EU-Datenschutzgrundverordnung und Sozialdatenschutz
Was ändert sich für die Behörden? (Teil 2)
EU-Datenschutzgrundverordnung und Sozialdatenschutz
Was ändert sich für die Behörden? (Teil 2)
Redaktionsanmerkung: Vorhergehender Teil 1 des Beitrags
Betroffenenrechte
Erheblichen Befürchtungen hinsichtlich des zusätzlichen Aufwands bis hin zu einer Lähmung der öffentlichen Verwaltung weckte die Einführung der unmittelbar aus der Verordnung folgenden sog. Betroffenenrechte auf Information (Art. 13, 14 DS-GVO), Auskunft (Art. 15 DS-GVO), Widerspruch (Art. 21 DS-GVO), Berichtigung (Art. 16 DS-GVO), Löschung („Vergessenwerden“, Art. 17 DS-GVO), Einschränkung der Verarbeitung (Art. 18 DS-GVO) und Datenübertragbarkeit (Art. 20 DS-GVO). Während die meisten dieser Betroffenenrechte das Tätigwerden der betroffenen Person in Form der Antragstellung oder eines Widerrufs voraussetzen und damit Gelegenheit zur Reaktion ggf. unter Einschaltung des behördlichen Datenschutzbeauftragten geben, sind es vor allem die Informationspflichten, die – weil sie von Amts wegen durch den Verantwortlichen zu beachten sind – erhebliche Unsicherheiten auslösen. Der Umfang dieser Informationspflichten betrifft indes nur Metainformationen, nicht den Inhalt der Daten selbst. Die Informationen müssen in aktiver, präziser, transparenter, verständlicher und leicht zugänglicher Form erteilt werden (Art. 12 Abs. 1 DS-GVO), wobei die Veröffentlichung auf einer Website grundsätzlich ausreicht (EG 58). Allerdings muss der Verantwortliche die betroffene Person ausdrücklich auf die Veröffentlichung hinweisen.
Die Betroffenenrechte werden teilweise unmittelbar durch die DS-GVO eingeschränkt (s. nur zu den Informationspflichten Art. 13 Abs. 4, 14 Abs. 5 DS-GVO). Sie konnten darüber hinaus auch durch die Mitgliedstaaten nach Maßgabe der Öffnungsklausel des Art. 23 DS-GVO beschränkt werden, wovon der deutsche Gesetzgeber in den §§ 32 ff. BDSG bzw. bei Sozialdaten den §§ 82 bis 84 SGB X ausgiebig Gebrauch gemacht hat.
Daher ist stets zu prüfen, ob die Betroffenenrechte dem Grunde nach überhaupt zustehen, ob diese durch die DS-GVO selbst – z.B. bei „unverhältnismäßigem Aufwand“ (Art. 14 Abs. 5 Buchst b) DS-GVO) – eingeschränkt werden und schließlich, ob eine Ausnahme nach deutschem Recht – z.B. bei Behördeninformanten (§ 82a SGB X) – gemäß den einschlägigen Vorschriften besteht. Ist dies nicht der Fall, lässt sich die erforderliche Information häufig für viele Fälle gebündelt im Internet, z.B. hinsichtlich der Dauer der Speicherung, den Kategorien von Empfängern und den Kontaktdaten des Datenschutzbeauftragten erteilen. Im Übrigen kann bei offenkundig unbegründeten oder exzessiven Anträgen der betroffenen Person die Auskunft verweigert werden (Art. 12 Abs. 5 Satz 2 Buchst b) DS-GVO).
Technische Vorkehrungen
Nach wie vor ist Ziel des Datenschutzes auch, Personen vor einem nicht gewollten Umgang „Dritter“ mit ihren personenbezogenen Daten zu schützen. Die maßgeblichen Bestimmungen der DS-GVO (Art. 25, 32 DS-GVO) verlangen, dass der Sicherheitslevel im Verhältnis zum Risiko angemessen sein muss sowie das Gebot der weitestgehenden Pseudonymisierung und Verschlüsselung sowie der Grundsatz der Privacy by Design sowie der Privacy by Default beachtet wird. Es besteht die Pflicht zur Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) für neu eingeführte (!) Verarbeitungsvorgänge. Verantwortlicher und Auftragsverarbeiter müssen künftig die Belastbarkeit der Datenverarbeitungssysteme und Dienste, die mit der Verarbeitung im Zusammenhang stehen, in Hinblick auf ihre Risikoanfälligkeit gewährleisten (s. EG 83 DS-GVO). Entscheidend ist die Effizienz der technischen und organisatorischen Maßnahmen. Schließlich ist der Verantwortliche stets verpflichtet, die Einhaltung der Grundsätze des Datenschutzes nach Art. 5 Abs. 1 DS-GVO nachzuweisen (Grundsatz der accountability).
Verarbeitungsverzeichnis
Jeder Verantwortliche und Auftragsverarbeiter muss ein Verzeichnis aller Verarbeitungstätigkeiten führen, die seiner Zuständigkeit unterliegen (Art. 30 Abs. 1 und 2 DS-GVO), das auf Anforderung der Aufsichtsbehörde zur Verfügung zu stellen ist (Art. 30 Abs. 4 DS-GVO). Häufig wird es genügen, das bisherige Verfahrensverzeichnis um nicht-automatisierte Verarbeitungsvorgänge zu ergänzen.
Datenschutzbeauftragter
Öffentliche Stellen haben, wenn ihre Kerntätigkeit darin besteht, personenbezogene Daten verarbeiten, stets einen Datenschutzbeauftragten zu bestellen (Art. 37 Abs. 1 Buchst a) DS-GVO). § 81 SGB X hält insoweit das bisher geltende Recht zur Bestimmung der für die Anrufung des Datenschutzbeauftragten unter redaktionellen und terminologischen Anpassungen bei.
Aufsichtsbehörden
Für das Sozialgesetzbuch war der Begriff der „Aufsichtsbehörde“ dahin zu konkretisieren, ob damit die Rechts- bzw. Fachaufsichtsbehörde (§§ 87 ff. SGB IV) oder die datenschutzrechtliche Aufsichtsbehörde (Art. 58 DS-GVO) gemeint ist. Hinsichtlich letzterer benennt das SGB X nun konkret die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) oder die Aufsichtsbehörden der Länder nach § 40 BDSG.
Diesen kommt ein umfangreicher Aufgabenkatalog (Art. 57 DS-GVO) mit im Vergleich zum bisherigen Recht erheblich umfangreicheren Befugnissen zu, die in die Rubriken Untersuchung, Abhilfe und Genehmigung eingeteilt werden können (Art. 58 DS-GVO). Die Aufsichtsbehörden können künftig auch gegenüber öffentlich-rechtlichen Stellen durch hoheitliche Anordnungen eine rechtswidrige Datenverarbeitung unterbinden oder die Löschung personenbezogener Daten erwirken. Unbeschadet der Anordnungskompetenz stehen sich die beteiligten Verwaltungsträger aber nicht in einem Subordinationsverhältnis gegenüber. § 81a Abs. 7 SGB X schließt die Anordnung der sofortigen Vollziehung gegenüber Behörden aus.
Zusätzliche gerichtliche Rechtsbehelfe stehen sowohl der betroffenen Person als auch dem Verantwortlichen und Auftragsverarbeiter zu (Art. 78, 79 DS-GVO), für die bei Sozialdaten weitgehend die Sozialgerichtsbarkeit zuständig ist (§§ 81a, 81b SGB X).
Sanktionen
Die Verhängung von Bußgeld sowohl hinsichtlich der Tatbestände als auch der Sanktionshöhe wird in der DS-GVO abschließend geregelt (Art. 83 DS-GVO). Gegen Behörden dürfen keine Bußgelder verhängt werden (§ 85a Abs. 3 SGB X). Dies gilt auch für Bußgelder gegen Mitarbeiter von Behörden, weil diese als Teil des Verantwortlichen, nicht aber als Verantwortliche selbst gelten. § 85 SGB X sieht aber strafrechtliche Sanktionen durch einen Verweis auf § 42 BDSG in den dort genannten Fällen vor.
Schadensersatz
Ein Schadensersatzanspruch ergibt sich aus Art. 82 Abs. 1 DS-GVO, der sogar Ersatz des immateriellen Schadens beinhaltet. Art. 82 Abs. 5 DS-GVO erweitert den Kreis der Haftenden nicht, sondern regelt für den Fall, dass mehr als ein Verantwortlicher bzw. Auftragsverarbeiter für den durch die Verarbeitung verursachten Schaden verantwortlich ist, den Regress untereinander.
Fazit
Datenschutz bleibt eine schwierige Materie und die Einführung der DS-GVO hat dem deutschen Rechtsanwender angesichts der Änderungen in Systematik und Terminologie nicht gerade eine Vereinfachung beschert. Hinzu kommt ein nicht unerheblicher organisatorischer und bürokratischer Aufwand durch erforderliche Anpassungen z.B. von Verträgen, Einwilligungsformularen und Datenschutzhinweisen. Andererseits konnten zumindest im Sozialdatenschutz als bereichsspezifischer Konkretisierung die bisherigen Strukturen weitgehend erhalten bleiben.
Dieser Strukturerhalt bedeutet indes nicht, dass das bisherige hohe Niveau des (Sozial-)Datenschutzes gewahrt worden ist. Die DS-GVO ist zwar damit angetreten, europaweit ein einheitliches Datenschutzniveau zu schaffen. Andererseits beansprucht sie, neben dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Datenverkehr zu schützen, womit den Interessen der Wirtschaft und Forschung Rechnung zu tragen war. Zwar konnten durch Ausschöpfung der zahlreichen, in der DS-GVO enthaltenen Öffnungsklauseln viele Schutznormen bewahrt werden, wie z.B. das Gebot der Direkterhebung (§ 67a Abs. 2 SGB X) oder die Übermittlungsbeschränkung bei Gesundheitsdaten (§ 67b Abs. 1 SGB X). Aufgrund vorhandener, nicht einschränkbarer Verarbeitungsgrundlagen der DS-GVO konnte das abstrakt generell höhere Schutzniveau von „Sozialdaten“ jedoch nicht vollständig beibehalten werden, zumal nicht alle Sozialdaten „besondere Kategorien von Daten“ i.S.d. Art. 9 Abs. 1 DS-GVO sind. So ist eine gewisse Absenkung des Niveaus, z.B. im Hinblick auf die Datenverarbeitung zu (zweckändernden) Folgeforschungsvorhaben (§ 75 Abs. 2 SGB X) festzustellen. Es bleibt abzuwarten, ob der in neuerer Zeit durch das BVerfG an zweckändernde Verarbeitung angelegte Maßstab der hypothetischen Datenneuerhebung Anlass für Konflikte mit dem EuGH geben wird. Die zahlreichen und teilweise neuen Betroffenenrechte, die der deutsche Gesetzgeber nur bedingt eingeschränkt hat, sorgen jedenfalls für zusätzliche Transparenz.
Verlässt man die nationale Ebene und die mit der unmittelbaren Wirkung verbundenen Schwierigkeiten bei der Anpassung eines ausdifferenzierten nationalen Datenschutzsystems und betrachtet die Auswirkungen auf Europa, ist gleichwohl zu bemerken, dass die unmittelbar geltende DS-GVO vielerorts ein datenschutzrechtliches Vakuum füllt und dazu beitragen wird, den europäischen Flickenteppich unterschiedlicher Regelungskonzepte weitgehend zu harmonisieren. Für die öffentliche Verwaltung bietet dies bei konsequenter Anwendung der Regeln die Chance, eine transparente Datenverarbeitung zugunsten des Bürgers zu gewährleisten, ohne Einschnitte in der Verwaltungspraxis durch etwaigen Missbrauch hinnehmen zu müssen.
