… ist Thema eines Beitrags auf der Homepage der Bürgerrechtsgruppe dieDatenschützer Rhein Main. Der Verfasser, Roland Schäfer, ist freiberuflich tätig als Datenschutz-Fachkraft und einer der Sprecher der Gruppe. Mit Zustimmung des Verfassers veröffentlichen wir seinen Beitrag nachstehend im Wortlaut.
Lässt sich Verantwortung bis zur Unkenntlichkeit aufsplitten?
„Auffangverantwortlichkeit“ der Gematik in der Telematik-Infrastruktur (TI) – geht so etwas?
Nachdem mehr als 2 Jahre entgegen der Anforderung der DS GVO niemand die Verantwortlichkeit für große Teile der Telematik-Infrastruktur (TI) inne haben wollte bzw. niemandem zugewiesen wurde, gibt es seit kurzem den § 307 (5) SGB V – dazu angelegt diese Lücke zu schließen.
Der hier gewählte Regelungsmechanismus ist eine „Auffangverantwortlichkeit“, die greifen soll, wenn der Leistungserbringer (Arzt, Klinik, etc.), der Leistungsträger (die gesetzliche Krankenkasse) oder der Portalbetreiber bzw. Netzbetreiber nicht der Verantwortliche sind. Diese, und nur diese verbleibende Verantwortlichkeit wird dann der Gesellschaft für Telematik (= Gematik) durch das Gesetz zugewiesen.
Die Begründung für die Zuweisung einer solchen Auffangverantwortlichkeit wird darin gesehen, dass es ‚lückenlos‘ einen Verantwortlichen geben soll und etwaig vorhandene Lücken damit geschlossen werden sollen.
So vernünftig sich das anhört, so verwirrend ist das für die Millionen gesetzlich Versicherten und damit für alle Betroffenen der TI. Es sind die Betroffenen, die ihre Rechte z.B. auf Auskunft, Berichtigung, Löschung, etc. geltend machen möchten und durch diese Konstruktion Gefahr laufen, von Pontius zu Pilatus geschickt zu werden, um sich flächendeckend in der TI mithilfe der Betroffenenrecht einen Übersicht über Datenflüsse und die Daten selbst, die über sie verarbeitet werden, zu verschaffen.
Das ruft nach eine näheren Betrachtung, ob unter dem Dach der DS GVO überhaupt eine solche Auffangverantwortlichkeit datenschutzkonform gestaltbar ist.
Der Verantwortliche nach Art 4 Nr. 7 DS GVO ist zunächst eine Behörde im Rahmen ihrer gesetzlichen Aufgabenzuweisung oder ein Unternehmen im Rahmen seines Geschäftszeckes. Darüber hinaus kann auch der Gesetzgeber Verantwortlichkeiten nach Art 4 Nr. 7 DS GVO zuweisen. Dass es im § 307 (5) SGB V zu einer solchen Zuweisung gekommen ist, ist damit rechtlich nicht zu beanstanden.
Außerdem wurde das Problem mit der Transparenz bei dieser Zuweisung der einzelnen Verantwortlichkeiten durch ein Verfahren versucht zu lösen. Die Gematik richtet nach § 307 (5) SGB V eine „koordinierende Stelle“ ein, die den Auskunftsbegehren und anderen Rechten der Betroffenen vorgeschaltet ist. Damit hat die Gematik auch eine Art Definitionshoheit, festzulegen, wer für welche (Teil-)Verarbeitung der Verantwortliche ist, auch ggf. für welche Verarbeitung sie selbst der Verantwortliche ist.
Es ist fraglich, ob diese Struktur das Problem der Übersichtlichkeit und Transparenz tatsächlich zu lösen vermag.
Klarer wäre eine Struktur, bei der die Gematik für alle Bereiche der TI der Verantwortliche wäre und die anderen Player (Leitungsträger, Leistungserbringer, Netz- und Plattformdienste) im Rahmen von Auftragsverarbeitung nach Art 28 DS GVO oder gemeinsamer Verantwortlichkeit nach Art 26 DS GVO vorgehen würden.
Bei der gesetzlichen Zuweisung der Verantwortlichkeiten in Art 4 Nr. 7 hat die DS GVO so etwas wie eine „Auffangverantwortlichkeit“ so nicht vorgesehen.
Es bestehen auch Bedenken darüber, dass Transparenzanforderungen der DS GVO erfüllt werden, oder überhaupt erfüllt werden können.
- Bei einer Auftragsverarbeitung nach Art 28 DS GVO z.B. müssen der Verantwortliche und der Dienstleister (Auftragsverarbeiter) von Anfang an schriftlich sehr genau festlegen, wer die Verantwortung für welchen Teil der Verarbeitungen trägt. Dies fordert der Erwägungsgrund (= EG) 79 DS GVO. Das gleiche gilt für die gemeinsamen Verantwortlichen nach Art 26 DS GVO.
Dies lässt keinen Spielraum, zu sagen, dass es Bereiche der Verarbeitungen gibt, für die das nicht von Anfang an festgelegt ist. Dementsprechend kann diese Entscheidung nicht in einem späteren Verfahren so ausgelagert werden, dass hierüber erst eine Kommission zu befinden hat. - Die zentrale Norm für die Forderung nach Transparenz ist der Art 12 DS GVO. Sie legt fest, dass die Informationspflichten nach Art 13 f. DS GVO gegenüber den Betroffenen so erfüllt werden müssen, dass Transparenz geschaffen wird. Das schließt die Festlegung auf einen Verantwortlichen ein. Das schließt das Zwischenschalten einer Kommission, die im Einzelfall erst klären muss, für welchen Bereich welche Stelle der Verantwortliche ist, gerade aus.
Gerade in der TI werden zahlreiche Dienst auf Grundlage einer Einwilligung des Betroffenen angeboten. Basis dieser Einwilligung ist die Information an den Betroffenen. Ist diese Information lückenhaft, gilt die Einwilligung als nicht erteilt und die ganze Verarbeitung ist – frei von einer Rechtsgrundlage – rechtsunwirksam. - Letztlich befindet durch die zwischengelagerte Kommission bei der Gematik darüber, ob einer der Player (Leitungsträger, Leistungserbringer, Netz- und Plattform-dienste) für eine bestimmte Verarbeitung der Verantwortliche ist. So eine Fremdzuweisung der Verantwortlichkeiten durch eine einzelne Stelle mit Wirkung für zahlreiche andere Verantwortliche in einem vernetzten System kennt die DS GVO nicht. Zudem besteht die Gefahr, dass die fremd zugewiesene Verantwortlichkeit bestritten wird und erst in jahrelangen Streitverfahren aufwendig geklärt werden müsste. Die Betroffenenrechte und die damit einhergehende Transparenz blieben auf der Strecke.
Eine ‚lückenlose Verantwortlichkeit‘ kann durch eine Auffangverantwortlichkeit gerade nicht erreicht werden. Die Verlagerung der Festlegung der Verantwortlichkeit in eine Kommission kennt die DS GVO so nicht.
Eine Einwilligung in einer Verarbeitung, für die die Verantwortlichkeit im Streitfall erst nachträglich festgestellt werden, kann ja darf es nicht geben.
Eine transpatente Information an die Betroffenen über jeden Bereich der Verantwortlichkeit kann im Rahmen einer Auffangverantwortlichkeit nicht gewährleistet werden.
Vor diesem Hintergrund kann es keine Auffangverantwortlichkeiten geben.
Da es Alternativen über die Auftragsverarbeitung und die gemeinsamen Verantwortlichen nach den Art 28, 26 DS GVO gibt, besteht auch keine Notwendigkeit, auf ein Konstrukt wie eine Auffangverantwortlichkeit zurückzugreifen.
Daher ist die in § 307 (5) SGB V festgelegte Auffangverantwortlichkeit europarechtswidrig.
Der Versuch, die Lücke der Verantwortlichkeit bei der TI zu schließen, ist auf diesem Weg nicht möglich und somit gescheitert.
Bei der Telematik-Infrastruktur (TI) steckt der gesetzlich Versicherte *eine* Karte in *ein* Endgerät. Zumeist bei seinem Arzt. Erhalten hat er diese Karte von seiner Kranken¬kasse. Wenn er dies aufmerksam verfolgt, weiß er von diesen zwei Ver-antwortlichen. Nichts aber von den Verantwortlichen der Portal- und Netzbetreiber. Auch von der Gematik erfährt er zu keinem Zeitpunkt etwas.
So weit die Gematik nicht der zentrale Verantwortliche ist, gibt es zahlreiche weitere Ver¬antwortliche, von denen der Versicherte nichts weiß und nichts erfährt; Dagegen sind weder die Kranken¬kasse, noch der Arzt und erst recht nicht die Gematik ver-pflichtet, ihn über die anderen Verantwortlichen aufzuklären. Eine solche dezentrale Struktur höhlt u.a. die Transparenz¬pflichten nach Art 12 DS GVO aus.
Es ist auch *ein* Ministerium, dass diese Struktur entworfen hat: das Bundesgesund-heitsministerium; und umgesetzt mit der Unterstützung des Bundegesetzgebers. Als aufführendes Organ wurde die Gematik bestimmt. Dies ist ein Ausgangspunkt der überhaupt nicht vergleichbar ist mit „dem Internet“. Letzteres hat nur noch Kommunikationsprotokolle gemeinsam. Alle anderen Anwendungen sind gänzlich unabhängig voneinander entstanden und bereit gestellt worden. Dagegen ist die TI von zentraler Stelle entworfen und angelegt worden.
Die TI einerseits und „das Internet“ andererseits sind in Entstehung, Betrieb und Struktur nicht miteinander zu vergleichen.
Da eröffnet sich doch die Frage, darf der Gesetzgeber eine strukturelle Zersplitterung von Verantwortlichkeiten mit all seinen Nachteilen schaffen?
Die Ermächtigung nach Art 4 Nr. 7 DS GVO eine Verantwortlichkeit durch ein Gesetz zuzuweisen, ist sicherlich nicht vorgesehen unter zahlreichen Abweichungen von Regelungsprinzipien der DS GVO.
1. Das Prinzip der Transparenz wurde schon erwähnt.
2. Hinzu kommt das Prinzip der kurzen Wege für die Betroffenen. Bei der Zusam-menarbeit verschiedener Verantwortlicher hat die DS GVO in den Art 28 und 26 festgelegt, dass sie gemeinsam ihre Teilverantwortlichkeiten genau festlegen müssen (–> Erwägungsgrund 79 DS GVO) und dafür Sorge tragen müssen, dass die Betroffenen nur *einen* Ansprechpartner für die Wahrung ihrer Rechte (Auskunft, Berichtigung, Löschung, etc.) haben.
3. Verantwortlicher ist, wer „über die Zwecke und Mittel der Verarbeitung ent-scheidet“. Trifft eine solche Entscheidung eine Kommission der Gematik, würde der Verantwortliche fremdbestimmt bei der Festlegung der Zwecke und Mittel der Verarbeitung. Das Verletzt das Prinzip der eindeutigen Zuordnung der Verant-wortlichkeiten durch den Verantwortlichen selbst. Wenn hier die Gematik die zentrale Stelle ist, dies festzulegen, ist sie wohl möglich bereits in der zentralen Verant¬wortlichkeit für *alle* Anwendungen, die an die TI angebunden sind, geworden.
Das grundlegende Ziel der DS GVO ist, ist es nach Art 1 (1) die personenbezogenen Daten zu schützen. Sie hat sich dafür entschieden, dies mit äußerster Transparenz für die Betroffenen zu tun, mit kurzen Wegen bei der Verfolgung der Betroffenenrechte und nur solche Verantwortlichkeiten zu berücksichtigen, die eine Stelle sich selbst zugewiesen hat.
Die TI weicht von allen diesen Prinzipien ab. Die DS GVO ermächtigt durch den Art 4 Nr. 7 gerade nicht zur Schaffung einer solch defizitären Struktur.
Es geht hier nicht darum den Ist-Zustand – einer dezentralen Struktur – als Tatsache zu negieren. Es geht darum, dass der Gesetzgeber bei der gezielten Schaffung einer solchen Struktur nicht hätte von diesen Prinzipien abweichen dürfen. Soweit diese Struktur als dezentrale Struktur geschaffen wurde, ist sie daher europarechtswidrig.
Es ist gerade die Auffangverantwortlichkeit, die darauf hindeutet, dass man sehr einfach eine zentrale Stelle, wie die Gematik, zu einem zentralen Verantwortlichen der TI hätte machen können. Der europäische Rechtsrahmen durch die DS GVO lässt auch keinen anderen Weg zu.
Von Roland Schäfer
Der Irrtum bei dieser Bewertung ist – wie bei allen kritischen Anmerkungen zum Thema fehlende Datenschutzverantwortung in der TI – die irrige Annahme, dass es sich bei „der TI“ um eine Datenverarbeitung in der Verantwortung einer einzelnen Stelle handeln würde (gerne: der gematik). Dies ist falsch.
Es ist vergleichbar mit der Unterstellung, dass „das Internet“ eine Datenverarbeitung in einer Verantwortung wäre.
Korrekt ist, dass in beiden Fällen – der TI und dem Internet – unterschiedliche Dienste mit unterschiedlichen Datenverarbeitungsvorgängen & -zielen von unterschiedlichen Verantwortlichen betrieben werden:
* die Anwendung ePA kommt von der jeweiligen Krankenkasse des Versicherten,
* die Anwendung KIM kommt vom jeweiligen KIM-Anbieter,
* die Anwendung eRezept wird von der gematik kommen,
* die unterschiedlichsten Anwendungen, die als „andere Anwendungen des Gesundheitswesens“ auch in der TI laufen kommen von den jeweiligen Anbietern dieser Anwendungen.
Entsprechend sind die jeweiligen Anbieter der jeweiligen Anwendung im Sinne des DSGVO auch verantwortlich und entsprechend muss der Anwender in die Verarbeitung jeder einzelnen Anwendung einwilligen – mit Ausnahme des eRezepts, da es sich hierbei um ein ab dem 01.01.2022 gesetzlich festgeschriebenen verpflichtend zu nutzenden Verfahren handelt.
Wenn ich heute ein DS-Problem mit Amazon habe, wende ich mich dafür auch nicht an meinen Internetprovider oder an Facebook. Für die Summe der Dienste existiert keine übergeordnete Verantwortlichkeite. Dabei ist es unerheblich, ob die diversen Dienste sich im freien Markt (Internet) oder im Rahmen eines gesetzlich regulierten Marktes befinden (TI).
Dass der Gesetzgeber die gematik als „Auffangverantwortlichen“ definiert hat, ist vermutlich nur der medialen Diskussion zu verdanken, die – wie gerade dargelegt – unter falschen Annahmen stattfand und immer noch stattfindet.
Entscheidend ist der jeweilige Dienst: Hier müssen die Informationspflichten gegenüber den Betroffenen erfüllt werden – von jedem Anbieter eines jeden Dienstes für den jeweiligen Dienst allein. Hat ein Anwender Schwierigkeiten sich in den verschiedenen Anwendungen bzgl. der Verantwortlichkeiten zurecht zu finden, kann er sich zur Orientierung an die gematik wenden. So etwas würde ich mir für die Dienste im Internet auch wünschen.