Ziel der Datenschutz-Grundverordnung (DSGVO) ist es, eine Verordnung für die Verarbeitung von personenbezogenen Daten in der Europäischen Union zu schaffen, die zum Schutz von natürlichen Personen bei der Verarbeitung personenbezogener Daten dient und zugleich die Gewährleistung des freien Verkehrs solcher Daten bietet.
Die Vielzahl nationaler Datenschutzregime wurde abgelöst und vereinheitlicht. Durch die Möglichkeiten der DSGVO gibt es jedoch weiterhin eine gewisse Rechtspluralität durch die bestehenden Datenschutzvorschriften von Kirchen.
Was passiert nun, wenn Verantwortliche der DSGVO und der kirchlichen Datenschutzgesetze im Rahmen einer gemeinsamen Verantwortlichkeit, zum Beispiel bei medizinischen Studien, zusammenstoßen?
Für diesen in der Praxis häufig auftretenden Fall gibt es bisher kaum verbindliche Regelungen, aber dennoch Strategien zum Umgang. Zur rechtlichen und vertraglichen Bewertung ist es zunächst erforderlich, bei Kooperationen die Art der Verantwortlichkeit festzustellen und voneinander abzugrenzen.
Dank der Ausnahmeregelungen des Art. 91 DSGVO kann es sich bei den Arten der Verantwortlichkeit neben Verantwortlichen der DSGVO auch um kirchliche Verantwortliche handeln. In der Praxis können diese Verantwortlichen nicht isoliert betrachtet werden, denn es bestehen viele Kooperationen zwischen kirchlichen Einrichtungen und nichtkirchlichen Stellen.
In vielen Fällen sind daher Einrichtungen, die der DSGVO unterliegen, gemeinsam mit kirchlichen Stellen für die Verarbeitung verantwortlich. Bei einer Betrachtung der möglichen Einsatzszenarien kommt insbesondere die medizinische Forschung infrage, zum Beispiel im Rahmen von institutsübergreifender Forschung oder auch klinischen Arzneimittelstudien mit mehreren Mitwirkenden wie Sponsoren und Studienzentren.
Hierbei stellt sich die Frage, wie eine Vereinbarung zur gemeinsamen Verantwortlichkeit formuliert werden muss und wie sich die Verantwortlichkeit der Aufsichtsbehörden verhält, wenn es sich bei den gemeinsam Verantwortlichen sowohl um welche im Geltungsbereich der DSGVO als auch der kirchlichen Datenschutzgesetze handelt. Bei der Vielzahl der konfessionellen Träger im Gesundheitswesen ist dieses Konstrukt in der Praxis relevant.
Es empfiehlt sich insbesondere bei der Auflistung der Verpflichtungen eine Synopse der jeweils beteiligten Gesetze und Aufsichtsbehörden zu erstellen und Abweichungen festzuhalten.
Aufgrund des erforderlichen Einklangs gemäß Art. 91 Absatz 1 DSGVO sind die Abweichungen punktuell, können aber zum Beispiel bei den Rechtsgrundlagen oder den Betroffenenrechten bestehen.
Die Gestaltung einer Vereinbarung steht immer unter dem Vorbehalt zukünftiger Entscheidungen und Positionen. Verantwortlichen wird empfohlen, sich der Unterschiede der beteiligten Gesetze je nach angestrebter gemeinsamer Verantwortlichkeit bewusst zu sein und zu vereinbaren, wie mit diesen umgegangen werden soll. Gerne unterstützen wir Sie dabei. Jetzt Kontakt aufnehmen!