Stellungnahme der unabhängigen Datenschutzaufsichtsbehörden der Länder vom 10. August 2023 zu Artikel 5 des Referentenentwurfs eines Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG – Stand 03.07.2023)
Zusammenfassung
Mit der in Artikel 5 des Entwurfs des Gesundheitsdatennutzungsgesetzes (GDNG) enthaltenen Änderung des Bundesdatenschutzgesetzes (BDSG) sollen dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) weitreichende Aufsichtszuständigkeiten übertragen werden, die bisher der Zuständigkeit der Landesdatenschutzbeauftragten unterfallen (§ 9 Abs. 3 BDSG‐E). Dies umfasst nach dem Entwurfstext die Aufsicht über Kranken‐ und Pflegekassen und die Kassenärztlichen Vereinigungen sowie über alle „Stellen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 SGB X verarbeiten“. Außerdem soll der BfDI die ausschließliche Zuständigkeit über registrierte Ethik‐Kommissionen im Sinne des § 41a Abs. 1 des Gesetzes über den Verkehr von Arzneimitteln (AMG) sowie über Prüfstellen erhalten, wenn und soweit sie klinische Prüfungen im Sinne des § 4 Abs. 23 AMG durchführen.
Nach Auffassung der unabhängigen Datenschutzaufsichtsbehörden der Länder verstieße die in dem Gesetzentwurf vorgesehene Änderung in der datenschutzrechtlichen Aufsichtszuständigkeit gegen verfassungsrechtliche Vorgaben einschließlich des mit der Verordnung (EU) 2016/679 (EU Datenschutz‐Grundverordnung, DS‐GVO) verfolgten Ziels einer effektiven Datenschutzaufsicht (Kapitel IV DS‐GVO).
Die geplante Reduktion von 18 auf eine datenschutzrechtliche Aufsichtsbehörde begründet die Gefahr des Rückgangs der aufsichtsbehördlichen Kontrolldichte. Die betroffenen Personen und die die Gesundheitsdaten Nutzenden würden eine Datenschutzaufsichtsbehörde vor Ort verlieren. Durch die in Artikel 5 GDNG vorgesehene Verschiebung der Datenschutzaufsicht von den Ländern auf den Bund käme es außerdem zu erheblichen Unklarheiten und Abgrenzungsproblemen, welche die Beratungs‐ und Aufsichtstätigkeit und den Schutz des Grundrechts auf Datenschutz insgesamt erschweren würden. Dies würde auch dem Gebot effektiver Durchsetzung des Europarechts entgegenlaufen.
Aus diesen Gründen fordern die unabhängigen Datenschutzaufsichtsbehörden der Länder den Verzicht auf die in Artikel 5 GDNG geplante Regelung.
Im Einzelnen:
I. Verstoß der geplanten Regelung gegen den verfassungsrechtlichen Bestimmtheitsgrundsatz (Rechtsstaatsprinzip, Art. 20 Abs. 2 und 3 Grundgesetz, GG)
Die geplante Zuständigkeitsregelung in § 9 Abs. 3 HS. 1 BDSG‐E ist inhaltlich zu unbestimmt. Sie überträgt dem BfDI ganz allgemein die ausschließliche Zuständigkeit über alle Stellen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 des Sozialgesetzbuches Zehntes Buch (SGB X) verarbeiten. Nach der Gesetzesbegründung soll der BfDI „alleine die Aufsicht über die Stellen übernehmen, soweit sie Sozialdaten im Sinne des § 67 SGB X verarbeiten, die unter die Definition der Gesundheitsdaten gemäß Art. 4 Nr. 15 DS‐GVO fallen.“
Unklar ist bereits die Reichweite der gesetzlichen Regelung, d. h. welche verantwortlichen Stellen von der Zuständigkeitsverlagerung tatsächlich erfasst sind. Denn während nach dem Wortlaut des Gesetzentwurfs die Stellen, die gesundheitsbezogene Sozialdaten verarbeiten, einschränkungslos hiervon erfasst sein könnten, relativiert die Gesetzesbegründung diese Auslegungsvariante, ohne die Reichweite der Zuständigkeitsübertragung auf den BfDI hinreichend zu präzisieren. Insofern ist es inkonsistent, wenn der Anknüpfungspunkt der Regelung für die Aufsicht des BfDI sich auf die Art der verarbeiteten personenbezogenen Daten bezieht und nicht auf die Verantwortlichen.
Neben den Gesundheitsdaten nach Art. 4 Nr. 15 DS‐GVO werden in aller Regel zugleich auch weitere Datenarten verarbeitet. Daher sollte die Regelungsstruktur der Sozialgesetzbücher über die Anknüpfung an die Verantwortlichen (im Sozialrecht also vorwiegend an die Leistungsträger und Leistungserbringer) beibehalten werden, damit rechtsklare Regelungen über die Zuständigkeit bestehen. Dies ist sowohl für die Betroffenen zur wirksamen Ausübung ihres Beschwerderechts als auch für die Verantwortlichen einschließlich der Rechtsanwender notwendig, nicht zuletzt auch um sich ggf. widersprechende Aufsichtsentscheidungen möglichst zu vermeiden.
Rechtlich steht die vorgesehene Zuständigkeitsregelung im Widerspruch zu dem mit der DS‐GVO verfolgten Ziel einer eindeutigen Zuordnung der Datenschutzaufsicht sowie dem verfassungsrechtlichen Prinzip der Bestimmtheit. Denn viele verschiedene Leistungsträger im Sinne der §§ 67 Abs. 2, 35 Abs. 1 S. 1 SGB X verarbeiten „gesundheitsbezogene Sozialdaten“, sodass es nach der vorgesehenen Regelung des § 9 Abs. 3 1. HS BDSG‐E möglich erscheint, dass auch diese partiell der Aufsicht des Bundes und partiell der Aufsicht des jeweiligen Landes unterliegen.
In Betracht kommen insbesondere Jobcenter (SGB II), Rentenversicherungen (SGB VI), Unfallversicherungen (SGB VII), Jugendämter (SGB VIII), Stellen für Leistungen zur Rehabilitation und Teilhabe behinderter Menschen (SGB IX) und Sozialämter (SGB XII). Es ist zudem nicht absehbar, ob von der Neuregelung auch Leistungsträger erfasst werden, die nur im Einzelfall gesundheitsbezogene Sozialdaten verarbeiten (z. B. Kindergeld‐ und Elterngeldstellen, BAföG‐Ämter). Diese Stellen verarbeiten oft Gesundheitsdaten der Antragsteller und Antragstellerinnen, aber auch von deren Angehörigen. Unklar ist, ob der Gesetzentwurf solche Stellen als Ganzes der Aufsicht des BfDI unterwerfen will oder nur „soweit“ sie gesundheitsbezogene Sozialdaten verarbeiten. Bei Letzterem dürfte eine Abgrenzung der Aufsichtszuständigkeit in der Aufsichtspraxis äußerst schwierig sein; im ersteren Fall würde der BfDI die komplette Aufsicht über sämtliche, in bestimmten Bereichen überwiegend kommunal getragene Leistungsträger nach den Sozialgesetzbüchern erhalten, sodass Fach‐ und Rechtsaufsicht hier bei den Ländern verblieben, während die Datenschutzaufsicht auf eine unabhängige Behörde des Bundes übertragen würde.
Die unabhängigen Aufsichtsbehörden der Länder verlangen daher bereits aufgrund des Verstoßes gegen den Bestimmtheitsgrundsatz und das von der DSGVO verfolgte Ziel der effektiven Datenschutzkontrolle den Verzicht auf die geplante Regelung.
II. Verstoß gegen das Bundesstaatsprinzip (Art. 20 Abs. 1 GG)
Mit der in Artikel 5 GDNG geplanten Übertragung der datenschutzrechtlichen Aufsichtszuständigkeit kommt es im Vergleich zu der jetzigen Rechtslage zu einer deutlichen Verschiebung der Kompetenzen zwischen Bund und Ländern. Unabhängig von dem im Ergebnis unbestimmten Regelungsgehalt des § 9 Abs. 3 1. HS BDSG‐E beabsichtigt der Gesetzgeber, den Ländern in erheblichem Maße bestehende Aufsichtszuständigkeiten zu entziehen. Die hierfür mit dem Gesetzentwurf gegebene Begründung der Verhinderung einer einheitlichen Datenschutzpraxis aufgrund unterschiedlicher Rechtsauslegungen durch die verschiedenen Datenschutzaufsichtsbehörden ist verfassungsrechtlich bedenklich und ist mit dem im Grundgesetz verankerten Prinzip des Bundesstaates bzw. der damit verbundenen Zuständigkeitsverteilung zwischen Bund und Ländern nicht vereinbar. Zunächst ist festzustellen, dass in der Praxis der Datenschutzaufsichtsbehörden keine grundlegende abweichende Rechtsauslegung betreffend das Fachrecht erkennbar ist. Auch die Gesetzesbegründung führt insoweit keinen Beleg an. Sollten die Rechtsauffassungen der Landesaufsichtsbehörden im Einzelfall tatsächlich voneinander abweichen, wäre dies im Übrigen kein rechtlich zu unterbindendes Phänomen, sondern eine Ausprägung des vom Grundgesetz gewollten Erhalts der exekutiven Aufgabenbereiche der Länder, um den landesspezifischen Besonderheiten entsprechen zu können. Soweit das Datenschutzrecht der Auslegung bedürftige unbestimmte Rechtsbegriffe enthält, kommt auch im Datenschutzrecht die Letztauslegungskompetenz der Rechtsprechung zu, die an die Auslegung der Aufsichtsbehörden nicht gebunden ist. Die Tendenz einer zunehmenden zentralistischen Verwaltung beim Bund gefährdet das Grundmodell der Verfassung, den Ländern im Schwerpunkt die Verwaltungsaufgaben zuzuteilen (vgl. insgesamt Kirchhof, in: Dürig/Herzog/Scholz, Art. 83 Rn. 13 ff.). Insofern erscheint es notwendig, die grundgesetzlich vorgesehene Trennung zwischen dem Verwaltungshandeln auf Bundes‐ und Landesebene beizubehalten.
Nach Art. 83 GG werden Bundesgesetze grundsätzlich in Eigenverwaltung der Länder ausgeführt, sodass die Länder die Einrichtung der Behörden und das Verwaltungsverfahren regeln (Art. 84 Abs. 1 S. 1 GG). Ausnahmen sind begründungsbedürftig, es muss „ein besonderes Bedürfnis nach bundeseinheitlicher Regelung des Verwaltungsverfahrens ohne Abweichungsmöglichkeit für die Länder“ vorliegen, vgl. Art. 84 Abs. 1 S. 5 GG. Der Umstand, dass die Länder zu unterschiedlichen Auslegungen kommen könnten, wäre kein Grund für eine Übertragung des Verwaltungsvollzugs auf eine Bundesbehörde. Denn mögliche Unterschiede in der Rechtsauslegung bei einer Ausführung von Bundesgesetzen durch Länderbehörden sind grundrechtlich in Anbetracht landesspezifischer Besonderheiten geschützt. Die Begründung zum GDNG geht darauf nicht ein.
Landesgesetze auszuführen, liegt ohnehin nicht in der Verwaltungskompetenz des Bundes. Bei den landesunmittelbaren Krankenkassen, den Kassenärztlichen Vereinigungen1 und den Universitätskliniken2 handelt es sich um öffentliche Stellen der Länder. Für diese Stellen gelten daher subsidiär zu den bereichsspezifischen Vorschriften des SGB und des AMG3 auch die Landesdatenschutzgesetze.
Würde dem BfDI die datenschutzrechtliche Aufsicht über diese Stellen übertragen, so müsste er als Bundesbehörde auch Landesrecht (insb. Landesdatenschutzgesetze) ausführen. Dies widerspräche dem Verwaltungskompetenzgefüge des Grundgesetzes (Art. 83 ff. GG), nach dem es nicht in der Verwaltungskompetenz des Bundes liegt, Landesgesetze auszuführen. Erst recht gilt dies, wenn der BfDI die datenschutzrechtliche Aufsicht sogar über kommunale Jobcenter und Jugendämter erhielte. Dies könnte die grundgesetzlich garantierte Autonomie der Kommunen berühren. Hinsichtlich der kommunalen Selbstverwaltungsgarantie käme als weitere rechtliche Erschwernis noch die Tatsache hinzu, dass die betreffenden Aufgaben von den Kommunen überwiegend als Angelegenheiten des eigenen Wirkungskreises wahrgenommen werden.
Zudem ist nach Art. 8 Abs. 3 der EU‐Grundrechtecharta die Einhaltung des Schutzes personenbezogener Daten von einer unabhängigen Stelle zu überwachen, sodass eine effektive Datenschutzkontrolle geregelt sein muss. Auch aus europäischer Sicht durchaus denkbare voneinander abweichende Rechtsauslegungen sollen, sofern hierzu ein Bedarf besteht, durch die in der DS‐GVO enthaltenen Verfahren zur Zusammenarbeit und Kohärenz in Einklang gebracht werden.
Ergänzend sei bemerkt, dass die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sich durchaus des Abstimmungsbedarfs für die Bewertung länderübergreifender datenschutzrechtlicher Sachverhalte, für die mehrere Aufsichtsbehörden zuständig sind, bewusst ist. Aus diesem Grund arbeiten die Datenschutzaufsichtsbehörden in der DSK erfolgreich zusammen und haben dort insbesondere die „Taskforce Forschungsdaten“ mit dem Ziel einer koordinierten Begleitung von länderübergreifenden Forschungsvorhaben im Gesundheitswesen beauftragt.
III. Auswirkungen der geplanten Regelung auf betroffene Personen und die Aufsichtspraxis
Die mit Artikel 5 GDNG beabsichtigten Zuständigkeitsverlagerungen können zu Nachteilen für die betroffenen Personen führen. Für die Datenschutzkontrolle einschließlich der damit zusammenhängenden Beratungs‐ und Kooperationspraxis können sich die fehlende örtliche Nähe und mangelnde Kenntnisse der örtlichen Verhältnisse nachteilig auswirken. Es ist fraglich, ob die aufsichtsrechtliche Kontrolldichte bei einer zentralen Lösung im Vergleich zur jetzigen Situation beibehalten werden kann.
Hiervon betroffen wären beispielsweise folgende Bereiche:
1. Krankenkassen und Kassenärztliche Vereinigungen
Nach § 9 Abs. 3 2. HS Nrn. 1 und 3 BDSG‐E sollen alle Kranken‐ und Pflegekassen und alle Kassenärztlichen Vereinigungen der Zuständigkeit des BfDI unterliegen.
Für die landesunmittelbaren Krankenkassen4 und die Kassenärztlichen Vereinigungen der Länder besteht bisher aus guten Gründen eine Aufsichtszuständigkeit der Landesaufsichtsbehörden. Jene Stellen sind in den jeweiligen Bundesländern verwurzelt und profitierten von der räumlichen Nähe und dem Landesbezug der Landesaufsichtsbehörden. Die landesunmittelbaren Krankenkassen5 und die Kassenärztlichen Vereinigungen6 unterstehen der Rechtsaufsicht von Landesbehörden. Eine Bundesaufsichtszuständigkeit im Datenschutzrecht würde hier eine Sonderrolle in der Verwaltungsorganisation von Bund und Ländern bedeuten.
Hervorzuheben ist außerdem, dass sich die einzelnen Kassenärztlichen Vereinigungen voneinander unterscheiden und landesspezifischen Besonderheiten aufweisen. Es gibt z. B. erhebliche Unterschiede bei der internen Organisation und der Ausgestaltung der Ärztlichen Bereitschaftsdienste (ÄBD). Solche landesspezifischen Konstellationen können wirksamer von der jeweiligen Landesaufsichtsbehörde berücksichtigt werden.
In einigen Ländern wird beispielsweise der ÄBD von der dortigen Kassenärztlichen Vereinigung in Krankenhäusern betrieben. Durch das GDNG käme es daher zu einer Zuständigkeitsaufspaltung: Für das Krankenhaus wäre die im Lande bestehende jeweilige Datenschutzaufsicht zuständig, wohingegen für den dort betriebenen ÄBD der BfDI zuständig wäre.
Auch an anderer Stelle würde es zu einer weiteren Aufspaltung der Aufsichtszuständigkeiten im Gesundheitsbereich kommen. Für Arztpraxen sind die Landesaufsichtsbehörden zuständig, die bisher auch Einblicke in die Abläufe der Kassenärztlichen Vereinigungen und der landesunmittelbaren Krankenkassen haben. Ohne die Aufsichtszuständigkeit für diese Stellen könnten die Landesaufsichtsbehörden die Abrechnungsprozesse im gesetzlichen Krankenversicherungswesen nicht im Detail nachvollziehen. Die Zuständigkeit würde mit der Übermittlung der Abrechnungsdaten an die Kassenärztliche Vereinigung bei den Arztpraxen enden. Richten sich Beschwerden von Patientinnen und Patienten gegen eine Arztpraxis und eine landesunmittelbare Krankenkasse bzw. eine Kassenärztliche Vereinigung, können diese nicht mehr nur von Landesaufsichtsbehörden bearbeitet werden. Dies würde zu einer weiteren Rechtsunsicherheit für die betroffenen Personen und verantwortlichen Stellen über die zuständigen Datenschutzaufsichtsbehörden führen.
Schließlich würden die betroffenen Personen eine Aufsichtsbehörde „vor Ort“ verlieren, sodass zu befürchten ist, dass sie bei der Verfolgung ihres Beschwerderechts und der Durchsetzung ihrer Betroffenenrechte dies als weitere Barriere wahrnehmen könnten.
2. Klinische Prüfungen
Auch die beabsichtigte Zuständigkeitserweiterung des BfDI für klinische Prüfungen (§ 9 Abs. 3 2. HS Nr. 4 BDSG‐E) würde zu einer künstlichen Aufspaltung der Aufsichtszuständigkeit führen. Universitätskliniken bzw. Krankenhäuser unterlägen als Prüfstelle von klinischen Prüfungen nach § 4 Abs. 23 S. 1 AMG einerseits der Zuständigkeit des BfDI, würden im Übrigen aber der Zuständigkeit der Landesaufsichtsbehörden unterliegen. Auch für Forschungstätigkeiten, die keine klinischen Prüfungen sind, und nichtinterventionelle Studien wären weiterhin die Landesaufsichtsbehörden zuständig.
Diese Zuständigkeitsaufspaltung überzeugt nicht und kann sowohl die Durchsetzung des Datenschutzrechts als auch einen effizienten Dialog mit den verantwortlichen Universitätskliniken bzw. Krankenhäusern erschweren.
3. Jugend‐ und Sozialämter
Nach Artikel 5 GDNG und § 9 Abs. 3 1. HS BDSG‐E in Verbindung mit der Gesetzesbegründung sollen möglicherweise – wie ausgeführt – auch die Jugend‐ und Sozialämter der Datenschutzaufsicht des BfDI unterfallen, eventuell allerdings nur insoweit, als diese Stellen gesundheitsbezogene Sozialdaten verarbeiten. Sollte an dieser Regelung festgehalten werden, wäre eine wirksame und umfassende Datenschutzkontrolle dieser Stellen einschließlich der Beschwerdebearbeitung sowie der datenschutzrechtlichen Beratung grundlegend erschwert. Die Tätigkeit der kommunal getragenen Stellen ist im Wesentlichen durch die räumliche Nähe mit den Leistungsbeziehern und den im Rahmen der Leistungserbringung miteinander kooperierenden Stellen geprägt. Zudem wirkt sich das ergänzende Landesrecht auf die hierfür verantwortlichen Fachressorts aus. Eine Zentralisierung der Datenschutzaufsicht auf den Bund würde diesem differenzierten sachgerechten Regelungsgefüge der Datenschutzaufsicht entgegenstehen. Schließlich würde den im besonderen Maße unterstützungsbedürftigen betroffenen Personen die Ausübung ihres Beschwerderechts, die Durchsetzung ihrer Betroffenenrechte sowie die Inanspruchnahme von Beratungsangeboten erschwert werden, indem sie darauf verwiesen werden, sich an eine örtlich im Regelfall weit entfernt sitzende Aufsichtsbehörde zu wenden.
IV. Fazit
Aus den oben genannten Gründen fordern die unabhängigen Datenschutzaufsichtsbehörden der Länder den Verzicht auf den geplanten Artikel 5 GDNG.
1 S. § 77 Abs. 5 SGB V: „Die Kassenärztlichen Vereinigungen und die Kassenärztlichen Bundesvereinigungen sind Körperschaften des öffentlichen Rechts.“
2 S. z. B. § 2 Abs. 1 S. 2 HDSIG; Universitätskliniken nehmen hoheitliche Aufgaben der öffentlichen Verwaltung wahr.
3 Für die landesunmittelbaren Krankenkassen und die Kassenärztlichen Vereinigungen gelten vorrangig die bereichsspezifischen Regelungen des SGB; im Verhältnis zu den Beschäftigten und den Ärztinnen und Ärzten gilt aber Landesrecht. Für Universitätskliniken gelten bei klinischen Prüfungen datenschutzrechtliche Vorschriften des AMG vorrangig (§§ 40b Abs. 6 S. 1, 42a AMG), daneben ist aber noch Raum für die Anwendung der allgemeinen Landesdatenschutzgesetze (z. B. im Hinblick auf die Betroffenenrechte).
4 Bisher ist der BfDI nur für bundesunmittelbare Krankenkassen zuständig. Bundesunmittelbar sind Krankenkassen, deren Zuständigkeitsbereich sich über mehr als drei Bundesländer erstreckt (Art. 87 Abs. 2 GG).