Gesetzentwurf des Gesundheitsministeriums: Festlegung der federführenden Datenschutzbehörde für Forschungsvorhaben bei mehreren Verantwortlichen

Das Bundeskabinett hat heute eine Formulierungshilfe des Bundesministeriums für Gesundheit zu einem „Entwurf eines Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ (pdf) beschlossen. Medial wurde vor allem über die vorgeschlagenen Anpassungen des Infektionsschutzgesetzes berichtet.

Jedoch wird daneben in Artikel 4 des Entwurfs auch vorgeschlagen, im SGB V einen neuen § 287a SGB V einzufügen. Dieser Vorschlag ist aus datenschutzrechtlicher Sicht sehr interessant, da er nicht nur Auswirkungen im Gesundheitsbereich oder in der jetzigen Zeit haben könnte.

Der Vorschlag lautet:

§ 287a

Federführende Datenschutzaufsicht in der Versorgungs- und Gesundheitsforschung

Bei länderübergreifen Vorhaben der Versorgungs- und Gesundheitsforschung, an denen nicht-öffentliche Stellen oder öffentliche Stellen des Bundes oder der Länder aus zwei oder mehr Ländern als Verantwortliche beteiligt sind, findet § 27 des Bundesdatenschutzgesetzes Anwendung. Die beteiligten Verantwortlichen benennen einen Hauptverantwortlichen und melden diesen der für die Hauptniederlassung des Hauptverantwortlichen zuständigen Aufsichtsbehörde. Artikel 56 und Artikel 60 der Verordnung (EU) 2016/679 sind entsprechend anzuwenden.

(Hervorhebungen durch mich)

Zweck der Regelung

Was das BMG mit der Regelung bezweckt, wird schon aus der Überschrift deutlich. Es soll eine federführende Datenschutzbehörde für Datenverarbeitungen im Rahmen der Gesundheitsforschung geben, auch wenn mehrere Verantwortliche beteiligt sind.

Warum nach Ansicht des BMG eine solche Regelung erforderlich ist, ergibt sich aus der weiteren Gesetzesbegründung und liest sich durchaus wie eine implizite Kritik an der föderalen Struktur der Datenschutzaufsicht in Deutschland, die oft untereinander abweichende Ansichten der Datenschutzbehörden bedingt.

Die Heterogenität der Landesdatenschutz- und Krankenhausgesetze und die Zuständigkeit verschiedener Landesdatenschutzbehörden erschweren und verlangsamen in Folge derzeit länderübergreifende Vorhaben der Versorgungs- und Gesundheitsforschung.

(S. 15)

Daher sieht der Entwurf für länderübergreifende Vorhaben der Versorgungs- und Gesundheitsforschung an denen öffentliche und nichtöffentliche Stellen des Bundes und der Länder beteiligt sind, Regelungen vor, die eine Klarstellung der Zuständigkeiten der datenschutzrechtlichen Aufsichtsbehörden bei Vorhaben der Versorgungs- und Gesundheitsforschung im Sinne eines „One-Stop-Shop“ ermöglichen sollen. Dadurch soll die die länderübergreifende Versorgungs- und Gesundheitsforschung unter Wahrung des Datenschutzes beschleunigt und eine einheitliche Rechtsauslegung zum Wohle aller Betroffenen gewährleistet werden.

Inhalt der Regelung selbst

Zunächst geht es dem BMG in dem vorgeschlagenen § 287a SGB V um länderübergreifende Forschungsvorhaben, an denen mehrere datenschutzrechtlich Verantwortlichen (ob als öffentliche oder nicht-öffentliche) Stellen beteiligt sind. Die Stellen müssen aber als „Verantwortliche“ beteiligt sein.

Nicht klar ist, ob hiervon auch eine gemeinsame Verantwortlichkeit umfasst wäre. Zudem geht weder die Vorschrift selbst noch die Begründung darauf ein.

Sind mehrere Verantwortliche beteiligt, so sieht § 287a SGB V die Pflicht vor („benennen“), dass die Beteiligten untereinander einen Hauptverantwortlichen wählen und diesen bei der Datenschutzbehörde seiner Hauptniederlassung als Hauptverantwortlichen des Forschungsvorhabens melden. Der Vorschlag ist hier meines Erachtens nicht besonders präzise, da etwa nicht konkretisiert wird, für das der Hauptverantwortliche als solcher benannt werden soll: allein für das Vorhaben oder die damit zusammenhängende Datenverarbeitung? Die Datenschutzbehörde dürfte sich nur für Letztere interessieren.

Begründung der Regelung

Nach der Gesetzesbegründung werden für länderübergreifende Vorhaben der Versorgungs- und Gesundheitsforschung an denen öffentliche und nichtöffentliche Stellen des Bundes und der Länder beteiligt sind, Regelungen vorgesehen, die eine Klarstellung der Zuständigkeiten der datenschutzrechtlichen Aufsichtsbehörden bei Vorhaben der Versorgungs- und Gesundheitsforschung im Sinne eines „One-Stop-Shop“ ermöglichen (S. 16).

§ 287a SGB V sehe die verfahrensrechtliche Koordinierung der Zuständigkeiten verschiedener datenschutzrechtlicher Landesbehörden vor (S. 30). Hierdurch möchte das BMG den der DSGVO vorgesehene One-Stop-Shop zur Zuständigkeit der Datenschutzaufsichtsbehörden auf die länderübergreifende Versorgungs- und Gesundheitsforschung anwenden.

Der wichtige Unterschied zu den Regeln des Art. 56 und 60 DSGVO ist natürlich, dass es vorliegend um mehrere Verantwortliche (sicher getrennte, evtl. auch gemeinsam Verantwortliche?) geht. Art. 56 und 60 DSGVO beziehen sich jedoch zumindest ausdrücklich nur auf die Zuständigkeit der federführenden Behörde eines Verantwortlichen mit mehreren Niederlassungen (das sieht auch der EDSA in WP 244).

Laut Begründung sind bei länderübergreifenden Forschungsvorhaben  für die beteiligten verantwortlichen Stellen regelmäßig unterschiedliche Landesaufsichtsbehörden für den Datenschutz zuständig.

Es bedarf daher einer Regelung für eine federführende Aufsichtsbehörde. Hierzu finden sich Vorbilder in der Datenschutz-Grundverordnung selbst (Artikel 56, 60 der Verordnung (EU) 2016/679),…

(S. 31)

Der Entwurf referenziert auf die Regelungen der DSGVO wohl bewusst nur als Beispiel, da, wie beschrieben, gerade nicht ausdrücklich die Festlegung einer federführenden Aufsichtsbehörde bei mehreren Verantwortlichen geregelt wird.

Das BMG begründet die Regelung weiter, dass den Verantwortlichen in der Neuregelung auferlegt (!) wird, eine hauptverantwortliche Stelle zu benennen,

die dann der für sie zuständigen Aufsichtsbehörde die Verantwortung für das länderübergreifende Forschungsvorhaben in der Versorgungs- und Gesundheitsforschung anzuzeigen hat. Maßgeblich ist der in Artikel 4 Nummer 16 der Verordnung (EU) 2016/679 definierte Begriff der „Hauptniederlassung““ (S. 31)

Anmerkung

Meines Erachtens hat der Vorschlag durchaus potential für Diskussionen. Besonders interessant (gerade aus Sicht der Wirtschaft) ist, dass das BMG ganz offensichtlich davon ausgeht, dass mehrere datenschutzrechtlich (ob nun getrennt oder gemeinsam) Verantwortliche einen Verantwortlichen als „Hauptverantwortlichen“ bestimmen können und dann über diese Festlegung auch die Hauptniederlassung und hieran anknüpfend dann die federführende Datenschutzbehörde festlegen können.

Erinnert Sie dieses Thema an ein aktuell immer noch offenes Verfahren? Ja, die Verfahren der Berliner Datenschutzbehörde zum Betrieb von Facebook Fanpages. Dort geht es mitentscheidend um die Frage, ob gemeinsam Verantwortliche einen Verantwortlichen (und damit seine Hauptniederlassung) als umsetzungsbefugt für Entscheidungen zur Datenverarbeitung bestimmen können. Der nun vorliegende Entwurf des BMG spricht meines Erachtens ganz klar für eine solche Möglichkeit.

Daneben ist an der Regelung natürlich noch interessant, dass hier der Gesetzgeber kurzerhand die Datenschutzaufsicht bei Forschungsvorhaben durch die Verantwortlichen zentralisieren lassen möchte, um „eine koordinierte und einheitliche Anwendung der datenschutzrechtlichen Vorschriften ermöglichen und so Verzögerungen und Aufwände bei der Konzeption und Durchführung länderübergreifender Forschungsvorhaben“ (S. 30) verhindern.

Covid-19 als „höhere Gewalt“ im Datenschutzrecht? Unternehmen sind nicht in der Haftung

In mehreren europäischen Ländern wurden aufgrund des sich verbreitenden Corona-Virus bereits Ausgangssperren verhängt. In Bayern wurde der Katastrophenfall ausgerufen. Bürger sind zudem angehalten, im Home-Office zu arbeiten. Für viele Unternehmen bedeutet dies, dass interne (Verwaltungs)Prozesse nicht mehr uneingeschränkt oder, bei einer Schließung des Unternehmens, sogar gar nicht mehr funktionieren.

Die Folge im Datenschutzrecht ist, dass Betroffenenanfragen nach der DSGVO, etwa auf Auskunft nach Art. 15 DSGVO, entweder nur stark verzögert oder in nächster Zeit gar nicht adäquat bearbeitet werden können. So kann es sein, dass aufgrund von Home-Office nicht alle internen Dokumente auf personenbezogene Daten geprüft werden können. Eventuell ist Unternehmen auch generell die Erfüllung von Pflichten nach der DSGVO aufgrund der aktuellen Umstände nicht (mehr) vollumfänglich möglich.

Aus Sicht der Praxis stellt sich für datenverarbeitende Stellen die Frage, wie sie mit dieser Situation umgehen können. Gestattet es die DSGVO etwa, dass vorgegebene Fristen nach Art. 12 Abs. 3 DSGVO (max. 3 Monate zur Beantwortung von Betroffenenanfragen) noch weiter verlängert oder nicht beachtet werden müssen? Kann sich ein Unternehmen im Fall eines Verstoßes gegen die DSGVO, der auf der aktuellen Ausnahmesituation beruht, irgendwie entlasten oder besteht die Gefahr, dass Verwaltungsverfahren oder Bußgelder durch Behörden verhängt (Art. 83 DSGVO) oder Schadensersatzansprüche von Betroffenen geltende gemacht (Art. 82 DSGVO) werden?

Aktuelle Ansichten von Datenschutzbehörden

Die englische Behörde, ICO, wird nach eigenen Angaben bei Verzögerungen der Erfüllung von datenschutzrechtlichen Pflichten die derzeitigen Umstände berücksichtigen (ICO, Data protection and coronavirus: what you need to know). Insoweit nimmt die Behörde an, dass die gesetzlichen Fristen nicht verlängert werden können, aber Verzögerungen in der Bearbeitung der Betroffenenrechte aufgrund des Corona-Virus jedoch nicht geahndet würden.

Der EDSA äußert sich zur (Nicht-)Geltung der Fristen nicht. Allerdings ist der EDSA der Ansicht, dass die besonderen Umstände nichts an den bestehenden Pflichten der Verantwortlichen ändern würden (EDSA, Statement of the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak, pdf).

Nach Ansicht der irischen Datenschutzbehörde DPC ist eine Änderung der Fristenregelungen der DSGVO nicht möglich. Jedoch spricht die DPC einige praktische Empfehlungen aus (DPC, Data Protection and COVID-19). Die DPC verweist darauf, dass unter Darlegung der entsprechenden Gründe die Frist zur Bearbeitung des Betroffenenrechts um bis zu zwei Monate verlängert werden. Die Pflicht zur Information über die Fristverlängerung obliegt dabei nach Art. 12 Abs. 3 S. 3 DSGVO dem Verantwortlichen. Zudem ist auch ein gestuftes Vorgehen bei der Beantwortung von Betroffenenanfragen denkbar. So könnte der Verantwortliche elektronisch verfügbare Dokumente, auf die die Mitarbeiter auch im Home-Office zugreifen können, zuerst bearbeiten.

Ausnahmen nach der Fristen-Verordnung?

Die für die Berechnung europarechtlich vorgegebener Fristen (also auch jener nach Art. 12 Abs. 3 DSGVO oder Art. 33 Abs. 1 DSGVO) unmittelbar anwendbare Fristen-Verordnung (Verordnung (EWG, Euratom) Nr. 1182/71) sieht keine Ausnahme von bestehenden Fristen im Ausnahmefall vor.

Ausnahmen in der DSGVO?

Art. 12 DSGVO sieht keine Ausnahmen von den dort geregelten Fristen vor. Hinsichtlich der allgemeinen Pflichten nach der DSGVO finden sich in einzelnen Artikel zum Teil Ausnahmevorschriften. So etwa in Art. 14 Abs. 5 lit. b DSGVO, für den Fall, dass die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Jedoch gilt diese Ausnahme nur für die Vorgaben des Art. 14 DSGVO. Im Rahmen der Löschpflicht wird etwa in Art. 17 Abs. 3 lit. c DSGVO als Ausnahme auf Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit nach Art. 9 Abs. 2 lit. i DSGVO verwiesen. Auch hierbei handelt es sich aber nur um eine spezielle Ausnahme zu Art. 17 DSGVO.

Höhere Gewalt: keine Haftung der Unternehmen

In der aktuellen Situation ist meines Erachtens über eine, in der DSGVO zwar nicht ausdrücklich benannte, dem Sinn und Zweck nach jedoch angelegte, allgemeine Ausnahme bzw. Privilegierung nachzudenken: das Vorliegen „höherer Gewalt“.

Wichtig ist hierbei, die europarechtlichen Vorgaben zu dieser Ausnahme heranzuziehen, da die DSGVO als europäisches Recht auf europarechtsautonom anzuwenden ist.

Nach ständiger Rechtsprechung des EuGH sind unter „höherer Gewalt“ ungewöhnliche und unvorhersehbare Ereignisse zu verstehen, auf die derjenige, der sich auf höhere Gewalt beruft, keinen Einfluss hat und deren Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können (vgl. etwa EuGH, Urt. v. 18.3.2010, Rs. C?218/09). Zu beachten ist, dass es ebenfalls ständiger Rechtsprechung entspricht, dass die Bedeutung des Begriffs der höheren Gewalt, da er auf den verschiedenen Anwendungsgebieten des Unionsrechts nicht den gleichen Inhalt hat, anhand des rechtlichen Rahmens zu bestimmen ist, innerhalb dessen er seine Wirkungen entfalten soll (EuGH, Urt. v. 25.1.2017, Rs. C?640/15). Maßgebend für seine Anwendung ist insofern die Zweckbestimmung der jeweiligen Verordnung (vgl. EuGH, Urt. v. 17.10.2002). Die Besonderheit des jeweiligen Rechtsgebiets beeinflusst vor allem die Auslegung des Begriffs im Einzelfall (vgl. EuGH, Urt. v. 22.1.1986).

Es ist daher zu prüfen, ob auch die DSGVO eine solche Ausnahme vorsieht, auf die sich eventuell datenverarbeitende Stellen in den aktuellen Zeiten berufen können. Bezogen auf die DSGVO fällt zunächst auf, dass diese den Begriff „höhere Gewalt“ nicht kennt. Zumindest nicht in der finalen Fassung. Betrachtet man den ersten Entwurf der EU Kommission und auch die Vorschläge des EU Parlaments im Gesetzgebungsverfahren, wird deutlich, dass der Umstand höherer Gewalt sehrwohl eine Rolle spielte: konkret im Rahmen der Haftung von Unternehmen auf Schadensersatz gegenüber Betroffenen.

ErwG 146 DSGVO lautet: „Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist.“ (Hervorhebung durch mich)

In den früheren Fassungen der DSGVO war dieser Erwägungsgrund aber noch mit konkretem Verweis auf „höhere Gewalt“ formuliert. ErwG 118 (Ratsdokument 9398/15, 1.6.2015, pdf):

„Schäden, die einer Person aufgrund einer rechtswidrigen Verarbeitung entstehen, sollten von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter ersetzt werden, die von ihrer Haftung befreit werden sollten, wenn sie nachweisen, dass ihnen der Schaden nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt.“ (Hervorhebungen durch mich)

Die beispielhafte Aufzählung von Umständen („insbesondere“), wann keine Haftung vorliegen soll, wurde auf Vorschlag des Rates gestrichen und durch eine generelle und umfassende Formulierung („in keiner Weise…verantwortlich ist“) ersetzt.

Zwar fehlt der konkrete Begriff „höhere Gewalt“. Jedoch meiner Meinung nach nicht, weil eine Berufung hierauf nicht mehr möglich sein soll, sondern vielmehr, weil der Gesetzgeber die Möglichkeit der (Ent)Nichthaftung allgemeiner umschreiben wollte, ohne spezielle Beispiele zu nennen.

Daher halte ich es auf jeden Fall für vertretbar, dass Unternehmen sich im Rahmen von Verstößen gegen die DSGVO, die ihren nachweisbaren Grund in den aktuellen Umständen des Corona-Virus und damit einhergehenden staatlichen Maßnahmen haben, auf den Umstand „höhere Gewalt“ berufen können. In diesem Fall haften Unternehmen dann Betroffenen nicht auf Schadensersatz.

Ich würde zudem auch vertreten, dass dieser, in der DSGVO klar angelegte Gedanke der Enthaftung in Ausnahmesituationen, nicht nur in Bezug auf Schadensersatzansprüche nach Art. 82 DSGVO greift, sondern auch hinsichtlich der Einhaltung von Fristen (zB Art. 12 Abs. 3 DSGVO oder Art. 33 Abs. 1 DSGVO) oder gegebenenfalls sogar anderen Pflichten. Denn, wenn schon keine Haftung angenommen wird, wenn ein Schaden eingetreten ist, dann muss es erst recht möglich sein, mit dieser Ausnahme einer Verlängerung gesetzlicher Fristen zu begründen. Es geht Unternehmen ja aktuell nicht darum, dass man Pflichten gar nicht mehr erfüllen möchte. Man kann es derzeit nur nicht in den regulatorisch vorgegebenen Parametern. Dies ist meine (in einer etwas längeren Nachsitzung entstandene) Meinung zur Auslegung und Anwendung der DSGVO in aktuellen Zeiten ist. Das bedeutet aber auch, wie oben schon angemerkt, dass andere Rechtsauffassungen (gerade auch von Aufsichtsbehörden) möglich sind.

Für die hier gefundene Lösung spricht meines Erachtens auch das Verständnis des Bundesverwaltungsgerichts zu diesem Begriff: „Der Begriff der höheren Gewalt ist ein allgemeiner Begriff des Gemeinschaftsrechts, dessen Funktion es ist, Härten aus der Anwendung von Präklusions- und Sanktionsvorschriften in besonders gelagerten Fällen zu vermeiden und damit dem Gebot der Verhältnismäßigkeit im Einzelfall zu entsprechen“ (BVerwG, Urt. v. 29.4.2004 – BVerwG 3 C 27.03; Hervorhebung durch mich)

Zuletzt sei im Hinblick auf mögliche Bußgelder wegen Verstößen gegen die DSGVO darauf verwiesen, dass nach Art. 82 Abs. 2 lit. k DSGVO von den Aufsichtsbehörden zwingend „jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall“ beachtet werden müssen. Hierzu zählt meines Erachtens auch ein Fall „höherer Gewalt“.

Wichtig ist jedoch, dass die Anforderungen des EuGH an die Anwendbarkeit der Ausnahme „höhere Gewalt“ beachtet werden und, dass Unternehmen nachweisbar dokumentieren, warum diese Voraussetzungen vorliegen. Es muss also ein ungewöhnliches und unvorhersehbares Ereignisse vorliegen, auf das derjenige, der sich darauf beruft, keinen Einfluss hat und deren Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können.