Die Gesellschaft für Datenschutz und Datensicherung e. V. (GDD) hat die
von der Bundesregierung im Rahmen eines sog.
Mittelstandsentlastungsgesetzes
vorgesehene Änderung des Bundesdatenschutzgesetzes (BDSG) und des
Strafgesetzbuches (StGB) zum Anlass genommen auf weitere
Entbürokratisierungspotenziale hinzuweisen.
Die in § 203 StGB genannten Berufsgeheimnisträger seien vielfach auf
die Inanspruchnahme von externen Dienstleistern angewiesen, die im Wege
einer Auftragsdatenverarbeitung im Sinne von §11 BDSG für die
geheimnisverpflichteten Auftraggeber weisungsgebunden tätig würden. Als
Beispiel führt der Fachverband die digitale Archivierung von
Krankenunterlagen an. In derartigen Fällen divergiere vielfach die
strafrechtliche von der datenschutzrechtlichen Beurteilung der
Datenweitergabe. Während nach dem BDSG die Weitergabe personenbezogener
Daten unter den Voraussetzungen des § 11 BDSG privilegiert sei, liege
nach dem StGB hierin eine „unbefugte Offenbarung“, es sei denn es lägen
Einzeleinwilligungen der Patienten vor (vgl. OLG Düsseldorf, CR 1997,
536 ff.). Ob landesrechtliche Vorschriften, die unter
datenschutzrechtlichen Gesichtspunkten regelten, unter welchen
Voraussetzungen ausnahmsweise eine Verarbeitung von Patientendaten im
Auftrag erfolgen darf (z. B. in Landesdatenschutz- oder
Landeskrankenhausgesetzen) als Rechtfertigungsgrund herangezogen werden
könnten, sei nicht mit hinreichender Rechtssicherheit geklärt. Daher
sei eine gesetzliche Klarstellung angezeigt, die auch den
Berufsgeheimnisträgern das - organisatorisch und wirtschaftlich
vielfach sinnvolle - Outsourcing ermögliche. Wie bereits
sinnvollerweise für den externen Datenschutzbeauftragten vorgesehen,
könnten auch die Auftragnehmer mit entsprechenden
Zeugnisverweigerungsrechten ausgestattet werden, an die sich ein
Beschlagnahmeverbot anschließe. Auch hier könne im Wege einer
entsprechenden Änderung des § 203 StGB der Geheimnisschutz durch eine
Strafbewehrung der Verletzung der Schweigepflicht flankierend
sichergestellt werden.
Als nachvollziehbar erachtet die GDD eine differenzierte und maßvolle
Anhebung der für die Meldepflicht bzw. die Pflicht zur Bestellung eines
betrieblichen Datenschutzbeauftragten maßgebende Personenzahl. Insofern
greift der Gesetzentwurf den Vorschlag der GDD auf, den Schwellenwert
auf 10 mit automatisierter Datenverarbeitung beschäftigte Personen
anzuheben. Gleichzeitig weist der Verband aber nochmals darauf hin,
dass eine solche Anhebung nicht pauschal erfolgen dürfe. Nicht zuletzt
mit Blick auf die EG-Datenschutzrichtlinie empfiehlt die GDD insofern
den Erlass von Regelungen, die nach dem tatsächlichen
Gefährdungspotenzial der Datenverarbeitung differenzieren. Gerade
solche Branchen und Berufe, deren Kernbereich die personenbezogene
Datenverarbeitung sei bzw. die mit besonders sensiblen Daten umgingen,
benötigten einen in Datenschutz- und Datensicherheitsfragen gut
ausgebildeten Spezialisten, der letztlich im wohlverstandenen
Eigeninteresse der Geschäftsleitung ein effektives Risikomanagement
betreibe.
Eine ausgewogene und von Fachverbänden unterstützte Selbstkontrolle
der Wirtschaft trage im Endeffekt auch zur Entlastung der
Datenschutz-Aufsichtsbehörden bei und leiste so einen wertvollen
Beitrag zu der im Koalitionsvertrag befürworteten Schaffung einer
effizienten und Kosten sparenden Verwaltung.
Volltext der
GDD-Stellungnahme