1. Grundprobleme von Datenschutz und Datensicherheit
1.4 Die Datenschutzgesetze
Überblick über die europäische Gesetzgebung:
In Deutschland relevante Gesetze:
+ Dutzende von einschlägigen OLG-Entscheidungen.
Die Datenschutzgesetze stehen in dieser Liste zwar an erster Stelle, sie haben aber dennoch nur
subsidiären Charakter: Gibt es in einem anderen Gesetz eine spezifische Regelung, so hat
diese Vorrang. Beispiel: Die Übermittlung von Patientendaten durch den Arzt an Krankenkassen gemäß
Sozialgesetzbuch V, §301.
Datenschutzgesetzgebung
- BVG-Urteil zur Volkszählung (15.12.83):
Recht auf informationelle Selbstbestimmung
als Teil des allgemeinen Persönlichkeitsrechts
- Bundesdatenschutzgesetz (1977, Neufassung 1992)
- Landesdatenschutzgesetze
- Landeskrankenhausgesetze (LKG)
- Gesundheitsstrukturgesetz (GSG)
- §203 StGB: Verletzung von Privatgeheimnissen.
Auch andere §§ des StGB relevant.
- u. v. a. Spezialgesetze und Gerichtsurteile
Geltungsbereiche
BDSG:
- Bundesbehörden
- sonstige öffentliche Stellen,
Körperschaften,
Anstalten,
Stiftungen öffentlichen Rechts,
- nicht-öffentliche Stellen,
Einzelpersonen (natürliche und juristische),
Arztpraxen,
Gesellschaften des privaten Rechts.
LDSG:
- Landesbehörden,
- sonstige öffentliche Stellen des Landes, z. B.
kommunale Gebietskörperschaften,
der Landesaufsicht unterstehende juristische Personen,
kommunale Krankenhäuser, Unikliniken.
BDSG - Inhalt
- Allgemeine Vorschriften, z. B.
Begriffsbestimmungen,
Zulässigkeit der personenbezogenen Datenverarbeitung,
Rechte des Betroffenen,
Pflichten der Betreiber und Anwender,
z. B. Anmeldepflicht für Dateien,
Datengeheimnis,
technische und organisatorische Maßnahmen
(»10 Gebote«)
- Datenverarbeitung der Behörden und sonstigen öffentlichen Stellen, z. B.
Auskunft an den Betroffenen,
Datenübermittlung,
Bestellung eines Bundesbeauftragten,
- Datenverarbeitung nicht-öffentlicher Stellen für eigene Zwecke (z. B. niedergelassene Ärzte),
auch geschäftsmäßige Datenverarbeitung nicht-öffentlicher Stellen für fremde Zwecke.
Wichtige Begriffe des Datenschutzrechts
- »Personenbezogene Daten sind Einzelangaben über persönliche
oder sachliche Verhältnisse
einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).«
- Erheben
- Verarbeiten (speichern, verändern, übermitteln, sperren, löschen)
- Nutzen
- »Anonymisieren ist das Verändern personenbezogener Daten derart,
dass die Einzelangaben
über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig
großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen
Person zugeordnet werden können.«
- Speichernde Stelle
- Datengeheimnis:
»Den bei der Datenverarbeitung beschäftigten Personen ist
untersagt, personenbezogene Daten unbefugt zu verarbeiten
oder zu nutzen (Datengeheimnis). Diese Personen sind bei
der Aufnahme ihrer Tätigkeit hierauf zu verpflichten. Das
Datengeheimnis besteht auch nach Beendigung ihrer
Tätigkeit fort.«
Zulässigkeit der Datenverarbeitung
- Grundlage:
Gesetze oder Rechtsvorschriften
(z. B. Alkoholtest, Bundesseuchengesetz)
oder
Einwilligung des Betroffenen -
in der Regel schriftlich,
keine Nachteile durch Verweigerung,
widerrufbar.
- Für Forschungszwecke also Einwilligung erforderlich, bei gesetzlicher
Grundlage reicht Information.
- Zweck:
im Rahmen der Zweckbestimmung eines
Vertragsverhältnisses,
[Arztpraxis: Einwilligung gilt durch Abschluß des
Behandlungsvertrags als erteilt. (Mit Übernahme der
Behandlung wird stillschweigend, auch ohne schriftliche
Form, ein Vertrag abgeschlossen.)]
oder
zur Wahrung berechtigter Interessen der speichernden Stelle.
- Wissenschaftsklausel (BDSG, LDSG):
gewisse Abschwächungen der Einwilligungspflicht,
möglichst frühe Anonymisierung.
Rechte des Betroffenen
- Primärinformation über Speicherung,
egal, auf welcher rechtlichen Grundlage erhoben und gespeichert wird.
- Auskunft.
- Berichtigung.
- Sperrung (zur Einschränkung der weiteren Nutzung).
- Löschung.
- Anrufung des Datenschutzbeauftragten.
- Schadensersatz.
Strafgesetzbuch
- §202a:
»Wer unbefugt Daten, die nicht für ihn bestimmt und gegen unberechtigten
Zugang besonders gesichert sind, sich oder einem anderen verschafft,
wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.«
Auch ein trivialer Passwortschutz gilt hier schon als besondere
Sicherung.
- Ausspähen von Daten (§202a StGB) beinhaltet:
Softwarediebstahl, Ausspähen von Daten, Wirtschaftsverrat,
Verschaffen von Unternehmensgeheimnissen.
- Computerbetrug (§263a StGB):
Jeder Eingriff in einen Datenverarbeitungsvorgang, der Vermögensschäden verursacht,
z. B. Kontenmanipulationen in Bankcomputern
oder Erschwindeln von Sozialleistungen.
- Fälschung beweiserheblicher Daten (§269 StGB):
Veränderung von Urkunden, die in Rechenanlagen gespeichert sind
(»elektronische Urkundenfälschung«),
z. B. bei elektronischer Buchhaltung.
- Datenveränderung (§ 303a StGB):
Veränderung oder Vernichtung von Daten, auch durch Viren.
- Computersabotage (§ 303b StGB):
Anschläge auf die Datenverarbeitung durch Veränderung oder
Vernichtung von Computerdaten, Datenträgern oder Anlagen.
Wir erkennen die Dimensionen der Verlässlichkeit in dieser Aufzählung,
wenn auch in etwas modifizierter Zusammenstellung, wieder.
Bundesstatistikgesetz (BStatG)
Die Weitergabe von statistischen Daten wird vomBStatG geregelt.
- §11: Vorschriften nach Grad der Anonymisierung unterschieden.
- §11, Absatz 5:
»Einzelangaben, die so anonymisiert werden, daß sie Auskunftspflichtigen
oder Betroffenen nicht mehr zuzuordnen sind, dürfen vom Statistischen Bundesamt
oder von den Statistischen Landesämtern übermittelt werden.«
Sozialgesetzbuch (SGB)
Verwaltungsverfahrensgesetz (VwVfG)
- §4: Amtshilfepflicht.
- §5: Voraussetzungen und Grenzen der Amtshilfe
- §30: Geheimhaltung.
- §84: Verschwiegenheitspflicht.
Schweigepflicht und Datenschutz
Exemplarisch für Ärzte dargestellt:
- Ärztliche Schweigepflicht
(§2 der Berufsordnung für Ärzte, § 203 StGB)
gilt auch für »berufsmäßig tätige Gehilfen«
(nicht aber Hausmeister, Reinigungspersonal, ..., externe
Schreibdienste),
gilt gegenüber jedermann (auch Angehörigen des Patienten).
- Im Gegensatz dazu: Offenbarungszwang aufgrund gesetzlicher Bestimmungen
(Meldepflichten), z. B.
Seuchen und übertragbare Krankheiten
(Bundesseuchengesetz),
Geschlechtskrankheiten, wenn der Patient sich der
Behandlung entzieht,
Berufskrankheiten und -unfällen,
bei drohendem Tötungsdelikt,
u. U. bei der Leichenschau.
- Offenbarungsrecht bei Rechtsgüterkollision, z. B.
Uneinsichtigkeit in Fahruntüchtigkeit,
Kindesmisshandlung.
- Datenschutzanforderungen nicht abgedeckt: Die ärztliche Schweigepflicht
betrifft nur die Weitergabe, nicht die Speicherung und Verarbeitung.
- Dokumentationspflicht für Befunde (Arztkartei, Krankengeschichte) aufgrund
des Behandlungsvertrags.
- Die Aufzeichnungen sind Eigentum des Arztes (bzw. der Klinik bei
Krankenhausbehandlung), der Patient hat ein Recht auf Einblick (s. u.).
- Aufklärungspflicht über Befunde, Diagnosen, geplante Eingriffe, Risiken.
- Fürsorgepflicht.
- Forschung
grundsätzlich einwilligungspflichtig (BDSG, LDSG),
nicht einwilligungspflichtig bei eigenen Patienten einer
Fachabteilung (Landeskrankenhausgesetz).
- Patientendaten sind auch Angaben zu Angehörigen usw.
Bereits die Aufzeichnung des Aufenthalts in einem
Krankenhaus ist schutzpflichtig.
- Aufbewahrungspflicht
ca. 10 Jahre für ärztliche Aufzeichnungen,
30 Jahre für Aufzeichnungen der Behandlung mit
radioaktiven Stoffen und Röntgenbehandlungen.
- Beschlagnahme möglich, wenn Verdacht wegen einer strafbaren Handlung gegen
den Arzt besteht, ferner wenn der Arzt Unterlagen trotz Befreiung von der
Schweigepflicht nicht herausgibt.
Zusammenfassung
- Die Datenschutzgesetzgebung versucht, die Folgen des technischen
Fortschritts sozialverträglich zu gestalten.
- Es gibt eine Flut von einschlägigen Gesetzen, aber
eine Ebbe bei den Kontrollen.
- Wirksamer Datenschutz erfordert
- rechtliche Handhaben,
- Kontrollmöglichkeiten,
- Datenschutzbewusstsein,
- technische Sicherheit: Verhindern ist besser als (nur)
verbieten.
- Datenschutzanforderungen sind bereits bei der Konzeption von
informationstechnischen Systemen zu berücksichtigen.
Dies ist eine Aufgabe für Informatiker.
Vorlesung Datenschutz und Datensicherheit.
Autoren: Klaus Pommerening, Marita Sergl, 31. März 1999,
letzte Änderung: 11. November 2003.
E-Mail an Pommerening »AT« imbei.uni-mainz.de.