Datenschutzbeauftragter kritisiert Spahn für BfArM/DIMDI-Fusion

So einfach, wie es anfänglich aussah, läuft die von Bundesgesundheitsminister Jens Spahn (CDU) initiierte Fusion von BfArM und DIMDI wohl doch nicht. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), der schon verschiedentlich Bedenken gegenüber dem Vorhaben vorgebracht hat, stellt sich erneut auf die Hinterbeine. Am 13. Januar wandte sich Ulrich Kelber mit einem Brief an den Vorsitz des Gesundheitsausschusses des Deutschen Bundestages.

Er kritisiert darin den „fachfremden Änderungsantrag Nr. 4“ zum Entwurf eines Medizinprodukte-EU-Anpassungsgesetzes (BT-Drs. 19/15620) vom 10. Januar 2020 zur Auflösung des DIMDI. Mit Verwunderung habe er festgestellt, dass dieser im Rahmen des Gesamtpakets der Änderungsanträge 1-4 der Fraktionen CDU/CSU und SPD bereits Gegenstand der Beratungen des Gesundheitsausschusses am 15. Januar 2020 sein solle. Kelber fordert nun dringend, den Änderungsantrag 4 zurückzustellen.

Auflösungserlass ausgesetzt

Zum Hintergrund führt er aus, dass der Bundesminister für Gesundheit das DIMDI per Erlass vom 29. November 2019 mit Wirkung zum 02. Januar 2020 auflösen wollte. Kelber betont, dass dieser Erlass mit einem weiteren Erlass des BMG vom 18. Dezember 2019 im Wesentlichen ausgesetzt sei, so dass das DIMDI aktuell weiter bestehe. Grund für die Suspendierung des Auflösungserlasses seien erhebliche datenschutzrechtliche Bedenken, die auch vom Bundesministerium der Justiz und Verbraucherschutz und dem Bundeministerium des Innern geteilt würden.

DIMDI hat „Aufgaben von wesentlicher datenschutzrechtlicher Bedeutung“

Kelber hegt bezüglich der Ordnungsmäßigkeit der Vorgehensweise des Ministeriums das DIMDI betreffend erhebliche Zweifel. Das DIMDI habe verschiedene Aufgaben von wesentlicher datenschutzrechtlicher Bedeutung, hebt Kelber in dem Schreiben an den Ausschuss hervor. Exemplarisch nennt der Datenschutzbeauftragte das kommende Implantateregister und das bestehende Informationssystem Versorgungsdaten, die eine „enorme Menge an sensiblen und nach der Datenschutz-Grundverordnung besonders geschützten Gesundheitsdaten enthalten (werden)“. Diese seien allerdings nicht Gegenstand des Änderungsantrags, hier stünden gesetzlichen Neuregelungen der Aufgabenzuweisung noch aus. Weitere Verarbeitungen personenbezogener Daten nehme das DIMDI in verschiedenen medizinischen Produktregistern vor, deren gesetzliche Regelungen nun Gegenstand des Änderungsantrages Nr. 4 seien.

Bei der Veränderung der gesetzlichen Aufgabenzuweisung muss seiner Auffassung nach jeweils geprüft werden, welche Auswirkungen dies auf die Datenverarbeitung und insbesondere auf Erhebungs- und Übermittlungsprozesse hat. Eine solche Prüfung lasse die Begründung zum Änderungsantrag jedoch vermissen. Stattdessen werde eine pauschale Begründung beigefügt. „Als Folge der Auflösung des DIMDI mit Wirkung vom 2. Januar 2020 werden nachgehend die Fach-Gesetze und Fach-Verordnungen redaktionell geändert, in denen das DIMDI namentlich erwähnt ist“, heißt es dort.

Kelber bietet Beratung an

Diese formale Schlussfolgerung greift jedoch für Kelber erheblich zu kurz. Er hält die Bezeichnung als „redaktionelle“ Änderung deshalb für irreführend. In einer separaten Stellungnahme zu den Änderungsanträgen gegenüber dem BMG bietet Kelber an, auf der Grundlage von konkreten Ausführungen zu Regelungsgegenständen und Auswirkungen zur Frage der datenschutzrechtlichen Konformität zu beraten, bittet jedoch um Verständnis, dass hierfür eine ausreichend bemessene Zeitspanne zur Verfügung stehen muss.

Der Datenschutzbeauftragte fühlt sich übergangen

Kelber klagt im Übrigen auch über die bisher mangelnde Beteiligung des Datenschutzbeauftragten an dem Vorhaben. Der Erlass zur Auflösung des DIMDI sei zu einem Zeitpunkt verfügt worden, als er bereits erhebliche Bedenken geltend gemacht und eine umfassende Übertragung der Aufgaben des DIMDI an das BfArM als datenschutzrechtlich unzulässig bewertet hatte. Ungeachtet der laufenden Beratungen auf Fachebene und der Gespräche auf Leitungsebene habe das BMG darüber hinaus nicht in Erwägung gezogen, ihm diesen Erlass zur Kenntnis zu geben. Auch die Änderungsanträge habe er erst auf Nachfrage bekommen und kritisiert heftig, dass eine „unmittelbare Beteiligung offenbar nicht vorgesehen gewesen“ sei.

Schließlich weist Kelber gegenüber dem Gesundheitsausschuss darauf hin, dass er Datenverarbeitungen untersagen könne, wenn diese nicht mit der Datenschutz-Grundverordnung vereinbar seien, auch wenn sie auf einer nationalen Norm beruhten. Er warnt deshalb vor übereilten Beschlüssen über nicht hinreichend geprüfte gesetzliche Regelungen.