dieses Gesetzes, dass sich niemand, auch ohne es zu wissen, in einem unsicheren Bereich bewegt.
Es geht auch darum, ein hohes Datenschutzniveau für alle Bürgerinnen und Bürger zu garantieren; auch das war hoffentlich ein wesentlicher Grundgedanke, vor allem der DSGVO. Diesem Ziel wird man aber mit diesem Gesetz nicht gerecht. Es gab zahlreiche Stellungnahmen mit Kritikpunkten der Datenschutzbehörde, des Datenschutzrates, zivilgesellschaftlicher Organisationen, wie Epicenter Works, die gar nicht oder nur teilweise, in sehr geringem Ausmaß in der Regierungsvorlage berücksichtigt worden sind. Darunter fallen unter anderem auch die Bestimmungen zu der Verwendung von personenbezogenen Daten. Wir haben noch viele andere Kritikpunkte zu diesem Gesetz, aber ich möchte mich heute auf zwei wesentliche Punkte konzentrieren, bei denen es nämlich darum geht, ob dieses Gesetz überhaupt DSGVO-konform ist. Es gibt viele Menschen, die das bezweifeln. Sollte es nicht konform sein, wäre das eigentlich eine Katastrophe.
Die Regierungsvorlage geht davon aus, dass das Ersetzen von Namen durch bereichsspezifische Personenkennzeichen einer Pseudonymisierung gemäß DSGVO gleichkommt. – Das ist aber nicht der Fall. Es ist im Ausschuss gesagt worden: Na ja, die DSGVO ist irgendwie immer mitgemeint. – Das reicht aber nicht aus. Die DSGVO sieht die Pseudonymisierung nämlich so vor, dass sie auch das Ziel erreicht, dass nämlich mit dem Wegfall der Namen Personen ohne Hinzufügen zusätzlicher Informationen nicht mehr identifiziert werden können. Das ist quasi ein Datenschutzziel. Dieses Ziel wird mit diesem Gesetz aber nicht erreicht, denn es wird gesagt: Entweder verwendet ihr ein bereichsspezifisches Personenkennzeichen oder eine Pseudonymisierung. Es wird aber nicht definiert, welches Ziel damit erreicht werden soll, es wird nicht definiert, dass die Schlüssel zum Entschlüsseln eines Datensatzes zur Identifizierung von Personen auch gesondert, getrennt aufbewahrt werden müssen, was auch ein wichtiger Punkt in der DSGVO, bei der Pseudonymisierung ist.
Es gibt auch eine unverhältnismäßige Einschränkung der Betroffenenrechte gemäß Artikel 15 bis 21 DSGVO und diese Einschränkung ist unionsrechtlich nicht gültig. Stellen Sie sich folgendes Beispiel vor, ich habe das im Ausschuss schon vorgebracht: Sie haben eine seltene Krankheit, es gibt nur ganz wenige Personen, die diese Krankheit haben, und jemand macht eine Studie darüber. Nur, weil ihr Name im Krankenakt nicht mehr drinnen ist, heißt das nicht, dass Sie nicht identifiziert werden können. Vielleicht gibt es in der ganzen Gegend nur eine Person, die diese seltene Krankheit hat und in die jeweilige Alterskohorte hineinfällt, dann kann man relativ schnell sagen, das ist Hubert aus dem nächsten Ort. Das betrifft vielleicht sogar eine Person öffentlichen Interesses, die ein ganz spezielles, persönliches Interesse daran hat, dass diese Daten gelöscht werden. Laut DSGVO hätte sie ein Löschungsrecht, wenn sie aus einem ganz speziellen Grund diese Daten löschen lassen möchte. Dieses Gesetz sieht so etwas aber nicht mehr vor. Wenn der Forschungszweck dadurch beeinträchtigt wird, kann man immer noch sagen: Sorry Hubert, deine Daten können wir nicht löschen! – Das ist eines der vielen theoretischen Beispiele, bei dem die von der DSGVO geforderte Verhältnismäßigkeit auch im Einzelfall nicht mehr berücksichtigt wird.
Das ist der Grund, warum wir sagen, dass es bei diesem Gesetz noch großen Änderungsbedarf gibt. Es sollte ja im Sinne der Forscherinnen und Forscher sein, dass es unionsrechtlich auch hält. Man stelle sich vor: Man arbeitet an einem Forschungsprojekt, das fünf Jahre läuft; man verwendet die Daten gemäß dem jetzt geänderten Forschungsorganisationsgesetz. Währenddessen ergeht eine Beschwerde an den EuGH, der dann sagt: Hm, das wird wohl nichts, wieder zurück!
HomeGesamtes ProtokollVorherige SeiteNächste Seite