Kurzbeitrag : Aus den aktuellen Berichten und Informationen der Aufsichtsbehörden (50): Verarbeitungen zur Vertragserfüllung; Informationspflichten und Benennung von Datenschutzbeauftragten im Gesundheitsbereich (u.a. im 25. Tätigkeitsbericht der LfDI Niedersachen (2019) vom 03.09.2020) : aus der RDV 6/2020, Seite 314 bis 317
Zusammengestellt und erläutert von Prof. Peter Gola*
I. Betroffene nutzen ihre Rechte
Der Jahresbericht der LfDI Niedersachsen statuiert immer wieder eingehende Beschwerden über die Nichtbeachtung des Auskunftsrechts nach Art. 15 DS-GVO als im nicht-öffentlichen Bereich mit 1882 Fällen häufigsten Beschwerdegrund. Laut den Beschwerdeführern werden Auskunftsbegehren von den Verantwortlichen oft nicht oder nicht vollständig beantwortet (25. TB, S. 88 ff). Probleme bereite auch das Recht auf Erhalt von Kopien und auf Löschung.
1. Der Anspruch auf Auskunft
Die LfDI zeigt zunächst die wesentlichen bei einer Auskunft mitzuteilenden Informationen auf und räumt ein, dass angesichts des Umfangs der zu erteilenden Auskunft die Beantwortung eines Auskunftsersuchens fehleranfällig sei. Schon die Anzahl von Beschwerden auf diesem Gebiet zeige, dass vielen Bürgern der Schutz ihrer persönlichen Daten wichtig sei. Bedauerlicherweise sei jedoch noch nicht allen Verantwortlichen das Recht auf Auskunft bzw. dessen Umfang bekannt, weshalb hier weiterhin Aufklärungsbedarf bestehe.
Nach Art. 15 Abs. 1 DS-GVO könne jede Person vom Verantwortlichen zunächst eine Bestätigung verlangen, dass dieser personenbezogene Daten verarbeitet, die sie beträfen. Trifft das zu, hat der Betroffene Anspruch auf Auskunft über dies in § 15 Abs. 1 DS-GVO genannten Verarbeitungszwecke und seine insoweit bestehenden Datenschutzrechte. Im Einzelnen ergab sich hinsichtlich der Befolgung des Art. 15 Abs. 1 DS-GVO sodann folgendes Bild: Viele Beschwerden waren deshalb begründet, da tatsächlich keine Auskunft erteilt wurde. Unvollständige Auskünfte wurden dagegen nur in wenigen Fällen gegeben. Übersehen wurde, dass die Auskunft nicht auf Stammdaten beschränkt ist, sondern sich etwa auch auf Telefonvermerke oder Gesprächsnotizen, die zu dem Betroffenen angelegt wurden, erstrecken.
Für die Erteilung der Auskunft gelten das Genauigkeits- und das Verständlichkeitsgebot aus Art. 12 Abs. 1 Satz 1 DS-GVO, was eine gewisse Aufbereitung oder Erläuterung erforderlich machen kann.
Es gab allerdings auch einige unbegründete Beschwerden, u.a. weil der Verantwortliche die Auskunft hinreichend erteilt hatte oder die Antwortfrist von einem bzw. von bis zu drei Monaten nach Art. 12 Abs. 3 DS-GVO noch nicht verstrichen war. Mit Blick auf die Auskunftsfrist hatten Beschwerdeführer mitunter unrealistische Vorstellungen. Sie waren der Auffassung, der Verantwortliche habe binnen einer selbstgesetzten Frist von beispielsweise drei Tagen die gewünschte Auskunft zu erteilen.
2. Das Recht auf Kopie
Geltend gemacht wurde zudem das Recht auf Kopie gemäß Art. 15 Abs. 3 DS-GVO, wobei jedoch zu der Frage, in welcher Form eine Kopie zur Verfügung zu stellen ist, noch keine einheitliche Auslegung besteht. Die LfDI weist drauf hin, dass nach einer von ihr nicht geteilten Auffassung der Anspruch auf Kopie auch durch Überlassung einer strukturierten Zusammenfassung der verarbeiteten Daten erfüllt werden könne. Dies sei nicht überzeugend, da nach allgemeinem Verständnis mit einer Kopie eine originalgetreue Reproduktion gemeint sei. Es werde also die Herausgabe der Informationen in der Form gefordert, in der sie dem Verantwortlichen vorliegen.
In der Praxis sei dennoch grundsätzlich ein gestuftes Verfahren denkbar: Das heißt, der Verantwortliche könnte zunächst Auskünfte in Form aufbereiteter Daten erteilen. Bei einer großen Datenmenge könne der Verantwortliche zudem eine Präzisierung der erbetenen Auskunft verlangen (Erwägungsgrund 63). Fordert der Betroffene jedoch ausdrücklich eine Kopie seiner gesamten personenbezogenen Daten, muss der Verantwortliche dieser Forderung grundsätzlich nachkommen. Eine Begrenzung des Anspruchs erfolge allerdings durch Rechte anderer Personen sowie aufgrund etwaiger Geheimhaltungspflichten. Daher sei eine Abstimmung mit dem Betroffenen darüber sinnvoll, wie und in welchem Umfang die Auskunft und die Erstellung der Kopie erfolgen sollen.
3. Das Recht auf Löschung
Jede betroffene Person hat gemäß Art. 17 Abs. 1 DS-GVO einen Anspruch auf Löschung ihrer personenbezogenen Daten, wenn die Daten nicht mehr notwendig sind (Zweckentfall), bei Widerruf der zugrundeliegenden Einwilligung, bei Fehlen einer Rechtsgrundlage für die Verarbeitung oder bei Bestehen einer gesetzlichen Löschpflicht.
Sodann zeigt die LfDI die Pflicht zur Löschung und die insoweit nach Art. 17 Abs. 3 DS-GVO bzw. § 35 BDSG bestehenden Ausnahmen auf. wobei sie die bisweilen vertretene Auffassung, dass die Verschlüsselung von Daten mit deren Löschung gleichzusetzen sei, zutreffend nicht teilt. Durch eine Verschlüsselung wird nur die Vertraulichkeit der Daten geschützt. Dies ändert aber nichts an der Bewertung als personenbezogene Daten, zumal der Verantwortliche und ggf. auch Dritte eine Entschlüsselung vornehmen können. Weitgehend kamen die Verantwortlichen den Löschungsbegehren nach, konnten dieses aber oft nicht sofort erfüllen, sondern brauchten zeitlichen Vorlauf.
4. Die Informationspflichten
Jeder Verantwortliche unterliegt der Informationspflicht; entweder nach Art. 13 DS-GVO, wenn die Daten bei der betroffenen Person erhoben werden oder gemäß Art. 14 DSGVO, wenn die Daten anderweitig erhoben werden. Die LfDI weist dabei darauf hin, dass anders als in digitalen Umgebungen das Erfordernis der Information zum Erhebungszeitpunkt in bestimmten, nicht-digitalen (Alltags-)Situationen zu Fragen der praktischen Anwendung führen kann. Im Regelfall reicht es hier daher nach Auffassung der LfDI aus, wenn beim ersten Kontakt Basisinformationen zu den Betroffenenrechten gegeben werden. Zu den weiteren Informationen kann der Verantwortliche auf seine Webseite verweisen oder ein entsprechendes Informationsblatt anbieten. Meist wurde bei Beschwerden in diesem Bereich eine unzureichende Information gerügt, nur in wenigen Fällen unterblieb die Information ganz. Insgesamt waren Beschwerden zur Informationspflicht im Laufe des Jahres 2019 stark rückläufig. Das zeigt, dass die Verantwortlichen sich offenbar ihrer Pflicht zunehmend bewusst sind.
II. Datenverarbeitung zur Vertragserfüllung
Der Europäische Datenschutzausschuss (EDSA) hat in den Leitlinien 2/2019 „on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects“ (Version 2.0) eine umfassende Bewertung der Datenverarbeitung im Zusammenhang mit Online-Dienstleistungen vorgenommen. Die LfDI Niedersachsen (25. TB, S. 24 ff) nimmt dies zum Anlass, diesbezüglich Zulässigkeit der Datenverarbeitung zusammengefasst darzustellen:
„Was Gegenstand eines Vertrags ist, obliegt grundsätzlich der Entscheidung der Vertragsparteien. Dies bedeutet jedoch nicht, dass Datenverarbeitungen allein deshalb gemäß Art. 6 Abs. 1 lit b DS-GVO erlaubt sind, weil sie im Vertragstext genannt werden. Art. 6 Abs. 1 lit b DS-GVO erlaubt Datenverarbeitungen, die der Erfüllung oder dem Abschluss eines Vertrags dienen. Doch welche Verarbeitungen personenbezogener Daten können auf diese Norm gestützt werden? Voraussetzungen: Wirksamer Vertrag und Erforderlichkeit Wer eine Ware bei einem Versandhändler bestellt, gibt seine Anschrift zum Versand und seine Zahlungsdaten preis, um den offenen Betrag zu begleichen. Der Händler kann sich bei der Nutzung dieser Daten zur Abwicklung des Kaufs auf die Rechtsgrundlage des Art. 6 Abs. 1 lit b DS-GVO berufen.
Damit Unternehmen und Behörden Datenverarbeitungen zur Vertragserfüllung auf Art. 6 Abs. 1 lit b DS-GVO stützen können, müssen zwei Voraussetzungen erfüllt sein. Der Vertrag muss nach nationalem Recht wirksam zustande gekommen und die Datenverarbeitung muss objektiv zur Vertragserfüllung erforderlich sein. Es ist also nicht ausreichend, wenn die Datenverarbeitung zur Vertragserfüllung lediglich nützlich ist. Darüber hinaus reicht es nicht aus, dass die Datenverarbeitung von den Allgemeinen Geschäftsbedingungen (AGB) eines Website-Betreibers gedeckt ist. Die Datenverarbeitung muss mit der vertragstypischen Leistung so eng verknüpft sein, dass die Leistung ohne sie nicht erbracht werden kann.
Die Beurteilung dessen, was vertragstypisch ist, hängt von den wesentlichen Merkmalen des jeweiligen Vertrags und den Erwartungen der Vertragsparteien ab. Bei Verträgen, die verschiedene unterschiedliche Vertragstypen vereinen (sog. typengemischter Vertrag), muss jede vertragstypische Leistung isoliert betrachtet werden. Dient die Datenverarbeitung der Umsetzung eines nicht vertragstypischen Inhalts, müssen die Voraussetzungen einer anderen Rechtsgrundlage des Art. 6 Abs. 1 DS-GVO erfüllt sein.
Art. 6 Abs. 1 lit b DS-GVO legitimiert nicht nur die Datenverarbeitungen, die mit dem Austausch der vertraglichen Leistungen einhergehen. Die Rechtsgrundlage greift auch für Datenverarbeitungen, die im Fall unterbliebener oder verspäteter Leistungen ( z.B. Mahnung wegen unterlassener Zahlung, Produktreklamationen), im Widerrufs-, Rücktritts- oder Kündigungsfall erfolgen. Auch die weitere Aufbewahrung von Daten für den Garantie- oder Gewährleistungsfall lässt sich noch auf diese Rechtsgrundlage stützen.
Art. 6 Abs. 1 lit b DS-GVO ist dagegen keine geeignete Rechtsgrundlage, wenn die Datenverarbeitung der Optimierung der Website, der Betrugsprävention oder personalisierten Werbeanzeigen dient. Werden die Daten allerdings zur Personalisierung von Inhalten verarbeitet, die nicht der Werbung dienen, kann die Rechtsgrundlage wiederum greifen. Dies ist der Fall, wenn die Personalisierung des Inhalts Wesensmerkmal der Dienstleistung ist. Denkbar ist dies z.B. bei Foto-Apps, die auf Grundlage eines hochgeladenen Fotos das Alter des Nutzers schätzen“.
III. Zu wenig Zeit für Datenschutzbeauftragte
Unter Ziff.7.2 des 25. TB berichtet die LfDI über den Arbeits- und Zeitaufwand von Datenschutzbeauftragten in Krankenhäusern: „Die datenschutzrechtlichen Handlungsfelder in den Krankenhäusern sind vielfältig. Die betrieblichen DSB vor Ort müssen die Einhaltung des Datenschutzes gegenüber den Beschäftigten genauso kontrollieren wie den Schutz der Patientendaten. Dies setzt nicht nur umfangreiche Kenntnisse im Datenschutzrecht voraus, sondern auch ausreichende Zeitanteile bzw. eine ausreichende Anzahl an Beschäftigten, welche den DSB, nicht nur während des Urlaubs oder bei Abwesenheit, vertreten und unterstützen. Die verspätete Meldung einer Datenpanne, nur weil der DSB nicht erreichbar gewesen ist, wird von mir nicht toleriert. Zwar sehen die Datenschutzgesetze keine gesetzliche Pflicht zur Freistellung von DSB vor. Dennoch sollte jedem Verantwortlichen bewusst sein, dass in einem Krankenhaus mittlerer Größe mit mehreren Dutzend Beschäftigten und Tausenden von Patienten pro Jahr mindestens eine Vollzeitstelle für den Datenschutz eingeplant werden muss“.
IV. Bestellung von Datenschutzbeauftragten im Gesundheitsbereich
Zur Bestellpflicht von Datenschutzbeauftragten im Gesundheitsbereich allgemein fasst der HDSI wie folgt zusammen (https://datenschutz.hessen.de/datenschutz/gesundheitsund-sozialwesen/gesundheitswesen/bestellung-von-datenschutzbeauftragten-im-Gesundheitsbereich)“. „Mit Wirksamwerden der DS-GVO am 25. Mai 2018 gelten für die Bestellpflicht von Datenschutzbeauftragten Art. 37 DS-GVO und § 38 BDSG-neu i.V.m. Art. 35 DS-GVO. Ergänzend zu den Bestellpflichten des Art. 37 Abs. 1 DS-GVO hat der deutsche Gesetzgeber für die Benennung betrieblicher Datenschutzbeauftragter nationale Sonderregelungen geschaffen und sich dafür entschieden, das bereits aus dem deutschen Recht bekannte Kriterium der quantitativen Bestellpflicht beizubehalten (vgl. § 38 BDSG). Mit Beschluss vom 27.06.2019 hat der Bundestag entschieden, dass ein Datenschutzbeauftragter zu benennen ist, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind“.
Die Pflicht zur Bestellung eines Datenschutzbeauftragten im Gesundheitsbereich ergibt sich damit aus einem der folgenden Umstände:
- Regelmäßig sind mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 Satz 1 BDSG). Hinsichtlich der 20-Personengrenze stellt § 38 BDSG nicht nur auf Mitarbeiter ab. Dies entspricht der bisherigen Praxis der Aufsichtsbehörden. Weil wir bisher bei der Beschäftigten-Grenze auch den Arzt, Apotheker usw. als Chef der Praxis mitgezählt haben, ist ein Datenschutzbeauftragter ab 19 Mitarbeitern zu bestellen. Mitzuzählen sind zudem Auszubildende und die sich in Mutterschutz und Elternzeit befindenden Mitarbeiter. Nicht mitgezählt wird hingegen das Reinigungspersonal.
- Verantwortlicher ist eine öffentliche Stelle oder Behörde (Art. 37 Abs. 1 lit a DS-GVO).
- Die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten (z B. Gesundheitsdaten, Daten zu religiösen oder weltanschaulichen Überzeugungen, Daten zum Sexualleben) (Art. 37 Abs. 1 lit c DS-GVO; Größere Einheiten, wie private Krankenhäuser, führen in jedem Fall eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten durch und sind daher sowohl zur Durchführung einer Datenschutz-Folgenabschätzung als auch zur Bestellung eines Datenschutzbeauftragten verpflichtet)
- Es ist eine Datenschutz-Folgenabschätzung durchzuführen (§ 38 Abs. 1 Satz 2 BDSG). Grundsätzlich ist es von der DS-GVO nicht gewollt, dass jede Arztpraxis oder Apotheke einen Datenschutzbeauftragten bestellen oder eine Datenschutz-Folgenabschätzung durchführen muss, nur weil Gesundheitsdaten verarbeitet werden (siehe auch die vergleichbare Bewertung zur Datenschutz-Folgenabschätzung in ErwGr. 91 Satz 4 zu Art. 35 Abs. 3 lit b DS-GVO sowie Nr. 2.1.3 des WP 243 der Art. 29-Gruppe unter http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083 bzw. http://ec.europa.eu/newsroom/document.cfm? doc_ id= 44100), so dass derzeit beim Hessischen Datenschutzbeauftragten davon ausgegangen wird, dass eine Datenschutzfolgenabschätzung in der Arztpraxis tatsächlich nur bei besonderen Verfahren in Betracht zu ziehen ist, die nicht im herkömmlichen Praxisalltag eingesetzt werden ( z.B. besondere Analysen von Genmaterial, Einsatz neuer Technologien etc.). In Zweifelsfällen sollte hierzu mit der Aufsichtsbehörde Rücksprache genommen werden.
__________________
* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.