Seit 25. Mai ist sie also in Kraft: Die EU Datenschutzgrundverordnung – kurz DSGV –, die 2016 beschlossen wurde. Und der schiere Umfang dieses Konvoluts ist bereits einschüchternd. Vielleicht auch deshalb haben sich die Landesgesetzgebungen in den verschiedenen EU-Staaten mehr oder weniger viel Zeit genommen/gelassen mit der Ausformulierung, die die Umsetzungsmöglichkeiten an den jeweiligen Landesrahmen anpassen soll. Etwas sperrig heißen diese in Österreich Datenschutzanpassungsgesetze. Und dann wurde die Zeit langsam knapp – umgekehrt proportional dazu stiegen die Aufregung und durchaus auch die Verunsicherung – in Unternehmen, Interessensvertretungen, bei Datenschützern und bei Politikern. Das ist in Österreich nicht anders als in Deutschland. Die Vielzahl an Vorschriften, Einschränkungen, Bedingungen etc. erfordert große Sachkenntnis, Geduld und gute Nerven. Wie die Umsetzung tatsächlich aussehen und gehandhabt wird, bleibt abzuwarten. Damit sind im besten Fall in den vergangenen Monaten zahlreiche Sachbearbeiter und Experten beschäftigt gewesen, um nun tatsächlich das Ziel dieser Verordnung erreichen zu können: Die persönlichen Daten des Einzelnen bestmöglich zu schützen, nicht nur vor explizitem Missbrauch, sondern auch vor ungewollter Verwendung in allen möglichen und unmöglichen Zusammenhängen.

Explizite Zustimmung soll Freizügigkeit sichern

Interessanterweise merkt die DSGV an, dass „der freie Verkehr personenbezogener Daten in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird“. Aus genau dieser Überlegung musste also ein Weg gefunden werden, der unter Einhaltung des individuellen Schutzbedürfnisses den Datenaustausch weiterhin sicherstellt – und das soll eben über die explizite Zustimmung der Individuen funktionieren. Was sich in der Praxis als recht aufwändig erweist. Allerdings nimmt die DSGV auch hier auf die Kapazitäten und Ressourcen der Unternehmen unterschiedlicher Größen Rücksicht. So werden „Organe und Einrichtungen der Union sowie die Mitgliedsstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen“. Ein Spielraum ist hier also durchaus gegeben.

Zu den besonders heiklen Daten zählen natürlich die persönlichen Gesundheitsdaten. Sie zu kennen, ist für den Arzt Grundlage für die richtige Diagnose und Therapie, sie sind für den Forscher zur Untersuchung von epidemiologischen, therapeutischen oder anderen Zusammenhängen essentiell. So gilt dann – ohne Zustimmung – laut DSGV beispielsweise die Verarbeitung besonderer Kategorien von personenbezogenen Daten als erlaubt, wenn dies durch das öffentliche Interesse gerechtfertigt ist, „insbesondere auf dem Gebiet des Arbeitsrechts und des Rechts der sozialen Sicherheit, einschließlich Renten und zwecks Sicherstellung und Überwachung der Gesundheit und Gesundheitswarnungen …“. Erwähnt wird hier beispielsweise auch die Sicherstellung von Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen.

Grundsätzliche Überlegungen zum „Gesundheitsdatenschutz in vernetzten Zeiten“ stellt Thilo Weichert vom Netzwerk Datenschutzexpertise Kiel an. Hier kommen auch die technischen Anforderungen zur Sprache und mögliche Formen der Selbstregulierung und der Mitarbeiterschulung. Auch das Umdenken hinsichtlich eines allzu sorglosen Umgangs mit persönlichen Daten ist ein Prozess, der nun durch das Inkrafttreten der DSGV einen kräftigen Impuls erhält – auch wenn das zu Beginn ein bisschen mühsam ist, könnte das durchaus positiv gesehen werden

meint Ihre

figure a

V. Kienast