Art. 9 Abs. 2 lit. h i.V.m. Abs. 3 (durch § 22 Abs. 1 Nr. 1 lit. b BDSG n.F.) sowie des Art. 9 Abs. 2 lit. i (durch § 22 Abs. 1 Nr. 1 lit. c BDSG n.F.) Gebrauch.[196]

105

§ 22 Abs. 1 BDSG n.F. legt die Voraussetzungen fest, unter denen die Verarbeitung besonderer Kategorien personenbezogener Daten ausnahmsweise zulässig sein kann. Hierbei ist zu berücksichtigen, dass § 22 Abs. 1 Nr. 1 BDSG n.F. öffentliche und nichtöffentliche Stellen erfasst, während § 22 Abs. 1 Nr. 2 BDSG n.F. nur die öffentlichen Stellen nennt.[197]

106

Die Regelung des § 22 Abs. 1 Nr. 1 lit. a BDSG n.F. schafft die Voraussetzungen, dass die Verarbeitung des Verantwortlichen zur Erfüllung der in Deutschland geltenden sozial- und sozialversicherungsrechtlichen Pflichten unverändert fortgeführt werden können. Neben der Regelung im BDSG n.F. können auch die in den Gesundheits- und Sozialgesetzen geregelten Datenverarbeitungen eine entsprechende Rechtsgrundlage bilden.[198] Die datenschutzrelevanten Vorschriften des SGB sind mit Blick auf die DS-GVO novelliert worden.

107

Inhaltlich entspricht § 22 Abs. 1 Nr. 1 lit. a BDSG n.F. dem Regelungsgehalt des Art. 9 Abs. 2 lit. b. Insofern ergeben sich keine Abweichungen. Zwar wird deshalb teilweise[199] ein Verstoß gegen das europarechtliche Normwiederholungsverbot diskutiert. Gleichwohl übersieht eine derartige Betrachtung, dass laut ErwG 8 die Mitgliedstaaten Teile der DS-GVO in ihr nationales Recht aufnehmen können, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften verständlicher zu machen. Insofern ist die punktuelle Wiederholung einzelner Passagen der DS-GVO zulässig.[200] Seinem Ausgestaltungs- und Konkretisierungsauftrag kommt der Gesetzgeber dabei durch den Erlass bereichsspezifischer Datenschutzregelungen nach. Insofern hindert die Wiederholung die unmittelbare Wirkung der Verordnung nicht. Der deutsche Gesetzgeber hat daher in zulässiger Weise von der Öffnungsklausel Gebrauch gemacht. [201] In praktischer Hinsicht findet § 22 Abs. 1 Nr. 1 lit. a etwa bei Datenverarbeitungen durch öffentliche oder nichtöffentliche Stellen Anwendung, z.B. um Rechte im Bereich des Sozialschutzes geltend zu machen oder auszuüben.[202] Zu beachten ist aber, dass entsprechend § 1 Abs. 2 BDSG das bereichsspezifische Datenschutzrecht des SGB den Regelungen des BDSG vorgeht.[203]

108

§ 22 Abs. 1 Nr. 1 lit. b BDSG n.F. stellt eine Umsetzung von Art. 9 Abs. 2 lit. h i.V.m. Art. 9 Abs. 3 dar. Dabei wurde auf eine explizite Nennung der Arbeitsmedizin verzichtet, da der Begriff der Gesundheitsvorsorge den Begriff der arbeitsmedizinischen Vorsorge umfasst.[204] Darüber hinaus wurde auf die Aufnahme der Arbeitsmedizin verzichtet, da es in Deutschland keine Verarbeitung von sensiblen Daten zu Zwecken besonderer Facharztrichtungen (z.B. der Arbeitsmedizin) gibt. Die Verarbeitung erfolgt vielmehr jeweils anhand ihrer entsprechenden Zwecke, die sich aus § 22 Abs. 1 Nr. 1 lit. b BDSG n.F. unmittelbar ergeben. Mit der vom deutschen Gesetzgeber gewählten Formulierung wird folglich klargestellt, dass mit § 22 Abs. 1 Nr. 1 lit. b BDSG n.F. in erster Linie der Behandlungsvertrag gem. §§ 630a ff. BGB, gemeint ist.[205] Daher findet die Vorschrift vor allem in der Humanmedizin, also für (Zahn-)Ärzte, Psychotherapeuten oder Kinder- und Jugendlichenpsychotherapeuten Anwendung. Darüber hinaus werden vom Behandlungsvertrag auch Angehörige anderer Heilberufe, deren Ausbildung nach Art. 74 Abs. 1 Nr. 19 GG durch Bundesgesetz (Hebammen, Masseure und medizinische Bademeister, Ergotherapeuten, Logopäden, Physiotherapeuten u.a.) geregelt ist, oder Heilpraktiker erfasst.[206] Ein weiteres Anwendungsfeld von § 22 Abs. 1 lit. b BDSG ergibt sich zudem im Rahmen der Tätigkeit von Krankenkassen. Sofern diese Abrechnungsdaten von Ärzten, etwa in Gestalt eingereichter Rechnungen für Prothesen, erhalten und die Krankenkasse diese Daten in einer Datenbank sammelt und dahingehend auswertet, ob sich Rückschlüsse im Hinblick auf die Qualität der Prothesen ermitteln lassen, so dient diese Maßnahme der Produktverbesserung letztlich ebenfalls der Gesundheitsvorsorge und ist abweichend vom Verbotsgrundsatz des Art. 9 Abs. 1 nach § 22 Abs. 1 lit. b BDSG im Rahmen einer Interessenabwägung zulässig. Zu beachten ist allerdings, dass entsprechend der Vorgaben nach § 22 Abs. 2 BDSG angemessene Maßnahmen zum Schutz der Daten der betroffenen Person vorzusehen sind. Dies kann unter anderem dadurch erreicht werden, dass die personenbezogenen Daten, die sich aus den Abrechnungen ergeben, entsprechend den Vorgaben aus § 22 Abs. 2 Nr. 7 BDSG nach Art. 4 Nr. 5 pseudonymisiert werden und nur ein Notar den Schlüssel für eine Reidentifikation besitzt. Die Vorschrift findet damit auch Anwendung auf Medizingerätehersteller (etwa von Beatmungsanlagen oder Insulinpumpen), die zur Vorhersage und Minimierung von Fehlerquellen im Rahmen der Produktentwicklung Daten, die sich aus Wartungsarbeiten oder der Herstellung ergeben, auswertet und im Hinblick darauf überprüft, ob diese Daten Rückschlüsse auf mögliche Fehlerquellen und Verbesserungen im Rahmen des Herstellungsprozesses zulassen. Gerade sofern im Rahmen einer Arbeitskontrolle auch Beschäftigtendaten nach Art. 88 verarbeitet werden, so kann diesen besonderen Anforderungen dadurch Rechnung getragen werden, dass im Rahmen einer Betriebsvereinbarung die Einwilligung aller betroffenen Arbeitnehmer eingeholt wird. Auch eine derartige Datenverarbeitung zum Zwecke der Produktverbesserung dient der Gesundheitsvorsorge und ist damit nach § 22 Abs. 1 lit. b BDSG im Rahmen einer Interessenabwägung zulässig, solange der Kriterienkatalog des § 22 Abs. 2 BDSG hinreichend beachtet wird.

109

Soweit gem. § 22 Abs. 1 Nr. 1 lit. b BDSG n.F. eine Datenverarbeitung auch zulässig ist, „diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal dem Berufsgeheimnis unterliegt“ sind auch die Erfüllungsgehilfen der genannten Gesundheits- und Heilberufe erfasst.[207]

110

§ 22 Abs. 1 Nr. 1 lit. b BDSG n.F. entspricht also im Wesentlichen § 13 Abs. 2 Nr. 7 und § 28 Abs. 7 BDSG a.F. Zu Inhalt und Reichweite des Berufsgeheimnisses sowie den Geheimhaltungspflichten (vgl. die Ausführungen unter Rn. 225).

111

§ 22 Abs. 1 Nr. 1 lit. c BDSG n.F. setzt Art. 9 Abs. 2 lit. i um. Insofern macht der deutsche Gesetzgeber in zulässiger Form von der Öffnungsklausel Gebrauch, indem er ergänzend zu den in § 22 Abs. 2 BDSG n.F. genannten Maßnahmen die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses unter den Begriff der spezifischen Schutzmaßnahmen miteinbezieht. Dadurch macht der Gesetzgeber deutlich, dass § 22 Abs. 1 Nr. 1 lit. c nicht die besonderen Vorschriften zur Einhaltung des Berufsgeheimnisses verdrängt.[208] Vielmehr ist die Vorschrift dahingehend anzuwenden, dass Personen, die einem Berufsgeheimnis unterliegen, dieses auch im Falle der Erforderlichkeit einer Datenverarbeitung einzuhalten haben.[209] Die Vorschrift soll es letztlich öffentlichen und nichtöffentlichen Stellen ermöglichen ihren gesetzlichen Produktbeobachtungspflichten nachzukommen auch wenn damit eine Verarbeitung sensibler Daten einhergeht.[210]

112

§ 22 Abs. 1 Nr. 1 lit. d wurde infolge des 2. DSAnpUG eingefügt und entspricht § 22 Abs. 1 Nr. 2 lit. a.[211] Insofern gewinnen auch nichtöffentliche Stellen einen Erlaubnistatbestand hinzu, da § 22 Abs. 1 Nr. 2 lit. a ursprünglich nur für öffentliche Stellen galt.

113

Das Erfordernis einer Interessenabwägung in § 22 Abs. 1 Nr. 1 lit. d BDSG n.F. setzt die Vorgaben aus Art. 9 Abs. 2 lit. g sachgerecht um. § 22 Abs. 1 Nr. 1 lit. d, Nr. 2 lit. a–c BDSG n.F. entsprechen dabei § 13 Abs. 1 Nr. 1, 5, 6 und 9 BDSG a.F.

114

Zunächst wird in § 22 Abs. 1 Nr. 1 lit. d BDSG n.F. das erhebliche öffentliche Interesse wiederholt. Die Verarbeitung muss demnach der Allgemeinheit als solcher und nicht einzelner partikularen oder, privaten Interessen dienen. Zudem muss das öffentliche Interesse „zwingend“ erforderlich sein. Um diese Voraussetzungen zu erfüllen, muss eine besondere Qualifikation vorliegen. Dies kann z.B. der Wahrung der Freiheitsrechte, der Wahrung der Rechtstaatlichkeit, der Strafverfolgung, der Finanzverwaltung zum Zweck der Steuergerechtigkeit, die Wahrung oder der Sicherstellung der öffentlichen Gesundheit und Gesundheitsfürsorge.[212]

115

Ein erhebliches öffentliches Interesse nach § 22 Abs. 1 Nr. 1 lit. d BDSG n.F. ist insbesondere dann anzunehmen, wenn biometrische Daten zum Zwecke der eindeutigen Identifizierung der betroffenen Person verarbeitet werden.[213] Zwar mutet der Begriff des „öffentlichen Interesses“ generalklauselartig an, wird aber gleichwohl durch das zwingende Erfordernis der Datenverarbeitung sachgerecht eingeschränkt. Zur Reichweite und Inhalt des Begriffs des öffentlichen Interesse vgl. Art. 9 Abs. 2 lit. g[214].

116

Nach § 22 Abs. 1 Nr. 2 lit. c BDSG n.F. ist aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen ebenfalls eine Verarbeitung besonderer Kategorien personenbezogener Daten zulässig.

117

Diese Erlaubnisse nach § 22 Abs. 1 Nr. 2 BDSG n.F. sind nur im Rahmen einer Interessenabwägung zulässig, da nach Art. 9 Abs. 2 lit. g die Verarbeitung in einem angemessenen Verhältnis zu dem verfolgten Zweck stehen und den Wesensgehalt des Rechts auf Datenschutz wahren muss.[215] Fallgestaltungen, bei denen das Interesse des Betroffenen in den vorgenannten Fällen überwiegt, sind nur bedingt ersichtlich. Bereits die Regelung in Art. 9 Abs. 2 lit. g, wonach bei einem erheblichen öffentlichen Interesse gleichwohl der Wesensgehalt des Datenschutzes gewahrt werden muss, ist begrifflich und auch normativ vage und bietet in Bezug auf den Datenschutz kaum einen materiellen Mehrwert.[216]

118

Die Reglung des § 22 Abs. 2 BDSG n.F. setzt die Forderung aus Art. 9 Abs. 2 lit. b, g und i um, die geeignete Garantien für die Grundrechte und die Interessen bzw. angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interesse der Betroffenen Person notwendig machen.[217] Auch § 26 Abs. 3 S. 3 BDSG n.F. verweist für individualarbeitsrechtlich notwendige Verarbeitung sensibler Daten nach Art. 9 Abs. 1 auf § 22 Abs. 2 BDSG n.F. Notwendig sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person. Im Rahmen einer Risikobeurteilung werden in § 22 Abs. 2 BDSG n.F. zehn spezifische technische und organisatorische Maßnahmen als Beispiele aufgeführt. Diese konkretisieren insoweit die Anforderungen an ein Datensicherheitsmanagement gem. Art. 25[218] und Art. 32[219]. Die Nennung aller Fälle des Abs. 1 zeigt insbesondere, dass es für eine datenschutzkonforme Datenverarbeitung als angemessene Schutzmaßnahme nicht ausreicht, dass die in Abs. 1 benannten Personen einer beruflichen oder gesetzlichen Geheimhaltungspflicht unterliegen.[220] Vielmehr sind unter den Voraussetzungen des Abs. 2 darüber hinausgehende Schutzmaßnahmen entsprechend den Anforderungen aus Art. 25, 32 erforderlich.[221]