Für Berufsgeheimnisträger wirft das neue Datenschutzrecht vor allem Fragen hinsichtlich Aufsicht und Kontrolle durch staatliche Behörden auf. Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, gibt Antworten.
Ab Mai 2018 wird ein neues Datenschutzrecht zur Anwendung kommen. Was ändert sich für Berufsgeheimnisträger?
Die Vorschriften der Datenschutz-Grundverordnung, kurz DSGVO, gelten zunächst einmal für alle verantwortlichen Stellen, demnach auch für Berufsgeheimnisträger. Das bedeutet, dass auch diese Berufsgruppen ein Verzeichnis von ihren Verarbeitungstätigkeiten erstellen müssen. Alle ausgelagerten Arbeiten sind zu dokumentieren und entsprechende Verträge bezüglich der Auftragsverarbeitung bei Bedarf vorzulegen. Betroffenenrechte, wie etwa das Recht auf Auskunft, Berichtigung, Löschung oder – sehr spannend – Datenübertragbarkeit müssen auch die Berufsgeheimnisträger gewährleisten; allerdings ist dies durch den § 29 Bundesdatenschutzgesetz (BDSG) neu eingeschränkt. Und nicht zuletzt müssen sich Berufsgeheimnisträger darauf vorbereiten, dass auch bei ihnen eine Datenschutzverletzung mit entsprechender Meldepflicht vorkommen kann.
Unterliegen Berufsgeheimnisträger wie Ärzte, Rechtsanwälte oder Steuerberater einer eigenen oder staatlicher Aufsicht?
Derzeit gibt es nach meinem Kenntnisstand keine eigene unabhängige Aufsichtsbehörde im Sinne der Art. 51ff. DS-GVO für Ärzte, Rechtsanwälte oder Steuerberater. Damit unterliegen die Berufsgeheimnisträger grundsätzlich der Aufsicht durch die in den Mitgliedstaaten eingerichteten Aufsichtsbehörden. Wenn die bestehenden Aufsichtsbehörden in ihren Befugnissen durch den Gesetzgeber beschränkt werden sollen, wird es eine Schutzlücke geben. Wie die Lücke, die es nach der DS-GVO nicht geben darf, geschlossen wird, ist für mich noch offen. Sowohl die Regelungen der DS-GVO als auch des Bundesdatenschutzgesetz neu werden erst am 25. Mai 2018 gültig. Insofern bleibt abzuwarten, ob und wenn ja, welche ergänzenden gesetzlichen Regelungen zum Schließen dieser Kontrolllücke noch erlassen werden.
Nach bisherigem Recht gelten die Mandatierungen von Rechtsanwälten, Steuerberatern und Wirtschaftsprüfern mit Aufgaben aus ihren jeweiligen Berufsfeldern nicht als Auftragsverarbeitung. Wird sich das mit der DS-GVO ändern?
Wenn man hoheitliche Maßnahmen des Staats zur Einhaltung gesetzlicher Vorschriften als Gängelung bezeichnet, dann erwarte ich diese auch in Zukunft.
Ich gehe davon aus, dass sich dies unter der DS-GVO im Ergebnis nicht ändern wird. Allerdings gibt es auf europäischer Ebene bezüglich der Definition, was Auftragsbearbeitung tatsächlich ist, noch intensive Diskussionen. Das Abgrenzungskriterium zur Funktionsübertragung, das hierzulande bisher verwendet wird, ist in anderen Mitgliedstaaten nicht bekannt. Folglich ist nicht gänzlich ausgeschlossen, dass auch insoweit noch nicht die letzte Klarheit besteht.
Können die Mitgliedstaaten Einschränkungen der staatlichen Aufsicht beschließen, um etwa Berufsgeheimnisse zu schützen?
Art. 90 DS-GVO sieht als Ausnahmeregelung vor, dass die Mitgliedstaaten Regelungen erlassen können, wodurch die Befugnisse der Aufsichtsbehörden bei Geheimnisträgern teilweise beschränkt werden, soweit das notwendig und verhältnismäßig ist, um das Recht auf Schutz der personenbezogenen Daten mit dem Recht zur Geheimhaltung in Einklang zu bringen.
Und hat der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch gemacht?
Deutschland hat eine derartige Spezifizierung in § 29 Abs. 3 BDSG neu umgesetzt. Gegenüber einigen in § 203 StGB genannten Berufsgeheimnisträgern wurden Untersuchungsbefugnisse ausgeschlossen, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde. Dem BDSG neu ist leider nicht zu entnehmen, dass der Erlass dieser Spezifizierungsregelung notwendig und verhältnismäßig ist, was nach Art. 90 DS-GVO wiederum eine Voraussetzung ist, um eine nationale Regelung treffen zu können. Vor diesem Hintergrund bleibt abzuwarten, wie die Aufsichtsbehörden mit dem Anwendungsvorrang des Europarechts in diesen Fällen konkret umgehen werden.
Was ändert sich durch die Neuregelung des BDSG im Vergleich zur aktuellen Rechtslage?
Bei Anwendung der neuen BDSG-Vorschriften würden die Aufsichtsbehörden bei den Geheimnisträgern in ihren Befugnissen nach Art. 58 Abs. 1f beschränkt, das heißt, sie bekämen keinen Zugang mehr zu personenbezogenen Daten und Informationen; und die Geschäftsräume, einschließlich aller Datenverarbeitungsanlagen und Geräte, dürften ebenfalls nicht kontrolliert werden. Dem steht aber die in Art. 58 Abs. 1a DS-GVO genannte Befugnis der Aufsichtsbehörde entgegen, wonach die Geheimnisträger verpflichtet werden können, alle erforderlichen Informationen zur Verfügung zu stellen. Wie dieser Widerspruch aufgelöst wird, bleibt noch abzuwarten.
Hatten Sie in den letzten Jahren Fälle, in denen Maßnahmen der staatlichen Aufsicht das Berufsgeheimnis beim Geheimnisträger oder dessen Dienstleister gefährdeten?
Keinen einzigen. Wir gehen davon aus, dass schon heute die Übermittlung personenbezogener Daten an eine Datenschutzaufsichtsbehörde im Rahmen von Kontrollen oder der Bearbeitung von Beschwerden keine unbefugte Offenbarung im Sinne des § 203 StGB darstellt und deshalb eine Gefährdung des Berufsgeheimnisses nicht gegeben ist.
In einer Pressemitteilung Ihrer Behörde ging es einmal um einen Zahnarzt, der Patientendaten frei zugänglich im Kellertreppenhaus aufbewahrte. Wie ist dieser Sachverhalt im Lichte der DS-GVO zu beurteilen hinsichtlich der Anforderungen an den Berufsgeheimnisträger beziehungsweise denkbarer Konsequenzen?
Heute schon besteht eine Verpflichtung, die Datensicherheit zu wahren. Das wird auch in Zukunft Bestand haben. Anders als bisher sieht die DS-GVO in Art. 24 ganz grundsätzlich vor, dass der Verantwortliche – verkürzt ausgedrückt – alle technischen und organisatorischen Maßnahmen ergreifen muss, damit die Verarbeitung gemäß der Verordnung erfolgt. Zudem muss er einen Nachweis der Wirksamkeit dafür erbringen. Die Sicherheit der Verarbeitung ist in Art. 32 DSGVO konkret geregelt. Anders als bisher sind Verstöße gegen diese Verpflichtung künftig bußgeldbewehrt. Auf den angesprochenen Fall bezogen wäre bei Geltung der DS-GVO neben der Aufforderung, diesen datenschutzrechtlich unzulässigen Zustand unverzüglich zu beenden, sicherlich auch ein Bußgeld erlassen worden.
Die Einführung des § 29 BDSG neu ist umstritten. Teilweise befürchtet man den Verzicht auf Datenschutzaufsichtsmaßnahmen bei Berufsgeheimnisträgern, andererseits wird aber auch eine Gängelung der freien Berufe durch die staatliche Aufsicht im Zusammenhang mit Berufsgeheimnissen erwartet. Wie ist Ihre Meinung hierzu?
Wenn man hoheitliche Maßnahmen des Staats zur Einhaltung gesetzlicher Vorschriften als Gängelung bezeichnet, dann erwarte ich diese auch in Zukunft. Die freien Berufe sind insoweit wie alle anderen auch der Gängelung durch Steuerbehörden, Staatsanwaltschaften sowie Gesundheitsoder Gewerbeaufsichtsämtern, aber auch der Datenschutzaufsichtsbehörden unterworfen. Wichtig bei allen diesen Gängelungen ist, dass die für die jeweiligen Stellen geltenden Vorschriften eingehalten werden. Das Datenschutzrecht gilt nun einmal auch für die freien Berufe beziehungsweise Geheimnisträger. Im Ergebnis darf es im Zusammenhang mit dem Steuer-, Straf- oder Datenschutzrecht zu keiner Kontrolllücke kommen.
Die Bundesrechtsanwaltskammer hat Ende 2016 in einem Gesetzesentwurf vorgeschlagen, ihr die Datenschutzaufsicht für alle personenbezogenen Daten in Rechtsanwaltskanzleien zu übertragen. Wer entscheidet darüber und wie stehen die Chancen?
Die Mitgliedstaaten legen gemäß Art. 51 DS-GVO fest, wer für welchen Bereich Aufsichtsbehörde sein soll. Wenn ein Mitgliedstaat eine bestimmte Stelle zur Aufsichtsbehörde macht, dann muss auch sichergestellt werden, dass alle sonstigen Voraussetzungen, insbesondere die Unabhängigkeit, erfüllt sind. Ich persönlich halte nichts davon, eine weitere, unabhängige Aufsichtsbehörde zu schaffen. Denn das würde sicherlich auch andere Berufsgeheimnisträger, die in Kammern organisiert sind, dazu veranlassen, nach eigenen Aufsichtsbehörden zu rufen. Den Landesdatenschutzbehörden blieben dann noch die Berufsgeheimnisträger, die nicht in Kammern organisiert sind. Das sind zwar die allermeisten Berufsgruppen, aber bei diesen würde kaum jemand eine Verletzung von Geheimhaltungspflichten geltend machen.
Hinsichtlich Auslegung und Umsetzung der DS-GVO muss Rechtssicherheit herrschen. Wie ist das zu realisieren?
Momentan bemühen sich die Aufsichtsbehörden auf deutscher und europäischer Ebene, ihr Vollzugsverständnis durch Veröffentlichungen transparent zu machen. Die deutschen Aufsichtsbehörden haben sich entschieden, dem Beispiel des Bayerischen Landesamts für Datenschutzaufsicht zu folgen und in sogenannten Kurzpapieren zu bestimmten Fragen Stellung zu nehmen. Auf europäischer Ebene veröffentlichen die in der Art.-29-Gruppe zusammengefassten europäischen Aufsichtsbehörden in sogenannten Working-Papers-Leitlinien zu einigen Themen. Ziel dieser Veröffentlichungen ist es, ein Stück weit Rechtssicherheit im Sinne einer Berechenbarkeit aufsichtsbehördlichen Handelns zu schaffen.
Das allein wird aber nicht ausreichen, oder?
Die DS-GVO selbst sieht als weitere Möglichkeit zur Schaffung von Rechtssicherheit in Art. 40 die Genehmigung von Verhaltensregeln und in Art. 42 eine Zertifizierung vor. Endgültige Rechtssicherheit kann jedoch nur der EuGH schaffen. Das kann er allerdings auch nur dann, wenn im Vorfeld Aufsichtsbehörden hoheitlich tätig geworden sind, dagegen geklagt wurde und die Gerichte der Mitgliedstaaten die Fälle dem EuGH zur Entscheidung vorlegen. Diese endgültige Rechtssicherheit wird mit an Sicherheit grenzender Wahrscheinlichkeit noch einige Jahre auf sich warten lassen.
Foto: b_parker, photovideostock / Getty Images
