Startseite
Datenschutzgerechte Ausschöpfung von Entbürokratisierungspotenzialen!
Die Gesellschaft für Datenschutz und Datensicherung e. V. (GDD) hat die
von der Bundesregierung im Rahmen eines sog. Mittelstandsentlastungsgesetzes
vorgesehene Änderung des Bundesdatenschutzgesetzes (BDSG) und des
Strafgesetzbuches (StGB) zum Anlass genommen auf weitere
Entbürokratisierungspotenziale hinzuweisen.
Die in § 203 StGB genannten Berufsgeheimnisträger seien vielfach auf die Inanspruchnahme von externen Dienstleistern angewiesen, die im Wege einer Auftragsdatenverarbeitung im Sinne von §11 BDSG für die geheimnisverpflichteten Auftraggeber weisungsgebunden tätig würden. Als Beispiel führt der Fachverband die digitale Archivierung von Krankenunterlagen an. In derartigen Fällen divergiere vielfach die strafrechtliche von der datenschutzrechtlichen Beurteilung der Datenweitergabe. Während nach dem BDSG die Weitergabe personenbezogener Daten unter den Voraussetzungen des § 11 BDSG privilegiert sei, liege nach dem StGB hierin eine „unbefugte Offenbarung“, es sei denn es lägen Einzeleinwilligungen der Patienten vor (vgl. OLG Düsseldorf, CR 1997, 536 ff.). Ob landesrechtliche Vorschriften, die unter datenschutzrechtlichen Gesichtspunkten regelten, unter welchen Voraussetzungen ausnahmsweise eine Verarbeitung von Patientendaten im Auftrag erfolgen darf (z. B. in Landesdatenschutz- oder Landeskrankenhausgesetzen) als Rechtfertigungsgrund herangezogen werden könnten, sei nicht mit hinreichender Rechtssicherheit geklärt. Daher sei eine gesetzliche Klarstellung angezeigt, die auch den Berufsgeheimnisträgern das - organisatorisch und wirtschaftlich vielfach sinnvolle - Outsourcing ermögliche. Wie bereits sinnvollerweise für den externen Datenschutzbeauftragten vorgesehen, könnten auch die Auftragnehmer mit entsprechenden Zeugnisverweigerungsrechten ausgestattet werden, an die sich ein Beschlagnahmeverbot anschließe. Auch hier könne im Wege einer entsprechenden Änderung des § 203 StGB der Geheimnisschutz durch eine Strafbewehrung der Verletzung der Schweigepflicht flankierend sichergestellt werden.
Als nachvollziehbar erachtet die GDD eine differenzierte und maßvolle Anhebung der für die Meldepflicht bzw. die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten maßgebende Personenzahl. Insofern greift der Gesetzentwurf den Vorschlag der GDD auf, den Schwellenwert auf 10 mit automatisierter Datenverarbeitung beschäftigte Personen anzuheben. Gleichzeitig weist der Verband aber nochmals darauf hin, dass eine solche Anhebung nicht pauschal erfolgen dürfe. Nicht zuletzt mit Blick auf die EG-Datenschutzrichtlinie empfiehlt die GDD insofern den Erlass von Regelungen, die nach dem tatsächlichen Gefährdungspotenzial der Datenverarbeitung differenzieren. Gerade solche Branchen und Berufe, deren Kernbereich die personenbezogene Datenverarbeitung sei bzw. die mit besonders sensiblen Daten umgingen, benötigten einen in Datenschutz- und Datensicherheitsfragen gut ausgebildeten Spezialisten, der letztlich im wohlverstandenen Eigeninteresse der Geschäftsleitung ein effektives Risikomanagement betreibe.
Eine ausgewogene und von Fachverbänden unterstützte Selbstkontrolle der Wirtschaft trage im Endeffekt auch zur Entlastung der Datenschutz-Aufsichtsbehörden bei und leiste so einen wertvollen Beitrag zu der im Koalitionsvertrag befürworteten Schaffung einer effizienten und Kosten sparenden Verwaltung.
Volltext der GDD-Stellungnahme
Die in § 203 StGB genannten Berufsgeheimnisträger seien vielfach auf die Inanspruchnahme von externen Dienstleistern angewiesen, die im Wege einer Auftragsdatenverarbeitung im Sinne von §11 BDSG für die geheimnisverpflichteten Auftraggeber weisungsgebunden tätig würden. Als Beispiel führt der Fachverband die digitale Archivierung von Krankenunterlagen an. In derartigen Fällen divergiere vielfach die strafrechtliche von der datenschutzrechtlichen Beurteilung der Datenweitergabe. Während nach dem BDSG die Weitergabe personenbezogener Daten unter den Voraussetzungen des § 11 BDSG privilegiert sei, liege nach dem StGB hierin eine „unbefugte Offenbarung“, es sei denn es lägen Einzeleinwilligungen der Patienten vor (vgl. OLG Düsseldorf, CR 1997, 536 ff.). Ob landesrechtliche Vorschriften, die unter datenschutzrechtlichen Gesichtspunkten regelten, unter welchen Voraussetzungen ausnahmsweise eine Verarbeitung von Patientendaten im Auftrag erfolgen darf (z. B. in Landesdatenschutz- oder Landeskrankenhausgesetzen) als Rechtfertigungsgrund herangezogen werden könnten, sei nicht mit hinreichender Rechtssicherheit geklärt. Daher sei eine gesetzliche Klarstellung angezeigt, die auch den Berufsgeheimnisträgern das - organisatorisch und wirtschaftlich vielfach sinnvolle - Outsourcing ermögliche. Wie bereits sinnvollerweise für den externen Datenschutzbeauftragten vorgesehen, könnten auch die Auftragnehmer mit entsprechenden Zeugnisverweigerungsrechten ausgestattet werden, an die sich ein Beschlagnahmeverbot anschließe. Auch hier könne im Wege einer entsprechenden Änderung des § 203 StGB der Geheimnisschutz durch eine Strafbewehrung der Verletzung der Schweigepflicht flankierend sichergestellt werden.
Als nachvollziehbar erachtet die GDD eine differenzierte und maßvolle Anhebung der für die Meldepflicht bzw. die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten maßgebende Personenzahl. Insofern greift der Gesetzentwurf den Vorschlag der GDD auf, den Schwellenwert auf 10 mit automatisierter Datenverarbeitung beschäftigte Personen anzuheben. Gleichzeitig weist der Verband aber nochmals darauf hin, dass eine solche Anhebung nicht pauschal erfolgen dürfe. Nicht zuletzt mit Blick auf die EG-Datenschutzrichtlinie empfiehlt die GDD insofern den Erlass von Regelungen, die nach dem tatsächlichen Gefährdungspotenzial der Datenverarbeitung differenzieren. Gerade solche Branchen und Berufe, deren Kernbereich die personenbezogene Datenverarbeitung sei bzw. die mit besonders sensiblen Daten umgingen, benötigten einen in Datenschutz- und Datensicherheitsfragen gut ausgebildeten Spezialisten, der letztlich im wohlverstandenen Eigeninteresse der Geschäftsleitung ein effektives Risikomanagement betreibe.
Eine ausgewogene und von Fachverbänden unterstützte Selbstkontrolle der Wirtschaft trage im Endeffekt auch zur Entlastung der Datenschutz-Aufsichtsbehörden bei und leiste so einen wertvollen Beitrag zu der im Koalitionsvertrag befürworteten Schaffung einer effizienten und Kosten sparenden Verwaltung.
Volltext der GDD-Stellungnahme
News
Kooperations- partner der GDD
