Einführung in das GDNG

Das "Gesetz zur Nutzung von Gesundheitsdaten zu gemeinwohlorientierten Forschungszwecken und zur datenbasierten Weiterentwicklung des Gesundheitswesens" (GDNG) ist nun fast zwei Jahre alt und hält zunehmend Einzug in den Bereich des praktischen Gesundheitsdatenschutzes. Im Rahmen dieses Bundesgesetzes werden die „Nutzung von Gesundheitsdaten zu gemeinwohlorientierten Forschungszwecken und zur datenbasierten Weiterentwicklung des Gesundheitswesens als lernendes System“ adressiert (siehe § 1 Abs. 1 GDNG). Es geht also bspw. um den Austausch von Gesundheitsdaten zwischen unterschiedlichen Forschungseinrichtungen.

Auch wenn verschiedene Fragen rund um das Gesetz noch nicht geklärt sind (wie z. B. die Frage des Verhältnisses zu anderen relevanten Regelungen – insbesondere § 27 BDSG, Datenschutz- und ggf. Krankenhausgesetze der Länder - oder aber ob das GDNG selbst die Anforderungen des Art. 89 DSGVO erfüllt) kommt das Gesetz immer mehr in der Praxis des Gesundheitswesens an. So hat etwa die Datenschutzbehörde des Landes Nordrhein-Westfalen bereits vor über einem Jahr im Rahmen einer Sitzung der Datenschutzkonferenz (DSK) zu Protokoll gegeben, dass zahlreiche Anträge nach dem GDNG erwartet werden (siehe TOP 12, S. 9).

Die Orientierungshilfe der Datenschutzkonferenz zum GDNG im Einzelnen

Die DSK hat daher am Ende des vergangenen Jahres eine "Orientierungshilfe zur Zusammenarbeit mehrerer Aufsichtsbehörden im Rahmen von § 5 GDNG" veröffentlicht. Diese Orientierungshilfe wird nachfolgend analysiert.

Zentraler Ansatzpunkt ist, dass sich die Versorgungs- und / oder Gesundheitsforschung oftmals nicht an einem Ort oder in einem Bundesland konzentriert, sondern eher verteilt über mehrere Bundesländer (oder gar EU-Staaten) stattfindet. Da das Thema Datenschutz in Deutschland aufgrund des föderalen Staatsaufbaus grundsätzlich Ländersache ist, sind bei landesübergreifenden Vorhaben grundsätzlich mehrere Aufsichtsbehörden zuständig. Das kann einen umfassenderen Abstimmungsbedarf erforderlich machen.

Daher fasst die Orientierungshilfe der DSK die wichtigsten Regeln dazu zusammen, wie bei einer gemeinsamen Gesundheits- oder Versorgungsforschung eine Aufsicht federführend (§ 5 Abs. 1 – 3 GDNG) oder allein (§ 5 Abs. 4 GDNG) zuständig werden kann. Sie richtet sich an die Verantwortlichen und erläutert Voraussetzungen, Nachweiserfordernisse und die praktischen Folgen einer Anzeige nach § 5 GDNG.

Die federführende Datenschutzaufsicht

Kurz gesagt: Sind mehrere Stellen als Verantwortliche an einem Forschungsvorhaben beteiligt, aber nicht gemeinsam Verantwortliche im Sinne von Art. 26 Abs. 1 Satz 1 DSGVO, können sie gegenüber allen betroffenen Landesdatenschutzbehörden eine gemeinsame Anzeige abgeben und eine bestimmte Aufsichtsbehörde als federführend benennen. Die Rolle des Auftragsverarbeiters ist mangels datenschutzrechtlicher Verantwortlichkeit hierfür also gar nicht relevant.

Eine Anzeige nach § 5 GDNG ist die gemeinsame, formelle Mitteilung aller beteiligten Verantwortlichen an die zuständigen Datenschutzaufsichtsbehörden mit dem Ziel, eine einzelne Behörde als federführend zu bestimmen (bzw. bei gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO die allein zuständige Landesbehörde zu benennen). Zweck ist die klare Koordination und Bündelung der Aufsicht. Praktisch: die Anzeige wird gemeinsam gegenüber allen zuständigen Behörden eingereicht und muss kurz Identität der Verantwortlichen, Projektbeschreibung, Art der verarbeiteten Gesundheitsdaten sowie die Nachweise zum höchsten Jahresumsatz (oder bei fehlendem Umsatz: zur Zahl der ständig automatisiert verarbeitenden Beschäftigten) enthalten. Die nach diesen Kriterien ermittelte Behörde wird dann federführend.

Probleme können sich nach Meinung der DSK hinsichtlich der Abgrenzung ergeben, was ein und was mehrere Vorhaben sind. Denn im Rahmen von § 5 GDNG muss ein Vorhaben der Versorgungs- oder Gesundheitsforschung betroffen sein. Die DSK weist außerdem darauf hin, dass § 5 GDNG sowohl bei ausschließlicher Beteiligung öffentlicher als auch nichtöffentlicher Stellen als auch bei gemischten Vorhaben in Betracht kommt. Sogar kirchliche Stellen können involviert werden.

Entscheidend für die Auswahl der federführenden Behörde ist regelmäßig diejenige Stelle (Verantwortlicher) mit dem höchsten Jahresumsatz (als Ausweis im letzten abgeschlossenen Geschäftsjahr) — fehlt ein Umsatz, kommt ist die Anzahl der ständig mit automatisierter Verarbeitung beschäftigten Personen das relevante Kriterium. Liegt dagegen eine gemeinsame Verantwortlichkeit vor, ermöglicht § 5 GDNG nur für nicht-öffentliche Stellen eine gemeinsame Anzeige mit dem Ziel, eine einzige Aufsichtsbehörde zuständig zu erklären. Hierfür sind die Kriterien der gemeinsamen Verantwortlichkeit nach Art. 26 Abs. 1 Satz 1 DSGVO nachzuweisen.

Praktisch verlangt die Orientierungshilfe eine saubere, dokumentierte Anzeige: Identität und Vertretungsbefugnis aller Beteiligten, eine präzise Projektbeschreibung (Zwecke, Datenkategorien, Verarbeitungsumfang, Aufgabenteilung) sowie belastbare Nachweise zum Umsatz oder zu den relevanten Beschäftigtenzahlen müssen beigefügt werden. Mit Eingang der gemeinsamen Anzeige bei den zuständigen Behörden entsteht die jeweilige (federführende oder alleinige) Zuständigkeit. Spätere Änderungen der Zahlen berühren die bereits eingetretene Zuständigkeit nicht, wohl aber der Wegfall oder Eintritt eines beteiligten Partners (dann ist neu anzuzeigen).

Wichtig für das Tagesgeschäft: Federführung ist Koordination, nicht Delegation sämtlicher Befugnisse. Die federführende Behörde moderiert den Abstimmungsprozess und wirkt auf gemeinsame Entscheidungen hin, aber sie kann andere Aufsichten nicht überstimmen. Jede Aufsichtsbehörde behält ihre originären Eingriffsrechte für ihren Zuständigkeitsbereich. Auch kirchliche oder sonstige nicht-landesaufsichtspflichtige Stellen können beteiligt sein — die Reichweite der übertragenen Zuständigkeit kann in solchen Konstellationen jedoch eingeschränkt sein.

Die alleinige Datenschutzaufsicht

Abweichend von der vorgenannten Konstellation wird in § 5 Abs. 4 GDNG der Fall der alleinigen Datenschutzaufsicht geregelt:

Rein nicht-öffentliche Stellen, die als gemeinsam Verantwortliche im Sinn des Art. 26 Abs. 1 Satz 1 DSGVO auftreten, können gegenüber allen betroffenen Landesdatenschutzbehörden gemeinsam anzeigen, dass eine einzige Datenschutzaufsichtsbehörde für die gemeinsam verantwortete Verarbeitung zuständig werden soll. Die Anzeige muss die gemeinsame Verantwortlichkeit darlegen und belegen, welche nicht-öffentliche Stelle nach Umsatz (oder alternativ anhand der ständig mit automatisierter Verarbeitung befassten Beschäftigten) als maßgeblich gilt. Mit dem Eingang der gemeinsamen Anzeige tritt die beschränkte, alleinige Zuständigkeit für das konkrete Vorhaben ein. Die alleinige Aufsicht bezieht sich ausschließlich auf die gemeinsam verantwortete Verarbeitung — sonstige Tätigkeiten der Beteiligten bleiben bei den jeweiligen originär zuständigen Aufsichtsbehörden — und die benannte Behörde prüft vorab die Voraussetzungen und das Einvernehmen der Beteiligten.

Fazit & Empfehlungen

Die Orientierungshilfe gibt erste Ansatzpunkte dafür, wie die Forschung im Zusammenhang mit der Anwendung des GDNG konzentriert werden kann. Zwar „thematisiert“ die Orientierungshilfe „nur“ die Regelungen zur Verteilung der Zuständigkeit und lässt insbesondere die Fragen zu den Rechtsgrundlagen in § 6 GDNG sowie andere Fragen außen vor. Jedoch bietet das Dokument einen ersten Bezugspunkt dazu, wie mit Zuständigkeitsfragen im Rahmen des GDNG umgegangen werden sollte.

Für Verantwortliche bedeutet das konkret:

(1) frühzeitig klären, ob gemeinsame Verantwortlichkeit vorliegt;

(2) Anzeigen vollständig und mit formellen Nachweisen einreichen;

(3) interne Aufgaben- und Kommunikationswege so regeln, dass die federführende Aufsicht koordinieren kann;

(4) alle Vereinbarungen und Protokolle lückenlos dokumentieren.

Wer diese Schritte beherzigt, minimiert Rückfragen, Verzögerungen und das Risiko späterer Auseinandersetzungen mit mehreren Aufsichtsbehörden.