1 Einleitung
Das Ziel der medizinischen Forschung ist es, die Gesundheitsversorgung der Bevölkerung zu verbessern. Um dieses Ziel zu erreichen benötigt die Wissenschaft Informationen über den menschlichen Körper sowie über Krankheitsverläufe. Grundlage des Erkenntnisgewinns in der medizinischen Forschung bilden mithin personenbezogene Daten.
1 Da sich medizinische Forschungsprojekte oft nicht auf einen bestimmten Staat beschränken lassen,
2 ist es erforderlich, diese Daten in andere Staaten zu übermitteln, damit sie dort ebenfalls zu Forschungszwecken verarbeitet werden können. So hat der
Europäische Datenschutzausschuss (EDSA) jüngst darauf hingewiesen, dass im Rahmen der wissenschaftlichen Forschung und insbesondere auch im Rahmen der COVID-19-Pandemie ein Bedarf an internationaler Zusammenarbeit bestehe, der die Übermittlung von Gesundheitsdaten zum Zwecke der wissenschaftlichen Forschung mit sich bringe.
3
Nach der Systematik der Datenschutz-Grundverordnung (DSGVO)
4 ist diesbezüglich zwischen Datenübermittlungen in Drittländer und Datenübermittlungen innerhalb der Europäischen Union (EU) zu differenzieren. In beiden Fällen lässt die DSGVO Fragen in der praktischen Umsetzung offen. Im Zusammenhang mit Datenübermittlungen innerhalb der EU stellen sich insbesondere Fragen nach der Bestimmung des im Rahmen der DSGVO-Öffnungsklauseln anzuwendenden nationalen Anpassungsrechts. Daneben ist eine Übermittlung personenbezogener Daten in Drittstaaten außerhalb der EU nur bei Erfüllung der im Kapitel V der DSGVO aufgestellten zusätzlichen Anforderungen zulässig, die ebenfalls diverse Fragen aufwerfen. Vor diesem Hintergrund soll im Folgenden auf die Herausforderungen bei der Datenverarbeitung zu medizinischen Forschungszwecken im internationalen Kontext eingegangen werden.
2 Grenzüberschreitende Datenverarbeitung innerhalb der EU zu Forschungszwecken
Hochwertige medizinische Forschung erfordert neben einer institutionsübergreifenden oftmals auch eine länderübergreifende Zusammenarbeit zwischen verschiedenen Forschungseinrichtungen.
5 So sind Forschungsinstitute vielfach darauf angewiesen, dass sie als Datengrundlage Daten von Einrichtungen in anderen EU-Mitgliedstaaten erhalten.
6 Grundsätzlich gelten dabei für die Übermittlung von Daten in einen anderen EU-Mitgliedstaat die gleichen Regelungen, wie für die Übermittlung innerhalb eines Mitgliedstaates der Europäischen Union.
7 Die innergemeinschaftliche Datenübermittlung ist mithin nach Maßgabe der DSGVO nicht anders zu behandeln als eine Übermittlung an Datenempfänger im Inland.
8 Datenübermittlungen unterliegen als Unterfall der Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO daher grundsätzlich den Rechtmäßigkeitsanforderungen der Art. 6 und 9 DSGVO.
9 Diese sehen für die Verarbeitung von Grunddaten und besonderen Kategorien personenbezogener Daten, wie etwa Gesundheitsdaten, jeweils ein grundsätzliches Verarbeitungsverbot mit Erlaubnisvorbehalt vor. Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO statuieren Ausnahmen von diesem Verbot, die teilweise unmittelbar aus der Verordnung gelten oder aber einer näheren Ausgestaltung durch den nationalen Gesetzgeber bedürfen.
10 Für die Übermittlung von Daten zu Forschungszwecken kommt eine Einwilligung der betroffenen Person in die Übermittlung der personenbezogenen Daten gemäß Art. 9 Abs. 2 lit. a DSGVO oder der gesetzliche Erlaubnistatbestand des Art. 9 Abs. 2 lit. j DSGVO i.V.m. dem mitgliedstaatlichen Recht in Betracht. Mit § 27 Abs. 1 BDSG n.F. hat der deutsche Gesetzgeber auf Basis von Art. 9 Abs. 2 lit. j DSGVO eine solche nationale Regelung für die Verarbeitung besonderer Kategorien personenbezogener Daten zu wissenschaftlichen Forschungszwecken geschaffen.
11 Für den Fall, dass ein deutsches Forschungsinstitut besondere Kategorien personenbezogener Daten in einen anderen EU-Staat übermitteln möchte, kann diese Datenübermittlung somit entweder auf die ausdrückliche Einwilligung der betroffenen Person gemäß Art. 9 Abs. 2 lit. a DSGVO oder auf Art. 9 Abs. 2 lit. j DSGVO i.V.m. § 27 Abs. 1 BDSG n.F. gestützt werden.
Wesentlich problematischer wird es, wenn die aus den verschiedenen Mitgliedstaaten übermittelten personenbezogenen Daten sodann beim Empfänger verarbeitet werden. Denn die DSGVO hat das materielle Datenschutzrecht nicht vollständig harmonisiert, sondern den nationalen Gesetzgebern teilweise eigene Spielräume für nationale Regelungen eingeräumt,
12 sodass auch seit dem Geltungsbeginn der DSGVO am 25. Mai 2018 innerhalb der EU weiterhin eine Reihe unterschiedlicher Datenschutzregelungen bestehen. Es stellt sich daher die Frage, wie sich in Fällen grenzüberschreitender Datenverarbeitung zu Forschungszwecken das im Rahmen der Öffnungsklauseln der DSGVO anwendbare nationale Datenschutzrecht bestimmen lässt.
13
Diese Frage ist insbesondere für den Bereich der medizinischen Forschung virulent, da die DSGVO für diesen Bereich weitreichende Öffnungsklauseln vorsieht, die Raum für eine nationale Ausgestaltung innerhalb des Rahmens der DSGVO lassen. So erlaubt Art. 89 Abs. 2 DSGVO die Einschränkung von Rechten betroffener Personen im nationalen Recht, wenn Daten zu wissenschaftlichen Forschungszwecken verarbeitet werden. Daneben sieht Art. 9 Abs. 2 lit. j DSGVO selbst keine Rechtsgrundlage für die Verarbeitung von Daten zu wissenschaftlichen Forschungszwecken vor, sondern bedarf vielmehr einer Grundlage im nationalen Recht und gibt lediglich den Rahmen für die nationale Ausgestaltung vor.
14 Die Verarbeitung personenbezogener Daten für Forschungszwecke unterliegt daher in weiten Teilen dem an die DSGVO angepassten Recht der Mitgliedstaaten.
15 Daher besteht Konfliktpotenzial, wenn die einzelnen EU-Mitgliedstaaten abweichende Bestimmungen, z. B. in ihren nationalen Forschungsklauseln, aufstellen. In diesem Sinne hat die
EU-Kommission in ihrem am 24. Juni 2020 vorgelegten Evaluationsbericht zur DSGVO betont, dass die Rechtsvorschriften der EU-Mitgliedstaaten bei der Umsetzung der Abweichungen vom generellen Verarbeitungsverbot insbesondere auch für die Verarbeitung personenbezogener Daten zu Gesundheits- und Forschungszwecken unterschiedliche Ansätze verfolgen.
16
Bevor im Folgenden auf unterschiedliche Lösungsansätze eingegangen wird, soll die Problematik zunächst anhand eines Beispiels verdeutlicht werden, um aufzuzeigen, dass die Frage des anwendbaren nationalen Rechts innerhalb der EU auch unter der Rechtslage der DSGVO weiterhin von praktischer Relevanz ist.
Wie soeben beschrieben, gibt die DSGVO den Mitgliedstaaten in Art. 89 Abs. 2 DSGVO die Möglichkeit, Ausnahmen von den in der DSGVO vorgesehenen Betroffenenrechten für den Fall der Verarbeitung von Daten zu Forschungszwecken vorzusehen. So findet in Österreich nach § 2d Abs. 6 Nr. 1 FOG
17 das Auskunftsrecht der betroffenen Person keine Anwendung, wenn durch die Ausübung des Auskunftsrechts die Erreichung von Forschungszwecken ernsthaft beeinträchtigt oder unmöglich gemacht wird. Zwar ist im deutschen Recht nach § 27 Abs 2 S. 1 BDSG n.F.
18 eine Einschränkung des Auskunftsrechts unter den gleichen Voraussetzungen möglich, darüber hinaus besteht das Recht auf Auskunft gemäß § 27 Abs. 2 S. 2 BDSG n.F. aber auch dann nicht, wenn die Daten für Zwecke der wissenschaftlichen Forschung erforderlich sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde.
19 Nach der Gesetzesbegründung kann ein solcher unverhältnismäßiger Aufwand bereits dann vorliegen, wenn ein Forschungsvorhaben mit besonders großen Datenbeständen arbeitet.
20 Nach deutschem Recht werden an die Einschränkung des Auskunftsrecht somit erleichterte Anforderungen gestellt. Die entsprechenden Regelungen unterscheiden sich daher im Hinblick auf die Voraussetzungen, die erfüllt sein müssen, damit von der Erteilung der Auskunft abgesehen werden kann.
Konkret könnte sich daher das folgende Szenario ergeben:
21 Ein Wissenschaftler aus Österreich teilt die Daten aus seinem Datenpool, den er im Rahmen seiner Forschung eingerichtet hat, mit einem Forscher in Deutschland, damit die Daten in Deutschland zu Forschungszwecken verarbeitet werden können. In diesem Fall stellt sich die Frage, ob die betroffenen Personen aus Österreich, deren Daten im Rahmen des Forschungsprojekts in Deutschland verarbeitet werden, ihr Recht auf Auskunft geltend machen können. Dies könnte ihnen verwehrt sein, wenn das Auskunftsrecht nach deutschem Recht nicht bestünde, da die Daten für die wissenschaftliche Forschung erforderlich sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde. Es ist somit fraglich, ob in diesem Szenario das Recht Österreichs oder Deutschlands in Bezug auf das Recht der betroffenen Personen aus Österreich angewendet werden muss.
Wenn das anwendbare Recht das des Mitgliedstaats wäre, in dem die Forschungseinrichtung ihre Tätigkeiten ausübt, könnte sich die Forschungseinrichtung auf die Vorgaben des DSGVO-Umsetzungsgesetzes dieses Landes, im vorliegenden Beispiel also auf deutsches Anpassungsrecht, berufen. Wenn jedoch das anwendbare Recht davon abhängen würde, wo die Einzelpersonen, deren Daten im Rahmen des Forschungsprojekts verarbeitet werden, niedergelassen sind, so müsste die Forschungseinrichtung unterschiedliche Regeln je nach Herkunftsland der betroffenen Personen, von denen die Daten stammen, anwenden.
Das Beispiel hat aufgezeigt, dass Konfliktpotenzial bestehen kann, wenn die einzelnen EU-Mitgliedstaaten abweichende Bestimmungen, z. B. in ihren nationalen Forschungsklauseln, aufstellen. Jede nationale Bestimmung kann potenziell zu einem Gesetzeskonflikt zwischen zwei oder mehreren Mitgliedstaaten führen.
22 Es stellt sich daher die Frage, nach welchen Regeln sich die Anwendung des nationalen Datenschutzrechts bestimmt, welches aufgrund der zahlreichen Öffnungsklauseln fortbestehen konnte oder neu erlassen wurde.
23
2.1 Bestimmung des im Rahmen der Öffnungsklauseln der DSGVO anwendbaren nationalen Datenschutzrechts in Fällen grenzüberschreitender Datenverarbeitung innerhalb der EU zu Forschungszwecken
Obwohl das mitgliedstaatliche Recht aufgrund der in der DSGVO enthaltenen Öffnungsklauseln teilweise divergiert, sieht die DSGVO keine Kollisionsnorm zur Ermittlung des konkret anwendbaren mitgliedstaatlichen DSGVO-Anpassungsrechts vor.
24 In Art. 3 DSGVO finden sich allein Regelungen zum räumlichen Anwendungsbereich der DSGVO selbst, jedoch keine Kriterien zur Bestimmung des im Rahmen der Öffnungsklauseln der DSGVO anwendbaren nationalen Datenschutzrechts.
25 Das Fehlen einer solchen allgemeinen Kollisionsnorm wird auf den mit dem Erlass der DSGVO angestrebten einheitlichen Rechtsrahmen zum Datenschutz in der Union zurückgeführt, bei dessen Erlass sich die Frage nach dem anwendbaren mitgliedstaatlichen Datenschutzrecht nicht mehr gestellt hätte.
26 Im Unterschied dazu war in Art. 4 DSRL
27 noch eine Regelung zum anwendbaren einzelstaatlichen Recht zu finden. Auch diese konnte zwar nicht jedes kollisionsrechtliche Problem lösen, gab jedoch für die meisten Anwendungsfälle klare Richtlinien vor.
28 So kam nach Art. 4 Abs. 1 lit. a DSRL grundsätzlich das Recht eines Mitgliedstaates auf alle Datenverarbeitungen zur Anwendung, die im Rahmen der Tätigkeit einer Niederlassung durchgeführt wurden, die der Verantwortliche im Hoheitsgebiet des Mitgliedstaates besitzt.
29 Durch das Fehlen einer solchen oder ähnlichen Kollisionsregelung in der DSGVO wird die Vorhersehbarkeit des für eine grenzüberschreitende Datenverarbeitung maßgeblichen nationalen Datenschutzrechts und mithin die Rechtssicherheit für die datenschutzrechtlich Verantwortlichen und betroffenen Personen erheblich erschwert.
30
2.1.1 Unterschiedliche Lösungsansätze
Vor dem Hintergrund dieser ungelösten Problematik werden unterschiedliche Lösungsansätze vorgeschlagen, die im Folgenden diskutiert werden.
2.1.1.1 Abgrenzung über nationale Kollisionsnormen
Die nationalen Gesetzgeber vertreten grundsätzlich die Auffassung, dass jeder Mitgliedstaat durch eigene Normen zum Anwendungsbereich die räumliche Anwendbarkeit seines DSGVO-Anpassungsgesetzes bestimmen könne.
31 Den Mitgliedstaaten stehe mithin die Kompetenz zu, selbst kollisionsrechtliche Regelungen zu erlassen.
32
Zutreffend ist zwar, dass die Kompetenz zur Regelung des räumlichen Anwendungsbereichs der nationalen Datenschutzgesetze als Annex zu den in der DSGVO enthaltenen Öffnungsklauseln zu verstehen ist.
33 Problematisch daran ist jedoch, dass die jeweiligen mitgliedstaatlichen Klauseln voneinander divergierende Anknüpfungskriterien vorsehen und mithin zu Kollisionskonflikten führen können.
34 So ist nach deutschem Recht für nichtöffentliche Stellen unter anderem gemäß § 1 Abs. 4 S. 2 Nr. 1 BDSG n.F. der Ort der Datenverarbeitung maßgeblich. Damit stellt die Vorschrift auf ein Kriterium ab, von dem der europäische Gesetzgeber in Art. 3 DSGVO selbst Abstand genommen hat.
35 Im österreichischen Datenschutzgesetz (DSG)
36 ist die Regelungen des § 3 DSG, die den räumlichen Anwendungsbereich betraf, hingegen mit Ablauf des 31. Dezember 2019 außer Kraft getreten, da der Gesetzgeber die Bestimmungen in Art. 3 der DSGVO zum räumlichen Anwendungsbereich als ausreichend ansah.
37 Der Art. 3 DSGVO selbst lässt den Ort der Verarbeitung außer Betracht und stellt für die räumliche Anwendbarkeit in Art. 3 Abs. 1 DSGVO auf den Ort der Niederlassung des Verantwortlichen oder Auftragsverarbeiters ab.
38 Zutreffenderweise wird daher darauf hingewiesen, dass die auf den Ort der Datenverarbeitung abstellende Regelung in § 1 Abs. 4 S. 2 Nr. 1 BDSG n.F. in einem „Spannungsfeld“
39 zu Art. 3 DSGVO sowie zu etwaigen Datenschutzgesetzen anderer Mitgliedstaaten stehe.
40 Daneben bestimmt § 1 Abs. 4 BDSG n.F. lediglich, welche Sachverhalte mit Auslandsberührung das deutsche Datenschutzrecht erfassen will und damit nur den Anwendungsbereich des BDSG n.F. selbst.
41
Diese Abgrenzung über nationale Kollisionsnormen ist daher aufgrund der Kollisionskonflikte sowie der Unvorhersehbarkeit des anwendbaren nationalen Rechts ungeeignet.
42
2.1.1.2 Öffnungsklauseln der DSGVO als Kollisionsnormen
Teilweise wird daher angenommen, dass sich dem Wortlaut der Öffnungsklauseln der DSGVO selbst Kollisionsregelungen entnehmen ließen.
43 Dazu sei eine Einteilung der Öffnungsklauseln in Gruppen erforderlich. So gäbe es einerseits Öffnungsklauseln, wie den Art. 6 Abs. 3 lit. b DSGVO, nach der „die Rechtsgrundlage für Verarbeitungen gemäß Absatz 1 Buchstaben c und e […] festgelegt [wird] durch […] das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt“. Der Zusatz „dem der Verantwortliche unterliegt“ stellt nach diesem Ansatz eine Kollisionsnorm in dem Sinne dar, dass für den Regelungsbereich der Öffnungsklausel das Recht des Mitgliedstaates gelte, in dem der Verantwortliche seine Hauptverwaltung habe und mithin das anwendbare nationale Recht nach dem Sitzlandprinzip zu bestimmen sei.
44 An welchem Ort die Verarbeitung stattfinde oder wo sich die betroffene Person aufhalte, sei hingegen nicht von Bedeutung.
45 Jedoch beantwortet der Zusatz „dem der Verantwortliche unterliegt“ nicht die Frage nach dem jeweils anwendbaren Recht, sondern setzt vielmehr selbst voraus, dass die Verordnung Bedingungen präzisiert, unter denen der für die Verarbeitung Verantwortliche dem Recht eines bestimmten Mitgliedstaates unterliegt.
46
Daneben gäbe es andererseits Öffnungsklauseln, wie den für die wissenschaftliche Forschung relevanten Art. 9 Abs. 2 lit. j DSGVO, die die Verarbeitung „auf der Grundlage […] des Rechts eines Mitgliedstaats“ erlauben. Diesbezüglich wird angenommen, dass durch die Anknüpfung an den Ort der Verarbeitung, das Recht dieses Ortes für die Datenverarbeitung maßgeblich sei. Wo sich der Verantwortliche oder Auftragsverarbeiter tatsächlich befinde, sei hingegen nicht entscheidend.
47 Jedoch sind diese Zusätze in den Öffnungsklausen nicht als Kollisionsregelungen einzuordnen, sondern vielmehr als Präzisierung der im Recht des Mitgliedstaates verankerten Rechtsgrundlage.
48 Zudem enthalten nicht alle Öffnungsklauseln derartige Zusätze, sodass selbst bei der Annahme des Bestehens von Kollisionsregelungen in den Öffnungsklauseln, nach denen das anwendbare nationale Recht im jeweiligen Einzelfall ermittelt werden könnte, die grundsätzliche Problematik nicht vollständig gelöst würde.
49 Mithin führt dieser Ansatz, wenn überhaupt, zu einer „lückenhaften Regelungssystematik“
50.
2.1.1.3 Art. 3 DSGVO als Anknüpfungspunkt für eine Intra-EU-Kollisionsnorm
Mangels Vorliegens einer Kollisionsnorm in der DSGVO wird teilweise auf Art. 3 DSGVO zurückgegriffen und angenommen, dass sich gemäß Art. 3 Abs. 1 DSGVO das anwendbare Recht nach dem Ort des Sitzes der verantwortlichen Stelle bzw. nach dem Ort des Sitzes von deren Niederlassung bestimme.
51 Für die Anwendbarkeit des geltenden nationalen Datenschutzrechts könne dann nichts anderes gelten.
52 In dem obigen Beispiel würde somit auch auf die betroffenen Personen aus Österreich deutsches Recht Anwendung finden, sodass diese ihr Recht auf Auskunft nicht gelten machen könnten, wenn die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde.
Hierbei wird jedoch übersehen, dass die Mitgliedstaaten nicht daran gebunden sind, ihre nationalen Datenschutzbestimmungen an Art. 3 DSGVO anzupassen, da diese Norm nur den räumlichen Anwendungsbereich der Verordnung selbst regelt.
53 Die Vorschrift beantwortet jedoch für den Fall der räumlichen Anwendbarkeit der DSGVO nicht die Frage, welches nationale Recht im Einzelnen Anwendung findet.
54
Auch eine analoge Anwendung des Art. 3 DSGVO auf mitgliedstaatliche Regelungen kommt nicht in Betracht.
55 Zutreffend geht
Laue davon aus, dass es dafür bereits am Vorliegen einer planwidrigen Regelungslücke fehle, da bereits die Vorentwürfe zur DSGVO in unterschiedlichem Umfang Öffnungsklauseln enthielten, der EU-Gesetzgeber während des mehr als vierjährigen Gesetzgebungsverfahrens trotz Kenntnis des Art. 4 Abs. 1 lit. a DSRL jedoch keine Kollisionsnorm in den Normtext aufgenommen habe.
56 Hinzu kommt, dass der
Europäische Datenschutzbeauftragte bereits früh auf das Fehlen einer Bestimmung, mit der der räumliche Anwendungsbereich mitgliedstaatlichen Rechts klargestellt werden kann, hingewiesen hatte.
57 Es ist folglich nicht anzunehmen, dass der europäische Gesetzgeber es aufgrund des Zeitdrucks in den Trilogverhandlungen versäumt hat, eine Kollisionsnorm aufzunehmen, sondern eine solche vielmehr nicht für notwendig erachtete.
58
2.1.1.4 Kriterien des internationalen Privatrechts
Da die Frage des anwendbaren Rechts grundsätzlich zentraler Gegenstand des internationalen Privatrechts ist, greift eine andere Auffassung für die Bestimmung des jeweils anzuwendenden Rechts auf das allgemeine Kollisionsrecht in den Rom-Verordnungen zurück.
59 Dabei regelt die Rom I-VO
60 das auf vertragliche Schuldverhältnisse anzuwendende Recht, während die Rom II-VO
61 das auf außervertragliche Verpflichtungen anzuwendende Recht bestimmt.
Die Rom II-VO, die sich mit dem Konflikt von Gesetzen über nichtvertragliche Beziehungen befasst, hilft in diesem Zusammenhang nicht weiter. Denn außervertragliche Schuldverhältnisse, die aus der Verletzung der Privatsphäre oder der Persönlichkeitsrechte folgen, fallen gemäß Art. 1 Abs. 2 lit. g Rom II-VO nicht in den sachlichen Anwendungsbereich der Rom II-VO.
62 Mit den persönlichkeitsrechtlichen Ansprüchen werden somit auch die datenschutzrechtlichen Ansprüche vom Anwendungsbereich der Rom II-VO ausgenommen.
63
Möglicherweise kann aber die Rom I-VO zur Beantwortung dieser Frage beitragen. Dies würde zunächst voraussetzen, dass eine vertragliche Beziehung zwischen dem Forscher und der betroffenen Person besteht. Bei einem weiten Verständnis des Begriffs des vertraglichen Schuldverhältnisses,
64 könnte man durchaus annehmen, dass auch datenschutzrechtliche Einwilligungen in die Verarbeitung zu Forschungszwecken als einseitige Verpflichtungen in den Anwendungsbereich der Rom I-VO fallen.
65 Das anwendbare nationale Datenschutzrecht würde sich dann nach Art. 6 Abs. 1 Rom I-VO bestimmen, nach dem das Recht des gewöhnlichen Aufenthalts des Verbrauchers, also der datenschutzrechtlich betroffenen Person, anzuwenden ist. Hingegen dürfte bei den gesetzlichen Erlaubnistatbeständen der DSGVO und mithin auch für den im Forschungsbereich relevanten Art. 9 Abs. 2 lit. j DSGVO kein solches Schuldverhältnis anzunehmen sein. Somit kann der Rückgriff auf das allgemeine Kollisionsrecht in den Rom-Verordnungen nur Antwort in Bezug auf Datenverarbeitungen geben, die sich auf den Zulässigkeitstatbestand der datenschutzrechtlichen Einwilligungen stützen, und mithin nur für einen Teil der Datenverarbeitungen im Forschungskontext.
Unter diesen Voraussetzungen ist es mehr als fraglich, ob die Beantwortung der Frage nach dem anwendbaren Recht in Abhängigkeit von der Art der Beziehung zwischen dem Verantwortlichen und der betroffenen Person wünschenswert sein sollte.
66
2.1.1.5 Alternativ: Rückgriff auf das autonome Kollisionsrecht
Daneben erscheint ein Rückgriff auf das autonome Kollisionsrecht möglich. Da die Rom II-VO nicht für Schuldverhältnisse gilt, die sich aus der Verletzung von Persönlichkeitsrechten ergeben, bleibt Art. 40 des Einführungsgesetzes zum Bürgerlichen Gesetzbuche (EGBGB) die maßgebliche Kollisionsnorm für Persönlichkeitsrechtsverletzungen.
67
Gemäß Art. 40 Abs. 1 S. 1 EGBGB richtet sich das anwendbare Recht grundsätzlich nach dem Recht des Handlungsortes. Abweichend hiervon kann der Verletzte gemäß Art. 40 Abs. 1 S. 2 EGBGB verlangen, dass das Recht des Erfolgsortes anzuwenden ist. In der Sprache des Datenschutzes wäre der Handlungsort die EU-Niederlassung des datenschutzrechtlich Verantwortlichen und der Erfolgsort der gewöhnliche Aufenthaltsort der betroffenen Person.
68
Bisher wurde teilweise davon ausgegangen, dass sich die datenschutzrechtliche Bewertung unabhängig von dem zugrunde liegenden zivilrechtlichen Rechtsverhältnis zwischen den Beteiligten nach den spezielleren datenschutzrechtlichen Kollisionsnormen richte.
69 Dies wurde damit begründet, dass der § 1 Abs. 5 BDSG a.F. dem Art. 40 EGBGB als lex specialis für solche Ansprüche vorgehe, die sich aus der unrechtmäßigen Verarbeitung personenbezogener Daten ergeben. Denn andernfalls würde Art. 40 EGBGB die datenschutzrechtlichen Vorgaben aus Art. 4 DSRL zu kollisionsrechtlichen Regelungen überspielen, die der § 1 Abs. 5 BDSG a.F. im nationalen Kollisionsrecht umsetzte.
70 Dieses Argument kann nun jedoch mangels kollisionsrechtlicher Regelung in der DSGVO, die durch Art. 40 EGBGB umgangen werden könnte, nicht mehr angeführt werden.
Die Anwendung des Art. 40 EGBGB kann sich jedoch unabhängig davon als problematisch erweisen, wenn das autonome Kollisionsrecht auf einen dritten EU-Staat verweist, in dem die Verarbeitung stattfindet, während das Datenschutzrecht desselben Staates auf das Recht dieses Staates verweist. Solche Fragen, die durch das Zusammenspiel von internationalem Privatrecht und Datenschutzrecht verursacht werden, würden die Unsicherheit in Bezug auf das anwendbare Recht wohl nur weiter verstärken.
71
2.2 Zwischenfazit
Die Untersuchung der möglichen Lösungsansätze zur Frage des anwendbaren nationalen Rechts unter der DSGVO hat gezeigt, dass bislang keine überzeugende Lösung vorhanden ist und mithin die Rechtsunsicherheit hinsichtlich des anwendbaren mitgliedstaatlichen Anpassungsrechts weiterhin bestehen bleibt.
Neben der Forderung nach dem Erlass von spezifischem Kollisionsrecht
72 wurde in der Literatur insbesondere auch ausdrücklich darauf hingewiesen dass der europäische Gesetzgeber die Gelegenheit nutzen solle, im Zuge der erstmaligen Überprüfung der DSGVO durch die
EU-Kommission im Jahr 2020 einfache und praxisgerechte Kollisionsnormen in die DSGVO aufzunehmen.
73
Diese in Art. 97 Abs. 1 DSGVO vorgeschriebene Bewertung und Überprüfung durch die
EU-Kommission musste dem
Europäischen Parlament sowie dem
Rat bis zum 25. Mai 2020 vorgelegt werden. Gemäß Art. 97 Abs. 4 DSGVO hat die
Kommission bei der Bewertung und Überprüfung die Standpunkte des
Parlaments, des
Rates sowie anderer Stellen zu berücksichtigen. Viele Stellen haben daher die Gelegenheit genutzt, auf die Zukunft der DSGVO mit eigenen Stellungnahmen Einfluss zu nehmen.
74 So stellte etwa der
Bundesrat in diesem Zusammenhang klar, dass er die vom
Rat eröffnete Diskussion über Kollisionsregelungen zur Klärung der personalen und territorialen Reichweite einer nationalen Datenschutzbestimmung begrüße.
75
Auch der
Rat selbst erkannte an, dass die Tatsache, dass die DSGVO den nationalen Gesetzgebern Spielräume lasse, um spezifischere Bestimmungen beizubehalten oder einzuführen, zu Rechtsunsicherheit hinsichtlich des anwendbaren Rechts zwischen den Mitgliedstaaten in Situationen führen könne, in denen das nationale Recht von zwei Mitgliedstaaten auf eine einzige Verarbeitungstätigkeit anwendbar sei.
76 Gleichzeitig stellte er jedoch fest, dass die DSGVO und die sie ergänzenden nationalen Vorschriften erst seit kurzer Zeit angewendet würden. Da die sektorspezifische Gesetzgebung in vielen Mitgliedstaaten noch überarbeitet würde, sei es daher zu früh, endgültige Schlussfolgerungen über den Gesamtgrad der rechtlichen Fragmentierung in der
Europäischen Union zu ziehen. Zunächst sei es nach Ansicht des
Rates nützlich, ein besseres Verständnis dafür zu erlangen, wie sich das Problem der Überschneidung territorialer Bereiche der nationalen Gesetze zur Umsetzung der DSGVO auf die für die Verarbeitung Verantwortlichen ausgewirkt habe und wie sie mit solchen Situationen umgingen.
77
Am 24. Juni 2020 hat die
EU-Kommission sodann ihren Evaluationsbericht zur DSGVO vorgelegt.
78 Darin hat sie anerkannt, dass die Rechtsvorschriften der Mitgliedstaaten bei der Umsetzung der Abweichungen vom generellen Verarbeitungsverbot insbesondere auch für die Verarbeitung personenbezogener Daten zu Forschungszwecken unterschiedliche Ansätze verfolgen. Um dieses Problem zu beheben, hat die
Kommission angekündigt, eine Aufstellung der verschiedenen Konzepte der Mitgliedstaaten vorzunehmen und anschließend die Ausarbeitung von Verhaltenskodizes zu unterstützen, um auf dieses Weise zu einem einheitlicheren Ansatz in diesem Bereich beizutragen und die grenzüberschreitende Verarbeitung personenbezogener Daten zu erleichtern.
79 Zudem sollen durch den
Europäischen Datenschutzausschuss Leitlinien zur Verarbeitung von personenbezogenen Daten in der wissenschaftlichen Forschung erarbeitet werden, die zu einer Vereinheitlichung beitragen sollen.
80 Was die mögliche Rechtskollision aufgrund der Anwendung von Öffnungsklauseln durch die Mitgliedstaaten betrifft, schließt sie sich der Ansicht des
Rates an, nach der es zunächst eines besseren Verständnisses der Folgen für die Verantwortlichen und die Auftragsverarbeiter bedürfe.
81
Diese Evaluation wird hoffentlich dazu führen, dass spätestens im Zuge der nächsten Überprüfung der DSGVO im Jahre 2024 praxisgerechte Kollisionsnormen in die DSGVO aufgenommen werden, um Rechtssicherheit hinsichtlich der Bestimmung des im Rahmen der Öffnungsklauseln der DSGVO anwendbaren nationalen Datenschutzrechts in Fällen grenzüberschreitender Datenverarbeitung zu schaffen. In der Zwischenzeit bleibt abzuwarten, ob der
EuGH oder der
Europäische Datenschutzausschuss eine der diskutierten Lösungsmöglichkeiten unterstützen werden.
82 Bis auf europäischer Ebene eine Lösung gefunden wird, verbleibt die Bestimmung des anzuwendenden nationalen Anpassungsrechts nach Maßgabe der jeweiligen nationalen Regelung zur räumlichen Anwendbarkeit des DSGVO-Anpassungsgesetzes – auch wenn dies nicht in jedem Fall ohne Kollisionskonflikte zwischen den jeweiligen DSGVO-Anpassungsgesetzen möglich sein wird. Im deutschen Recht findet sich die Bestimmung zum räumlichen Anwendungsbereich des BDSG n.F. in § 1 Abs. 4 BDSG n.F.
4 Zusammenfassung
Voraussetzung für die Zusammenarbeit in länderübergreifenden Forschungsprojekten ist die Übermittlung von Daten über Ländergrenzen hinweg. Dabei wirft der Datenverkehr innerhalb der Europäischen Union, der unter den gleichen Voraussetzungen wie eine inländische Datenübermittlung vorzunehmen ist, zunächst keine besonderen Fragestellungen auf. Jedoch wird die Bestimmung des jeweils im Rahmen der Öffnungsklausel anwendbaren nationalen Rechts durch das Fehlen einer allgemeinen Kollisionsnorm erheblich erschwert. Vor diesem Hintergrund werden in der Literatur verschiedene Lösungsmöglichkeiten diskutiert, die jedoch nicht vollends überzeugen können. Eine endgültige Lösung wird sich nur auf europäischer Ebene finden lassen. Auf eine schnelle Lösung ist dort jedoch nicht zu hoffen, wie die jüngsten Aussagen der Europäischen Kommission gezeigt haben.
Datenübermittlungen in Staaten außerhalb der EU bringen ihre eigenen, anders gelagerten Fragestellungen mit sich. So sind die Vorschriften des Kapitels V der DSGVO auch zu berücksichtigen, wenn die DSGVO aufgrund ihres räumlichen Anwendungsbereichs auf die Datenverarbeitung im Drittland bereits Anwendung findet. Diese sehen keine speziellen Erleichterungen für die Übermittlung personenbezogener Daten an Drittstaaten im Forschungskontext vor, insbesondere dürfte der Art. 49 Abs. 1 S. 2 DSGVO nur vereinzelt zur Anwendung kommen.
Abschließend lässt sich somit festhalten, dass die Datenverarbeitung zu medizinischen Forschungszwecken im internationalen Kontext unter der Rechtslage der DSGVO zu neuen juristischen Herausforderungen führt und zwar sowohl innerhalb der Europäischen Union als auch im Verhältnis zu Drittstaaten.