Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

BfDI in Gesetzgebungsverfahren

Anmerkungen des BfDI zum Patienten-Datenschutz-Gesetz

Was wir dürfen

Die Aufgaben des BfDI sind in Teil 1 Kapitel 4 des Bundesdatenschutzgesetzes (BDSG) beschrieben. Danach berät er den Deutschen Bundestag und den Bundesrat, die Bundesregierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten. Art. 36 Abs. 4 der Datenschutz-Grundverordnung (DSGVO) verpflichtet die Mitgliedstaaten der EU, die Aufsichtsbehörden bei der Ausarbeitung von Gesetzgebungsmaßnahmen zum Datenschutz zu konsultieren. Diese Verpflichtung wird durch § 21 der Gemeinsamen Geschäftsordnung der Bundesregierung umgesetzt, wonach der BfDI frühzeitig zu beteiligen ist.

Außerdem muss er die Anwendung des BDSG und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der DSGVO erlassenen Rechtsvorschriften, überwachen und durchsetzen. Nicht zuletzt muss er die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten sensibilisieren und sie darüber aufklären.

 

Was wir nicht dürfen

Im Rahmen von Gesetzgebungsvorhaben sind die Mitarbeitenden des BfDI normalerweise in regelmäßigem Austausch mit den Bundesministerien. Dabei geben Sie Hinweise zur datenschutzkonformen Ausgestaltung möglicher Gesetze. Zusätzlich gibt der BfDI schriftliche Stellungnahmen mit seinen Positionen ab. Hier ein Beispiel.

Der BfDI kann den Gesetzgeber aber nicht verpflichten, seine Beratung auch tatsächlich anzunehmen und umzusetzen. Anders als die Ministerien hängt das weitere Gesetzgebungsverfahren nicht von der Zustimmung des BfDI ab. Dafür gibt es keine gesetzliche Grundlage. Die Bundesregierung und erst recht der Gesetzgeber haben die Freiheit, die Hinweise des BfDI zu ignorieren.

 

Was wir tun

Der BfDI kann davon abraten, dass der Bundestag ein Gesetz beschließt. Er kann aber nicht verhindern, dass sich der Gesetzgeber über diesen Ratschlag hinwegsetzt. Deshalb hat der Bundestag beispielsweise das PDSG gegen den ausdrücklichen Rat des BfDI am 3. Juli 2020 beschlossen.

Weil der BfDI die Anwendung des BDSG und der DSGVO überwachen und durchzusetzen muss, kann er bei Verstößen aufsichtsbehördliche Maßnahmen ergreifen. Beim PDSG hat der BfDI das jetzt beispielsweise angekündigt.

Allerdings treffen diese Maßnahmen nicht die Bundesregierung, sondern die Krankenkassen. Denn sie sind für die Datenverarbeitung verantwortlich, die mit dem neuen Gesetz gegen europäisches Recht verstößt.

 

Was die anderen sagen

Aktuell werden Stimmen laut, die dem BfDI vorwerfen, seine Kritik am PDSG sei nicht nachvollziehbar, denn er hätte sich doch an der Erarbeitung des Gesetzes beteiligt. Der BfDI hat seit den ersten Entwürfen Kritik am geplanten Gesetz geäußert. Leider blieb die Kritik in vielen Bereichen ungehört.

Das Bundesgesundheitsministerium äußerte sich im Tagesspiegel Background Digital am 20.08.2020 wie folgt:

Das Bundesgesundheitsministerium weist die Kritik von Kelber derweil zurück. Die Bundesregierung teilt die Bedenken des Bundesdatenschutzbeauftragten ausdrücklich nicht, heißt es auf eine Anfrage von Tagesspiegel Background. Das Gesetz sei vor seiner Verabschiedung im Bundestag von den Verfassungsressorts BMJV und BMI rechtlich umfassend geprüft worden. Außerdem war der BfDI selbst in die fachlichen Diskussionen eingebunden und hat an der Erarbeitung der Regelungen mitgewirkt.

Diese Darstellung ist unvollständig. Der BfDI hat in seiner Funktion Stellungnahmen zu den verschiedenen Entwürfen des PDSG abgegeben und das BMG beraten. In den Stellungnahmen wurden die Probleme des Rechtemanagements und des Authentifizierungsverfahrens frühzeitig angesprochen. Der BfDI hat keine gesetzliche Möglichkeit, Änderungen an einer Gesetzesvorlage zu erzwingen und er wirkt auch nicht an der Erarbeitung der Regelungen mit. Das BMG hat sich entschlossen, die Beratung des BfDI in diesen Punkten zu ignorieren.

 

Der vdek äußerte sich im Tagesspiegel Background Digital am 20.08.2020 wie folgt:

Ähnlich argumentiert der Verband der Ersatzkassen (vdek). Die Spezifikationen seien seitens der Gematik mit dem BfDI abgestimmt worden, so Ulrike Elsner, Vorstandsvorsitzende des vdek. Außerdem gelte, dass alle Anwendungen der elektronischen Patientenakte freiwillig seien, die Versicherten könnten entscheiden, ob sie die Vorteile der Patientenakte schon jetzt oder auch erst später nutzen wollen. Die Kritik des BfDI können wir deshalb nicht nachvollziehen.

Diese Darstellung ist falsch. Mindestens eine Anwendung der Telematikinfrastruktur, das e-Rezept, ist für Nutzende nicht freiwillig, sondern verpflichtend. Die Anforderungen an die elektronische Patientenakte sind seit mehr als zehn Jahren bekannt. Es ist deshalb unverständlich, warum das Rechtemanagement nicht zum Start der elektronischen Patientenakte verfügbar ist. Auch die gematik wurde durch den BfDI beraten. Der BfDI hat keine gesetzliche Möglichkeit, Änderungen am System zu erzwingen. Die gematik hat sich entschlossen, der Beratung des BfDI in diesen Punkten nicht zu folgen.