Multizentrische Forschungsvorhaben mit Gesundheitsdaten scheiterten in der Vergangenheit häufig am hohen Abstimmungsaufwand mit den zuständigen Aufsichtsbehörden. Ursache waren insbesondere unterschiedliche Anforderungen an Dokumentations- und Informationspflichten sowie an die Durchführung einer Datenschutzfolgeabschätzung (DSFA). Vor diesem Hintergrund zielte § 5 des am 26. März 2024 in Kraft getretenen GDNG darauf ab, Abstimmungen mit Aufsichtsbehörden zu vereinfachen ohne zugleich den Gesundheitsdatenschutz abzusenken. In ihrer Orientierungshilfe zur Zusammenarbeit mehrerer Aufsichtsbehörden im Rahmen von § 5 GDNG konkretisiert die Datenschutzkonferenz (DSK) nun, wie das Anzeigeverfahren funktionieren soll und für Forschungskonsortien umzusetzen ist.
Datenschutzaufsichtsrechtliche Zuständigkeit nach § 5 GDNG
Der § 5 GDNG regelt die datenschutzaufsichtsrechtliche Zuständigkeit bei Forschungsvorhaben der Gesundheits- und Versorgungsforschung, an denen mehrere Stellen beteiligt sind, für die grundsätzlich unterschiedliche Datenschutzaufssichtsbehörden zuständig wären. Damit schafft diese Regelung einen speziellen Koordinierungs- und Zuständigkeitsmechanismus für komplexe, länderübergreifende Forschungskonstellationen. Zu diesem Zweck sieht die Regelungen vor, dass entweder nach den Absätzen 1 – 3 eine Datenschutzaufsichtsbehörde als federführend tätig wird und die Zusammenarbeit der beteiligten Aufsichtsbehörden koordiniert oder alternativ unter den sehr engen Voraussetzungen des Absatzes 4 eine Aufsichtsbehörde allein zuständig ist. Auf diese Weise sollen insbesondere Mehrfachabstimmungen, abweichende behördliche Anforderungen und daraus resultierende Verzögerungen reduziert werden. Hingegen soll die fachliche Zuständigkeit der einzelnen Aufsichtsbehörden im Grundsatz erhalten bleiben.
Wann ist die federführende Aufsicht nach § 5 Abs. 1–3 GDNG möglich?
Die Datenschutzkonferenz konkretisiert in ihrer Orientierungshilfe die Voraussetzungen, unter denen eine federführende Datenschutzaufsicht nach § 5 Abs. 1–3 GDNG in Betracht kommt, und arbeitet dabei drei wesentliche Anforderungen heraus:
Zunächst muss es sich um ein einheitliches Vorhaben der Gesundheits- oder Versorgungsforschung im Sinne des GDNG handeln. Hierfür müssen die beteiligten Stellen durch einen inhaltlichen Zusammenhang der Forschungsfragen und eine gemeinsame wissenschaftliche Zielrichtung verbunden sein. Hierzu genügen eine bloß lose thematische Nähe oder parallel laufende Einzelprojekte nicht. Weiterhin müssen an dem Vorhaben mehrere Stellen beteiligt sein, die jeweils als eigenständig Verantwortliche im datenschutzrechtlichen Sinne handeln, also gerade nicht gemeinsame Verantwortliche nach Art. 26 DSGVO sind.
Schließlich knüpft die Bestimmung der federführenden Aufsichtsbehörde an das objektiv, formale Kriterien des Art. 83 DSGVO zur Verhängung von Geldbußen an, indem grundsätzlich den größte Jahresumsatz einer beteiligten Stelle im vorangegangenen Geschäftsjahr als für die Federführung maßgeblich ansieht. Hilfsweise ist die Anzahl der Beschäftigten, die ständig automatisiert personenbezogene Daten im Sinne von § 38 BDSG verarbeiten, heranzuziehen.
Wann ist eine Aufsichtsbehörde nach § 5 Abs. 4 GDNG allein zuständig?
§ 5 Abs. 4 GDNG eröffnet eine eng begrenzte Ausnahme von der ansonsten nur koordinierenden Federführung, indem für bestimmte Forschungsvorhaben eine alleinige Zuständigkeit einer Datenschutzaufsichtsbehörde begründet wird. Voraussetzung ist, dass mehrere nicht-öffentliche Stellen an dem Vorhaben beteiligt sind, die gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden und damit gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO sind, aber für die ohne Anwendung des § 5 GDNG unterschiedliche Landesdatenschutzaufsichtsbehörden zuständig wären.
Anzeigeverfahren: Was muss eingereicht werden und wo?
Das Anzeigeverfahren nach § 5 GDNG bildet den formalen Ausgangspunkt für die Bestimmung einer federführenden (oder allein zuständigen) Datenschutzaufsichtsbehörde und ist nach der Orientierungshilfe der Datenschutzkonferenz als gemeinsamer Akt aller am Forschungsvorhaben beteiligten Stellen ausgestaltet. Die Anzeige ist von sämtlichen beteiligten Verantwortlichen gemeinsam bei allen Datenschutzaufsichtsbehörden einzureichen, die ohne Anwendung des § 5 GDNG jeweils zuständig wären. Hierbei kann eine Stelle mit entsprechender Vertretungsmacht für die übrigen Beteiligten auftreten.
Inhaltlich muss die Anzeige insbesondere Angaben zu den beteiligten Stellen, zum Forschungsvorhaben und zu den jeweils verantworteten Verarbeitungsvorgängen enthalten. Darüber hinaus müssen die Tatsachen dargelegt werden, aus denen sich die federführende oder alleinige Zuständigkeit einer bestimmten Aufsichtsbehörde ergibt. Dies kann etwa durch Nachweise zum maßgeblichen Jahresumsatz oder ersatzweise zur Zahl der einschlägig beschäftigten Mitarbeitenden geschehen. Insbesondere muss die Anzeige den Willen des Forschungskonsortiums erkennen lassen, dass eine federführende Aufsicht beabsichtigt wird und welche Aufsichtsbehörde aus Sicht der anzeigenden Stellen die Aufsicht übernehmen soll.
Maßgeblich für die Zuständigkeitsbestimmung ist der Zeitpunkt des Eingangs der Anzeige bei den Aufsichtsbehörden. Spätere Änderungen der zugrunde gelegten Umsatz- oder Beschäftigtenzahlen bleiben unbeachtlich. Ebenso ist eine formale Rücknahme der Anzeige gesetzlich nicht vorgesehen. Allerdings kann eine erneute Anzeige erforderlich werden, wenn sich der Kreis der beteiligten Stellen während des laufenden Forschungsvorhabens ändert.
Was bewirkt § 5 GDNG?
In der Praxis verändert § 5 GDNG vor allem die Organisation der Aufsicht. Hingegen nicht die grundlegenden datenschutzrechtlichen Anforderungen an Forschungsvorhaben. Forschungskonsortien müssen frühzeitig und präzise klären, in welcher Rolle die beteiligten Stellen handeln. Die Abgrenzung zwischen eigenständiger Verantwortlichkeit und gemeinsamer Verantwortlichkeit ist maßgeblich dafür, ob lediglich eine federführende Aufsicht nach § 5 Abs. 1–3 GDNG oder eine alleinige Zuständigkeit nach § 5 Abs. 4 GDNG in Betracht kommt. Die Anzeige nach § 5 GDNG wird damit zu einem zentralen Projektschritt, der belastbare Angaben zu Umsätzen oder Beschäftigtenzahlen sowie eine konsortial abgestimmte Darstellung des Forschungsvorhabens erfordert und organisatorisch vorbereitet werden muss.
Zugleich ist klarzustellen, dass die federführende Aufsicht keine vollständige Bündelung der Aufsicht bewirkt. Auch nach Anzeige bleibt es bei einer Mehrbehördenkonstellation, in der die federführende Behörde lediglich koordinierend tätig wird und die übrigen Aufsichtsbehörden ihre Zuständigkeiten und Befugnisse behalten. Verantwortliche müssen daher weiterhin in der Lage sein, gegenüber mehreren Aufsichtsbehörden auskunfts- und rechenschaftsfähig zu sein. Hinzu kommt, dass Änderungen im Konsortium – etwa der Beitritt oder das Ausscheiden von Projektpartnern – regelmäßig eine erneute Anzeige erforderlich machen können. So wird § 5 GDNG zu einem dynamischen Governance-Thema im Projektverlauf.
Fazit
Die Orientierungshilfe der Datenschutzkonferenz konkretisiert § 5 GDNG als Instrument zur besseren Koordination der Datenschutzaufsicht in der Gesundheitsforschung. Die bestehenden Zuständigkeitsstrukturen werden dabei nicht grundlegend verändert. Die Orientierungshilfe schafft insbesondere Klarheit zu den Voraussetzungen, zum Anzeigeverfahren und zur Reichweite der federführenden Aufsicht. Dadurch erhöht sie die Planbarkeit komplexer Forschungsvorhaben. Zugleich verdeutlicht sie die Grenzen der Regelung deutlich. Der § 5 GDNG bietet vor allem verfahrensrechtliche Erleichterungen, ersetzt jedoch keine sorgfältige datenschutzrechtliche Ausgestaltung der Forschungsvorhaben.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
