Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 18.12.1998

2. Allgemeines Datenschutzrecht

2.1. Datenschutzrecht in der Europäischen Union

Bereits mit ihrer Entschließung in der 50. Konferenz vom 09./10. November 1995 (abgedruckt in meinem 17. Tätigkeitsbericht, Anlage 2) haben sich die Datenschutzbeauftragten des Bundes und der Länder die Forderung der Konferenz der Datenschutzbeauftragten der Europäischen Union zu eigen gemacht, anläßlich der Überarbeitung der Unions- und Gemeinschaftsverträge in einen verbindlichen Grundrechtskatalog ein einklagbares europäisches Grundrecht auf Datenschutz aufzunehmen. Ein solcher Katalog ist jedoch im Vertrag von Amsterdam (Maastricht II) vom 02. Oktober 1997 nicht enthalten.

Gefordert wurde ferner die Einführung eines für die EU-Institutionen verbindlichen eigenen Datenschutzrechts. Diese Forderung wurde teilweise realisiert: Gem. Art. 286 Abs. 1 des Vertrags von Amsterdam finden ab 01. Januar 1999 die Rechtsakte der Gemeinschaft über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten auf die durch diesen Vertrag oder auf der Grundlage dieses Vertrags errichteten Organe und Einrichtungen der Gemeinschaft Anwendung. Dies bedeutet, daß unter anderem die EG-Datenschutzrichtlinie vom 24. Oktober 1995 ab dem 01. Januar 1999 auch auf die Einrichtungen und Organe der EU anwendbar ist. Eine Umsetzung der Richtlinie in verbindliche Datenschutzvorschriften für die Verwaltungsbehörden der EU steht noch aus. Ich hoffe, daß diese Vorschriften in naher Zukunft geschaffen werden.

2.2. Umsetzung der EG-Datenschutzrichtlinie

Die EG-Datenschutzrichtlinie hätte bis zum 24. Oktober 1998 in Bundes- und in Landesrecht umgesetzt werden müssen. Da diese Umsetzung leider weder in den allgemeinen noch in den bereichsspezifischen datenschutzrechtlichen Vorschriften fristgerecht erfolgt ist, setzt sich die Bundesrepublik Deutschland der Gefahr eines Vertragsverletzungsverfahrens aus.

Damit stellt sich nun auch die Frage einer unmittelbaren Wirkung der Bestimmungen der EG-Datenschutzrichtlinie. Eine solche direkte Anwendung ist nach der Rechtsprechung des Europäischen Gerichtshofs für nicht fristgerecht in das Recht eines Mitgliedsstaats umgesetzte Vorschriften anzunehmen, die unbedingt und hinreichend genau formuliert sind. Zu denken ist hier an die Vorschriften über das Informations- und das Auskunftsrecht des Betroffenen, sein Auskunfts- und Widerspruchsrecht sowie die Haftung.

2.2.1. Novellierung des BDSG

Bis zur Bundestagswahl lagen ein in den Ressorts abgestimmter Referentenentwurf der Bundesregierung und ein Entwurf der Fraktion Bündnis 90/Die Grünen zur Novellierung des Bundesdatenschutzgesetzes (BDSG) vor, die jedoch nicht mehr weiterbehandelt wurden.

Inhaltlich halte ich den Entwurf der damaligen Bundesregierung für sehr schwer lesbar und wenig innovativ; mit diesem Entwurf wurde an der bisherigen Konzeption des Bundesdatenschutzgesetzes festgehalten. Zahlreiche Einfügungen und Querverweise erschwerten außerdem die Verständlichkeit und führten dazu, daß dem interessierten Bürger die Materie des Datenschutzrechts kaum vermittelt werden kann. Die in einer Entschließung der 54. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 23./24. Oktober 1997 (Anlage 10 zu diesem Tätigkeitsbericht) geforderten Grundsatzentscheidungen und Anpassungen der Regelungen an die weiterentwickelte Informationsgesellschaft waren nicht enthalten. Zu diesen Grundsatzentscheidungen zähle ich die weitgehende Gleichbehandlung des öffentlichen und des privaten Bereichs, die Bestellung weisungsfreier Datenschutzbeauftragter auch bei öffentlichen Stellen und die Gewährleistung eines einheitlich hohen Datenschutzniveaus durch die Beibehaltung der Funktion des BDSG (und der Landesdatenschutzgesetze) als Querschnittsgesetze. Auch in der Entschließung der 56. Konferenz der Datenschutzbeauftragten vom 05./06.10.1998 (Anlage 17 zu diesem Tätigkeitsbericht) kommen diese und weitere Forderungen (z.B. Stärkung der Rechte der Bürger, Datenschutz durch Technik, Sicherstellung vertraulicher und und unverfälschter Kommunikation durch staatliche Förderung von Verschlüsselungsverfahren) zum Ausdruck. Weiterhin vermißte ich eine ausdrückliche Aufnahme des Grundrechtscharakters des Datenschutzrechts (Recht auf informationelle Selbstbestimmung) und von wichtigen Grundsätzen, wie z.B. der Datensparsamkeit, der Anonymisierung, der Pseudonymisierung, der Verschlüsselung und der Risikoanalyse. Ferner fehlen überfällige Regelungen, etwa für Chipkartenanwendungen und für die Zulässigkeit von Videoüberwachungen.

Der Gesetzentwurf der Fraktion Bündnis 90/Die Grünen enthält dagegen viele dieser notwendigen Grundsatzentscheidungen und innovativen Elemente, wie z.B. die Festschreibung des Grundrechtscharakters, die Möglichkeit eines Datenschutz-Audits, eine Regelung der Videoüberwachung und von Chipkartenanwendungen.

2.2.2. Novellierung des BayDSG

Auch das Bayerische Datenschutzgesetz (BayDSG) wurde nicht fristgerecht novelliert. Wie ich bereits in meinem 17. Tätigkeitsbericht (Nr. 2.1) zum Ausdruck gebracht habe, besteht nach wie vor eine Handlungspflicht für den bayerischen Gesetzgeber, unabhängig davon, ob und wann der Bund das BDSG novelliert. Das Bayerische Staatsministerium des Innern hatte sich zunächst auf den Standpunkt gestellt, ein Abwarten sei wegen "des Gleichlaufs der Gesetze" erforderlich. Ich stimme mit dem Innenministerium zwar darin überein, daß das BayDSG nicht - zu sehr - vom BDSG abweichen sollte. Dieser Gesichtspunkt tritt jedoch dahinter zurück, daß das EG-Recht ausdrücklich eine fristgerechte Umsetzung der EG-Datenschutzrichtlinie fordert und eine solche auch dringend notwendig ist. Inzwischen höre ich, daß mit Vorrang der Entwurf eines neuen Bayerischen Datenschutzgesetzes vorbereitet werden soll.

Bei der Novellierung des BayDSG werde ich darauf dringen, daß die oben angesprochenen innovativen Elemente auch in dieses Gesetz Eingang finden werden. Daneben werde ich noch weitere Änderungen anregen, die ich im folgenden - ohne Anspruch auf Vollständigkeit - aufführe:

• Die bloße Anlaßkontrolle bei nur in Akten verarbeiteten Daten (Art. 30 Abs. 1 Satz 2 BayDSG) sollte beseitigt werden, da es für diese Beschneidung meiner Prüfungskompetenz keinen sachlichen Grund gibt. Insbesondere bei verdeckten Maßnahmen ist der Betroffene, der von der Maßnahme nichts bemerkt, schutzlos. Der effektive Schutz seiner Grundrechte kann nur durch eine anlaßunabhängige Kontrolle durch den Datenschutzbeauftragten sichergestellt werden. Ich verweise auch auf meine obigen Ausführungen unter Nr. 1.5 und speziell auf nachstehende Nr. 6.2.7.2.
  
• Ferner sollte der Aufschub meiner Prüfungskompetenz bei der Datenerhebung in Ermittlungsverfahren bis nach Abschluß des Strafverfahrens (Art. 30 Abs. 4 BayDSG) gestrichen werden. Es gibt keine Anhaltspunkte dafür, daß die Strafrechtspflege durch eine umfassende Kontrollkompetenz behindert würde. Daher gibt es auch in keinem anderen deutschen Land eine vergleichbare Vorschrift. Ferner ist es für die Betroffenen in vielen Fällen unzumutbar, das Ende des Strafverfahrens abzuwarten, bevor Erhebungsmaßnahmen auch einer datenschutzrechtlichen Kontrolle zugeführt werden können.
  
• Ich werde weiterhin fordern, daß zumindest grundsätzlich für alle bayerischen öffentlichen Stellen die Berufung interner Datenschutzbeauftragter gesetzlich vorgeschrieben wird (vgl. bereits in meinem 17. Tätigkeitsbericht, Nr. 2.1). Dies hätte u.a. den Vorteil, daß unter dieser Voraussetzung Ausnahmen von der in der EG-Datenschutzrichtlinie an sich vorgeschriebenen Meldepflicht oder Vereinfachungen der Meldungen vorgesehen werden können.

2.3. Datenschutz und Forschung

Im zurückliegenden Berichtszeitraum habe ich mein besonderes Augenmerk auf das Verhältnis des Datenschutzrechts zur wissenschaftlichen Forschung gelegt. In einer Denkschrift zur Forschungsfreiheit hatte die Deutsche Forschungsgemeinschaft (DFG) aus ihrer Sicht Beeinträchtigungen der Forschung in Deutschland festgestellt. U.a. wurde moniert, daß die Forschung als Folge von Datenschutzregelungen unnötig erschwert und behindert werde. Angesichts der - zum Teil wenig konkreten - Vorwürfe haben die Datenschutzbeauftragten des Bundes und der Länder das Gespräch mit der DFG gesucht. Es wurde vereinbart, daß zunächst datenschutzrechtliche Fragen im Bereich der Epidemiologie (Lehre von der Verteilung von Krankheiten und ihrer Risikofaktoren in der Bevölkerung) eingehender diskutiert werden sollten.

2.3.1. Gespräche mit der Deutschen Arbeitsgemeinschaft für Epidemiologie

Zu den datenschutzrechtlichen Problemen im Bereich der Epidemiologie legte die Deutsche Arbeitsgemeinschaft für Epidemiologie ein Arbeitspapier vor, das zunächst im Arbeitskreis Wissenschaft der Konferenz der Datenschutzbeauftragten des Bundes und der Länder mit einigen Wissenschaftlern besprochen wurde. Ergebnis war ein überarbeitetes Arbeitspapier, das vom Vorstand der Deutschen Arbeitsgemeinschaft für Epidemiologie (DAE) in Abstimmung mit der Deutschen Gesellschaft für medizinische Information, Biometrie und Epidemiologie (GMDS), der Deutschen Gesellschaft für Sozialmedizin und Prävention (DGSMP), der Deutschen Region der Biometrischen Gesellschaft und von der Konferenz der Datenschutzbeauftragten zustimmend zur Kenntnis genommen wurde.

Danach gibt es folgende rechtliche Rahmenbedingungen für die Forschung mit personenbezogenen Daten:

• Die Forschung mit anonymisierten Daten ist jederzeit ohne datenschutzrechtliche Vorgaben möglich. Ob hierbei eine absolute Anonymisierung notwendig ist oder eine faktische Anonymisierung ausreicht, richtet sich nach den jeweiligen (landes-)rechtlichen Bestimmungen.
  
• Die Verarbeitung personenbezogener Daten wird im Rahmen epidemiologischer Forschung in der Regel auf der Basis einer Einwilligung der Betroffenen erfolgen. Erforderlich für die Wirksamkeit einer solchen Einwilligung sind die umfassende Information der Betroffenen über die vorgesehene Datenverarbeitung und in der Regel die Schriftform der Einwilligungserklärung.
  
• Eine Forschung mit personenbezogenen Daten ohne Einwilligung des Betroffenen ist in einzelnen gesetzlichen Bestimmungen, wie z.B. dem Bayer. Krankenhausgesetz, unter bestimmten Voraussetzungen vorgesehen.
  
• Eine Zweckänderung ist bei der Verarbeitung anonymisierter Daten unproblematisch. Bei der Verarbeitung personenbezogener Daten besteht die Möglichkeit, Einwilligungserklärungen so zu formulieren, daß eine eventuelle inhaltliche Änderung bzw. Ausweitung der Fragestellungen der Studie mit umfaßt ist. Andererseits muß die Einwilligungserklärung jedoch hinreichend bestimmt sein. Ob der Betroffene eine solche Erklärung unterschreibt, ist eine Frage der Akzeptanz des Vorhabens. In Betracht kommt darüber hinaus auch eine Anwendung der datenschutzrechtlichen Regelungen über die Zweckänderung personenbezogener Daten.

2.3.2. 7. Wiesbadener Forum Datenschutz

Ebenfalls das Thema Datenschutz und Forschung griff das 7. Wiesbadener Forum Datenschutz am 18. Juni 1998 auf. Von den verschiedenen Referenten wurden einzelne Problemfelder des Verhältnisses Datenschutz und Forschung beleuchtet. Ich habe mich mit einem Referat zu "Datenschutz und Forschungsfreiheit - Widerspruch oder Weg zur mehrseitigen Grundrechtsrealisierung?" an dem Forum beteiligt. Dabei habe ich ausgeführt, daß zwei Grundrechte nebeneinanderstehen: Zum einen das Grundrecht auf Wissenschaftsfreiheit und zum anderen das Grundrecht auf informationelle Selbstbestimmung. Beide Grundrechte sind mit dem Ziel einer gegenseitigen Optimierung (praktische Konkordanz) zu realisieren. Beide Rechte begrenzen sich jedoch, so daß sie auch Einschränkungen hinnehmen müssen. Im einzelnen habe ich folgende Forderungen aufgestellt:

• Wie bereits in meinem 16. Tätigkeitsbericht (Nr. 2.1.1) habe ich erneut die Einführung eines Forschungsgeheimnisses befürwortet, mit dem die Strafbarkeit der unbefugten Weitergabe, der Beschlagnahmeschutz und das Zeugnisverweigerungsrecht des Forschers erreicht werden können. Ich teile nicht die gelegentlich vertretene Auffassung, daß der Schutz medizinischer Daten im Bereich der Forschung bereits jetzt ausreichend gewährleistet sei. Forschung wird zum einen auch von Nichtärzten betrieben; aber auch wenn sie von Ärzten betrieben wird, ist keinesfalls sichergestellt, daß der forschende Arzt mit dem behandelnden Arzt im Sinne des
  § 203 StGB gleichzusetzen ist.
  
• Die Einführung eines Forschungsgeheimnisses darf jedoch nicht zu einem allgemeinen Verzicht auf die Einwilligung in die Verwendung der Patientendaten führen. Ein derartiger Verzicht würde den Patienten entmündigen und ihn zum bloßen Forschungsobjekt machen. Das Forschungsgeheimnis könnte aber sowohl die Abwägung im Einzelfall wesentlich erleichtern als auch die Entscheidung des Gesetzgebers, in weiteren Einzelfällen die Verwendung personenbezogener Daten in der Forschung in Grenzen - z.B. wenn die vorherige Einholung der Einwilligung das Forschungsprojekt nachteilig beeinflußt - auch ohne Einwilligung des Betroffenen zu gestatten.
  
• Darüber hinaus habe ich angeregt, ob die gesetzlichen Vorschriften, die ein erhebliches Überwiegen des Forschungsinteresses über das Interesse des Einzelnen vorsehen, dahingehend geändert werden könnten, daß ein (bloß) überwiegendes Forschungsinteresse ausreichend ist. Jedenfalls ist das Tatbestandsmerkmal "erheblich" im Hinblick auf das Grundrecht der Forschungsfreiheit m.E. restriktiv auszulegen, so daß darüber nachgedacht werden sollte, ob nicht ein über den bloßen zusätzlichen Erkenntnisgewinn hinausgehendes überwiegendes Forschungsinteresse als ausreichend angesehen werden muß. Das neue Hessische Datenschutzgesetz enthält in diesem Sinn das Tatbestandsmerkmal "erheblich" nicht mehr.