Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Vor den erholsamen Wegstrecken bei Artikeln 10 und 11 wird der Ausflug nun sehr beschwerlich:
Artikel 9 regelt ein „Sonderthema“ im Datenschutz, nämlich den Umgang mit besonders sensiblen Daten. Und sensibel meint hier: Solche Informationen, aus deren Missbrauch sich große Risiken für die Betroffenen ergeben können, insbesondere Risiken einer Schlechterbehandlung, also Diskriminierung.Kürzer und präziser könnte der Titel von Artikel 9 deshalb – anstelle Verarbeitung besonderer Kategorien personenbezogener Daten – auch lauten Sensible Daten. Das Konzept des Gesetzgebers ist: In Absatz 1 werden die besonderen Kategorien definiert und ihre Verarbeitung wird untersagt. Der lange Absatz 2 enthält dann viele Ausnahmen mit teils furchtbar komplizierten Details. Und die Absätze 3 sowie 4 sind überflüssig, aber dazu später mehr…
Absatz 1
Der erste Absatz listet die besonderen Kategorien auf – wir schreiben ihn nicht ab, sondern bitten wie üblich darum, die DS-GVO selbst zu lesen. Für die meisten Kategorien (zum Beispiel Herkunft, politische Meinung, religiöse Überzeugung) liegt das Diskriminierungsrisiko nach traurigen historischen Erfahrungen auf der Hand.
Allerdings ist die Mehtode der DS-GVO zum Schutz dieser Daten nicht alternativlos. Anstelle des von zahlreichen Ausnahmen durchlöcherten Verbots wäre beispielsweise auch denkbar, bei jeder Verarbeitung dieser Daten eine Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) zu verlangen oder ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) anzuordnen – und ansonsten darauf zu verzichten. Diese und andere Wege würden einerseits durch erhöhten Verarbeitungsaufwand bei den Verantwortlichen dazu führen, die Verarbeitung einzuschränken und sich mit den Risiken auseinanderzusetzen. Außerdem bliebe uns
Absatz 2
erspart. Er gehört tatsächlich zu den Schlimmsten der DS-GVO. Bestaunen wir ihn buchstabenweise:
Buchstabe (a) erlaubt die Verarbeitung der sensiblen Daten, wenn die betroffene Person „für […] festgelegte Zwecke ausdrücklich eingewilligt“ hat. Manchmal wird die Zweckfestlegung und die Ausdrücklichkeit der Einwilligung als Unterschied zur „normalen“ Einwilligung nach Art. 7 und Art. 6 Abs. 1 Satz lit. a) DS-GVO genannt, aber zu Unrecht: Auch die „normale“ Einwilligung muss sich ja auf einen bestimmten Verarbeitungszweck beziehen und ausdrücklich erklärt werden. Das heißt nicht unbedingt schriftlich oder sonstwie formal; Kopfnicken genügt bei Artikel 6 und bei Artikel 9 – nur muss man es in beiden Fällen nachweisen können.
Bei der Einwilligung gibt es also – wenn man genau hinschaut – keinen Unterschied zwischen normalen und sensiblen Daten. Oder vielleicht doch – einen besonders merkwürdigen: Die Einwilligung bei den sensiblen Daten kann durch nationales oder EU-Recht ausgeschlossen werden. Also: Der Staat darf gesetzlich festlegen, dass beispielsweise Daten zur Religion in bestimmten Fällen nicht aufgrund einer Einwilligung verarbeitet werden können. Ist das sinnvoll? Und wenn ja, wann? Und ist es noch Datenschutz, wenn die Selbstbestimmung verloren geht?
Bei Buchstaben (b), (h) und (i) geht es überwiegend um Gesundheit. Neben der unnötig komplizierten Struktur – zu Buchstaben h gehört auch noch Absatz 3 – ist vor allem seltsam: Es genügt nicht, dass die Datenverarbeitungen für die jeweils genannten Zwecke erforderlich sind und durch Gesetze verlangt werden. Die Gesetze müssen auch noch „geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person“ vorsehen. Daraus ergeben sich schwierige Fragen, zum Beispiel: Ergeben sich diese „geeigneten Garantien“ nicht aus der DS-GVO? Wofür ist sie sonst da? Und was soll der Verantwortliche tun, wenn ihn ein Gesetz zur Datenverarbeitung verpflichtet, das keine geeigneten Garantien enthält? Das Gesetz missachten? Muss der Verantwortliche selbst entscheiden, ob die Garantien des jeweiligen Gesetzes geeignet sind?
Buchstabe (c) am Fallbeispiel: Person A ist lebensnotwendig auf eine Bluttransfusion angewiesen. Verfügbar sind Blutkonserven von B, C und D; alle drei weigern sich jedoch, die Untersuchung der Konserven auf Krankheitserreger zu erlauben. Darf untersucht werden? Wohl nicht. Wenn B, C und D bewusstlos wären, wohl ja.
Buchstabe (d) ist eine Privilegierung für gemeinnützige Verantwortliche, die entweder zu weit geht, oder gar keinen Inhalt besitzt: Soll eine Gewerkschaft Gesundheitsdaten ihrer Mitglieder leichter verarbeiten dürfen, als ein Unternehmen? Dann wäre die Privilegierung zu weitgehend. Oder bedeutet „geeignete Garantien“ und „im Rahmen ihrer rechtmäßigen Tätigkeit“, dass die üblichen Regeln eingehalten werden müssen? Dann besitzt die Norm keinen Inhalt.
Buchstabe (e) verträgt sich schlecht mit Buchstaben (a): Trotz gesetzlichen Verbots der Einwilligung kann man als Betroffener die Verarbeitung sensibler Daten ermöglichen – aber dann muss man sie veröffentlichen? Ist das sinnvoll?
Buchstabe (f) ist recht klar. Man kann natürlich immer darüber streiten, was im Gerichtsverfahren erforderlich ist. Lesenswert dazu: VG Wiesbaden, Urteil vom 19. Januar 2022, Az. 6 K 361/21.WI.
Die Buchstaben (g) und (j) gehören zusammen; (h) und (i) wurden vom Gesetzgeber wohl nur dazwischengeschoben, um zu zeigen, wie man Datenschutzregeln nicht abfassen sollte: Unübersichtlich. Ganz Mutige dürfen jetzt schon kurz von (j) nach Art. 89 Abs. 1 DS-GVO hüpfen und versuchen, dort die Sätze 3 sowie 4 zu verstehen… Aber dann wieder zurückkommen!
Absatz 3
Der dritte Absatz, der besser in Absatz 2 Buchstabe (h) untergebracht wäre, bedeutet: Die Datenverarbeitung nach Buchstabe (h) darf nur durch Personen erfolgen, die einer Geheimhaltungspflicht unterliegen (nach EU-Recht oder nationalem Recht; schweizerisches Recht genügt nicht). Und dies würde wiederum bewirken, dass Datenverarbeitungen nach Buchstabe (h) nicht in Drittstaaten verlegt werden dürfen. Problemfall: Patientin A wird in Deutschland für Diagnosezwecke untersucht; das Bildmaterial erhält anschließend zur Auswertung die Ärztin B in Großbritannien (USA, Schweiz…). Soll dies unzulässig sein?
Absatz 4
Nach Absatz 4 können Mitgliedstaaten die Verarbeitung genetischer, biometrischer und von Gesundheitsdaten weiter einschränken. Ja, so einfach und kurz könnte man es formulieren… . Das heißt – weil Absatz 1 die Verarbeitung gänzlich verbietet – die Mitgliedstaaten können die Verbotsausnahmen in Absatz 2 für die benannten Datenkategorien begrenzen/verkleinern. Sehr wichtig ist Absatz 4 nicht, weil schon im Absatz 2 sehr viele Ausnahmen vom nationalen Recht abhängig sind (Buchstaben a, b und g-j). Sucht man in der Kommentarliteratur nach Anwendungsfällen für Absatz 4, findet man einiges – zum Beispiel Verweise auf § 8 Abs. 1 GenDG und § 7 TPG – merkt aber bei Prüfung, dass all diese Normen schon nach Absatz 2 zulässig sind. Oder haben Sie einen Anwendungsfall für Absatz 4?
Artikel 9 ist ganz sicher ein guter Kandidat für Text-Verbesserungen; momentan ist ein Spaziergang hier besonders holprig und rutschig. Aber wir haben es geschafft – also halten wir uns nicht weiter auf. Frohgemut zu den kurzen Wegstücken Nr. 10 und 11!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.