Das Bundesverfassungsgericht hat aus den Grundrechten das Recht auf
informationelle Selbstbestimmung abgeleitet. Dieses Recht betrifft den
Schutz personenbezogener Daten. Es soll die persönliche Lebenssphäre der
Menschen schützen. Hier geht es im Kern um das Freiheitsrecht einer Person,
das besagt, dass sie grundsätzlich über ihre personenbezogenen Daten
verfügen kann. Das informationelle Selbstbestimmungsrecht gilt jedoch nicht
unbegrenzt. Beschränkungen durch Gesetze sind grundsätzlich möglich, wenn
sie dem Schutz eines anderen wichtigen Rechtsguts dienen.
Der Schutz
dieses Grundrechts wird in Deutschland als „Datenschutz“ bezeichnet.
Datenschutz steht dabei im Dienste der Fachlichkeit, denn dabei geht es
nicht wie der Begriff nahe legen mag um den Schutz von Daten, sondern um den
Schutz der Privatsphäre von Menschen.
Nach der Dreisphärentheorie des
Bundesverfassungsgerichts werden die Intimsphäre (unantastbarer Kernbereich)
und die Privatsphäre – nicht jedoch die Sozialsphäre geschützt. Dies gilt
konkret auch für vertrauliche Beratung, wie es das Gericht konkretisiert
hat. Laut eines entsprechenden Beschlusses ist danach die Wahrung des
Geheimhaltungsinteresses der Klienten einer Drogenberatung sogar
Vorbedingung des Vertrauens und somit Grundbedingung für eine
funktionsfähige Beratung. Das wird in anderen Formen staatlich geförderter
Beratung (etwa nach dem Sozialgesetzbuch) entsprechend gehandhabt. Mit
diesem Beschluss wird die fachliche Begründung der Vertraulichkeit der
Beratung verfassungsrechtlich untermauert.
Datenschutzrecht
Begriffsbestimmung
„Personenbezogene Daten sind Einzelangaben
über persönliche oder sachliche Verhältnisse einer bestimmten oder
bestimmbaren natürlichen Person (Betroffener).“
§ 3 Abs. 1
Bundesdatenschutzgesetz (BDSG)
Grundprinzip
Als
Grundprinzip des Datenschutzes kann das „Verbot mit Erlaubnisvorbehalt“
bezeichnet werden:
• Erheben,
• Verarbeiten, (z.B. Kopieren)
•
und Nutzen,
von personenbezogenen Daten ist demnach grundsätzlich
verboten, es sei denn, eine Rechtsnorm erlaubt dies oder eine wirksame
Einwilligung des Betroffenen liegt vor.
Wirksame
Einwilligung
Die Einwilligung muss persönlich, freiwillig,
bewusst und informiert erfolgen. Nach Datenschutzrecht muss die
Einwilligung regelmäßig schriftlich erfolgen. Aber auch in Bezug auf die
strafrechtliche Schweigepflichtsentbindung (nach § 203 StGB) ist die
Schriftform, zur Klarheit für beide Seiten, empfehlenswert. Eine wirksame
Einwilligung ist in beiden Fällen nur unter nachvollziehbaren Gegebenheiten in
Einzelfällen möglich, da eine pauschale Schweigepflichtentbindungserklärung
durch den Klienten unwirksam wäre. Nach Rechtsprechung des BGH (BGH Urteil
vom 20.05.1992, NJW 1992, 2348 ff, 2350) ist eine
Einwilligung dann unwirksam, wenn der Einwilligende nicht überblicken kann,
in was er tatsächlich einwilligt. Die genannten notwendigen Bedingungen für
eine wirksame Einwilligung werden beispielsweise bei einer pauschalen
Einwilligung zur Übermittlung von künftig erst entstehenden Inhalten nicht
erfüllt, da der Einwilligende vorab noch nicht absehen kann, worin er
einwilligt. Schließlich kommt es in der Beratung häufig vor, dass
Ratsuchende später Inhalte mitteilen, die sie zu Beginn einer Beratung nicht
benannt hätten, als sich das Vertrauensverhältnis noch nicht gefestigt
hatte.
Weiterführend:
https://www.ldi.nrw.de/mainmenu_Datenschutz/Inhalt/FAQ/EinwilligungDaten.php
Allgemeine Datenschutznormen
Das Datenschutzrecht konkretisiert die
verfassungsrechtlichen Vorgaben. In der Praxis gelten in Bezug auf
Datenschutzkontrolle und die innerorganisatorische Umsetzung des
Datenschutzes unterschiedliche Normen. Dies regelt sich nach der jeweils
rechtlichen Verortung. Als allgemeine Datenschutznorm gilt in Deutschland
das Bundesdatenschutzgesetz (BDSG). Es kann als
Auffanggesetz bezeichnet werden, das inhaltlich nur dann greift, wenn es
keine spezielleren Datenschutzregelungen gibt. Bundesbehörden und private
Stellen (z.B. freiberufliche Beratungstätigkeiten und Psychotherapie) fallen
diesbezüglich unter das BDSG. In Stellen, die rechtlich bei Landesbehörden
oder Kommunen angesiedelt sind, gilt das jeweilige
Landesdatenschutzgesetz. In kirchlichen Einrichtungen z.B. von
Caritas und Diakonie richtet sich die organisatorische Ausgestaltung des
Datenschutzes je nach Konfession nach den entsprechenden
kirchenrechtlichen Regelungen . Das Grundrecht auf informationelle
Selbstbestimmung, muss aber auch von den Kirchen entsprechend der
staatlichen Normen geschützt werden, sofern es sich nicht um ausschließlich
innerkirchliche Vorgänge handelt .
Bereichsspezifische Datenschutzregelungen
Die speziellen Datenschutzregelungen gehen den
allgemeinen Normen vor. Bei Beratung und Therapie ist datenschutzrechtlich
zunächst zu fragen, ob es eine entsprechende Norm bezüglich des Umgangs mit
personenbezogenen Daten gibt. Ansonsten kann ausschließlich die wirksame
Einwilligung eine rechtskonforme Datenverarbeitung erlauben. Beispielhaft
können folgende Gesetze für spezielle Datenschutzregelungen genannt werden:
• Sozialgesetzbücher (SGB): Der
Sozialdatenschutz wird im Allgemeinen Teil des SGB (§ 35 SGB I und im 2.
Kapitel SGB X, §§ 67-85a) geregelt. Aus diesen Normen ergibt sich ein sehr
weitgehender Schutz der Sozialdaten. Gültigkeit: alle speziellen Bücher des
SGB
• Schwangerschaftskonfliktgesetz (SchKG)
•
Telemediengesetz (TMG)
bei Beratung/Therapie per Internet
Organisatorischer und technischer Datenschutz
Die Letztverantwortung für den Datenschutz und die
Risiken bei Nichtbeachtung liegen bei der Leitung einer Einrichtung. Dies
gilt natürlich entsprechend der jeweils rechtlichen Organisationform, was
hier nicht weiter ausdifferenziert werden kann. Die relevanten Gesetze
müssen im Blick sein und entsprechend in die Organisation eingebunden
werden. Über die genannten Datenschutznormen hinaus gibt es weitere
Vorschriften, die in diesem Zusammenhang beachtet werden müssen. Zur Abhilfe
datenschutzrechtlicher und anderer Risiken bedarf es dabei geeigneter
organisatorischer und technischer Maßnahmen in einem fachlich begründeten
Gesamtkonzept der jeweiligen Organisation. In Einrichtungen, in denen
bereits ein Qualitätsmanagement etabliert ist, dürfte die Integration von
Datenschutz- und Sicherheitsmanagement in das Qualitätsmanagement eine
hilfreiche und Ressourcen schonende Vorgehensweise darstellen. Die konkreten
organisatorischen Maßnahmen zum Schutze der Daten ist in der Anlage zu § 9
des Bundesdatenschutzgesetzes (BDSG) konkretisiert.
Allgemeine Datenschutzgrundsätze
• Erforderlichkeit
•
Strenge Zweckbindung
• Datenvermeidung und Datensparsamkeit
•
Gewährleistung von Integrität, Vertraulichkeit und Verfügbarkeit der Daten
• Unabdingbare Rechte der Betroffenen (z.B. Auskunftsrecht)
Rechte der Betroffenen im Überblick
• Recht auf
Grundinformation über gespeicherte Daten
• Auskunftsrecht
• Recht
auf Berichtigung der Daten
• Recht auf Sperrung, d.h. Einschränkung der
Nutzungsmöglichkeit
• Recht auf Löschung von Daten
• Recht auf
Anrufung des Datenschutzbeauftragten
• Recht auf Schadensersatz
>>> weiter