Gutachten zum neuen Datenschutzgesetz: Laxe Kontrolle von Ärzten und Anwälten ist verfassungswidrig

Ob Anwälte, Ärzte und andere Berufsgeheimnisträger sorgsam mit den Daten ihrer Mandanten und Patienten umgehen, kann von den zuständigen Aufsichtsbehörden künftig nicht mehr wirksam kontrolliert werden. Der Jurist Thilo Weichert kommt in einem Rechtsgutachten zu dem Schluss, dass die Regelung verfassungswidrig ist.

Ärzte, Anwälte und andere Berufsgeheimnisträger erlangen oft sensible Informationen über ihre Klienten. Für Aufsichtsbehörden wird es zukünftig fast unmöglich sein, zu prüfen, ob der Datenschutz dabei eingehalten wird. – Public Domain Kristina Flour

Dies ist ein Gastbeitrag von Thilo Weichert, Jurist und ehemaliger Datenschutzbeauftragter des Landes Schleswig-Holstein. Mit dem „Netzwerk Datenschutzexpertise“ hat er heute ein Rechtsgutachten zum neuen Bundesdatenschutzgesetz [PDF, inoffizielle Fassung] veröffentlicht. Er kommt zu dem Ergebnis, dass die dort geregelte Einschränkung der Kontrollbefugnis von Datenschutzaufsichtsbehörden bei Berufsgeheimnisträgern europarechts- und verfassungswidrig ist.

Keine wirksame Datenschutzkontrolle bei Berufsgeheimnisträgern mehr

Das neue Bundesdatenschutzgesetz (BDSG) wurde am 27. April vom Bundestag und am 12. Mai 2017 vom Bundesrat beschlossen. Es soll die Europäische Datenschutzgrundverordnung (DSGVO) im nationalen Recht umsetzen und am 25.05.2018, dem Tag des europaweiten Wirksamwerdens der DSGVO, in Kraft treten. Von da an wird auch § 29 Absatz 3 des BDSG-neu anwendbar sein. Diese Regelung schließt die Datenschutzkontrolle bei Berufsgeheimnisträgern aus, also bei Personen, die gemäß Strafgesetzbuch einer Schweigepflicht unterliegen, „soweit dies zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde“. Für diesen Bereich sollen die Datenschutzbehörden weder Zugang zu den Geschäftsräumen, noch zu den Datenverarbeitungsanlagen oder den Daten und Informationen erhalten, in denen Berufsgeheimnisse gespeichert sind.

Diese Ausnahmeregelung ist im seit den 70er Jahren des letzten Jahrhunderts geltenden Datenschutzrecht einzigartig. Zwar gab es immer wieder Versuche, die Datenschutzkontrolle mit dem Hinweis auf besondere Geheimhaltungspflichten einzuschränken, zum Beispiel von Finanzbehörden mit Hinweis auf das Steuergeheimnis oder von Geheimdiensten mit dem Hinweis auf Staatsgeheimnisse. Doch selbst die Geheimdienste unterliegen – mit zwei spezifischen Ausnahmen (Telekommunikationsüberwachung und eingeschränkten Sicherheitsüberprüfungen) – der vollen Kontrolle durch den Datenschutz.

Dies soll ab Mai 2018 für unter anderem für Ärzte, Apotheker, Psychologen, Krankenkassen und Lebensversicherungen, Rechtsanwälte, Notare, Wirtschaftsprüfer und Sozialarbeiter gelten. Außerdem für Dienstleister der Vorgenannten. Eine ausführliche Liste der Berufsgruppen, für die es keine wirksame Datenschutzkontrolle mehr gibt, findet sich am Ende des Artikels.

Den Tageszeitungen nicht mal eine Kurzmeldung wert

Thilo Weichert (Archivbild). Foto: CC BY 3.0 AK Vorrat

Die Regelung im BDSG geht auf eine Öffnungsklausel in der DSGVO zurück, die wir insbesondere der Lobbyarbeit der Rechtsanwaltsverbände in Brüssel verdanken. Die nun vom Bundesgesetzgeber verabschiedete Kontrolleinschränkung war von Anfang an vom Bundesinnenministerium vorgesehen und ist ebenfalls das Resultat der Tätigkeit der Anwaltslobby.

Die Ärzteschaft und andere Berufsgruppen hatten sich in früheren Jahren auch immer wieder gegen die Datenschutzkontrollen bei Berufsgeheimnissen zur Wehr gesetzt. Doch hatten sie diese zwischenzeitlich akzeptiert und begrüßten diese teilweise sogar ausdrücklich, weil die externe unabhängige Kontrolle das Vertrauensverhältnis in die Beachtung des Datenschutzes bei diesen Gruppen eher stärkt, als dass es durch die Kontrollmöglichkeit beeinträchtigt wird. Gerade bei sensitiven Daten – um solche handelt es sich bei Berufsgeheimnissen – kann das Vertrauen in die sichere Datenverarbeitung schnell kompromittiert werden. Die unabhängige Datenschutzkontrolle ist ein wirksames Mittel gegen diesen Vertrauensverlust. In den letzten 40 Jahren, seitdem es die Datenschutzkontrolle gibt, ist es auch nur zu wenigen tatsächlichen Konflikten bei der Kontrolle von Berufsgeheimnissen gekommen. Diese Kontrolle ist bislang ein Schwerpunkt der Arbeit der Aufsichtsbehörden.

Während des Gesetzgebungsverfahrens wehrten sich die Datenschutzbeauftragten wie auch einige Datenschutzorganisationen massiv gegen diese Kontrolleinschränkung. Während aber deren Kritik hinsichtlich der geplanten Aufweichung der Zweckbindung und der Einschränkung der Informations- und Auskunftsrechte der Betroffenen zumindest teilweise bei der Politik Gehör fand, änderte sich bei der Einschränkung der Kontrollbefugnis gegenüber dem Regierungsvorschlag nichts.

Bei der Anhörung des Innenausschusses zum BDSG blieb Peter Schaar, der frühere Bundesdatenschutzbeauftragte und jetzt Leiter der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID), mit seiner Kritik an der geplanten Regelung allein und ohne Resonanz. Ein Grund dafür dürfte darin liegen, dass der Datenschutz nach der Verabschiedung der DSGVO von der politischen Agenda und aus der öffentlichen Wahrnehmung verschwunden ist: Die Verabschiedung des Gesetzes war selbst renommierten großen Tageszeitungen nicht einmal eine Kurzmeldung wert.

Freifahrtschein für Datenschutzverstöße

Die Konsequenzen der neuen Regelung sind absehbar: Verweigert ein Berufsgeheimnisträger unter Verweis auf die Regelung eine Datenschutzkontrolle, so hat die Datenschutzbehörde faktisch keine Chance. Sie müsste diese Weigerung gerichtlich überprüfen lassen, was unverhältnismäßig aufwändig und für die völlig unterbesetzten Datenschutzbehörden nicht leistbar wäre. Bis zur gerichtlichen Bestätigung der Kontrollbefugnis kann die kontrollierte Stelle in Ruhe alle Beweisstücke für einen Datenschutzverstoß beseitigen. Dies bedeutet: Datenschutzverstöße durch Berufsgeheimnisträger würden nicht mehr festgestellt und blieben so in Zukunft zumeist ohne Sanktion.

Diese Regelung wurde zwar bisher nicht zum politischen Skandal, sie ist aber aus Datenschutzsicht skandalös und – dies ist von praktischer Bedeutung – sie ist auch europarechts- und verfassungswidrig. Das Netzwerk Datenschutzexpertise hat dies nun in seinem Rechtsgutachten [PDF] minutiös dargelegt. Sowohl der Europäische Gerichtshof (EuGH) wie auch das deutsche Bundesverfassungsgericht (BVerfG) haben bei der Auslegung des Grundrechts auf Datenschutz unzweideutig dargelegt, dass für einen effektiven Grundrechtsschutz ein ungehinderter Zugang zu den personenbezogenen Daten für die Datenschutzkontrolle nötig ist. Und genau dies wird ihr mit dem neuen Gesetz verweigert.

Zerstörtes Vertrauen

Was bedeutet dies nun für die Datenschutzkontrolle? Die Aufsichtsbehörden wären schlecht beraten, wenn sie die Kontrolleinschränkung beachten würden. Im Fall einer Zugangsverweigerung zu Berufsgeheimnissen müssen sie alle rechtlich möglichen Schritte ausschöpfen, um zu erreichen, dass diese europa- und verfassungswidrige Kontrollbeschränkung so schnell wie möglich gerichtlich für nichtig erklärt wird. Aber so weit muss es nicht unbedingt kommen. Der Deutsche Bundestag hat vor dem Ende der Legislaturperiode noch eine ganze Menge von Datenschutzregelungen auf der Agenda. Er wäre gut beraten, die Regelung des BDSG-neu noch vor ihrem Inkrafttreten am 25.05.2018 wieder aufzuheben. Damit würde der Gesetzgeber nicht nur eine Schlappe vor dem BVerfG oder dem EuGH vermeiden, sondern auch allen Menschen einen Gefallen tun, deren Daten bei Berufsgeheimnisträgern gespeichert sind.

Eines ist aber zerstört: das Vertrauen in die Datenschutzfreundlichkeit der Anwaltslobby. Rechtsanwälte, die sich bei anderen Gelegenheiten als die geborenen Hüter der Grundrechte, auch der digitalen Grundrechte, aufspielen, verweigern die Anwendung der Grundrechte auf sich selbst. Zerstört ist auch das Vertrauen in die nationale Datenschutzgesetzgebung: Die Regelung zeigt, welchen Einflüsterungen der deutsche Datenschutz inzwischen durch die Lobbypolitik ausgesetzt ist. Das neue BDSG ist nicht Ausdruck der Wertschätzung des Grundrechtsschutzes in einer sich immer weiter digitalisierenden Gesellschaft, sondern zeugt von der Unterordnung des Datenschutzes unter das Diktat von mächtigen Interessengruppen.


…..
Eine Liste der Personengruppen, für die es ab 2018 keine wirksame Datenschutzkontrolle mehr geben wird:

  • Ärzte
  • Rechtsanwälte
  • Zahnärzte
  • Apotheker
  • Angehörige eines anderen Heilberufs
  • Berufspsychologen
  • Patentanwälte
  • Notare
  • Weitere rechtliche Vertreter
  • Wirtschaftsprüfer
  • Vereidigte Buchprüfer
  • Steuerberater
  • Steuerbevollmächtigte
  • Mitglieder eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- und Steuerberatungsgesellschaft
  • Ehe-, Familien-, Erziehungs- und Jugendberater
  • Berater für Suchtfragen und für Schwangerschaftskonflikte
  • Staatlich anerkannte Sozialarbeiter oder Sozialpädagogen
  • Angehörige einer privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen Verrechnungsstelle
  • Interne Beauftragte für den Datenschutz
  • Mitglieder einer Rechtsanwaltskammer
  • Berufstätig tätige Gehilfen und Personen, die bei Berufsgeheimnisträgern zur Vorbereitung auf den Beruf tätig sind
  • Auftragsverarbeiter (elektronische Dienstleister) für die Vorgenannten

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

17 Ergänzungen

  1. Was ist mit Seelsorgern und Geistlichen (Beichtgeheimnis, entsprechendes bei den anderen Religionen…)? Die Kirchen haben doch eine gewisse Macht in diesem Staat. Warum halten die nicht dagegen?

    1. Geistliche unterliegen auch dem Datenschutz – für die Datenschutzaufsicht sind so weit ich weiß allerdings die Kirchen selbst zuständig. Unter der Bedingung, dass die Regeln nicht schwächer sind, als die staatlichen, gibt es sogar eigene kirchliche Datenschutzgesetze: https://datenschutz.ekd.de/datenschutzrecht/

  2. Gibt es eine Statistik, wie oft von unseren Berufdatenschützern solche Kontrollen bislang durchgeführt wurden? Mehr als 0 würde überraschen.

    1. Ich habe den Autoren gefragt. Er sagt, Kontrollen von Berufsgeheimnisträgern machen seiner 20-jährigen Aufsichtserfahrung nach etwa 5 % der Datenschutzprüfungen aus. Dabei gehe es besonders um den medizinischen Bereich, also Krankenhäuser, Ärzte usw. und um Beratungsstellen. Auch die Datenpraxis von Kranken- und Lebensversicherungen sei vor allem durch Beschwerden immer wieder Thema. Prüfungen bei Anwälten seien eher selten, auch wenn das ebenfalls mehrfach vorgekommen sei. Es geht halt vor allem um die Kontrolle in Verdachtsfällen.

  3. Neues Datenschutzgesetz […] ist verfassungswidrig =|= Thilo Weichert [sagt], dass die Regelung verfassungswidrig ist.

    Habt ihr eigentlich wirklich keinen Bock mehr auf Seriosität?

    1. Das ist der Meinungsbeitrag eines Gastautoren, der über sein Gutachten schreibt. Was ist unseriös daran, seine Kernthese auch im Titel wiederzugeben? (Habe es im Titel trotzdem nochmal klarer gemacht, danke für die freundliche Kritik :)

  4. Gesetz hin oder her. Es wäre verblüffend, wenn diese „Berufsgeheimnisträger“ jemals bezüglich Datensicherheit überprüft worden wären. Nicht umsonst fallen bei diversen Internetangriffen immer wieder Systeme solcher Typen den Hackern zum Opfer. Krankenhäuser (wie gerade mit WanaCry in UK erwischt) sollen zu den kritischen Infrastrukturen gehören.

    1. Ich habe den Autoren gefragt: Er sagt, Kontrollen von Berufsgeheimnisträgern machen seiner 20-jährigen Aufsichtserfahrung nach etwa 5 % der Datenschutzprüfungen aus. Dabei gehe es besonders um den medizinischen Bereich, also Krankenhäuser, Ärzte usw. und um Beratungsstellen. Auch die Datenpraxis von Kranken- und Lebensversicherungen sei vor allem durch Beschwerden immer wieder Thema. Prüfungen bei Anwälten seien eher selten, auch wenn das ebenfalls mehrfach vorgekommen sei. Es geht halt vor allem um die Kontrolle in Verdachtsfällen. (Medizinische Versorgung gehört in Deutschland bereits zu den kritischen Infrastrukutren)

  5. Was ist mit den ganzen Handwerkern und Online Shops?
    Die erhalten doch auch jeden Tag E-mails, teilweise mit sehr schützenswerten Daten wie Bank- und Kreditkartendaten, Telefonummern, Termine, etc.
    Die Handwerker meines Vertrauens gehen bei diesem Thema leider nicht sehr vertrauensvoll mit den Daten ihrer Kunden um.
    Teilweise hört man, dass selbst Praktikanten bei diesen kleinen Unternehmen in den Aufträgen und E-Mails schauen können, die viele Jahre zurückliegen.

  6. Ich warte auf den ersten eGK-Hack, denn dann hat man wenigstens die Chance, dagegen hoffentlich wirkungsvoll mit Argumenten zu klagen.
    Isa

  7. Interessanter Artikel, ich stimme zu, dass die Norm problematisch ist. Mit Blick auf den Wortlaut frage ich mich jedoch , ob sie tatsächlich zur Folge hat, dass gar keine Kontrolle der Berufsgeheimnisträger möglich ist.
    „Diese Regelung schließt die Datenschutzkontrolle bei Berufsgeheimnisträgern aus, also bei Personen, die gemäß Strafgesetzbuch einer Schweigepflicht unterliegen, „soweit dies zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde“.
    Entscheidend ist hier mE der Wortlaut „soweit“. Wenn die Datenschutzbehörde bei Anwälten oder Ärzten kontrolliert, ob diese ihre Abläufe datenschutzkonform organisiert haben (d.h. Verarbeitungsverzeichnis, Bestellung eines betrieblichen Datenschutzbeauftragten, Information und Schulung der Mitarbeiter etc.) ist dies nicht zwingend mit einer Kenntnisnahme von personenbezogenen Daten der Mandanten bzw. Patienten verbunden und daher durchaus denkbar. Gerade dies ist sehr aufwendig für kleine Kanzleien und Praxen und stellt aufgrund den fehlenden Kenntnissen vor Probleme.
    Zwar bleibt die Norm problematisch, jedoch bedeutet sie mE nicht zwingend, dass Berufsgeheimnisträgern „nichts zu befürchten“ haben. Die Prozesse der DSGVO müssen sie daher trotzdem umfassend implementieren.

  8. Wie sieht das mit geistig behinderten Menschen aus?
    Können diese bei Fehlverhalten belangt werden?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.