Lässt sich Verantwortung bis zur Unkenntlichkeit aufsplitten?

Schuetze/ Januar 15, 2021/ alle Beiträge, EU-Datenschutz, Telematik-Infrastruktur/ 0 comments

Auffangverantwortlichkeit“ der Gematik in der Telematik-Infrastruktur (TI) – geht so etwas?

Nachdem mehr als 2 Jahre entgegen der Anforderung der DS GVO niemand die Ver­antwortlichkeit für große Teile der Telematik-Infrastruktur (TI) inne haben wollte bzw. niemandem zugewiesen wurde, gibt es seit kurzem den § 307 (5) SGB V – dazu angelegt diese Lücke zu schließen.

Der hier gewählte Regelungsmechanismus ist eine „Auffangverantwortlichkeit“, die greifen soll, wenn der Leistungserbringer (Arzt, Klinik, etc.), der Leistungsträger (die gesetzliche Krankenkasse) oder der Portalbetreiber bzw. Netzbetreiber nicht der Verantwortliche sind. Diese, und nur diese verbleibende Verantwortlichkeit wird dann der Gesellschaft für Telematik (= Gematik) durch das Gesetz zugewiesen.

Die Begründung für die Zuweisung einer solchen Auffangverantwortlichkeit wird darin gesehen, dass es ‚lückenlos‘ einen Verantwortlichen geben soll und etwaig vor­handene Lücken damit geschlossen werden sollen.

So vernünftig sich das anhört, so verwirrend ist das für die Millionen gesetzlich Versicherten und damit für alle Betroffenen der TI. Es sind die Betroffenen, die ihre Rechte z.B. auf Auskunft, Berichtigung, Löschung, etc. geltend machen möchten und durch diese Konstruktion Gefahr laufen, von Pontius zu Pilatus geschickt zu werden, um sich flächendeckend in der TI mithilfe der Betroffenenrecht einen Übersicht über Datenflüsse und die Daten selbst, die über sie verarbeitet werden, zu verschaffen.

Das ruft nach eine näheren Betrachtung, ob unter dem Dach der DS GVO überhaupt eine solche Auffangverantwortlichkeit datenschutzkonform gestaltbar ist.

Der Verantwortliche nach Art 4 Nr. 7 DS GVO ist zunächst eine Behörde im Rahmen ihrer gesetzlichen Aufgabenzuweisung oder ein Unternehmen im Rahmen seines Geschäftszeckes. Darüber hinaus kann auch der Gesetzgeber Verantwortlichkeiten nach Art 4 Nr. 7 DS GVO zuweisen. Dass es im § 307 (5) SGB V zu einer solchen Zuweisung gekommen ist, ist damit rechtlich nicht zu beanstanden.

Außerdem wurde das Problem mit der Transparenz bei dieser Zuweisung der einzelnen Verantwortlichkeiten durch ein Verfahren versucht zu lösen. Die Gematik richtet nach § 307 (5) SGB V eine „koordinierende Stelle“ ein, die den Auskunftsbegehren und anderen Rechten der Betroffenen vor­geschaltet ist. Damit hat die Gematik auch eine Art Definitionshoheit, festzulegen, wer für welche (Teil-)Verarbeitung der Verant­wortliche ist, auch ggf. für welche Verarbeitung sie selbst der Verantwortliche ist.

Es ist fraglich, ob diese Struktur das Problem der Übersichtlichkeit und Transparenz tatsächlich zu lösen vermag.

Klarer wäre eine Struktur, bei der die Gematik für alle Bereiche der TI der Verantwortliche wäre und die anderen Player (Leitungsträger, Leistungserbringer, Netz- und Plattformdienste) im Rahmen von Auftragsverarbeitung nach Art 28 DS GVO oder gemeinsamer Verantwortlichkeit nach Art 26 DS GVO vorgehen würden.

Bei der gesetzlichen Zuweisung der Verantwortlichkeiten in Art 4 Nr. 7 hat die DS GVO so etwas wie eine „Auffangverantwortlichkeit“ so nicht vorgesehen.

Es bestehen auch Bedenken darüber, dass Transparenzanforderungen der DS GVO erfüllt werden, oder überhaupt erfüllt werden können.

  1. Bei einer Auftragsverarbeitung nach Art 28 DS GVO z.B. müssen der Verantwortliche und der Dienstleister (Auftragsverarbeiter) von Anfang an schriftlich sehr genau festlegen, wer die Verantwortung für welchen Teil der Verarbeitungen trägt. Dies fordert der Erwägungsgrund (= EG) 79 DS GVO. Das gleiche gilt für die gemeinsamen Verantwortlichen nach Art 26 DS GVO.
    Dies lässt keinen Spielraum, zu sagen, dass es Bereiche der Verarbeitungen gibt, für die das nicht von Anfang an festgelegt ist. Dementsprechend kann diese Entscheidung nicht in einem späteren Verfahren so ausgelagert werden, dass hierüber erst eine Kommission zu befinden hat.
  2. Die zentrale Norm für die Forderung nach Transparenz ist der Art 12 DS GVO. Sie legt fest, dass die Informationspflichten nach Art 13 f. DS GVO gegenüber den Betroffenen so erfüllt werden müssen, dass Transparenz geschaffen wird. Das schließt die Festlegung auf einen Verantwortlichen ein. Das schließt das Zwischenschalten einer Kommission, die im Einzelfall erst klären muss, für welchen Bereich welche Stelle der Verantwortliche ist, gerade aus.
    Gerade in der TI werden zahlreiche Dienst auf Grundlage einer Einwilligung des Betroffenen angeboten. Basis dieser Einwilligung ist die Information an den Betroffenen. Ist diese Information lückenhaft, gilt die Einwilligung als nicht erteilt und die ganze Verarbeitung ist – frei von einer Rechtsgrundlage – rechtsunwirksam.
  3. Letztlich befindet durch die zwischengelagerte Kommission bei der Gematik darüber, ob einer der Player (Leitungsträger, Leistungserbringer, Netz- und Plattform-dienste) für eine bestimmte Verarbeitung der Verantwortliche ist. So eine Fremdzuweisung der Verantwortlichkeiten durch eine einzelne Stelle mit Wirkung für zahlreiche andere Verantwortliche in einem vernetzten System kennt die DS GVO nicht. Zudem besteht die Gefahr, dass die fremd zugewiesene Verantwortlichkeit bestritten wird und erst in jahrelangen Streitverfahren aufwendig geklärt werden müsste. Die Betroffenenrechte und die damit einhergehende Transparenz blieben auf der Strecke.

Eine ‚lückenlose Verantwortlichkeit‘ kann durch eine Auffangverantwortlichkeit gerade nicht erreicht werden. Die Verlagerung der Festlegung der Verantwortlichkeit in eine Kommission kennt die DS GVO so nicht.

Eine Einwilligung in einer Verarbeitung, für die die Verantwortlichkeit im Streitfall erst nachträglich festgestellt werden, kann ja darf es nicht geben.

Eine transpatente Information an die Betroffenen über jeden Bereich der Verantwortlichkeit kann im Rahmen einer Auffangverantwortlichkeit nicht gewährleistet werden.

Vor diesem Hintergrund kann es keine Auffangverantwortlichkeiten geben.

Da es Alternativen über die Auftragsverarbeitung und die gemeinsamen Verant­wortlichen nach den Art 28, 26 DS GVO gibt, besteht auch keine Notwendigkeit, auf ein Konstrukt wie eine Auffangverantwortlichkeit zurückzugreifen.

Daher ist die in § 307 (5) SGB V festgelegte Auffangverantwortlichkeit europarechts­widrig.

Der Versuch, die Lücke der Verantwortlichkeit bei der TI zu schließen, ist auf diesem Weg nicht möglich und somit gescheitert.

 

Von Roland Schäfer

Leave a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*