Die Bundesbeauftragte für den Datenschutz, Andrea Voßhoff, warnt vor der Verarbeitung personenbezogener Daten im Ausland.

Stuttgart - In den letzten Jahren bieten ausländische Privatfirmen, die es ihren Kunden ermöglichen, Ahnenforschung zu betreiben, vermehrt DNA-Tests an. Die Test sollen den Kunden Auskunft über ihre Abstammung geben. Bei etlichen Firmen werden die Ergebnisse, mit Einwilligung der Kunden, in genetischen Datenbanken gespeichert und miteinander verglichen, um mögliche Verwandschaften zu entdecken. Einige solche Firmen bieten ihre Dienste auch in Deutschland an. Die Bundesdatenschutzbeauftrage Andrea Voßhoff warnt davor.

 
Frau Voßhoff, wie sensibel sind DNA-Daten?
Ähnlich wie die biometrischen Daten des Fingerabdrucks, der Iris oder des Venenmusters handelt es sich beim genetischen Code um ein einzigartiges Merkmal, das vom Betroffenen nicht verändert werden kann. Genetische Informationen gehören daher zu den besonders schützenswerten personenbezogenen Daten. Nach Maßgabe des derzeit noch geltenden Bundesdatenschutzgesetzes ist die Verarbeitung dieser Daten daher starken Einschränkungen unterworfen. Nur wenn die Betroffenen ausdrücklich eingewilligt haben, die Daten zum Schutz lebenswichtiger Interessen oder der Forschung dienen oder es sich um öffentliche Daten handelt, kann eine Verarbeitung zulässig sein.
Was empfehlen Sie Menschen, die ihre DNA bei Privatfirmen testen lassen?
Bevor außereuropäischen Firmen personenbezogene Daten zur Verfügung gestellt werden, empfiehlt es sich, darauf zu achten, ob in den betreffenden Ländern ein angemessenes Datenschutzniveau besteht. Das derzeit noch geltende Bundesdatenschutzgesetz ist auf die Verarbeitung personenbezogener Daten im Ausland durch Unternehmen außerhalb des europäischen Wirtschaftsraums nicht anwendbar. Es gibt nur wenige Ausnahmen.
My Heritage sitzt in Israel, andere DNA-Test-Firmen in den USA. Wie sieht es mit diesen Ländern aus?
Im Fall Israels wurde angemessenes Datenschutzniveau durch die förmliche Entscheidung der Europäischen Kommission vom 31. Januar 2011 festgestellt, die grundsätzlich für alle Daten verarbeitenden Unternehmen Israels gilt. Für die USA erfolgt die Feststellung über den sogenannten Privacy Shield, einer Vereinbarung mit der EU, die für US-amerikanische Unternehmen gewisse datenschutzrechtliche Vorgaben enthält. Die Teilnahme eines Unternehmens am Privacy Shield gibt allerdings keine Auskunft darüber, ob in jedem Einzelfall alle datenschutzrechtlichen Erfordernisse eingehalten werden. Zudem bedeutet ein angemessenes Schutzniveau nicht, dass die Regeln in Israel oder den USA den Regelungen des europäischen Datenschutzrechts gleichen. Es kann also trotz dieser Einstufung zu Unterschieden kommen.
Am 25. Mai tritt die neue Datenschutz-Grundverordnung in Kraft. Was wird sich verändern?
Der Anwendungsbereich der DSGVO erstreckt sich im vollen Umfang auch auf außereuropäische Unternehmen, sofern sie auf dem europäischen Markt Waren oder Dienstleistungen anbieten. Ist ein Angebot an ganz Europa gerichtet, so sind alle Aufsichtsbehörden der Mitgliedstaaten gleichermaßen für die Prüfung und Sicherstellung des Datenschutzrechts zuständig. Darüber hinaus hat das für die Datenverarbeitung verantwortliche Unternehmen noch die Pflicht, wenigstens einen Vertreter in einem der betroffenen Mitgliedstaaten zu ernennen, der als dauerhafter Ansprechpartner fungiert.
Was bedeutet das für deutsche Kunden?
Zunächst wären alle Aufsichtsbehörden der Bundesländer zuständig. Welches Bundesland im Einzelnen zuständig ist, hängt vom Wohnort ab. In jedem Fall gelten für diese Unternehmen die strengen Vorschriften zur Verarbeitung genetischer Daten. Diese kann nur bei ausdrücklicher Einwilligung gerechtfertigt sein. Eine Speicherung ist nach Beendigung der Untersuchung nicht ohne Weiteres möglich.