Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12. September 2024

Beschlüsse zu Asset Deal, Patientenakten und Forschungsdaten

Nr.20240913  | 13.09.2024  | DSMV  | datenschutz-mv.de

Konferenz der DSK: Beschlüsse zu Asset Deal, Patientenakten und Forschungsdaten

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat auf ihrer Zwischenkonferenz am 11. September 2024 eine Vielzahl unterschiedlicher Themengebiete behandelt. Die Ergebnisse der ganztägigen Videokonferenz fasst der DSK-Vorsitzende, der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Alexander Roßnagel, wie folgt zusammen: „Entsprechend ihrem Selbstverständnis haben die Mitglieder der DSK aktuelle, praktische Fragen des Datenschutzes aufgegriffen, um ihre Rechtsauffassungen abzustimmen und ihre Aufsichtspraxis zu harmonisieren. Daneben haben sie schwierige Datenschutzfragen hinsichtlich der Herstellung und Anwendung von Systemen Künstlicher Intelligenz (KI) diskutiert. Insgesamt trägt die DSK mit ihren Erörterungen und Ergebnisse zu mehr Rechtssicherheit im Datenschutzrecht bei. Auf dem Gebiet der KI beabsichtigt die DSK die Entwicklungen zielführend und konstruktiv zu begleiten. Zentrales Ziel soll dabei sein, Anforderungen und Handlungsempfehlungen zu entwickeln, um KI datenschutzkonform zu realisieren. Hierfür ist es erforderlich aufzuzeigen, wie den Zielen der DS-GVO unter Berücksichtigung der KI- Verordnung in einer Welt der künstlichen Intelligenz größtmöglich Geltung verschafft werden kann.

Für die Praxis von Datenverarbeitenden und betroffenen Personen sind vor allem drei Ergebnisse der Tagung von besonderer Bedeutung:
Die DSK ersetzt ihren Beschluss vom 24. Mai 2019 zum „Asset-Deal“ durch einen neuen differenzierteren Beschluss, um die Anwendung der DS-GVO stärker zu harmonisieren und den betroffenen Unternehmen einen klaren Handlungsrahmen zu bieten. Unter dem Begriff des „Asset Deal“ versteht man einen Unternehmenskauf, bei dem Wirtschaftsgüter wie beispielsweise Grundstücke, Gebäude, Maschinen und Rechte an Erwerber übertragen werden. Zu den Wirtschaftsgütern können auch Daten über Kunden, Lieferanten oder Beschäftigte gehören. Bei Einzelkaufleuten oder Handwerksbetrieben kann dies das einzige Wirtschaftsgut sein, wenn eine andere Person das Unternehmen übernimmt und den Betrieb fortführt. In ihrem Beschluss hat die DSK detailliert festgestellt, unter welchen Voraussetzungen solche Daten an einen Nachfolger übertragen werden dürfen.

Mit einer Entschließung zur kostenlosen Erstkopie der Patientenakte richtet sich die DSK an den Bundesgesetzgeber und an die Heilberufekammern. In einem Urteil vom 26. Oktober 2023 (Az. C-307/22) hat der Europäische Gerichtshof (EuGH) festgestellt, dass nach Art. 15 Abs. 3 DS-GVO alle Patientinnen und Patienten einen Anspruch auf eine unentgeltliche erste Kopie der eigenen Patientenakte haben. § 630g Abs. 2 S. 2 BGB und die Regelungen in den Berufsordnungen der Heilberufekammern sehen jedoch vor, dass Patientinnen und Patienten die Kosten einer solchen Kopie zu zahlen haben. Daher fordert die DSK den Gesetzgeber und die Heilberufekammern auf, ihr mit Unionsrecht nicht mehr zu vereinbarenden Regelungen umgehend zu ändern.

Ein weiterer wichtiger Beschluss der DSK zielt auf ein einheitliches Verständnis des Begriffs der „wissenschaftlichen Forschungszwecke“. Datenverarbeitungen zu diesen Zwecken werden in der DS-GVO bevorzugt: Für wissenschaftliche Forschungszwecke können Zweckänderungen der Datenverarbeitung erfolgen, können besonders schützenswerte Daten verarbeitet werden, Informationspflichten eingeschränkt werden oder Datenlöschungen unterbleiben. Diese Bevorzugung ist zugleich mit Einschränkungen der Rechte betroffener Personen verbunden. Ein solcher Eingriff ist nur gerechtfertigt, wenn die Forschung methodisch-systematisch erfolgt, auf Erkenntnisgewinn gerichtet und nachprüfbar ist, wenn sie unabhängig und selbständig erfolgt und ein Gemeinwohlinteresse verfolgt.

Über die Datenschutzkonferenz:
Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.