§ 5 - Gesundheitsdatennutzungsgesetz (GDNG)

(1) Sind an einem Vorhaben der Versorgungs- oder Gesundheitsforschung, bei dem Gesundheitsdaten verarbeitet werden, eine oder mehrere öffentliche oder nicht öffentliche Stellen als Verantwortliche derart beteiligt, dass mehr als eine Datenschutzaufsichtsbehörde des Bundes oder der Länder nach Kapitel VI der Verordnung (EU) 2016/679 zuständig ist, und sind diese Stellen nicht gemeinsam Verantwortliche gemäß Artikel 26 der Verordnung (EU) 2016/679, so kann dieses Vorhaben den Datenschutzaufsichtsbehörden zur federführenden Datenschutzaufsicht angezeigt werden.

(2) 1Durch eine Anzeige nach Absatz 1, die von allen Stellen gemeinsam gegenüber allen zuständigen Datenschutzaufsichtsbehörden abzugeben ist, wird die Datenschutzaufsichtsbehörde federführend zuständig, in deren Zuständigkeitsbereich die am Vorhaben nach Absatz 1 beteiligte Stelle fällt, die in dem vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat. 2In dem Fall, dass nicht alle am Vorhaben nach Absatz 1 beteiligten Stellen einen Jahresumsatz aufweisen, wird stattdessen diejenige Datenschutzaufsichtsbehörde federführend zuständig, in deren Zuständigkeitsbereich die am Vorhaben nach Absatz 1 beteiligte Stelle fällt, die die meisten Personen beschäftigt, welche ständig personenbezogene Daten automatisiert verarbeiten. 3Der Anzeige nach Absatz 1 sind die entsprechenden nachweisenden Unterlagen beizufügen.

(3) 1Die federführend zuständige Datenschutzaufsichtsbehörde hat die Aufgabe, die Tätigkeiten und Aufsichtsmaßnahmen der zuständigen Datenschutzaufsichtsbehörden zu koordinieren; sie fördert eine Zusammenarbeit der zuständigen Aufsichtsbehörden beim Vorhaben nach Absatz 1 und wirkt auf eine gemeinsame Entscheidung hin. 2Die aufsichtsrechtlichen Befugnisse aller nach Absatz 1 zuständigen Datenschutzaufsichtsbehörden bleiben unberührt. 3Die zuständigen Datenschutzaufsichtsbehörden stimmen sich untereinander ab, wenn sie in ihrem Zuständigkeitsbereich tätig werden.

(4) 1Sind an einem Vorhaben der Gesundheits- und Versorgungsforschung, bei dem Gesundheitsdaten verarbeitet werden, eine oder mehrere nicht öffentliche Stellen als Verantwortliche derart beteiligt, dass mehr als eine Datenschutzaufsichtsbehörde der Länder zuständig ist, und sind die beteiligten nicht öffentlichen Stellen gemeinsam Verantwortliche gemäß Artikel 26 der Verordnung (EU) 2016/679, können diese gemeinsam anzeigen, dass sie gemeinsam Verantwortliche sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Datenschutzaufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich die nicht öffentliche Stelle fällt, die in dem der Antragstellung vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat. 2Die gemeinsame Anzeige ist an alle Datenschutzaufsichtsbehörden zu richten, die für die gemeinsam Verantwortlichen zuständig sind, und muss die die umsatzstärkste nicht öffentliche Stelle nachweisenden Unterlagen enthalten. 3Ab dem Zeitpunkt, zu dem die in den Sätzen 1 und 2 genannte Anzeige bei der für die umsatzstärkste nicht öffentliche Stelle zuständigen Behörde eingegangen ist, wird diese die allein zuständige Datenschutzaufsichtsbehörde. 4Für nichtöffentliche Stellen, die gemeinsam Verantwortliche gemäß Artikel 26 der Verordnung (EU) 2016/679 sind, jedoch keinen Jahresumsatz erzielen, gelten die Sätze 1 bis 3 entsprechend mit der Maßgabe, dass die Behörde allein zuständig ist, die für den Verantwortlichen zuständig ist, der die meisten Personen beschäftigt, welche ständig personenbezogene Daten automatisiert verarbeiten. 5§ 3 Absatz 3 und 4 des Verwaltungsverfahrensgesetzes findet entsprechende Anwendung.