Empfehlungen der AusschüsseIn
Bundesrat Drucksache 138/1/21
E m p f e h l u n g e n
der Ausschüsse
12.03.21
G - In - K
zu Punkt … der 1002. Sitzung des Bundesrates am 26. März 2021
Entwurf eines Gesetzes zur Zusammenführung von Krebsregisterdaten
Der federführende Gesundheitsausschuss (G),
der Ausschuss für Innere Angelegenheiten (In) und
der Ausschuss für Kulturfragen (K)
empfehlen dem Bundesrat,
zu dem Gesetzentwurf gemäß Artikel 76 Absatz 2 des Grundgesetzes wie folgt Stellung
zu nehmen:
1. Zu Artikel 1 Nummer 7 (§ 8 Absatz 9 BKRG)
In Artikel 1 Nummer 7 ist § 8 Absatz 9 wie folgt zu fassen:
„(9) Verarbeiten Datenempfänger vom Zentrum für Krebsregisterdaten
nach Absatz 1 übermittelte Daten oder nach Absatz 6 bereitgestellte pseudonymisierte
Einzeldatendatensätze in einer Art und Weise, die nicht den geltenden
datenschutzrechtlichen Vorschriften oder den Auflagen des Zentrums für
Krebsregisterdaten entspricht, so kann die zuständige Datenaufsichtsbehörde
das Zentrum für Krebsregisterdaten über die wegen eines solchen Verstoßes ergangenen
Anordnungen nach Artikel 58 Absatz 2 Buchstabe e ,f, h bis j der
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom
27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie
95/46/EG (Datenschutz-Grundverordnung - ABl. L 119 vom 4. Mai 2016,
Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln
Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de
ISSN 0720-2946
...
Empfehlungen, 138/1/21 - 2 -
Seite 1; L 314 vom 22. November 2016, Seite 72; L 127 vom 23. Mai 2018,
Seite 2) unterrichten. Das Zentrum für Krebsregisterdaten soll Maßnahmen ergreifen,
um diese Datenempfänger bereits vorübergehend vor Eintritt der Bestandskraft
der Anordnung vom Datenzugang auszuschließen. Nach Eintritt der
Bestandskraft der Anordnung schließt sie diese Datenempfänger für insgesamt
mindestens ein Jahr vom Datenzugang aus. Vor erneuter Gewährung des Datenzugangs
ist der zuständigen Datenschutzaufsichtsbehörde Gelegenheit zur
Stellungnahme zu geben.“
Begründung:
Der Änderungsvorschlag berücksichtigt zum einen kompetenzrechtliche Überlegungen:
Es wird eine in das pflichtgemäße Ermessen der Datenschutzaufsichtsbehörden
(DSA) gestellte Übermittlungsbefugnis eingeführt, da eine einzelfallbezogene
Verpflichtung der DSA zur Übermittlung von Untersuchungsergebnissen
beziehungsweise Entscheidungen an andere Behörden unionsrechtlich
nicht vorgesehen ist und nationale Regelungsermächtigungen allenfalls
über die mitgliedstaatliche Befugnis zur Ausgestaltung des zu Grunde liegenden
materiellen Rechts oder das Verfahrensrecht begründet werden können.
Eine in das pflichtgemäße Ermessen der DSA gestellte Übermittlungsbefugnis
bietet daher im Blick auf diese Grenzen und die Unabhängigkeit der DSA den
rechtssicheren Ansatz.
Der Änderungsvorschlag schließt überdies verfahrensrechtliche Lücken, da
gewährleistet werden sollte, dass das Krebsregister auch im Falle nicht bestandskräftiger
Anordnungen wegen schwerwiegender Datenschutzverstöße
regelmäßig einen vorübergehenden Ausschluss von Datenempfängern vornimmt.
Der Änderungsvorschlag berücksichtigt Verhältnismäßigkeitserwägungen:
Maßnahmen nach Artikel 58 Buchstabe b, c, d, g DSGVO sollten deshalb keine
Datenübermittlung an das Zentrum für Krebsregisterdaten nach sich ziehen
können, weil diese Maßnahmen nach der Intention der DSGVO auch bei kleineren
Verfehlungen beziehungsweise bei unklarer Rechtslage zur Anwendung
kommen könnten und nicht mit weiteren Sanktionen verbunden sein sollen; ein
Ausschluss vom Zugang zu den Krebsregisterdaten kann aber eine sanktionsähnliche
Wirkung entfalten. Der vorgeschlagene "Sanktionsrahmen" erscheint
relativ niedrig (maximal zwei Jahre), wenn man bedenkt, dass die Aufsichtsbehörden
Maßnahmen nach Artikel 58 Absatz 2 Buchstaben e, f, h bis j DSGVO
regelmäßig nur bei schwerwiegenden Verstößen durchführen. Zudem ist unstimmig,
dass trotz solcher schwerwiegenden Verstöße und eines nicht unerheblichen
Verfahrensaufwands eine Mindestgrenze fehlt, obwohl an typisierende
und damit für eine Rechtsfolgenabwägung durch den Gesetzgeber klar
konturierte Konstellationen angeknüpft wird. Der Änderungsvorschlag enthält
daher einen Mindestausschluss, der zur Verfahrensvereinfachung vermeidet,
dass das Zentrum für Krebsregisterdaten begründen muss, warum eine anfragende
Stelle trotz erheblicher Datenschutzverstöße nicht vom Datenzugang
...
G
K
- 3 - Empfehlungen, 138/1/21
ausgeschlossen werden muss. Der vorliegende Vorschlag eröffnet hingegen
genau diesen Entscheidungsspielraum und verlangt damit eine aufwändige
Einzelfallprüfung über die Verhältnismäßigkeit eines Ausschlusses und nicht
nur seiner Dauer.
Der Änderungsvorschlag enthält schließlich notwendige Folgeprüfungen bei
Wiedergewährung des Zugangs die bisher nicht ausdrücklich geregelt waren
und im Interesse einer umfassenden datenschutzaufsichtlichen Würdigung
durch eine Beteiligungspflicht der Datenschutzbehörden nach Auslauf des
Ausschlusses ergänzt werden sollten.
2. Zu Artikel 2 (§ 5 Absatz 3 Satz 2 – neu – und Satz 3 – neu – BKRG)
In Artikel 2 sind dem § 5 Absatz 3 folgende Sätze anzufügen:
„Eine Übermittlung direkt personenidentifizierender Angaben ist dabei weder in
Bezug auf Patientinnen und Patienten noch in Bezug auf die Leistungserbringer
der onkologischen Versorgung zulässig. Dies gilt insbesondere für Namen und
Vornamen, Angaben zur Anschrift, die über die ersten fünf Ziffern des amtlichen
Gemeindeschlüssels des Wohnorts hinausgehen, Datumsangaben, die über
die Angabe des Monats und des Jahres hinausgehen sowie Krankenversichertennummern.“
Begründung:
Der Bundesrat erachtet diese Ergänzung als erforderlich, um die in § 6 Absatz
1 BKRG angesprochenen personenbezogenen Daten sowie die potenziell
mögliche Herstellung des Personenbezugs (vgl. § 4 Absatz 2 Satz 3, § 8 Absatz
5, 6 und 8 BKRG) und schließlich die in § 8 Absatz 6 bis 9 BKRG bezeichneten
pseudonymisierten Daten richtig einzuordnen. Letztere werden im
Kontext der Änderung des Bundeskrebsregisterdatengesetzes nicht hinreichend
definiert.
Der vorgeschlagene Gesetzestext enthält keine Klarstellung, dass die Übermittlung
direkt personenidentifizierender Merkmale nicht zulässig ist. Weder den
Betroffenen noch den Leistungserbringern erschließen sich unmittelbar die Differenzierungen,
die aus Artikel 4 Nummer 1 der Europäischen Datenschutzgrundverordnung
(EU-DSGVO) abzuleiten sind. Dies zeigt die Erfahrung
praktisch aller Krebsregister, die mitunter in täglichen Diskussionen die Unterschiede
in den Begriffen „personenidentifizierend“ und „personenbezogen“ erläutern
müssen. Es ist notwendig hier klarzustellen, dass direkt personenidentifizierende
Angaben nicht an das Zentrum für Krebsregisterdaten weitergegeben
werden, um die Akzeptanz und Kooperationsbereitschaft von Betroffenen und
zur Meldung Verpflichteten in den Ländern zu erhalten.
...
Empfehlungen, 138/1/21 - 4 -
Deswegen wird vorgeschlagen, vor allem dort, wo Raum für künftige Konkretisierungen
geschaffen wird – also in § 5 Absatz 3 BKRG – diese Einschränkung
vorzunehmen und Verlässlichkeit herzustellen.