Neues EU-Gesetzgebungspaket

Kontroversen um den Datenschutz

Die EU-Justizkommissarin Viviane Reding hat ein Gesetzgebungspaket der Europäischen Kommission zur Überarbeitung der europäischen Datenschutzregeln vorgelegt. Damit sollen die Vorgaben der bestehenden Datenschutzrichtlinie aus dem Jahr 1995 aktualisiert und dem Internetzeitalter angepasst werden. Kritiker befürchten ein Aufweichen hoher nationaler Standards – wie zum Beispiel in Deutschland.

Nach den Plänen der EU-Kommission soll der Datenschutz in Europa auf den neuesten Stand gebracht werden. Die angestrebte Harmonisierung ist jedoch nicht unumstritten. Foto: MEV

Foto: MEV

Das Paket besteht im Wesentlichen aus einer Mitteilung, die die politischen Ziele der Europäischen Kommission zusammenfasst (KOM (2012) 9), einer Verordnung über einen Rechtsrahmen für den allgemeinen Datenschutz (KOM (2012) 11) sowie einer Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr (KOM (2012) 10). Es basiert auf den Ergebnissen umfassender Konsultationen, die in den Jahren 2009 und 2010, unter anderem unter Beteiligung der BZÄK, durchgeführt wurden.

Der Rat der Europäischen Union stimmte im Februar 2011 in seinen Schlussfolgerungen für das Konzept der Europäischen Kommission, das Europäische Parlament sprach sich wenig später mit seiner Entschließung im Juli 2011 für eine Reform des Datenschutzrechts aus.

Einheitliche Vorgaben

Mit der Verordnung sollen primär europaweit einheitliche und verbindliche Datenschutzstandards eingeführt werden. So soll jedes Mitgliedsland mindestens eine unabhängige Datenschutzaufsichtsbehörde einrichten, die mit umfassenden Befugnissen ausgestattet wird. Diese Behörde soll eigene Ermittlungen durchführen, bindende Entscheidungen treffen und Strafen verhängen können. Außerdem sollen die nationalen Datenschutzbehörden eine neu zu gründende zentrale Kontaktstelle für den Datenschutz in der EU unterstützen und beraten. Ein unabhängiger Datenschutzausschuss soll für eine kohärente Anwendung der Datenschutzregeln sorgen.

Ziel ist weiterhin der Abbau des Verwaltungsaufwands in datenverarbeitenden Unternehmen. Gleichwohl werden Unternehmen ab 250 Mitarbeitern und öffentliche Einrichtungen verpflichtet, einen Datenschutzbeauftragten einzustellen, wie dies bereits in Deutschland der Fall ist. Ferner sind spezielle Regelungen vorgesehen, um die Verschwiegenheitspflicht einzelner Berufsgruppen, wie zum Beispiel der Anwaltschaft und der Ärzteschaft zu sichern.

Das „Recht auf Vergessenwerden“ soll eine bessere Beherrschung der bei Onlinediensten bestehenden Datenschutzrisiken ermöglichen. Bürger bekommen dabei das Recht, ihre Daten löschen zu lassen oder auch ihr Einverständnis zurückzunehmen sowie das Recht auf Datenportabilität. Bei einem Datenverlust müssen die Nutzer sowie die jeweilige Datenschutzaufsicht innerhalb von 24 Stunden informiert werden. Die Weitergabe von Daten an Drittländer ist nur unter engen Voraussetzungen möglich.

Gesundheitsdaten

Der Verordnungsvorschlag soll auch die Bedingungen für die Verarbeitung gesundheitsbezogener Daten harmonisieren. Darunter fällt das Recht natürlicher Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten (zum Beispiel Patientenakten) sowie auf Informationen über Diagnosen, Untersuchungsergebnisse und Befunde der behandelnden Ärzte: Grundsätzlich sollen dabei personenbezogene Gesundheitsdaten, das heißt Informationen, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person oder auf die Erbringung von Gesundheitsdienstleistungen für die betreffende Person beziehen, nicht verarbeitet werden.

Ausnahmsweise dürfen Gesundheitsdaten aber zum Zweck der Gesundheitsversorgung, der Arbeitsmedizin sowie der medizinischen Diagnostik durch ärztliches Personal verarbeitet werden. Darüber hinaus dürfen diese Daten unter anderem zum Zweck des öffentlichen Interesses zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren sowie/oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards oder aus anderen Gründen des öffentlichen Interesses in Bereichen wie der sozialen Sicherheit, insbesondere um die Qualität und Wirtschaftlichkeit der Verfahren sicherzustellen, verwendet werden. Aus Gründen des öffentlichen Interesses kann es im Bereich der öffentlichen Gesundheit notwendig sein, Daten auch ohne Einwilligung der betroffenen Person zu verarbeiten. Diesbezüglich sollte der Begriff „öffentliche Gesundheit“ im Sinne der Verordnung 2008 Nr. 1338 (EG) zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz ausgelegt werden. Danach erfasst der Begriff „öffentliche Gesundheit“ den Gesundheitszustand, Morbidität, Behinderung, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel sowie den allgemeinen Zugang zu Gesundheitsversorgungsleistungen.

Erhebliche Kritik

Der geplante Gesetzentwurf dürfte nach Einschätzung der Bundeszahnärztekammer in den kommenden Monaten für erhebliche Kontroversen sorgen. Einzelne EU-Mitgliedstaaten und Datenschützer befürchten, dass die Verordnung, die in allen Teilen verbindlich ist und unmittelbar gelten soll, im Widerspruch zu nationalen Datenschutzregeln stehen könnte. Gerade Mitgliedstaaten wie Deutschland, die hohe Anforderungen an den Datenschutz beziehungsweise an das Erbringen von medizinischen Dienstleistungen stellen, befürchten sogar, dass das nationale Datenschutz-, Berufs- oder Standesrecht entsprechend „nach unten“ angepasst werden müsste. Sehr kritisch wird in diesem Zusammenhang gesehen, dass die Europäische Kommission im Wege sogenannter delegierter Rechtsakte viele technische Fragen des Datenschutzes regeln möchte. Bundesinnenminister Hans-Peter Friedrich hatte diese Ermächtigungen bereits im Vorfeld kritisiert und der Kommission vorgeworfen, Macht an sich zu reißen.

Die von der Europäischen Kommission in Aussicht gestellten finanziellen Entlastungen in Höhe von 2,3 Milliarden Euro pro Jahr für Unternehmen, die künftig nicht unterschiedliche nationale Regeln für Datenschutz befolgen müssen, werden von Kritikern bezweifelt. Dabei wird argumentiert, dass die Verordnung den Unternehmen umfangreiche Pflichten zum Datenschutz auferlege, die mit erheblichen Kosten verbunden seien. Außerdem könnten nach dem Willen der Kommission bestimmte Verstöße gegen die die neuen Datenschutzregeln mit empfindlichen Strafen von bis zu einer Million Euro oder zwei Prozent des weltweiten Umsatzes künftig geahndet werden.

Das Europäische Parlament und die im Rat versammelten EU-Mitgliedstaaten werden in Kürze mit den Beratungen beginnen. Es wird erwartet, dass der Gesetzgebungsprozess nicht vor 2013 abgeschlossen werden wird. pr/BZÄK

Weitere Bilder
Bilder schließen