Liebes Lage-der-Nation-Team,
Ulf hat schon häufiger davon gesprochen, dass der Datenschutz aus seiner Sicht insbesondere von Behörden häufig als Nebelkerze vorgeschoben werden würde, um (sinnvolle) Weiterentwicklungen abzubügeln. In der jüngsten LdN-Folge hat er in diesem Zusammenhang auch die Aussage der Kanzlerin kritisiert, dass Deutschland anders als Israel aus Datenschutzgründen nicht einfach anonymisierte Daten an BioNTech weitergeben könne. Seine Kritik hat er u.a. damit begründet, dass anonymisierte Daten dem Datenschutz ja gar nicht unterfallen würden.
Dies ist allerdings nur so halb richtig. Zwar gelten für anonymisierte Daten die Regeln des Datenschutzes tatsächlich nicht mehr (wobei sich in diesem Zusammenhang immer die Frage stellt, wann die Daten tatsächlich als anonymisiert anzusehen sind und auf wessen Sicht es insoweit ankommt); allerdings bedarf der Schritt der Anonymisierung personenbezogener Daten durchaus einer Rechtsgrundlage und zwar umso mehr, wenn es sich wie vorliegend um die Anonymisierung besonders sensibler sog. Gesundheitsdaten handelt. Eine entsprechende Rechtsgrundlage ist mir bislang nicht bekannt.
So handelt es sich gem. Art. 4 Nr. 2 DSGVO bei so ziemlich jeder Handlung im Zusammenhang mit personenbezogenen Daten um eine sog. Verarbeitung. Selbst das Löschen der Daten stellt danach ausdrücklich eine Verarbeitung dar. Demnach muss auch das Löschen nur eines Teils der Daten, nämlich des Personenbezugs, eine Verarbeitung in diesem Sinne darstellen (so sieht das auch der Bundesdatenschutzbeauftragte, vgl. etwa https://www.bfdi.bund.de/SharedDocs/Konsultationsverfahren/2020/01_Anonymisierung-TK.pdf?__blob=publicationFile&v=6).
Für die Anonymisierung bedarf es daher – wie bei jeder Verarbeitung personenbezogener Daten – einer Rechtsgrundlage. Für „normale“ personenbezogene Daten ergibt sich dies aus Art. 6 DSGVO. Für die Verarbeitung von besonders sensiblen Daten wie etwa Gesundheitsdaten (vgl. zum Begriff der „Gesundheitsdaten“ u.a. Art. 4 Nr. 15 und Erwägungsgrund (35)) gilt gem. Art. 9 DSGVO ein sog. Verbot mit Erlaubnisverbot, d.h. die Verarbeitung dieser Daten ist grundsätzlich verboten und nur ausnahmsweise unter den engen Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig. Eine Verarbeitung kommt danach grundsätzlich u.a. zu den in Art. 9 Abs. 2 lit. g, h oder i DSGVO genannten Zwecken in Betracht (d.h. u.a. auch für wissenschaftliche Forschungszwecke), wenn die Verarbeitung hierfür erforderlich ist und auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats erfolgt, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht (u.a. in den Erwägungsgründen (52), (53) und (54) werden die zulässigen Verarbeitungszwecke noch weiter beschränkt).
Zur Zulässigkeit der Anonymisierung bedarf es mithin – wenn keiner der übrigen Rechtfertigungsgründe, wie etwa eine ausdrückliche Einwilligung des Betroffenen, vorliegt – (neben weiteren Voraussetzungen) einer entsprechenden gesetzlichen Grundlage. Eine solche ist mir bislang nicht bekannt. Man könnte vielleicht an § 22 BDSG n.F. denken, allerdings ist dort die Verarbeitung zu wissenschaftlichen Forschungszwecken nicht genannt, d.h. man müsste das Ganze etwa unter den „Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren“ subsumieren (§ 22 Abs. 1 Nr. 1 lit. c) BDSG). Zum einen bestehen aus meiner Sicht aber Zweifel daran, dass § 22 BDSG als Rechtsgrundlage hinreichend konkret gefasst ist, um den Voraussetzungen des Art. 9 Abs. 2 lit. g DSGVO zu genügen. Zum anderen werden „normalen“ Gesundheitsdaten im Sinne der DSGVO durch bestimmte Verarbeitungen schnell zu sog. Sozialdaten im Sinne der SGBs, deren Verarbeitung nur noch unter den dortigen (noch engeren) Voraussetzungen zulässig ist (vgl. etwa § 35 SGB I und §§ 67a ff. SGB X) (um das Chaos komplett zu machen, wird der Begriff „Sozialdaten“ im SGB I und im SGB X trotz verwirrender wechselseitiger Verweise auch noch unterschiedlich definiert…). Auch in den SGBs gibt es für die vorliegende Konstellation aber meines Erachtens bislang keine einschlägige Rechtsgrundlage.
Im Ergebnis kann ich die Zurückhaltung der Kanzlerin daher durchaus nachvollziehen und finde Ulfs Kritik zu pauschal.
Viele Grüße
Anna