Stellungnahme des Bundesverbandes der Freien Berufe

Transkript

1 Entwurf 2012/0011 (COD) einer europäischen Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) Stellungnahme des Bundesverbandes der Freien Berufe Brüssel/Berlin, den 22. Februar 2013 Bundesverband der Freien Berufe Reinhardtstraße Berlin - Tel.: Fax: , Rue Montoyer - B-1000 Brüssel - Tel.: Fax: info-bfb@freie-berufe.de

2 Kernpunkte Einschränkung der Betroffenenrechte in Bezug auf die besondere Situation von Berufsgeheimnisträgern. Der Verordnungsentwurf kollidiert durch Art. 14, Information der betroffenen Person und Art. 15, Auskunftsrechte der betroffenen Person, mit dem deutschen Recht nach 203 StGB (Verletzung von Privatgeheimnissen) und führt zu einer massiven Aufweichung bzw. Störung des bestehenden Vertrauensverhältnisses. Keine Bevormundung des Betroffenen. Betroffene müssen das Recht auf Einwilligung zur Weitergabe ihrer Daten haben. Recht auf Vergessenwerden einschränken, um die Erfüllung und ordnungsgemäße Abwicklung von Auftragsverhältnissen nicht zu gefährden. Beibehaltung der Bestellpflicht für betriebliche Datenschutzbeauftrage ab 250 Mitarbeitern. Der BFB fordert, dass den Mitgliedstaaten die Option eingeräumt wird, den für die Berufsgeheimnisträger bereits zuständigen Stellen auch die datenschutzrechtliche Aufsicht zu übertragen. Schranken zur Verarbeitung von personenbezogenen Gesundheitsdaten angemessen setzen. Maßnahmen, die der Steigerung der Effizienz im Gesundheitswesen dienen sollen, können eine Verarbeitung von Gesundheitsdaten rechtfertigen. Daher sollten die in Art. 6 EU-DSGVO aufgeführten Schranken, die zu einer Interessenabwägung führen, auf das Notwendige beschränkt werden. Seite 2/7

3 I. Allgemein Stellungnahme Der BFB als Spitzenorganisation der freiberuflichen Kammern und Verbände vertritt die Interessen der knapp 1,2 Millionen selbstständigen Freiberufler. Diese beschäftigen über 3,1 Millionen Mitarbeiter - darunter ca. 125 Tausend Auszubildende. Gemeinsam mit ihren Mitarbeitern erzielen Freiberufler einen Jahresumsatz im engeren Sinne von mindestens 350 Milliarden Euro. Sie steuern rund 260 Milliarden Euro zum Bruttoinlandsprodukt bei und erwirtschaften so jeden zehnten Euro. Der Bundesverband der Freien Berufe (BFB) unterstützt grundsätzlich das mit dem Verordnungsvorschlag verfolgte Ziel, das europäische Datenschutzrecht zu harmonisieren. Die geltende Datenschutzrichtlinie aus dem Jahr 1995 gibt keine hinreichenden Antworten auf die Herausforderungen der Informationsgesellschaft des 21. Jahrhunderts. Der Wandel der Informations- und Kommunikationstechnologie, die nahezu jeden Gesellschaftsbereich durchdrungen hat, führt vor den unterschiedlichen Vorschriften und Rechtsordnungen der einzelnen Mitgliedsländer zu erheblicher Rechtsunsicherheit. Trotz dieser grundsätzlich als positiv zu wertenden Initiative der Europäischen Kommission müssen zahlreiche Regelungen und Inhalte der EU-Datenschutzgrundverordnung (EU- DSGVO) kritisch hinterfragt und korrigiert werden. Unstrittig ist, dass die 15 Jahre alte Richtlinie den Herausforderungen des Internets vor allem in Bezug auf die technisch-sozialen Phänomene der sozialen Netzwerke nicht gerecht werden konnte und die neue Verordnung einem Regelungsbedarf nachkommt. Der im Januar 2012 erstellte Entwurf generiert nun aber stattdessen eine allumfassende Unwucht informativer Selbstbestimmung, die weit über die schützenswerte Privatsphäre hinausgeht und notwendige Kommunikationsräume einengt oder gar unmöglich macht. Sollte die Verordnung in der derzeitigen Fassung in Kraft treten, würde dies zu einer massiven Beeinträchtigung freiberuflicher Tätigkeit führen. Auch der im Januar 2013 vorgestellte Berichtsentwurf des zuständigen Berichterstatters Philipp Albrecht MdEP ist eher als Verschärfung in den Bereichen Auskunfts-, Dokumentations- und Informationspflichten des bisherigen Kommissionsentwurfes zu sehen. Wenig konsequent und vertrauensbildend ist dabei auch, dass das neue europäische Datenschutzrecht nicht für die europäischen Behörden gelten soll und die selbst gesetzten Standards außen vor lässt. Seite 3/7

4 Praktikable, freiberuflerspezifische Regelungen müssen in die Verordnung stärker Einzug halten. Hierzu bringt der BFB 1 im Einzelnen folgende relevante Kernpunkte in die Diskussion um die Datenschutz-Grundverordnung ein. II. Im Einzelnen 1. Verschwiegenheitspflichten und Berufsgeheimnisträger Viele Freiberufler sind Berufsgeheimnisträger. Die Verschwiegenheit zwischen seinem Patienten, Mandanten, Klienten und Kunden ist das Alleinstellungsmerkmal und nicht nur der Garant für den Erfolg des Freiberuflers, sondern für denjenigen, der dessen Beistand begehrt. Nur rückhaltlose Offenbarung kann eine umfassende Beratung sichern. Jede datenschutzrechtliche Regelung muss diesem bewährten Prinzip Rechnung tragen. Regelungen wie sie im Verordnungsentwurf in Art. 14 (Information der betroffenen Person) und Art. 15 (Auskunftsrechte der betroffenen Person) aufgeführt worden sind, bedeuten zum einen die Kollision mit deutschem Recht nach 203 StGB (Strafbarkeit der Verletzung von Privatgeheimnissen) und führen zum anderen zu einer massiven Aufweichung bzw. Störung des bestehenden Vertrauensverhältnisses. Dies zieht ein Erodieren einer der tragenden Säulen der Freiberuflichkeit nach sich. Eine mögliche Lösung, wonach die Informations- oder Auskunftspflicht dann nicht besteht, wenn die Daten einem Berufsgeheimnisträger unterliegen, könnte der 33 Abs. 2 Nr. 3 BDSG liefern. Der BFB fordert, den Mitgliedstaaten, über den derzeitigen Vorschlag des zuständigen Berichterstatters hinaus, spezifische Regelungen zu ermöglichen, die den datenschutzrechtlichen Besonderheiten bei Berufsgeheimnisträgern angemessen Rechnung tragen. 2. Einwilligung Die EU-DSGVO suggeriert zwar allgemein ein absolutes Verfügungsrecht des Betroffenen über seine Daten. Dem steht allerdings die Regelung des Art. 7 Abs. 4 EU-DSGVO entgegen, die die Einwilligung als Rechtsgrundlage der Datenverarbeitung ausschließt, wenn zwischen Betroffenem und Datenverarbeiter ein erhebliches Ungleichgewicht besteht. Nach 1 Mit Ausnahme der Bundesrechtsanwaltskammer (BRAK), die hierzu eine eigene Stellungnahme erstellt hat. (Stellungnahme Nr. 53/2012) Seite 4/7

5 Erwägungsgrund 34 ist dies der Fall, wenn z.b. ein Abhängigkeitsverhältnis wie bei Beschäftigungsverhältnissen besteht. Die derzeitige Formulierung bietet jedoch aus freiberuflicher Sicht Raum für heikle Analogien. Denn zwischen Freiberuflern und deren Patienten, Klienten oder Mandanten besteht immer ein strukturelles Abhängigkeitsverhältnis. Den Regelungen folgend wäre für all diese Fälle eine Einwilligung zur Datenverarbeitung stets ausgeschlossen. Dieser generelle Ausschluss der Einwilligung bedeutet damit - neben der für sich genommen schon fragwürdigen Bevormundung des Betroffenen -, dass es unmöglich wäre, personenbezogene Daten zu verarbeiten. Gerade diese sind aber zur Erbringung einer freiberuflichen Dienstleistung zwingend notwendig. Der BFB fordert, dass Art. 7 Abs. 4 gestrichen wird. 3. Recht auf Vergessenwerden und auf Löschung Vor dem Hintergrund sozialer Netzwerke erkennt der BFB grundsätzlich die Notwendigkeit des Rechts auf Vergessen oder Löschung an. Jedoch dürfen umfangreiche Betroffenenrechte nicht dazu führen, dass das Erfüllen einer freiberuflichen Tätigkeit gefährdet bzw. das Durchführen anerkannter und etablierter Dienstleistungsprozesse ver- bzw. massiv behindert wird. Da der Art. 17 und das Recht auf Vergessenwerden von beträchtlichen Handlungspflichten umsäumt ist, ist zudem zu befürchten, dass es zu einem enormen Kosten- und Verwaltungsaufwand kommt. Das würde das an sich lobenswerte Ziel der EU- DSGVO einer beabsichtigten Kostenersparnis konterkarieren. So ist beabsichtigt, dass der Datenverarbeitende bei einer sofortigen Löschungspflicht auch dafür Sorge zu tragen hat, Dritte über die Löschung zu informieren und auf die Löschung aller Querverweise bzw. Kopien oder Replikationen hinzuwirken. Angesichts der immensen Vervielfältigungs- und Verknüpfungsvorgänge im Internet wird der Umgang mit personenbezogenen Daten zu einem unnötigen Verwaltungs- und Kostenaufwand führen. Weiterhin bleibt die Umsetzbarkeit ungeklärt. Mit der Einführung eines Right to be forgotten wird der Anspruch auf Löschung personenbezogener Daten massiv ausgeweitet. Konflikte sieht der BFB beispielsweise im Umgang mit ärztlichen Dokumentationspflichten, die einem Recht auf Löschung entgegenstehen. Weiterhin sind Kollisionen mit dem Urheberrecht wahrscheinlich. Ein Sachverständigengutachten oder anderweitig urheberrechtlich geschützte Werke stehen der Löschungspflicht ebenfalls entgegen. Der BFB fordert, das Recht auf Vergessenwerden insoweit einzuschränken, dass die Erfüllung und ordnungsgemäße Abwicklung von Auftragsverhältnissen nicht gefährdet wird. Seite 5/7

6 4. Bestellpflicht für betriebliche Datenschutzbeauftrage Grundsätzlich zu befürworten ist auch der Ansatz, den in Deutschland bewährten betrieblichen Datenschutzbeauftragen europaweit anzuerkennen. Hingegen ist die im Berichtsentwurf angegebene Bemessungsgrenze von 500 Datensätzen pro Jahr ein wenig geeignetes Kriterium zur Bestellung eines betrieblichen Datenschutzbeauftragten. Im Verordnungsentwurf war zuvor die Bemessungsgrundlage auf eine Mitarbeiterzahl ab 250 festgelegt worden. Selbst wenn, die schlichte Anzahl der Mitarbeiter als Kriterium nicht die ideale Bemessungsgrundlage sein sollte, ist die reine Quantität der Datensätze deutlich weniger geeignet, um einen praxistauglichen und angemessenen Datenschutz zu gewährleisten. Aus freiberuflicher Perspektive würde die Bemessungsgrenze von 500 Datensätzen in der Praxis für jede Arztpraxis oder Apotheke, genauso aber auch für andere Betriebe aus dem klein- und mittelständischen Bereich sowie auch für Non-Profit-Organisationen, die Bestellung von Datenschutzbeauftragten bedeuten. Differenziert werden muss hier zwischen einem Unternehmen, das professionell Daten verarbeitet, Datenverarbeitung folglich zu dessen Kerngeschäft gehört, und dem Freiberufler, für den in Deutschland bereits ein hohes Schutzniveau und eine entsprechende Regelungsdichte besteht und dessen Dienstleistungsmodell am Wohl seines Patienten, Klienten, Mandanten oder Kunden orientiert ist. Der BFB fordert, die bisherige Bemessungsgrundlage mit der Mitarbeiterzahl ab 250 zur Bestellpflicht eines Datenschutzbeauftragten beizubehalten. 5. Aufsichtsbehörden Angesichts der spezifischen Situation von Berufsgeheimnisträgern sollte den Mitgliedstaaten die Option eingeräumt werden, den im Bereich der reglementierten Berufe bereits bestehenden Berufskammern auch die datenschutzrechtliche Aufsicht zu übertragen, sofern dies von den betreffenden Berufen gewünscht wird. Regelungen und Vorgaben zur Errichtung von Aufsichtsbehörden durch die Mitgliedstaaten sind in Art. 49 der EU-DSGVO aufgeführt. Zu berücksichtigen ist hier, dass die zur beruflichen Verschwiegenheit verpflichteten Amts- und Berufsträger bereits einer umfassenden Berufsaufsicht ihrer entsprechenden Kammern unterliegen. Vor diesem Hintergrund erscheint die oben beschriebene Option einer Zuständigkeitserweiterung der Berufskammern sinnvoll. Ein solcher Schritt hätte folgende Vorteile: Seite 6/7

7 1. Die staatliche Eingriffsintensität würde damit gemildert. 2. Die kammerspezifische Aufsicht bekäme zusätzlich die Möglichkeit zur Durchsetzung datenschutzrechtlicher Vorschriften sowie zur Sanktionierung möglicher Verstöße. Der BFB fordert, dass den Mitgliedstaaten die Option eingeräumt wird, den für die Berufsgeheimnisträger bereits zuständigen Stellen auch die datenschutzrechtliche Aufsicht zu übertragen. 6. Gesundheitsdaten Der BFB begrüßt ausdrücklich die Zielsetzung des Art. 81 EU-DSGVO, der sich mit der Verarbeitung personenbezogener Gesundheitsdaten befasst. Der Kommissionsvorschlag ermöglicht die Verarbeitung von personenbezogenen Gesundheitsdaten auf Grundlage der Rechtsvorschriften der Mitgliedstaaten. Für freie Heilberufe ist dieser Vorschlag essentiell. Er ermöglicht zum einen die eigentliche Leistungserbringung zum Wohle des Patienten und zum anderen die sich anschließende Abrechnung mit Dritten. Zu erwägen ist weiterhin, die Bestimmungen dahingehend zu erweitern, dass Maßnahmen, die der Steigerung der Effizienz im Gesundheitswesen dienen sollen, eine Verarbeitung von Gesundheitsdaten rechtfertigen können. Der BFB fordert, die in Art. 6 EU-DSGVO aufgeführten Schranken, die zu einer Interessenabwägung führen, auf das Notwendige zu beschränken. Bedauerlicherweise sind diese Regelungen stattdessen im Berichtsentwurf des Berichterstatters Albrecht unnötig verschärft worden. Seite 7/7