Konferenz der DSK: Beschlüsse zu "Asset Deal", Patientenakten und KI

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat auf ihrer Zwischenkonferenz am 11. September 2024 eine Vielzahl unterschiedlicher Themengebiete behandelt. Die Ergebnisse der ganztägigen Videokonferenz fasst der DSK-Vorsitzende, der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Alexander Roßnagel, wie folgt zusammen:

„Entsprechend ihrem Selbstverständnis hat die DSK aktuelle, praktische Fragen des Datenschutzes aufgegriffen, um ihre Rechtsauffassungen abzustimmen und ihre Aufsichtspraxis zu harmonisieren. Daneben hat sie schwierige Datenschutzfragen hinsichtlich der Herstellung und Anwendung von Systemen Künstlicher Intelligenz (KI) diskutiert. Insgesamt trägt sie mit ihren Erörterungen und Ergebnissen zu mehr Rechtssicherheit im Datenschutzrecht bei.“

Künstliche Intelligenz konstruktiv begleiten

Auf dem Gebiet der KI beabsichtigt die DSK, die Entwicklungen zielführend und konstruktiv zu begleiten. Zentrales Ziel soll dabei sein, Anforderungen und Handlungsempfehlungen zu entwickeln, um KI datenschutzkonform zu realisieren. Hierfür ist es erforderlich aufzuzeigen, wie den Zielen der DSGVO unter Berücksichtigung der KI- Verordnung in einer Welt der künstlichen Intelligenz größtmöglich Geltung verschafft werden kann.

Für die Praxis von Datenverarbeitenden und betroffenen Personen sind vor allem drei Ergebnisse der Tagung von besonderer Bedeutung:

Die DSK ersetzt ihren Beschluss vom 24. Mai 2019 zum „Asset-Deal“ durch einen neuen, differenzierteren Beschluss, um die Anwendung der DSGVO stärker zu harmonisieren und den betroffenen Unternehmen einen klaren Handlungsrahmen zu bieten. Unter dem Begriff des „Asset Deal“ versteht man einen Unternehmenskauf, bei dem Wirtschaftsgüter wie beispielsweise Grundstücke, Gebäude, Maschinen und Rechte an Erwerber übertragen werden. Zu den Wirtschaftsgütern können auch Daten über Kunden, Lieferanten oder Beschäftigte gehören. Bei Einzelkaufleuten oder Handwerksbetrieben kann dies das einzige Wirtschaftsgut sein, wenn eine andere Person das Unternehmen übernimmt und den Betrieb fortführt. In ihrem Beschluss hat die DSK detailliert festgestellt, unter welchen Voraussetzungen solche Daten an einen Nachfolger übertragen werden dürfen.

Patientenakte und Forschungszwecke

Mit einer Entschließung zur kostenlosen Erstkopie der Patientenakte richtet sich die DSK an den Bundesgesetzgeber und an die Heilberufskammern. In einem Urteil vom 26. Oktober 2023 (Az. C-307/22) hat der Europäische Gerichtshof (EuGH) festgestellt, dass nach Art. 15 Abs. 3 DS-GVO jeder Patient und jede Patientin einen Anspruch auf eine unentgeltliche erste Kopie seiner oder ihrer Patientenakte hat. § 630g Abs. 2 S. 2 BGB und die Regelungen in den Berufsordnungen der Heilberufskammern sehen jedoch vor, dass Patientinnen und Patienten die Kosten einer solchen Kopie zu zahlen haben. Daher fordert die DSK den Gesetzgeber und die Heilberufskammern auf, ihre mit Unionsrecht nicht mehr zu vereinbarenden Regelungen umgehend zu ändern.

Ein weiterer wichtiger Beschluss der DSK zielt auf ein einheitliches Verständnis des Begriffs der „wissenschaftlichen Forschungszwecke“. Datenverarbeitungen zu diesen Zwecken werden in der DSGVO bevorzugt: Für wissenschaftliche Forschungszwecke können Zweckänderungen der Datenverarbeitung erfolgen, können besonders schützenswerte Daten verarbeitet werden, Informationspflichten eingeschränkt werden oder Datenlöschungen unterbleiben. Diese Bevorzugung ist zugleich mit Einschränkungen der Rechte betroffener Personen verbunden. Ein solcher Eingriff ist nur gerechtfertigt, wenn die Forschung methodisch-systematisch erfolgt, auf Erkenntnisgewinn gerichtet und nachprüfbar ist, wenn sie unabhängig und selbständig erfolgt und ein Gemeinwohlinteresse verfolgt.