Zum Inhalt Zum Menü

Datenschutz-Newsletter November 2024

Überblick über den GDPRday 2024 und die jährliche Konferenz in Bologna

In diesem Jahr fanden sich rund 300 Experten aus den Bereichen Datenschutz, Informationssicherheit und Cybersicherheit zusammen. Die Veranstaltung thematisierte nicht nur die Datenschutz-Grundverordnung (DSGVO), sondern auch angrenzende Themen wie digitale Governance und Cybersicherheit.

Ein zentraler Punkt der Diskussion war die Frage, ob die DSGVO tatsächlich das Vertrauen in den digitalen Raum stärkt. Es wurde betont, dass Datenschutz nicht alle gesellschaftlichen Probleme lösen kann, wie etwa die Zunahme von Cyberbullying in Italien, das tragische Folgen wie Suizide hatte. Dennoch bleibt Datenschutz ein wichtiges Element des Vertrauens in digitale Technologien.

Kritik gab es auch an der europäischen Digitalgesetzgebung, die als zu überreguliert und widersprüchlich wahrgenommen wird. Experten, wie der ehemalige Präsident der italienischen Datenschutzbehörde, wiesen darauf hin, dass die Schaffung immer neuer Regelungen die Effektivität der bestehenden Gesetze verringern könne. Es wurde zudem die Gefahr einer „Hyperregulierung“ gesehen, die zu Problemen führen könnte.

Die KI-Verordnung stieß ebenfalls auf Kritik, vor allem wegen der mangelnden Expertise der Juristen, die sie formulierten. Es wurde bemängelt, dass viele Rechtsvorschriften auf unzureichendem Verständnis der Technologie basieren und für eine interdisziplinäre Herangehensweise plädiert, um den komplexen Anforderungen gerecht zu werden.

Abschließend wurde auch das Prinzip der „Notwendigkeit der Datenverarbeitung“ in der DSGVO hinterfragt, da es als zu starr und innovationshemmend angesehen wird. Insgesamt forderten die Experten eine kohärentere und praxisorientiertere Regulierung, die den Herausforderungen der digitalen Zukunft besser gerecht wird.

BNetzA als nationale Marktüberwachungsbehörde der KI-Aufsicht

Die Bundesregierung hat mit der Umsetzung der KI-Verordnung begonnen und entschieden, die Bundesnetzagentur (BNetzA) als nationale Aufsichtsbehörde für die KI-Marktüberwachung zu benennen. Dies überrascht, da ursprünglich erwartet wurde, dass die Datenschutzbehörden diese Aufgabe übernehmen, was auch von diesen selbst gefordert wurde. Stattdessen bleibt die BNetzA für die Marktaufsicht zuständig, da sie bereits Erfahrung in der Produktsicherheit hat, einem zentralen Thema der KI-Verordnung, während Datenschutzbehörden bisher vor allem für Datenschutz zuständig sind. Zudem bietet die BNetzA eine zentrale, bundesweite Struktur, die nicht neu geschaffen werden muss, während Datenschutz in Deutschland föderal organisiert ist.

Trotz dieser Entscheidung bleiben die Datenschutzbehörden nicht völlig außen vor. Sie behalten ihre sektoralen Zuständigkeiten, etwa für den Datenschutz, während die BNetzA die KI-Verordnung umsetzt und auch als Kompetenzzentrum für KI-Innovationen fungiert. Weitere Fachbehörden wie die Bundesanstalt für Finanzdienstleistungen (BaFin) für den Finanzbereich oder das Kraftfahrtbundesamt für den Automotive-Bereich werden ebenfalls zuständig bleiben. Damit wird eine klare Trennung der Zuständigkeiten sichergestellt.

EuGH-Urteil zum Wettbewerb im Datenschutzrecht und der Definition von Arzneimitteln als Gesundheitsdaten

Im Urteil „Lindenapotheke“ (C-21/23) entschied der EuGH in zwei wesentlichen Punkten über die Anwendung der DSGVO auf den Online-Verkauf von Arzneimitteln und über die Rolle von Wettbewerbern im Datenschutzrecht.

Im zugrundeliegenden Fall hatte ein Konkurrent der „Lindenapotheke“ eine Klage eingereicht, weil er der Ansicht war, dass die Apotheke ohne die erforderliche datenschutzrechtliche Einwilligung Gesundheitsdaten verarbeite. Der EuGH entschied, dass nationale wettbewerbsrechtliche Ansprüche, die sich auf Datenschutzverstöße stützen, grundsätzlich zulässig sind, da die Verarbeitung personenbezogener Daten in der digitalen Wirtschaft ein wichtiger Wettbewerbsfaktor ist. Er stellte fest, dass die DSGVO keine vollständige Harmonisierung der Rechtsbehelfe vorsieht, weshalb nationale Regelungen weiterhin anwendbar sind. Die Möglichkeit für Wettbewerber, in solchen Fällen zu klagen, unterstützt den Schutz der betroffenen Personen und fördert das Datenschutzniveau.

Der Gerichtshof entschied ferner, dass Bestellungen von apothekenpflichtigen Arzneimitteln durchaus als Gesundheitsdaten eingestuft werden können, da sie Rückschlüsse auf den Gesundheitszustand einer Person zulassen, insbesondere wenn bestimmte Arzneimittel und deren therapeutische Zwecke mit den Bestellinformationen kombiniert werden. Dies gilt auch dann, wenn die Arzneimittel für Dritte bestellt werden. Eine Ausnahme soll jedoch bestehen: Der Verkauf von Arzneimitteln über eine eigene Plattform, bei der keine Offenlegung der Daten an Dritte erfolgt, könnte unter bestimmten Umständen ohne eine zusätzliche Einwilligung zulässig sein, wenn eine andere Rechtsgrundlage, wie etwa die Vertragserfüllung im Gesundheitsbereich, vorliegt.

Für den Verkauf über Dritte wie Amazon betonte der EuGH, dass in diesem Fall eine ausdrückliche Einwilligung zur Verarbeitung von Gesundheitsdaten erforderlich ist, da hier potenziell Dritte Zugang zu den Informationen haben könnten. Dies bedeutet, dass Apothekenbetreiber, die über Plattformen wie Amazon verkaufen, künftig Vorkehrungen treffen müssen, um die Einwilligung der Kunden gemäß der DSGVO einzuholen.

Zusammenfassend lässt sich sagen, dass das Urteil des EuGH den Online-Verkauf von Arzneimitteln unter strenge datenschutzrechtliche Vorgaben stellt, insbesondere in Bezug auf die Verarbeitung von Gesundheitsdaten. Unternehmen müssen sicherstellen, dass sie die Einwilligung der Kunden einholen, wenn personenbezogene Gesundheitsdaten verarbeitet werden, insbesondere bei Verkäufen über Plattformen Dritter.

EuGH-Urteil zur Datenminimierungspflicht und dem besonderen Schutz sensibler Daten selbst bei bereits erfolgter Veröffentlichung durch den Betroffenen

Der EuGH entschied in einem Verfahren zwischen dem Datenschutzaktivisten Maximilian Schrems und Meta Platforms Ireland über die rechtswidrige Verarbeitung personenbezogener Daten durch Facebook für personalisierte Werbung. Im Zentrum des Falls stand die Frage, ob Meta personenbezogene Daten, insbesondere solche zur sexuellen Orientierung, für zielgerichtete Werbung verwenden darf, ohne dass der Nutzer ausdrücklich zustimmt. Schrems hatte argumentiert, dass Facebook seine Daten ohne rechtmäßige Grundlage verarbeitet habe, um Werbung gezielt an homosexuelle Personen zu richten – eine Praxis, die er als unzulässig ansah.

Der EuGH entschied, dass gemäß DSGVO Daten nur dann verarbeitet werden dürfen, wenn dies für den jeweiligen Zweck notwendig ist, und dass eine dauerhafte Speicherung personenbezogener Daten ohne festgelegte Löschfristen unverhältnismäßig und damit rechtswidrig ist. Der Gerichtshof stellte klar, dass besonders schützenswerte Daten, wie die sexuelle Orientierung, unter strengen Auflagen verarbeitet werden müssen. Selbst wenn eine Person solche Daten öffentlich preisgibt, berechtigt dies soziale Netzwerke wie Meta nicht, diese Daten unbegrenzt zu nutzen. Zudem wurde betont, dass Betreiber sozialer Netzwerke keine weiteren Informationen aus Drittquellen verwenden dürfen, um personalisierte Werbung zu erstellen, selbst wenn die sexuelle Orientierung öffentlich gemacht wurde.

Das Urteil bekräftigte den Grundsatz der Datenminimierung aus der DSGVO, der besagt, dass nur notwendige Daten verarbeitet werden dürfen. Es wurde zudem klargestellt, dass sensible Daten wie Informationen zur sexuellen Orientierung besonders geschützt sind und Unternehmen wie Meta nicht ohne ausdrückliche Einwilligung des Nutzers auf solche Daten zugreifen dürfen, selbst wenn diese öffentlich zugänglich sind. Das Gericht hob hervor, dass die Rechte der betroffenen Personen auf Schutz ihrer Daten auch dann gewahrt bleiben müssen, wenn sie diese Informationen selbst öffentlich gemacht haben.

Ferner wird die These aufgestellt, dass personenbezogene Daten als materielle Güter im Eigentum der beschriebenen Person betrachtet werden sollten. Daraus folgt, dass solche Daten nicht für kommerzielle Zwecke gehandelt werden dürfen. Diese Position ist Teil eines laufenden Verfahrens vor dem Oberverwaltungsgericht Münster. Die Nutzung von Daten durch künstliche Intelligenz und die Herausforderungen bei der vollständigen Löschung von Daten, etwa in Zusammenhang mit Large Language Models (LLM), stellen jedoch zusätzliche datenschutzrechtliche Probleme dar, die durch die Beschränkung der Nutzung von Daten statt ihres Besitzes gelöst werden könnten.

Elektronische Patientenakte (ePA) und Opt-out

Ab dem 15.01.2025 wird in Deutschland für alle gesetzlich Versicherten eine elektronische Patientenakte (ePA) eingeführt, sofern nicht aktiv widersprochen wird (Opt-out-Verfahren); Privatversicherte müssen im Vorfeld zustimmen (Opt-in-Verfahren). Die ePA soll neben der Krankenkarte der Krankenkassen eingeführt werden und verspricht eine Verbesserung der ärztlichen Kommunikation sowie eine effizientere medizinische Versorgung. Wichtige Gesundheitsdaten wie Medikationspläne, Laborwerte und Impfungen werden zentral gespeichert und können im Notfall schnell abgerufen werden. Zudem sind auch Forschungszwecke für die Nutzung dieser Daten vorgesehen.

Allerdings gibt es erhebliche datenschutzrechtliche Bedenken. Die zentrale Speicherung hochsensibler Gesundheitsdaten birgt ein hohes Missbrauchspotenzial. IT-Sicherheitsexperten warnen vor der Gefahr von Fehlern, die durch falsche Diagnosen oder vertauschte Laborergebnisse entstehen könnten. Auch das Risiko, dass sensible Daten durch Hackerangriffe oder technische Fehler in die falschen Hände geraten, ist nicht zu unterschätzen. Besonders bedenklich ist der Verlust der Kontrolle über die eigenen Daten. Sobald ein Patient einer medizinischen Einrichtung Zugriff gewährt, verliert er einen Teil der Kontrolle. Zusätzlich könnten die Daten ohne Widerspruch in den European Health Data Space (EHDS) überführt werden, was eine Nutzung durch die Pharmaindustrie und Forschungseinrichtungen ermöglicht.

Ein weiteres Problem ist die mangelnde Aufklärung der Versicherten über das Opt-out-Verfahren. Viele sind sich nicht bewusst, dass sie nur aktiv widersprechen müssen, um die ePA nicht zu erhalten, und könnten daher ohne explizite Einwilligung Teil des digitalen Systems werden. Besonders die Möglichkeit, dass Daten ohne explizite Zustimmung für Sekundärzwecke wie Forschung und pharmazeutische Entwicklung genutzt werden, wird stark von Datenschutzexperten und der Ärzteschaft hinterfragt.

Parallel dazu gibt es Bestrebungen, Gesundheitsdaten auch für wissenschaftliche und wirtschaftliche Zwecke zu nutzen. Das Gesundheitsdatennutzungsgesetz (GDNG) und die Verordnung zur Umsetzung der Forschungsvorhaben im Gesundheitsbereich (FDZGesV) ermöglichen es, dass Gesundheitsdaten pseudonymisiert an Forschungseinrichtungen und die Pharmaindustrie weitergegeben werden, ohne dass Patienten gefragt werden müssen. Dies führt zu erheblichen Bedenken hinsichtlich des Datenschutzes und der Transparenz der Datenverwendung. Das Verfahren zur Genehmigung des Datenzugriffs ist intransparent, und es gibt keine Möglichkeit für Patienten, nachzuvollziehen, ob ihre Daten verwendet werden. Zudem könnten Missbrauchsfälle nur schwer verfolgt werden, da eine unabhängige Kontrolle der Datennutzung fehlt.

Insgesamt wird die Einführung der elektronischen Patientenakte und die Nutzung von Gesundheitsdaten für Forschung zwar als grundsätzlich sinnvoll erachtet, doch die datenschutzrechtlichen Mängel und die unzureichende Aufklärung der Versicherten werfen erhebliche Fragen auf. Patienten können der Nutzung ihrer Daten durch Widerspruch im Rahmen der ePA entgegentreten, aber der umfassende Schutz ihrer Daten erfordert dringend eine stärkere Regulierung und verbesserte Datenschutzmaßnahmen.

Kerstin Kiefer

Kerstin Kiefer

Rechtsanwältin

E-Mail schreibenAnrufen

Über die Verfasserin

Frau Rechtsanwältin Kerstin Kiefer, geb. 1971, legte nach dem Studium und dem 1. Juristischen Staatsexamen an der Universität Trier das 2. juristische Staatsexamen vor dem OLG Koblenz ab. Nach einer Tätigkeit bei der KPMG Düsseldorf in den Bereichen des Wirtschafts- und Steuerrechts trat Frau Kiefer im Jahr 2000 in die W+ST-Gruppe ein. Seit 2024 ist sie Gesellschafterin der W+ST Rechtsanwaltsgesellschaft mbH. Frau Kiefer ist außerdem Geschäftsführerin der W+ST Data Security GmbH Rechtsanwaltsgesellschaft und Datenschutzbeauftragte. Schwerpunkte ihrer Tätigkeit sind das Datenschutzrecht, IT-Recht, AGB-Recht und Berufsrecht. Aktuell ist sie in der Fortbildung zur Fachanwältin für IT-Recht.

Themenvielfalt

Das könnte Sie interessieren

Eine Frau sitzt an einem Tisch, auf welchem sich Dokumente stapeln und bearbeitet ein ,vor ihr liegendes, Diagramm.

Homeoffice im Ausland

Wenn Arbeitnehmer, insbesondere Grenzgänger, im Homeoffice im Ausland arbeiten, stellt sich die...

Arrow Right