Praxis |

Rechtssicherheit schaffen

DS-GVO

0Kommentare

Für Berufsgeheimnisträger wirft das neue Datenschutzrecht vor allem Fragen hinsichtlich Aufsicht und Kontrolle durch staatliche Behörden auf. Thomas Kranig, Präsident des Bay­erischen Landesamts für Datenschutzaufsicht, gibt Antworten.

Ab Mai 2018 wird ein neues Datenschutzrecht zur Anwendung kommen. Was ändert sich für Berufsgeheimnisträger?

Die Vorschriften der Datenschutz-Grundverordnung, kurz DSGVO, gelten zunächst einmal für alle verantwortlichen Stellen, demnach auch für Berufsgeheimnisträger. Das bedeutet, dass auch diese Berufsgruppen ein Verzeichnis von ihren Ver­arbeitungs­tätig­keiten erstellen müssen. Alle ausgelagerten Arbeiten sind zu dokumentieren und ent­sprechende Verträge bezüglich der Auftragsverarbeitung bei Bedarf vorzulegen. Be­trof­fenenrechte, wie etwa das Recht auf Auskunft, Berichtigung, Löschung oder – sehr spannend – Datenübertragbarkeit müssen auch die Berufsgeheimnisträger ge­währ­leisten; allerdings ist dies durch den § 29 Bundesdatenschutzgesetz (BDSG) neu ein­geschränkt. Und nicht zuletzt müssen sich Berufsgeheimnisträger darauf vorbereiten, dass auch bei ihnen eine Datenschutzverletzung mit entsprechender Meldepflicht vorkommen kann.

Unterliegen Berufsgeheimnisträger wie Ärzte, Rechtsanwälte oder Steuerberater einer eigenen oder staatlicher Aufsicht?

Derzeit gibt es nach meinem Kenntnisstand keine eigene unabhängige Aufsichtsbehörde im Sinne der Art. 51ff. DS-GVO für Ärzte, Rechtsanwälte oder Steuerberater. Damit unterliegen die Berufsgeheimnisträger grundsätzlich der Aufsicht durch die in den Mitgliedstaaten eingerichteten Aufsichtsbehörden. Wenn die bestehenden Auf­sichts­behörden in ihren Befugnissen durch den Gesetzgeber beschränkt werden sollen, wird es eine Schutzlücke geben. Wie die Lücke, die es nach der DS-GVO nicht geben darf, geschlossen wird, ist für mich noch offen. Sowohl die Regelungen der DS-GVO als auch des Bundesdatenschutzgesetz neu werden erst am 25. Mai 2018 gültig. Insofern bleibt abzuwarten, ob und wenn ja, welche ergänzenden gesetzlichen Regelungen zum Schließen dieser Kontrolllücke noch erlassen werden.

Nach bisherigem Recht gelten die Mandatierungen von Rechts­an­wälten, Steuerberatern und Wirt­schafts­prüfern mit Aufgaben aus ihren jeweiligen Berufs­feldern nicht als Auftragsverarbeitung. Wird sich das mit der DS-GVO ändern?

Wenn man hoheitliche Maßnahmen des Staats zur Einhaltung gesetzlicher Vorschriften als Gängelung bezeichnet, dann erwarte ich diese auch in Zukunft.

Ich gehe davon aus, dass sich dies unter der DS-GVO im Ergebnis nicht ändern wird. Allerdings gibt es auf europäischer Ebene bezüglich der Definition, was Auftragsbearbeitung tatsächlich ist, noch intensive Dis­kus­sionen. Das Abgrenzungskriterium zur Funktionsübertragung, das hierzulande bisher verwendet wird, ist in anderen Mitgliedstaaten nicht bekannt. Folglich ist nicht gänzlich ausgeschlossen, dass auch insoweit noch nicht die letzte Klarheit besteht.

Können die Mitgliedstaaten Einschränkungen der staatlichen Aufsicht beschließen, um etwa Berufsgeheimnisse zu schützen?

Art. 90 DS-GVO sieht als Ausnahmeregelung vor, dass die Mitgliedstaaten Regelungen erlassen können, wodurch die Befugnisse der Aufsichtsbehörden bei Geheimnisträgern teilweise beschränkt werden, soweit das notwendig und verhältnismäßig ist, um das Recht auf Schutz der personenbezogenen Daten mit dem Recht zur Geheimhaltung in Einklang zu bringen.

Und hat der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch gemacht?

Deutschland hat eine derartige Spezifizierung in § 29 Abs. 3 BDSG neu umgesetzt. Gegenüber einigen in § 203 StGB genannten Berufsgeheimnisträgern wurden Unter­suchungs­befugnisse ausgeschlossen, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde. Dem BDSG neu ist leider nicht zu entnehmen, dass der Erlass dieser Spezifizierungsregelung notwendig und verhältnismäßig ist, was nach Art. 90 DS-GVO wiederum eine Voraus­setzung ist, um eine nationale Regelung treffen zu können. Vor diesem Hinter­grund bleibt abzuwarten, wie die Aufsichtsbehörden mit dem Anwendungsvorrang des Europa­rechts in diesen Fällen konkret umgehen werden.

Was ändert sich durch die Neuregelung des BDSG im Vergleich zur aktuellen Rechtslage?

Bei Anwendung der neuen BDSG-Vorschriften würden die Aufsichtsbehörden bei den Geheimnisträgern in ihren Befugnissen nach Art. 58 Abs. 1f beschränkt, das heißt, sie bekämen keinen Zugang mehr zu personenbezogenen Daten und Informationen; und die Geschäftsräume, einschließlich aller Datenverarbeitungsanlagen und Geräte, dürften ebenfalls nicht kontrolliert werden. Dem steht aber die in Art. 58 Abs. 1a DS-GVO genannte Befugnis der Aufsichtsbehörde entgegen, wonach die Geheimnisträger verpflichtet werden können, alle erforderlichen Informationen zur Verfügung zu stellen. Wie dieser Widerspruch aufgelöst wird, bleibt noch abzuwarten.

Hatten Sie in den letzten Jahren Fälle, in denen Maßnahmen der staatlichen Aufsicht das Berufsgeheimnis beim Geheimnisträger oder dessen Dienstleister gefährdeten?

Keinen einzigen. Wir gehen davon aus, dass schon heute die Übermittlung personen­bezogener Daten an eine Datenschutzaufsichtsbehörde im Rahmen von Kontrollen oder der Bearbeitung von Beschwerden keine unbefugte Offenbarung im Sinne des § 203 StGB darstellt und deshalb eine Gefährdung des Berufsgeheimnisses nicht gegeben ist.

In einer Pressemitteilung Ihrer Behörde ging es einmal um einen Zahnarzt, der Patientendaten frei zugänglich im Kellertreppenhaus aufbewahrte. Wie ist dieser Sachverhalt im Lichte der DS-GVO zu beurteilen hinsichtlich der Anforderungen an den Berufs­geheimnis­träger beziehungsweise denkbarer Konsequenzen?

Heute schon besteht eine Verpflichtung, die Datensicherheit zu wahren. Das wird auch in Zukunft Bestand haben. Anders als bisher sieht die DS-GVO in Art. 24 ganz grund­sätzlich vor, dass der Verantwortliche – verkürzt ausgedrückt – alle technischen und organisatorischen Maßnahmen ergreifen muss, damit die Verarbeitung gemäß der Verordnung erfolgt. Zudem muss er einen Nachweis der Wirksamkeit dafür erbringen. Die Sicherheit der Verarbeitung ist in Art. 32 DSGVO konkret geregelt. Anders als bisher sind Verstöße gegen diese Verpflichtung künftig bußgeldbewehrt. Auf den an­ge­spro­chenen Fall bezogen wäre bei Geltung der DS-GVO neben der Aufforderung, diesen datenschutzrechtlich unzulässigen Zustand unverzüglich zu beenden, sicherlich auch ein Bußgeld erlassen worden.

Die Einführung des § 29 BDSG neu ist umstritten. Teilweise be­fürch­tet man den Verzicht auf Datenschutzaufsichtsmaßnahmen bei Be­rufs­geheimnis­trägern, andererseits wird aber auch eine Gänge­lung der freien Berufe durch die staatliche Aufsicht im Zu­sammen­hang mit Berufs­geheim­nissen erwartet. Wie ist Ihre Meinung hierzu?

Wenn man hoheitliche Maßnahmen des Staats zur Einhaltung gesetzlicher Vorschriften als Gängelung bezeichnet, dann erwarte ich diese auch in Zukunft. Die freien Berufe sind insoweit wie alle anderen auch der Gängelung durch Steuerbehörden, Staats­anwalt­schaften sowie Gesundheitsoder Gewerbeaufsichtsämtern, aber auch der Datenschutzaufsichtsbehörden unterworfen. Wichtig bei allen diesen Gängelungen ist, dass die für die jeweiligen Stellen geltenden Vorschriften eingehalten werden. Das Datenschutzrecht gilt nun einmal auch für die freien Berufe beziehungsweise Ge­heim­nis­träger. Im Ergebnis darf es im Zusammenhang mit dem Steuer-, Straf- oder Daten­schutz­recht zu keiner Kontrolllücke kommen.

Die Bundesrechtsanwaltskammer hat Ende 2016 in einem Ge­setzes­ent­wurf vorgeschlagen, ihr die Daten­schutz­aufsicht für alle per­sonen­be­zogenen Daten in Rechts­anwalts­kanz­leien zu übertragen. Wer entscheidet darüber und wie stehen die Chancen?

Die Mitgliedstaaten legen gemäß Art. 51 DS-GVO fest, wer für welchen Bereich Auf­sichts­behörde sein soll. Wenn ein Mitgliedstaat eine bestimmte Stelle zur Auf­sichts­behörde macht, dann muss auch sichergestellt werden, dass alle sonstigen Vo­raus­setzungen, insbesondere die Unabhängigkeit, erfüllt sind. Ich persönlich halte nichts davon, eine weitere, unabhängige Aufsichtsbehörde zu schaffen. Denn das würde sicherlich auch andere Berufsgeheimnisträger, die in Kammern organisiert sind, dazu veranlassen, nach eigenen Aufsichtsbehörden zu rufen. Den Landes­daten­schutz­be­hörden blieben dann noch die Berufsgeheimnisträger, die nicht in Kammern organisiert sind. Das sind zwar die allermeisten Berufsgruppen, aber bei diesen würde kaum jemand eine Verletzung von Geheimhaltungspflichten geltend machen.

Hinsichtlich Auslegung und Umsetzung der DS-GVO muss Rechtssicherheit herrschen. Wie ist das zu realisieren?

Momentan bemühen sich die Aufsichtsbehörden auf deutscher und europäischer Ebene, ihr Vollzugsverständnis durch Veröffentlichungen transparent zu machen. Die deutschen Aufsichtsbehörden haben sich entschieden, dem Beispiel des Bayerischen Landesamts für Datenschutzaufsicht zu folgen und in sogenannten Kurzpapieren zu bestimmten Fragen Stellung zu nehmen. Auf europäischer Ebene veröffentlichen die in der Art.-29-Gruppe zusammengefassten europäischen Aufsichtsbehörden in sogenannten Working-Papers-Leitlinien zu einigen Themen. Ziel dieser Veröffentlichungen ist es, ein Stück weit Rechtssicherheit im Sinne einer Berechenbarkeit aufsichtsbehördlichen Handelns zu schaffen.

Das allein wird aber nicht ausreichen, oder?

Die DS-GVO selbst sieht als weitere Möglichkeit zur Schaffung von Rechtssicherheit in Art. 40 die Genehmigung von Verhaltensregeln und in Art. 42 eine Zertifizierung vor. Endgültige Rechtssicherheit kann jedoch nur der EuGH schaffen. Das kann er allerdings auch nur dann, wenn im Vorfeld Aufsichtsbehörden hoheitlich tätig geworden sind, dagegen geklagt wurde und die Gerichte der Mitgliedstaaten die Fälle dem EuGH zur Entscheidung vorlegen. Diese endgültige Rechtssicherheit wird mit an Sicherheit grenzender Wahrscheinlichkeit noch einige Jahre auf sich warten lassen.

 

Foto: b_parker, photovideostock / Getty Images

0Kommentare Neuen Kommentar verfassen

Einen neuen Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.