176 41 5MB
German Pages 518 [519] Year 2022
Abhandlungen zum Medizin- und Gesundheitsrecht
Band 2
Datenschutz im Gesundheitswesen unter der Europäischen DatenschutzGrundverordnung Von
Leonie Felicia Schrader
Duncker & Humblot · Berlin
LEONIE FELICIA SCHRADER
Datenschutz im Gesundheitswesen unter der Europäischen Datenschutz-Grundverordnung
Abhandlungen zum Medizin- und Gesundheitsrecht Herausgegeben von
Andreas Hoyer Sebastian Graf von Kielmansegg, Saskia Lettmaier Rudolf Meyer-Pritzl
Band 2
Datenschutz im Gesundheitswesen unter der Europäischen DatenschutzGrundverordnung
Von
Leonie Felicia Schrader
Duncker & Humblot · Berlin
Die Rechtswissenschaftliche Fakultät der Christian-Albrechts-Universität zu Kiel hat diese Arbeit im Jahr 2021 als Dissertation angenommen.
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Alle Rechte vorbehalten
© 2022 Duncker & Humblot GmbH, Berlin
Satz: Textforma(r)t Daniela Weiland, Göttingen Druck: CPI buchbücher.de Gmbh, Birkach Printed in Germany ISSN 2750-5790 (Print) ISSN 2750-5804 (Online) ISBN 978-3-428-18603-7 (Print) ISBN 978-3-428-58603-5 (E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706 Internet: http://www.duncker-humblot.de
Meinen Eltern
Vorwort Die vorliegende Arbeit wurde im Wintersemester 2021/2022 von der Rechtswissenschaftlichen Fakultät der Christian-Albrechts-Universität zu Kiel als Dissertation angenommen. Rechtsprechung und Literatur konnten für die Drucklegung bis einschließlich Juli 2021 berücksichtigt werden. Mein ganz besonderer Dank gilt meinem Doktorvater, Herrn Prof. Dr. Sebastian Graf von Kielmansegg, der mit seiner hervorragenden Betreuung und Unterstützung in allen Phasen der Anfertigung dieser Arbeit ganz maßgeblich zum erfolgreichen Abschluss des Promotionsvorhabens beigetragen hat. Die mir eingeräumte wissenschaftliche Freiheit bei der Bearbeitung habe ich ebenso sehr geschätzt wie das offene Ohr, wenn meinerseits Besprechungsbedarf bestand. Herrn Prof. Dr. Christoph Brüning danke ich ganz herzlich für die zügige Zweitbegutachtung der Arbeit. Besonderen Dank schulde ich zudem dem Kieler Zentrum für Gesundheitsrecht für die Aufnahme der Arbeit in die neue Schriftenreihe „Abhandlungen für Medizin- und Gesundheitsrecht“. Mein Dank gebührt darüber hinaus der Konrad-Adenauer-Stiftung für die Aufnahme in die Promotionsförderung und die damit verbundene finanzielle und ideelle Unterstützung. Ebenso danke ich der Johanna und Fritz Buch Gedächtnis-Stiftung für die Gewährung eines großzügigen Druckkostenzuschusses. Herzlich möchte ich mich auch bei allen bedanken, die mich während meiner Promotionszeit begleitet haben und durch ihren Rückhalt, Korrekturhilfen sowie fachliche Gespräche ganz wesentlich zum Gelingen dieser Arbeit beigetragen haben. Für seine liebevolle Geduld und den tatkräftigen Zuspruch während dieses Projekts danke ich besonders meinem Freund Ernest. Schließlich gilt mein liebevollster Dank meinen Eltern, die mich auf meinem bisherigen Lebensweg stets bedingungslos unterstützt und in jeglicher Hinsicht gefördert haben. Ihnen ist diese Arbeit gewidmet. Berlin, im März 2022
Leonie Felicia Schrader
Inhaltsverzeichnis
Einleitung und Gang der Untersuchung
29
A. Einführung in die Thematik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 B. Fragestellung und Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Kapitel 1
Vorüberlegungen und Begriffsbestimmungen 37
A. Die grundrechtliche Dimension des Datenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . 37 B. Europäische Regelungskompetenz für das Datenschutzrecht – auch im Gesundheitswesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 C. Zusammenspiel von DSGVO und nationalem Recht . . . . . . . . . . . . . . . . . . . . . . . . . 44 I. Verhältnis der DSGVO zum nationalen Datenschutzrecht . . . . . . . . . . . . . . . . . . 44 1. Unmittelbare Anwendbarkeit und Öffnungsklauseln der DSGVO . . . . . . . . . 45 2. Bindung an die Grundrechte bei Ausfüllung der Öffnungsklauseln . . . . . . . . 49 3. Wiederholungen von Verordnungsrecht im mitgliedstaatlichen Recht . . . . . . 50 4. Anpassung des mitgliedstaatlichen Rechts an die Vorgaben der DSGVO . . . . 51 a) Anpassung des allgemeinen Bundes- und Landesrechts . . . . . . . . . . . . . . 52 b) Anpassung des bereichsspezifischen Datenschutzrechts . . . . . . . . . . . . . . 53 c) Anpassung der kirchlichen Datenschutzregelungen . . . . . . . . . . . . . . . . . . 54 5. Neue Arbeitsweise im mehrstufigen Normensystem . . . . . . . . . . . . . . . . . . . . 55 II. Regelungsstruktur des allgemeinen und bereichsspezifischen nationalen Datenschutzrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 1. Struktur des allgemeinen Datenschutzrechts . . . . . . . . . . . . . . . . . . . . . . . . . . 57 a) Öffentliche Stellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 aa) Öffentliche Stellen des Bundes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 bb) Öffentliche Stellen der Länder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 b) Nichtöffentliche Stellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 2. Subsidiarität des allgemeinen Datenschutzrechts gegenüber den bereichsspezifischen Datenschutzregelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 a) Bereichsspezifischer Gesundheitsdatenschutz des Bundes . . . . . . . . . . . . 64 b) Bereichsspezifischer Gesundheitsdatenschutz der Länder . . . . . . . . . . . . . 64 3. Verhältnis zwischen staatlichem und kirchlichem Datenschutzrecht . . . . . . . 66
10
Inhaltsverzeichnis 4. Verhältnis von Datenschutz und ärztlicher Schweigepflicht . . . . . . . . . . . . . . 68 5. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
D. Klärung zentraler Begrifflichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 I. Personenbezogene Daten im Kontext der Datenverarbeitung im Gesundheits wesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 1. Die Auslegung des Begriffs des Personenbezugs . . . . . . . . . . . . . . . . . . . . . . 74 a) Theorien des absoluten und relativen Personenbezugs . . . . . . . . . . . . . . . 74 b) Die Auslegung des Begriffs des Personenbezugs in der DSGVO . . . . . . . 75 c) Das Urteil des EuGH zum Personenbezug von IP-Adressen . . . . . . . . . . . 78 d) Schlussfolgerung für den Personenbezug unter der DSGVO . . . . . . . . . . . 81 2. Anonyme Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 3. Pseudonyme Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 II. Gesundheitsdaten als besondere Kategorien personenbezogener Daten . . . . . . . 88 1. Unmittelbare Rückschlüsse auf den Gesundheitszustand . . . . . . . . . . . . . . . . 90 2. Mittelbare Rückschlüsse auf den Gesundheitszustand . . . . . . . . . . . . . . . . . . 91 a) Nicht jede mittelbare Angabe über den Gesundheitszustand ausreichend . 91 b) Kriterien zur Bestimmung einer mittelbaren Ableitbarkeit . . . . . . . . . . . . 93 aa) Auswertungsabsicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 bb) Verwendungszusammenhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 c) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 III. Der Begriff der Datenverarbeitung in der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . 95
Kapitel 2
Die Zulässigkeit der Verarbeitung von Gesundheitsdaten im Gesundheitswesen unter der DSGVO 97
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten im Gesundheitswesen unter der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 I. Regelungsstruktur der Rechtsgrundlagen unter der DSGVO . . . . . . . . . . . . . . . . 97 II. Gesetzliche Legitimationsgrundlagen für die Verarbeitung von Daten im Gesundheitswesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 1. Verhältnis des Art. 9 Abs. 2 DSGVO zu Art. 6 Abs. 1 bis 3 DSGVO . . . . . . . . 100 2. Verarbeitung von Gesundheitsdaten zu Zwecken der Gesundheitsversorgung, Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 a) Verarbeitungszwecke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 aa) Medizinische Versorgung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 bb) Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Inhaltsverzeichnis
11
b) Wahrung der in Art. 9 Abs. 3 DSGVO genannten Bedingungen und Garantien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 aa) Voraussetzungen des Art. 9 Abs. 3 DSGVO . . . . . . . . . . . . . . . . . . . . . 105 (1) Verarbeitung durch Fachpersonal mit Berufsgeheimnis . . . . . . . . 106 (2) Verarbeitung durch eine andere Person mit Geheimhaltungspflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 bb) Auswirkungen der Erweiterung auf sonstige mitwirkende Personen im Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 cc) Art. 9 Abs. 3 DSGVO als notwendige Voraussetzung . . . . . . . . . . . . . 111 c) Verarbeitung aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs oder auf der Grundlage des Rechts eines Mitgliedstaats . 112 aa) Verarbeitung aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 bb) Verarbeitung auf der Grundlage des Rechts eines Mitgliedstaats . . . . 115 (1) Umsetzung auf Bundesebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 (a) Verarbeitungszwecke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 (b) Verarbeitung aufgrund eines Vertrags . . . . . . . . . . . . . . . . . . 117 (c) Personale Tatbestandsvoraussetzung . . . . . . . . . . . . . . . . . . . 118 (d) Angemessene und spezifische Maßnahmen . . . . . . . . . . . . . . 119 (2) Umsetzung auf Landesebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 3. Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, Art. 9 Abs. 2 lit. i DSGVO . . . . . . . . 121 a) Regelungsbereich des Art. 9 Abs. 2 lit. i DSGVO . . . . . . . . . . . . . . . . . . . . 122 b) Umsetzung im nationalen Recht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 4. Verarbeitung von Gesundheitsdaten zum Schutz lebenswichtiger Interessen, Art. 9 Abs. 2 lit. c DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 5. Verarbeitung von Gesundheitsdaten zu Zwecken der Wahrnehmung sozialrechtlicher Rechte und Pflichten, Art. 9 Abs. 2 lit. b DSGVO . . . . . . . . . . . . . 126 6. Zusätzliche Bedingungen für die Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 4 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 III. Verarbeitung von Gesundheitsdaten auf der Grundlage einer Einwilligung . . . . . 129 1. Wirksamkeitsvoraussetzungen der Einwilligung bei der Verarbeitung von Gesundheitsdaten im Gesundheitswesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 a) Freiwilligkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 aa) Kopplungsverbot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 bb) Freiwilligkeit bei einem Ungleichgewicht zwischen Verantwortlichem und betroffener Person . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 b) Informiertheit der betroffenen Person . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 c) Bestimmtheit der Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 d) Ausdrücklichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
12
Inhaltsverzeichnis e) Form . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 f) Einwilligungsfähigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 aa) Einwilligungsfähigkeit Minderjähriger . . . . . . . . . . . . . . . . . . . . . . . . 142 bb) Einwilligungsunfähigkeit Volljähriger . . . . . . . . . . . . . . . . . . . . . . . . . 146 2. Widerrufbarkeit der Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 3. Rückausnahme in Art. 9 Abs. 2 lit. a Hs. 2 DSGVO . . . . . . . . . . . . . . . . . . . . . 149 4. Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 IV. Verhältnis der Erlaubnistatbestände zueinander . . . . . . . . . . . . . . . . . . . . . . . . . . 152
B. Die Zulässigkeit der Datenverarbeitung im Rahmen der Einbindung weiterer Personen oder Stellen im Gesundheitswesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 I. Weitergabe von Daten innerhalb der Einrichtung des Verantwortlichen . . . . . . . 158 1. Datenschutzrechtliche Betrachtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 2. Strafrechtlicher Geheimnisschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 II. Datenübertragung zwischen zwei getrennt Verantwortlichen . . . . . . . . . . . . . . . . 162 1. Datenschutzrechtliche Betrachtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 2. Strafrechtlicher Geheimnisschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 III. Inanspruchnahme von Auftragsverarbeitern im Gesundheitswesen . . . . . . . . . . . 167 1. Privilegierung der Auftragsverarbeitung unter der DSGVO . . . . . . . . . . . . . . 168 a) Entfall der Privilegierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 b) Fortgeltung der Privilegierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 aa) Datenaustausch zwischen Verantwortlichem und Auftragsverarbeiter keine Übermittlung i. S. d. DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 bb) Art. 28 DSGVO als Rechtfertigungsgrundlage für die Datenweitergabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 cc) Auftragsverarbeitung als einheitlicher Datenverarbeitungsvorgang . . 171 c) Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 2. Anforderungen an die Auftragsverarbeitung nach der DSGVO . . . . . . . . . . . 173 3. Datenschutz und Schweigepflicht im Hinblick auf die Auftragsverarbeitung 174 4. Regelungen zur Auftragsverarbeitung im nationalen Recht . . . . . . . . . . . . . . 176 5. Abgrenzung der Auftragsverarbeitung zur Datenübermittlung an einen eigenständigen Verantwortlichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 a) Weitergabe von Gesundheitsdaten an privatärztliche und gewerbliche Verrechnungsstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 aa) Weitergabe von Gesundheitsdaten an privatärztliche Verrechnungsstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 (1) Datenschutzrechtliche Beurteilung . . . . . . . . . . . . . . . . . . . . . . . . 179 (2) Strafrechtliche Beurteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 bb) Weitergabe von Gesundheitsdaten an gewerbliche Verrechnungs stellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Inhaltsverzeichnis
13
(1) Datenschutzrechtliche Beurteilung . . . . . . . . . . . . . . . . . . . . . . . . 181 (2) Strafrechtliche Beurteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 b) Externe Ärzte als eigenständige Verantwortliche . . . . . . . . . . . . . . . . . . . . 186 IV. Der Austausch von Daten zwischen gemeinsam Verantwortlichen i. S. d. Art. 26 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 C. Fazit Kapitel 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Kapitel 3
Sozialdatenschutz unter der DSGVO 194
A. Regelungssystematik des Sozialdatenschutzes unter der Rechtslage der DSGVO . . . 195 I. Verhältnis der DSGVO zum SGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 II. Verhältnis des SGB zu den nationalen Datenschutzvorschriften . . . . . . . . . . . . . 197 III. Systematik innerhalb des SGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 1. Verhältnis der Regelungen des Sozialdatenschutzrechts im SGB I, V und X zueinander . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 2. Gesetzliche Zulässigkeitstatbestände . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 3. Die Einwilligung im GKV-System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 a) Bedeutung der Einwilligung im Bereich der öffentlichen Datenverarbeitung 202 b) Konkretisierende Anforderungen an die Einwilligung im SGB X . . . . . . . 205 c) Rechtsprechung des BSG zur Einwilligung der betroffenen Person in die Weitergabe ihrer Patientendaten an externe Dienstleister . . . . . . . . . . . . . 206 d) Geltung der Grundsätze der Rechtsprechung des BSG unter der DSGVO 208 B. Bereichsspezifische Datenschutzregelungen im SGB V . . . . . . . . . . . . . . . . . . . . . . . 209 I. Datenverarbeitung durch Krankenkassen und Kassenärztliche Vereinigungen . . 210 1. Datenverarbeitung durch Krankenkassen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 a) Erhebung und Speicherung von Sozialdaten . . . . . . . . . . . . . . . . . . . . . . . 210 b) Weitergehende und zweckändernde Verarbeitung von Sozialdaten . . . . . . 211 2. Datenverarbeitung durch die Kassenärztliche Vereinigung . . . . . . . . . . . . . . . 214 II. Datenverarbeitung durch die Leistungserbringer . . . . . . . . . . . . . . . . . . . . . . . . . 216 1. Datenübermittlung zu Abrechnungszwecken . . . . . . . . . . . . . . . . . . . . . . . . . 216 a) Die Übermittlung ärztlicher Leistungsdaten zu Abrechnungszwecken im Rahmen der Regelversorgung und in den neuen Versorgungsformen . . . . 217 aa) Abrechnung im Rahmen der Regelversorgung . . . . . . . . . . . . . . . . . . 217 bb) Abrechnung im Rahmen der neuen Versorgungsformen . . . . . . . . . . . 218 b) Abrechnung der übrigen Leistungserbringer . . . . . . . . . . . . . . . . . . . . . . . 219 c) Zulässigkeit der Übermittung von Gesundheitsdaten an private Abrechnungsstellen im System der gesetzlichen Krankenversicherung . . . . . . . . 219
14
Inhaltsverzeichnis 2. Datenverarbeitung zu Zwecken der Wirtschaftlichkeitsprüfung und der Qualitätssicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 III. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
C. Einordnung der novellierten Regelungen zur Telematikinfrastruktur des Gesundheitswesens und der elektronischen Patientenakte in das datenschutzrechtliche Regelungsgefüge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 I. Regelungsüberblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 1. Neue Strukturierung im SGB V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 2. Aufbau und Weiterentwicklung der Telematikinfrastruktur . . . . . . . . . . . . . . 226 3. Anwendungen der Telematikinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 4. Rechtssystematische Einordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 II. Vereinbarkeit mit der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 1. Neuregelung der datenschutzrechtlichen Verantwortlichkeit für die Datenverarbeitung im Rahmen der Telematikinfrastruktur . . . . . . . . . . . . . . . . . . . . . . 229 a) Datenschutzrechtliche Verantwortlichkeiten gemäß § 307 SGB V . . . . . . . 230 b) Rechtliche Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 2. Betroffenenrechte im Kontext der Verarbeitung von personenbezogenen Daten in der Telematikinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 3. Neufassung der Regelungen zur elektronischen Patientenakte . . . . . . . . . . . . 238 a) Vorboten der Weiterentwicklung der elektronischen Patientenakte . . . . . . 238 b) Die neuen Regelungen zur elektronischen Patientenakte . . . . . . . . . . . . . . 239 aa) Zulässigkeit der Datenverarbeitung durch die Krankenkassen und Leistungserbringer im Rahmen der elektronischen Patientenakte . . . . . . . 239 bb) Abgestuftes Berechtigungsmanagement . . . . . . . . . . . . . . . . . . . . . . . 241 (1) Die Umsetzungsstufen der elektronischen Patientenakte . . . . . . . 242 (a) 1. Umsetzungsstufe seit dem 1. Januar 2021 . . . . . . . . . . . . . 242 (b) 2. Umsetzungsstufe seit dem 1. Januar 2022 . . . . . . . . . . . . 242 (c) 3. Umsetzungsstufe ab dem 1. Januar 2023 . . . . . . . . . . . . . . 243 (2) Kritik an dem abgestuften Berechtigungsmanagement . . . . . . . . 243 cc) Datenschutzrechtliche Verantwortlichkeit für die elektronische Patientenakte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 III. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 Kapitel 4
Die Betroffenenrechte im Gesundheitswesen unter der DSGVO 249
A. Systematik der Betroffenenrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 I. Allgemeine Grundsätze und Verfahrensvorschriften . . . . . . . . . . . . . . . . . . . . . . 250 II. Einschränkungsmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Inhaltsverzeichnis
15
B. Informationspflichten, Art. 13 und 14 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 I. Modalitäten der Informationspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 1. Die Informationspflichten nach Art. 13 DSGVO . . . . . . . . . . . . . . . . . . . . . . 252 a) Inhalt der Informationspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 b) Umfang der Informationserteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 c) Zeitpunkt und Form der Informationserteilung . . . . . . . . . . . . . . . . . . . . . 255 2. Abweichende Angaben nach Art. 14 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . 257 II. Unionsrechtliche Ausnahmen von den Informationspflichten . . . . . . . . . . . . . . . 258 III. Einschränkung der Informationspflichten im mitgliedstaatlichen Recht . . . . . . . 258 1. Einschränkung der Informationspflichten nach dem BDSG n. F. . . . . . . . . . . 259 2. Einschränkung der Informationspflichten nach dem SGB . . . . . . . . . . . . . . . 261 3. Einschränkung der Informationspflichten nach den LKHG . . . . . . . . . . . . . . 262 C. Die übrigen Betroffenenrechte der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 I. Auskunftsrecht, Art. 15 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 1. Reichweite des Rechts auf Kopie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 2. Verhältnis zwischen Art. 15 DSGVO und § 630g BGB . . . . . . . . . . . . . . . . . . 264 a) Mögliche Kollision durch die Beschränkung aus therapeutischen Gründen 266 b) Kostentragungspflicht für die Erstkopie aus § 630g BGB . . . . . . . . . . . . . 267 c) Unterscheidung bezüglich des rechtlichen Leistungsortes . . . . . . . . . . . . . 268 d) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 3. Einschränkungen des Auskunftsrechts im mitgliedstaatlichen Recht . . . . . . . 270 a) Einschränkung des Auskunftsrechts nach dem BDSG n. F. . . . . . . . . . . . . 270 b) Einschränkung des Auskunftsrechts nach dem SGB . . . . . . . . . . . . . . . . . 272 c) Einschränkung des Auskunftsrechts nach den LKHG . . . . . . . . . . . . . . . . 274 II. Recht auf Löschung, Art. 17 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 1. Einschränkungen des Rechts auf Löschung in der DSGVO . . . . . . . . . . . . . . 275 a) Erfüllung rechtlicher Verpflichtungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 b) Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen . . 276 aa) Aufbewahrung der Behandlungsdokumentation zur Verteidigung gegen Rechtsansprüche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 bb) Anforderungen an die Wahrscheinlichkeit der Geltendmachung von Rechtsansprüchen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 c) Öffentliche Gesundheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 2. Einschränkung des Rechts auf Löschung im mitgliedstaatlichen Recht . . . . . 279 a) Einschränkung des Rechts auf Löschung nach dem BDSG n. F. . . . . . . . . 279 b) Spezifizierung der Pflicht zur Löschung im SGB V . . . . . . . . . . . . . . . . . 282 c) Vorschriften zur Löschung von Patientendaten in den LKHG . . . . . . . . . . 283
16
Inhaltsverzeichnis 3. Urteil des Bundessozialgerichts zur Löschung des Lichtbildes für die Aus stellung der elektronischen Gesundheitskarte und die Reaktion des Gesetz gebers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 a) Bundessozialgericht: Keine dauerhafte Speicherung des Lichtbildes . . . . 283 b) Befugnis zur Speicherung des Lichtbildes nach § 291a Abs. 6 S. 1 SGB V 284 III. Recht auf Datenübertragbarkeit, Art. 20 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . 285 1. Datenverarbeitung auf der Grundlage einer Einwilligung oder eines Vertrags 286 2. Das Tatbestandsmerkmal „Bereitstellen“ im Bereich der medizinischen Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 3. Selbstständige Realisierung des Rechts auf Datenübertragbarkeit im Rahmen der Telematikinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 IV. Recht auf Berichtigung, Art. 16 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 1. Unrichtige personenbezogene Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 2. Einschränkung des Rechts auf Berichtigung . . . . . . . . . . . . . . . . . . . . . . . . . . 290 a) Einschränkungen des Berichtigungsanspruchs nach § 630f BGB . . . . . . . 290 b) Der neue partielle Berichtigungsanspruch nach § 305 Abs. 1 S. 6 SGB V . 291
D. Fazit Kapitel 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
Kapitel 5
Die Datenschutzorganisation im Gesundheitswesen 295
A. Die Datenschutz-Folgenabschätzung im Gesundheitswesen . . . . . . . . . . . . . . . . . . . . 296 I. Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung . . . . . 297 1. Regelbeispiel „umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 2. Positivlisten der Datenschutzaufsichtsbehörden, Art. 35 Abs. 4 DSGVO . . . . 300 3. Risikobewertung gemäß Art. 35 Abs. 1 S. 1 DSGVO . . . . . . . . . . . . . . . . . . . 301 II. Anforderungen an die Durchführung einer Datenschutz-Folgenabschätzung . . . 304 III. Konsultation der Aufsichtsbehörde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 IV. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 B. Die Pflicht zur Benennung eines Datenschutzbeauftragten im Gesundheitswesen . . 307 I. Pflicht zur Benennung eines Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . . 307 1. Verpflichtende Benennung für öffentliche Stellen sowie bei umfangreicher Verarbeitung personenbezogener Daten als Kerntätigkeit, Art. 37 DSGVO . . 308 2. Verpflichtende Benennung in Abhängigkeit von der Anzahl der Beschäftigten, § 38 Abs. 1 S. 1 BDSG n. F. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 3. Verpflichtende Benennung bei Verarbeitungen, die einer Datenschutz-Folgenabschätzung unterliegen, § 38 Abs. 1 S. 2 Var. 1 BDSG n. F. . . . . . . . . . . . . . . 314
Inhaltsverzeichnis
17
4. Bestimmungen zum Datenschutzbeauftragten in den Landeskrankenhaus gesetzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 II. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Kapitel 6
Datenschutzrechtliche Anforderungen bei dem Einsatz von Gesundheits-Applikationen in der Gesundheitsversorgung 317
A. Überblick über die Einbindung von Gesundheits-Applikationen in die Gesundheitsversorgung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 B. Datenschutzrechtliche Aspekte bei digitalen Gesundheitsanwendungen . . . . . . . . . . 320 I. Gesundheitsdaten in digitalen Gesundheitsanwendungen . . . . . . . . . . . . . . . . . . 320 II. Einordnung der datenschutzrechtlichen Verantwortlichkeit für digitale Gesundheitsanwendungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 1. Gemeinsam Verantwortliche, Art. 26 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . 324 a) Entscheidung über Zwecke und Mittel . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 b) Rechtsprechung des EuGH zur gemeinsamen Verantwortlichkeit . . . . . . . 327 2. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 III. Datenschutzrechtliche Legitimation der Verarbeitung personenbezogener Daten im Kontext digitaler Gesundheitsanwendungen . . . . . . . . . . . . . . . . . . . . . . . . . . 330 1. Verarbeitung personenbezogener Daten durch den Hersteller . . . . . . . . . . . . 330 a) Zulässige Datenverarbeitung nach § 4 Abs. 2 DiGAV . . . . . . . . . . . . . . . . 330 b) Übermittlung von Gesundheitsdaten in Drittstaaten . . . . . . . . . . . . . . . . . 333 aa) Zweistufige Zulässigkeitsprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 bb) Einschränkung der Drittstaatenübermittlung durch § 4 Abs. 3 DiGAV 334 cc) Angemessenheitsbeschlüsse und Ungültigkeit des „EU-US-Privacy Shield“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 dd) Informationspapier des BfArM zur Zulässigkeit der Datenverarbeitung außerhalb Deutschlands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 ee) Verhältnis zwischen den Vorschriften des Kapitels V der DSGVO und Art. 3 Abs. 2 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 2. Verarbeitung personenbezogener Daten durch die Krankenkassen . . . . . . . . . 339 a) Datenverarbeitung bei der Prüfung der Leistungspflicht durch die Krankenkasse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 b) Datenverarbeitung bei der Leistungsabwicklung durch die Krankenkassen 340 C. Gesundheits-Applikationen in Bonusprogrammen der gesetzlichen Kranken versicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 I. Datenverarbeitung bei der Nutzung von Apps als Bestandteil von Bonus programmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
18
Inhaltsverzeichnis II. Zulässigkeit der Datenverarbeitung zu Zwecken der Bonusprogrammnutzung . . 342
D. Fazit Kapitel 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Kapitel 7
Datenschutz in der medizinischen Forschung unter der DSGVO 347
A. Grundrechtskonflikt im Rahmen der Forschung mit personenbezogenen Daten . . . . 347 B. Der Begriff der wissenschaftlichen Forschung in der DSGVO . . . . . . . . . . . . . . . . . . 350 C. Sonderregelungen für die wissenschaftliche Forschung hinsichtlich Zweckbindung und Speicherbegrenzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 I. Einschränkung des Zweckbindungsgrundsatzes . . . . . . . . . . . . . . . . . . . . . . . . . . 352 1. Keine Prüfung der Vereinbarkeit von Primär- und Sekundärzweck bei der Weiterverarbeitung zu Forschungszwecken . . . . . . . . . . . . . . . . . . . . . . . . . . 354 2. Erfordernis einer gesonderten Rechtsgrundlage für die zweckändernde Weiterverarbeitung zu Forschungszwecken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 II. Privilegierung in Bezug auf die Speicherdauer . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 D. Anforderungen an die Verarbeitung personenbezogener Daten zu Forschungszwecken nach Art. 89 Abs. 1 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 E. Zulässigkeit der Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 I. Datenverarbeitung zu Forschungszwecken auf der Grundlage einer Einwilligung 363 1. Die Bestimmtheit der Einwilligung und die Zulässigkeit eines „Broad Consent“ unter der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364 a) Standpunkte in Literatur und Praxis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 b) Zusammenfassung und Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 2. Alternative Einwilligungsmodelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 II. Einwilligungsunabhängige Datenverarbeitung zu Forschungszwecken . . . . . . . . 374 1. Normativer Ausgangspunkt: Art. 9 Abs. 2 lit. j DSGVO . . . . . . . . . . . . . . . . . 374 2. Systematik des nationalen Datenschutzrechts im Bereich der medizinischen Forschung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375 a) Staatliches Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375 aa) Regelungsstruktur des staatlichen Datenschutzrechts im Forschungs bereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375 bb) Einordnung öffentlicher Forschungseinrichtungen als Wettbewerbs einrichtungen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377 b) Kirchliches Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380 c) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381 3. Nationale Forschungsklauseln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Inhaltsverzeichnis
19
a) Art. 9 Abs. 2 lit. j DSGVO i. V. m. § 27 BDSG n. F. . . . . . . . . . . . . . . . . . . 382 aa) Rechtsnatur des § 27 Abs. 1 S. 1 BDSG n. F. . . . . . . . . . . . . . . . . . . . . 383 bb) Interessenabwägung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384 cc) Angemessene und spezifische Maßnahmen und Garantien . . . . . . . . . 387 dd) Anonymisierungs- und Trennungsgebot . . . . . . . . . . . . . . . . . . . . . . . 388 b) Art. 9 Abs. 2 lit. j DSGVO i. V. m. den Landesforschungsklauseln . . . . . . . 389 aa) Zweckbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 bb) Erhebung und Weiterverarbeitung von Patientendaten zu Forschungszwecken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 cc) Datenübermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394 dd) Anonymisierungs- bzw. Pseudonymisierungsgebot . . . . . . . . . . . . . . 395 c) Kirchliche Datenschutzvorschriften für die Datenverarbeitung zu Forschungszwecken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396 4. Entwicklungstendenzen im nationalen Recht . . . . . . . . . . . . . . . . . . . . . . . . . 397 a) Bisherige Vorschläge für die Ausgestaltung bundesweit einheitlicher Forschungsregelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 b) Einheitliche Anwendbarkeit der bundesrechtlichen Forschungsklausel nach § 287a S. 1 SGB V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400 F. Spezialgesetzliche Regeln für die Datenverarbeitung zu medizinischen Forschungszwecken im Arzneimittel- und Medizinprodukterecht sowie im Transplantations gesetz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 I. Klinische Prüfung von Arzneimitteln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 1. Datenschutzrechtliche Verantwortlichkeit im Rahmen klinischer Prüfungen . 404 2. Zulässigkeit der Datenverarbeitung im Rahmen klinischer Prüfungen von Arzneimitteln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 a) Zusammenwirken von DSGVO und AMG n. F. . . . . . . . . . . . . . . . . . . . . . 408 aa) Konkretisierung der Einwilligungsanforderungen im AMG n. F. . . . . 409 (1) Formanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409 (2) Informiertheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 (3) Widerruflichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 bb) Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen klinischer Prüfungen . . . . . . . . . . . . . . . . . . 411 b) Verhältnis der DSGVO zur VO (EU) 536/2014 . . . . . . . . . . . . . . . . . . . . . 412 aa) Rechtsgrundlage für die Primärnutzung klinischer Daten . . . . . . . . . . 412 (1) Datenverarbeitung auf der Grundlage einer Einwilligung . . . . . . 413 (2) Einwilligungsunabhängige Datenverarbeitung . . . . . . . . . . . . . . . 415 bb) Rechtsgrundlage für die Sekundärnutzung klinischer Daten . . . . . . . . 416 c) Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 II. Klinische Prüfung mit Medizinprodukten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
20
Inhaltsverzeichnis 1. Rechtslage nach dem Geltungsbeginn der EU-Medizinprodukteverordnung . 419 2. Zulässigkeit der Datenverarbeitung im Rahmen klinischer Prüfungen mit Medizinprodukten unter der MDR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420 III. Datenverarbeitung zu Forschungszwecken nach dem Transplantationsgesetz . . . 421 1. Datenschutzrechtliche Voraussetzungen für die Forschung mit transplantations medizinischen Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422 2. Datenübermittlung durch die Transplantationsregisterstelle zu Forschungszwecken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
G. Forschung mit Sozialdaten unter der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 I. Überblick über die forschungsspezifischen Regelungen im SGB und ihre Systematik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 II. Rechtsgrundlagen für die Verarbeitung von Sozialdaten zu Forschungszwecken 427 1. Gesetzliche Rechtsgrundlage für die Datenverarbeitung zum Zweck der internen Forschung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427 2. Gesetzliche Rechtsgrundlage für die Datenübermittlung zum Zweck der externen Forschung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430 a) Übermittlung von Sozialdaten für ein bestimmtes Forschungsvorhaben . . 430 b) Übermittlung von Sozialdaten für Folgeforschungsvorhaben . . . . . . . . . . 432 c) Übermittlung von Sozialdaten für inhaltlich zusammenhängende Forschungsvorhaben des gleichen Forschungsbereichs . . . . . . . . . . . . . . . . . . 433 d) Maßnahmen zur Wahrung der Interessen der betroffenen Person bei der Übermittlung besonderer Kategorien personenbezogener Daten . . . . . . . . 434 e) Besonderheiten bei der Übermittlung an nichtöffentliche Stellen . . . . . . . 434 f) Verlängerte Speicherungsmöglichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435 g) Verhältnis zur ärztlichen Schweigepflicht . . . . . . . . . . . . . . . . . . . . . . . . . 436 3. Einwilligungsbasierte Verarbeitung von Sozialdaten zu Forschungszwecken 437 III. Neufassung der Vorschriften zur Datentransparenz im SGB V durch das DigitaleVersorgung-Gesetz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 1. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 2. Das gesetzliche Verfahren der Datentransparenz . . . . . . . . . . . . . . . . . . . . . . . 440 3. Bewertung unter der Rechtslage der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . 443 4. Verhältnis der Datentransparenzvorschriften zu den sonstigen Forschungs regelungen im SGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446 IV. Verarbeitung von Daten der elektronischen Patientenakte zu Forschungszwecken 447 1. Datenfreigabe im Rahmen des Datentransparenzverfahrens . . . . . . . . . . . . . . 449 2. Datenfreigabe auf der Grundlage einer informierten Einwilligung . . . . . . . . . 455 H. Einschränkung der Betroffenenrechte für die Forschung . . . . . . . . . . . . . . . . . . . . . . 456 I. Einschränkung durch Vorgaben in der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . 457 1. Einschränkung der Informationspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
Inhaltsverzeichnis
21
2. Entfall des Rechts auf Löschung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457 3. Forschungsbezogenes Widerspruchsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458 II. Einschränkung durch Regelungen auf Bundesebene . . . . . . . . . . . . . . . . . . . . . . 459 III. Einschränkung durch Regelungen auf Landesebene . . . . . . . . . . . . . . . . . . . . . . 462 IV. Einschränkung durch Regelungen in den kirchlichen Datenschutzgesetzen . . . . 462 V. Betroffenenrechte in besonderen Verarbeitungssituationen . . . . . . . . . . . . . . . . . 463 1. Betroffenenrechte im System der Datentransparenzvorschriften . . . . . . . . . . 463 2. Betroffenenrechte im Rahmen klinischer Prüfungen . . . . . . . . . . . . . . . . . . . . 465 I. Fazit Kapitel 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
Schlussbetrachtungen 470
A. Zusammenfassung der zentralen Erkenntnisse der Untersuchung . . . . . . . . . . . . . . . 470 I. Zulässigkeit der Datenverarbeitung im Gesundheitswesen unter der DSGVO . . 470 II. Sozialdatenschutz unter der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472 III. Betroffenenrechte im Gesundheitswesen unter der DSGVO . . . . . . . . . . . . . . . . 473 IV. Datenschutzorganisation im Gesundheitswesen . . . . . . . . . . . . . . . . . . . . . . . . . . 473 V. Datenschutzrechtliche Anforderungen bei dem Einsatz von Gesundheits-Applikationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474 VI. Datenschutz in der medizinischen Forschung unter der DSGVO . . . . . . . . . . . . . 475 B. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480 Dokumente von Institutionen sowie von nationalen Aufsichtsbehörden . . . . . . . . . . 510 Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514
Abkürzungsverzeichnis 2. DSAnpUG-EU Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz A&R Arzneimittel & Recht a. A. andere Ansicht a. E. am Ende a. F. alte Fassung ABIDA Assessing Big Data ABl. Amtsblatt der Europäischen Union ABl. EG Amtsblätter EG ABl. EU Amtsblätter EU Abs. Absatz AEUV Vertrag über die Arbeitsweise der Europäischen Union AGB Allgemeine Geschäftsbedingungen Alt. Alternative AMG Arzneimittelgesetz AMG-ÄndG AMG-Änderungsgesetz AOK Allgemeine Ortskrankenkasse Art. Artikel Aufl. Auflage Ausschuss-Drs. Ausschussdrucksache BÄK Bundesärztekammer BAS Bundesamt für Soziale Sicherung BayDSG Bayerisches Datenschutzgesetz BayKrG Bayerisches Krankenhausgesetz BayLDA Bayerisches Landesamt für Datenschutzaufsicht BayVbl. Bayerische Verwaltungsblätter BbgDSG Brandenburgisches Datenschutzgesetz BbgKHEG Brandenburgisches Krankenhausentwicklungsgesetz Bd. Band BDSG Bundesdatenschutzgesetz BeckOGK beck-online Großkommentar zum Zivilrecht BeckOK Beck’scher Online-Kommentar Bundesinstitut für Arzneimittel und Medizinprodukte BfArM Bundesbeauftragter für den Datenschutz und die Informationsfreiheit BfDI Bürgerliches Gesetzbuch BGB BGBl. Bundesgesetzblatt BGH Bundesgerichtshof BlnDSAnpG-EU Berliner Datenschutz-Anpassungsgesetz EU BlnDSG Berliner Datenschutzgesetz BMG Bundesministerium für Gesundheit BMWi Bundesministerium für Wirtschaft und Energie BR-Drs. Bundesratdrucksache
Abkürzungsverzeichnis
23
Gesetzblatt der Freien Hansestadt Bremen Bremisches Ausführungsgesetz zur EU-Datenschutz-Grundverordnung Bremisches Krankenhausgesetz BremKrhG BSG Bundessozialgericht BSGE Entscheidungssammlung des Bundessozialgerichts BT-Drs. Bundestagsdrucksache Bundesgesundheitsbl. Bundesgesundheitsblatt Berufsverband der Datenschutzbeauftragten-News BvD-News BVerfG Bundesverfassungsgericht Entscheidungssammlung des Bundesverfassungsgerichts BVerfGE Bundesverband Gesundheits-IT e. V. BVITG bzw. beziehungsweise Corporate Compliance Zeitschrift CCZ Computer und Recht CR Deutsches Ärzteblatt DÄBl. DANA Datenschutznachrichten ders. derselbe dies. dieselbe(n) Digitale Gesundheitsanwendung DiGA Digitale Gesundheitsanwendungen-Verordnung DiGAV Deutsche Krankenhausgesellschaft e. V. DKG Datenschutz-Grundverordnung-Ausfüllungsgesetz Sachsen-Anhalt DSAG LSA Datenschutz-Anpassungs- und Umsetzungsgesetz DSAnpUG-EU DSB Datenschutzbeauftragte Landesdatenschutzgesetz Mecklenburg-Vorpommern DSG M-V Datenschutzgesetz Nordrhein-Westfalen DSG NRW Kirchengesetz über den Datenschutz in der evangelischen Kirche in DSG-EKD Deutschland DSGVO Datenschutz-Grundverordnung DSK Datenschutzkonferenz Datenschutz-Richtlinie 95/46/EG DSRL Datenschutz und Datensicherheit DuD Deutsches Verwaltungsblatt DVBl. DVG Digitale-Versorgung-Gesetz DVPMG Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz eingetragener Verein e. V. European Data Protection Board EDPB Europäischer Datenschutzaussschuss EDSA Europäischer Datenschutzbeauftragter EDSB elektronische Datenverarbeitung EDV Erwägungsgrund / Europäische Gemeinschaft EG elektronische Gesundheitskarte eGK Einl. Einleitung Konvention zum Schutz der Menschenrechte und Grundfreiheiten EMRK elektronische Patientenakte ePA et alia / -us / -i et al. Europäische Union EU Brem. GBl. BremDSGVOAG
24
Abkürzungsverzeichnis
Europäischer Gerichtshof EuGH Zeitschrift Europarecht EuR Vertrag über die Europäische Union EUV Europäische Zeitschrift für Wirtschaftsrecht EUZW Europäische Wirtschaftsgemeinschaft EWG EWR Europäischer Wirtschaftsraum und folgende f. / ff. Frequently Asked Questions FAQ FS Festschrift Gesundheits- und Sozialpolitik G+S GA Generalanwalt GCP-V GCP-Verordnung Gesellschaft für Datenschutz und Datensicherheit e. V. GDD Gesundheitsdatenschutzgesetz Nordrhein-Westfalen GDSG NW GesR Gesundheitsrecht Gewerbe Archiv GewArch GG Grundgesetz Gesetzliche Krankenversicherung GKV GKV-Spitzenverband Spitzenverband Bund der Krankenkassen Deutsche Gesellschaft für Medizinische Informatik, Biometrie und GMDS Epidemiologie Gebührenordnung für Zahnärzte GOZ Charta der Grundrechte der Europäischen Union GRCh Gewerblicher Rechtsschutz und Urheberrecht Praxis GRUR-Prax Gesundheit und Pflege GuP Gesetz- und Verordnungsblatt für das Land Sachsen-Anhalt GVBl. LSA Gesetz- und Verordnungsblatt für Schleswig-Holstein GVOBl. Schl.-H. Hessisches Datenschutz- und Informationsfreiheitsgesetz HDSIG Hessisches Krankenhausgesetz HKHG HmbBfDI Der Hamburgische Beauftrage für Datenschutz und Informationsfreiheit Hamburgisches Datenschutzgesetz HmbDSG Hamburgisches Krankenhausgesetz HmbKHG Hs. Halbsatz in der Fassung i. d. F. im Ergebnis i. E. im Sinne des i. S. d. im Sinne von i. S. v. in Verbindung mit i. V. m. IfSG Infektionsschutzgesetz IP Internetprotokoll IT Informationstechnologie Der IT-Rechtsberater ITRB Zeitschrift für Internationales Wirtschaftsrecht IWRZ Juristische Arbeitsblätter JA Juris PraxisKommentar JurisPK Juris PraxisReport IT-Recht JurisPR-ITR JZ JuristenZeitung
Abkürzungsverzeichnis
25
Kommunikation und Recht K&R Kap. Kapitel Kasseler Kommentar zum Sozialversicherungsrecht KassKomm Kassenärztliche Bundesvereinigung KBV Gesetz über den kirchlichen Datenschutz KDG KDO Anordnung über den kirchlichen Datenschutz Krankenhausgesetz Sachsen-Anhalt KHG LSA KHG Krankenhausfinanzierungsgesetz Kaufmännische Krankenkasse KKH Dokumente der Kommission der Europäischen Union KOM Kranken- und Pflegeversicherung KrV Kassenärztliche Vereinigung KV Kassenärztliche Vereinigung Bayerns KVB Die Landesbeauftragte für den Datenschutz und für das Recht auf LDA Brandenburg Akteneinsicht Brandenburg Landesdatenschutzgesetz Baden-Württemberg LDSG BW Landesdatenschutzgesetz Rheinland-Pfalz LDSG Rh.-Pf. Landesdatenschutzgesetz Schleswig-Holstein LDSG SH LDSG Landesdatenschutzgesetz Die Landesbeauftragte für den Datenschutz Niedersachsen LfD Niedersachsen Der Landesbeauftrage für Datenschutz und Informationsfreiheit LfDI MV Mecklenburg-Vorpommern Der Landesbeauftragte für Datenschutz und Informationsfreiheit LfDI NW Nordrhein-Westfalen lit. litera Landeskrankenhausgesetz Berlin LKG Berlin Landeskrankenhausgesetz Rheinland-Pfalz LKG Rh.-Pf. Landeskrankenhausgesetz Baden-Württemberg LKHG BW Landeskrankenhausgesetz Mecklenburg-Vorpommern LKHG M-V LKHG SH Landeskrankenhausgesetz Schleswig-Holstein LKHG Landeskrankenhausgesetz Ls. Leitsatz mit weiteren Nachweisen m. w. N. mit Wirkung vom m. W. v. (Muster-)Berufsordnung für die in Deutschland tätigen Ärztinnen MBO-Ä und Ärzte Medizinischer Dienst der Krankenversicherung MDK EU-Medizinprodukteverordnung 2017/745 (Medical Device RegulaMDR tion) MedR Medizinrecht MII Medizininformatik-Initiative Zeitschrift für IT-Recht und Recht der Digitalisierung MMR Newsdienst MMR-Aktuell MMR-Aktuell MPDG Medizinprodukterecht-Durchführungsgesetz MPDG-AnpG Medizinprodukte-EU-Anpassungsgesetz MPG Medizinproduktegesetz Medizin Produkte Recht MPR Münchener Kommentar MüKo
26
Abkürzungsverzeichnis
neue Fassung n. F. Niedersächsisches Datenschutzgesetz NDSG Neue Juristische Wochenschrift NJW Niedersächsisches Krankenhausgesetz NKHG Kindhäuser / Neumann / Paeffgen Strafgesetzbuch Kommentar NK-StGB Nr. Nummer Neue Zeitschrift für Verwaltungsrecht NVwZ Neue Zeitschrift für Arbeitsrecht NZA Neue Zeitschrift für Sozialrecht NZS OLG Oberlandesgericht Ordnung zum Schutz von Patientendaten in katholischen KrankenPatDSO häusern und Einrichtungen im Erzbistum Köln PDSG Patientendaten-Schutz-Gesetz Pharma Recht PharmR Privacy in Germany PinG Rat für Sozial- und WirtschaftsDaten Rat SWD Recht der Datenverarbeitung RDV Rn. Randnummer RphZ Rechtsphilosophie Satz / Seite S. Sächsisches Datenschutzdurchführungsgesetz SächsDSDG Sächsisches Krankenhausgesetz SächsKHG Saarländisches Datenschutzgesetz SDSG Sozialgesetzbuch I SGB I Sozialgesetzbuch V SGB V Sozialgesetzbuch X SGB X Die Sozialgerichtsbarkeit SGb Saarländisches Krankenhausgesetz SKHG Systematischer Kommentar zum Strafgesetzbuch SK-StGB sog. sogenannte / -r / -s StGB Strafgesetzbuch StrlSchG Strahlenschutzgesetz Syst. System TFG Transfusionsgesetz Thüringer Datenschutzgesetz ThürDSG Thüringer Krankenhausgesetz ThürKHG Technologie- und Methodenplattform für die vernetzte medizinische TMF Forschung e. V. TPG Transplantationsgesetz Terminservice- und Versorgungsgesetz TSVG unter anderem u. a. UAbs. Unterabsatz Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ULD SH vom / von v. Verf. Verfasser VerwArch. Verwaltungsarchiv Vgl. Vergleiche VO Verordnung
Abkürzungsverzeichnis Vol. Volume Verbraucher und Recht VuR VVG Versicherungsvertragsgesetz Working Paper WP Weimarer Reichsverfassung WRV WzS Wege zur Sozialversicherung zum Beispiel z. B. Zeitschrift für Datenschutz ZD Newsdienst ZD-Aktuell ZD-Aktuell Zeitschrift für Datenschutz – Beilage ZD-Beil. Zeitschrift für Europarechtliche Studien ZEuS Zeitschrift für medizinische Ethik ZfmE Zeitschrift für die sozialrechtliche Praxis ZFSH SGB Ziff. Ziffer zit. zitiert Zeitschrift für das gesamte Medizinrecht ZMGR Zeitschrift für Rechtspolitik ZRP Zeitschrift für Urheber- und Medienrecht ZUM zust. zustimmend
27
Einleitung und Gang der Untersuchung* A. Einführung in die Thematik Der Datenschutz im Gesundheitswesen gilt bereits seit längerer Zeit als komplex und unübersichtlich.1 Dies ließ sich bislang vor allem auf die umfassende rechtliche Regulierung des Gesundheitsdatenschutzes in einer Vielzahl von Gesetzen auf nationaler Ebene zurückführen.2 Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO)3 am 24. Mai 2016 ist eine neue unionale Regelungsebene zu dem bisher schon komplexen Normsystem hinzugetreten.4 Diese hat gemäß Art. 99 Abs. 2 DSGVO nach einer zweijährigen Übergangsfrist am 25. Mai 2018 Geltung in allen Mitgliedstaaten der Europäischen Union erlangt und gleichzeitig gemäß Art. 94 Abs. 1 DSGVO die seit dem Jahr 1995 geltende EU-Datenschutzrichtlinie (DSRL)5 abgelöst. Mit dem Geltungsbeginn der DSGVO wurde das unionale Datenschutzrecht daher von der Handlungsform einer Richtlinie in die Handlungsform einer unmittelbar geltenden Verordnung überführt und der Schutz
Alle Internetquellen wurden zuletzt am 26. Februar 2022 abgerufen. * In dieser Arbeit wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Alle anderen Geschlechtsformen sind damit ausdrücklich miteingeschlossen. 1 Zur Kritik am komplexen Gesundheitsdatenschutzrecht unter der alten Rechtslage Kin green / Kühling, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 56, 440 ff.; dies., JZ 2015, 213 (214 ff.); Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 124; Hornung, in: Anzinger et al., Schutz genetischer, medizinischer und sozialer Daten, S. 54; Weichert, Bundesgesundheitsbl. 2018, 285 (288); Dochow, GesR 2016, 401 (401). 2 Kingreen / Kühling, JZ 2015, 213 (214) sprechen von „Probleme[n] eines hypertrophen Datenschutzrechts, soweit es um Gesundheitsdaten geht“ und von einem „Regelungsdickicht im (Gesundheits-)Datenschutzrecht“; ebenso spricht Kühling, MedR 2019, 611 (622) von einer „hypertrophen Datenschutzordnung“; Jülicher, Medizininformationsrecht, S. 83 geht von einer „Hypertrophie bereichsspezifischer Regulierung“ aus; Dochow, Telematik im Gesundheitswesen, S. 564 spricht davon, dass in Deutschland ein „vielschichtiges System konkurrierender und sich ergänzender Regelungen“ bestehe; schließlich betont Buchner, Datenschutz im Gesundheitswesen, S. 5, dass das „komplizierte Regelungsgeflecht“ im Datenschutzrecht „bislang oft kaum noch zu durchschauen war“. 3 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. EU 2016 L 119, S. 1. 4 Kühling, MedR 2019, 611 (622); Dochow, Telematik im Gesundheitswesen, S. 427; ders., GesR 2016, 401 (401). 5 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. EG 1995 L 281, S. 31.
30
Einleitung und Gang der Untersuchung
personenbezogener Daten auf ein gänzlich neues Fundament gestellt.6 Der Schutz dieser Daten ist nicht länger durch nationale Gesetze auf Basis einer EU-Richtlinie geregelt, sondern vorrangig in der gemäß Art. 288 Abs. 2 AEUV mit unmittelbarer Geltung und Verbindlichkeit ausgestatteten DSGVO.7 Die DSGVO zielt grundsätzlich auf eine Harmonisierung des Datenschutzrechts in der Europäischen Union ab.8 Allerdings sah die DSGVO als „Grund“-Verordnung bereits im Kommissionsentwurf aus dem Jahr 2012 eine Vielzahl an Befugnissen zum Erlass von delegierten Rechtsakten und Durchführungsrechtsakten für die Kommission vor, die die Wirkung der Harmonisierung einschränkten.9 Diese umfangreiche Kompetenzverlagerung auf die Kommission stieß jedoch insbesondere mit Blick auf die Wesentlichkeitsvorgaben aus Art. 290 Abs. 1 UAbs. 1 AEUV auf erhebliche Kritik.10 Im Gesetzgebungsprozess wurden die umstrittenen Ermächtigungen zum Erlass von delegierten Rechtsakten und Durchführungsrechtsakten daher stark reduziert und den mitgliedstaatlichen Gesetzgebern stattdessen über sog. Öffnungsklauseln11 weitreichende legislative Gestaltungsspielräume verliehen, die obligatorischer oder fakultativer Natur sein können und Raum für nationale Regelungen lassen.12 Die in Kraft getretene Fassung der DSGVO hat die Ausgestaltungsbefugnis daher in vielen Punkten zu den Mitgliedstaaten verschoben.13 Dadurch hat der Anspruch der Vollharmonisierung des Datenschutzrechts auf europäischer Ebene gewisse Durchbrechungen erfahren.14 6
Kühling, MedR 2019, 611 (611); Spiecker / Wallrabenstein, in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 5; Spranger / Schulz, PharmR 2017, 128 (128); Dierks / Kluckert, NZS 2017, 687 (692). 7 Leopold, NZS 2018, 357 (357). 8 Pötters, in: Gola, DSGVO, Art. 1 DSGVO Rn. 24; Kühling / Martini et al., Die DSGVO und das nationale Recht, Vorwort. 9 S. Art. 62 und Art. 86 Abs. 2 des Verordnungsentwurfs der Europäischen Kommission v. 25. Januar 2012, COM(2012) 11 final; dazu auch Kühling / Martini, EuZW 2016, 448 (449); Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 10 Rn. 1. 10 BT-Drs. 17/11325, S. 3 Nr. 13; Der Europäische Datenschutzbeauftragte, Zusammenfassung der Stellungnahme des EDSB v. 7. März 2012 zum Datenschutzreformpaket, ABl. EU 2012 C 192, S. 7; Hornung, ZD 2012, 99 (105); Schild / Tinnefeld, DuD 2012, 312 (317); Wagner, DuD 2012, 676 (677); Jaspers, DuD 2012, 571 (571); Roßnagel, in: Roßnagel, DSGVO, § 1 Rn. 19; so auch Müller, Die Öffnungsklauseln der DSGVO, S. 173; Kühling / Martini, EuZW 2016, 448 (449). 11 Teilweise wird anstatt des Begriffs der „Öffnungsklausel“ die Bezeichnung „Spezifizierungsklausel“ gewählt, Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 89. Da sich der Terminus „Öffnungsklausel“ jedoch weitgehend etabliert hat, soll er auch in dieser Arbeit verwendet werden. Von „Öffnungsklauseln“ sprechen beispielsweise Kühling / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 98 und Hornung / Spiecker, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Einleitung Rn. 226 sowie Buchner, DuD 2016, 155 (160). 12 Kühling / Martini, EuZW 2016, 448 (448); Albrecht / Janson, CR 2016, 500 (501); Albrecht, CR 2016, 88 (97); Buchner / Schwichtenberg, GuP 2016, 218 (219); Buchner, DuD 2016, 155 (160); Roßnagel, DuD 2017, 277 (278); BR-Drs. 110/17, S. 68; Kühling, MedR 2019, 611 (612); ders., NJW 2017, 1985 (1986). 13 Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 218; Buchner, DuD 2016, 155 (160); Kühling, NJW 2017, 1985 (1986). 14 Greve, NVwZ 2017, 737 (743); Kühling / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 101.
A. Einführung in die Thematik
31
Gerade für die Datenverarbeitung im Gesundheitswesen räumt die DSGVO den Mitgliedstaaten über weit gefasste Öffnungsklauseln einen erheblichen Regelungsspielraum im einzelstaatlichen Recht ein.15 Die Aufnahme einer Vielzahl von Öffnungsklauseln in die DSGVO lässt sich unter anderem auch auf Bestrebungen des deutschen Gesetzgebers zurückführen, dem es während des Gesetzgebungsverfahrens ein wichtiges Anliegen war, dass insbesondere das „hohe nationale Schutzniveau“ im Hinblick auf die „Verarbeitung besonders sensibler Daten, wie etwa im Gesundheits- oder Sozialbereich“16, nicht eingeschränkt werde. Insbesondere im Kontext des Gesundheitsdatenschutzrechts sieht sich der für die Datenverarbeitung Verantwortliche daher mit einem komplexen Nebeneinander von europäischem Recht in Gestalt der DSGVO und einem „schwer zu durchdringende[n] Gesetzesgeflecht“17 auf nationaler Ebene konfrontiert.18 Die Reform des europäischen Datenschutzrechts hat daher keinesfalls zu einer Reduktion der Komplexität des Datenschutzes im Gesundheitswesen geführt, vielmehr haben die Herausforderungen bei der Rechtsanwendung weiter zugenommen.19 So betont der deutsche Gesetzgeber selbst, dass das Zusammenspiel zwischen der DSGVO und dem nationalen Recht ein „komplexe[s] Mehrebenensystem“20 darstelle. Angesichts dieser Komplexität verwundert es kaum, wenn der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit darauf hinweist, dass die hohe Anzahl der Beratungsanfragen von Ärzten Unsicherheiten bei der Umsetzung der DSGVO in der Praxis aufzeige.21 15
Kühling, MedR 2019, 611 (612 f.); ders. / Schildbach, NJW 2020, 1545 (1547); ders. / Martini et al., Die DSGVO und das nationale Recht, S. 48 ff., 55; Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 78; Buchner / Schwichtenberg, GuP 2016, 218 (219); Buchner, Datenschutz im Gesundheitswesen, S. 22, 48; Weichert, MedR 2019, 622 (624); BT-Drs. 19/3194, S. 2; Spiecker / Wallrabenstein, in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 5. 16 BT-Drs. 17/11325, S. 3; vgl. Koalitionsvertrag zwischen CDU, CSU und SPD (18. Legislaturperiode), S. 104. 17 Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 8. 18 Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 8; Heckmann / Paschke, in: Stiftung Datenschutz, Big Data und E-Health, S. 76; Weichert, Bundesgesundheitsbl. 2018, 285 (288); ders., in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 171; Lauber- Rönsberg, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, S. 100; Steinrötter, ZD 2020, 336 (339) spricht von einem „strukturell hochkomplexen Geflecht an datenschutzrechtlichen Vorgaben im Zusamennhang mit Gesundheitsdaten“. 19 Kühling, MedR 2019, 611 (621 f.); ders., DuD 2020, 182 (182); ders. / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 137; ders. / Sackmann, NVwZ 2018, 681 (682); Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 171; ders., DuD 2017, 538 (543); Buchner, Datenschutz im Gesundheitswesen, S. 48; ders. / Kühling, DuD 2017, 544 (544); Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 47; Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 3; Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 11; Kühnl / Rohrer / Schneider, DuD 2018, 735 (737); Dochow, GesR 2016, 401 (401, 407); Jülicher, Medizininformationsrecht, S. 83; Garstka, Der Hautarzt 2019, 343 (343); Kaboré / Kinast, ZD 2019, 441 (442); Krüger-Brand, DÄBl. 2019, Heft 15, A725 (A725). 20 BT-Drs. 18/11325, S. 80. 21 HmbBfDI, 27. Tätigkeitsbericht 2018, S. 118.
32
Einleitung und Gang der Untersuchung
Dies wirft die Frage auf, warum die Beachtung des Datenschutzes gerade im Gesundheitswesen von so großer Bedeutung ist.22 Im Gesundheitswesen werden in besonderem Maße sensible persönliche Daten verarbeitet, also u. a. erhoben, gespeichert und übermittelt.23 Dabei handelt es sich etwa um Informationen über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen oder klinische Behandlungen der betroffenen Person.24 Diese Daten bedürfen eines besonderen Schutzes, da sie Aussagen über gegenwärtige und zukünftige körperliche und seelische Befindlichkeiten eines Menschen ermöglichen sowie Rückschlüsse auf sensible Informationen über die Lebensgewohnheiten der jeweiligen Person zulassen und daher ein erhebliches Schadens- und Missbrauchspotential innehaben.25 Angaben über den Gesundheitszustand eines Menschen geben Aufschluss über intimste Verhältnisse und gehören mithin zu den sensibelsten Informationen.26 Hinzu kommt, dass diese sensiblen persönlichen Daten durch eine Vielzahl an Akteuren verarbeitet werden. Für die Funktionalität der medizinischen Versorgung und den medizinischen Fortschritt ist es notwendig, dass im Gesundheitswesen in hohem Maße sensible Daten durch eine Vielzahl Beteiligter verarbeitet und zwischen verschiedenen Akteuren bewegt werden.27 Zunächst benötigen Ärzte Informationen von und über ihre Patienten, um eine fachgerechte medizinische Versorgung gewährleisten zu können, sodass der Umgang mit diesen Informationen einen immanenten Bestandteil der ärztlichen Tätigkeit darstellt.28 Die durch einen Arzt erstellte Diagnose beruht maßgeblich auf der zusammenfassenden Beurteilung einzelner Befunddaten, welche im Rahmen der Anamnese und Untersuchung des Patienten erhoben wurden.29 Diese Daten bilden neben der Grundlage für die Diagnose auch die Basis für die weitere Therapie.30 Umfangreiche Dokumentationspflichten hinsichtlich der aus fachlicher Sicht für die ärztliche Behandlung wesentlichen Maßnahmen, wie sie sich aus § 630f BGB ergeben,31 bedingen daneben die Ver 22
Hauser / Haag, Datenschutz im Krankenhaus, S. 6. Kühnl / Rohrer / Schneider, DuD 2018, 735 (736) bezeichnen das Gesundheitswesen datenschutzrechtlich als „ein gewaltiges und hoch sensibles Datenverarbeitungskonstrukt“. 24 EG 35 S. 2 DSGVO. 25 Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 45. 26 Hauser / Haag, Datenschutz im Krankenhaus, S. 6. 27 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 77; Spiecker / Wallraben stein, in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 5. 28 Dochow / Kreitz, ZfmE 2018, 147 (148); Jülicher, Medizininformationsrecht, S. 88 f.; Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 21. 29 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 100; Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 22. 30 Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 21. 31 Jülicher, Medizininformationsrecht, S. 88 f.; BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A16), abrufbar unter: https://www.bundesaerztekammer.de/richtlinien/empfehlungenstellungnahmen/; Wiencke / Sauerborn, MedR 2000, 517 (518); Kühling, MedR 2019, 611 (616); daneben ergibt sich auch aus § 294 SGB V eine Pflicht zur Aufzeichnung und Übermittlung leistungsbezogener Angaben für alle Leistungserbringer, Fischinger / Monsch, in: Spickhoff, Medizinrecht, § 294 SGB V Rn. 1 ff.; Jülicher, Medizininformationsrecht, S. 89. 23
A. Einführung in die Thematik
33
arbeitung einer Fülle von Daten.32 Klassischerweise werden Daten im Gesundheitswesen daher bei der Behandlung von Patienten im Arzt-Patienten-Verhältnis erhoben und zum Zweck der Dokumentation gespeichert.33 Anschließend werden die Daten aber nicht nur von der erhebenden Stelle zur Behandlung oder zu Maßnahmen der Gesundheitsvorsorge verarbeitet, vielmehr ist es darüber hinaus nicht selten erforderlich, dass Gesundheitsdaten etwa zur Mit- oder Weiterbehandlung an weitere Ärzte übermittelt werden.34 Durch das arbeitsteilige Zusammenwirken sowie die Strukturen des Gesundheitswesens werden die Gesundheitsdaten eines Patienten zumeist von vielen Akteuren verarbeitet.35 Nahezu jede Form der zeitgemäßen integrierten Patientenversorgung erfordert die Vernetzung und den Austausch von Daten, sodass Datenverarbeitung und integrierte Versorgung untrennbar zusammengehören.36 Daneben werden gesundheitsrelevante Daten jedoch nicht nur im Krankenhaus oder in der Arztpraxis verarbeitet, sondern bei vielen weiteren Stellen.37 So werden Gesundheitsdaten systembedingt etwa bei Krankenkassen und Kassenärztlichen Vereinigungen verarbeitet.38 Hinzu kommt, dass sich Einrichtungen im Gesundheitswesen bei der Datenverarbeitung oftmals der Unterstützung durch IT-Dienstleister bedienen.39 Zunehmend generieren betroffene Personen zudem selbst Daten,40 die dann im Rahmen der ärztlichen Behandlung oder durch Krankenversicherungen ausgewertet werden. Überdies werden Gesundheitsdaten in großem Umfang auch zu Zwecken der wissenschaftlichen Forschung verarbeitet.41 Denn diese Daten bergen ein erhebliches Potential im Hinblick auf die Verbesserung der Gesundheitsversorgung der Bevölkerung. Um dieses Ziel zu erreichen, benötigt die Wissenschaft Informationen über den menschlichen Körper sowie über Krankheitsverläufe. Die zentrale Grundlage des Erkenntnisgewinns in der medizinischen Forschung bilden mithin personenbezogene Daten.42 In diesem Sinn hat bereits der Deutsche Ethikrat festgestellt, dass gesundheitsrelevante Daten
32
Hauser / Haag, Datenschutz im Krankenhaus, S. 6. Jülicher, Medizininformationsrecht, S. 60; Dochow, PinG 2018, 51 (53). 34 Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 64; Schröder, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 61. 35 Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 8. 36 Kloepfer, in: Matusiewicz / Pittelkau / Elmer, Die Digitale Transformation im Gesundheitswesen, S. 331. 37 Weichert, in: Stiftung Datenschutz, Big Data und E-Health, S. 187. 38 Weichert, in: Stiftung Datenschutz, Big Data und E-Health, S. 187; ders., DuD 2014, 831 (833). 39 Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 8. 40 Weichert, in: Stiftung Datenschutz, Big Data und E-Health, S. 187. 41 Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 221. 42 Weichert / Krawczak, GMS Medizinische Informatik, Biometrie und Epidemiologie 2019, Vol. 15(1), S. 2; Johannes, in: Roßnagel, Das neue Datenschutzrecht, § 7 Rn. 241; Bischoff, PharmR 2019, 265 (265); Roßnagel, ZD 2019, 157 (158). 33
34
Einleitung und Gang der Untersuchung
in vielen verschiedenen Kontexten anfallen, von der medizinischen Praxis über Versicherer bis hin zur gesundheitsbezogenen Forschung.43 Zusammenfassend lässt sich somit festhalten, dass im Gesundheitswesen angesichts des arbeitsteiligen Zusammenwirkens der verschiedenen Akteure, die im Rahmen der medizinischen Leistungserbringung tätig werden, der organisatorisch davon getrennten Abrechnung sowie der Tatsache, dass Dritte, wie z. B. die medizinische Forschung, gemeinwohlorientiert ein berechtigtes Interesse an diesen Daten haben, eine hohe strukturelle Komplexität besteht.44 Somit trifft der Datenschutz im Gesundheitswesen auf eine „strukturelle Diversität“45 im Gesundheitsbereich, die ihrerseits ein komplexes Gerüst normativer Rahmenbedingungen mit sich bringt.46
B. Fragestellung und Gang der Untersuchung Mit der grundlegenden Änderung des europäischen Rechtsrahmens durch die DSGVO und die damit zusammenhängende Anpassung des nationalen Datenschutzrechts an die neue Rechtslage stellen sich zahlreiche datenschutzrechtliche Fragen zur Auslegung und praktischen Anwendung der einzelnen Datenschutzvorschriften in einem neuen Licht.47 An vielen Stellen wurde vor diesem Hintergrund betont, dass gerade im Gesundheitswesen, in dem eine Vielzahl von sensiblen Daten verarbeitet werden, zahlreiche Fragen ungeklärt sind.48 Vor diesem Hintergrund ist es das Ziel der vorliegenden Arbeit, die Auswirkungen der DSGVO auf das Gesundheitswesen umfassend zu beleuchten und dabei neben Auslegungsfra 43
Deutscher Ethikrat, Stellungnahme Big Data und Gesundheit, S. 14. Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 38; Kühling / Seidel, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 50 ff.; Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 8. 45 Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 8. 46 Kühling, MedR 2019, 611 (611). 47 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 133. 48 So haben etwa Spiecker / Wallrabenstein, in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 5 jüngst darauf hingewiesen, dass „gerade im Gesundheitsbereich, in dem in besonderer Weise sensible Daten durch eine Vielzahl Beteiligter verarbeitet werden, viele Einzelfragen offen“ seien; Spiecker, in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 18 f. führt zudem an, dass bezüglich der konkreten Rechtsanwendung für den Bereich der Gesundheitsversorgung noch erhebliche Rechtsunsicherheiten bestünden; ebenso geht Seiler, PinG 2018, 43 (48) davon aus, dass die DSGVO im Bereich des Gesundheitsdatenschutzes zu zahlreichen Auslegungsproblemen geführt habe; auch Dochow, GesR 2016, 401 (401) verdeutlicht, dass sich mit dem Inkrafttreten der DSGVO für den Regelungsrahmen des Gesundheitsdatenschutzes „neue Konkurrenz- und Abgrenzungsfragen auch im Hinblick auf den bisher in Deutschland maßgeblichen einfachrechtlichen Rahmen für den Datenschutz“ stellen, zudem weist ders. auf S. 408 darauf hin, dass die DSGVO im Gesundheitswesen mehr „Abgrenzungs- und Rechtsanwendungsprobleme“ bereite, als dies noch vor ihrem Geltungsbeginn der Fall gewesen sei. 44
B. Fragestellung und Gang der Untersuchung
35
gen zu den neuen Vorschriften der DSGVO insbesondere auch auf das in dieser Form neue Zusammenspiel der DSGVO mit den nationalen Datenschutzregelungen im Gesundheits- und Sozialbereich einzugehen. Die Arbeit wird dabei die sich aus der DSGVO ergebenden Anforderungen in den Blick nehmen und ebenso die „sehr schwer durchschaubare Gemengelage“49, welche sich aus dem Nebeneinander von Unionsrecht und datenschutzrechtlichen Vorschriften im allgemeinen und bereichsspezifischen Bundes- sowie Landesdatenschutzrecht ergibt, speziell für den Bereich des Gesundheitswesens untersuchen. Um dieser Fragestellung nachzugehen, werden einleitend grundlegende Aspekte zum Zusammenspiel von Unionsrecht und nationalem Recht im neuen Rechtsrahmen untersucht sowie zentrale Begrifflichkeiten erörtert. Dazu werden zunächst die verfassungsrechtlichen Grundlagen in gebotener Kürze dargestellt, um sodann das Verhältnis der DSGVO zum nationalen Recht und schließlich das Verhältnis der nationalen Datenschutzregelungen zueinander einer genauen Analyse zu unterziehen. Anschließend wird neben dem Personenbezug von Daten als „Dreh- und Angelpunkt“50 für die Anwendbarkeit der DSGVO insbesondere auch untersucht, was unter dem für das Gesundheitswesen zentralen Begriff der Gesundheitsdaten zu verstehen ist und welche Anforderungen die Verordnung an diese Daten richtet. Im zweiten Kapitel wird sodann die Zulässigkeit der Datenverarbeitung im Gesundheitswesen im Rahmen des „Geflecht[s] aus europäischen und nationalen Vorgaben“51 einer vertieften Analyse unterzogen. Dabei widmet sich die Untersuchung den für die Datenverarbeitung im Gesundheitswesen relevanten unionsrechtlichen Vorgaben der DSGVO sowie der nationalen Umsetzung im allgemeinen und bereichsspezifischen Datenschutzrecht. Da insbesondere das Sozialdatenschutzrecht einen wichtigen Spezialfall im Gesundheitswesen bildet,52 wird die Systematik des Sozialdatenschutzrechts im „Mehrebenensystem der Normen“53 unter der Geltung der DSGVO anschließend im dritten Kapitel vertieft untersucht. Dabei werden auch die Gesetzesänderungen durch das am 20. Oktober 2020 in Kraft getretene Patientendaten-Schutz-Gesetz (PDSG)54 in den Blick genommen, welches u. a. mit einem neuen Elften Kapitel im Fünften Buch des Sozialgesetzbuches zu einer umfassenden Neustrukturierung der Regelungen zur Telematikinfrastruktur und ihrer Anwendungen, wie der elektronischen Patientenakte, beigetragen hat. In einem weiteren Schritt wird im vierten Kapitel die Ausgestaltung der einzelnen Betroffenenrechte der DSGVO beleuchtet, um sodann die konkrete Reichweite der Betroffenenrechte für die Datenverarbeitung im Gesundheitswesen 49
Roßnagel, in: Roßnagel, Das neue Datenschutzrecht, Vorwort. Spindler, MedR 2016, 691 (695). 51 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 105. 52 Kühling, MedR 2019, 611 (619). 53 Freund / Shagdar, SGb 2018, 195 (198); so auch Bieresborn, NZS 2017, 887 (888); Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 35 SGB I Rn. 4. 54 Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur v. 14. Oktober 2020, BGBl. 2020 Teil I Nr. 46 v. 19. Oktober 2020, S. 2115. 50
36
Einleitung und Gang der Untersuchung
bestimmen zu können. Da Verantwortliche aufgrund der dem Gesundheitswesen immanenten Verarbeitung besonders schützenswerter Gesundheitsdaten erhöhte Anforderungen bei der Datenschutzorganisation zu beachten haben, werden im fünften Kapitel die wesentlichen datenschutzrechtlichen Pflichten des Verantwortlichen untersucht. Anschließend wird im sechsten Kapitel exemplarisch aufgezeigt, welche datenschutzrechtlichen Fragestellungen sich im Zusammenhang mit digitalen Anwendungen und deren Einbindung in die Gesundheitsversorgung ergeben können. Vervollständigt wird die Untersuchung im siebten Kapitel durch die Betrachtung des normativen Rahmens, den die DSGVO im Bereich der medizinischen Forschung aufstellt sowie der Ausgestaltung dieser Vorgaben im nationalen Recht. Dabei wird neben der Umsetzung im allgemeinen Bundes- und Landesrecht insbesondere auch auf die Umsetzung im bereichsspezifischen Recht eingegangen. Abschließend führen die Schlussbetrachtungen der Arbeit die zentralen Erkenntnisse der Untersuchung zusammen und bewerten die Auswirkungen der DSGVO auf das Gesundheitswesen.
Kapitel 1
Vorüberlegungen und Begriffsbestimmungen A. Die grundrechtliche Dimension des Datenschutzes Das europäische Datenschutzrecht findet seine primärrechtliche Grundierung maßgeblich in den grundrechtlichen Gewährleistungen aus Art. 8 GRCh und Art. 16 Abs. 1 AEUV.1 Diese bilden den normativen Rahmen, in dem das datenschutzrechtliche Sekundärrecht zu entwickeln ist und sind daher für das Verständnis dieses unionsrechtlichen Sekundärrechts von grundlegender Bedeutung.2 Im Wortlaut identisch verleihen Art. 8 Abs. 1 GRCh sowie Art. 16 Abs. 1 AEUV jeder Person das Recht „auf Schutz der sie betreffenden personenbezogenen Daten“.3 Das grundrechtlich geschützte Verhalten beeinhaltet vor allem die Herrschaft über die eigenen Daten und mithin die Möglichkeit, Dritte von der Verarbeitung personenbezogener Daten auszuschließen.4 Grundsätzlich stellt jede Verarbeitung personenbezogener Daten einen Eingriff in den Schutzbereich dieses Grundrechts dar.5 Hat die betroffene Person jedoch wirksam in die Verarbeitung eingewilligt, liegt bereits kein Eingriff in das Grundrecht vor.6 Im Übrigen bedarf die Recht 1
Paal / Pauly, in: Paal / Pauly, DSGVO BDSG, Einleitung Rn. 15; Müller, Die Öffnungsklauseln der DSGVO, S. 152; diese werden durch den Privatsphärenschutz des Art. 7 GRCh und Art. 8 EMRK zusätzlich flankiert, v. Lewinski, DuD 2012, 564 (567); Art. 8 GRCh regelt jedoch einen speziellen Aspekt des Schutzes der Privatsphäre und ist gegenüber dem Recht auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh lex specialis, Augsberg, in: v. der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 8 GRCh Rn. 1; Streinz, in: Streinz, EUV AEUV, Art. 8 GRCh Rn. 7; Knecht, in: Schwarze, EU-Kommentar, Art. 8 GRCh Rn. 5; Kühling / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 26; ausführlich zum Verhältnis dieser Normen Michl, DuD 2017, 349 (349 ff.). 2 Sydow, in: Sydow, DSGVO, Einleitung Rn. 7. 3 Überwiegend wird in Art. 16 Abs. 1 AEUV ein Grundrecht auf Datenschutz gesehen Kingreen, in: Calliess / Ruffert, EUV AEUV, Art. 16 AEUV Rn. 2; Brühann, in: v. der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 16 AEUV Rn. 26; teilweise wird Art. 16 Abs. 1 AEUV nur eine rein deklaratorische Funktion zugesprochen bzw. dieser als „objektiv- rechtliche Querschnittsverpflichtung“ der Unionsorgane auf den Datenschutz betrachtet, Brett hauer, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 2 Rn. 37; Schröder, in: Streinz, EUV AEUV, Art. 16 AEUV Rn. 6. 4 Kingreen, in: Callies / Ruffert, EUV AEUV, Art. 8 GRCh Rn. 9. 5 Jarass, in: Jarass, GRCh, Art. 8 GRCh Rn. 9; Kingreen, in: Callies / Ruffert, EUV AEUV, Art. 8 GRCh Rn. 12. 6 Jarass, in: Jarass, GRCh, Art. 8 GRCh Rn. 10; Augsberg, in: v. der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 8 GRCh Rn. 12; Bretthauer, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 3 Rn. 59; Kingreen, in: Callies / Ruffert, EUV AEUV, Art. 8 GRCh Rn. 13.
38
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
fertigung eines Grundrechtseingriffs nach den Voraussetzungen des Art. 52 Abs. 1 GRCh, der durch Art. 8 Abs. 2 S. 1 Hs. 2 GRCh konkretisiert wird, einer gesetzlich geregelten legitimen Grundlage, der Verfolgung eines legitimen Zwecks sowie der Wahrung des Grundsatzes der Verhältnismäßigkeit.7 Art. 16 Abs. 1 AEUV selbst enthält zwar keine Schrankenbestimmungen, da dieser aber das Grundrecht auf Datenschutz aus Art. 8 GRCh wiederholt, wird überwiegend angenommen, dass die diesem Grundrecht in der Grundrechtecharta zugeordneten Schranken aus Art. 8 Abs. 2 und Art. 52 Abs. 1 GRCh ebenfalls zur Geltung kommen.8 Aus Art. 8 Abs. 2 und 3 GRCh sowie Art. 16 Abs. 2 S. 2 AEUV lassen sich die zwingenden Kerngehalte des sekundärrechtlichen europäischen Datenschutzes entnehmen.9 So dürfen personenbezogene Daten nur für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf Grundlage einer sonstigen gesetzlich geregelten Grundlage verarbeitet werden. Daneben hat jede Person das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. Zudem wird die Einhaltung der Vorschriften von unabhängigen Stellen überwacht. Durch Art. 8 GRCh wurde das in Deutschland seit dem wegweisenden „Volkszählungsurteil“10 des BVerfG anerkannte und aus dem allgemeinen Persönlichkeitsrecht in Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG abgeleitete Recht auf informationelle Selbstbestimmung europaweit verbindlich etabliert.11 Neben der abwehrrechtlichen Dimension12 verpflichtet das Datenschutzgrundrecht aus Art. 8 Abs. 1 GRCh den Gesetzgeber auch zu einem effektiven Schutz personenbezogener Daten.13 Dieses Schutzziel greift die DSGVO auf, wenn sie in Art. 1 Abs. 2 DSGVO den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere das Recht auf Schutz personenbezogener Daten 7
Kingreen, in: Callies / Ruffert, EUV AEUV, Art. 8 GRCh Rn. 14; Bretthauer, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 2 Rn. 60 f. 8 Sobotta, in: Grabitz / Hilf / Nettesheim, Das Recht der EU, Art. 16 AEUV Rn. 8; Kingreen, in: Callies / Ruffert, EUV AEUV, Art. 16 AEUV Rn. 3; Bernsdorff, in: Meyer / Hölscheidt, GRCh, Art. 8 GRCh Rn. 24; Schneider, in: BeckOK Datenschutzrecht, Syst. B. Rn. 22 m. w. N. 9 Sobotta, in: Grabitz / Hilf / Nettesheim, Das Recht der EU, Art. 16 AEUV Rn. 32. 10 BVerfGE 65, 1 (1 ff.) – Volkszählung. 11 Weichert, in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, Art. 1 DSGVO Rn. 9; im Einzelnen ist umstritten, ob die Charta einen dem Grundrecht auf informationelle Selbstbestimmung vergleichbaren Schutz gewährt, überwiegend wird jedoch angenommen, dass die durch Art. 8 GRCh geschützte Entscheidungsfreiheit der betroffenen Person über ihre personenbezogenen Daten im Kern der informationellen Selbstbestimmung entspreche, Roßnagel, ZD 2019, 157 (158); Kingreen, in: Callies / Ruffert, EUV AEUV, Art. 8 GRCh Rn. 9; dazu auch Schneider, in: BeckOK Datenschutzrecht, Syst. B Rn. 20; zu der Frage, ob der nationale Gesetzgeber bei der Ausfüllung der Öffnungsklauseln an die Unionsgrundrechte gebunden ist, s. unter Kap. 1 C. I. 2., (S. 49 ff.). 12 Streinz / Michl, EuZW 2011, 384 (385); Bernsdorff, in: Meyer / Hölscheidt, GRCh, Art. 8 GRCh Rn. 23; Sobotta, in: Grabitz / Hilf / Nettesheim, Das Recht der EU, Art. 16 AEUV Rn. 7. 13 Augsberg, in: v. der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 8 GRCh Rn. 8; Schantz, in: BeckOK Datenschutzrecht, Art. 1 DSGVO Rn. 5; Bernsdorff, in: Meyer / Hölscheidt, GRCh, Art. 8 GRCh Rn. 23; Spiecker / Eisenbarth, JZ 2011, 169 (172).
B. Europäische Regelungskompetenz für das Datenschutzrecht
39
gemäß Art. 8 Abs. 1 GRCh zu einem ihrer Ziele erklärt.14 Die DSGVO dient daher der Erfüllung dieser Schutzpflicht.15 Durch sie wird das primärrechtlich gewährleistete Grundrecht auf Schutz personenbezogener Daten aus Art. 8 GRCh und Art. 16 Abs. 1 AEUV auf der Ebene des Sekundärrechts ausgestaltet und weiter konkretisiert.16
B. Europäische Regelungskompetenz für das Datenschutzrecht – auch im Gesundheitswesen Nach dem Prinzip der begrenzten Einzelermächtigung aus Art. 5 Abs. 1 S. 1 und Abs. 2 EUV darf die Europäische Union nur dann Rechtsakte erlassen, wenn und soweit ihr die Mitgliedstaaten hierzu eine Zuständigkeit verliehen haben.17 Das Europäische Parlament und der Rat haben die DSGVO gestützt auf die mit dem Vertrag von Lissabon eingeführte primärrechtliche Grundlage des Art. 16 Abs. 2 AEUV erlassen.18 In Art. 16 Abs. 2 UAbs. 1 S. 1 AEUV werden das Europäische Parlament und der Rat ermächtigt, Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstige Stellen der Union sowie durch die Mitgliedstaaten und über den freien Datenverkehr zu erlassen. Inhaltlich umfasst Art. 16 Abs. 2 UAbs. 1 S. 1 AEUV somit zwei Regelungsbereiche.19 Zunächst regelt die Vorschrift den Bereich des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstige Stellen der Union sowie durch die Mitgliedstaaten. Weitgehend Einigkeit besteht darüber, dass der Verweis auf die Verarbeitung durch die Mitgliedstaaten so zu verstehen ist, dass dadurch allein die Datenverarbeitung durch öffentliche Stellen erfasst wird.20 Allerdings ermöglicht der zweite Teil der Kompetenzgrundlage den Erlass von Regelungen „über den freien Datenverkehr“. In dieser Ermächtigung wird sodann die Rechtsgrundlage für Bestimmungen über den Datenschutz bei Datenverarbeitungen durch nichtöffentliche Stellen gesehen.21 Die Regelungskompetenz für den freien Datenverkehr 14
Schantz, in: BeckOK Datenschutzrecht, Art. 1 DSGVO Rn. 5; Sydow, in: Sydow, DSGVO, Art. 1 DSGVO Rn. 8; s. auch EG 2 DSGVO. 15 Schantz, in: BeckOK Datenschutzrecht, Art. 1 DSGVO Rn. 5. 16 Müller, Die Öffnungsklauseln der DSGVO, S. 270; Sobotta, in: Grabitz / Hilf / Nettesheim, Das Recht der EU, Art. 16 AEUV Rn. 32; Jarass, in: Jarass, GRCh, Art. 8 GRCh Rn. 5; P ötters, in: Gola, DSGVO, Art. 1 DSGVO Rn. 7; Buchner, in: Kühling / Buchner, DSGVO BDSG, Art. 1 DSGVO Rn. 9 ff. 17 Kadelbach, in: v. der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 5 EUV Rn. 4. 18 S. die Präambel zur DSGVO sowie EG 12 DSGVO. 19 Sobotta, in: Grabitz / Hilf / Nettesheim, Das Recht der EU, Art. 16 AEUV Rn. 27. 20 Schröder, in: Streinz, EUV AEUV, Art. 16 AEUV Rn. 9; Sobotta, in: Grabitz / Hilf / Nettes heim, Das Recht der EU, Art. 16 AEUV Rn. 18; Klement, JZ 2017, 161 (164); a. A. Brühann, in: v. der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 16 AEUV Rn. 68. 21 Schröder, in: Streinz, EUV AEUV, Art. 16 AEUV Rn. 10; Sobotta, in: Grabitz / Hilf / Nettes heim, Das Recht der EU, Art. 16 AEUV Rn. 18.
40
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
war bereits im früheren Art. 95 EGV (jetzt Art. 114 AEUV) enthalten, auf den sich die DSRL stütze.22 Nach der dazu ergangenen Rechtsprechung des EuGH ist diese Regelungskompetenz nicht eng in dem Sinne zu verstehen, dass damit allein die europäische Regelung grenzüberschreitender Sachverhalte in Betracht kommt.23 Entsprechende Überlegungen müssen daher auch für die Kompetenz zur Regelung des freien Datenverkehrs aus Art. 16 Abs. 2 UAbs. 1 S. 1 Hs. 2 AEUV gelten.24 Im Ergebnis stellt Art. 16 Abs. 2 AEUV somit auch für den Erlass datenschutzrechtlicher Regelungen für nichtöffentliche Stellen eine umfassende Kompetenzgrundlage dar, die auch Vorschriften für rein innerstaatliche Datenverarbeitungen umfassen kann.25 Soweit öffentliche Stellen der Mitgliedstaaten dem unionalen Datenschutzrecht unterworfen werden sollen, ist jedoch zu berücksichtigen, dass dies nur zulässig ist, soweit diese Tätigkeiten im „Anwendungsbereich des Unionsrechts“ ausüben.26 Das Merkmal „Anwendungsbereich des Unionsrechts“ soll rein innerstaatliche Fälle der Datenverarbeitung ausschließen, die nicht in die Zuständigkeit der Union fallen.27 Die Grenzen dieser Rechtssetzungkompetenz vollzieht Art. 2 Abs. 2 lit. a DSGVO deklaratorisch nach, indem er den sachlichen Anwendungbereich der DSGVO ebenfalls auf Tätigkeiten beschränkt, die in den Anwendungsbereich des Unionsrechts fallen.28 Dieser ist mithin lediglich als Hinweis auf die Grenzen der Kompetenzen für die Gesetzgebung der Europäischen Union zu verstehen.29 Damit wird jede Datenverarbeitung, die nicht in den Geltungsbereich des Unionsrechts fällt, aus dem Anwendungsbereich der DSGVO ausgenommen.30 Vor diesem Hintergrund regten sich Bedenken gegen Art. 16 Abs. 2 AEUV als geeignete Kompetenzgrundlage für den Erlass von Regelungen zur Datenverarbeitung im Gesundheitswesen im Rahmen der DSGVO.31 Prima facie erscheint es zu 22
Sobotta, in: Grabitz / Hilf / Nettesheim, Das Recht der EU, Art. 16 AEUV Rn. 30. EuGH, Urt. v. 20. Mai 2003 – verb. Rs. C-465/00, C-138/01 und C-139/01, EuR 2004, 276 (282 f.) Rn. 41. 24 Sobotta, in: Grabitz / Hilf / Nettesheim, Das Recht der EU, Art. 16 AEUV Rn. 30; Brühann, in: v. der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 16 AEUV Rn. 67. 25 Sobotta, in: Grabitz / Hilf / Nettesheim, Das Recht der EU, Art. 16 AEUV Rn. 18; Kieck / Pohl, DuD 2017, 567 (568). 26 Schröder, in: Streinz, EUV AEUV, Art. 16 AEUV Rn. 9. 27 Zerdick, in: Ehmann / Selmayr, DSGVO, Art. 2 DSGVO Rn. 5; Schneider, Einrichtungsübergreifende elektronische Patientenakten, S. 409; Hoidn / Roßnagel, DuD 2018, 487 (490 f.); Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, S. 371. 28 Bäcker, in: BeckOK Datenschutzrecht, Art. 2 DSGVO Rn. 7; Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 5; Zerdick, in: Ehmann / Selmayr, DSGVO, Art. 2 DSGVO Rn. 5; Weichert, in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, Art. 2 DSGVO Rn. 14. 29 Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 5. 30 Nguyen, ZEuS 2012, 277 (287); Müller, Die Öffnungsklauseln der DSGVO, S. 247; Erbguth, KrV 2019, 1 (3). 31 Dochow, GesR 2016, 401 (403); ders., Telematik im Gesundheitswesen, S. 427; auch Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 81 weisen auf diese Problematik hin. 23
B. Europäische Regelungskompetenz für das Datenschutzrecht
41
mindest widersprüchlich, dass die DSGVO für den Bereich des Gesundheitswesens einen Regelungsanspruch für sich geltend macht,32 wenn der Gesundheitsbereich gemäß Art. 168 AEUV grundsätzlich nicht dem Anwendungsbereich des Unionsrechts unterfällt.33 Zwar regelt die DSGVO den Datenschutz im Gesundheitsbereich nicht abschließend, sie enthält aber etwa in Art. 9 DSGVO spezifisch für das Gesundheitswesen geprägte Regelungen.34 Das Gesundheitswesen ist im europäischen Mehrebenensystem grundsätzlich den Mitgliedstaaten überlassen. Die der Union in Art. 168 AEUV zugewiesenen Aufgaben im Gesundheitsbereich weisen lediglich ergänzenden Charakter auf, da die Hauptverantwortung für die Gesundheitspolitik bei den Mitgliedstaaten verbleiben soll.35 Laut Art. 168 Abs. 1 bis 3 AEUV ist die Union nur zur Unterstützung, Koordinierung oder Ergänzung der Maßnahmen der Mitgliedstaaten im Gesundheitswesen befugt,36 soweit keine gemeinsamen Sicherheitsanliegen im Bereich der öffentlichen Gesundheit gemäß Art. 168 Abs. 4 lit. a bis c AEUV vorliegen.37 Daneben statuiert Art. 168 Abs. 5 AEUV ein primärrechtliches Harmonisierungsverbot für das Gesundheitswesen und gestattet umgekehrt lediglich Fördermaßnahmen mit gesundheitsbezogenem Ansatz.38 Überdies sieht Art. 168 Abs. 7 AEUV vor, dass die Festlegung der mitgliedstaatlichen Gesundheitspolitik, die Organisation des Gesundheitswesens, die medizinische Versorgung, die Verwaltung des Gesundheitswesens sowie die Zuweisung der dafür bereitgestellten Mittel in der Verantwortung der Mitgliedstaaten verbleibt.39 Dieser gesteht den Mitgliedstaaten mithin weitgehende Souveränität im Bereich der medizinischen Versorgung zu.40 Damit bildet Art. 168 Abs. 7 AEUV grundsätzlich eine Schranke gegen die Einflussnahme der Europäischen Union im Bereich des Gesundheitswesens.41 Demnach könnte die Anwendung der DSGVO auf die Datenverarbeitung im Gesundheitswesen die mitgliedstaatliche Zuständigkeit für den Gesundheitsbereich verletzen.42 Bei der DSGVO handelt es sich jedoch nicht um eine gesundheitsrechtliche Regulierung, die datenschutzrechtliche Facetten aufweist, sondern um eine daten 32
Dochow, GesR 2016, 401 (403); ders., Telematik im Gesundheitswesen, S. 427. Dierks / Kluckert, NZS 2017, 687 (688); Dochow, GesR 2016, 401 (403). 34 Dochow, GesR 2016, 401 (403); ders., MedR 2019, 279 (281); Schneider, Einrichtungsübergreifende elektronische Patientenakten, S. 479. 35 Schmidt am Busch, in: Grabitz / Hilf / Nettesheim, Das Recht der EU, Art. 168 AEUV Rn. 34; Lurger, in: Streinz, EUV AEUV, Art. 168 AEUV Rn. 48. 36 Kingreen, in: Callies / Ruffert, EUV AEUV, Art. 168 AEUV Rn. 4; Cremer, in: Huster / Kaltenborn, Krankenhausrecht, § 3 Rn. 3. 37 Lurger, in: Streinz, EUV AEUV, Art. 168 AEUV Rn. 53. 38 Spranger, MedR 2014, 733 (733). 39 Dierks / Kluckert, NZS 2017, 687 (688); Frenz / Götzkes, MedR 2010, 613 (614). 40 Reimer / Artmann / Stroetmann, DuD 2013, 154 (156). 41 Kühnl / Rohrer / Schneider, DuD 2018, 735 (736). 42 Botta, Datenschutz bei E-Learning-Plattformen, S. 83 im Hinblick auf die europäische Bildungspolitik. 33
42
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
schutzrechtliche Regelung, die auch im Gesundheitswesen Auswirkungen zeigt.43 Dies kommt auch in den mit der DSGVO verfolgten Zielen zum Ausdruck, die nach Art. 1 Abs. 2 und 3 DSGVO darin bestehen, die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen und einen freien Datenverkehr zu gewährleisten. Der Regelungsschwerpunkt der DSGVO liegt daher bei dem Umgang mit Daten und nicht in der Regelung des Gesundheitswesens.44 So wird etwa der Bereich der Organisation des Gesundheitswesens aus Art. 168 Abs. 7 AEUV durch die DSGVO nicht direkt tangiert, vielmehr werden Rahmenbedingungen hierfür geschaffen.45 Der Datenschutz ist in fast allen Lebensbereichen von Bedeutung und in diesem Sinne als Querschnittsmaterie zu verstehen, die auch das Gesundheitswesen berührt.46 Es ist daher von Art. 16 Abs. 2 AEUV gedeckt, dass umfassende Regelungen zum Schutz von personenbezogenen Daten denknotwendig eine Vielzahl von Sachbereichen berühren.47 Um von der Kompetenznorm des Art. 16 Abs. 2 AEUV Gebrauch zu machen, ist daher kein Rückgriff auf eine spezielle Ermächtigungsgrundlage erforderlich.48 Die Kompetenz zum Datenschutz besteht vielmehr unabhängig davon, welche spezifischen Kompetenztitel in den einzelnen Sektoren bestehen.49 Zutreffend wird in diesem Zusammenhang angeführt, dass es der Regelung des Art. 16 Abs. 2 AEUV schließlich nicht bedürfe, wenn stets eine sachmaterienbezogene Kompetenzgrundlage des europäischen Gesetzgebers für den Erlass datenschutzrechtlicher Regelungen erforderlich wäre.50 Anders als im deutschen Recht, wo die Gesetzgebungskompetenz von Bund und Ländern mangels eines speziellen datenschutzrechtlichen Kompetenztitels in den Art. 72 ff. GG der Zuständigkeit für die jeweilige Sachmaterie folgt, wird auf europäischer Ebene durch Art. 16 AEUV mithin eine umfassende Kompetenz der Union zur Regulierung des Datenschutzes begründet. Die Vorschrift ist damit Rechtsgrundlage für alle Bestimmungen der DSGVO.51
43
Spranger / Schulz, PharmR 2017, 128 (128); Nguyen, ZEuS 2012, 277 (287) mit der gleichen Argumentation im Hinblick auf den Bildungssektor. 44 Kühling / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 8. 45 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 96; Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 20; vgl. Schmidt am Busch, in: Grabitz / Hilf / Nettesheim, Das Recht der EU, Art. 168 AEUV Rn. 78 ff. 46 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 96; Dochow, GesR 2016, 401 (403); Simitis / Hornung / Spiecker, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Einleitung Rn. 19; Nguyen, ZEuS 2012, 277 (287); Kingreen / Kühling, JZ 2015, 213 (220). 47 Müller, Die Öffnungsklauseln der DSGVO, S. 247. 48 Müller, Die Öffnungsklauseln der DSGVO, S. 247. 49 Kühling / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 8. 50 Kühling / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 8. 51 Kingreen, in: Callies / Ruffert, EUV AEUV, Art. 16 AEUV Rn. 6.
B. Europäische Regelungskompetenz für das Datenschutzrecht
43
Überdies entbinden die nationalen Zuständigkeiten gemäß Art. 168 AEUV nicht von der Geltung des Diskriminierungsverbots oder der Grundfreiheiten.52 Gleiches gilt für das Datenschutzgrundrecht aus Art. 8 GRCh bzw. Art. 16 Abs. 1 AEUV, welches die Union gemäß Art. 16 Abs. 2 AEUV sekundärrechtlich schützen darf.53 Art. 16 Abs. 2 AEUV stellt daher eine „umfassende datenschutzrechtliche Kompetenznorm“54 der Europäischen Union für das Datenschutzrecht dar – auch im Gesundheitswesen.55 Da die DSGVO Rahmenbedingungen für die Verarbeitung personenbezogener Daten festlegt, steht Art. 168 Abs. 7 AEUV der Rechtsetzungskompetenz der Europäischen Union für den Erlass von Regelungen zum Umgang mit Gesundheitsdaten nicht entgegen.56 Eine Kompetenzgrundlage allein genügt im Unionsrecht indes nicht, um Rechtsakte in rechtmäßiger Weise erlassen zu können. Vielmehr setzt das Primärrecht dem Unionsgesetzgeber weitere Grenzen in Form des Subsidiaritätsgrundsatzes und des Verhältnismäßigkeitsprinzips.57 Vor allem aus dem Subsidiaritätsgrundsatz gemäß Art. 5 Abs. 1 S. 2 und Abs. 3 EUV könnte sich vorliegend eine Begrenzung der Unionskompetenz ergeben.58 Nach diesem Prinzip wird die Union in den Bereichen, die nicht ihrer ausschließlichen Zuständigkeit unterfallen, nur tätig, sofern die mit der Maßnahme verfolgten Ziele auf mitgliedstaatlicher Ebene nicht ausreichend verwirklicht werden können, sondern auf Unionsebene besser zu verwirklichen sind.59 Bei Art. 16 Abs. 2 AEUV handelt es sich um eine solche geteilte Kompetenz zwischen der Union und den Mitgliedstaaten zum Erlass datenschutzrechtlicher Normen, Art. 2 Abs. 2 i. V. m. Art. 4 Abs. 1 AEUV.60 Da im deutschen Datenschutzrecht wie auch in anderen Mitgliedstaaten differenziertere und damit mehr Rechtssicherheit vermittelnde Datenschutzregelungen bestünden, als dies in den Bestimmungen des Verordnungsvorschlags zur DSGVO der Fall sei, war der Bundesrat im Gesetzgebungsverfahren der Auffassung, dass der Vorschlag für
52
Etwa EuGH, Urt. v. 28. April 1998 – C-120/95, EuZW 1998, 343 (344) Rn. 20 ff.; Frenz / Götzkes, MedR 2010, 613 (615, 618). 53 So im Zusammenhang mit der europäischen Bildungspolitik, Botta, Datenschutz bei ELearning-Plattformen, S. 83. 54 Spiecker / Eisenbarth, JZ 2011, 169 (172). 55 Kühnl / Rohrer / Schneider, DuD 2018, 735 (736); auch im Forschungsbereich hat die Europäische Union keine eigenständige Normsetzungskompetenz, die umfassende Kompetenz zur Regulierung des Datenschutzes in Art. 16 Abs. 2 AEUV erfasst wegen der Regelungen der Art. 179–188 AEUV den Austausch und die Nutzung personenbezogener Daten für Forschungszwecke jedoch mit, Weichert, ZD 2020, 18 (18). 56 Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, S. 371. 57 Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil I Rn. 21. 58 Kingreen, in: Callies / Ruffert, EUV AEUV, Art. 16 AEUV Rn. 4. 59 Bast, in: Grabitz / Hilf / Nettesheim, Das Recht der EU, Art. 5 EUV Rn. 54 ff.; Kahl, in: Streinz, EUV AEUV, Art. 191 AEUV Rn. 105; Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 1 Rn. 22; Schneider, Einrichtungsübergreifende elektronische Patientenakten, S. 412. 60 Kingreen, in: Callies / Ruffert, EUV AEUV, Art. 16 AEUV Rn. 4; Schneider, Einrichtungsübergreifende elektronische Patientenakten, S. 411.
44
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
eine DSGVO nicht im Einklang mit dem Subsidiaritätsprinzip stünde.61 Subsidiaritätsbedenken wurden dabei auch in Bezug auf die Regelungen zum Gesundheitsdatenschutz geäußert.62 In diesem Zusammenhang gilt es jedoch zu beachten, dass dem Subsidiaritätsprinzip gerade auch für den datenschutzrechtlichen Regelungsbereich des Gesundheitsdatenschutzes durch die Öffnungsklauseln in besonderer Weise Rechnung getragen wurde, indem diese den Mitgliedstaaten weiterhin weitreichende Gestaltungsspielräume eröffnen.63 Das mit den Öffnungsklauseln verfolgte Ziel besteht gerade darin, der unterschiedlichen Ausgestaltung des nationalen Datenschutzrechts der Mitgliedstaaten angemessen Rechnung zu tragen.64 Die Öffnungsklauseln sind daher als Ausfluss des Respekts der Europäischen Union vor dem Einwirken der Union in die mitgliedstaatlichen Kompetenzbereiche zu betrachten und wahren mithin das Subsidiaritätsprinzip.65
C. Zusammenspiel von DSGVO und nationalem Recht Die Regelungstechnik der DSGVO, die den Mitgliedstaaten mit ihren Öffnungsklauseln weitreichende Möglichkeiten einräumt, Ausnahmen, Beschränkungen und Konkretisierungen im einzelstaatlichen Recht zu statuieren,66 erfordert eine nähere Klärung des Zusammenspiels der DSGVO mit dem nationalen Recht. Konkret stellt sich die Frage, wie sich die DSGVO und das nationale allgemeine sowie bereichsspezifische Datenschutzrecht auf Bundes- und Landesebene zueinander verhalten.
I. Verhältnis der DSGVO zum nationalen Datenschutzrecht Das grundsätzliche Verhältnis der DSGVO zu den nationalen Datenschutzregelungen leitet sich aus der Handlungsform der DSGVO ab. Als solche hat der Unionsgesetzgeber die Verordnung gewählt, die gemäß Art. 288 Abs. 2 AEUV allgemeine Geltung besitzt, in allen ihren Teilen verbindlich ist und unmittelbar in jedem Mitgliedstaat der Europäischen Union gilt. Die DSGVO ist mithin mit ihrem Inkrafttreten ein verbindlicher Teil der Rechtsordnung eines jeden EU-Mitgliedstaats geworden und entfaltet seither einheitliche Wirkung in der gesamten 61
Subsidiaritätsrüge des Deutschen Bundesrates v. 30. März 2012, BR-Drs. 52/12 (B). BR-Drs. 52/12 (B), S. 2; Kingreen / Kühling, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 472. 63 Müller, Die Öffnungsklauseln der DSGVO, S. 249. 64 Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 1; Ziebarth / Elsaß, ZUM 2018, 578 (582 f.). 65 Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 3 f.; Müller, Die Öffnungsklauseln der DSGVO, S. 250; Greve, NVwZ 2017, 737 (743); Ziebarth / Elsaß, ZUM 2018, 578 (582 f.). 66 Buchner / Schwichtenberg, GuP 2016, 218 (219). 62
C. Zusammenspiel von DSGVO und nationalem Recht
45
Europäischen Union.67 Grundsätzlich bedarf es daher, anders als unter der vorherigen DSRL, gemäß Art. 288 Abs. 2 AEUV keines staatlichen Umsetzungsaktes in nationales Recht.68 Der Verordnung entgegenstehende nationale Vorschriften behalten mangels Geltungsvorrangs des Europarechts zwar weiterhin ihre Gültigkeit,69 sie werden wegen des Anwendungsvorrangs70 des Europarechts jedoch unanwendbar.71 Das Unionsrecht setzt sich sowohl im Falle direkter Kollision, also wenn nationales und unionales Recht sich widersprechende Rechtsfolgen anordnen, als auch bei einer indirekten Kollision, bei der das nationale Recht die wirksame Anwendung von Unionsrecht verhindert, durch.72 Der Anwendungsvorrang hat daher weitreichende Auswirkungen auf den Wirkungsumfang und die Struktur des nationalen Rechts.73 Denn die unionsrechtlichen Vorgaben verdrängen in ihrer Tragweite nicht nur entgegenstehendes nationales Recht, sondern beschränken darüber hinaus auch die Gestaltungsfreiheit der Mitgliedstaaten, da ihnen der Erlass von dem Unionsrecht widersprechendem nationalen Recht untersagt ist.74 1. Unmittelbare Anwendbarkeit und Öffnungsklauseln der DSGVO Kollisionen zwischen nationalem und unionalem Recht, die den Anwendungsvorrang der Unionsverordnung erst auslösen, können aber nur dann entstehen, wenn die Bestimmungen des Unionsrechts auf den konkreten Fall unmittelbar anwendbar sind.75 Zu der Frage, welche Regelung einer Verordnung unmittelbar anwendbar ist, bezieht Art. 288 Abs. 2 AEUV keine Stellung.76 Dieser bestimmt in Art. 288 Abs. 2 S. 2 AEUV lediglich, dass die europäische Verordnung ohne 67
Roßnagel, in: Roßnagel, DSGVO, § 2 Rn. 2; ders., Ausschuss-Drs. 18(24)94, S. 4; Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 1 Rn. 25; Geismann, in: v. der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 288 AEUV Rn. 32 ff. 68 Geismann, in: v. der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 288 AEUV Rn. 35; Ruffert, in: Callies / Ruffert, EUV AEUV, Art. 288 AEUV Rn. 20; Schroeder, in: Streinz, EUV AEUV, Art. 288 AEUV Rn. 43; Greve, NVwZ 2017, 737 (737). 69 Ruffert, in: Callies / Ruffert, EUV AEUV, Art. 1 AEUV Rn. 18; Nettesheim, in: Grabitz / Hilf / Nettesheim, Das Recht der EU, Art. 1 AEUV Rn. 80; Roßnagel, in: Roßnagel, DSGVO, § 2 Rn. 4, 15; ders., DuD 2017, 277 (277). 70 Grundlegend hierzu EuGH, Urt. v. 15. Juli 1964 – Rs. 6/64, NJW 1964, 2371 (2372); EuGH, Urt. v. 9. März 1978 – Rs. 106/77, NJW 1978, 1741 (1741 ff.). 71 Nettesheim, in: Grabitz / Hilf / Nettesheim, Das Recht der EU, Art. 288 AEUV Rn. 52 f.; Ruffert, in: Callies / Ruffert, EUV AEUV, Art. 288 AEUV Rn. 20; Roßnagel, AusschussDrs. 18(24)94, S. 4 f.; ders., DuD 2017, 277 (277). 72 Ruffert, in: Callies / Ruffert, EUV AEUV, Art. 1 AEUV Rn. 22. 73 Streinz, in: Streinz, EUV AEUV, Art. 4 EUV Rn. 39. 74 EuGH, Urt. v. 9. März 1978 – Rs. 106/77, NJW 1978, 1741 (1741); Streinz, in: Streinz, EUV AEUV, Art. 4 EUV Rn. 39; Nettesheim, in: Grabitz / Hilf / Nettesheim, Das Recht der EU, Art. 288 AEUV Rn. 101. 75 Streinz, in: Streinz, EUV AEUV, Art. 4 EUV Rn. 40; Roßnagel, in: Roßnagel, DSGVO, § 2 Rn. 12; ders., Ausschuss-Drs. 18(24)94, S. 5; Müller, Die Öffnungsklauseln der DSGVO, S. 164. 76 Schroeder, in: Streinz, EUV AEUV, Art. 288 AEUV Rn. 45.
46
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
einen Umsetzungsakt unmittelbar in jedem EU-Mitgliedstaat gilt.77 Voraussetzung für die unmittelbare Anwendbarkeit einer Verordnung ist, dass die Bestimmungen dieser „eine klare und unbedingte Verpflichtung begründe[n]“, die „keiner weiteren Maßnahmen der Gemeinschaftsorgane oder der Mitgliedstaaten“78 bedarf. Eine Regelung ist mithin dann unmittelbar anwendbar, wenn sie hinreichend bestimmt ist, um im staatlichen Rechtsraum Rechte zu begründen oder Pflichten aufzuerlegen, ohne dass eine Umsetzung erforderlich wird.79 Unterliegt die betreffende Bestimmung des Unionsrechts hingegen Bedingungen, wie etwa dem Vorbehalt eines nationalen Umsetzungsaktes, oder räumt sie den Mitgliedstaaten einen Gestaltungsspielraum ein, so steht dies der unmittelbaren Anwendbarkeit entgegen.80 Ob eine bestimmte Verordnungsvorschrift im konkreten Fall unmittelbar anwendbar ist, ist dabei stets eine Frage des Inhalts und somit der Auslegung der einzelnen Norm.81 Die DSGVO sieht an zahlreichen Stellen in sog. Öffnungsklauseln vor, dass Anpassungen des nationalen Gesetzgebers nicht nur möglich, sondern teilweise sogar zwingend erforderlich sind und eröffnet so erhebliche nationale Handlungsspielräume.82 Diese Öffnungsklauseln sind zumeist daran zu erkennen, dass der Verordnungstext die Verarbeitung „auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats“ oder in Form einer ähnlichen Erklärung zulässt.83 Die Gesetzgebungsspielräume, die die Öffnungsklauseln für die mitgliedstaatlichen Gesetzgeber belassen, fallen gleichwohl unterschiedlich groß aus.84 Grundsätzlich lassen sich die zahlreichen Öffnungsklauseln der DSGVO dabei in allgemeine und spezifische Öffnungsklauseln unterteilen.85 Während allgemeine Öffnungsklauseln eine Vielzahl von Abweichungsmöglichkeiten erlauben, ohne auf ein spezifisches Themengebiet beschränkt zu sein, ermöglichen spezifische Öffnungsklauseln lediglich Regelungen für einen abgegrenzten Bereich.86 Daneben enthalten einzelne Öffnungsklauseln Regelungsaufträge, die eine Handlungspflicht des nationalen Gesetzgebers begründen, während die Mehrzahl der Öffnungsklauseln
77
Roßnagel, in: Roßnagel, DSGVO, § 2 Rn. 12. EuGH, Urt. v. 16. Juni 1966 – Rs. 57/65, NJW 1966, 1630 (1630); Schroeder, in: Streinz, EUV AEUV, Art. 288 AEUV Rn. 45; Roßnagel, Ausschuss-Drs. 18(24)94, S. 5. 79 Nettesheim, in: Grabitz / Hilf / Nettesheim, Das Recht der EU, Art. 288 AEUV Rn. 46; Ruffert, in: Callies / Ruffert, EUV AEUV, Art. 288 AEUV Rn. 20; Roßnagel, in: Roßnagel, DSGVO, § 2 Rn. 12. 80 Harratsch / Koenig / Pechstein, Europarecht, S. 176; Nettesheim, in: Grabitz / Hilf / Nettesheim, Das Recht der EU, Art. 288 AEUV Rn. 46. 81 Harratsch / Koenig / Pechstein, Europarecht, S. 176. 82 Schmidt-Wudy, in: BeckOK Datenschutzrecht, Art. 15 DSGVO Rn. 8; Ambrock, in: Jandt / Steidle, Datenschutz im Internet, S. 106 Rn. 59; Buchner, DuD 2016, 155 (160); Benecke / Wagner, DVBl. 2016, 600 (600). 83 So etwa Art. 9 Abs. 2 lit. h, i und j DSGVO. 84 Benecke / Wagner, DVBl. 2016, 600 (600). 85 Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 9. 86 Kühling / Martini, EuZW 2016, 448 (449); Lurtz / Schomberg, ZD-Aktuell 2019, 06732. 78
C. Zusammenspiel von DSGVO und nationalem Recht
47
lediglich Regelungsoptionen vorsehen.87 Letztere eröffnen den Mitgliedstaaten die Möglichkeit, ihre Datenschutzregelungen durch nationales Recht zu konkretisieren, zu ergänzen oder zu modifizieren.88 Diese Handlungsmöglichkeiten schließen sich allerdings nicht aus, sondern können den Mitgliedstaaten auch kumulativ zustehen.89 Wie diese Konkretisierung, Ergänzung oder Modifikation im Einzelnen auszugestalten ist, ergibt sich durch Auslegung der jeweiligen Öffnungsklausel.90 Mitgliedstaatliche Datenschutzregelungen können folglich trotz des grundsätzlichen Anwendungsvorrangs der DSGVO weiterhin anwendbar sein, wenn die Verordnung entsprechende Spielräume für nationale Regelungen belässt.91 Aus den Öffnungsklauseln folgt mithin die grundsätzliche Zulässigkeit nationaler Datenschutzregelungen unter der DSGVO.92 Beim Ausfüllen der einzelnen Öffnungsklauseln sind die nationalen Gesetzgeber allerdings an die in der jeweiligen Verordnungsvorschrift vorgegebenen Rahmenbedingungen gebunden.93 Die nationalen Regelungen können daher nur insoweit Anwendung finden, wie sich ihr Regelungsgehalt innerhalb des Rahmens bewegt, den die jeweilige Öffnungsklausel vorgibt.94 Werden Vorgaben der Öffnungsklauseln überschritten, greift der Anwendungsvorrang des EU-Rechts mit der Folge, dass Gerichte und Behörden den überschießenden Teil der nationalen Vorschrift unbeachtet lassen müssen.95 Die Rechtsvorschriften der DSGVO selbst beschränken somit die Regelungsspielräume der Mitgliedstaaten.96 Dort, wo die DSGVO keine Abweichungen erlaubt, bildet sie den einzig beachtlichen Rechtsrahmen, mit der Folge, dass Regelungen auf nationaler Ebene nicht getroffen werden dürfen.97
87 Roßnagel, DuD 2017, 277 (278); Greve, NVwZ 2017, 737 (743); Taeger, ZRP 2016, 72 (72); Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 10; Kühling / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 98 unterscheiden zwischen fakultativen Öffnungsklauseln und obligatorischen Handlungsaufträgen; für eine Übersichtstabelle zu den fakultativen und obligatorischen Öffnungsklauseln der DSGVO s. Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 14 ff. 88 Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 10; Kühling / Martini, EuZW 2016, 448 (449); Ambrock, in: Jandt / Steidle, Datenschutz im Internet, S. 108 ff. Rn. 65 ff.; Roßnagel, in: Roßnagel, Das neue Datenschutzrecht, § 1 Rn. 52; s. auch EG 10 S. 4 DSGVO. 89 Kühling / Martini, EuZW 2016, 448 (449); Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 10. 90 Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 22; Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 7. 91 Barlag, in: Roßnagel, DSGVO, § 3 Rn. 26. 92 Benecke / Wagner, DVBl. 2016, 600 (604). 93 Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 DSGVO Rn. 47; Spiecker, in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 17. 94 Wobbe, MedR 2019, 625 (626). 95 Kühling / Sackmann, NVwZ 2018, 681 (682); Moos / Schefzig, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 1 Rn. 17. 96 Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 89; Müller, Die Öffnungsklauseln der DSGVO, S. 58. 97 Kazemi, in: FS Dahm, 283 (286); Freund / Shagdar, SGb 2018, 195 (197).
48
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
Daneben besteht ein Konflikt zwischen Vorschriften eines Mitgliedstaats und dem Unionsrecht auch dann nicht, wenn eine nationale Vorschrift in ihrer Anwendung nicht zu einem Widerspruch zu den Vorgaben der Unionsverordnung führt.98 Dies kann der Fall sein, wenn mitgliedstaatliche Vorschriften unbestimmte bzw. auslegungs- oder konkretisierungsbedürftige Rechtsbegriffe und Vorgaben, die teilweise als „implizite Öffnungsklauseln“99 bezeichnet werden, ausfüllen.100 Ob in diesem Fall ein Widerspruch zur Verordnung vorliegt, ist in jedem Einzelfall anhand der jeweiligen Norm der Verordnung zu prüfen.101 Aufgrund der zahlreichen in der DSGVO normierten Öffnungsklauseln wird diese teilweise als „Richtlinie im Verordnungsgewand“102 bezeichnet. Durch diese Bezeichnung wird aber lediglich die „faktische Wirkungsweise“103 der DSGVO zum Ausdruck gebracht, sie ändert formal rechtlich nichts daran, dass die Grundverordnung, wie jede Verordnung, unmittelbare und allgemeine Wirkung entfaltet.104 Die Wahl des Instruments der Verordnung führt daher dazu, dass die DSGVO seit ihrem Inkrafttreten das „primäre Datenschutzgesetz in allen EU-Mitgliedstaaten“105 ist und ein eigener mitgliedstaatlicher Gestaltungsspielraum nur in solchen Bereichen verbleibt, in denen die DSGVO Regelungsaufträge erteilt oder Regelungsoptionen eröffnet.106 98
Roßnagel, Ausschuss-Drs. 18(24)94, S. 5 f. So Taeger, ZRP 2016, 72 (72); von „impliziten Kompetenzen der Mitgliedstaaten“ sprechen auch Hornung / Hofmann, ZD-Beil. 2017, 1 (14). 100 Armbrock, in: Jandt / Steidle, Datenschutz im Internet, S. 112 Rn. 74; Roßnagel, AusschussDrs. 18(24)94, S. 6; ders., DuD 2017, 277 (278 f.); Streinz, in: Streinz, EUV AEUV, Art. 288 AEUV Rn. 46; kritisch bezüglich impliziter Ermächtigungen zugunsten der Mitgliedstaaten Hornung / Hofmann, ZD-Beil. 2017, 1 (13 f.); Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 8; zur diesbezüglich uneinheitlich verwendeten Terminologie Schmidt-Wudy, in: BeckOK Datenschutzrecht, Art. 15 DSGVO Rn. 8. 101 Roßnagel, Ausschuss-Drs. 18(24)94, S. 6; Hornung / Hofmann, ZD-Beil. 2017, 1 (14). 102 Kühling / Martini, EuZW 2016, 448 (448), die diese gleichzeitig als „Handlungsformenhybrid“ bezeichnen; zust. Paal / Pauly, in: Paal / Pauly, DSGVO BDSG, Einleitung Rn. 2; Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 1 bezeichnen die DSGVO als „Hybrid zwischen Richtlinie und Verordnung“; zust. Greve, NVwZ 2017, 737 (743); Bennecke / Wagner, DVBl. 2016, 600 (607) bezeichnen die DSGVO als „richtlinienähnlich“; so auch Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 218; BR-Drs. 110/17, S. 68: „ähnelt in wesentlichen Teilen einer Richtlinie“. 103 Kühling / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 98b. 104 Kühling / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 98b; dies bezweifeln Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 88 und gehen davon aus, dass die Bezeichnung als „Richtlinie im Verordnungsgewand“ die unmittelbare Geltung der DSGVO verkenne. Jedoch verdeutlichen Kühling / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 98b in diesem Zusammenhang selbst, dass die Wortwahl vielmehr auf die „faktische Wirkungsweise“ der DSGVO abhebe. Durch die Wahl dieses Begriffes soll daher allein die besondere Konzeption der DSGVO zum Ausdruck gebracht werden; so auch Hornung / Spiecker, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Einleitung Rn. 226; i. E. auch Müller, Die Öffnungsklauseln der DSGVO, S. 268 ff. 105 Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 3; so auch Leopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 4. 106 Leopold, NZS 2018, 357 (357). 99
C. Zusammenspiel von DSGVO und nationalem Recht
49
2. Bindung an die Grundrechte bei Ausfüllung der Öffnungsklauseln Darüber hinaus bilden die Grundrechte den Rahmen für die nationalen Regelungen innerhalb der Öffnungsklauseln.107 Dementsprechend wird in den Öffnungsklauseln teils deklaratorisch darauf hingewiesen, dass die Mitgliedstaaten den Wesensgehalt der Grundrechte zu wahren haben.108 Der nationale Gesetzgeber hat bei der Ausfüllung der Ausgestaltungsmöglichkeiten folglich die Grundrechte in den Blick zu nehmen, an die er im Rahmen seiner rechtssetzenden Tätigkeit gebunden ist.109 Gerade in diesem Fall ergeben sich jedoch Abgrenzungsschwierigkeiten zwischen den Grundrechtsebenen, da die Öffnungsklauseln sich an der Schnittstelle von Unionsrecht und mitgliedstaatlichem Recht bewegen.110 Dabei ist fraglich, inwieweit die Grundrechtecharta auch dann zur Anwendung kommen soll, wenn die Mitgliedstaaten auf der Grundlage von Öffnungsklauseln nationales Recht erlassen.111 Der EuGH lässt den Mitgliedstaaten dort, wo ihnen Gestaltungsspielräume eröffnet sind, die Möglichkeit, ihre eigenen grundrechtlichen Standards zur Geltung zu bringen. Dies gilt allerdings unter der Voraussetzung, dass dadurch weder das Schutzniveau der Grundrechtecharta, wie sie vom Gerichtshof ausgelegt wird, noch der Vorrang, die Einheit und die Wirksamkeit des Unionsrechts beeinträchtigt werden.112 Das BVerfG vertrat zur Grundrechtsbindung in solchen Situationen nach der sog. Trennungsthese hingegen traditionell die Auffassung, dass bei einem Handeln im Umsetzungsspielraum im Grundsatz allein die nationalen Grundrechte zur Anwendung gelangen.113 Dies wurde vom BVerfG jüngst in zwei Beschlüssen vom 6. November 2019114 für die Bereiche des „gestaltungsoffenen Unionsrechts“115, also Bereichen, in denen der Unionsgesetzgeber den Mitgliedstaaten 107
Kühling / Schildbach, NJW 2020, 1545 (1547); Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 89, die insoweit von einer „Grundrechtsblockade“ sprechen; Kühling / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 13. 108 So etwa in der Öffnungsklausel des Art. 23 DSGVO zur spezifischen Beschränkung von Rechten der betroffenen Person. 109 Albrecht / Janson, CR 2016, 500 (503); Ziebarth / Elsaß, ZUM 2018, 578 (583); Greve, in: Auernhammer, DSGVO BDSG, § 27 BDSG Rn. 2. 110 Albrecht / Janson, CR 2016, 500 (503); Müller, Die Öffnungsklauseln der DSGVO, S. 116; Greve, in: Auernhammer, DSGVO BDSG, § 27 BDSG Rn. 2; Hense, in: Sydow, BDSG, § 27 BDSG Rn. 3. 111 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 5 DSGVO Rn. 4; Schiedermair, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Einleitung Rn. 181; Buchholtz, DÖV 2017, 837 (837). 112 EuGH, Urt. v. 26. Februar 2013 – C-617/10, EuZW 2013, 302 (303) Rn. 29 – Å kerberg Fransson; EuGH, Urt. v. 29. Juli 2019 – C-476/17, MMR 2019, 596 (601) Rn. 80 – Pelham; EuGH, Urt. v. 26. Februar 2013 – C-399/11, NJW 2013, 1215 (1219) Rn. 60 – Melloni; EuGH, Urt. v. 27. Juni 2006 – C-540/03, NVwZ 2006, 1033 (1036) Rn. 104 ff.; vgl. Hoidn, in: R oßnagel, DSGVO, § 2 Rn. 92 ff. 113 BVerfGE 113, 273 (300); E 133, 277 (313 ff.); zur „Trennungsthese“ Thym, NVwZ 2013, 889 (892). 114 BVerfGE 152, 152 (152 ff.) – Recht auf Vergessen I; E 152, 216 (216 ff.) – Recht auf Vergessen II. 115 BVerfGE 152, 152 (179) (Rn. 63) – Recht auf Vergessen I.
50
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
Gestaltungsspielräume für die Umsetzung des Unionsrechts belässt, grundsätzlich bestätigt. Die alleinige Heranziehung der Grundrechte des Grundgesetzes gelte jedoch dann nicht ausnahmslos, wenn „konkrete und hinreichende Anhaltspunkte“ dafür bestünden, dass durch die Anwendung der Grundrechte des Grundgesetzes das Schutzniveau der Grundrechtecharta nicht ausreichend gewährleistet sei.116 Damit wird als Regelfall weiterhin die primäre Anwendung der Grundrechte des Grundgesetzes gefordert.117 Das BVerfG verweist selbst mehrfach auf die Rechtsprechung des EuGH und nutzt Spielräume in dessen Judikatur für eine alleinige Anwendung der Grundrechte des Grundgesetzes, die bestehen, soweit das Schutzniveau der Grundrechtecharta nicht beinträchtigt wird.118 Gleichzeitig verdeutlicht der Erste Senat des BVerfG erstmals ausdrücklich, dass auf einen Sachverhalt sowohl die Unionsgrundrechte als auch die Grundrechte des Grundgesetzes anwendbar sein können.119 Praktisch werden sich zwischen den Ansichten selten Unterschiede ergeben. So geht das BVerfG aufgrund der gemeinsamen europä ischen Grundrechtstradition selbst davon aus, dass durch die Anwendung der deutschen Grundrechte das Schutzniveau der GRCh „in der Regel mitgewährleistet“ werde.120 Die Grundrechtsvorgaben auf nationaler und unionaler Ebene sind im Zweifel vergleichbar streng.121 3. Wiederholungen von Verordnungsrecht im mitgliedstaatlichen Recht Die in der DSGVO enthaltenen Öffnungsklauseln eröffnen zunächst nur punktuelle Abweichungsbefugnisse für die Mitgliedstaaten.122 Daher stellt sich ferner die Frage, inwieweit der nationale Gesetzgeber darüber hinaus den Wortlaut von Vorschriften der DSGVO wiederholen darf, um auf nationaler Ebene ein in sich kohärentes System aufrechtzuerhalten.123 Grundsätzlich ist es den Mitgliedstaaten nach dem vom EuGH entwickelten unionsrechtlichen Normwiederholungsverbot untersagt, im nationalen Recht mit der Verordnung übereinstimmende Vorschriften vorzusehen.124 Punktuelle Wiederholungen von Verordnungsrecht im mitgliedstaatlichen Recht können jedoch ausnahmsweise zulässig sein, wenn es eines kom 116
BVerfGE 152, 152 (179) (Rn. 63) – Recht auf Vergessen I. Hoffmann, NVwZ 2020, 33 (37). 118 Hoffmann, NVwZ 2020, 33 (35). 119 Karpenstein / Kottmann, EuZW 2020, 185 (187); Michl, JURA 2020, 479 (487). 120 BVerfGE 152, 152 (175) (Rn. 55 ff.) – Recht auf Vergessen I. 121 Kühling / Schildbach, NJW 2020, 1545 (1547 f.); so ließ es auch der Erste Senat des BSG in seinem Urteil vom 20. Januar 2021 offen, ob die Grundrechte des Grundgesetzes oder diejenigen der Grundrechtecharta Anwendung fänden, da der Grundrechtseingriff nach beiden Maßstäben gerechtfertigt sei, BSGE 131, 169 (194). 122 Benecke / Wagner, DVBl. 2016, 600 (604). 123 Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 DSGVO Rn. 46; Benecke / Wagner, DVBl. 2016, 600 (604); Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 6. 124 EuGH, Urt. v. 7. Februar 1973 – C-39/72, BeckRS 2004, 71063, Rn. 16 f.; Ambrock, in: Jandt / Steidle, Datenschutz im Internet, S. 105 Rn. 55; Benecke / Wagner, DVBl. 2016, 600 (604); Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 6 f. 117
C. Zusammenspiel von DSGVO und nationalem Recht
51
plexen Regelungssystems aus unionsrechtlichen, einzelstaatlichen und regionalen Vorschriften bedarf und sich daraus eine unklare Rechtslage ergibt.125 Eine solche Situation besteht im Anwendungsbereich der DSGVO, wenn datenschutzrechtliche Fragen aufgrund der Öffnungsklauseln auf Bundes- und Landesebene sowie im bereichsspezifischen Recht geregelt werden können bzw. müssen.126 In diesem Sinne legt der Erwägungsgrund (EG)127 8 DSGVO fest, dass das Normwiederholungsverbot für die Ausgestaltung des nationalen Datenschutzrechts nicht gilt, soweit die Aufnahme von Teilen der DSGVO erforderlich ist, um die Kohärenz zu wahren und die Verständlichkeit der Regelungen zu gewährleisten.128 Gleichwohl soll von dieser Möglichkeit nur restriktiv Gebrauch gemacht werden. Die Übernahme des Textes der Verordnung muss daher in sachlichem Zusammenhang mit einer Öffnungsklausel der DSGVO stehen.129 4. Anpassung des mitgliedstaatlichen Rechts an die Vorgaben der DSGVO Da es für den Rechtsanwender kaum ersichtlich wäre, an welchen Stellen einerseits der Anwendungsvorrang gegenüber dem nationalen Recht greift und wo sich andererseits Regelungen im Rahmen der Öffnungsklauseln bewegen, mussten die Normen des bisherigen mitgliedstaatlichen Rechts an die DSGVO angepasst werden.130 Das Ende des unionalen Gesetzgebungsprozesses bildete mithin den Anfang des Anpassungsprozesses auf Ebene des nationalen Datenschutzrechts.131 Die allgemeinen und bereichsspezifischen deutschen Datenschutzregelungen wurden daher auf der Grundlage der neuen Vorgaben der DSGVO in mehreren Anpassungsgesetzen überarbeitet und angepasst.132 125
EuGH, Urt. v. 28. März 1985 – C-272/83, EuGHE 1985, 1066 (1074); Ruffert, in: Callies / Ruffert, EUV AEUV, Art. 288 AEUV Rn. 20; Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 DSGVO Rn. 46. 126 Müller, Die Öffnungsklauseln der DSGVO, S. 209 f.; Benecke / Wagner, DVBl. 2016, 600 (606); BT-Drs. 18/11325, S. 80. 127 Erwägungsgründe sind vom Verhandlungsprozess vollständig erfasste Bestandteile europäischer Rechtsakte, sie stehen jedoch außerhalb des Normtextes und nehmen mithin nicht an dessen Verbindlichkeit teil. Aus ihnen können somit keine Rechte und Pflichten abgeleitet werden, sie geben jedoch wichtige Hinweise zur Auslegung der DSGVO, Wolff / Brink, in: BeckOK Datenschutzrecht, Einleitung Rn. 18; Kühling / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 84; Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 97. 128 Greve, NVwZ 2017, 737 (743); Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 DSGVO Rn. 47; Gola / Heckmann, in: Gola / Heckmann, BDSG, Einleitung Rn. 32. 129 Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 8; Benecke / Wagner, DVBl. 2016, 600 (608); Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 80, 90; Sydow, in: Sydow, DSGVO, Einleitung Rn. 39. 130 Hornung / Spiecker, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Einleitung Rn. 304; Roßnagel, in: Roßnagel, DSGVO, § 2 Rn. 21; ders., DuD 2017, 277 (277). 131 Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 1. 132 Paal / Pauly, in: Paal / Pauly, DSGVO BDSG, Einleitung Rn. 2.
52
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
a) Anpassung des allgemeinen Bundes- und Landesrechts In einem ersten Schritt trat zeitgleich mit dem Geltungsbeginn der DSGVO am 25. Mai 2018 das Bundesdatenschutzgesetz (BDSG n. F.) als Artikel 1 des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU (DSAnpUG-EU)133 in Kraft und löste damit das Bundesdatenschutzgesetz i. d. F. der Bekanntmachung vom 14. Januar 2003 (BDSG a. F.)134 ab. Das Verhältnis des BDSG n. F. zur unmittelbar geltenden DSGVO wird deklaratorisch in § 1 Abs. 5 BDSG n. F. zum Ausdruck gebracht.135 Danach findet das BDSG n. F. keine Anwendung, soweit die DSGVO unmittelbar gilt, wodurch dem Anwendungsvorrang des Unionsrechts Rechnung getragen wird.136 Dem BDSG n. F. kommt daher gegenüber dem BDSG a. F. in der Systematik des Datenschutzrechts eine gänzlich neue Rolle zu.137 War das BDSG a. F. unter der Rechtslage der DSRL noch normativer Ausgangspunkt einer jeden datenschutzrechtlichen Betrachtung,138 gilt nun der erste Blick der DSGVO und erst ergänzend dem BDSG n. F.139 Sofern das BDSG n. F. Wiederholungen des Wortlauts von Regelungen der DSGVO enthält, ist dies trotz des grundsätzlich bestehenden unionsrechtlichen Normwiederholungsverbots nicht von vornherein unzulässig.140 Ausweislich der Gesetzesbegründung erfolgen die punktuellen Wiederholungen im BDSG n. F. vor dem Hintergrund des komplexen Mehrebenensystems, welches sich aus dem Zusammenspiel der DSGVO mit dem nationalen allgemeinen und bereichsspezifischen Recht ergibt, ausschließlich aus Gründen der Verständlichkeit und Kohärenz.141
133 Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 v. 30. Juni 2017, BGBl. 2017 Teil I Nr. 44 v. 5. Juli 2017, S. 2097. Das Gesetz ist gemäß Art. 8 Abs. 1 S. 1 DSAnpUG-EU zeitgleich mit dem Geltungsbeginn der DSGVO am 25. Mai 2018 in Kraft getreten. Gemäß Art. 8 Abs. 1 S. 2 DS AnpUG-EU ist gleichzeitig das Bundesdatenschutzgesetz in der Fassung der Bekanntmachung v. 14. Januar 2003, BGBl. Teil I S. 66 außer Kraft getreten. 134 Bundesdatenschutzgesetz v. 14. Januar 2003, BGBl. 2003 Teil I Nr. 3 v. 24. Januar 2003, S. 66. 135 Gola / Reif, in: Gola / Heckmann, BDSG, § 1 BDSG Rn. 3. 136 Kühling / Sackmann, NVwZ 2018, 681 (681 f.); Greve, NVwZ 2017, 737 (738); Gola / Reif, in: Gola / Heckmann, BDSG, § 1 BDSG Rn. 20. 137 Kühling, NJW 2017, 1985 (1986); ders. / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 128; ders. / Sackmann, NVwZ 2018, 681 (681). 138 Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 91; Dochow, Telematik im Gesundheitswesen, 564. 139 Kühling / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 128. 140 Kühling, NJW 2017, 1985 (1986); Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 7 f.; durch den EuGH wird eine wiederholende nationale Gesetzgebung nicht grundsätzlich untersagt, vgl. EuGH, Urt. v. 28. März 1985 – C-272/83, EuGHE 1985, 1066 (1074) – Erzeugergemeinschaften. 141 BT-Drs. 18/11325, S. 80; so auch Klar, in: Kühling / Buchner, DSGVO BDSG, § 1 BDSG Rn. 31; Pabst, in: Schwartmann / Jaspers / Thüsing / Kugelmann, DSGVO BDSG, Art. 2 DSGVO/§ 1 BDSG Rn. 93.
C. Zusammenspiel von DSGVO und nationalem Recht
53
Aufgrund der föderalen Struktur der Bundesrepublik Deutschland waren neben dem Bundesgesetzgeber auch die Länder dazu aufgerufen, bestehendes Landesdatenschutzrecht an die Rechtslage unter der DSGVO anzupassen.142 Dabei mussten sie einerseits den Regelungsaufträgen der DSGVO nachkommen und konnten andererseits für die durch sie erlassenen datenschutzrechtlichen Vorschriften auf Landesebene entscheiden, ob und in welchem Maße sie von den fakultativen Öffnungsklauseln der DSGVO Gebrauch machen.143 Dies ist mittlerweile flächen deckend geschehen, sodass in allen Bundesländern novellierte Landesdatenschutzgesetze vorliegen.144 b) Anpassung des bereichsspezifischen Datenschutzrechts Weiterer gesetzlicher Anpassungsbedarf an das neue europäische Datenschutzregime ergab sich insbesondere auch hinsichtlich der bereichsspezifischen Datenschutzregelungen.145 Daher war es erforderlich, das bereichsspezifische Recht auf seine Vereinbarkeit mit der DSGVO zu überprüfen und, wenn nötig, anzupassen.146 Diese Anpassung der bestehenden bereichsspezifischen Datenschutzregelungen des Bundes an die unionsrechtlichen Vorgaben ist vorwiegend im Rahmen des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetzes EU (2. DSAnpUG-EU)147 vorgenommen worden, welches 154 Fachgesetze an die DSGVO angepasst hat. Für das Gesundheitswesen ist insbesondere die Anpassung des SGB V durch Artikel 123 des 2. DSAnpUG-EU von Bedeutung.148 Daneben hat auch das bereichsspezifische Datenschutzrecht in den Bundesländern eine Anpassung erfahren, wobei für das Gesundheitswesen vor allem die Anpassung der Datenschutzvorschriften in den Krankenhausgesetzen der Länder relevant ist. Zuletzt wurden mit Artikel 20 142 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 67b; Ambrock, in: Jandt / Steidle, Datenschutz im Internet, S. 107 Rn. 59; Kühling, NJW 2017, 1985 (1987). 143 Hornung / Spiecker, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Einleitung Rn. 285. 144 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 67b; zuletzt wurden Anpassungen vorgenommen durch das Gesetz zur Ausfüllung der Verordnung (EU) 2016/679 und zur Anpassung des allgemeinen Datenschutzrechts in Sachsen-Anhalt (DatenschutzGrundverordnungs-Ausfüllungsgesetz Sachsen-Anhalt – DSAG LSA), welches als Artikel 1 des Gesetzes zur Anpassung des Datenschutzrechts in Sachsen-Anhalt an das Recht der Europäischen Union (DSAnpG EU LSA), GVBl. LSA 2020, S. 25 am 26. Februar 2020 in Kraft getreten ist, ebenso wurden durch Art. 13 des Gesetzes zur Anpassung datenschutzrechtlicher Bestimmungen in Berliner Gesetzen an die Verordnung (EU) 2016/679 (Berliner Datenschutz- Anpassungsgesetz EU – BlnDSAnpG-EU) v. 12. Oktober 2020, GVBl. 2020, S. 807 Änderungen des Berliner Datenschutzgesetzes vorgenommen. 145 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 67a; Paal / Pauly, in: Paal / Pauly, DSGVO BDSG, Einleitung Rn. 22. 146 BT-Drs. 19/4674, S. 1. 147 Zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung EU 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 v. 20. November 2019, BGBl. 2019 Teil I Nr. 41 v. 25. November 2019, S. 1626. 148 Zum Verhältnis von DSGVO und SGB im Einzelnen s. unter Kap. 3 A. I., (S. 195 ff.).
54
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
des Berliner Datenschutz-Anpassungsgesetzes EU vom 12. Oktober 2020149 sowie mit dem Erlass des Bremischen Krankenhausgesetzes vom 24. November 2020150 weitere Landeskrankenhausgesetze an die Vorgaben der DSGVO angepasst. Teilweise verweisen die einzelnen Landeskrankenhausgesetze ausdrücklich auf die DSGVO.151 Da die DSGVO stets unmittelbar gilt, unabhängig davon, ob dies im Gesetz explizit erwähnt wird, handelt es sich bei derartigen Verweisen um rein deklaratorische Feststellungen.152 Soweit sich in einigen Landeskrankenhausgesetzen derartige Verweise nicht finden, ändert dies in der Sache folglich nichts.153 c) Anpassung der kirchlichen Datenschutzregelungen Mit Inkrafttreten der DSGVO stellt sich zudem die Frage des Verhältnisses der Datenschutzvorschriften der Kirchen zu denen der DSGVO. Die kirchlichen Regelungen sind im Gesundheitswesen für die große Anzahl an Krankenhäusern in kirchlicher Trägerschaft von Bedeutung.154 Art. 91 Abs. 1 DSGVO sieht diesbezüglich vor, dass bestehende umfassende kirchliche Datenschutzregelungen, die mit den Bestimmungen der DSGVO in Einklang gebracht werden können, weiter angewandt werden dürfen.155 Damit ist es den Religionsgemeinschaften unter der Geltung der DSGVO grundsätzlich möglich, eigenständige Datenschutzregeln aufrechtzuerhalten.156 Die bestehenden kirchlichen Datenschutzvorschriften müssen dazu zunächst einen umfassenden Regelungscharakter aufweisen. Dafür ist es jedoch nicht erforderlich, dass seitens der kirchlichen Stellen ein abschließendes Datenschutzrecht vorhanden ist, vielmehr muss die Gesamtheit der Regelungen einen in sich geschlossenen Charakter aufweisen.157 Die vor dem Geltungsbeginn der DSGVO bestehenden datenschutzrechtlichen Regelungen im „Kirchengesetz über den Datenschutz der evangelischen Kirche in Deutschland“ (DSG-EKD) sowie in der „Anordnung über den kirchlichen Datenschutz“ (KDO) 149
Gesetz zur Anpassung datenschutzrechtlicher Bestimmungen in Berliner Gesetzen an die Verordnung (EU) 2016/679 (Berliner Datenschutz-Anpassungsgesetz EU – BlnDSAnpG-EU) v. 12. Oktober 2020, GVBl. 2020, S. 807. 150 Bremisches Krankenhausgesetz – (BremKrhG) v. 24. November 2020, Brem. GBl. 2020, S. 1444. 151 So etwa § 27 Abs. 1 BbgKHEG, § 7 Abs. 2 HmbKHG, § 12 Abs. 1 HKHG, § 32 LKHG M-V. 152 Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 49. 153 Kühling / Sackmann, NVwZ 2018, 681 (682). 154 Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 115; Kühling, MedR 2019, 611 (619). 155 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 12; Tinnefeld, ZD 2020, 145 (145). 156 Mundil, in: BeckOK Datenschutzrecht, Art. 91 DSGVO Rn. 5. 157 Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1370; Hense, in: Sydow, DSGVO, Art. 91 DSGVO Rn. 18; Preuß, ZD 2015, 217 (224); nach Sydow, in: Sydow, Kirchliches Datenschutzrecht, Einführung KDG Rn. 20 dürfe das Kriterium der umfassenden Regelungen „keinen überspannten Vollständigkeitsansprüchen ausgesetzt werden“.
C. Zusammenspiel von DSGVO und nationalem Recht
55
regelten nicht bloß Teilmaterien, sondern wiesen als Gesamtregelung einen umfassenden Regelungscharakter auf und erfüllen mithin die Anforderungen des Art. 91 Abs. 1 DSGVO.158 Zudem müssen die umfassenden kirchlichen Regelungen zum Schutz natürlicher Personen bei der Verarbeitung mit der DSGVO in Einklang gebracht werden. Eine solche Anpassung der bestehenden Datenschutzregelungen an die Vorgaben der Verordnung haben die katholische und die evangelische Kirche jeweils vorgenommen. Die katholische Kirche hat am 20. November 2017 das „Gesetz über den kirchlichen Datenschutz“ (KDG) beschlossen, welches gemäß § 58 Abs. 1 KDG am 24. Mai 2018 in Kraft getreten ist und „den Einklang mit der EU-DSGVO“159 herstellen soll. Die evangelische Kirche hat das DSG-EKD ebenfalls novelliert.160 Auch dieses ist zum 24. Mai 2018 in Kraft getreten. Von ihrer grundsätzlichen Ausrichtung her orientieren sich die novellierten Datenschutz gesetze der beiden großen Kirchen in Deutschland stark an dem Regelungsmodell der DSGVO und weisen viele Übereinstimmungen mit dieser auf.161 Sehen die kirchlichen Vorschriften ausnahmsweise keine eigenen Regelungen vor, kann subsidiär auf die DSGVO zurückgegriffen werden.162 5. Neue Arbeitsweise im mehrstufigen Normensystem Festzuhalten bleibt, dass sich das Zusammenspiel von nationalem und europä ischem Datenschutzrecht unter der Rechtslage der DSGVO fundamental geändert hat.163 Während unter der Rechtslage der DSRL der Schwerpunkt der datenschutzrechtlichen Regelung noch auf nationaler Ebene lag, ist die DSGVO nun unmittelbar wirkende europäische Rechtsquelle unter der nur ergänzend und ausfüllend nationale Datenschutzvorschriften zur Geltung kommen.164 Für den Rechtsanwender führt dies zu einer neuen Arbeitsweise im mehrstufigen Normensystem. Da die DSGVO aufgrund ihres Verordnungscharakters seit ihrem Geltungsbeginn den normativen Ausgangspunkt einer jeden datenschutzrechtlichen Betrachtung bildet,165 158
Seifert, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 91 DSGVO Rn. 12; Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 91 DSGVO Rn. 11; Gola, in: Gola, DSGVO, Art. 91 DSGVO Rn. 10 ff. 159 S. die Präambel des KDG. 160 S. EKD-Datenschutzgesetz v. 15. November 2017, ABl. EKD 2017, S. 353. 161 Gola, in: Gola, DSGVO, Art. 91 DSGVO Rn. 11 f.; Hoeren, NVwZ 2018, 373 (374); Seifert, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 91 DSGVO Rn. 6; Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 79; Tinne feld, ZD 2020, 145 (147); Hauser / Haag, Datenschutz im Krankenhaus, S. 13. 162 Thüsing / Rombey, in: Schwartmann / Jaspers / Thüsing / Kugelmann, DSGVO BDSG, Art. 91 DSGVO Rn. 12; Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1370; a. A. Hauser / Haag, Datenschutz im Krankenhaus, S. 14. 163 Kühling / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 3a. 164 Kühling / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 3a. 165 Kühling, MedR 2019, 611 (618); Jülicher, Medizininformationsrecht, S. 82; Buchner, Datenschutz im Gesundheitswesen, S. 49.
56
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
ist bei der Rechtsanwendung zunächst zu prüfen, ob die DSGVO insgesamt Anwendung findet sowie welche Regelung im Einzelnen einschlägig ist.166 Sodann ist jedoch weiter zu prüfen, ob die DSGVO die Datenverarbeitung selbst erlaubt, sodass für die Rechtsanwendung unmittelbar auf diese Regelung zurückzugreifen ist, oder aber eine Öffnungsklausel besteht, in deren Rahmen der nationale Gesetzgeber selbst Regelungen vorsehen kann oder sogar muss.167 Hat der nationale Gesetzgeber im Rahmen dieser Öffnungsklausel eigene Vorschriften erlassen, sind diese zu identifizieren und auf ihre Anwendbarkeit zu prüfen.168
II. Regelungsstruktur des allgemeinen und bereichsspezifischen nationalen Datenschutzrechts Da die DSGVO den Mitgliedstaaten die Möglichkeit einräumt, eigene Regelungen einzuführen und aufrechtzuerhalten, kann das im Rahmen der Öffnungsklauseln an die DSGVO angepasste mitgliedstaatliche Datenschutzrecht weiterhin Wirkung entfalten. Die weitreichenden Öffnungsklauseln der DSGVO machen es daher erforderlich, stets auch die nationalen Regelungen zu betrachten.169 Dieses nationale Datenschutzrecht ist im Bereich des Gesundheitswesens geprägt durch das Zusammenwirken vieler Gesetze auf unterschiedlichen Ebenen.170 Dabei ist auf nationaler Ebene grundsätzlich zwischen dem allgemeinen BDSG n. F. und den Landesdatenschutzgesetzen (LDSG) einerseits sowie den bereichsspezifischen Regelungen auf Bundes- und Landesebene andererseits zu differenzieren.171 Im Rahmen der Öffnungsklauseln der DSGVO setzt sich das Zusammenspiel zwischen nationalem allgemeinen und besonderen Datenschutzrecht im Gesundheitssektor somit auch unter der DSGVO fort.172 Neben dem Verhältnis der DSGVO zum nationalen Recht ist daher auch grundlegend zu klären, wie sich die unterschiedlichen Datenschutzregelungen auf nationaler Ebene zueinander verhalten. Das Zusammenspiel der einzelnen Regelungen bestimmt sich dabei im Wesentlichen nach dem Anwendungsbereich des jeweiligen Gesetzes.173 Daher sollen die Anwendungsbereiche der für das Gesundheitswesen relevanten Datenschutz 166
Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 10; Kühling, MedR 2019, 611 (618). 167 Kühling, NJW 2017, 1985 (1987); ders. / Sackmann, NVwZ 2018, 681 (682); Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 18. 168 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 10; Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 18. 169 Botta, Datenschutz bei E-Learning-Plattformen, S. 87. 170 Kühling, MedR 2019, 611 (618). 171 Kühling, NJW 2017, 1985 (1987); ders. / Sackmann, NVwZ 2018, 681 (682); Katzenmeier, MedR 2019, 259 (262 f.). 172 Buchner / Schwichtenberg, GuP 2016, 218 (219). 173 Greve, NVwZ 2017, 737 (738).
C. Zusammenspiel von DSGVO und nationalem Recht
57
gesetze im Folgenden voneinander abgegrenzt werden. Welches Gesetz im Einzelnen zur Anwendung kommt, richtet sich dabei in der Regel nach der Art der datenverarbeitenden Stelle.174 1. Struktur des allgemeinen Datenschutzrechts Innerhalb des Rahmens der Öffnungsklauseln beansprucht das allgemeine nationale Datenschutzrecht weiterhin Geltung.175 Das BDSG n. F. hält dabei an der im deutschen Datenschutzrecht traditionellen Unterscheidung zwischen öffentlichen und nichtöffentlichen Stellen fest.176 Zwar unterscheidet die DSGVO, wie auch bereits die DSRL, nicht zwischen dem nichtöffentlichen und öffentlichen Bereich, sie schließt eine derartige Trennung im nationalen Recht aber auch nicht aus.177 Das BDSG n. F. gilt gemäß § 1 Abs. 1 BDSG n. F. für die Datenverarbeitung durch alle öffentlichen Stellen des Bundes, für öffentliche Stellen der Länder nur, soweit der Datenschutz nicht durch Landesgesetz geregelt ist, sowie für nichtöffentliche Stellen i. S. d. § 2 BDSG n. F. Um einen Sachverhalt in die Systematik des nationalen Datenschutzrechts einzuordnen, ist daher zunächst zwischen öffentlichen und nichtöffentlichen Stellen zu unterscheiden.178 Das BDSG n. F. sieht zwar anders als das BDSG a. F. für öffentliche und nichtöffentliche Stellen keine eigenen Abschnitte mehr vor, teilweise wird jedoch in einzelnen Vorschriften nach öffentlichen und nichtöffentlichen Stellen unterschieden bzw. es werden eigene Vorschriften für öffentliche Stellen vorgesehen, sodass dementsprechend zu differenzieren ist.179 a) Öffentliche Stellen Öffentliche Stellen sind gemäß § 2 Abs. 1 und 2 BDSG n. F. Organisationseinheiten des Staates.180 Die Rechtsform dieser öffentlichen Stelle ist dabei nicht von Bedeutung, sodass Krankenhäuser des Bundes oder der Länder, auch wenn sie in einer privatrechtlichen Form betrieben werden, als öffentliche Stellen einzuordnen sind.181 Für öffentliche Stellen gilt das BDSG n. F. unabhängig von der Form der Verarbeitung personenbezogener Daten, sodass der Anwendungsbereich im Vergleich zur DSGVO weiter und bereits eröffnet ist, wenn bloße Handakten
174
Kühling, MedR 2019, 611 (620). Kühling, MedR 2019, 611 (618). 176 Albers / Veit, in: BeckOK Datenschutzrecht, § 22 BDSG vor Rn. 1. 177 Kühling, NJW 2017, 1985 (1987); Weichert, DuD 2017, 538 (538). 178 Münch, Autonome Systeme im Krankenhaus, S. 85. 179 BT-Drs. 18/11325, S. 80. 180 Münch, Autonome Systeme im Krankenhaus, S. 86. 181 Münch, Autonome Systeme im Krankenhaus, S. 86. 175
58
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
oder Notizen verwendet werden.182 Innerhalb der öffentlichen Stellen differenziert das BDSG n. F. weiter zwischen öffentlichen Stellen des Bundes und öffentlichen Stellen der Länder. aa) Öffentliche Stellen des Bundes Das BDSG n. F. gilt gemäß § 1 Abs. 1 S. 1 Nr. 1 BDSG n. F. für die Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes. Im Gesundheitswesen sind öffentliche Stellen des Bundes i. S. d. § 2 Abs. 1 BDSG n. F. insbesondere Krankenhäuser in Trägerschaft des Bundes, wie zum Beispiel Bundeswehrkrankenhäuser.183 Dabei ist zu beachten, dass öffentliche Stellen des Bundes gemäß § 2 Abs. 5 S. 1 BDSG n. F. aus Gründen der Wettbewerbsgleichheit mit privaten Stellen als nichtöffentliche Stellen gelten, soweit sie am Wettbewerb teilnehmen.184 Hintergrund ist es, Wettbewerbsverzerrungen zwischen öffentlichen und privaten am Wettbewerb teilnehmenden Stellen zu vermeiden.185 Den jeweiligen Einrichtungen soll eine Teilnahme am Wettbewerb ermöglicht werden, ohne zusätzliche Auflagen erfüllen zu müssen, die für ihre Konkurrenz in privater Trägerschaft nicht gelten.186 Am Wettbewerb nehmen öffentliche Stellen dann teil, wenn sie Leistungen erbringen, die auch von privaten Unternehmen erbracht werden können und daher in Konkurrenz zu diesen treten.187 Öffentliche Krankenhäuser, die im Bereich der ärztlichen Dienstleistungen mit privaten Krankenhäusern im Wettbewerb um Behandlungsverträge und die damit zusammenhängende Vergütung nach der Bundespflegesatzverordnung stehen, sind demnach als öffentlich-rechtliche Wettbewerbsunternehmen einzuordnen, sodass für sie die Regelungen für nichtöffentliche Stellen anwendbar sind.188
182
BT-Drs. 18/11325, S. 79; Gola / Reif, in: Gola / Heckmann, BDSG, § 1 BDSG Rn. 5; Ernst, in: Paal / Pauly, DSGVO BDSG, § 1 BDSG Rn. 5. 183 Halbe / Orlowski, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 13 Rn. 68. 184 Schulz, in: Gola / Heckmann, BDSG, § 2 BDSG Rn. 27; Ernst, in: Paal / Pauly, DSGVO BDSG, § 2 BDSG Rn. 13. 185 Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 9. 186 Jäschke / Richard, in: Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen, S. 8. 187 Schulz, in: Gola / Heckmann, BDSG, § 2 BDSG Rn. 27; Ernst, in: Paal / Pauly, DSGVO BDSG, § 2 BDSG Rn. 13. 188 Münch, Autonome Systeme im Krankenhaus, S. 89 f.; Bizer, Forschungsfreiheit und Informationelle Selbstbestimmung, S. 351; Pöttgen, Medizinische Forschung und Datenschutz, S. 65; Schneider, Sekundärnutzung klinischer Daten, S. 91; Karaalp, Der Schutz von Patientendaten, S. 74 f.
C. Zusammenspiel von DSGVO und nationalem Recht
59
bb) Öffentliche Stellen der Länder Gemäß § 1 Abs. 1 S. 1 Nr. 2 BDSG n. F. gilt das BDSG n. F. im Grundsatz auch für öffentliche Stellen der Länder. Dies ist aber nur der Fall, soweit der Datenschutz nicht durch Landesgesetz geregelt ist. Da alle 16 Bundesländer Landesdatenschutzgesetze mit entsprechenden Regelungen erlassen und diese an die Vorgaben der DSGVO angepasst haben, werden öffentliche Stellen der Länder vom BDSG n. F. nicht erfasst.189 Für öffentliche Stellen der Länder gelten daher die Landesdatenschutzgesetze. Öffentliche Stellen der Länder sind gemäß § 2 Abs. 2 BDSG n. F. alle öffentlich-rechtlich organisierten Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigung ungeachtet ihrer Rechtsform. In den Landesdatenschutzgesetzen finden sich entsprechende Regelungen.190 Öffentliche Stellen eines Landes sind im Bereich des Gesundheitswesens vor allem Stadt-, Kreis-, Bezirks- und Gemeindekrankenhäuser.191 Daneben werden auch die Universitätskliniken regelmäßig von den Ländern getragen, sodass es sich um öffentliche Einrichtungen der Länder handelt.192 Die Rechtsform des jeweiligen Krankenhauses ist dabei ausweislich des Wortlauts des § 2 Abs. 2 BDSG n. F. ohne Bedeutung, sodass Krankenhäuser in Trägerschaft des Landes auch dann öffent liche Stellen sind, wenn sie sich einer Rechtsform des privaten Rechts bedienen.193 In diesem Zusammenhang gilt es jedoch zu berücksichtigen, dass auch in nahezu allen Landesdatenschutzgesetzen Regelungen bestehen, nach denen öffentliche Stellen der Länder, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, als nichtöffentliche Stellen gelten.194 Da Krankenhäuser, wie dargestellt, im Rahmen der Patientenversorgung als öffentlich-rechtliche Wettbewerbsunternehmen einzuordnen sind, gelten diese demnach als nichtöffentliche Stellen.195 Die Landesdatenschutzgesetze, die nur auf öffentliche Stellen anwendbar sind, sind für 189
Gola, in: Gola, DSGVO, Art. 2 DSGVO Rn. 4. S. etwa § 5 Abs. 1 S. 1 DSG NRW, § 2 Abs. 1 S. 2 LDSG SH. 191 Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 103; Münch, Autonome Systeme im Krankenhaus, S. 87. 192 Pöttgen, Medizinische Forschung und Datenschutz, S. 66. 193 Münch, Autonome Systeme im Krankenhaus, S. 86; Schulz, in: Gola / Heckmann, BDSG, § 2 BDSG Rn. 22; entsprechende Regelungen finden sich in den Landesdatenschutzgesetzen, so etwa in § 5 Abs. 1 S. 1 DSG NRW. 194 Solche Regelungen finden sich in leicht unterschiedlicher Ausgestaltung in § 2 Abs. 6 S. 1 LDSG BW, Art. 1 Abs. 3 S. 1 BayDSG, § 2 Abs. 6 S. 3 BlnDSG, § 2 Abs. 3 BbgDSG, § 2 Abs. 3 BremDSGVOAG, § 2 Abs. 3 HmbDSG, § 2 Abs. 2 HDSIG, § 2 Abs. 5 DSG M-V, § 1 Abs. 4 NDSG, § 2 Abs. 4 LDSG Rh.-Pf., § 2 Abs. 3 S. 1 SDSG, § 2 Abs. 7 Nr. 1 DSAG LSA, § 2 Abs. 4 und 5 LDSG SH sowie § 26 ThürDSG. 195 Zu der Frage, ob ein Krankenhaus in öffentlicher Trägerschaft eines Bundeslandes im Bereich der wissenschaftlichen Forschung am Wettbewerb mit anderen Unternehmen in privater Trägerschaft teilnimmt, s. unter Kap. 7 E. II. 2. a) bb), (S. 377 ff.). 190
60
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
Krankenhäuser in öffentlicher Trägerschaft der Länder folglich größtenteils nicht anwendbar.196 Vielmehr unterliegen diese Krankenhäuser, wie andere nichtöffentliche Stellen auch, gemäß § 1 Abs. 1 S. 2 BDSG n. F. dem BDSG n. F.197 b) Nichtöffentliche Stellen Das BDSG n. F. ist gemäß § 1 Abs. 1 S. 2 BDSG n. F. für nichtöffentliche Stellen anwendbar, soweit diese Stellen personenbezogene Daten automatisiert verarbeiten oder in Dateisystemen, zum Beispiel einer Patientenkartei, speichern. Gemäß § 2 Abs. 4 S. 1 BDSG n. F. sind nichtöffentliche Stellen natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts. Nichtöffentliche Stellen im Gesundheitswesen sind insbesondere die niedergelassenen Ärzte, die, auch soweit sie als Vertragsärzte tätig werden, nicht als öffentliche Stellen einzuordnen sind.198 Daneben sind auch Krankenhäuser in privater Trägerschaft und private Krankenversicherungen nichtöffentliche Stellen i. S. d. BDSG n. F. In diesem Zusammenhang ist jedoch zu berücksichtigen, dass der Anwendungsbereich des BDSG n. F. durch die Gesetzgebungskompetenz des Bundes begrenzt wird.199 Ein genereller Vorrang des BDSG n. F. für die Datenverarbeitung nichtöffentlicher Krankenhäuser lässt daher hinsichtlich der Gesetzgebungskompetenz des Bundes Zweifel aufkommen.200 Nach der allgemeinen Kompetenzverteilung des Grundgesetzes liegt die Gesetzgebungskompetenz gemäß Art. 70 Abs. 1 GG primär bei den Ländern, soweit dem Bund keine ausschließliche oder konkurrierende Gesetzgebungskompetenz zugewiesen ist. In diesem Zusammenhang ist zu beachten, dass das Grundgesetz keine spezifische Gesetzgebungskompetenz für den Bereich des Datenschutzrechts vorsieht.201 Grundsätzlich sind daher die Länder gesetzgebungsbefugt. Der Bundesgesetzgeber ist hingegen zur Regelung datenschutzrechtlicher Fragen als mitzuregelnde Folgematerie berechtigt, soweit seine allgemeinen Gesetzgebungskompetenzen reichen. Solche Gesetzgebungs 196
Münch, Autonome Systeme im Krankenhaus, S. 90 f. Dabei verweisen die meisten Vorschriften auf das BDSG n. F. in Gänze, teilweise werden jedoch auch einzelne Regelungen des BDSG n. F. ausgenommen, so etwa in § 2 Abs. 6 S. 3 BlnDSG, § 2 Abs. 2 S. 2 HDSIG, § 2 Abs. 7 Nr. 1 S. 2 DSAG LSA sowie § 26 S. 2 ThürDSG. 198 Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 95 ff.; ders., in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 200; zust. Kühling, MedR 2019, 611 (618); Jülicher, Medizininformationsrecht, S. 83. 199 Gusy / Eichenhofer, in: BeckOK Datenschutzrecht, § 1 BDSG Rn. 69. 200 Hanisch, BayVBl. 1983, 234 (240); Kircher, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 195 f., 201. 201 Kühling / Seidel, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 60 f.; Kircher, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 190; ders., Der Schutz personenbezogener Gesundheitsdaten, S. 81; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 160. 197
C. Zusammenspiel von DSGVO und nationalem Recht
61
rechte können sich aus geschriebenen Einzelbestimmungen des Grundgesetzes, kraft Sachzusammenhangs mit solchen Bestimmungen und als Annex zu den Sachkompetenzen begründen lassen.202 Im Allgemeinen stützt der Bund seine datenschutzrechtliche Gesetzgebungskompetenz für nichtöffentliche Stellen weitgehend auf Art. 74 Abs. 1 Nr. 11 GG als Annex für das Recht der Wirtschaft.203 Daraus lässt sich jedoch nicht ohne Weiteres auch eine Gesetzgebungskompetenz des Bundes für die Regelung des Datenschutzes bei Krankenhäusern in nichtöffentlicher Trägerschaft ableiten. Denn im Bereich der konkurrierenden Gesetzgebung gemäß Art. 74 GG ist der Bund keineswegs verpflichtet, seine Gesetzgebungskompetenz vollständig auszuschöpfen.204 Vielmehr können die Länder nach Art. 72 Abs. 1 GG eigenständige Regelungen erlassen, solange und soweit der Bund von seiner Gesetzgebungszuständigkeit nicht durch Gesetz Gebrauch gemacht hat.205 Dies wirft die Frage auf, inwiefern der Bund durch die Regelungen im BDSG n. F. von seiner Gesetzgebungskompetenz auch auf dem Gebiet des nichtöffentlichen Krankenhausdatenschutzes Gebrauch gemacht hat.206 Für das Tatbestandsmerkmal des Gebrauchmachens als Anknüpfungspunkt für die Sperrwirkung der Bundesgesetzgebung gegenüber der Landesgesetzgebung wird verlangt, dass die bundesgesetzliche Regelung die betreffende Materie im Grundsatz erschöpfend regelt.207 Ob dies für das BDSG n. F. im Hinblick auf den Bereich des Krankenhausdatenschutzes zutrifft, wird unterschiedlich bewertet. Nach einer Ansicht hat der Bund von seiner datenschutzrechtlichen Gesetzgebungskompetenz für nichtöffentliche Stellen erschöpfend in Gestalt der gesundheitsspezifischen Regelungen auf Bundesebene Gebrauch gemacht, sodass den Ländern für den Bereich der privaten Krankenhäuser keine Abweichungsmöglichkeiten zukommen.208 Demnach wären die Landeskrankenhausgesetze (LKHG) bei verfassungskonformer Auslegung nicht auf Krankenhäuser in privater Trägerschaft anwendbar. Demgegenüber wird überwiegend die Auffassung vertreten, dass der Bund den Bereich des Krankenhausdatenschutzes mit den entsprechenden Vorschriften auf Bundesebene nicht abschließend geregelt habe.209 Zwar habe der Bundesgesetzgeber Regelungen zum Gesundheitsdatenschutzrecht, wie etwa den § 22 Abs. 1 Nr. 1 lit. b BDSG n. F., erlassen, jedoch wiesen diese keinen speziellen Bezug zum Bereich des Krankenhauswesens auf, sodass den Ländern nach Art. 72 Abs. 1 GG die Kompetenz zustehe, diese Regelungen zu präzisieren 202
Gusy / Eichenhofer, in: BeckOK Datenschutzrecht, § 1 BDSG Rn. 27. BT-Drs. 18/11325, S. 71; so auch bereits BT-Drs. 7/1027, S. 16. 204 Kaltenborn, in: Huster / Kaltenborn, Krankenhausrecht, § 2 Rn. 3. 205 Kuhla, NZS 2014, 361 (362). 206 Paul / Gendelev, ZD 2012, 315 (316 f.). 207 BVerfGE 7, 342 (347); Oeter, in: v. Mangoldt / K lein / Starck, GG-Kommentar, Art. 72 GG Rn. 23; Uhle, in: Maunz / Dürig, GG-Kommentar, Art. 72 GG Rn. 25. 208 Paul / Gendelev, ZD 2012, 315 (316 f.); Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 9. 209 Sosna, Daten- und Geheimnisschutz, S. 39; Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 11, 17; Pöttgen, Medizinische Forschung und Datenschutz, S. 68; Münch, Autonome Systeme im Krankenhaus, S. 81 ff. 203
62
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
oder weiterzuentwickeln.210 Dieser Ansicht ist zuzustimmen, da sich die Frage, ob eine erschöpfende Regelung getroffen wurde, richtigerweise danach bemisst, ob der Gesetzgeber das Sachgebiet subjektiv abschließend regeln wollte und ob er es objektiv so geregelt hat, dass kein Raum mehr für eine landesrechtliche Regelung verbleibt.211 Dass eine abschließende Regelung nicht intendiert war, lässt sich der Gesetzesbegründung entnehmen, nach der das BDSG n. F. ausdrücklich nur als Auffanggesetz für die Fälle gelten soll, für die keine bereichsspezifischen Regelungen existieren.212 Da der Bund seine Gesetzgebungskompetenz mit den allgemeinen Regelungen im BDSG n. F. nicht ausgeschöpft hat, können die bereichsspezifischen Landesgesetze mithin zulässigerweise den Raum ausfüllen, „den der Bund bei der Nutzung seiner konkurrierenden Gesetzgebungskompetenz durch die nur allgemeine Regelung für den Datenschutz in nicht-öffentlichen Stellen gelassen hat.“213 Die meisten Bundesländer haben mit dem Erlass von Datenschutzregelungen in ihren Landeskrankenhausgesetzen auch von ihrer Gesetzgebungskompetenz für diesen Bereich Gebrauch gemacht.214 Diese erstrecken sich nach ihrem Anwendungsbereich regelmäßig auch auf Krankenhäuser in privater Trägerschaft.215 Somit kann das BDSG n. F. verfassungskonform dahingehend ausgelegt werden, dass die existierenden Regelungen in den Landeskrankenhausgesetzen auch für nichtöffentliche Stellen zur Anwendung kommen.216 Die Landeskrankenhaus gesetze sind daher grundsätzlich auch auf Krankenhäuser in privater Trägerschaft anwendbar.217 Enthält das jeweilige Landeskrankenhausgesetz keine oder zumindest keine abschließenden bereichsspezifischen Datenschutzvorschriften, so ist für Krankenhäuser in privater Trägerschaft auf das BDSG n. F. zurückzugreifen.218 210 Sosna, Daten- und Geheimnisschutz, S. 39; Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 11. 211 Oeter, in: v. Mangoldt / K lein / Starck, GG-Kommentar, Art. 72 GG Rn. 23; Uhle, in: Maunz / Dürig, GG-Kommentar, Art. 72 GG Rn. 83, 87; Kaltenborn, in: Huster / Kaltenborn, Krankenhausrecht, § 2 Rn. 3. 212 BT-Drs. 18/11325, S. 79; Münch, Autonome Systeme im Krankenhaus, S. 45. 213 Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 11. 214 Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 105. 215 In der Regel legen die LKHG in ihrer Vorschrift zum Geltungsbereich fest, dass sie für alle Krankenhäuser gelten, die nach dem Krankenhausfinanzierungsgesetz (KHG) öffentlich gefördert werden. Das KHG selbst unterscheidet nicht zwischen öffentlichen und privaten Krankenhäusern, Münch, Autonome Systeme im Krankenhaus, S. 89 Fn. 257; Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 76. 216 Kircher, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 196; ders., Der Schutz personenbezogener Gesundheitsdaten, S. 105; Jülicher, Medizininformationsrecht, S. 84. 217 Jandt / Roßnagel, MedR 2013, 17 (19); Sosna, Daten- und Geheimnisschutz, S. 47 f.; Kühling, MedR 2019, 611 (619); Buchner / Schwichtenberg, GuP 2016, 218 (222); Münch, Autonome Systeme im Krankenhaus, S. 89; Kircher, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 201; Kühling / Seidel, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 57; Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 17 f. 218 Sosna, Daten- und Geheimnisschutz, S. 32; Pöttgen, Medizinische Forschung und Datenschutz, S. 68; Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 177; Münch, Autonome Systeme im Krankenhaus, S. 89.
C. Zusammenspiel von DSGVO und nationalem Recht
63
Daneben steht dem Bund im Bereich der Krankenhäuser zwar auch die konkurrierende Gesetzgebungskompetenz nach Art. 72 Abs. 2 i. V. m. Art. 74 Abs. 1 Nr. 19a GG für die „wirtschaftliche Sicherung der Krankenhäuser und die Regelung der Krankenhauspflegesätze“ zu. Aus diesem Kompetenztitel lässt sich aber keine umfassende Gesetzgebungskompetenz des Bundes für das gesamte Krankenhauswesen ableiten, vielmehr beschränkt Art. 74 Abs. 1 Nr. 19a GG die Bundeskompetenz auf den Bereich der Krankenhausfinanzierung.219 Nicht von Art. 74 Abs. 1 Nr. 19a GG umfasst sind daher etwa die Bereiche der Krankenhausorganisation und Krankenhausplanung, denen auch Regelungen zum krankenhausspezifischen Datenschutz zuzurechnen sind.220 Diese fallen gemäß Art. 70 Abs. 1 GG somit in den Kompetenzbereich der Länder.221 2. Subsidiarität des allgemeinen Datenschutzrechts gegenüber den bereichsspezifischen Datenschutzregelungen Gemäß § 1 Abs. 2 S. 1 BDSG n. F. ist das BDSG n. F. subsidiär gegenüber spezielleren datenschutzrechtlichen Vorschriften des Bundes. Nach § 1 Abs. 2 S. 2 BDSG n. F. gilt dies allerdings nur, wenn eine Tatbestandskongruenz vorliegt, die sich im Einzelfall nach den Tatbeständen des jeweils einschlägigen bereichsspezifischen Gesetzes beurteilt.222 Hinsichtlich der Frage der Anwendbarkeit kommt es somit darauf an, was jeweils spezifisch geregelt wurde. Liegt keine oder eine nicht abschließende bereichsspezifische Datenschutzregelung vor, so übernimmt das BDSG n. F. eine „lückenfüllende Auffangfunktion“223. Das BDSG n. F. ist daher nur dann einschlägig, wenn es im konkreten Fall an spezifischen Vorschriften auf Bundesebene mangelt.224 Jedoch kommt den Vorgaben des BDSG n. F. dann wiederum keine Auffangfunktion zu, wenn spezifische Vorgaben die Datenverarbeitung für einen bestimmten Bereich umfassend und damit abschließend regeln, so wie dies zum Beispiel für den im SGB X i. V. m. dem SGB I sowie dem in den übrigen Büchern des Sozialgesetzbuches geregelten Schutz von Sozialdaten der Fall ist.225 219
Halbe / Orlowski, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 13 Rn. 15; Degenhart, in: Sachs, GG-Kommentar, Art. 74 GG Rn. 88; Sosna, Daten- und Geheimnisschutz, S. 39. 220 BVerfGE 83, 363 (379 f.); Wittreck, in: Dreier, GG-Kommentar, Art. 74 GG Rn. 93; Oeter, in: v. Mangoldt / Klein / Starck, GG-Kommentar, Art. 74 GG Rn. 141; Hanisch, BayVBl. 1983, 234 (241). 221 Wollenschläger / Schmidl, GesR 2016, 542 (545); Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 165. 222 BT-Drs. 18/11325, S. 79. 223 BT-Drs. 18/11325, S. 79; so auch Ernst, in: Paal / Pauly, DSGVO BDSG, § 1 BDSG Rn. 8; Lippert, GesR 2018, 613 (620). 224 Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 8. 225 BT-Drs. 18/11325, S. 79 f.; BT-Drs. 18/12611, S. 96; Klar, in: Kühling / Buchner, DSGVO BDSG, § 1 BDSG Rn. 16; a. A. Weichert, in: Kühling / Buchner, DSGVO BDSG, § 22 BDSG Rn. 45 nach dem § 22 Abs. 2 BDSG n. F. ergänzend anwendbar ist, wenn im bereichsspezifischen Recht allein Aussagen zur materiell-rechtlichen Zulässigkeit getroffen wurden, wurden jedoch bereichsspezifische Garantien geregelt, sollen diese dem § 22 Abs. 2 BDSG n. F. vorgehen.
64
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
a) Bereichsspezifischer Gesundheitsdatenschutz des Bundes Auf Bundesebene finden sich bereichsspezifische Datenschutznormen neben den datenschutzrechtlichen Regelungen im Arzneimittelgesetz, Gendiagnostikgesetz, Infektionsschutzgesetz, Medizinprodukterecht-Durchführungsgesetz oder Transplantationsgesetz insbesondere innerhalb des Ersten, Fünften sowie Zehnten Buch des Sozialgesetzbuchs.226 Vor allem das Sozialdatenschutzrecht bildet für das Gesundheitswesen einen bedeutenden Spezialfall.227 Auch dieses teilt sich in einen allgemeinen und bereichsspezifischen Sozialdatenschutz. Neben den allgemeinen Grundsätzen in § 35 SGB I und den §§ 67 ff. SGB X sind im Gesundheitswesen insbesondere die Vorschriften des bereichsspezifischen Sozialdatenschutzes in den §§ 284 ff. SGB V für die gesetzlichen Krankenversicherungen von Bedeutung.228 b) Bereichsspezifischer Gesundheitsdatenschutz der Länder Wie dargestellt, gilt das BDSG n. F. gemäß § 1 Abs. 1 S. 1 Nr. 2 für die Verarbeitung personenbezogener Daten durch öffentliche Stellen der Länder nur, „soweit der Datenschutz nicht durch Landesgesetz geregelt ist“. Daher finden für öffent liche Stellen der Länder im Grundsatz die Landesdatenschutzgesetze Anwendung. Die Vorschriften dieser allgemeinen Landesdatenschutzgesetze sind nach den gesetzlichen Subsidiaritätsklauseln der LDSG jedoch gegenüber den Vorschriften in den bereichsspezifischen Datenschutzgesetzen der Länder subsidiär.229 Auf Landesebene sind für das Gesundheitswesen vor allem die Krankenhausgesetze der Länder von Relevanz.230 Diese bestehen seit dem Inkrafttreten des Landeskrankenhausgesetzes Schleswig-Holstein am 1. Januar 2021231 nun in allen Bundesländern und enthalten größtenteils auch bereichsspezifische Regelungen zur Datenverarbeitung im Krankenhaus.232 Mit dem Gesundheitsdatenschutzgesetz in 226
Albers / Veit, in: BeckOK Datenschutzrecht, § 22 BDSG Rn. 9; Arning, in: Moos / Schefzig / Arning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 175. 227 Kühling, MedR 2019, 611 (619). 228 Ausführlich zum Verhältnis des SGB zur DSGVO sowie zu den nationalen Datenschutzvorschriften und zum Verhältnis des allgemeinen zum bereichsspezifischen Sozialdatenschutz unter Kap. 3 A., (S. 195 ff.). 229 So beispielsweise § 2 Abs. 3 S. 1 LDSG BW, Art. 1 Abs. 5 BayDSG, § 1 Abs. 2 S. 1 HDSIG, § 5 Abs. 6 S. 1 DSG NRW. 230 Kühling, MedR 2019, 611 (619); Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 107; Buchner / Schwichtenberg, GuP 2016, 218 (222). 231 Krankenhausgesetz für das Land Schleswig-Holstein – Landeskrankenhausgesetz – (LKHG) v. 10. Dezember 2020, GVOBl. Schl.-H. 2020, S. 1004, welches nach § 45 S. 1 LKHG SH am 1. Januar 2021 in Kraft getreten ist. 232 S. dazu § 45 LKHG BW, Art. 27 BayKrG, § 28 BbgKHEG, § 38 BremKrhG, §§ 8 und 10 HmbKHG, § 33 LKHG M-V, §§ 10 f. GDSG NW, § 36 LKHG Rh.-Pf., § 13 SKHG, § 33 SächsKHG, § 16 Abs. 2 und 3 KHG LSA, § 36 LKHG SH, § 27 ThürKHG; § 12 Abs. 1 HKHG verweist lediglich auf die DSGVO sowie das Hessische Datenschutz-und Informationsfreiheitsgesetz und enthält in § 12 Abs. 2 HKHG allein Bestimmungen zur Übermittlung von
C. Zusammenspiel von DSGVO und nationalem Recht
65
Nordrhein-Westfalen hat ein Bundesland sogar ein eigenständiges Datenschutzgesetz für Krankenhäuser erlassen.233 Zumeist sehen die Landeskrankenhausgesetze jedoch allein ergänzende Regelungen zu den Vorschriften in den LDSG vor, sodass im Übrigen wieder auf die allgemeinen Datenschutzvorschriften des jeweiligen Landes zurückzugreifen ist.234 Dies zieht nach den Vorgaben in den meisten LDSG sodann wiederum einen Folgeverweis nach sich,235 wenn die öffentlich-rechtlichen Stellen am Wettbewerb teilnehmen. In diesem Fall sind daher letztlich die für nichtöffentliche Stellen geltenden Vorschriften des BDSG n. F. anwendbar. Die bereichsspezifischen Datenschutzgesetze der Länder finden hingegen auf Krankenhäuser in Trägerschaft des Bundes – anders als auf Krankenhäuser in privater Trägerschaft – keine Anwendung.236 Teilweise nehmen die Landeskrankenhausgesetze Krankenhäuser in Trägerschaft des Bundes bereits explizit aus ihrem Anwendungsbereich aus.237 Darüber hinaus steht auch nur dem Bund die Gesetzgebungskompetenz zu, um datenschutzrechtliche Regelungen für öffentliche Stellen des Bundes zu erlassen.238 Dies gilt im Bereich des Gesundheitswesens etwa im Hinblick auf Krankenhäuser, die von den Sozialleistungsträgern i. S. v. § 12 i. V. m. §§ 18 bis 29 SGB I betrieben werden, da der Bund diesbezüglich von der konkurrierenden Gesetzgebungskompetenz aus Art. 74 Abs. 1 Nr. 12 GG in Form der Datenschutzbestimmungen in den Sozialgesetzbüchern umfassend Gebrauch gemacht hat, sodass kein Raum für daneben bestehende landesrechtliche Regelungen verbleibt.239 Aus Art. 73 Abs. 1 Nr. 1 GG folgt zudem die ausschließliche Gesetzgebungskompetenz für den Bereich der Bundeswehrkrankenhäuser.240 Die Landeskrankenhausgesetze sind daher auf Krankenhäuser in Trägerschaft des Bundes nicht anwendbar. Patientendaten, Gleiches gilt für § 24 Abs. 2 und 4 LKG Berlin; das NKHG enthält keine Datenschutzregelungen, vgl. Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 51. 233 Buchner / Schwichtenberg, GuP 2016, 218 (222); Kühling, MedR 2019, 611 (619). 234 Dies kommt etwa in § 1 Abs. 2 S. 2 HDSIG und § 5 Abs. 6 S. 2 DSG NRW zum Ausdruck. 235 S. etwa § 2 Abs. 2 HDSIG, § 2 Abs. 3 HmbDSG, § 2 Abs. 4 LDSG SH. 236 Schneider, Sekundärnutzung klinischer Daten, S. 92 f.; Pöttgen, Medizinische Forschung und Datenschutz, S. 66. 237 So etwa in § 43 Abs. 1 S. 3 LKHG BW, § 36 Abs. 2 BremKrhG und § 2 Abs. 1 Nr. 1 GDSG NW. 238 Pöttgen, Medizinische Forschung und Datenschutz, S. 66. 239 Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 22; Münch, Autonome Systeme im Krankenhaus, S. 93; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 165; teilweise wird die Gesetzgebungskompetenz des Bundes für den Datenschutz im Bereich der öffentlichen Stellen des Bundes auch über die Annexkompetenz des Bundes zur Regelung des Verwaltungsverfahrens hinsichtlich der dem Bund zugewiesenen Gegenstände der Gesetzgebung hergeleitet, so Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 11, die Zuordnung des Datenschutzrechts zum Verwaltungsverfahrensrecht bereitet jedoch Schwierigkeiten, dazu Hermes, in: Dreier, GG-Kommentar, Art. 84 GG Rn. 38 m. w. N. 240 Kircher, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 195 f.; Wittreck, in: Dreier, GG-Kommentar, Art. 74 GG Rn. 93; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 165.
66
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
3. Verhältnis zwischen staatlichem und kirchlichem Datenschutzrecht Daneben stellt sich auch die Frage, inwieweit die staatlichen Datenschutz regelungen auf Krankenhäuser in kirchlicher Trägerschaft anwendbar sind.241 Das Verhältnis zwischen staatlichem und kirchlichem Datenschutzrecht ist seit langem umstritten und wurde auch durch Art. 91 DSGVO nicht abschließend geklärt.242 Die Frage, ob kirchliches oder weltliches Recht zur Anwendung kommt, wird auch praktisch nach wie vor Bedeutung haben. Zwar entsprechen die kirchlichen Regelungen weitestgehend denen der DSGVO, da die DSGVO jedoch Raum für nationales Recht lässt, welches, wie noch zu zeigen sein wird, teilweise spezielle Anforderungen an die Datenverarbeitung aufstellt, können sich insofern Abweichungen zwischen den Rechtsregimen ergeben. Den Kirchen wird es aufgrund des ihnen verfassungsmäßig garantierten Selbstverwaltungsrechts gemäß Art. 140 GG i. V. m. Art. 137 Abs. 3 WRV zugestanden, für die Datenverarbeitung im kirchlichen Bereich eigene datenschutzrechtliche Regelungen zu schaffen.243 Diese Kompetenz, die eigenen Angelegenheiten durch selbstständige Vorschriften zu regeln, wird gemäß Art. 137 Abs. 3 S. 1 WRV jedoch durch die „Schranken des für alle geltenden Gesetzes“ begrenzt.244 Grundsätzlich besteht Einigkeit darüber, dass der Vorbehalt des für alle geltenden Gesetzes nicht für die rein innerkirchlichen Angelegenheiten anwendbar ist.245 Da die karitative Betätigung im Bereich der Krankenpflege und -behandlung die Verwirklichung einer kirchlichen Aufgabe innerhalb des kirchlichen Gesamtauftrags darstelle,246 wird daher zum Teil angenommen, dass auch der Schutz des Rechts auf informationelle Selbstbestimmung im Rahmen der karitativen Tätigkeit ein Teil der eige-
241
Ausführlich dazu Sosna, Daten- und Geheimnisschutz, S. 51 ff. Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 91 DSGVO Fn. 36; Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 81; ders., betont auf S. 88, dass mit der DSGVO lediglich die Rechtsunsicherheit bezüglich der grundlegenden Kompetenz einer eigenen datenschutzrechtlichen Gestaltungsmöglichkeit für die Kirchen und Religionsgemeinschaften beseitigt wurde. 243 Jacob, in: Auernhammer, DSGVO BDSG, Art. 91 DSGVO Rn. 2; Tinnefeld, ZD 2020, 145 (146); Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 115; Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 81; Kipker / Pollmann, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 26 Rn. 9. 244 Kipker / Pollmann, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrech, S. 26 Rn. 9. 245 Die Bestimmung dieser Schranke ist jedoch seit langem in der Diskussion, so wird in der Rechtsprechung insbesondere die sog. Bereichslehre vertreten, nach der der Vorbehalt des für alle geltenden Gesetzes nicht für die rein innerkirchlichen Angelegenheiten anwendbar ist. Hingegen geht die sog. Abwägungslehre davon aus, dass die Bindung an das für alle geltende Gesetz sich grundsätzlich auf alle kirchlichen Angelegenheiten und nicht nur auf Teile von ihnen bezieht, ausführlich dazu Ehlers, in: Sachs, GG-Kommentar, Art. 137 WRV Rn. 11 ff.; Korioth, in: Maunz / Dürig, GG-Kommentar, Art. 137 WRV Rn. 44 ff.; Morlok, in: Dreier, GGKommentar, Art. 137 WRV Rn. 63 f. 246 BVerfGE 53, 366 (403). 242
C. Zusammenspiel von DSGVO und nationalem Recht
67
nen Angelegenheiten der Kirchen sei.247 Nach dieser Auffassung ist das staatliche Datenschutzrechts folglich auf Krankenhäuser der Religionsgemeinschaften unanwendbar.248 Andere bezweifeln hingegen, dass die Verarbeitung von Patientendaten in kirchlichen Krankenhäusern als Teil der innerkirchlichen Angelegenheiten einzuordnen sei.249 Dem ist zuzustimmen, da im Gegensatz zur allgemeinen Krankenversorgung bei der Verarbeitung von Patientendaten der religiöse Bezug fehlt.250 Die Datenschutzgesetze stellen damit für alle geltende Gesetze i. S. v. Art. 137 Abs. 3 S. 1 WRV dar.251 Die in Trägerschaft der öffentlich-rechtlichen Religionsgemeinschaften stehenden kirchlichen Krankenhäuser sind nach der Legaldefinition in § 2 Abs. 1 und 2 BDSG n. F. mangels Eingliederung in den Staatsaufbau jedoch weder als öffentliche Stellen des Bundes noch als öffentliche Stellen der Länder zu klassifizieren.252 Die Anwendung der Landesdatenschutzgesetze auf Religionsgemeinschaften scheidet somit aus, die Anwendung des BDSG n. F. ist hingegen nicht generell ausgeschlossen.253 Zwar passen bei wörtlicher Anwendung der Legaldefinition in § 2 Abs. 4 BDSG n. F. auch die Möglichkeiten für eine Einordnung als nichtöffentliche Stelle (natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts) nicht.254 Durch die Anwendung der für Private geltenden Regelungen wird aber dem Umstand besser Rechnung getragen, dass die Rechtsbeziehung der Religionsgemeinschaften zu den Betroffenen in der Regel nicht durch ein Subordinationsverhältnis gekennzeichnet ist, sondern auf freier Entscheidung der einzelnen Betroffenen beruht.255 Soweit Religionsgemeinschaften am allgemeinen Geschäftsverkehr teilnehmen, gelten diese Einrichtungen daher als nichtöffentliche Stellen i. S. v. § 2 Abs. 4 BDSG n. F.256 Auf Religionsgemeinschaften sind folglich die Regelungen des BDSG n. F. für nichtöffentliche 247
So Kipker / Pollmann, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrech, S. 26 Rn. 9; Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 24 f.; Pöttgen, Medizinische Forschung und Datenschutz, S. 69. 248 So ausdrücklich Meier, Der Schutz personenbezogener Gesundheitsdaten, S. 25 m. w. N. 249 Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 116; Schneider, Sekundärnutzung klinischer Daten, S. 81; Stollmann / Wollschläger, in: Laufs / Kern / Rehborn, Handbuch des Arztrechts, § 80 Rn. 30. 250 Stollmann / Wollschläger, in: Laufs / Kern / Rehborn, Handbuch des Arztrechts, § 80 Rn. 30; so zur Anwendung des BDSG a. F. auf die öffentlichrechtlichen Religionsgemeinschaften bereits Dammann, NVwZ 1992, 1147 (1150). 251 Tinnefeld, ZD 2020, 145 (146). 252 Sosna, Daten- und Geheimnisschutz, S. 62; Dammann, NVwZ 1992, 1147 (1148); Morlok, in: Dreier, GG-Kommentar, Art. 137 WRV Rn. 82; Seifert, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 91 DSGVO Rn. 3; ausführlich dazu Preuß, ZD 2015, 217 (218 ff.). 253 Dammann, NVwZ 1992, 1147 (1151); Sosna, Daten- und Geheimnisschutz, S. 62 ff.; a. A. Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 116, der annimmt, dass das BDSG kirchliche Stellen insgesamt nicht erfasse. 254 Sosna, Daten- und Geheimnisschutz, S. 62. 255 Dammann, NVwZ 1992, 1147 (1151). 256 Schulz, in: Gola / Heckmann, BDSG, § 2 BDSG Rn. 19; Ernst, in: Paal / Pauly, DSGVO BDSG, § 2 BDSG Rn. 7.
68
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
Stellen entsprechend anzuwenden.257 Auch die Landeskrankenhausgesetze gelten zum Teil entweder für alle Krankenhäuser im Sinne des Krankenhausfinanzierungsgesetzes oder für alle Krankenhäuser des jeweiligen Landes, sodass sie auch auf kirchliche Krankenhäuser anwendbar sind und die kirchlichen Datenschutzvorschriften daher verdrängen können.258 Wenn die Krankenhausgesetze der Länder die kirchlichen Krankenhäuser hingegen explizit aus ihrem Anwendungsbereich ausnehmen und den kirchlichen Datenschutzregelungen somit von sich aus Vorrang gewähren,259 sind diese kirchlichen Vorschriften anwendbar.260 Zudem sind in den Ländern, die keine staatlichen bereichsspezifischen Datenschutzregelungen vorsehen, ebenfalls die kirchlichen bereichsspezifischen Datenschutzregelungen anzuwenden.261 Daneben erfassen auch die bereichsspezifischen Vorschriften des SGB die kirchlichen Leistungserbringer, soweit diese i. S. d. SGB V zugelassen sind.262 4. Verhältnis von Datenschutz und ärztlicher Schweigepflicht Neben dem Datenschutzrecht unterliegt der Arzt auch der ärztlichen Schweigepflicht. Diese ist berufsrechtlich in § 9 Abs. 1 S. 1 MBO-Ä sowie in den entsprechenden Regelungen der Berufsordnungen der Landesärztekammern ausgestaltet und strafrechtlich durch § 203 Abs. 1 Nr. 1 StGB abgesichert.263 Nach § 203 Abs. 1 StGB macht sich strafbar, wer unbefugt ein fremdes Geheimnis offenbart, welches ihm u. a. als Arzt anvertraut worden oder sonst bekannt geworden ist.264 Die in § 9 257
Sosna, Daten- und Geheimnisschutz, S. 64. Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 116; Jülicher, Medizininformationsrecht, S. 84; Kipker / Pollmann, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 26 Rn. 9; so ausdrücklich in Art. 2 BayKrG, § 2 S. 1 LKG Berlin, § 3 Abs. 3 LKHG M-V mit Ausnahme des Vierten Abschnitts des LKHG M-V, 3 Abs. 2 LKHG Rh-Pf. mit Ausnahme des Vierten Abschnitts des LKHG Rh-Pf., § 2 Abs. 2 SächsKHG mit Ausnahme des Vierten Abschnitts des SächsKHG, § 3 Abs. 1 S. 1 ThürKHG mit Ausnahmen davon in Abs. 1 S. 2 und 3 ThürKHG. 259 So in § 43 Abs. 2 LKHG BW, § 7 Abs. 4 HmbKHG, § 2 Abs. 3 GDSG NW, § 2 Abs. 2 SKHG, nach § 2 Abs. 4 LKHG SH gelten die Regelungen zum Patientendatenschutz des LKHG SH für kirchliche Krankenhäuser nur, soweit die Religionsgemeinschaften keine gleichwertigen Vorschriften getroffen haben, nach § 36 Abs. 3 BremKrhG gelten die Datenschutzbestimmungen des BremKrhG für kirchliche Krankenhäuser ebenfalls nur, soweit die kirchlichen Kranken häuser keinen Regelungen unterliegen, die den Anforderungen des Art. 91 DSGVO genügen. 260 Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 284; Karaalp, Der Schutz von Patientendaten, S. 79 f.; Jülicher, Medizininformationsrecht, S. 84; Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 116; Sosna, Daten- und Geheimnisschutz, S. 67. 261 Karaalp, Der Schutz von Patientendaten, S. 80; dies gilt etwa für das niedersächsische Krankenhausgesetz. 262 Kipker / Pollmann, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 26 Rn. 9; Kircher, Der Schutz personenbezogener Daten, S. 116. 263 Buchner, Datenschutz im Gesundheitswesen, S. 38 f.; Dörfer, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 161; Kühling, MedR 2019, 611 (622). 264 Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 43. 258
C. Zusammenspiel von DSGVO und nationalem Recht
69
Abs. 1 MBO-Ä geregelte berufsrechtliche Schweigepflicht umfasst die Pflicht, „über das, was ihnen in ihrer Eigenschaft als Ärztin oder Arzt anvertraut oder bekannt geworden ist […] zu schweigen.“ Das Verhältnis von Datenschutz und ärztlicher Schweigepflicht war schon unter der alten Rechtslage umstritten und ist auch unter der Rechtslage der DSGVO nicht abschließend geklärt.265 Dies gilt insbesondere, da die DSGVO das Verhältnis zwischen Geheimhaltungspflichten und Datenschutzrecht normativ nicht regelt.266 Die Tatsache, dass die DSGVO in einigen Vorschriften auf Geheimhaltungspflichten und Berufsgeheimnisse außerhalb der DSGVO Bezug nimmt,267 spricht jedoch bereits dafür, dass die DSGVO nicht von einer Gleichsetzung von Datenschutzrecht und Berufsgeheimnissen ausgeht.268 Daneben müssen Vorschriften, wie der dem materiellen Strafrecht zuzuordnende § 203 StGB, schon allein deshalb uneingeschränkt anwendbar bleiben, da für diesen Regelungsbereich keine Regelungskompetenz des europäischen Gesetzgebers besteht.269 Zu Recht wird somit an verschiedenen Stellen darauf hingewiesen, dass der Berufsgeheimnisschutz schon wegen des Prinzips der begrenzten Einzelermächtigung aus Art. 5 EUV unberührt bleiben müsse und eine Klarstellung des Verhältnisses in der DSGVO selbst mithin entbehrlich sei.270 Die Zweigleisigkeit von Datenschutzrecht und ärztlicher Schweigepflicht setzt sich daher auch unter der DSGVO fort.271 Im Falle von Datenverarbeitungen, welche von einem Berufsgeheimnis sowie von datenschutzrechtlichen Vorschriften reguliert werden, gelten beide Rechtsregime unabhängig voneinander.272 Dies bedeutet, dass unabhängig vom Datenschutzrecht parallel die Voraussetzungen der ärztlichen Schweigepflicht zu prüfen sind.273 Insofern wird von einem sog. Zwei-Schranken-Prinzip gesprochen.274 265
Buchner / Schwichtenberg, GuP 2016, 218 (223). Dochow, MedR 2019, 363 (363); Jandt, in: Roßnagel, Das neue Datenschutzrecht, § 8 Rn. 326; Kazemi, in: FS Dahm, 283 (291). 267 So etwa in Art. 9 Abs. 2 lit. i DSGVO und Art. 15 Abs. 5 lit. d DSGVO. 268 Dochow, MedR 2019, 363 (363); ders., Telematik im Gesundheitswesen, S. 954; ders., GesR 2016, 401 (408); Jandt, in: Roßnagel, Das neue Datenschutzrecht, § 8 Rn. 326; dies., in: Roßnagel, DSGVO, § 4 Rn. 356, 369, 379. 269 Dochow, MedR 2020, 348 (350); Jandt, in: Roßnagel, Das neue Datenschutzrecht, § 8 Rn. 334. 270 Dochow, MedR 2019, 363 (363 f.); Wronka, RDV 2017, 129 (131). 271 Buchner / Schwichtenberg, GuP 2016, 218 (223); Dochow, MedR 2019, 363 (364); ders., GesR 2016, 401 (408); Jülicher, Medizininformationsrecht, S. 85; Kipker, in: Plagemann, Münchener Anwaltshandbuch Sozialrecht, § 48 Rn. 23; Katzenmeier, in: Laufs / Katzenmeier / Lipp, Arztrecht, IX. Rn. 1. 272 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 146; Buchner / Schwichtenberg, GuP 2016, 218 (223); Fechtner / Haßdenteufel, CR 2017, 355 (363); Dochow, MedR 2019, 363, (364); Kraus, PinG 2018, 16 (20); Kühling, MedR 2019, 611 (619); Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 214. 273 Dochow, MedR 2020, 348 (350); Uwer, in: BeckOK Datenschutzrecht, Syst. F. Rn. 14; ergeben sich Abgrenzungsschwierigkeiten, wird im Folgenden im jeweiligen Zusammenhang darauf eingegangen. 274 Dochow, MedR 2019, 279 (279); Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 146. 266
70
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
Für das bundesrechtliche Verhältnis von Datenschutz und Schweigepflicht trifft § 1 Abs. 2 S. 3 BDSG n. F., wie schon § 1 Abs. 3 S. 2 BDSG a. F., eine eigentlich klare Regelung.275 Nach dieser Vorschrift bleibt die Verpflichtung zur Wahrung von gesetzlichen Geheimhaltungspflichten sowie von nicht auf gesetzlichen Vorschriften beruhenden Berufs- oder Amtsgeheimnissen „unberührt“. Was dies konkret bedeutet, wird allerdings auch in der neuen Literatur unterschiedlich bewertet.276 So wird teilweise von einem Vorrang der berufsrechtlichen Verschwiegenheitspflichten gegenüber dem BDSG n. F. ausgegangen.277 Die Normen des BDSG n. F. seien daher auf die Verarbeitung personenbezogener Daten, die der ärztlichen Schweigepflicht unterliegen, nicht anwendbar.278 Wenn die Vorschriften der ärztlichen Schweigepflicht eingehalten würden, liege folglich kein Verstoß gegen das Datenschutzrecht vor. Andere nehmen hingegen an, dass für das Verhältnis zwischen Datenschutzrecht und ärztlicher Schweigepflicht ausschlaggebend sei, für welchen Zweck die Daten verarbeitet werden. Soweit es um eine Datenverarbeitung zur Durchführung des ärztlichen Behandlungsverhältnisses gehe, seien die Grundsätze der ärztlichen Schweigepflicht vorrangig. Gehe es hingegen um eine Datenverarbeitung, die „für die Durchführung des eigentlichen Behandlungsverhältnisses nicht unbedingt erforderlich“ sei, so seien zusätzlich die Anforderungen des Datenschutzrechts zu beachten.279 Demgegenüber wird überwiegend davon ausgegangen, dass § 1 Abs. 2 S. 3 BDSG n. F. eine Parallelgeltung der beiden Regelungskomplexe anordne.280 Die Entbindung des Arztes von seiner Schweigepflicht oder das Vorliegen eines Rechtfertigungsgrundes führe nicht zugleich zur Zulässigkeit der Verarbeitung personenbezogener Daten aus datenschutzrechtlicher Sicht. Umgekehrt führe auch die zulässige Verarbeitung personenbezogener Daten nicht notwendigerweise zu einer Offenbarungsbefugnis für Berufsgeheimnisse. 275
Dochow, MedR 2019, 363 (364). Ausführlich zum Meinungsstand Dochow, MedR 2019, 363 (364 ff.). 277 Ulsenheimer, in: Laufs / Kern / Rehborn, Handbuch des Arztrechts, § 146 Rn. 30; Wronka, RDV 2017, 129 (131); Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 56; auch Gola / Reif, in: Gola / Heckmann, BDSG, § 1 BDSG Rn. 12 verstehen § 1 Abs. 2 S. 3 BDSG n. F. als „eine weitere Ausprägung des Subsidiaritätsgrundsatzes“, stellen jedoch für die Frage der Anwendbarkeit des Rechtsregimes darauf ab, welches Rechtsregime das höhere Schutzniveau aufstellt. 278 Ulsenheimer, in: Laufs / Kern / Rehborn, Handbuch des Arztrechts, § 146 Rn. 30. 279 Buchner, Datenschutz im Gesundheitswesen, S. 51 f.; Buchner, in: Tinnefeld / Buchner et al., Einführung in das Datenschutzrecht, S. 437; differenzierender allerdings Buchner, in: FS Hart, 49 (49 ff.). 280 Jandt, in: Roßnagel, Das neue Datenschutzrecht, § 8 Rn. 316, 330; dies., in: Roßnagel, DSGVO, § 4 Rn. 362, 379; Dochow, MedR 2019, 363 (364 ff.); Geminn, RDV 2019, 116 (118); Jülicher, Medizininformationsrecht, S. 85 f.; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 146. 276
C. Zusammenspiel von DSGVO und nationalem Recht
71
Mit der überwiegenden Ansicht ist zutreffend von einer Parallelgeltung von Datenschutz- und Geheimnisschutzrecht auszugehen. Gegen die Annahme eines generellen Vorrangs der Regelung zur ärztlichen Schweigepflicht spricht schon der insoweit eindeutige Wortlaut des § 1 Abs. 2 S. 3 BDSG n. F., nach dem die Berufspflichten lediglich „unberührt“ bleiben sollen, sodass schon sprachlich nicht von einem „Vorrang“ ausgegangen werden kann.281 Der Wortlaut „unberührt“ deutet klar auf ein Nebeneinander der Regelungsbereiche hin. Zudem differenziert § 1 Abs. 2 BDSG n. F. auch systematisch ausdrücklich zwischen einem „Vorgehen“ spezieller Rechtsvorschriften in Satz 1 und einem „Unberührtbleiben“ in Satz 3 der Vorschrift.282 Die Ansicht, die darauf abstellt, für welchen Zweck die Daten verarbeitet werden sollen, umgeht die Abgrenzungsfrage hingegen und verlagert diese auf die Frage der Erforderlichkeit der Datenverarbeitung.283 Ein Vorrang eines der beiden Rechtsregime ist daher abzulehnen. Vielmehr sprechen sowohl der Wortlaut als auch die Systematik für eine parallele Anwendbarkeit der beiden Regelungsregime, die nebeneinander bestehen und daher unabhängig voneinander zu beachten sind.284 Auch wenn § 1 Abs. 2 S. 3 BDSG n. F. nur das bundesrechtliche Verhältnis von Datenschutz und ärztlicher Schweigepflicht betrifft, ist die grundsätzliche Parallelgeltung beider Regelungskomplexe daneben auch für die landes- und kirchenrechtlichen Vorschriften anzuerkennen.285 5. Fazit Mit Wirkung ab dem 25. Mai 2018 ist das gesamte Datenschutzrecht neu geordnet worden.286 Anhand der Ausführungen wurde deutlich, dass sich für die Datenverarbeitung im Gesundheitswesen ein komplexes Normensystem entfaltet, an dessen Spitze nun nach den Grundrechten die unmittelbar geltende DSGVO steht.287 Die Regelungstechnik der DSGVO führt zu einem in dieser Form neuen Zusammenwirken von Unionsrecht und nationalem Recht,288 welches neue Konkurrenz- und Abgrenzungsfragen mit sich bringt. Aufgrund der Öffnungsklauseln bleibt es gerade bei der Datenverarbeitung im Gesundheitswesen bei dem komplizierten Zusammenspiel von allgemeinen und bereichsspezifischen Normen auf
281
Dochow, MedR 2019, 363 (365); ders., Telematik im Gesundheitswesen, S. 589. Kircher, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 204; Dochow, MedR 2019, 363 (365); Dochow, Telematik im Gesundheitswesen, S. 590. 283 Dochow, Telematik im Gesundheitswesen, S. 589. 284 v. Lewinski, in: Auernhammer, DSGVO BDSG, § 1 BDSG Rn. 34. 285 Jülicher, Medizininformationsrecht, S. 86; Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 31 f.; Dochow, Telematik im Gesundheitswesen, S. 599 ff.; zum Verhältnis der bereichsspezifischen Vorschriften in den Landeskrankenhausgesetzen zu den Geheimhaltungsvorschriften s. unter Kap. 2 B. II. 2., (S. 164 ff.). 286 Mrozynski, in: Mrozynski, SGB I Kommentar, § 35 SGB I Rn. 1. 287 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 33. 288 Paal / Pauly, in: Paal / Pauly, DSGVO BDSG, Einleitung Rn. 20. 282
72
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
verschiedenen Gesetzgebungsebenen.289 Aus der dargestellten Systematik ergibt sich, dass auf der Ebene des nationalen Rechts vor Anwendung der Normen des BDSG n. F. bzw. eines der LDSG zunächst zu erwägen ist, ob eine der bereichsspezifischen Datenschutzregelungen einschlägig ist.290
D. Klärung zentraler Begrifflichkeiten Die Auseinandersetzung mit den Auswirkungen der DSGVO auf das Gesundheitswesen setzt zudem die Klärung zentraler Begrifflichkeiten der DSGVO voraus.
I. Personenbezogene Daten im Kontext der Datenverarbeitung im Gesundheitswesen Das Datenschutzrecht geht generell davon aus, dass eine Datenverarbeitung nur Risiken für das Grundrecht auf Datenschutz nach Art. 8 GRCh sowie für das Grundrecht auf informationelle Selbstbestimmung als spezifische Ausprägung des allgemeinen Persönlichkeitsrechts in Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG darstellt, wenn die Daten mit einer Person in Verbindung gebracht werden können.291 Der sachliche Anwendungsbereich der DSGVO und dem folgend des nationalen Rechts292 ist daher gemäß Art. 2 Abs. 1 DSGVO nur eröffnet, wenn personen bezogene Daten verarbeitet werden. Da Daten ohne Personenbezug somit außerhalb des Regelungsbereichs der Verordnung liegen, ist der Personenbezug der zu verarbeitenden Daten der zentrale Begriff, der über die Anwendung des gesamten Datenschutzrechts entscheidet.293 Vor diesem Hintergrund ist maßgeblich zu klären, wie der Personenbezug in der DSGVO beurteilt wird. Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare Person […] beziehen“. Personenbezug liegt somit nur vor, wenn es möglich ist, zwischen der Information und
289
Kühling, MedR 2019, 611 (619). Paal / Pauly, in: Paal / Pauly, DSGVO BDSG, Einleitung Rn. 22. 291 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 145; Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 1. 292 Kühling, MedR 2019, 611 (613); der nationale Gesetzgeber hat im Einklang mit Art. 288 Abs. 2 AEUV keine eigenständige Definition des Begriffs personenbezogener Daten mehr vorgesehen, Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 9. 293 Kühling / Klar, ZD 2017, 27 (27); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 145; Karg, DuD 2015, 520 (520); Eckhardt, CR 2016, 786 (786) verdeutlicht, dass die Frage des Personenbezugs der „Dreh- und Angelpunkt“ der Diskussion um den Anwendungsbereich des Datenschutzrechts sei; ebenso Spindler, MedR 2016, 691 (695); Schneider, Sekundärnutzung klinischer Daten, S. 11. 290
D. Klärung zentraler Begrifflichkeiten
73
der Person eine Verbindung herzustellen.294 Dafür sieht die DSGVO zwei Kon stellationen vor. Der Personenbezug setzt voraus, dass eine natürliche Person durch das Datum entweder identifiziert oder identifizierbar wird.295 Identifiziert ist die betroffene Person zunächst, wenn feststeht, dass sich die Angaben auf diese Person beziehen.296 Dies ist der Fall, wenn die gespeicherten Daten mit der Bezeichnung der Person, in der Regel mit ihrem Namen, verknüpft sind oder sich aus dem Inhalt oder dem Zusammenhang der Daten der Bezug unmittelbar herstellen lässt.297 Kann die Person hingegen nicht bereits durch die Information identifiziert werden, hängt die Einordnung als personenbezogenes Datum davon ab, ob eine Identifizierung mittels Verknüpfung mit weiteren Informationen hergestellt werden kann.298 Diesbezüglich regelt Art. 4 Nr. 1 Hs. 2 DSGVO, dass eine Person als identifizierbar anzusehen ist, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung (beispielsweise einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung) oder zu weiteren besonderen Merkmalen, die Ausdruck der psychischen, physiologischen, genetischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann. Ob eine Person identifiziert werden kann, richtet sich des Weiteren nach den in EG 26 S. 3 und 4 DSGVO aufgeführten Maßstäben.299 Danach sollen, um festzustellen, ob eine Person identifizierbar ist, „alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden“, um die natürliche Person zu identifizieren. Bei diesen Mitteln sind nach EG 26 S. 4 DSGVO objektive Faktoren, wie die Kosten und der Zeitaufwand der Identifizierung, zu berücksichtigen. Dies wirft zwei Fragen auf: Zum einen ist fraglich, auf wessen Mittel und Wissen bei der Beurteilung des Personenbezugs abgestellt werden muss, um zu beurteilen, ob eine Zuordnung des Datums zu einer Person möglich ist.300 Zum anderen stellt sich die Frage, welche Mittel zur Identifizierung einer Person konkret erforderlich sein dürfen, um von einem Personenbezug ausgehen zu können.301
294
Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 46. Schwichtenberg, Datenschutz in drei Stufen, S. 3. 296 Mantz / Marosi, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, S. 42. 297 Arning / Rothkegel, in: Taeger / Gabel, DSGVO BDSG, Art. 4 DSGVO Rn. 24; Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 1 DSGVO Rn. 18; Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 54; Ziebarth, in: Sydow, DSGVO, Art. 4 DSGVO Rn. 14. 298 Arning / Rothkegel, in: Taeger / Gabel, DSGVO BDSG, Art. 4 DSGVO Rn. 30; Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 1 DSGVO Rn. 19. 299 Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 4 Nr. 1 DSGVO Rn. 34. 300 Ziebarth, in: Sydow, DSGVO, Art. 4 DSGVO Rn. 33; Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 1 DSGVO Rn. 25; Schantz, NJW 2016, 1841 (1842); Dierks / Roß nagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 128. 301 Schwichtenberg, Datenschutz in drei Stufen, S. 3, 109. 295
74
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
Die Frage, ob von einer Identifizierbarkeit der betroffenen Person und mithin von einem personenbezogenen Datum auszugehen ist, stellt sich auch und gerade bei der Datenverarbeitung im Gesundheitswesen. Insbesondere tritt die Frage der Identifizierbarkeit der betroffenen Person im Bereich der medizinischen Forschung auf. Übermittelt etwa der behandelnde Arzt Proben eines Patienten aus medizinischen Untersuchungen an eine Forschungseinrichtung, dann erfährt diese Forschungseinrichtung in der Regel nicht den Namen des Patienten, sondern nur eine Identifikationsnummer, die der behandelnde Arzt dem Patienten zuvor zugewiesen hat.302 Für die Frage, ob die Forschungseinrichtung in diesem Fall die Vorschriften des Datenschutzes zu beachten hat, kommt es daher darauf an, ob die Person zumindest identifizierbar ist.303 Hier stellt sich mithin die Frage, ob es für das Vorliegen personenbezogener Daten genügt, dass eine andere Person, in diesem Fall der behandelnde Arzt, die Zuordnung des Datensatzes zu der Person vornehmen könnte. In gleicher Weise kann sich diese Frage auch im Behandlungskontext stellen. So etwa, wenn ein Arzt eine Blutprobe seines Patienten mit einer fortlaufenden Nummer versehen in ein Labor einsendet.304 Auch hier kann nur der behandelnde Arzt und nicht das Labor selbst die betroffene Person bestimmen, sodass sich ebenfalls die Frage stellt, ob die betroffene Person in diesen Fällen identifizierbar ist, mithin also das Datenschutzrecht für die Datenverarbeitungstätigkeiten des Labors Anwendung findet. 1. Die Auslegung des Begriffs des Personenbezugs Die beiden aufgeworfenen Fragen zur Auslegung des Begriffs des Personenbezugs werden im Datenschutzrecht seit langem kontrovers diskutiert.305 Bei dem Versuch der Klärung dieser Fragen haben sich in Deutschland zwei gegensätzliche Ansichten entwickelt. a) Theorien des absoluten und relativen Personenbezugs Nach der Ansicht der Vertreter des absoluten Personenbezugs reicht es für die Identifizierbarkeit der natürlichen Person aus, dass der Verantwortliche oder jeder beliebige Dritte theoretisch einen Personenbezug herstellen kann.306 Dies wird vor 302 Herbst, NVwZ 2016, 902 (903); zum Datenschutz in der medizinischen Forschung ausführlich im Kapitel 7. 303 Herbst, NVwZ 2016, 902 (903); Nink / Pohle, MMR 2015, 563 (565) verweisend auf Art. 29-Datenschutzgruppe, Stellungnahme 4/2007, WP 136 v. 20. Juni 2007, S. 18; Dochow, Telematik im Gesundheitswesen, S. 624. 304 Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO Rn. 77; Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 5 DSGVO Rn. 12. 305 Ausführlich zum bisherigen Meinungsspektrum Bergt, ZD 2015, 365 (365 ff.) m. w. N. 306 Pahlen-Brandt, DuD 2008, 34 (34 ff.); dies., K&R 2008, 288 (288 ff.); Buchner, DuD 2016, 155 (156).
D. Klärung zentraler Begrifflichkeiten
75
allem damit begründet, dass allein die absolute Betrachtungsweise einen umfassenden Schutz der personenbezogenen Daten der betroffenen Personen gewähren könne.307 Denn es sei nicht auszuschließen, dass die Daten an einen nicht beteiligten Dritten gelangen könnten, der zur Identifizierung der betroffenen Person in der Lage sei.308 Die Vertreter eines relativen Personenbezugs stellen für die Beurteilung des Personenbezugs hingegen auf die Kenntnisse, Mittel und Möglichkeiten der datenverarbeitenden Stelle ab.309 Als Hauptargument für diese Auffassung wird angeführt, dass der absolute Ansatz zu einer uferlosen Ausdehnung des Datenschutzes führe,310 da bei Einbeziehung der heutigen Technologien praktisch jede Information in Verbindung zu einer natürlichen Person gesetzt werden könne und damit als personenbezogen zu qualifizieren sei.311 Da sich mithin beiden Ansichten in ihrer Reinform gewichtige Argumente entgegensetzen lassen, haben sich eine Reihe differenzierender Ansichten herausgebildet.312 So hat der EuGH zuletzt in der Rechtssache Breyer gegen die Bundesrepulik Deutschland einen vermittelnden Ansatz vertreten.313 Nach Ansicht des EuGH ist grundsätzlich das Wissen der verantwortlichen Stelle maßgeblich, diese muss sich aber das Zusatzwissen Dritter zurechnen lassen, wenn sie über rechtliche Mittel verfügt, die es ihr ermöglichen, die betroffene Person über die Zusatzinformationen eines Dritten zu bestimmen.314 b) Die Auslegung des Begriffs des Personenbezugs in der DSGVO Zunächst ließe sich eine Antwort auf die Frage, ob unter der DSGVO ein relativer oder absoluter Personenbezug gilt, in der Legaldefinition der personenbezogenen Daten in Art. 4 Nr. 1 DSGVO vermuten. So wird teils auch angenommen, dass sich Art. 4 Nr. 1 Hs. 2 DSGVO dahingehend deuten ließe, dass bereits jede Art von Kennzeichnung, mit der eine Person identifiziert werden könne, ein personenbezogenes Datum darstelle, ohne dass es auf das Zusatzwissen Dritter ankäme.315 Die überwiegende Literatur geht hingegen davon aus, dass sich dem Wortlaut des Art. 4 Nr. 1 DSGVO selbst keine Hinweise dafür entnehmen ließen, 307
Hofmann / Johannes, ZD 2017, 221 (226); Herbst, NVwZ 2016, 902 (904). Herbst, NVwZ 2016, 902 (904). 309 Hofmann / Johannes, ZD 2017, 221 (225); Schantz, NJW 2016, 1841 (1843); Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 279 ff.; Ziebarth, in: Sydow, DSGVO, Art. 4 DSGVO Rn. 37; Gola, in: Gola, DSGVO, Art. 4 DSGVO Rn. 18; Brink / Eckhardt, ZD 2015, 205 (210 f.); Barlag, in: Roßnagel, DSGVO, § 3 Rn. 9. 310 LG Berlin, ZD 2013, 618 (619); Brink / Eckhardt, ZD 2015, 205 (207). 311 Schulz, in: Gola / Heckmann, BDSG, § 46 BDSG Rn. 14. 312 Dazu ausführlich Herbst, NVwZ 2016, 902 (903 ff.); Bergt, ZD 2015, 365 (365 ff.). 313 EuGH, Urt. v. 19. Oktober 2016 – C-582/14, ZD 2017, 24 (24 ff.) – Breyer. 314 EuGH, Urt. v. 19. Oktober 2016 – C-582/14, ZD 2017, 24 (26) – Breyer; dazu ausführlich nachfolgend unter Kap. 1 D. I. 1. c), (S. 78 ff.). 315 Härting, ITRB 2016, 36 (36); Hansen / Struwe, GRUR-Prax 2016, 503 (503); Moos / Roth kegel, MMR 2016, 845 (847); Spindler, MedR 2016, 691 (695). 308
76
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
welche Person in der Lage sein müsse, die betroffene Person mittels Zuordnung zu identifizieren, damit eine Identifizierbarkeit gegeben sei.316 Dementsprechend wird sowohl vertreten, dass die DSGVO der absoluten Betrachtungsweise entspreche,317 als auch angenommen, dass die DSGVO dem relativen Personenbezugsbegriff folge.318 Aussagen zum Verständnis des Personenbezugs in der DSGVO lassen sich darüber hinaus insbesondere aus EG 26 DSGVO ableiten. Dieser stellt in EG 26 S. 3 DSGVO hinsichtlich der Identifizierbarkeit darauf ab, dass auch alle Mittel berücksichtigt werden müssen, die von einer anderen Person genutzt werden können. Die Annahme, dass eine Person auch dann identifizierbar sein soll, wenn sie von einer anderen Person identifiziert werden kann, deutet eher auf die absolute Betrachtungsweise hin.319 Jedenfalls wird dadurch den streng relativen Ansätzen, die eine Einbeziehung der Kenntnisse Dritter gänzlich ablehnen, eine Absage erteilt.320 Gleichzeitig nimmt dieser Erwägungsgrund jedoch eine Einschränkung in Bezug auf die hinsichtlich der Identifizierung einer natürlichen Person zu berücksichtigenden Mittel vor, wenn er darauf abstellt, ob die „Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden“. Damit wird auf den Aufwand abgestellt, der mit der Identifizierung einer Person verbunden ist.321 Dieser Identifizierungsaufwand variiert dabei je nach Bezugsperson, sodass danach von einem relativen Verständnis des Personenbezugs auszugehen wäre.322 Zudem stellt auch die Formulierung „genutzt werden“ auf die jeweiligen Möglichkeiten des Verantwortlichen ab.323 Es finden sich in der DSGVO mithin sowohl Hinweise, die den absoluten Ansatz stützen, also auch solche, die für den relativen Ansatz sprechen.324 Hinsichtlich der ersten Frage ist daher fest 316
Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 62; Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 1 DSGVO Rn. 26; Hofmann / Johannes, ZD 2017, 221 (222); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 151; Fleischer, Rechtliche Aspekte der Systemmedizin, S. 262; Schwichtenberg, Datenschutz in drei Stufen, S. 3. 317 Buchner, DuD 2016, 155 (156); Härting, ITRB 2016, 36 (37); Schwichtenberg, Datenschutz in drei Stufen, S. 110 ff.; Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 3, die im Grundsatz davon ausgehen, dass die DSGVO der „absoluten Betrachtung“ folge, aber zugleich eine Einzelfallbetrachtung bei jedem Verantwortlichen fordern. 318 Hofmann / Johannes, ZD 2017, 221 (225); Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 279 ff.; Schantz, NJW 2016, 1841 (1843); Gola, in: Gola, DSGVO, Art. 4 DSGVO Rn. 18; Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 1 DSGVO Rn. 26; dies., NJW 2013, 3611 (3616 f.); Barlag, in: Roßnagel, DSGVO, § 3 Rn. 9; Husemann, in: Roßnagel, Das neue Datenschutzrecht, § 3 Rn. 7; Marnau, DuD 2016, 428 (430). 319 Schantz, NJW 2016, 1841 (1843); Brink / Eckhardt, ZD 2015, 205 (209). 320 Brink / Eckhardt, ZD 2015, 205 (209); Dregelies, VuR 2017, 256 (257). 321 Härting, ITRB 2016, 36 (36); Hansen / Struwe, GRUR-Prax 2016, 503 (503). 322 Hofmann / Johannes, ZD 2017, 221 (224). 323 Husemann, in: Roßnagel, Das neue Datenschutzrecht, § 3 Rn. 7; Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 152. 324 Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 1 DSGVO Rn. 26; Schantz, NJW 2016, 1841 (1843).
D. Klärung zentraler Begrifflichkeiten
77
zustellen, dass die DSGVO keinen eindeutigen Aufschluss darüber gibt, ob die Herstellung des Personenbezugs unter der DSGVO nach relativen oder objektiven Kriterien zu bestimmen ist.325 Es wird vielmehr ein Mittelweg zwischen den absoluten und den relativen Personenbezugstheorien eingeschlagen.326 Die Frage, welche Mittel für die Identifizierung einer Person zu berücksichtigen sind, konkretisiert die DSGVO in EG 26 S. 3 dahingehend, dass alle Mittel Berücksichtigung finden sollen, die „nach allgemeinem Ermessen wahrscheinlich genutzt werden“. Dadurch wird zunächst deutlich, dass rein fiktive Zuordnungsmöglichkeiten aus der Betrachtung herausfallen sollen.327 Ein wichtiger Faktor für die Prognose über die Verwendung der Mittel ist das im Rahmen einer Risikobetrachtung zu ermittelnde Interesse, welches der Verantwortliche oder eine andere Person an der Identifizierung der jeweiligen Person haben.328 Neben dem Interesse des Verantwortlichen an der Identifizierung ist aber auch der Identifizierungsaufwand in die Beurteilung einzubeziehen. Dies verdeutlicht der EG 26 S. 4 DSGVO, nach dem für die Feststellung, welche Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung genutzt werden, nicht abschließend aufgeführte objektive Kriterien, wie die Kosten der Identifizierung und der Zeitaufwand des Verantwortlichen, herangezogen werden sollen. Dem Interesse des Verantwortlichen an der Identifizierung steht mithin der Identifizierungsaufwand gegenüber.329 Für die Frage der Identifizierbarkeit kommt es daher darauf an, ob ein durchschnittlicher Verantwortlicher aus dem Verkehrskreis des Verantwortlichen trotz des tatsächlichen Aufwands bereit wäre, die Identifizierung durchzuführen.330 Unter Berücksichtigung der in der DSGVO festgelegten Kriterien des Interesses des Verantwortlichen an der Identifizierung einerseits sowie dem Identifizierungsaufwand andererseits ergibt sich mithin, dass kein Personenbezug vorliegt, soweit die objektiven Faktoren, wie die Kosten oder der Zeitaufwand, das Interesse des Verarbeiters überwiegen und daher anzunehmen ist, dass die Identifizierung nicht vorgenommen wird.331 Damit sind zwar wesentliche Kriterien zur Bestimmung des Personenbezugs festgelegt, insgesamt gibt der sehr abstrakt gehaltene Wortlaut je-
325
Hofmann / Johannes, ZD 2017, 221 (225); Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 1 DSGVO Rn. 26; Fleischer, Rechtliche Aspekte der Systemmedizin, S. 263; Schwichtenberg, Datenschutz in drei Stufen, S. 3; Dochow, MedR 2019, 279 (284); Schantz, NJW 2016, 1841 (1843). 326 Bieresborn, NZS 2017, 887 (890); Hansen / Struwe, GRUR-Prax 2016, 503 (503); Marnau, DuD 2016, 428 (430). 327 Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO Rn. 18; Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 63; Schulz, in: Gola / Heckmann, BDSG, § 46 BDSG Rn. 16; Brauneck, EuZW 2019, 680 (688); Hofmann / Johannes, ZD 2017, 221 (224); Ziebarth, in: Sydow, DSGVO, Art. 4 DSGVO Rn. 37. 328 Hofmann / Johannes, ZD 2017, 221 (224); Dierks / Roßnagel, Sekundärnutzung von Sozialund Gesundheitsdaten, S. 157 f.; Brauneck, EuZW 2019, 680 (685). 329 Hofmann / Johannes, ZD 2017, 221 (224). 330 Hofmann / Johannes, ZD 2017, 221 (224). 331 Hofmann / Johannes, ZD 2017, 221 (224).
78
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
doch keine klare Antwort auf die Frage, wie aufwändig eine Identifizierungsmöglichkeit im konkreten Fall sein muss, damit sie nicht mehr zu berücksichtigen ist.332 Vor diesem Hintergrund soll im Folgenden untersucht werden, inwiefern das noch unter der Rechtslage der DSRL ergangene Urteil des EuGH in der Rechtssache Breyer gegen die Bundesrepulik Deutschland333 auf die Rechtslage unter der DSGVO übertragen werden und mithin zur weiteren Bestimmung des Personenbezugs unter der DSGVO beitragen kann. c) Das Urteil des EuGH zum Personenbezug von IP-Adressen Der EuGH hatte sich in dieser Rechtssache mit dem Personenbezug von Daten im Zusammenhang mit der Speicherung dynamischer Internetprotokoll-Adressen (IP-Adressen) beim Besuch einer Website zu befassen. Die Entscheidung erging zwar unter der Rechtslage der DSRL, jedoch lassen sich die Wertungen dieser Entscheidung auf die aktuelle Rechtslage übertragen, da die Anforderungen an den Personenbezug unter der DSGVO weitgehend gleichlautend zu denen des Art. 2 lit. a DSRL sind.334 Daher können die Ausführungen des EuGH das Verständnis des Personenbezugs unter der DSGVO weiter präzisieren. Konkret ging es in der Rechtssache Breyer um die Frage, ob dynamische IP-Adressen für Website betreiber personenbezogene Daten darstellen können, wenn nur ein Dritter über das Zusatzwissen verfügt, das in Verbindung mit der IP-Adresse die Identifizierung der Person ermöglicht, die die Internetseite aufruft.335 Denn in derartigen Fallgestaltungen ist es über die IP-Adresse häufig nur dem Internetzugangsanbieter, also einem Dritten, möglich, die betroffene Person zu bestimmen.336 Es stand daher die Frage im Mittelpunkt, ob es für das Vorliegen personenbezogener Daten genügt, dass ein Dritter die Zuordnung der IP-Adresse zu der Person vornehmen kann. Bei der Beantwortung der Frage stützte sich der EuGH zunächst auf EG 26 DSRL aus dem folgte, dass alle Mittel zu berücksichtigen sind, die vernünftigerweise von dem Verantwortlichen oder einem Dritten eingesetzt werden können.337 Fraglich war sodann, wann davon ausgegangen werden konnte, dass vernünftigerweise Zugriff auf die Daten genommen wird. Diesbezüglich legte der EuGH grundlegend fest, dass die verantwortliche Stelle sich die für Dritte zur Verfügung stehenden Mit 332
Erbguth, MMR 2019, 654 (656); Schwichtenberg, Datenschutz in drei Stufen, S. 3; auch Hofmann / Johannes, ZD 2017, 221 (225) nehmen an, dass die Verordnung zwar auf einen relativen Personenbezug abstelle, ohne jedoch Konkretes dazu zu bestimmen. 333 EuGH, Urt. v. 19. Oktober 2016 – C-582/14, ZD 2017, 24 (24 ff.) – Breyer. 334 Richter, EuZW 2016, 912 (913); Ziegenhorn, NVwZ 2017, 216 (218); Bierekoven, NJW 2017, 2419 (2420); Herbst, NVwZ 2016, 902 (903); Mantz / Spittka, NJW 2016, 3582 (3583); Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 89. 335 GA Sánchez-Bordona, Schlussantrag v. 12. Mai 2016 – C-582/14, Rn. 49. 336 Herbst, NVwZ 2016, 902 (903). 337 EuGH, Urt. v. 19. Oktober 2016 – C-582/14, ZD 2017, 24 (26) Rn. 42 – Breyer.
D. Klärung zentraler Begrifflichkeiten
79
tel und das Wissen zurechnen lassen müsse.338 Dabei sollen allerdings gesetzlich verbotene Möglichkeiten der Herstellung des Personenbezugs sowie Mittel, mit Hilfe derer eine Identifizierung der betreffenden Person praktisch nicht durchführbare wäre, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, außer Betracht bleiben.339 Denn in diesem Fall sei das Risiko einer Identifizierung de facto vernachlässigbar.340 Diese Rechtsprechung wurde anschließend vom 6. Zivilsenat des BGH umgesetzt.341 Mit seinem Urteil hat der EuGH wichtige Grundsätze für den seit langem bestehenden Streit um den Personenbezug festgelegt. Dabei geht der Gerichtshof, ebenso wie die DSGVO, einen Mittelweg zwischen absolutem und relativem Ansatz.342 Insbesondere dem absoluten Ansatz, der auf das Wissen eines beliebigen Dritten abstellt, wird vom EuGH eine Absage erteilt,343 gleichzeitig begrenzt die Rechtsprechung des EuGH aber auch die Anwendung der Prinzipien des relativen Ansatzes.344 Im Ergebnis verfolgt der EuGH daher einen „Mittelweg in Richtung eines ‚verschärften‘ relativen Personenbezugs“345. Daneben gibt dieser auch eine Konkretisierung der zweiten Streitfrage vor, indem er festlegt, welche Voraussetzungen vorliegen müssen, um davon ausgehen zu können, dass die verantwortliche Stelle „vernünftigerweise“ Zugriff auf die bei dem Dritten befindlichen Daten nehmen kann. Zwar muss das zu berücksichtigende Identifizierungsmittel nach EG 26 DSGVO nicht mehr „vernünftigerweise“ eingesetzt werden können, sondern vielmehr „nach allgemeinem Ermessen wahrscheinlich genutzt werden“. Jedoch ist das Kriterium „vernünftigerweise“ im Sinne von EG 26 DSRL übertragbar auf das Kriterium „nach allgemeinem Ermessen wahrscheinlich“ im Sinne von EG 26 DSGVO, sodass die im Urteil herausgearbeiteten Kriterien zur Frage des Personenbezugs auf die Auslegung unter der DSGVO übertragbar sind.346 Die Frage, welcher Aufwand und welche Mittel zur Identifizierung einer Person erforderlich sein dürfen, konkretisiert der EuGH dahingehend, dass die Identifizierung der be-
338
EuGH, Urt. v. 19. Oktober 2016 – C-582/14, ZD 2017, 24 (26) Rn. 43 – Breyer. EuGH, Urt. v. 19. Oktober 2016 – C-582/14, ZD 2017, 24 (26) Rn. 46 – Breyer. 340 EuGH, Urt. v. 19. Oktober 2016 – C-582/14, ZD 2017, 24 (26) Rn. 46 – Breyer. 341 BGH, ZD 2017, 424 (424 ff.). 342 Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 60; Kühling / Klar, ZD 2017, 27 (28); Weinhold, ZD-Aktuell 2016, 05366; Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 97; Hansen / Struwe, GRUR-Prax 2016, 503 (503). 343 Moos / Rothkegel, MMR 2016, 845 (845); Ziegenhorn, NVwZ 2017, 216 (217); Dierks / Roß nagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 185; Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 1 DSGVO Rn. 26; dies., ZD 2017, 27 (29). 344 Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 61. 345 Kühling / Klar, ZD 2017, 27 (28). 346 Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 1 DSGVO Rn. 20, diese machen darauf aufmerksam, dass die englische Fassung dieser Formulierung in der DSRL und DSGVO nahezu identisch sei und in der deutschen Fassung einmal mit „vernünftigerweise“ und einmal mit „nach allgemeinem Ermessen wahrscheinlich“ wiedergegeben wurde. 339
80
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
treffenden Person rechtmäßig und praktisch möglich sein muss.347 In den Aussagen des EuGH kommt zudem zum Ausdruck, dass es nicht entscheidend sein solle, ob die Zuordnung zu einer Person konkret erfolge, vielmehr komme es darauf an, ob die zur Verfügung stehenden Mittel den Verantwortlichen dazu grundsätzlich in die Lage versetzten.348 Ob ein Websitebetreiber letztendlich über diese Möglichkeit verfügt, lässt der EuGH allerdings offen und stellt diese Bewertung damit wieder in das Ermessen des BGH, der dem EuGH die Frage ursprünglich vorgelegt hatte.349 Die Frage der Identifizierbarkeit ist daher im Einzelfall zu beurteilen. Auch durch das Urteil des EuGH wurde die Frage des Personenbezugs somit nicht abschließend geklärt.350 Der EuGH hat die Frage vielmehr fallbezogen beantwortet und viel Interpretationsspielraum gelassen, sodass die festgelegten Grundsätze zwar eine Richtung vorgeben, die jedoch einer weiteren Konkretisierung bedarf.351 Fraglich ist insbesondere, ob unter der Rechtslage der DSGVO tatsächlich alle gesetzlich verbotenen Möglichkeiten zur Herstellung des Personenbezugs außer Betracht bleiben sollen oder ob die Ansicht des EuGH unter der Rechtslage der DSGVO diesbezüglich vielmehr einer Relativierung bedarf. Wie dargestellt, ist das Zusatzwissen Dritter bei der Frage des Personenbezugs nach Ansicht des EuGH u. a. dann nicht zu berücksichtigen, wenn die Verwendung des Zusatzwissens gesetzlich verboten ist.352 Unter der Rechtslage der DSRL war es gut vertretbar, dass nur legale Zugriffsmöglichkeiten Berücksichtigung finden sollen, da es von der verantwortlichen Stelle nicht vernünftig i. S. d. EG 26 DSRL ist, illegale Mittel heranzuziehen.353 Die im Urteil aufgestellte Kategorie der „rechtlichen Möglichkeit“ kommt in der DSGVO jedoch nicht zum Ausdruck.354 Dem EG 26 DSGVO zufolge sollen für die Frage der Identifizierbarkeit vielmehr alle Mittel berücksichtigt werden, die der Verantwortliche oder eine andere Person „nach allgemeinem Ermessen wahrscheinlich“ nutzen wird, um die natürliche Person zu identifizieren.355 Daher sollte auch hinsichtlich etwaiger rechtswidriger Mittel darauf abgestellt werden, wie wahrscheinlich die Verwendung dieser Mittel ist.356 Denn 347
EuGH, Urt. v. 19. Oktober 2016 – C-582/14, ZD 2017, 24 (25) Rn. 46 – Breyer. Stück, CCZ 2017, 230 (230); Kühling / Klar, ZD 2017, 27 (28); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 161. 349 Bechtolf / Vogt, ZD 2018, 66 (68). 350 Kühling / Klar, ZD 2017, 27 (28); Schwichtenberg, Datenschutz in drei Stufen, S. 4; Fleischer, Rechtliche Aspekte der Systemmedizin, S. 264. 351 Kühling / Klar, ZD 2017, 27 (29); Richter, EuZW 2016, 912 (913); Fleischer, Rechtliche Aspekte der Systemmedizin, S. 265; Schwichtenberg, Datenschutz in drei Stufen, S. 4; Hansen / Struwe, GRUR-Prax 2016, 503 (503). 352 EuGH, Urt. v. 19. Oktober 2016 – C-582/14, ZD 2017, 24 (26) Rn. 46 – Breyer. 353 Krügel, ZD 2017, 455 (459). 354 Schulz, in: Gola / Heckmann, BDSG, § 46 BDSG Rn. 15; Brauneck, EuZW 2019, 680 (684). 355 Hofmann / Johannes, ZD 2017, 221 (224). 356 Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 1 DSGVO Rn. 29; Krügel, ZD 2017, 455 (459); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 161 f.; über diese Frage musste der EuGH in dem ihm vorgelegten Fall nicht entscheiden, so Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 181. 348
D. Klärung zentraler Begrifflichkeiten
81
es kann nicht in jedem Fall davon ausgegangen werden, dass die Möglichkeit der Verwendung rechtswidriger Mittel automatisch als unwahrscheinlich einzustufen ist.357 In diesem Sinne wird teilweise davon ausgegangen, dass es auf die Rechtswidrigkeit des Mittels dann weniger ankommen sollte, wenn konkrete Anhaltspunkte für die Gefahr eines nicht rechtskonformen Zugriffs vorliegen und die Sensibilität der Daten hoch sei, wie dies etwa bei Gesundheitsdaten der Fall ist.358 Denn bei hoher Sensibilität der Daten müssen auch die tatsächlich verfügbaren Möglichkeiten zur Identifizierung berücksichtigt werden, um einen ausreichenden Schutz der betroffenen Person vor Beeinträchtigung ihrer Grundrechte durch die Verarbeitung von Daten zu erreichen.359 Bei der Beurteilung des Risikos der Identifizierung sind somit auch konkrete Anhaltspunkte für die Gefahr eines nicht rechtskonformen Zugriffs zu berücksichtigen.360 Spätestens ist von einem Personenbezug jedenfalls dann auszugehen, wenn die verantwortliche Stelle trotz des rechtlichen Verbots faktisch den Personenbezug hergestellt hat.361 d) Schlussfolgerung für den Personenbezug unter der DSGVO Der Begriff des personenbezogenen Datums ist unter der Rechtslage der DSGVO weiterhin umstritten. Sowohl die DSGVO als auch der EuGH verfolgen diesbezüglich einen Mittelweg zwischen absolutem und relativem Ansatz. Es ist somit von einem „objektivierten relativen Ansatz“362 auszugehen.363 Entscheidend für die Beurteilung des Personenbezugs ist danach, ob die verantwortliche Stelle selbst über die entsprechenden Daten verfügt, oder ob sie sich diese nach allgemeinem Ermessen wahrscheinlich von einem Dritten verschaffen kann. Damit ist zunächst geklärt, wer in der Lage sein muss, die Personen zu identifizieren. Entscheidend ist daneben vor allem die Frage, welches Zusatzwissen Dritter für die Identifizierbarkeit einer Person zu berücksichtigen ist. Das Zusatzwissen, das der Verantwortliche zur Identifizierung nutzen wird, ist dabei im Rahmen einer Risikobetrachtung zu ermitteln. So ist im Einzelfall zu prüfen, ob ein realistisches Risiko besteht, dass die verarbeitende Stelle oder eine andere Person auf das verfügbare Zusatzwissen zugreifen kann. Ungeklärt bleibt dennoch, wie weitreichend die Beurteilung der „nach allgemeinem Ermessen wahrscheinlich“ in Betracht zu ziehenden Mittel konkret zu verstehen ist.364 Zwar ergeben sich sowohl aus den Erwägungsgrün 357
Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 1 DSGVO Rn. 29; so aber EuGH, Urt. v. 19. Oktober 2016 – C-582/14, ZD 2017, 24 (25) Rn. 46 – Breyer. 358 Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 1 DSGVO Rn. 29; dies., ZD 2017, 27 (29). 359 Klabunde, in: Ehmann / Selmayr, DSGVO, Art. 4 DSGVO Rn. 17. 360 Kühling / Klar, ZD 2017, 27 (28). 361 Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 64. 362 Karg, DuD 2015, 520 (525). 363 So auch Heckmann / Scheurer, in: Heckmann, JurisPK-Internetrecht, Kap. 9 Rn. 103; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 279. 364 Bechtolf / Vogt, ZD 2018, 66 (68).
82
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
den der DSGVO als auch aus den Vorgaben des EuGH wichtige Hinweise, jedoch ist die Frage der Identifizierbarkeit einer Person auch nach der Entscheidung des EuGH und mit dem Inkrafttreten der DSGVO nicht endgültig gelöst.365 Durch ein Abstellen auf den sich jeweils ergebenden Aufwand, wird deutlich, dass die Frage der Identifizierbarkeit stets im Einzelfall zu beurteilen ist.366 2. Anonyme Daten Der Begriff der personenbezogenen Daten ist eng mit dem Begriff der anonymen Daten verbunden. Die DSGVO enthält zwar keine Definiton für anonyme Daten, jedoch wird in EG 26 S. 5 DSGVO ausgeführt, dass anonyme Daten alle Informationen sind, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese anonymen Daten bilden mithin die Kehrseite des personenbezogenen Datums i. S. v. Art. 4 Nr. 1 DSGVO.367 Anonyme Daten sind gemäß EG 26 S. 5 DSGVO unabhängig davon, ob sie von vornherein anonym erhoben wurden oder nachträglich anonymisiert worden sind, vom Anwendungsbereich der DSGVO ausgenommen.368 Die DSGVO enthält somit zwei Möglichkeiten für anonyme Daten.369 Zum einen kann die Anonymisierung dadurch vollzogen werden, dass bei personenbezogenen Daten der Personenbezug durch Löschung der Identifikationsmerkmale vollständig aufgehoben wird, zum anderen können Daten von Beginn an ohne Personenbezug verarbeitet werden.370 Bei Ersterem betrifft der Anonymisierungsprozess die Verarbeitung personen bezogener Daten, sodass für diesen die DSGVO anwendbar ist, bei Letzterem findet die DSGVO von vornherein keine Anwendung.371 365
Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 7. Conrad / Hausen, in: Auer-Reinsdorf / Conrad, Handbuch IT- und Datenschutzrecht, § 36 Rn. 102; Bechtolf / Vogt, ZD 2018, 66 (68). 367 Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 1 DSGVO Rn. 31; Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 20. 368 Marnau, DuD 2016, 428 (429). 369 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 297; Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 165. 370 Gola, in: Gola, DSGVO, Art. 4 DSGVO Rn. 41. 371 Gola, in: Gola, DSGVO, Art. 4 DSGVO Rn. 41; Hansen, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 5 DSGVO Rn. 23; Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 2 DSGVO Rn. 12, 14; Schweinoch / Peintinger, CR 2020, 643 (644); BfDI, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche v. 29. Juni 2020, S. 5, abrufbar unter: https://www.bfdi.bund.de/DE/ Fachthemen/Inhalte/Telefon-Internet/Positionen/Positionspapier-Anonymisierung-DSGVOTKG.html; GDD, Stellungnahme zur Konsultation des BfDI zum Thema „Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche“ v. 19. März 2020, S. 1, abrufbar unter: https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Telefon-Internet/ Positionen/Positionspapier-Anonymisierung-DSGVO-TKG.html; kritisch zum Vorgang der Anonymisierung personenbezogener Daten als Verarbeitung im datenschutzrechtlichen Sinne Hornung / Wagner, ZD 2020, 223 (223 ff.); Taupitz, in: FS Hart, 603 (605 f.). 366
D. Klärung zentraler Begrifflichkeiten
83
Gerade im Zusammenhang mit medizinischen Daten wird oft die Frage aufgeworfen, ob sich ein Personenbezug dieser Daten überhaupt vollständig vermeiden bzw. beseitigen lasse und die Daten somit als anonym angesehen werden können.372 Vor diesem Hintergrund ist zu klären, welche Maßstäbe die DSGVO an als anonym zu qualifizierende Daten anlegt. Da anonyme Daten das Gegenteil von personenbezogenen Daten darstellen, kommen die Kriterien zur Bestimmung personenbezogener Daten in umgekehrter Weise zur Anwendung.373 Das entscheidende Kriterium für die Frage, ob Daten anonym sind, ist daher, ob die betroffene Person nicht mehr identifizierbar ist.374 Um festzustellen, ob eine Person nicht mehr identifizierbar ist, muss daher gemäß EG 26 S. 3 DSGVO wiederum geprüft werden, ob die Person mit Mitteln, die von dem Verantwortlichen oder einer anderen Person „nach allgemeinem Ermessen wahrscheinlich genutzt werden“, reidentifiziert werden kann. Der EG 26 S. 3 DSGVO bildet mithin die Anforderungen ab, die die DSGVO an ein ausreichendes Maß der Anonymisierung stellt. Wie aufgezeigt wurde, ergeben sich allerdings Schwierigkeiten bei der Bestimmung, ob Daten identifizierbar und mithin personenbezogen sind. Analog dazu ist es ebenso schwierig zu definieren, wann Daten nicht personenbezogen und mithin anonym sind.375 Daher stellen sich die gleichen Abgrenzungsfragen wie bei der Beurteilung, ob ein Personenbezug vorliegt. Auch hier wirkt es sich daher aus, dass in der DSGVO explizite Kriterien fehlen, die eindeutig festlegen, ab wann von einem unverhältnismäßigen Deanonymisierungsaufwand auszugehen ist und welche Person hierfür als Bezugspunkt anzusehen ist.376 Unter Einbeziehung der im EuGH-Urteil aufgestellten Kriterien kommt es auf die praktische Möglichkeit zur Reidentifizierung durch den Verantwortlichen an, dieser muss sich jedoch das Wissen und die Mittel Dritter zurechnen lassen, wenn ein Zusammenführen von Daten und Zusatzwissen hinreichend wahrscheinlich zu erwarten ist.377 Dabei ist zu berücksichtigen, dass mit den sich stetig verbessernden Fähigkeiten zur Zusammenführung und Verknüpfung von großen Datenmengen auch das Risiko der Reidentifikation steigt.378 Die DSGVO gibt diesbezüglich in EG 26 S. 4 vor, dass bei der Frage, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung genutzt werden, neben dem zum Zeitpunkt der Verarbeitung verfügbaren Stand der Technik auch die technischen Entwicklungen zu berücksich 372
Deutscher Ethikrat, Stellungnahme Big Data und Gesundheit, S. 138; Martini / Hohmann, NJW 2020, 3573 (3574). 373 Roßnagel, ZD 2018, 243 (247); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 166. 374 Kühling / Sackmann / Schildbach, Sozialdatenschutzrechtl. Weiterentwicklungsbedarf im SGB V und X für BigData, S. 59. 375 Winter / Battis / Halvani, ZD 2019, 489 (489). 376 Kühling / Klar, NJW 2013, 3611 (3617). 377 EuGH, Urt. v. 19. Oktober 2016 – C-582/14, ZD 2017, 24 (26) Rn. 43 ff. – Breyer. 378 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 300; Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 159; Ernst, in: Paal / Pauly, DSGVO BDSG, Art. 4 DSGVO Rn. 50; Dochow, MedR 2019, 279 (284).
84
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
tigen sind. Daran wird deutlich, dass die Bestimmung des Personenbezugs ein dynamischer Prozess ist. Heute noch als anonym einzuordnende Daten können folglich zu einem späteren Zeitpunkt als personenbezogene Daten einzuordnen sein.379 Daneben ist auch zu berücksichtigen, dass möglicherweise aus der Kombination von für sich genommen anonymen Merkmalen eine Identifikation hergestellt werden kann.380 Die DSGVO knüpft die Frage der Reidentifizierbarkeit daran, ob Mittel zur Reidentifizierung vom Verantwortlichen oder von einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden. Von der DSGVO wird folglich nicht gefordert, dass die Zuordnung der anonymen Daten zu einer identifizierbaren Person gänzlich ausgeschlossen ist. Daten sind daher im Sinne der DSGVO bereits dann als anonym anzusehen, wenn nur ein als gering einzuordnendes Restrisiko der Reidentifikation verbleibt.381 Denn allein das Vorliegen der technischen Möglichkeit zur Reidentifikation bedeutet nicht zugleich, dass der Verantwortliche diese nach allgemeinem Ermessen wahrscheinlich auch einsetzt und somit eine Reidentifikation herbeiführt.382 Ein absoluter Ausschluss der Reidentifizierbarkeit, die sog. absolute Anonymität, wird mithin nicht verlangt.383 Die Grenze des Datenschutzrechts unter der DSGVO ist daher nicht die absolute Anonymität, vielmehr ist die Anonymisierung lediglich faktisch erforderlich.384 Bei der faktischen Ano nymisierung bleibt eine Reidentifizierung der betroffenen Person grundsätzlich möglich, wenn auch nur mit unverhältnismäßigen Mitteln.385 Die DSGVO selbst gibt kein Verfahren zur Anonymisierung vor, vielmehr muss der Datenverarbeiter im Ergebnis die in Art. 4 Nr. 1 DSGVO sowie EG 26 DSGVO niedergelegten Kriterien erfüllen, die eine Einordnung der Daten als personen-
379 Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 63; Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 159 m. w. N. 380 Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 107. 381 Kühling / Sackmann / Schildbach, Sozialdatenschutzrechtl. Weiterentwicklungsbedarf im SGB V und X für BigData, S. 97; Kühling / Schildbach, NZS 2020, 41 (45); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 166 f. 382 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 300. 383 Schneider, in: Krauskopf, Soziale Krankenversicherung, § 287 SGB V Rn. 17; Küh ling / Schildbach, NZS 2020, 41 (46); Schaar, ZD 2016, 224 (225); Ziebarth, in: Sydow, DSGVO, Art. 4 DSGVO Rn. 30; a. A. GMDS, Arbeitshilfe zur Pseudonymisierung / Anonymisierung, Stand 29. Juni 2018, S. 9, abrufbar unter: https://gesundheitsdatenschutz.org/html/ pseudonymisierung_anonymisierung.php; Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 22; Ernst, in: Paal / Pauly, DSGVO BDSG, Art. 4 DSGVO Rn. 50; Härting, ITRB 2016, 36 (37). 384 Kühling / Sackmann / Schildbach, Sozialdatenschutzrechtl. Weiterentwicklungsbedarf im SGB V und X für BigData, S. 59; Kühling / Schildbach, NZS 2020, 41 (45); Schneider, in: Krauskopf, Soziale Krankenversicherung, § 287 SGB V Rn. 17; Ziebarth, in: Sydow, Art. 4 DSGVO Rn. 30, 32; Bischoff, PharmR 2020, 309 (313). 385 Hornung / Wagner, ZD 2020, 223 (224).
D. Klärung zentraler Begrifflichkeiten
85
bezogen ausschließen.386 In Bezug auf Gesundheitsdaten wird richtigerweise gefordert, dass an die Anonymisierung hohe Anforderungen zu stellen sind.387 Denn eine Reidentifizierung kann für die betroffene Person folgenreich sein, würde sie doch bedeuten, dass die Möglichkeit besteht, sensible Informationen aus diesen Daten zu gewinnen. 3. Pseudonyme Daten Als Datenkategorie existiert neben dem Gegensatzpaar personenbezogener und anonymer Daten auch die Kategorie der pseudonymen Daten. Die DSGVO sieht die Pseudonymisierung in vielen Vorschriften als ein entscheidendes Mittel vor, um die Rechte und Freiheiten der betroffenen Personen zu wahren und ausreichende Garantien zu gewähren.388 So nennt Art. 89 Abs. 1 S. 3 DSGVO die Pseudonymisierung etwa als eine Maßnahme, um die nach Art. 89 Abs. 1 S. 1 DSGVO erforderlichen Garantien bei der Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken zu gewährleisten.389 Ebenso benennt Art. 32 Abs. 1 lit. a DSGVO die Pseudonymisierung als ein Instrument geeigneter technisch organisatorischer Maßnahmen für den Verantwortlichen und den Auftragsverarbeiter.390 In Art. 4 Nr. 5 DSGVO wird die Pseudonymisierung definiert als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden […]“. In Abgrenzung zur Anonymisierung werden die identifizierenden Merkmale eines Datums bei der Pseudonymisierung nicht gelöscht, sondern in einem Verfahren so verändert, dass die Zuordnung nur noch über einen gesondert aufzubewahrenden Zuordnungsschlüssel möglich ist, der das Verfahren der Veränderung rückgängig machen kann.391 Zudem enthält der EG 26 S. 2 DSGVO weitere Ausführungen zur Pseudonymisierung. Danach sollen „einer Pseudonymisierung unterzogene personenbezogene Daten, die durch 386
Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 173; Roßnagel, ZD 2018, 243 (246); Klabunde, in: Ehmann / Selmayr, DSGVO, Art. 4 DSGVO Rn. 20; s. zu den Methoden der Anonymisierung im Einzelnen Art. 29-Datenschutzgruppe, Stellungnahme 5/2014, WP 216 v. 10. April 2014; Bischoff / Drechsler, PharmR 2020, 389 (389 ff.). 387 Dregelies, VuR 2017, 256 (257); Ortner / Daubenbüchel, NJW 2016, 2918 (2920). 388 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 174; Marnau, DuD 2016, 428 (430). 389 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 174; Bischoff, PharmR 2020, 309 (310); EG 156 DSGVO. 390 Bischoff, PharmR 2020, 309 (310). 391 Roßnagel, ZD 2018, 243 (243); Gola, in: Gola, DSGVO, Art. 4 DSGVO Rn. 38; Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 5 DSGVO Rn. 6 f.; Arning / Roth kegel, in: Taeger / Gabel, DSGVO BDSG, Art. 4 DSGVO Rn. 134.
86
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, […] als Informationen über eine identifizierbare natürliche Person betrachtet werden.“ Ausgehend vom Wortlaut dieses Erwägungsgrundes wird teilweise angenommen, dass pseudonymisierte Daten insgesamt einen Unterfall personenbezogener Daten darstellen.392 Bei genauer Betrachtung fällt jedoch ein Widerspruch des EG 26 S. 2 DSGVO zum Wortlaut der Legaldefinition der Pseudonymisierung in Art. 4 Nr. 5 DSGVO auf,393 der die undifferenzierte Einordnung pseudonymer Daten als personenbezogene Daten in Frage stellt. Denn Art. 4 Nr. 5 DSGVO verdeutlicht, dass Daten nur dann als pseudonym anzusehen sind, sofern sie „technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“ können. Wenn es für einen spezifischen Datenverarbeiter eines pseudonymisierten Datenbestandes nicht möglich ist, das identifizierende Zusatzwissen zu erlangen, sind die pseudonymen Daten nach den oben dargestellten Grundsätzen für diesen Datenverarbeiter jedoch (faktisch) anonym.394 Nach EG 26 S. 2 DSGVO sollten pseudonyme Daten hingegen als „Informationen über eine identifizierbare natürliche Person“ betrachtet und folglich als personenbezogene Daten eingeordnet werden.395 Dieser Widerspruch ist anhand der allgemeinen Regeln für die Feststellung des Personenbezugs aufzulösen.396 Legt man die Rechtsprechung des EuGH zugrunde, kommt es für die Frage des Personenbezugs pseudonymisierter Daten auf die Möglichkeit zur Reidentifizierung durch den jeweiligen Verantwortlichen an, während das Wissen und die Mittel Dritter nur dann einzubeziehen sind, wenn das Zusatzwissen des Dritten „ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann“397. Ein Personenbezug pseudonymer Daten liegt demnach vor, wenn die datenverarbeitende Stelle eine realistische Möglichkeit hat, die pseudonymen Daten der natürlichen Person zuzuordnen.398 Dies ist zunächst der Fall, wenn die Zuordnungsregel beim Verantwortlichen selbst verbleibt oder die Datenverarbeitung und die Aufbewahrung der Zuordnungsregel innerhalb des Verantwortlichen lediglich organisatorisch getrennt 392
So Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 5 DSGVO Rn. 11, s. aber Rn. 12; Klabunde, in: Ehmann / Selmayr, DSGVO, Art. 4 DSGVO Rn. 19; Ernst, in: Paal / Pauly, DSGVO BDSG, Art. 4 DSGVO Rn. 40; Gola, in: Gola, DSGVO, Art. 4 DSGVO Rn. 40; Karg, DuD 2015, 520 (524); Stentzel / Jergel, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 4 Nr. 5 DSGVO Rn. 1; Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 3; Schütze, DANA 2017, 188 (191). 393 Roßnagel, ZD 2018, 243 (244); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 175; Achenbach, PharmR 2020, 9 (12); Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 35a. 394 Achenbach, PharmR 2020, 9 (12, 14); Bischoff, PharmR 2020, 309 (314). 395 Achenbach, PharmR 2020, 9 (12); Roßnagel, ZD 2018, 243 (244). 396 Roßnagel, ZD 2018, 243 (244); dazu ausführlich unter Kap. 1 D. I. 1., (S. 74 ff.). 397 EuGH, Urt. v. 19. 10. 2016 – C-582/14, ZD 2017, 24 (26) Rn. 45 – Breyer. 398 Roßnagel, ZD 2018, 243 (245).
D. Klärung zentraler Begrifflichkeiten
87
sind.399 Problematisch ist daneben insbesondere die Beurteilung von Fällen, in denen ein Verantwortlicher die pseudonymisierten Daten selbst nicht durch Hinzuziehung zusätzlicher Informationen der betroffenen Person zuordnen kann, da nur ein Dritter im Besitz des Zuordnungsschlüssels für die pseudonymen Daten ist.400 Nach den dargestellten Grundsätzen kann das erforderliche Zusatzwissen auch bei Dritten vorhanden sein, wenn dem Verantwortlichen die Möglichkeit zur Verfügung steht, realistischerweise auf dieses Zusatzwissen zuzugreifen.401 Ist es für den Verantwortlichen hingegen praktisch ausgeschlossen, dass er auf die Zuordnungsregel für die pseudonymen Daten zugreifen kann, dann handelt es sich für ihn nicht um personenbezogene Daten.402 Dies kann etwa der Fall sein, wenn ein unabhängiger Dritter die Pseudonymisierung durchführt und gleichzeitig die Zuordnungsregel aufbewahrt.403 Folglich existieren zwei Gruppen von pseudonymen Daten, zwischen denen es zu differenzieren gilt.404 Bei der ersten Gruppe ist die Zuordnung der Daten zu einer Person für den Verantwortlichen unverhältnismäßig aufwändig und damit hinreichend ausgeschlossen. Die Daten stellen dann für diese Person, da sie die Zuordnungsregel nicht kennt und mithin keinen Bezug zwischen den Daten und einer identifizierbaren Person herstellen kann, keine personenbezogenen, sondern (faktisch) anonyme Daten dar.405 Diese Art von Daten fällt mithin aus dem Anwendungsbereich der DSGVO heraus und wird auch als „de-facto-anonymisiert“406 oder „anonymisierende Pseudonymisierung“407 bezeichnet. So ist etwa der Fall zu bewerten, wenn im Rahmen eines medizinischen Forschungsprojekts mögliche Identifizierungsmerkmale hinreichend sicher von den erhobenen Daten getrennt und durch ein Pseudonym ersetzt wurden und die Zuordnungsregel einer vertrauenswürdigen unabhängigen Stelle, etwa einem Treuhänder, übergeben wurde, der sie den Forschenden nicht zugänglich machen darf.408 Bei der zweiten Gruppe pseudonymer Daten ist das Zusatzwissen, welches zur Identifizierung erforderlich wäre, zwar sicher von der verarbeitenden Stelle 399
Roßnagel, ZD 2018, 243 (245); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 176; Arning / Rothkegel, in: Taeger / Gabel, DSGVO BDSG Art. 4 DSGVO Rn. 54; diesen Fall der internen Pseudonymisierung spricht auch EG 29 DSGVO an, nach dem Pseudonymisierungsmaßnahmen bei demselben Verantwortlichen möglich sein sollen. 400 Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 5 DSGVO Rn. 12. 401 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 176. 402 Roßnagel, ZD 2018, 243 (245); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 129, 176; Ziebarth, in: Sydow, DSGVO, Art. 4 DSGVO Rn. 97. 403 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 183. 404 Roßnagel, ZD 2018, 243 (245); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 129, 176; Ziebarth, in: Sydow, DSGVO, Art. 4 DSGVO Rn. 97 f. 405 Cornelius, MedR 2017, 15 (16); Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 35a; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO Rn. 71. 406 Achenbach, PharmR 2020, 9 (14). 407 Roßnagel, ZD 2018, 243 (246); Bischoff, PharmR 2020, 309 (314). 408 Beispiel nach Roßnagel, ZD 2018, 243 (245).
88
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
getrennt, diese kann jedoch unter Umständen darauf zugreifen.409 So zum Beispiel, wenn Forscher in medizinischen Forschungsprojekten die Aufhebung der Pseudonymisierung anfordern können, um Inkonsistenzen aufzulösen.410 Damit verbleibt es für den Verarbeiter eines solchen pseudonymen Datenbestandes bei einer Verarbeitung von personenbezogenen Daten, die der DSGVO unterfällt.411 Diese Art der Pseudonymisierung wird auch als „risikomindernde Pseudonymisierung“412 bezeichnet. Da von diesen pseudonymen Daten ein geringeres Risiko für die betroffenen Personen ausgeht als von sonstigen personenbezogenen Daten, weil sie in besonderer Weise gesichert sind, sieht die DSGVO für diese Daten Erleichterungen bei der Datenverarbeitung vor.413 So kann der Verantwortliche etwa leichter seiner Pflicht genügen, ausreichende Garantien für die Datenverarbeitung zu wissenschaftlichen Forschungszwecken nach Art. 89 Abs. 1 S. 1 und 3 DSGVO zu bieten.414 Beiden Fällen ist gemein, dass die Zuordnungsregel gesondert aufbewahrt werden muss, jedoch unterscheiden sich die Fälle darin, dass der Personenbezug einmal i. S. d. DSGVO hinreichend ausgeschlossen ist, während er bei der risikomindernden Pseudonymisierung lediglich erschwert wird.415 Unabhängig von der Einteilung in diese Gruppen sind beide Kategorien pseudonymer Daten für den Inhaber der Zuordnungsregel, also der Information, die erforderlich ist, um das Pseudonym der betroffenen Person zuzuordnen, stets personenbezogen.416 Festzuhalten bleibt daher, dass bei der rechtlichen Einordnung der Pseudonymisierung eine differenzierte Betrachtung geboten ist.
II. Gesundheitsdaten als besondere Kategorien personenbezogener Daten Anhand der vorangegangenen Ausführungen wurde deutlich, dass die DSGVO alle personenbezogenen Daten, beziehungsweise die dahinterstehenden betroffenen Personen,417 schützt. Die Anwendbarkeit des Datenschutzrechts auf alle personenbezogenen Daten bedeutet jedoch nicht zugleich auch den gleichen Schutz 409
Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 177. Roßnagel, ZD 2018, 243 (247); TMF, Stellungnahme zum Entwurf der DSGVO v. 29. Juli 2014, S. 13, abrufbar unter: http://www.tmf-ev.de/Stellungnahmen.aspx. 411 Bischoff, PharmR 2020, 309 (314). 412 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 180. 413 Roßnagel, ZD 2018, 243 (247). 414 S. dazu ausführlich unter Kap. 7 D., (S. 360 ff.). 415 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 178 f. 416 Roßnagel, ZD 2018, 243 (246); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 129, 179; Arning / Rothkegel, in: Taeger / Gabel, DSGVO BDSG, Art. 4 DSGVO Rn. 55; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO Rn. 70. 417 Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 3; Conrad, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 14; Pötters, in: Gola, DSGVO, Art. 1 DSGVO Rn. 8. 410
D. Klärung zentraler Begrifflichkeiten
89
dieser Daten.418 Als besondere Ausprägung der personenbezogenen Daten werden in Art. 9 Abs. 1 DSGVO die besonderen Kategorien personenbezogener Daten geregelt.419 Durch diese Abgrenzung werden die personenbezogenen Daten in besondere Kategorien personenbezogener Daten und allgemeine personenbezogene Daten420 unterteilt. Ihre Rechtfertigung findet diese Kategorisierung gemäß EG 51 S. 1 DSGVO generell darin, dass bestimmte personenbezogene Daten aufgrund ihres engen Bezugs zu den Grundrechten und Grundfreiheiten besonders schutzwürdig sind.421 Von den besonderen Kategorien personenbezogener Daten sind nach Art. 9 Abs. 1 DSGVO auch die Gesundheitsdaten erfasst, deren Verarbeitung für das Gesundheitswesen zentral ist. Gesundheitsdaten werden durch den europäischen Gesetzgeber demnach als besonders schutzwürdig eingestuft.422 Der Grund für die besondere Behandlung von Gesundheitsdaten beruht auf der Grundannahme, dass diese Daten persönlichkeitsrechtlich von höchster Sensibilität sind und die betroffene Person in eine Situation hoher Verletzlichkeit bringen können.423 Denn diese Daten besitzen aufgrund der möglichen Aussage über die physischen und psychischen Befindlichkeiten eines Menschen ein erhebliches Diskriminierungs- und Schadenspotential.424 So besteht etwa das Risiko, dass die betroffene Person keine Arbeitsstelle mehr findet oder Versicherungen nicht mehr bereit sind, bestimmte Risiken zu tragen.425 Aus diesem Missbrauchs- und Schadenspotential erwächst ein erhöhtes Schutzbedürfnis der inneren Lebensbereiche.426 Vor diesem Hintergrund genießen Gesundheitsdaten in der DSGVO einen verstärkten rechtlichen Schutz.427 Konkret stellt Art. 9 418
Gusy / Eichenhofer, in: BeckOK Datenschutzrecht, § 1 BDSG Rn. 49. Matejek / Mäusezahl, ZD 2019, 551 (551). 420 S. zu diesem Begriff Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO Rn. 4; diese Daten werden auch als „normale“, „gewöhnliche“ oder „einfache“ Daten bezeichnet, s. dazu Buchner / Schwichtenberg, GuP 2016, 218 (220); Matejek / Mäusezahl, ZD 2019, 551 (551); Bieresborn, NZS 2017, 926 (926). 421 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 1; Greve, in: Auernhammer, DSGVO BDSG, Art. 9 DSGVO Rn. 1; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 1. 422 Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 45. 423 Weichert, DuD 2014, 831 (831); ders., in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 15 DSGVO Rn. 4; dieser Gedanke kommt auch in EG 51 S. 1 DSGVO zum Ausdruck. 424 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 17; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 6; Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 45. 425 Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 45. 426 Weichert, in Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 15 DSGVO Rn. 4, Art. 9 DSGVO Rn. 1 ff.; ders., DuD 2017, 538 (539); Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 1; Matejek / Mäusezahl, ZD 2019, 551 (551). 427 Weichert, Bundesgesundheitsbl. 2018, 285 (286); Bauer / Eickmeier / Eckard, E-Health, S. 60; Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 172; Buchner / Schwichtenberg, GuP 2016, 218 (220); Matejek / Mäusezahl, ZD 2019, 551 (551). 419
90
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
Abs. 2 DSGVO im Vergleich zu Art. 6 Abs. 1 DSGVO erhöhte Anforderungen an die Zulässigkeit der Verarbeitung personenbezogener Daten.428 Daneben sieht die DSGVO auch an anderen Stellen einen besonderen Schutz dieser Datenkategorie vor. Dies gilt etwa für Art. 37 Abs. 1 lit. c DSGVO hinsichtlich der Pflicht zur Benennung eines Datenschutzbeauftragten oder für Art. 35 Abs. 3 lit. b DSGVO bezüglich der Erforderlichkeit einer Datenschutz-Folgenabschätzung.429 Vor diesem Hintergrund ist es wesentlich festzustellen, welche Daten unter den für das Gesundheitswesen zentralen Begriff der sog. Gesundheitsdaten fallen. In Art. 4 Nr. 15 DSGVO werden Gesundheitsdaten als „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“, legaldefiniert. Diese Informationen können sich ausweislich des EG 35 S. 1 DSGVO auf den früheren, gegenwärtigen und zukünftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person beziehen. Anknüpfungspunkte sind daneben nicht nur Informationen zu Krankheiten, sondern auch Kennzeichen des Gesundheitszustandes einer Person, wie etwa die Information, dass eine Person vollständig gesund ist.430 Zudem schränkt die Herkunft des Datums den Begriff nicht ein. Diese Daten können beispielsweise von einem Arzt, einem Krankenhaus oder auch einem Medizinprodukt stammen. Ausgehend von der Legaldefinition und der Konkretisierung dieser in EG 35 DSGVO wird überwiegend von einem weiten Begriffsverständnis ausgegangen.431 1. Unmittelbare Rückschlüsse auf den Gesundheitszustand Einigkeit besteht vor dem Hintergrund dieses Begriffsverständnisses zunächst darüber, dass alle Daten als Gesundheitsdaten zu klassifizieren sind, welche unmittelbare Rückschlüsse auf den Gesundheitszustand ermöglichen.432 Offensichtlich erfasst sind etwa Diagnosen oder Befunddaten, wie die Ergebnisse einer medizi 428
Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 4. Buchner / Schwichtenberg, GuP 2016, 218 (220); Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 3; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 5. 430 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 15 DSGVO Rn. 1; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 15 DSGVO Rn. 2. 431 Kampert, in: Sydow, DSGVO, Art. 4 DSGVO Rn. 188 f.; Klabunde, in: Ehmann / Selmayr, DSGVO, Art. 4 DSGVO Rn. 61; Ernst, in: Paal / Pauly, DSGVO BDSG, Art. 4 DSGVO Rn. 109; Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 4 Nr. 15 DSGVO Rn. 260; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 15 DSGVO Rn. 1; OLG Naumburg, ZD 2020, 154 (155); Dochow, Telematik im Gesundheits wesen, S. 640; Kühnl / Rohrer / Schneider, DuD 2018, 735 (737). 432 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 37; Mathes / Krohm, PinG 2015, 49 (49). 429
D. Klärung zentraler Begrifflichkeiten
91
nischen Untersuchung.433 Gleiches gilt nach EG 35 S. 2 DSGVO auch für Informationen über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen sowie klinische Behandlungen.434 2. Mittelbare Rückschlüsse auf den Gesundheitszustand Daneben können Gesundheitsdaten auch solche Angaben sein, aus denen nur mittelbar Rückschlüsse auf den Gesundheitszustand einer Person gezogen werden können.435 Dazu gehören beispielsweise Informationen zum Aufenthalt in einer Klinik oder sonstigen gesundheitsrelevanten Einrichtungen.436 Bei diesen Daten ist eine präzise Abgrenzung jedoch teilweise schwierig.437 Wie bei indirekter Ableitung von Angaben zur Gesundheit der Schutzbereich konkret zu bestimmen ist, wird dementsprechend nicht einheitlich beurteilt. Während teilweise vertreten wird, dass mittelbar sensible Daten stets von der Definition erfasst werden,438 stellen andere einschränkend auf den Verwendungskontext439 oder die Auswertungsabsicht des Verantwortlichen440 ab. a) Nicht jede mittelbare Angabe über den Gesundheitszustand ausreichend Die Befürworter der Ansicht, nach der alle mittelbar sensiblen Daten von der Definition erfasst werden, begründen ihre Auffassung insbesondere damit, dass die Definition durch einen abstrakten Gesundheitsbezug gekennzeichnet sei, so 433
Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 40; Kühnl / Rohrer / Schneider, DuD 2018, 735 (737); Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 39 mit weiteren Beispielen. 434 Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 4 Nr. 15 DSGVO Rn. 260. 435 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 15 DSGVO Rn. 6, Art. 9 DSGVO Rn. 37; Ernst, in: Paal / Pauly, DSGVO BDSG, Art. 4 DSGVO Rn. 108; Kühnl / Rohrer / Schneider, DuD 2018, 735 (737). 436 Ernst, in: Paal / Pauly, DSGVO BDSG, Art. 4 DSGVO Rn. 108; Kühnl / Rohrer / Schneider, DuD 2018, 735 (737); Gola, in: Gola, DSGVO, Art. 4 DSGVO Rn. 97; Schulz, in: Gola / Heckmann, BDSG, § 46 BDSG Rn. 68. 437 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 37; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 15 DSGVO Rn. 4; Mathes / Krohm, PinG 2015, 49 (49); Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 704. 438 Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Rn. 12; Jülicher, Medizininformationsrecht, S. 51 f. 439 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 15 DSGVO Rn. 7, Art. 9 DSGVO Rn. 37; Arning / Born, in: Forgó / Helfrich / Schneider, Betrieblicher Datenschutz, S. 1179 Rn. 19; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 6; Waldkirch, VersR 2020, 1141 (1142). 440 Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 13; Gola, in: Gola, DSGVO, Art. 4 DSGVO Rn. 97; Schulz, in: Gola / Heckmann BDSG, § 46 BDSG, Rn. 66, 73; Cormann, KassKomm Sozialversicherungsrecht, § 67a SGB X Rn. 15.
92
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
dass der generelle Gesundheitskontext das entscheidende Abgrenzungsmerkmal darstelle.441 Die Definition knüpfe nicht an die Sensibilität im Einzelfall an, sondern beurteile die Zugehörigkeit vielmehr abstrakt und damit unabhängig von der Situation, in der das Datum verarbeitet werde.442 Jedoch stellt der Normtext einschränkend selbst klar, dass ein Datum, aus welchem zwar Informationen über den Gesundheitszustand hervorgehen können, welches sich aber nicht auf die Gesundheit bezieht, nicht von dem Begriff des Gesundheitsdatums erfasst wird.443 Durch das tatbestandliche Erfordernis der Gesundheitsheitsbezogenheit wird der Anwendungsbereich insoweit eingeschränkt, als Daten, die lediglich potentiell gesundheitsschädliche bzw. -fördernde Gewohnheiten einer Person widerspiegeln, nicht unter den Begriff der Gesundheitsdaten zu fassen sind.444 So stellt etwa die Information über ein bestimmtes Atemzeitvolumen ein Gesundheitsdatum dar, während es sich bei der Information, dass jemand Raucher ist, nicht um ein solches Datum handelt.445 Ebenso ist der bloße Alkoholkonsum im Gegensatz zur Alkoholabhängigkeit kein Gesundheitsdatum.446 Gleiches gilt für die Information, dass jemand erfolgreich an einem Marathon teilgenommen hat.447 Denn diese Daten beziehen sich nicht auf die Gesundheit, sondern vielmehr auf den Lebensstil.448 Auch wenn der Begriff der Gesundheitsdaten grundsätzlich weit auszulegen ist, ist daher nicht jede Information, aus der sich mittelbar gesundheitsbezogene Informationen ergeben, als Gesundheitsdatum zu qualifizieren.449 Um zu einer praktikablen Einordnung zu gelangen, wann ein mittelbarer Gesundheitsbezug ausreicht, um ein personenbezogenes Datum als Gesundheitsdatum einzuorden, ist weiter zu klären, welche Kriterien zur Bestimmung einer mittelbaren Ableitbarkeit von Informationen zur Gesundheit heranzuziehen sind.450
441
Jülicher, Medizininformationsrecht, S. 52. Kühling / Seidel, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 46; Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 5 Rn. 90, Kap. 17 Rn. 172; Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / Thüsing / Kugelmann, DSGVO BDSG, Art. 4 Nr. 15 DSGVO Rn. 262 diese erkennen jedoch einschränkend teilweise die Notwendigkeit einer Beurteilung im konkreten Einzelfall an. 443 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 15; Arning / Rothkegel, in: Taeger / Gabel, DSGVO BDSG, Art. 4 DSGVO Rn. 339. 444 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 40. 445 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 15. 446 DSK, Kurzpapier Nr. 17 „Besondere Kategorien personenbezogener Daten“, Stand 27. März 2018, S. 1; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 40; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 15 DSGVO Rn. 2, Art. 9 DSGVO Rn. 23. 447 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 704. 448 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 15. 449 DSK, Kurzpapier Nr. 17 „Besondere Kategorien personenbezogener Daten“, Stand 27. März 2018, S. 1; Arning / Rothkegel, in: Taeger / Gabel, DSGVO BDSG, Art. 4 DSGVO Rn. 340. 450 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 21. 442
D. Klärung zentraler Begrifflichkeiten
93
b) Kriterien zur Bestimmung einer mittelbaren Ableitbarkeit aa) Auswertungsabsicht Teilweise wird für die Beurteilung des mittelbaren Gesundheitsbezugs auf die Auswertungsabsicht des Verantwortlichen abgestellt.451 Dies wird mit der Gefahr der Ausuferung des Anwendungsbereichs der Norm durch eine verobjektivierte Sichtweise begründet.452 Dieses subjektive Kriterium ist insofern problematisch, als auf die Intention des Verantwortlichen abgestellt wird, sich im Wortlaut der Norm jedoch kein Anhaltspunkt für eine subjektive Zielsetzung findet.453 Vielmehr legt die Begriffsdefinition den Bezug zum Gesundheitszustand der betroffenen Person als ein objektives Kriterium fest, sodass ein subjektiver Ansatz keine normative Verankerung besitzt.454 bb) Verwendungszusammenhang Andere stellen auf das Kriterium des Verwendungszusammenhangs ab.455 Für dieses Kriterium spricht insbesondere, dass Gesundheitsdaten als solche Daten definiert werden, „aus denen Informationen über deren Gesundheitszustand hervorgehen“ müssen, sodass der kontextabhängige Informationsgehalt und nicht das Datum als solches in den Mittelpunkt gestellt wird.456 Anders als noch im Kommissions-457 und Parlamentsentwurf458 stellt die Definition der Gesundheitsdaten in Art. 4 Nr. 15 DSGVO nicht allein auf den Bezug zur Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen,
451 Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 13; Schulz, in: Gola / Heckmann, BDSG, § 46 BDSG, Rn. 66, 73; Cormann, KassKomm Sozialversicherungsrecht, § 67a SGB X Rn. 15; ähnlich Matejek / Mäusezahl, ZD 2019, 551 (553). 452 Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 13. 453 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 22. 454 Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 4 Nr. 15 DSGVO Rn. 262; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Rn. 12. 455 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 15 DSGVO Rn. 7, Art. 9 DSGVO Rn. 37; Arning / Born, in: Forgó / Helfrich / Schneider, Betrieblicher Datenschutz, S. 1179 Rn. 19; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 6; Waldkirch, VersR 2020, 1141 (1142). 456 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 20; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 22; a. A. Ziebarth, in: Sydow, DSGVO, Art. 4 DSGVO Rn. 188, der den letzten Teil der Definition als „überflüssig“ bezeichnet, da er nur eine Wiederholung des ersten Satzteiles darstelle. 457 Europäische Kommission, Verordnungsentwurf v. 25. Januar 2012, COM(2012) 11 final, S. 48. 458 Europäisches Parlament, Legislative Entschließung v. 12. März 2014, P7_TA(2014)0212, S. 104.
94
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
ab,459 sondern zusätzlich auch darauf, dass aus den Daten Informationen über den Gesundheitszustand einer natürlichen Person hervorgehen müssen.460 Daneben lässt sich auch der Sinn und Zweck des Art. 9 DSGVO, der darin besteht, die besonderen Kategorien personenbezogener Daten einem erhöhten Schutz zu unterstellen,461 dafür anführen, auf den Verwendungszusammenhang abzustellen.462 Denn das besondere Diskriminierungspotential dieser Daten entsteht erst durch den jeweiligen Verwendungszusammenhang und damit dann, wenn die Daten im Hinblick auf die in ihnen enthaltenen sensiblen Informationen verarbeitet werden.463 Dementsprechend sollten auch nur solche Daten den gesteigerten rechtlichen Anforderungen des Art. 9 DSGVO unterfallen, bei denen der sensible Teil des Informationsgehalts verarbeitet wird.464 Wird die Verarbeitung hingegen ohne Berücksichtigung des sensitiven Kerns durchgeführt, besteht kein Anlass für einen besonderen Schutz der betroffenen Person.465 Der Verwendungszusammenhang ist dabei aus dem Verständnishorizont eines durchschnittlichen Empfängers im jeweiligen Verarbeitungskontext zu beurteilen.466 Es kommt folglich darauf an, ob der Verantwortliche die personenbezogenen Daten für einen objektiven Dritten erkennbar zu dem Zweck verarbeitet oder verarbeiten wird, Erkenntnisse über die Gesundheit zu erlangen.467 Mit dem Abstellen auf dieses Kriterium wird zudem dem EG 51 S. 1 DSGVO Rechnung getragen, nach dem sensible Daten einen besonderen Schutz verdienen, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für Grundrechte und Grundfreiheiten auftreten können. Dementsprechend sollte ein potentiell sensibles Datum aus dem Anwendungsbereich ausscheiden, wenn keine Risiken für die Grundrechte und Grundfreiheiten der betroffenen Person bestehen.468 Denn der Zweck eines erhöhten Schutzes von Ge 459
Zum Verständnis der Legaldefinition der Gesundheitsdaten im Entwurf der DSGVO Kühling / Seidel, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 45 ff.; Mathes / Krohm, PinG 2015, 49 (52). 460 Kühling, MedR 2019, 611 (615). 461 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 15, 17. 462 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 15 DSGVO Rn. 7; Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 5 Rn. 92. 463 Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 5 Rn. 92, Kap. 17 Rn. 173; Arning / Rothkegel, in: Taeger / Gabel, DSGVO BDSG, Art. 4 DSGVO Rn. 341; Simitis / Hornung / Spiecker, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Einleitung Rn. 98 weisen in diesem Zusammenhang darauf hin, dass der Grad an Sensibilität von Gesundheitsdaten unterschiedlich sei, je nachdem, ob sie etwa von einem Krankenhaus oder eine Auskunftei verarbeitet werden. 464 Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 5 Rn. 92. 465 Mathes / Krohm, PinG 2015, 49 (54); Arning / Rothkegel, in: Taeger / Gabel, DSGVO BDSG, Art. 4 DSGVO Rn. 341. 466 Weichert, in: Kühling / Buchner, DGSVO BDSG, Art. 9 DSGVO Rn. 22. 467 Martini / Botta, VerwArch. 2019, 235 (259); vgl. Botta, Datenschutz bei E-Learning-Plattformen, S. 184; Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 13; Matejek / Mäuse zahl, ZD 2019, 551 (553). 468 Schneider / Schindler, ZD 2018, 463 (465).
D. Klärung zentraler Begrifflichkeiten
95
sundheitsdaten liegt im Schutz vor der Möglichkeit tatsächlich datenbasierter Diskriminierungen und nicht in der Erfassung eines jeden Datums in allen potentiell sensiblen Zusammenhängen.469 c) Zwischenergebnis Festzuhalten bleibt somit, dass der Begriff der Gesundheitsdaten unter der DSGVO im Grundsatz weit zu verstehen ist. Neben direkten Angaben zur Gesundheit sind auch mittelbare Rückschlüsse auf den Gesundheitszustand von dem Begriff der Gesundheitsdaten erfasst. Gleichzeitig ist jedoch nicht jede mittelbare Angabe über den Gesundheitszustand ausreichend, um diese als Gesundheitsdatum einzuordnen.470 Es würde zu einer übermäßigen Ausweitung des Begriffs führen, wenn jede mittelbare Information über den Gesundheitszustand als Gesundheitsdatum qualifiziert würde.471 Dies wird besonders deutlich, wenn bereits ein Foto, welches einen Brillenträger zeigt, als Gesundheitsdatum eingeordnet wird.472 Das entscheidende Kriterium zur Bestimmung einer mittelbaren Ableitbarkeit von Informationen zur Gesundheit ist der Verwendungskontext.
III. Der Begriff der Datenverarbeitung in der DSGVO Gemäß Art. 2 Abs. 1 DSGVO gilt die Verordnung nur für die Verarbeitung personenbezogener Daten. Die jeweiligen Rechtsfolgen der DSGVO treten mithin nur ein, wenn personenbezogene Daten verarbeitet werden.473 Der Begriff der Verarbeitung wird in Art. 4 Nr. 2 DSGVO für das nationale Recht unmittelbar verbindlich legaldefiniert und erfasst alle Verarbeitungsphasen von der Erhebung bis zur Löschung oder Vernichtung der personenbezogenen Daten.474 Er ist mithin der Oberbegriff für jegliche Formen des Umgangs mit Daten.475 Auch Art. 2 lit. b DSRL sah bereits einen einheitlichen Verarbeitungsbegriff vor. Diesen hat der deutsche Gesetzgeber jedoch nicht in das nationale Datenschutzrecht übernommen, sondern bei der Regelung des Umgangs mit personenbezoge 469
Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 14. DSK, Kurzpapier Nr. 17 „Besondere Kategorien personenbezogener Daten“, Stand 27. März 2018, S. 1. 471 Arning / Rothkegel, in: Taeger / Gabel, DSGVO BDSG, Art. 4 DSGVO Rn. 340; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 15 DSGVO Rn. 7; Schulz, in: Gola / Heckmann, BDSG, § 46 BDSG Rn. 73. 472 So Ernst, in: Paal / Pauly, DSGVO BDSG, Art. 4 DSGVO Rn. 109. 473 Garbe, in: Ratzel / Luxenburger, Handbuch Medizinrecht, Kap. 24 Rn. 15. 474 Heberlein, Datenschutz im Social Web, S. 31; Schütz, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 4. 475 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 19; Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 2 DSGVO Rn. 3. 470
96
Kap. 1: Vorüberlegungen und Begriffsbestimmungen
nen Daten vielmehr auf sog. schutzrelevante Phasen abgestellt.476 Dies führte dazu, dass in jeder datenschutzrechtlichen Ermächtigungsgrundlage sowie Einwilligung zwischen der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten i. S. d. § 3 Abs. 3, 4 und 5 BDSG a. F. zu differenzieren war.477 In diesem Sinne war die „Verarbeitung“ lediglich eine von drei Stufen des Datenumgangs.478 Jeder einzelne Verarbeitungsschritt stellte einen separaten Akt der Datenverarbeitung dar, der einer eigenständigen Prüfung der Rechtmäßigkeit nach § 4 Abs. 1 BDSG a. F. unterlag.479 Dies hat sich mit dem Geltungsbeginn der DSGVO erübrigt. Die DSGVO differenziert nicht zwischen den verschiedenen Formen des Umgangs mit personenbezogenen Daten, sondern fasst diese unter dem einheitlichen Begriff der Verarbeitung zusammen.480 Der Anknüpfungspunkt der Erlaubnis zur Datenverarbeitung ist daher nun der Gesamtvorgang der Datenverarbeitung.481
476
Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 80; Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 2 DSGVO Rn. 4. 477 Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 80; Monreal, ZD 2016, 507 (510); Kühling / Seidel, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 67 ff. 478 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 2 DSGVO Rn. 4. 479 Härting, ITRB 2016, 137 (139). 480 Schantz, NJW 2016, 1841 (1841). 481 Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 81.
Kapitel 2
Die Zulässigkeit der Verarbeitung von Gesundheitsdaten im Gesundheitswesen unter der DSGVO In diesem Kapitel werden zunächst die relevanten datenschutzrechtlichen Rechtsgrundlagen für die Zulässigkeit der Verarbeitung von personenbezogenen Daten im Gesundheitswesen untersucht, bevor sodann konkrete Aspekte der datenschutzrechtlichen Zulässigkeit im Einzelfall beleuchtet werden.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten im Gesundheitswesen unter der DSGVO Personenbezogene Daten dürfen gemäß Art. 8 Abs. 2 S. 1 GRCh nur verarbeitet werden, wenn eine Einwilligung der betroffenen Person oder eine sonstige gesetzlich geregelte legitime Grundlage vorliegt. Diese primärrechtlichen Anforderungen werden in den Bedingungen für die Rechtmäßigkeit der Verarbeitung in Art. 6 und 9 DSGVO konkretisiert.1
I. Regelungsstruktur der Rechtsgrundlagen unter der DSGVO Nach Art. 6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten nur zulässig, wenn die betroffene Person ihre Einwilligung in die Datenverarbeitung erteilt hat oder die Verarbeitung durch eine der übrigen abschließend aufgeführten gesetzlich normierten Rechtsgrundlagen legitimiert ist. Diese bereits aus Art. 7 DSRL und § 4 Abs. 1 BDSG a. F. bekannte Regelungsstruktur wird im Datenschutzrecht oft als „Verbot mit Erlaubnisvorbehalt“ bezeichnet.2 Die Formulierung ist insofern irreführend, als ein Verbot mit Erlaubnisvorbehalt im Verwaltungsrecht eine gesetzliche Regelung beschreibt, die eine bestimmte Tätigkeit verbietet, bis diese nach Prüfung der Genehmigungsvoraussetzungen von einer Verwaltungs-
1
Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 5 DSGVO Rn. 8. Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 1; Buchner, DuD 2016, 155 (157); Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1586); Pfeifer, GewArch 2014, 142 (143). 2
98
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
behörde zugelassen wird.3 Die Datenverarbeitung wird hingegen nicht erst nach der Prüfung durch eine Behörde in Form eines Verwaltungsaktes zugelassen, vielmehr ergibt sich die Zulässigkeit einer Datenverarbeitung, die die Voraussetzungen des jeweiligen Erlaubnistatbestandes einhält, bereits direkt aus dem Gesetz.4 Um Unstimmigkeiten zu vermeiden, kann daher auf einen anderen Begriff, wie etwa die von Roßnagel vorgeschlagene Bezeichnung des „Erlaubnisprinzip[s]“5, zurückgegriffen werden. Dadurch würde verdeutlicht, dass das Datenschutzrecht dadurch geprägt ist, dass es die Datenverarbeitung unter den in den Erlaubnistatbeständen festgelegten Bedingungen erlaubt.6 Solange sich dieser Begriff nicht durchgesetzt hat, ist zumindest zu betonen, dass im Datenschutzrecht durch die Bezeichnung „Verbot mit Erlaubnisvorbehalt“ lediglich zum Ausdruck gebracht werden soll, dass jeder Umgang mit personenbezogenen Daten rechtfertigungsbedürftig ist und sich eine solche Rechtfertigung nur auf eine rechtlich anerkannte Grundlage stützen kann. Speziell für besondere Kategorien personenbezogener Daten, zu denen nach Art. 9 Abs. 1 DSGVO auch die Gesundheitsdaten zählen, sieht Art. 9 Abs. 1 DSGVO nochmals explizit ein grundsätzliches Verbot der Verarbeitung vor.7 Allerdings werden in Art. 9 Abs. 2 lit. a bis j DSGVO umfangreiche Ausnahmen von diesem Grundsatz geregelt.8 Der Katalog der in Art. 9 Abs. 2 DSGVO aufgeführten Zulässigkeitstatbestände ist grundsätzlich abschließend, jedoch enthalten mehrere der Ausnahmetatbestände Regelungsspielräume für die mitgliedstaatlichen Gesetzgeber.9 Die einzelnen Ausnahmen vom Verarbeitungsverbot in Art. 9 Abs. 2 DSGVO sind daher unterschiedlich strukturiert.10 Zum einen gibt es solche Zulässigkeitstatbestände, die keiner weiteren Konkretisierung durch mitgliedstaatliche Regelungen bedürfen und mithin unionseinheitlich unmittelbare Wirkung entfalten,11 zum anderen enthält Art. 9 Abs. 2 DSGVO auch Erlaubnistatbestände, 3
Roßnagel, NJW 2019, 1 (5); Korte, in: Wolff / Bachof / Stober / K luth, Verwaltungsrecht I, § 46 Rn. 38 ff.; Maurer / Waldhoff, Allgemeines Verwaltungsrecht, § 9 Rn. 52 ff.; s. zur Kritik an der Verwendung des Begriffs im Datenschutzrecht auch Roßnagel, ZD 2018, 339 (340); Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 12; Pötters, in: Gola, DSGVO, Art. 5 DSGVO Rn. 6. 4 Roßnagel, NJW 2019, 1 (5); Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 12. 5 Roßnagel, NJW 2019, 1 (5). 6 Roßnagel, NJW 2019, 1 (5). 7 DSK, Kurzpapier Nr. 17 „Besondere Kategorien personenbezogener Daten“, Stand 27. März 2018, S. 1; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 1; Jandt, in: Roßnagel, Das neue Datenschutzrecht, § 8 Rn. 281; Buchner / Schwichtenberg, GuP 2016, 218 (220); Matejek / Mäusezahl, ZD 2019, 551 (551). 8 EG 51 S. 6 DSGVO; DSK, Kurzpapier Nr. 17 „Besondere Kategorien personenbezogener Daten“, Stand 27. März 2018, S. 1; Kazemi, in: FS Dahm, 283 (290); Werry / Knoblich, MPR 2017, 1 (9). 9 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 46. 10 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 19. 11 Zu dieser Gruppe von Anwendungsfällen gehören Art. 9 Abs. 2 lit. a, c, d, e und f DSGVO.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
99
die durch unionsrechtliche oder mitgliedstaatliche Vorschriften ergänzungsfähig bzw. -bedürftig sind.12 In diesen Fällen ist es zur Beurteilung der Rechtmäßigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten erforderlich, ergänzend auch die mitgliedstaatlichen Regelungen zu prüfen.13 Denn diese Bestimmungen entfalten keine eigene Legitimationswirkung, sondern sind auf die Ausfüllung durch ergänzende nationale Regelungen angewiesen.14 Die Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO werden zudem ergänzt um die Öffnungsklausel zu den Berufsgeheimnissen in Art. 9 Abs. 3 DSGVO sowie eine weitere Öffnungsklausel zugunsten mitgliedstaatlicher Regelungen für die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten in Art. 9 Abs. 4 DSGVO.15 Die DSGVO insgesamt und mithin auch die Regelung des Art. 9 DSGVO adressiert öffentliche und nichtöffentliche Stellen gleichermaßen.16 Um einen Sachverhalt in die Systematik der DSGVO einzuordnen, ist folglich keine Differenzierung zwischen öffentlichen und nichtöffentlichen Stellen erforderlich, sodass diese auf alle Stellen im Gesundheitswesen Anwendung findet, die personenbezogene Daten verarbeiten.17 Ungeachtet dessen hält die deutsche Gesetzgebung an der Unterscheidung zwischen öffentlichen und nichtöffentlichen Stellen fest. Zwar sieht das BDSG n. F. im Unterschied zum BDSG a. F. für den öffentlichen und nichtöffentlichen Bereich keine eigenen Abschnitte mehr vor, neben der grundsätzlichen Regelung des Anwendungsbereichs in § 1 BDSG n. F. erfolgt eine Differenzierung, für welche Stelle die Regelung im Einzelnen gilt, allerdings gelegentlich direkt in der jeweiligen Vorschrift.18 Für die Frage der einschlägigen Rechtsgrundlage im Rahmen der Datenverarbeitung im Gesundheitswesen ist dies jedoch ohne Folgen, da die allein für öffentliche Stellen anwendbaren Rechtsgrundlagen des BDSG n. F., soweit ersichtlich, keine Fälle abdecken, die für die Datenverarbeitung im Gesundheitswesen von Bedeutung sind. Vielmehr adressiert § 22 BDSG n. F. in den für die Datenverarbeitung im Gesundheitswesen maßgeblichen Vorgaben des § 22 Abs. 1 Nr. 1 BDSG n. F. gleichermaßen sowohl öffentliche wie auch nichtöffentliche Stellen. 12
Zu dieser Gruppe von Anwendungsfällen gehören Art. 9 Abs. 2 lit. b, g, h, i und j DSGVO; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 46; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 45; ders., DuD 2017, 538 (541) bezeichnet dies als „hybride Regelung“; Bieresborn, NZS 2017, 926 (926). 13 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 46. 14 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 84. 15 Weichert, DuD 2017, 538 (541); Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 1. 16 Bieresborn, NZS 2017, 926 (926); Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 13; Ingold, in: Sydow, DSGVO, Art. 7 DSGVO Rn. 11; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 DSGVO Rn. 50; Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 12 f.; Pfeifer, GewArch 2014, 142 (144, 146); Kühling, MedR 2019, 611 (612). 17 Buchner, Datenschutz im Gesundheitswesen, S. 49; Uwer, in: BeckOK Datenschutzrecht, Syst. F. Rn. 18. 18 Hauser / Haag, Datenschutz im Krankenhaus, S. 19.
100
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
II. Gesetzliche Legitimationsgrundlagen für die Verarbeitung von Daten im Gesundheitswesen Für die Verarbeitung besonderer Kategorien personenbezogener Daten, wie etwa Gesundheitsdaten, sieht Art. 9 Abs. 2 DSGVO spezielle Zulässigkeitsvoraussetzungen vor. Diese normieren restriktive Rechtmäßigkeitsanforderungen für die Verarbeitung von u. a. Gesundheitsdaten.19 Neben Art. 9 Abs. 2 DSGVO enthält auch Art. 6 DSGVO in den Absätzen 1 bis 3 eine Vielzahl von Erlaubnistatbeständen, nach denen die Verarbeitung von allgemeinen personenbezogenen Daten ausnahmsweise rechtmäßig sein kann. Bevor daher auf die einzelnen Voraussetzungen der Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO eingegangen wird, ist die Frage zu beantworten, in welchem Verhältnis diese zu den Erlaubnistatbeständen des Art. 6 DSGVO stehen. 1. Verhältnis des Art. 9 Abs. 2 DSGVO zu Art. 6 Abs. 1 bis 3 DSGVO Es stellt sich die Frage, ob bei der Verarbeitung besonderer Kategorien personenbezogener Daten neben den Voraussetzungen des Art. 9 Abs. 2 DSGVO auch die allgemeinen Voraussetzungen des Art. 6 DSGVO vorliegen müssen. Dies ist bislang weitgehend ungeklärt.20 So wird teilweise vertreten, dass zusätzlich zu einer Ausnahme nach Art. 9 Abs. 2 DSGVO auch die Vorgaben des Art. 6 DSGVO zu berücksichtigen seien.21 Als Hauptargument für das Nebeneinander beider Regelungen wird überwiegend der EG 51 S. 5 DSGVO angeführt, nach dem zusätzlich zu den speziellen Anforderungen an eine Verarbeitung besonderer Kategorien personenbezogener Daten die allgemeinen Grundsätze und andere Bestimmungen der DSGVO, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten sollen.22
19
Albers / Veit, in: BeckOKDatenschutzrecht, Art. 9 DSGVO Rn. 1; Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 1; Jaspers / Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / Thüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 21. 20 Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 54; Council of the Euro pean Union, Preparation of the Council position on the evaluation and review of the General Data Protection Regulation (GDPR) – Comments from Member States v. 9. Oktober 2019, Rev. 1, S. 14. 21 Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Rn. 2; DSK, Kurzpapier Nr. 17 „Besondere Kategorien personenbezogener Daten“, Stand 27. März 2018, S. 2; Kühnl / Rohrer / Schneider, DuD 2018, 735 (737 f.); Matejek / Mäusezahl, ZD 2019, 551 (554); Jaspers / Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / Thüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 21; Weichert, DuD 2017, 538 (540); Robrahn / Bremert, ZD 2018, 291 (295); Waldkirch, VersR 2020, 1141 (1144). 22 Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Fn. 9; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 24; Robrahn / Bremert, ZD 2018, 291 (295); zust. Wobbe, MedR 2019, 625 (628) Fn. 38.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
101
Ausweislich der Gesetzesbegründung scheint auch der Gesetzgeber der Ansicht zu sein, dass neben einem Ausnahmetatbestand des Art. 9 Abs. 2 DSGVO stets eine Rechtsgrundlage für die Verarbeitung nach Art. 6 DSGVO vorliegen müsse.23 Andere nehmen hingegen an, dass die einzelnen Erlaubnisgründe von Art. 6 DSGVO nicht neben denen des Art. 9 Abs. 2 DSGVO anwendbar seien, sodass die Verarbeitung von besonderen Kategorien personenbezogener Daten allein bei Erfüllung der Anforderungen des Art. 9 Abs. 2 zulässig sei.24 Dazwischen finden sich vermittelnde Ansätze, nach denen Art. 9 Abs. 2 DSGVO den Art. 6 DSGVO nur teilweise verdränge.25 Zunächst ist es wenig überzeugend, für ein Nebeneinander der beiden Normen auf EG 51 S. 5 DSGVO abzustellen. Denn dieser stellt keinen eindeutigen Verweis auf die einzelnen Rechtmäßigkeitstatbestände des Art. 6 DSGVO dar, sondern ließe sich ebenso als ausdrücklicher Hinweis auf die allgemeinen Grundprinzipien des Art. 5 DSGVO verstehen, die in Art. 5 Abs. 1 lit. a DSGVO ebenso die Rechtmäßigkeit aufführen.26 Zudem folgt bereits aus der Formulierung in Art. 9 Abs. 2 DSGVO „Absatz 1 gilt nicht in folgenden Fällen […]“, dass die Verarbeitung besonderer Kategorien personenbezogener Daten ausschließlich in den in Art. 9 Abs. 2 DSGVO abschließend aufgeführten Fällen zulässig ist.27 Daneben sprechen auch systematische Erwägungen gegen ein Nebeneinander der beiden Regelungen. Während Art. 10 DSGVO ausdrücklich auf Art. 6 DSGVO verweist, enthält Art. 9 DSGVO keine Regelung zum Verhältnis zwischen Art. 9 und Art. 6 DSGVO.28 Zudem sieht Art. 9 Abs. 2 DSGVO spezifische und teilweise strengere Rechtmäßigkeitsanfor-
23
BT-Drs. 18/11325, S. 94. Frenzel, in: Paal / Pauly, DSGVO BDSG Art. 9 DSGVO Rn. 18; Kampert, in: Sydow, DSGVO, Art. 9 DSGVO Rn. 1, 63; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 705; Greve, in: Auernhammer, DSGVO BDSG, Art. 9 DSGVO Rn. 13; Albrecht / Jotzo, Das neue Datenschutzrecht in der EU, Teil 3 Rn. 58; Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 48 Fn. 82; Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 25; Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 72 Fn. 77; Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 34; Engeler, ZD 2018, 55 (58); Korge, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 9 DSGVO Rn. 3. 25 So nimmt Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 4 an, dass Art. 9 DSGVO den Art. 6 DSGVO nicht vollständig verdränge; auch Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 5 geht davon aus, dass Art. 9 DSGVO gegenüber Art. 6 Abs. 1 DSGVO lediglich eine „teilweise Sperrwirkung“ entfalte; nach Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 1, 24 werden die allgemeinen Rechtmäßigkeitsanforderungen des Art. 6 DSGVO nicht vollständig verdrängt, sondern von den spezifischeren Anforderungen des Art. 9 Abs. 2 DSGVO normativ überlagert, jedoch verbiete sich ein Rückgriff auf die allgemeinen Zulässigkeitstatbestände des Art. 6 DSGVO wiederum, wenn die Ausnahmeregelungen in Art. 9 Abs. 2 und 3 DSGVO nicht einschlägig seien. 26 Matejek / Mäusezahl, ZD 2019, 551 (554); Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 34. 27 Kampert, in: Sydow, DSGVO, Art. 9 DSGVO Rn. 5. 28 Matejek / Mäusezahl, ZD 2019, 551 (554). 24
102
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
derungen für die Verarbeitung besonderer Kategorien personenbezogener Daten vor.29 Daher ist es bereits nach dem „lex specialis“ Grundsatz nicht plausibel, die allgemeinen und speziellen Regelungen gleichzeitig anzuwenden.30 Überdies sind die Fallgruppen des Art. 9 Abs. 2 DSGVO vor dem Hintergrund des RegelAusnahme-Verhältnisses zwischen Art. 9 Abs. 1 und Art. 9 Abs. 2 DSGVO re striktiv auszulegen, sodass ein Rückgriff auf Art. 6 DSGVO ausgeschlossen sein muss.31 Unklar bleibt daneben auch, was die Folge wäre, wenn zwar ein Zulässigkeitstatbestand des Art. 9 Abs. 2 DSGVO einschlägig wäre, ein solcher nach Art. 6 DSGVO aber nicht vorläge.32 Zutreffend wird es daher als „rechtssystematisch und -methodisch […] nicht überzeugende […] Auffassung“33 bezeichnet, für die Verarbeitung besonderer Kategorien personenbezogener Daten das Vorliegen einer Rechtsgrundlage aus Art. 6 und Art. 9 DSGVO zugleich zu verlangen. Die besseren Gründe sprechen vielmehr dafür, die Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten allein anhand der Vorgaben des Art. 9 Abs. 2 DSGVO zu beurteilen. Abschließend ist daher festzuhalten, dass die Verarbeitung besonderer Kategorien personenbezogener Daten allein bei Erfüllung der Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig ist. 2. Verarbeitung von Gesundheitsdaten zu Zwecken der Gesundheitsversorgung, Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO Die bedeutendste Ausnahme des in Art. 9 Abs. 1 DSGVO normierten Verarbeitungsverbots ergibt sich für das Gesundheitswesen aus Art. 9 Abs. 2 lit. h DSGVO.34 Dieser gibt den Rahmen für die nähere Ausgestaltung der Verarbeitung zu Zwecken der Gesundheitsversorgung durch die Mitgliedstaaten vor. Er ist damit die zentrale Öffnungsklausel für die Datenverarbeitung eines Arztes bzw. Krankenhauses im Rahmen des Umgangs mit dem Patienten.35 Diese Ausnahme vom grundsätzlichen Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO rechtfertigt sich aus dem Umstand, dass im Gesundheitswesen die für die jeweilige 29 Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 48; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 705; Kampert, in: Sydow, DSGVO, Art. 9 DSGVO Rn. 1 a. E.; Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 58. 30 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 34; vgl. Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 111. 31 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 18; Greve, in: Auernhammer, DSGVO BDSG, Art. 9 DSGVO Rn. 13; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 705; Kampert, in: Sydow, DSGVO, Art. 9 DSGVO Rn. 63; Albrecht / Jotzo, Das neue Datenschutzrecht in der EU, Teil 3 Rn. 58. 32 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 35. 33 Dochow, MedR 2021, 13 (22) Fn. 177. 34 Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 23. 35 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 78.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
103
Maßnahme erforderlichen Daten verarbeitet und zwischen den Verantwortlichen ausgetauscht werden müssen, um die Behandlung fachgerecht durchführen zu können.36 Die Vorschrift des Art. 9 Abs. 2 lit. h DSGVO soll daher den Fortschritt und die medizinische Funktionalität durch Schaffung einer gesetzlichen Grundlage ermöglichen.37 Zudem müssen Krankheitsfälle schnell behandelt werden, um das Ziel einer optimalen Behandlung erreichen zu können.38 Es würde die Abläufe erschweren, wenn in diesen Fällen stets auf eine Einwilligung abgestellt werden müsste.39 Neben den Voraussetzungen des Art. 9 Abs. 2 lit. h DSGVO sind zusätzlich die personellen Voraussetzungen von Art. 9 Abs. 3 DSGVO zu beachten. a) Verarbeitungszwecke Die Norm betrifft zum einen die Verarbeitung besonderer Kategorien personenbezogener Daten zum Zweck der individuellen medizinischen Gesundheitsversorgung, konkret zu den Zwecken der Gesundheitsvorsorge und Arbeitsmedizin, der Beurteilung der Arbeitsfähigkeit des Beschäftigten, der medizinischen Diagnostik und der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich sowie zum anderen die Verarbeitung zum Zweck der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich.40 aa) Medizinische Versorgung Inhaltlich ist zunächst die Verarbeitung für Zwecke der Krankheitsprävention, wie etwa im Bereich der Durchführung von Früherkennungsuntersuchungen, Impfungen und sonstigen Präventionsmaßnahmen erfasst.41 Daneben wird die Verarbeitung von Daten im Rahmen der ärztlichen Behandlung erfasst, einschließlich der Datenverarbeitung im Rahmen der Anamnese, der Befunderhebung, der
36
Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 41; Kramer / Oberbeck, in: Auernhammer, DSGVO BDSG, § 22 BDSG Rn. 20; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 77. 37 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 94; Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 27; Kampert, in: Sydow, DSGVO, Art. 9 DSGVO Rn. 43. 38 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 41; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 77. 39 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 41. 40 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 78; Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 28. 41 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 98; Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 198; Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 40.
104
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
Diagnostik, der Therapie sowie der Nachsorge.42 Der Begriff der Behandlung ist weit auszulegen und schließt alle Maßnahmen ein, welche dem Genesungsprozess der betroffenen Person dienen.43 Erfasst sind damit sämtliche Datenverarbeitungsvorgänge im Zusammenhang mit gesundheitsbezogenen Handlungen, unabhängig davon, ob diese präventiver, diagnostischer, kurativer oder nachsorgender Art sind.44 Zudem umfasst Art. 9 Abs. 2 lit. h DSGVO die Datenverarbeitung zwecks Beurteilung der Arbeitsfähigkeit des Beschäftigten.45 Dieser Bereich wird im Wesentlichen durch die Arbeit des Betriebsarztes geprägt.46 Neben einem Bezug auf die Behandlung selbst kann sich die Verarbeitung auch auf die damit zusammenhängende verwaltungstechnische Tätigkeit beziehen.47 Dies erfasst auch die Datenverarbeitung zur Erstellung der Abrechnung der ärztlichen Leistung durch den Praxisinhaber.48 bb) Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich Zudem wird die Verarbeitung für Zwecke der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich von Art. 9 Abs. 2 lit. h DSGVO erfasst. Zur Verwaltung im Gesundheitsbereich gehört „der gesamte organisatorische Rahmen zur Erbringung von Gesundheitsdienstleistungen“49. Davon ist nach EG 53 S. 1 DSGVO insbesondere die Datenverarbeitung durch die Verwaltung
42
Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 40; Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 81; Jaspers / Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 191; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 98; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 42. 43 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 101; Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 201; Heck mann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 23. 44 BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A7); Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 35; Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 17; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 79. 45 Ausführlich zur Arbeitsmedizin Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 111 ff. 46 S. dazu Schuler / Weichert, Die Datenverarbeitung des Betriebsarztes, Stand 22. September 2020. 47 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 98; Jaspers / Schwart mann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 191; Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 35. 48 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 41; zur Datenverarbeitung im Rahmen der Abrechnung über private Abrechnungsstellen s. unter Kap. 2 B. III. 5. a), (S. 179 ff.); zur Datenverarbeitung zu Abrechnungszwecken im Rahmen der vertragsärzt lichen Versorgung s. unter Kap. 3 B. II. 1., (S. 216 ff.). 49 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 105.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
105
und die nationalen Gesundheitsbehörden zu Zwecken der Qualitätskontrolle, der Verwaltungsinformationen und der Überwachung des Gesundheits- und Sozialsystems sowie zwecks Gewährleistung der Kontinuität der Gesundheits- und Sozialfürsorge umfasst. Dies betrifft auch die Gewährleistung der Verwaltung von Leistungen der Gesundheitsversorgung, insbesondere wenn dadurch die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen sichergestellt werden sollen.50 Konkret wird also die Verarbeitung von Gesundheitsdaten durch die Kostenträger und nationalen Gesundheitsbehörden erfasst.51 Im Bereich der privaten und gesetzlichen Krankenversicherung sind insbesondere die Maßnahmen der Organisation, Planung und Abrechnung von gesundheitlichen Dienstleistungen umfasst.52 An dieser Stelle sei bereits darauf hingewiesen, dass gerade die Verarbeitung von Sozialdaten im Rahmen der gesetzlichen Krankenversicherung in Deutschland spezialgesetzlich im Sozialgesetzbuch geregelt ist.53 b) Wahrung der in Art. 9 Abs. 3 DSGVO genannten Bedingungen und Garantien Daneben muss die Verarbeitung nicht nur für die in Art. 9 Abs. 2 lit. h DSGVO aufgeführten Zwecke erfolgen, vielmehr enthält Art. 9 Abs. 3 DSGVO darüber hinaus zusätzliche Vorgaben hinsichtlich des Personenkreises, der die jeweiligen Gesundheitsdaten auf Grundlage des Art. 9 Abs. 2 lit. h DSGVO verarbeiten darf. aa) Voraussetzungen des Art. 9 Abs. 3 DSGVO Nach Art. 9 Abs. 3 DSGVO dürfen besondere Kategorien personenbezogener Daten zu den in Art. 9 Abs. 2 lit. h DSGVO genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal dem Berufsgeheimnis unterliegt oder wenn die Verarbeitung durch eine andere Person erfolgt, die einer Geheimhaltungspflicht unterliegt.54 Das Berufsgeheimnis bzw. die Geheimhaltungspflicht kann sich gemäß Art. 9 Abs. 3 DSGVO aus Unionsrecht, einzelstaatlichem Recht oder aus
50
EG 52 S. 2 DSGVO. Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 59; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 79; Dochow, MedR 2020, 348 (356). 52 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 107; Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 202. 53 Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Fn. 277. 54 Dochow, MedR 2019, 363 (363); ders., MedR 2020, 348 (350); Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 80. 51
106
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
Vorschriften „nationaler zuständiger Stellen“ ergeben. Fraglich ist daher, welcher Personenkreis konkret von dieser Vorschrift erfasst wird. (1) Verarbeitung durch Fachpersonal mit Berufsgeheimnis Zunächst gestattet Art. 9 Abs. 3 Alt. 1 DSGVO die Verarbeitung besonderer Kategorien personenbezogener Daten zu den in Art. 9 Abs. 2 lit. h DSGVO genannten Zwecken, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal dem Berufsgeheimnis unterliegt. Dem Berufsgeheimnis unterliegen vor allem die in § 203 Abs. 1 StGB aufgeführten Personengruppen, wobei für das Gesundheitswesen insbesondere Ärzte, Zahnärzte sowie Angehörige der nichtärztlichen Heilberufe mit staatlich geregelter Ausbildung gemäß § 203 Abs. 1 Nr. 1 StGB relevant sind. Zu den Angehörigen der nichtärztlichen Heilberufe gehören etwa Hebammen, Physiotherapeuten oder Logopäden.55 Zudem werden gemäß § 203 Abs. 1 Nr. 7 StGB auch Angehörigen eines Unternehmens der privaten Krankenversicherung oder einer privatärztlichen Verrechnungsstelle erfasst. Daneben stellt auch das Sozialgeheimnis aus § 35 Abs. 1 SGB I ein Berufsgeheimnis dar und gilt für alle Sozialversicherungssträger im Rahmen der Verarbeitung von Sozialdaten nach § 67 Abs. 2 S. 1 SGB X.56 Zu den Sozialversicherungsträgern zählen gemäß § 12 i. V. m. § 21 Abs. 2 SGB I insbesondere auch die gesetzlichen Krankenversicherungen. Das Sozialgeheimnis erstreckt sich dabei auch auf Hilfspersonal und Auftragsverarbeiter.57 Neben dem Recht der Mitgliedstaaten kann sich das Berufsgeheimnis auch aus „Vorschriften national zuständiger Stellen“ ergeben. Solche Stellen sind etwa die Ärztekammern, die in ihrem Berufsrecht ebenfalls Regelungen zur Schweigepflicht vorsehen.58 So ist die ärztliche Schweigepflicht in § 9 Abs. 1 MBO-Ä bzw. in den entsprechenden Bestimmungen der Berufsordnungen der Landesärztekammern geregelt.
55
Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 34; Kargl, in: NK-StGB, § 203 StGB Rn. 30. 56 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 142; zur Anwendbarkeit des § 35 SGB I neben den Vorschriften der Verordnung weiterführend Jandt, in: Roßnagel, Das neue Datenschutzrecht, § 8 Rn. 333. 57 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 143; Jaspers / Schwart mann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 224. 58 Dochow, GesR 2016, 401 (405); Greve, in: Auernhammer, DSGVO BDSG, Art. 9 DSGVO Rn. 37.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
107
(2) Verarbeitung durch eine andere Person mit Geheimhaltungspflicht Daneben erfasst Art. 9 Abs. 3 Alt. 2 DSGVO die Datenverarbeitung durch eine andere Person, die einer Geheimhaltungspflicht unterliegt.59 An dieser Stelle ergeben sich insofern Wechselwirkungen zwischen dem Strafrecht und dem Datenschutzrecht, als mit der Novelle des § 203 StGB durch das „Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“60 weiteren Personen der Status des Geheimnisträgers verliehen wurde. Nach § 203 Abs. 4 S. 1 StGB machen sich nun nicht mehr nur berufsmäßig tätige Gehilfen sowie berufsvorbereitend tätige Personen strafbar, wie dies noch nach § 203 Abs. 3 S. 2 StGB a. F. der Fall war, sondern vielmehr alle Personen, die an der Berufstätigkeit mitwirken, wenn sie unbefugt ein fremdes Geheimnis offenbaren, das ihnen als „mitwirkende Personen“ bekannt geworden ist.61 Dadurch wird die Geheimnisverpflichtung dieses Personenkreises vom Gesetz angeordnet, sodass die mitwirkenden Personen durch die Änderung des Strafgesetzbuches zugleich als „andere Personen“ i. S. d. Art. 9 Abs. 3 Alt. 2 DSGVO einzuordnen sind, die einer Geheimhaltungspflicht unterliegen. Die Gesetzesbegründung spricht diesbezüglich von einer „Verlängerung“ des strafrechtlichen Geheimnisschutzes, durch die die mitwirkenden Personen in den strafrechtlichen Schutz des § 203 StGB einbezogen werden.62 Der Begriff der mitwirkenden Personen ist dabei als Oberbegriff zu verstehen, der in § 203 Abs. 3 StGB weiter ausdifferenziert wird.63 Das Gesetz unterscheidet zwischen Personen, die berufsmäßig als Gehilfen oder zur Vorbereitung auf den Beruf an der Tätigkeit des Berufsgeheimnisträgers mitwirken auf der einen Seite sowie den sonstigen mitwirkenden Personen auf der anderen Seite. Berufsmäßig tätige Gehilfen sind solche Personen, die „innerhalb des beruflichen Wirkungsbereichs des Berufsgeheimnisträgers eine auf dessen berufliche Tätigkeit bezogene unterstützende Tätigkeit“64 ausüben. Im medizinischen Kontext ist dabei etwa an das mit der Aufnahme befasste Personal im Krankenhaus sowie an das für das Behandlungsgeschehen, die Abrechnung und Kontrolle zuständige 59
Jaspers / Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 225. 60 Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen v. 30. Oktober 2017, BGBl. 2017 Teil I Nr. 71 v. 8. November 2017, S. 3618. 61 Hartung / Steinweg, PinG 2018, 21 (21); Geminn, RDV 2019, 116 (118); Dochow, GesR 2018, 137 (142). 62 BT-Drs. 18/11936, S. 20. 63 BT-Drs. 18/11936, S. 21; die Geheimhaltungspflicht selbst ergibt sich nicht aus § 203 Abs. 3 StGB, dieser legt vielmehr fest, dass bereits kein tatbestandliches Offenbaren (S. 1) bzw. ein Rechtfertigungsgrund zur Geheimnisoffenbarung vorliegt (S. 2), Dochow, MedR 2020, 348 (355) Fn. 103; a. A. Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 207. 64 BT-Drs. 18/11936, S. 21.
108
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
Personal zu denken.65 In der Arztpraxis sind dies insbesondere medizinische Fachangestellte, medizinisch-technische Assistenten, Sprechstundenhilfen sowie Mitarbeiter des administrativen Bereichs.66 In Abgrenzung dazu sind von dem Begriff der „sonstigen mitwirkenden Personen“ ausweislich der Gesetzesbegründung solche Personen umfasst, die zwar an der beruflichen Tätigkeit der schweigepflichtigen Person unmittelbar mitwirken, jedoch ohne in die Sphäre des Berufsgeheimnisträgers eingegliedert zu sein.67 Der wesentliche Unterschied zum Gehilfen ist daher die fehlende organisatorische Eingliederung in die Sphäre des Berufsgeheimnisträgers.68 Die Gesetzesbegründung führt beispielhaft Tätigkeiten auf, für die eine Mitwirkung an der beruflichen Tätigkeit des Berufsgeheimnisträgers in Betracht kommt.69 Im medizinischen Bereich kann dies zum Beispiel das Rechnungswesen, die Wartung medizinischer Geräte oder die Aktenvernichtung und -archivierung betreffen.70 Auch dieser Personenkreis erfüllt daher die Anforderungen des Art. 9 Abs. 3 DSGVO.71 Nach der Gesetzesänderung im StGB sind somit auch externe Dienstleister in den Personenkreis des in Art. 9 Abs. 3 DSGVO benannten Fachpersonals einbezogen.72 Grundsätzlich sieht Art. 9 Abs. 3 DSGVO keine weitere Einschränkung vor, sodass jede Person in Betracht käme, für die das Recht eines Mitgliedstaats eine entsprechende Geheimhaltungspflicht statuiert.73 Dies wird jedoch überwiegend enger verstanden, sodass nicht jede Form der Geheimhaltungspflicht genügt.74 Die Geheimhaltungspflicht der anderen Person müsse demnach zumindest ein vergleichbares Schutzniveau zu dem der Berufsgeheimnisträger gewähren, wie dies etwa für die mitwirkenden Personen i. S. d. § 203 Abs. 4 S. 1 StGB der Fall ist.75 Die Regelung des Art. 9 Abs. 3 DSGVO soll sicherstellen, dass die Daten auch im Falle des arbeitsteiligen Vorgehens nur von Personen verarbeitet werden, die einer 65
Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 124; Eisele, in: Schönke / Schröder, StGB, § 203 StGB Rn. 25. 66 Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 126; Heger, in: Lackner / Kühl, StGB, § 203 StGB Rn. 11; Jaspers / Schwartmann / Mühlenbeck, in: Jaspers / Schwartmann / Thüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 224. 67 BT-Drs. 18/11936, S. 22. 68 Geminn, RDV 2019, 116 (120); Ruppert, K&R 2017, 609 (612). 69 BT-Drs. 18/11936, S. 22. 70 BT-Drs. 18/11936, S. 22. 71 Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 28; Dochow, MedR 2020, 348 (355); zu den diesbezüglichen Auswirkungen im Datenschutzrecht sogleich unter Kap. 2 A. I. 2. b) bb), (S. 109 ff.). 72 Seiler, PinG 2018, 43 (47). 73 Dochow, GesR 2016, 401 (405). 74 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 144; Jaspers / Schwart mann / Mühlenbeck, in: Jaspers / Schwartmann / T hüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 225. 75 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 144; Jaspers / Schwart mann / Mühlenbeck, in: Jaspers / Schwartmann / T hüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 225.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
109
Geheimhaltungspflicht unterliegen und dient so vor allem einem umfassenden Schutz der Gesundheitsdaten.76 bb) Auswirkungen der Erweiterung auf sonstige mitwirkende Personen im Datenschutzrecht Indem Art. 9 Abs. 2 lit. h DSGVO die Zulässigkeit der Datenverarbeitung zusätzlich von dem Vorliegen der Geheimnisverpflichtung abhängig macht, erfolgt eine Verknüpfung der datenschutzrechtlichen Schutzvorschriften mit den Regelungen über Berufsgeheimnisse und Geheimhaltungspflichten.77 Dadurch wird die parallele Geltung von Datenschutzrecht und ärztlicher Schweigepflicht aber nicht angetastet, vielmehr setzt die Norm das Bestehen von Regelungen über Berufsgeheimnisse und Geheimhaltungspflichten außerhalb der DSGVO voraus und trägt somit der eigenständigen Geltung des Geheimnisschutzes Rechnung.78 Wie eingangs erläutert, stehen diese Regelungskomplexe parallel nebeneinander.79 Durch die Verzahnung der datenschutzrechtlichen Schutzvorschriften mit den Berufsgeheimnissen werden daher weder die Voraussetzungen der ärztlichen Schweigepflicht berührt,80 noch stellt die ärztliche Schweigepflicht nach § 203 StGB die „Richtschnur“81 für die Verarbeitung von Gesundheitsdaten dar. Letzteres galt allein nach der Regelung des § 28 Abs. 7 S. 2 BDSG a. F., nach der sich die Zulässigkeit der Datenverarbeitung zu Zwecken der medizinischen Versorgung noch nach den für das ärztliche Personal geltenden Geheimhaltungspflichten richtete.82 Vor diesem Hintergrund stellt sich die Frage, welche Auswirkungen die Erweiterung des Kreises der Geheimnisverpflichteten in § 203 StGB auf das Datenschutzrecht hat. So wird teilweise davon ausgegangen, dass die Neuregelung in § 203 StGB zu einer nicht unproblematischen Ausweitung des Kreises verarbeitungsbefugter Personen führen könne, durch die die „datenschutzrechtliche Flankierung der ärztlichen Schweigepflicht“83 entwertet werden könnte. Ob die in 76 Jaspers / Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 225; Korge, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 9 DSGVO Rn. 42. 77 Dochow, GesR 2016, 401 (408); ders., MedR 2019, 363 (363); Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 138 spricht von einer Verzahnung der datenschutzrechtlichen Schutzvorschriften mit den Berufsgeheimnissen. 78 Dochow, GesR 2016, 401 (408); ders., MedR 2019, 363 (363); ders., MedR 2020, 348 (350); Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 146. 79 S. dazu unter Kap. 1 C. II. 4., (S. 68 ff.). 80 Dochow, GesR 2016, 401 (408); ders., MedR 2019, 363 (363). 81 So Jülicher, Medizininformationsrecht, S. 89. 82 Dochow, MedR 2019, 279 (279) Fn. 7; zur alten Rechtslage diesbezüglich Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 137 ff.; ders., in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 216 ff. 83 Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Rn. 90.
110
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
§ 203 Abs. 3 S. 2 StGB neu aufgeführten „sonstigen mitwirkenden Personen“ allerdings tatsächlich verarbeitungsbefugt sind, richtet sich datenschutzrechlich nach den in Art. 9 Abs. 2 DSGVO aufgestellten Voraussetzungen. Da ein strafrechtlich unbedenkliches Verhalten nicht automatisch eine datenschutzrechtlich zulässige Verarbeitung personenbezogener Daten nach den Vorgaben der DSGVO darstellt,84 hat die Erweiterung im StGB auf „sonstige mitwirkende Personen“ datenschutzrechtlich nur Auswirkungen, wenn die dem Berufsgeheimnis unterliegenden Personen auch die nach dem Datenschutzrecht ansonsten zu beachtenden Anforderungen erfüllen. Denn die Regelung in Art. 9 Abs. 3 DSGVO erstreckt sich nur auf die in Art. 9 Abs. 1 DSGVO aufgeführten sensitiven Daten, soweit diese Daten für Zwecke nach Art. 9 Abs. 2 lit. h DSGVO verarbeitet werden.85 In diesem Zusammenhang wird angeführt, dass die DSGVO nicht kläre, ob unter die Verarbeitung für Zwecke der medizinischen Diagnostik, Versorgung und Behandlung auch die Einschaltung externer EDV-Dienstleister falle.86 Dies ist aber mit dem Argument, dass die Bestimmungen des Art. 9 Abs. 2 lit. h DSGVO entsprechend ihrem Ausnahmecharakter sowie mit Blick auf den Schutzzweck der Regelung des Art. 9 DSGVO tatbestandlich restriktiv auszulegen sind, abzulehnen.87 Gleiches gilt für den Verarbeitungszweck der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich i. S. d. Art. 9 Abs. 2 lit. h DSGVO. Zwar könnte angenommen werden, dass unter den „gesamte[n] organisatorische[n] Rahmen zur Erbringung von Gesundheitsdienstleistungen“88 oder die „infrastrukturelle Dimension des Gesundheitswesens“89 auch die Datenverarbeitung durch „sonstige mitwirkende Personen“, die etwa im Rahmen der IT-Wartung von Praxisverwaltungssystemen oder medizinischen Geräten tätig werden,90 zu fassen ist. Die Verwaltung von Systemen im Gesundheitsbereich zielt jedoch vor allem auf die Träger der Kosten für Gesundheits- bzw. Sozialdienstleistungen, also die Krankenkassen, ab.91 Die Vorschrift betrifft die Verarbeitung von Gesundheitsdaten durch die Kostenträger, die Verwaltung sowie die nationalen Gesundheitsbehörden.92 Durch sonstige mitwirkende Personen, die etwa die Verwaltung von Praxisinformationssystemen durchführen, erfolgt somit keine Verarbeitung zu Zwecken der 84
Fechtner / Haßdenteufel, CR 2017, 355 (362 f.); Cornelius, NJW 2017, 3751 (3753); E hmann, ZD 2017, 201 (201); Geminn, RDV 2019, 116 (119). 85 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 138. 86 Ehmann, ZD 2017, 201 (202). 87 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 46; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 48; Korge, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 9 DSGVO Rn. 19; Dochow, GesR 2018, 137 (151). 88 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 105. 89 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 79. 90 BT-Drs. 18/11936, S. 22. 91 Kampert, in: Sydow, DSGVO, Art. 9 DSGVO Rn. 45; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 79; Dochow, MedR 2020, 348 (356). 92 Dochow, GesR 2018, 137 (151); ders., MedR 2020, 348 (356); ders., in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 43; vgl. Kampert, in: Sydow, BDSG, § 22 BDSG Rn. 27.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
111
Verwaltung von Systemen und Diensten im Gesundheitsbereich.93 Festzuhalten bleibt daher, dass eine Datenverarbeitung durch externe Dienstleister als „sonstige mitwirkende Personen“ nicht nach Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO zulässig ist, da diese die Daten nicht zu den in der Vorschrift benannten Zwecken verarbeiten.94 Das in Art. 9 Abs. 3 DSGVO genannte Fachpersonal wird durch die Gesetzesänderung in § 203 StGB zwar ausgeweitet, eine Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten durch die von der Norm erfassten externen Dienstleister wird allein dadurch allerdings nicht geschaffen.95 Jedoch kommt etwa zwischen Praxisinhaber und IT-Dienstleister eine Auftragsverarbeitung in Betracht.96 cc) Art. 9 Abs. 3 DSGVO als notwendige Voraussetzung Vor dem Hintergrund des diesbezüglich unklaren Wortlauts wird in der Literatur die Frage aufgeworfen, ob Art. 9 Abs. 3 DSGVO als notwendige Tatbestandsvoraussetzung zu verstehen ist oder vielmehr nur eine zusätzliche Möglichkeit einräumt, national eine Verarbeitungsbefugnis für Berufsgeheimnisträger zu schaffen. Da der Wortlaut der Vorschrift zumindest keine Einschränkung dahingehend trifft, dass die Verarbeitung „nur“ zulässig ist, wenn sie durch Fachpersonal erfolgt, könnte die Regelung so zu verstehen sein, dass Art. 9 Abs. 3 DSGVO lediglich eine zusätzliche Möglichkeit einräumt, eine Verarbeitungsbefugnis für Berufsgeheimnisträger zu schaffen, dies aber keine notwendige Voraussetzung für die Verarbeitung besonderer Datenkategorien nach Art. 9 Abs. 2 lit. h DSGVO darstellt.97 Die besseren Gründe sprechen aber dafür, Art. 9 Abs. 3 und Art. 9 Abs. 2 lit. h DSGVO als einheitlichen Regelungskomplex anzusehen, sodass die jeweiligen Voraussetzungen kumulativ vorliegen müssen.98 Dafür spricht insbesondere, dass Art. 9 Abs. 2 lit. h DSGVO ausdrücklich auf Art. 9 Abs. 3 DSGVO Bezug nimmt und die dort aufgestellten Voraussetzungen selbst als „Bedingungen“ bezeichnet. Auch die Formulierung, dass die Verarbeitung nur „vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien“ durchgeführt werden darf und mithin ein ausdrücklicher Vorbehalt geregelt wurde, spricht für die Einordnung als notwendige personale Tatbestandsvoraussetzung.99 Daneben lässt sich auch der Sinn und 93 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 43; ders., GesR 2018, 137 (151). 94 Dochow, Telematik im Gesundheitswesen, S. 1360; vgl. DSK, Entschließung v. 15. März 2017. 95 Dochow, GesR 2018, 137 (149). 96 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 44; s. dazu unter Kap. 2 B. III., (S. 167 ff.). 97 So Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 138; Kingreen / Kühling, Rechtsgutachten Rechtsfragen der Datennutzung, S. 26. 98 Jaspers / Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 221; Greve, in: Auernhammer, DSGVO BDSG, Art. 9 DSGVO Rn. 37; Kampert, in: Sydow, DSGVO, Art. 9 DSGVO Rn. 55. 99 Dochow, MedR 2019, 363 (363) Fn. 162.
112
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
Zweck der Vorschrift für die Annahme einer zwingenden Verarbeitungsvoraussetzung anführen. Denn der Grund für die Beschränkung auf das Fachpersonal liegt darin, dass die Verarbeitung von Gesundheitsdaten für den Tätigkeitsbereich dieses Fachpersonals üblich ist, sodass Gefahren des Missbrauchs von Patientendaten aufgrund der Erfahrung im Umgang mit solchen Daten durch die Begrenzung auf diesen Personenkreis wirksam begegnet werden können.100 Diese Voraussetzung ist somit als eine „Schutzmaßnahme“101 für die Verarbeitung von sensiblen Gesundheitsdaten zu verstehen. Die Regelung des Art. 9 Abs. 3 DSGVO konkretisiert die Anforderungen an die Verarbeitung besonderer Kategorien personenbezogener Daten zu Zwecken des Art. 9 Abs. 2 lit. h DSGVO folglich in personeller Hinsicht. Die Verarbeitung ist nur zulässig, sofern sie von Fachpersonal oder unter dessen Verantwortung erfolgt und dieses Fachpersonal dem Berufsgeheimnis unterliegt; anderen Personen ist die Verarbeitung nur erlaubt, wenn sie ebenfalls einer vergleichbaren Geheimhaltungspflicht unterliegen.102 c) Verarbeitung aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs oder auf der Grundlage des Rechts eines Mitgliedstaats Art. 9 Abs. 2 lit. h DSGVO gestattet die Verarbeitung von Gesundheitsdaten für die in der Norm genannten Zwecke aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs oder auf der Grundlage des Unionsrechts bzw. des Rechts eines Mitgliedstaats. aa) Verarbeitung aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs Die Datenverarbeitung kann durch Art. 9 Abs. 2 lit. h DSGVO legitimiert werden, wenn sie „aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs“ vorgenommen wird. Dies betrifft in erster Linie den Behandlungsvertrag zwischen Patient und Arzt gemäß §§ 630a ff. BGB oder einem anderen Angehörigen eines Gesundheitsberufs, wie Psychotherapeuten, Apothekern oder Hebammen.103 100
Werry / Knoblich, MPR 2017, 1 (10); Dochow, GesR 2016, 401 (405); BÄK, Stellungnahme zum Gesetzesentwurf der Bundesregierung zum DSAnpUG-EU v. 21. März 2017, S. 12, abrufbar unter: https://www.bundesaerztekammer.de/recht/aktuelle-rechtliche-themen/ datenschutzrecht/. 101 Jaspers / Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 223. 102 Jandt, in: Roßnagel, DSGVO, § 4 Rn. 359; so bereits Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 51. 103 Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 60; Korge, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 9 DSGVO Rn. 36.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
113
Dadurch wird die allgemeine Grundannahme, dass eine Verarbeitung von Daten zulässig sein muss, wenn die datenverarbeitende Stelle ohne die Kenntnis der Daten ein vertragliches Schuldverhältnis überhaupt nicht durchführen könnte, speziell für den Gesundheitsdatenschutz normiert.104 Es wird dem Umstand Rechnung getragen, dass die Erbringung von Gesundheitsleistungen in der Regel auf einem Vertrag zwischen der betroffenen Person und dem medizinischen Dienstleister basiert, zu dessen Erfüllung die Notwendigkeit zur Datenverarbeitung besteht. Die ratio der Norm, dass die Datenverarbeitung zulässig sein muss, wenn sie zur Vertragserfüllung erforderlich ist, kommt ebenso in Art. 6 Abs. 1 lit. b DSGVO zum Ausdruck, nach dem die Verarbeitung rechtmäßig ist, wenn sie für die Erfüllung eines Vertrags erforderlich ist. Auch das bisherige Datenschutzrecht sah in Art. 7 lit. b DSRL bereits einen Erlaubnistatbestand für die Datenverarbeitung zur Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses vor.105 In Bezug auf diese Vorschriften wird zutreffend darauf hingewiesen, dass der Rechtsverkehr stark eingeschränkt wäre, wenn die Verarbeitung personenbezogener Daten, die zur Durchführung von Verträgen erforderlich ist, nicht zulässig wäre.106 Da im Normtext nicht explizit zum Ausdruck kommt, dass der Vertrag zwischen der betroffenen Person und einem Angehörigen eines Gesundheitsberufs geschlossen werden muss, könnte auch ein Vertrag zwischen einem Angehörigen eines Gesundheitsberufs und einem Dritten erfasst sein. Richtigerweise ist vor dem Hintergrund des Rechtsgutschutzes jedoch davon auszugehen, dass neben dem Angehörigen des Gesundheitsberufs auch die betroffene Person selbst Vertragspartei des in Art. 9 Abs. 2 lit. h DSGVO genannten Vertrags sein muss.107 Daher genügt ein Vertrag zwischen einem Dritten, etwa einem IT-Dienstleister, und einem Angehörigen eines Gesundheitsberufs nicht den in Art. 9 Abs. 2 lit. h DSGVO aufgestellten Anforderungen. Teilweise wird jedoch davon ausgegangen, dass über die vertraglichen Regelungen das Recht auf informationelle Selbstbestimmung der Privatautonomie preisgegeben werde, da durch die Datenverarbeitung aufgrund eines Vertrags die die informationelle Selbstbestimmung schützenden strengen Anforderungen der Einwilligung unterlaufen würden.108 So würden die Freiwilligkeits- und Wirksamkeitsprobleme der Einwilligung auf die Abgabe einer Willenserklärung zum Abschluss eines Behandlungsvertrags verlagert, für welchen die an die Einwilligung
104
Buchner / Schwichtenberg, GuP 2016, 218 (221). Buchner / Schwichtenberg, GuP 2016, 218 (221). 106 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 29. 107 Dochow, MedR 2020, 348 (355); Frenzel, in: Paal / Pauly DSGVO BDSG, Art. 9 DSGVO Rn. 42. 108 Dochow, GesR 2016, 401 (405); ders., Telematik im Gesundheitswesen, S. 1327 ff.; ausführlich zu den Wirksamkeitsvoraussetzungen der Einwilligung im Einzelnen unter Kap. 2 A. III. 1., (S. 131 ff.). 105
114
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
geknüpften Schutzmechanismen, wie etwa das Recht zum jederzeitigen Widerruf oder die Anforderungen bei Minderjährigen, nicht gelten.109 Jedoch ist es gerade als ein Aspekt der informationellen Selbstbestimmung anzusehen, wenn sich die betroffene Person autonom entscheidet, mit dem Verantwortlichen einen Vertrag abzuschließen.110 Ein Vertrag setzt grundsätzlich eine Einigung und einen dieser zu Grunde liegenden Interessenausgleich voraus, wodurch der informationellen Selbstbestimmung der betroffenen Person Rechnung getragen wird.111 Ebenso wie bei der Einwilligung liegt es bei Verträgen in den Händen der Vertragsparteien, die Reichweite der Legitimationswirkung zu bestimmen.112 Verträge sind somit stets das Resultat einer privatautonomen Entscheidung der betroffenen Person, dem jeweiligen Vertragspartner die Verarbeitung vertragsrelevanter Daten zu gestatten.113 Mit Blick auf die Datenschutzinteressen der betroffenen Person bestehen daher keine Bedenken. Kritisiert wird die Legitimation durch einen Vertrag insbesondere, da sich das Wesen von Vertragsbeziehungen zu Lasten des Schutzes des Vertragspartners verändert habe, so beispielsweise durch eine Vielzahl vertraglicher Dauerschuldverhältnisse.114 In dieser Konstellation dürfe das hohe Schutzniveau, wie es die DSGVO für den Fall einer Einwilligung vorsehe, nicht dadurch umgangen werden, dass die Vertragserfüllung immer weiter an die Stelle des Erlaubnistatbestandes der Einwilligung trete.115 Diese Bedenken mögen sicherlich in einigen Bereichen berechtigt sein, jedoch geht es bei den durch Art. 9 Abs. 2 lit. h DSGVO erfassten Konstellationen im Gesundheitswesen darum, dass der Leistungserbringer die Daten des Patienten zum Zwecke der Behandlung erfassen muss und daher üblicherweise nicht um typische Konstellationen von Dauerschuldverhältnissen oder sonstige komplexe Vertragsmodelle, sodass diesbezüglich keine Bedenken bestehen. Zwar sind die Voraussetzungen an die Willenserklärung zum Vertragsschluss nicht so streng wie die für die Einwilligung normierten Voraussetzungen, jedoch gelten für den Vertrag andere Mechanismen, die dem Schutz der schwächeren Partei dienen.116 So unterliegen vorformulierte Vertragsbedingungen beispielsweise der AGB-Kontrolle und können somit unwirksam sein, 109
Dochow, Telematik im Gesundheitswesen, S. 1328; Wendehorst / Graf v. Westphalen, NJW 2016, 3745 (3747); ähnlich Greve, in: Auernhammer, DSGVO BDSG, Art. 9 DSGVO Rn. 33; zu diesen Anforderungen im Einzelnen unter Kap. 2 A. III., (S. 129 ff.). 110 Buchner / Schwichtenberg, GuP 2016, 218 (221). 111 Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1588). 112 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 29. 113 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 29; Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 26; Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1588). 114 Wendehorst / Graf v. Westphalen, NJW 2016, 3745 (3746) zu Art. 6 Abs. 1 lit. b DSGVO, diese lassen die Besonderheiten bei den in Art. 9 DSGVO adressierten besonders sensiblen Daten außer Betracht. 115 Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 26. 116 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 103.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
115
wenn sie missbräuchliche Klauseln beinhalten. Die Klauselkontrolle ist in diesem Zusammenhang ein probates Mittel zur Korrektur von Ungleichheiten zwischen Vertragspartnern.117 Daher sind Bedenken, dass die Ausweitung des gesetzlichen Erlaubnistatbestandes dazu führen könne, dass mit Abschluss des Behandlungsvertrags Verarbeitungsvorgänge legitimiert würden, die der Patient bei Abschluss des Vertrags nicht überblicken könne, wie etwa die Weitergabe der Daten innerhalb eines großen Klinikverbundes,118 nicht nachvollziehbar. Denn dies dürfte nach AGB-Recht als überraschend i. S. d. § 305c BGB zu bewerten sein und würde somit einer AGB-Kontrolle nicht standhalten.119 Darüber hinaus gelten für Verträge weitere Regelungen zum Schutz der schwächeren Partei, wie etwa beim Behandlungsvertrag die §§ 630a ff. BGB, sodass über die vertraglichen Regelungen das Recht auf informationelle Selbstbestimmung gewahrt wird.120 Es wird mithin deutlich, dass die betroffene Person im Falle eines wirksamen Vertragsschlusses durch das Vertragsrecht hinreichend geschützt wird.121 Zudem gilt als weiteres Korrektiv die Einschränkung, dass die Datenverarbeitung zur Erfüllung des konkreten Vertrags erforderlich sein muss.122 Somit steht es nicht im Widerspruch zur informationellen Selbstbestimmung, wenn Art. 9 Abs. 2 lit. h DSGVO die Datenverarbeitung auf der Grundlage eines Vertrags mit einem Angehörigen eines Gesundheitsberufs gestattet.123 bb) Verarbeitung auf der Grundlage des Rechts eines Mitgliedstaats Gemäß Art. 9 Abs. 2 lit. h DSGVO ist die Verarbeitung auch „auf der Grundlage […] des Rechts eines Mitgliedstaats“ zulässig. Die auf der Grundlage dieser Öffnungsklausel neu erlassenen bzw. beibehaltenen nationalen Regelungen finden sich auf Bundesebene in § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. sowie auf Landesebene in den Landesdatenschutzgesetzen und den bereichsspezifischen Landeskrankenhausgesetzen bzw. dem Gesundheitsdatenschutzgesetz in Nordrhein-Westfalen. (1) Umsetzung auf Bundesebene § 22 Abs. 1 BDSG n. F. legt die Voraussetzungen fest, unter denen die Verarbeitung besonderer Kategorien personenbezogener Daten abweichend von Art. 9 Abs. 1 DSGVO zulässig ist. Die Formulierung des Wortlauts „abweichend von 117
Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung, S. 271. Dochow, Telematik im Gesundheitswesen, S. 1329 f. 119 Vgl. Schaar, ZD 2017, 213 (215). 120 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 103. 121 Vgl. Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 544. 122 Dies bezeichnet auch Dochow, Telematik im Gesundheitswesen, S. 1330 selbst als „bedeutsames Korrektiv“. 123 So auch Jülicher, Medizininformationsrecht, S. 89. 118
116
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
Artikel 9 Absatz 1 der Verordnung“ ist dabei unglücklich gewählt, da sie suggeriert, dass durch § 22 Abs. 1 BDSG n. F. von dem unmittelbar geltenden Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO abgewichen werden könnte, während nationales Recht unter der Rechtslage der DSGVO nur zur Ausfüllung der in Art. 9 Abs. 2 DSGVO enthaltenen Öffnungsklauseln beibehalten bzw. erlassen werden kann.124 Ausweislich der Gesetzesbegründung sind die Vorgaben des § 22 Abs. 1 BDSG n. F. jedoch zutreffenderweise als Ausgestaltung der Öffnungsklauseln des Art. 9 Abs. 2 DSGVO zu verstehen.125 Mit § 22 BDSG n. F. setzt der nationale Gesetzgeber somit den in der DSGVO angelegten „Spielraum für die Spezifizierung“126 durch die Mitgliedstaaten um.127 § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. dient dabei speziell der Ausfüllung der Öffnungsklausel in Art. 9 Abs. 2 lit. h sowie Abs. 3 DSGVO. Dabei übernimmt diese Vorschrift weitestgehend die Formulierung des Art. 9 Abs. 2 lit. h DSGVO und ergänzt diese durch die in Art. 9 Abs. 3 DSGVO festgelegten Anforderungen an das mit der Verarbeitung betraute Fachpersonal.128 Die Vorgaben dieser Norm sind im Gesundheitswesen insbesondere von Bedeutung für niedergelassene Ärzte, private Krankenversicherungen sowie Krankenhäuser in Trägerschaft des Bundes.129 Daneben kommt es auch für Krankenhäuser in öffentlicher Trägerschaft eines Landes zur Anwendung dieser Vorschrift, soweit das jeweilige Landeskrankenhausgesetz auf das allgemeine Landesdatenschutzgesetz verweist und dieses für öffentliche Stellen, die am Wettbewerb teilnehmen, wiederum einen Folgeverweis auf die Regelungen des BDSG n. F. für nichtöffentliche Stellen enthält. Auch für Krankenhäuser in privater Trägerschaft ist auf § 22 BDSG n. F. zurückzugreifen, soweit das jeweilige LKHG keine Spezialregelungen enthält.130 (a) Verarbeitungszwecke Die Norm wiederholt im Wesentlichen den Wortlaut der Vorschrift des Art. 9 Abs. 2 lit. h DSGVO,131 sodass für den Bedeutungsgehalt der jeweiligen Begriffe 124
Albers / Veit, in: BeckOK Datenschutzrecht, § 22 BDSG Rn. 9; Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 13; Frenzel, in: Paal / Pauly, DSGVO BDSG, § 22 BDSG Rn. 4. 125 Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 13; Albers / Veit, in: BeckOK Datenschutzrecht, § 22 BDSG Rn. 9. 126 EG 10 S. 5 DSGVO. 127 Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 1. 128 Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 19; Albers / Veit, in: BeckOK Datenschutzrecht, § 22 BDSG Rn. 16. 129 Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 177. 130 S. dazu ausführlich unter Kap. 1 C. II. 1. b), (S. 60 ff.). 131 Frenzel, in: Paal / Pauly, DSGVO BDSG, § 22 BDSG Rn. 7; Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 73.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
117
auf die dortigen Ausführungen verwiesen werden kann.132 So benennt die Norm ebenfalls die Verarbeitungszwecke der Gesundheitsvorsorge, der Beurteilung der Arbeitsfähigkeit des Beschäftigten, der medizinischen Diagnostik, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich sowie der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich. In diesem Zusammenhang sei darauf hingewiesen, dass für die Verarbeitung zum Zwecke der Verwaltung von Systemen und Diensten im Sozialbereich bereichsspezifische Sonderregelungen im Sozialgesetzbuch, beispielsweise zur Übermittlung von Abrechnungsdaten an die Kassenärztliche Vereinigung, existieren, die dem BDSG n. F. insoweit vorgehen.133 Im Unterschied zu Art. 9 Abs. 2 lit. h DSGVO wird die Arbeitsmedizin in der Norm nicht explizit benannt. Für das Fehlen des Begriffs der Arbeitsmedizin benennt die Gesetzesbegründung zwei Gründe: Einerseits sei die arbeitsmedizinische Vorsorge bereits vom Merkmal der Gesundheitsvorsorge erfasst, andererseits gebe es in Deutschland keine Verarbeitung besonderer Kategorien personenbezogener Daten zu Zwecken einzelner Facharztrichtungen, vielmehr erfolge die Verarbeitung entsprechend der übrigen in § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. aufgeführten Verarbeitungszwecke.134 Die Arbeitsmedizin ist somit nicht etwa vom Anwendungsbereich der Vorschrift ausgenommen, sondern nach dem Verständnis des deutschen Gesetzgebers bereits miterfasst. (b) Verarbeitung aufgrund eines Vertrags Daneben ist die Verarbeitung besonderer Kategorien personenbezogener Daten auch zulässig, wenn sie „aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs“135 erforderlich ist. Durch die Benennung der betroffenen Person als Vertragspartei soll gegenüber der offeneren Formulierung in Art. 9 Abs. 2 lit. h DSGVO klargestellt werden, dass der Behandlungsvertrag zwischen einem Angehörigen eines Gesundheitsberufs und dem Patienten gemäß §§ 630a ff. BGB gemeint ist.136 Eindeutig nicht erfasst werden somit Verträge von Heilberufsangehörigen mit Dritten, wie etwa externen IT-Dienstleistern oder Lieferanten.137 Für externe Dienstleister stellt ein Vertrag mit einem Heilberufsangehörigen somit keine Rechtsgrundlage für die eigenverantwortliche Verarbeitung von Gesundheitsdaten dar. Zu den Angehörigen eines Gesundheitsberufs zählen im 132
S. dazu unter Kap. 2 A. II. 2. a), (S. 103 ff.). S. dazu im Einzelnen unter Kap. 3 B., (S. 209 ff.). 134 BT-Drs. 18/11325, S. 95; Albers / Veit, in: BeckOK Datenschutzrecht, § 22 BDSG Rn. 16. 135 Hervorhebung durch Verf. 136 BT-Drs. 18/11325, S. 95; Weichert, in: Kühling / Buchner, DSGVO BDSG, § 22 BDSG Rn. 15; Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 26; Bieresborn, in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 39. 137 Weichert, in: Kühling / Buchner, DSGVO BDSG, § 22 BDSG Rn. 15. 133
118
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
Bereich der Humanmedizin Ärzte, Zahnärzte, Psychologische Psychotherapeuten sowie Kinder- und Jugendlichenpsychotherapeuten.138 Daneben werden vom Behandlungsvertrag auch Angehörige anderer Heilberufe erfasst, deren Ausbildung nach Art. 74 Abs. 1 Nr. 19 GG durch Bundesgesetz geregelt ist, wie dies etwa für Hebammen, Ergotherapeuten und Logopäden der Fall ist.139 Die Heilberufsangehörigen müssen die Datenverarbeitung jedoch nicht persönlich vornehmen, vielmehr genügt es, wenn dies unter ihrer Verantwortung geschieht.140 Zutreffend wird in diesem Zusammenhang angemerkt, dass die Zulässigkeit der Verarbeitung auf der Grundlage eines Vertrags mit einem Angehörigen eines Gesundheitsberufs unmittelbar in Art. 9 Abs. 2 lit. h DSGVO geregelt sei und den Mitgliedstaaten insofern keine eigene Regelungskompetenz verbleibe.141 Da der Regelungsgehalt in der Vorschrift des § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. jedoch derselbe ist, dürfte eine Wiedergabe des Normtextes der DSGVO in diesem Zusammenhang unbedenklich sein.142 Mit Blick auf den Wortlaut der Norm ist unklar, ob auch ein Behandlungsvertrag zwischen dem Krankenhausträger und der betroffenen Person von dieser Norm erfasst wird, da der Vertragspartner in diesem Fall nicht Angehöriger eines Gesundheitsberufs, sondern eine juristische Person ist.143 In der Praxis ist dies allerdings nicht entscheidend, da die Datenverarbeitung auf eine andere Variante des § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. bzw. ein spezielleres Datenschutzgesetz, wie z. B. ein Landeskrankenhausgesetz, gestützt werden kann.144 (c) Personale Tatbestandsvoraussetzung Auch die Vorgaben zu den personalen Tatbestandsvoraussetzungen aus Art. 9 Abs. 3 DSGVO werden von § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. nur wenig spezifiziert. So wird durch die Formulierung, dass die Daten „von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen“145 verarbeitet werden müssen, gegenüber dem Wortlaut des Art. 9
138
BT-Drs. 18/11325, S. 95. BT-Drs. 18/11325, S. 95; BR-Drs. 110/17, S. 94; Bieresborn, in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeitden der DSGVO, S. 39. 140 Jandt, in: Roßnagel, Das neue Datenschutzrecht, § 8 Rn. 289; Wedde, in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, § 22 BDSG Rn. 9. 141 Kampert, in: Sydow, BDSG, § 22 BDSG Rn. 31; Rose, in: Taeger / Gabel, DSGVO BDSG, § 22 BDSG Rn. 23. 142 Kampert, in: Sydow, BDSG, § 22 BDSG Rn. 31. 143 Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 197; zust. Heckmann / Scheurer, in: Gola / Heckmann, BDSG, §§ 22 BDSG Rn. 27. 144 Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 197. 145 Hervorhebung durch Verf. 139
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
119
Abs. 3 DSGVO verdeutlicht, dass die Schweigepflicht im Hinblick auf eine gesundheitsbezogene Tätigkeit bestehen muss.146 Personen, die einer solchen entsprechenden Geheimhaltungspflicht unterliegen, sind insbesondere die in § 203 StGB aufgezählten Berufsgruppen sowie Sozialgeheimnisträger i. S. d. § 35 SGB I.147 Durch die Formulierung, dass die Daten auch unter der Verantwortung des geheimhaltungspflichtigen Fachpersonals verarbeitet werden können, wird klargestellt, dass auch die Erfüllungsgehilfen der Gesundheits- und Heilberufe zur Verarbeitung befugt sein können.148 (d) Angemessene und spezifische Maßnahmen Werden besondere Kategorien personenbezogener Daten nach den Vorgaben des § 22 Abs. 1 BDSG n. F. verarbeitet, so sind zudem die weitergehenden Anforderungen des § 22 Abs. 2 BDSG n. F. zu beachten. Danach hat der Verantwortliche angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen, die in § 22 Abs. 2 S. 2 BDSG n. F. in einem nicht abschließenden Katalog weiter konkretisiert werden. Exemplarisch genannt werden etwa technisch organisatorische Maßnahmen, die sicherstellen sollen, dass Dritte keinen Zugriff auf Patientendaten erhalten, also etwa Telefongespräche nicht mithören oder auf Bildschirmen nicht mitlesen können.149 Zudem werden Maßnahmen wie die Pseudonymisierung personenbezogener Daten oder die Sensibilisierung der an den Verarbeitungsvorgängen Beteiligten angeführt. Die in § 22 Abs. 2 BDSG n. F. aufgeführten Maßnahmen können aber nicht in allen Fällen zur Anwendung kommen, so ist etwa eine pseudonyme Führung von Patientenakten nicht angezeigt.150 In die Abwägung hinsichtlich der Wahl der jeweiligen Maßnahme sind nach § 22 Abs. 2 S. 2 BDSG n. F. vom Verantwortlichen Umstände wie der Stand der Technik, die Implementierungskosten sowie die Risiken für die Rechte und Freiheiten natürlicher Personen einzubeziehen. Ursprünglich sollten Datenverarbeitungen nach § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. von der Verpflichtung, Maßnahmen nach § 22 Abs. 2 BDSG n. F. vorzusehen, ausgenommen werden.151 Dies hat letztlich jedoch keinen Eingang in die finale Gesetzesfassung gefunden, sodass auch bei der Datenverarbeitung zum Zweck der medizinischen Versorgung entsprechende Maßnahmen vorzusehen sind.152 Diese
146
Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Rn. 90. Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 204; Heckmann / Scheuerer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 29. 148 BT-Drs. 18/11325, S. 95; Weichert, in: Kühling / Buchner, DSGVO BDSG, § 22 BDSG Rn. 17; Heckmann / Scheuerer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 29. 149 BT-Drs. 19/3194, S. 7. 150 Weichert, in: Kühling / Buchner, DSGVO BDSG, § 22 BDSG Rn. 18. 151 BT-Drs. 18/11325, S. 95. 152 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 102. 147
120
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
erhöhten Anforderungen sind zwar nicht von der Öffnungsklausel des Art. 9 Abs. 3 DSGVO gedeckt, sie lassen sich aber auf Art. 9 Abs. 4 DSGVO stützen.153 Zu Recht steht § 22 Abs. 2 BDSG n. F. aufgrund seiner mangelnden Bestimmtheit sowie der fehlenden Konkretisierung der Vorgaben der DSGVO in der Kritik.154 So wird es zum einen dem Regelungsadressaten überlassen, wie er die Anforderungen im Einzelnen umsetzt, zum anderen bilden die einzelnen Maßnahmen überwiegend allgemeine Anforderungen ab, die sich ohnehin aus der DSGVO ergeben.155 Zwar überlässt die Unbestimmtheit der Norm in der Praxis einen bestimmten Handlungsspielraum, gleichzeitig trägt sie jedoch auch zur Rechtsunsicherheit bei.156 Jedenfalls lässt sich dem allgemein gehaltenen Wortlaut nicht entnehmen, dass ein Verstoß gegen die Vorgaben des § 22 Abs. 2 BDSG n. F. zwangsläufig zur Rechtswidrigkeit der jeweiligen Verarbeitung führt.157 Angesichts der Unbestimmtheit der Vorgaben des § 22 Abs. 2 S. 2 BDSG n. F. wäre eine rechtssichere Verarbeitung besonderer Kategorien personenbezogener Daten andernfalls praktisch nicht möglich.158 Vielmehr kommt diesen Vorgaben ein „Appellcharakter“159 zu, der darin besteht, die verarbeitenden Stellen an ihre Pflichten zur Vornahme von Sicherungsmaßnahmen aus der DSGVO zu erinnern.160 (2) Umsetzung auf Landesebene Weitere Zulässigkeitstatbestände zur Verarbeitung von Gesundheitsdaten finden sich in den landesrechtlichen Vorgaben. Diese sind im Gesundheitswesen insbesondere für die Datenverarbeitung durch Krankenhäuser von Bedeutung. Die Datenverarbeitung in den Krankenhäusern ist in den Landeskrankenhausgesetzen 153 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 102; BT-Drs. 18/11655, S. 12; ausführlich zu Art. 9 Abs. 4 DSGVO unter Kap. 2 A. I. 6., (S. 127 ff.). 154 Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 52; Weichert, in: Kühling / Buchner, DSGVO BDSG, § 22 BDSG Rn. 29; ders., DuD 2017, 538 (542); Frenzel, in: Paal / Pauly, DSGVO BDSG, § 22 BDSG Rn. 13 f.; Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 78; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Rn. 31; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 706; a. A. Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 96. 155 Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 49; Frenzel, in: Paal / Pauly, DSGVO BDSG, § 22 BDSG Rn. 14. 156 Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 52; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 706; Weichert, in: Kühling / Buchner, DSGVO BDSG, § 22 BDSG Rn. 29. 157 Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 49; Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 47; Arning, in: Moos / Schefzig / A rning, Die neue DatenschutzGrundverordnung, Kap. 17 Rn. 209; a. A. Kremer, CR 2017, 367 (373). 158 Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 47. 159 Weichert, in: Kühling / Buchner, DSGVO BDSG, § 22 BDSG Rn. 29. 160 Auch Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 78 bezeichnet die Aufzählung der Maßnahmen als „Hilfestellung für Verantwortliche“.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
121
geregelt, die seit dem Inkrafttreten des Landeskrankenhausgesetzes SchleswigHolstein in allen Bundesländern bestehen. Diese enthalten mit Ausnahme des Niedersächsischen Krankenhausgesetzes auch bereichsspezifische Vorschriften zum Gesundheitsdatenschutz, die den Regelungen in den Landesdatenschutzgesetzen insoweit als leges speciales vorgehen.161 Wie auch schon vor dem Geltungsbeginn der DSGVO enthalten die einzelnen Landeskrankenhausgesetze Erlaubnistat bestände für die Verarbeitung von sog. Patientendaten, soweit dies im Zusammenhang mit der Behandlung des Patienten erforderlich ist.162 Gleiches gilt für die Datenverarbeitung zu Zwecken der Abrechnung der erbrachten Leistungen.163 Aufgrund des Regelungsspielraums, den Art. 9 Abs. 2 lit. h DSGVO für die nationale Gesetzgebung im Bereich des Gesundheitswesens eröffnet, konnten die jeweiligen Rechtsgrundlagen für die Datenverarbeitung im Krankenhaus weitestgehend beibehalten werden, sodass überwiegend allein Anpassungen an die Begriffsbestimmungen der DSGVO erforderlich waren. 3. Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, Art. 9 Abs. 2 lit. i DSGVO In Abgrenzung zu Art. 9 Abs. 2 lit. h DSGVO, der einen Zulässigkeitstatbestand für die Verarbeitung besonderer Kategorien personenbezogener Daten im Bereich des individuellen Interesses an der gesundheitlichen Versorgung und der damit zusammenhängenden Verwaltung schafft, dient Art. 9 Abs. 2 lit. i DSGVO in erster Linie dem Zweck, Maßnahmen zum Gesundheitsschutz der gesamten Bevölkerung zu ermöglichen.164 Dieser schafft folglich einen Zulässigkeitstatbestand für die
161
Dies ergibt sich beispielsweise aus § 5 Abs. 6 S. 1 DSG NRW sowie § 2 Abs. 3 S. 1 ThürDSG; ausführlich zur Regelungsstruktur des nationalen Datenschutzrechts s. unter Kap. 1 C. II., (S. 56 ff.). 162 § 45 Abs. 1 Nr. 1 LKHG BW, Art. 27 Abs. 2 S. 1 BayKrG, § 38 Abs. 1 S. 1 Nr. 1 BremKrhG, § 28 Abs. 1 Nr. 1 BbgKHEG, § 8 Abs. 1 S. 1 Nr. 1 und § 10 Abs. 1 Nr. 1 HmbKHG, § 33 Abs. 1 LKHG M-V, § 10 Abs. 1 lit. a und § 11 Abs. 1 lit. a GDSG NW, § 36 Abs. 2 Nr. 1 LKG Rh.-Pf., § 13 Abs. 2 S. 1 SKHG, § 33 Abs. 2 S. 1 Nr. 1 SächsKHG, § 16 Abs. 3 Nr. 3 KHG LSA, § 36 Abs. 1 Nr. 2 LKHG SH; § 27 Abs. 3 Nr. 1 ThürKHG; § 12 Abs. 1 HKHG verweist lediglich auf die DSGVO sowie das Hessische Datenschutz- und Informationsfreiheitsgesetz und enthält in § 12 Abs. 2 HKHG allein Bestimmungen zur Übermittlung von Patientendaten an Personen oder Stellen außerhalb des Krankenhauses, Gleiches gilt für § 24 Abs. 2 und 4 LKG Berlin. 163 § 45 Abs. 1 Nr. 2 LKHG BW, § 38 Abs. 1 S. 1 Nr. 6 BremKrhG, § 28 Abs. 1 Nr. 2 BbgKHEG, § 8 Abs. 1 S. 1 Nr. 3 HmbKHG, § 33 Abs. 1 LKHG M-V, § 10 Abs. 1 lit. a und § 11 Abs. 1 lit. a GDSG NW, § 36 Abs. 3 Nr. 6 LKG Rh.-Pf., § 13 Abs. 2 S. 1 SKHG, § 16 Abs. 3 Nr. 1 KHG LSA, § 27 Abs. 6 Nr. 6 ThürKHG. 164 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 93; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 78; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Rn. 94; Jaspers / Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 188.
122
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
Datenverarbeitung aus Gründen eines genuin öffentlichen Interesses im Bereich der öffentlichen Gesundheit.165 Ebenso wie Art. 9 Abs. 2 lit. h DSGVO stellt auch Art. 9 Abs. 2 lit. i DSGVO keine eigene Ermächtigungsgrundlage dar, sondern setzt eine spezifische Rechtsgrundlage im nationalen Recht voraus, sodass im Folgenden auch die auf der Grundlage dieser Öffnungsklausel erlassenen bzw. beibehaltenen nationalen Regelungen in den Blick genommen werden. a) Regelungsbereich des Art. 9 Abs. 2 lit. i DSGVO Art. 9 Abs. 2 lit. i DSGVO regelt die Verarbeitung besonderer Kategorien personenbezogener Daten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit. Gemäß EG 54 S. 3 DSGVO ist der Begriff der öffentlichen Gesundheit im Sinne der Verordnung (EG) Nr. 1338/2008166 auszulegen. Nach Art. 3 lit. c dieser Verordnung umfasst der Begriff den Gesundheitszustand, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von und den Zugang zu Gesundheitsversorgungsleistungen sowie die Finanzierung und die Ursachen der Mortalität. Zudem enthält Art. 9 Abs. 2 lit. i DSGVO selbst Regelbeispiele, die unter den Begriff der öffentlichen Gesundheit fallen, wie etwa der Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder die Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung sowie bei Arzneimitteln und Medizinprodukten.167 Daneben erläutert EG 52 S. 1 DSGVO den Begriff des öffentlichen Interesses näher und führt die Prävention oder Kontrolle ansteckender Krankheiten und die Überwachung der Gesundheit und Gesundheitswarnungen an.168 Ein typisches Beispiel für Art. 9 Abs. 2 lit. i DSGVO wäre somit die Datenverarbeitung zur Aufgabenerfüllung von Gesundheitsämtern.169 Auch die Datenverarbeitung für Zwecke der Qualitätssicherung der Patientenversorgung ist unter Art. 9 Abs. 2 lit. i DSGVO i. V. m. § 299 SGB V i. V. m. § 136 SGB V zu fassen.170 Einschränkend sieht EG 54 S. 4 DSGVO für die Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses eine strenge Zweckbindung an öffentliche Interessen vor. Danach sollen Dritte, wie etwa private Versicherungs 165
Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 82. Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates vom 16. Dezember 2008 zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz, ABl. EU 2008 L 354, S. 70. 167 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 718; Korge, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 9 DSGVO Rn. 38; Jaspers / Schwartmann / Mühlen beck, in: Schwartmann / Jaspers / Thüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 199. 168 Dochow, GesR 2016, 401 (406). 169 Schütze / Spyra, RDV 2016, 285 (286). 170 BVITG / GMDS / DKG, Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO, S. 51, abrufbar unter: https://www.gesundheitsdatenschutz.org/html/dsfa.php. 166
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
123
unternehmen, personenbezogene Daten nicht zu anderen als in der Vorschrift vorgegebenen Zwecken verarbeiten dürfen.171 Private Unternehmen können ihre Datenverarbeitung daher grundsätzlich nicht auf diesen Tatbestand stützen, außer sie nehmen ausnahmsweise Aufgaben der öffentlichen Gesundheit wahr, wie dies beispielsweise in der Funktion als Beliehener denkbar ist.172 Ferner verweist die Norm darauf, dass das Recht der Mitgliedstaaten angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsehen muss. Die mit dem weiten Anwendungsbereich für die betroffene Person verbundenen Gefahren sollen über diesen Schutzmechanismus verringert werden.173 Der Verweis auf angemesse Grundrechtsgarantien ist jedoch insoweit wenig limitierend, da diese bereits durch die verfassungsrechtlichen Anforderungen vorgegeben sind.174 Diese Vorgaben gehen daher nicht über die ohnehin bestehenden verfassungsrechtlichen Anforderungen aus der Grundrechtecharta und dem Grundgesetz hinaus und entfalten daher keine weitergehende Bedeutung. b) Umsetzung im nationalen Recht Auch Art. 9 Abs. 2 lit. i DSGVO stellt eine Öffnungsklausel dar, die es den Mitgliedstaaten ermöglicht, Erlaubnistatbestände für die Datenverarbeitung zu Zwecken des öffentlichen Interesses im Bereich der öffentlichen Gesundheit zu schaffen oder beizubehalten. Von dieser Öffnungsklausel hat der deutsche Gesetzgeber in § 22 Abs. 1 Nr. 1 lit. c BDSG n. F. Gebrauch gemacht. Der Regelungsgehalt dieser Vorschrift beschränkt sich allerdings im Wesentlichen auf eine Wiederholung des Wortlauts der DSGVO.175 § 22 Abs. 1 Nr. 1 lit. c Hs. 2 BDSG n. F. setzt darüber hinaus lediglich die Vorgabe der DSGVO um, dass im mitgliedstaatlichen Recht angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorzusehen sind, indem er darauf hinweist, dass insbesondere die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten sind. Der Hinweis ist jedoch allein deklaratorischer Art, da sich die Verpflichtung zur Wahrung des Berufsgeheimnisses aus den strafrechtlichen Vorschriften selbst ergibt.176 Im Unterschied zu § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. 171
Greve, in: Auernhammer, DSGVO BDSG, Art. 9 DSGVO Rn. 35. Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 116; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 83. 173 Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 33. 174 Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 52; Kühling / Sackmann / Schildbach, Sozialdatenschutzrechtl. Weiterentwicklungsbedarf im SGB V und X für Big Data, S. 32 f. 175 Weichert, in: Kühling / Buchner, DSGVO BDSG, § 22 BDSG Rn. 20; Frenzel, in: Paal / Pauly, DSGVO BDSG, § 22 BDSG Rn. 8; Albers / Veit, in: BeckOK Datenschutzrecht, § 22 BDSG Rn. 17. 176 BT-Drs. 18/11325, S. 95; Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 45; Frenzel, in: Paal / Pauly, DSGVO BDSG, § 22 BDSG Rn. 8. 172
124
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
sieht die Norm nicht vor, dass die Datenverarbeitung nur durch Berufsgeheimnisträger und entsprechendes Fachpersonal vorgenommen werden darf.177 Die Vorgaben zur Wahrung des Berufsgeheimnisses sind daher allein dann einzuhalten, wenn der Verantwortliche einer derartigen Verpflichtung unterliegt.178 Die Verarbeitung besonderer Kategorien personenbezogener Daten ist aber nicht allein auf der Grundlage dieses allgemeinen Erlaubnistatbestands zulässig, sondern insbesondere auch aufgrund sonstiger bereichsspezifischer Regelungen.179 Solche spezialgesetzlichen Rechtsgrundlagen gehen der Regelung des § 22 Abs. 1 Nr. 1 lit. c BDSG n. F. gemäß § 1 Abs. 2 S. 1 BDSG n. F. vor.180 Rechtsgrundlagen, die eine Verarbeitung zu Zwecken der Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln sowie Medizinprodukten regeln und somit von der Öffnungsklausel erfasst werden, finden sich im deutschen Recht u. a. in den §§ 54 ff. Arzneimittelgesetz (AMG), in § 86 Abs. 3 und 4 Medizinprodukterecht-Durchführungsgesetz (MPDG), § 299 SGB V sowie § 11a Nr. 2 Apothekengesetz.181 Die Alternative der schwerwiegenden grenzüberschreitenden Gesundheitsgefahren betrifft vor allem Vorschriften in den §§ 6 ff. Infektionsschutzgesetz (IfSG) zur Meldepflicht, wie etwa § 9 Abs. 1 IfSG, der die Übermittlung von personenbezogenen Daten bei meldepflichtigen Krankheiten durch den nach § 8 Abs. 1 Nr. 1 IfSG meldepflichtigen Arzt an die zuständigen Gesundheitsämter regelt.182 Diese Vorschriften haben im Zuge der Anpassung an die DSGVO durch das 2. DSAnpUG-EU lediglich redaktionelle Änderungen erfahren. Raum für die Anwendung des § 22 Abs. 1 Nr. 1 lit. c BDSG n. F. verbleibt hingegen, wenn keine bereichsspezifischen Rechtsgrundlagen für den einschlägigen Sachverhalt vorhanden sind. Dies ist etwa bei Meldungen von unerwünschten Arzneimittelwirkungen i. S. v. § 6 MBO-Ä oder der Datenübermittlung zum Zweck der Qualitätssicherung i. S. v. § 5 MBO-Ä der Fall, da berufsrechtliche Regelungen kein bereichsspezifisches Datenschutzrecht darstellen.183
177
Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 45. Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 45. 179 BR-Drs. 110/17, S. 93. 180 Die allgemeinen Landesdatenschutzgesetze sehen teilweise keine entsprechenden Regelungen vor, so etwa in § 12 LDSG SH. Teilweise wiederholen sie den Verordnungstext ebenfalls nahezu wörtlich, so etwa in Art. 8 Abs. 1 S. 1 Nr. 4 BayDSG oder § 17 Abs. 1 Nr. 4 NDSG, auch diesen allgemeinen Regelungen auf Landesebene gehen die bereichspezifischen Vorschriften gemäß der Subsidiaritätsklausel in dem jeweiligen LDSG vor. 181 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 119 f.; Kühnl / Rohrer / Schneider, DuD 2018, 735 (739); Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 85; Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 44. 182 Kühnl / Rohrer / Schneider, DuD 2018, 735 (739); Kühling / Schildbach, NJW 2020, 1545 (1548); Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 41; Mester, in: Taeger / Gabel, DSGVO BDSG, Art. 9 DSGVO Rn. 34. 183 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 45. 178
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
125
4. Verarbeitung von Gesundheitsdaten zum Schutz lebenswichtiger Interessen, Art. 9 Abs. 2 lit. c DSGVO Ein weiterer Erlaubnistatbestand, der für die Datenverarbeitung im Gesundheitswesen Bedeutung erlangen kann, ist Art. 9 Abs. 2 lit. c DSGVO. Damit der Tatbestand erfüllt ist, muss die Verarbeitung zum Schutz lebenswichtiger Interessen erforderlich sein und zudem darf es der betroffenen Person aus körperlichen oder rechtlichen Gründen nicht möglich sein, ihre Einwilligung zu erteilen. Unter einem lebenswichtigen Interesse ist ein existenzielles Interesse im Bereich des Gesundheitsschutzes zu verstehen, welches vor allem den Schutz vor lebensbedrohlichen Erkrankungen und Infektionen erfasst.184 Eine konkrete Lebensgefahr ist EG 112 S. 2 DSGVO zufolge jedoch nicht zwingend erforderlich, denn danach sind lebenswichtige Interessen bereits bei einer Beeinträchtigung der körperlichen Unversehrtheit betroffen.185 Ferner muss die Erteilung einer Einwilligung aus körperlichen oder rechtlichen Gründen unmöglich sein. Aus körperlichen Gründen ist die Einwilligung etwa unmöglich, wenn die betroffene Person bewusstlos oder schwer erkrankt ist.186 Rechtliche Gründe liegen dann vor, wenn eine wirksame Einwilligungserklärung nach dem Recht der Mitgliedstaaten nicht möglich ist.187 Jedoch soll eine Verarbeitung durch Art. 9 Abs. 2 lit. c DSGVO nur legitimiert werden, wenn die Person, wäre sie dazu in der Lage, einwilligen würde, was im Ergebnis einer mutmaßlichen Einwilligung entspricht.188 Im Gesundheitswesen kann Art. 9 Abs. 2 lit. c DSGVO beispielsweise den Fall betreffen, dass ein Patient in einem Notfall nicht ansprechbar ist.189 Hauptanwendungsfälle dürften Unfälle und Notsituationen der betroffenen Person sein. In einer solchen Situation kommt eine Datenverarbeitung etwa im Zusammenhang mit der Durchführung medizinischer Tests, der Blutentnahme oder der Erhebung von Daten über Vitalfunktionen in Betracht.190 In diesen Fällen wird die Datenverarbeitung aber auch über Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. legitimiert sein, sodass diesbezüglich zumindest für den Bereich des Gesundheitswesens nicht ersichtlich ist, welche darüberhinausgehenden Fälle von Art. 9 Abs. 2 lit. c DSGVO abgedeckt werden. 184
Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 45, Art. 9 DSGVO Rn. 13. Kampert, in: Sydow, DSGVO, Art. 9 DSGVO Rn. 20; auch Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 63 betont, dass es nicht „um Leben oder Tod“ gehen müsse. 186 Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 19; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 65. 187 Jaspers / Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 146; s. zur Einwilligungsfähigkeit Kap. 2 A. III. 1. f), (S. 141 ff.). 188 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 29; Korge, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 9 DSGVO Rn. 26; Kampert, in: Sydow, DSGVO, Art. 9 DSGVO Rn. 21. 189 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 74. 190 Kampert, in: Sydow, DSGVO, Art. 9 DSGVO Rn. 20. 185
126
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
Art. 9 Abs. 2 lit. c DSGVO findet zudem auch Anwendung, wenn die Verarbeitung zum Schutz einer anderen natürlichen Person erforderlich ist. In diesem Fall sind die betroffene Person und die Person, deren lebenswichtige Interessen betroffen sind, verschieden. Ein Beispiel für eine derartige Konstellation betrifft etwa den Fall, dass eine Arzneimittel-Charge, deren Inhalt lebensgefährdend verunreinigt ist, in den Handel gelangt ist. In diesem Fall müssen zum Schutz der Patienten, die das Arzneimittel einnehmen, Daten bei den Herstellern und im Vertrieb verarbeitet werden, um den Verbleib der Charge zu ermitteln.191 Die Vorschrift ist im Vergleich zu Art. 8 Abs. 2 lit. c DSRL sprachlich klarer gefasst, da aus ihrem Wortlaut hervorgeht, dass es darauf ankommt, ob die datenschutzrechtlich betroffene Person in der Lage ist, in die Datenverarbeitung einzuwilligen, auch wenn es um den Schutz Dritter geht.192 Dies ergibt sich daraus, dass es die Daten der betroffenen Person sind, deren Verarbeitung erforderlich ist und nicht die Daten der Person, um deren lebenswichtige Interessen es geht.193 In Ausnahmefällen muss jedoch auf die Garantenstellung und die Schadensminderungspflicht der betroffenen Person in Bezug auf den Dritten abgestellt werden, wenn ein Schaden bei einem Dritten allein dadurch zu verhindern ist, dass Daten über die betroffene Person verarbeitet werden.194 Neben der einschränkenden Voraussetzung der Unmöglichkeit der Einholung einer Einwilligung schränkt EG 46 S. 2 DSGVO den Anwendungsbereich des Art. 9 Abs. 2 lit. c DSGVO noch weiter ein. Danach ist der Zulässigkeitstatbestand nur heranzuziehen, wenn die Verarbeitung nicht auf eine andere Rechtsgrundlage gestützt werden kann.195 5. Verarbeitung von Gesundheitsdaten zu Zwecken der Wahrnehmung sozialrechtlicher Rechte und Pflichten, Art. 9 Abs. 2 lit. b DSGVO Die Verarbeitung von besonderen Kategorien personenbezogener Daten ist nach Art. 9 Abs. 2 lit. b DSGVO u. a. dann zulässig, wenn dies für die Wahrnehmung der aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte und Pflichten erforderlich sowie nach dem Recht eines Mitgliedstaats zulässig ist. Mit der Erfüllung von Pflichten aus dem Recht der sozialen Sicherheit und des Sozialschutzes sind insbesondere die Erbringung und Abrechnung von 191
Beispiel nach Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 31. Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 31. 193 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 56; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 31. 194 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 31; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 69. 195 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 56; Jaspers / Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 147; Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 19. 192
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
127
Sozialleistungen und die in diesem Kontext notwendigen Datenverarbeitungen, etwa durch Krankenversicherungen, angesprochen.196 Im nationalen allgemeinen Datenschutzrecht regelt § 22 Abs. 1 Nr. 1 lit. a BDSG n. F. die Verarbeitung sensibler Daten, die erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben bzw. den diesbezüglichen Pflichten nachkommen zu können. Jedoch ist in diesem Zusammenhang zu berücksichtigen, dass sich im deutschen Recht vorrangig anwendbare bereichsspezifische Rechtsgrundlagen für diese Bereiche in den Sozialgesetzbüchern finden.197 Welchen verbleibenden Anwendungsbereich § 22 Abs. 1 Nr. 1 lit. a BDSG n. F. daneben für sich reklamiert, ist daher unklar.198 In diesem Sinne hat auch der Bundesrat bereits im Gesetzgebungsverfahren zum D SAnpUG-EU darauf hingewiesen, dass eine Regelung der Datenverarbeitung für die in Art. 9 Abs. 2 lit. b DSGVO genannten Fälle aufgrund der vorhandenen bereichsspe zifischen Bestimmungen obsolet sei.199 Der Norm kommt daher lediglich eine „verdeckte Verweisfunktion“200 auf die Vorgaben in den Sozialgesetzbüchern zu, die zugunsten einer vereinfachten Rechtsfindung in das BDSG n. F. aufgenommen wurde.201 6. Zusätzliche Bedingungen für die Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 4 DSGVO Gemäß Art. 9 Abs. 4 DSGVO haben die Mitgliedstaaten die Möglichkeit, zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten, wenn die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist. Nach dem insoweit zunächst eindeutigen Wortlaut ermöglicht es die Vorschrift den Mitgliedstaaten, Beschränkungen in Form von erhöhten Rechtmäßigkeitsanforderungen, die zusätzliche Voraussetzungen für die Rechtmäßigkeit der Datenverarbeitung aufstellen, einzuführen.202 Vor dem Hinter 196
Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 54. Albers / Veit, in: BeckOK Datenschutzrecht, § 22 BDSG Rn. 15; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Rn. 40; ausführlich zum Sozialdatenschutzrecht im Kapitel 3. 198 Teilweise wird darauf hingewiesen, dass der Anwendungsbereich gering sei, so etwa Kampert, in: Sydow, BDSG, § 22 BDSG Rn. 20; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Rn. 40; Rombach, in: Hauck / Noftz, SGB X, § 67a SGB X Rn. 59; andere sprechen der Vorschrift jeglichen Eigenwert ab, so etwa Frenzel, in: Paal / Pauly, DSGVO BDSG, § 22 BDSG Rn. 6; Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 43. 199 BR-Drs. 110/17 (B), S. 18. 200 Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 16. 201 Weichert, in: Kühling / Buchner, DSGVO BDSG, § 22 BDSG Rn. 9; Albers / Veit, in: BeckOK Datenschutzrecht, § 22 BDSG Rn. 15; Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 16. 202 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 98. 197
128
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
grund des diesbezüglich uneindeutigen Wortlauts stellt sich darüber hinaus die Frage, ob die Mitgliedstaaten allein strengere Bedingungen einführen dürfen oder ob die Öffnungsklausel auch nationale Regelungen gestattet, die die Verarbeitungsmöglichkeiten erweitern.203 Die konkrete Reichweite dieser Öffnungsklausel wird uneinheitlich bewertet. Teilweise wird der Wortlaut des korrespondierenden EG 53 S. 4 DSGVO, nach dem es den Mitgliedstaaten gestattet werden sollte, „weitere Bedingungen einschließlich Beschränkungen“ für die Verarbeitung von Gesundheitsdaten beizubehalten oder einzuführen, so ausgelegt, dass die Beschränkung nur eine Möglichkeit der Bedingung darstelle. Daher könnten auch Erleichterungen bzw. befugniserweiternde Regelungen getroffen oder beibehalten werden.204 Da der EG 53 S. 4 DSGVO jedoch einen fast identischen Wortlaut zu Art. 9 Abs. 4 DSGVO besitzt, ist dieser für das Verständnis der Norm wenig aufschlussreich und lässt keine darüberhinausgehende Erkenntnis zu. Im Gegenteil spricht der Wortlaut „zusätzliche Bedingungen“ nicht gerade dafür, dass Erleichterungen eingeführt werden sollen, sondern vielmehr dafür, dass durch das Aufstellen von verschärften Anforderungen eine Erhöhung des Schutzniveaus erreicht werden soll.205 Gerade für die Verarbeitung der schützenswerten besonderen Kategorien personenbezogener Daten wird es als „sinnwidrig“206 bezeichnet, durch nationale Regelungen in diesem Rahmen eine Absenkung des Datenschutzniveaus der DSGVO zu ermöglichen. Daher berechtigt Art. 9 Abs. 4 DSGVO die Mitgliedstaaten richtigerweise allein dazu, strengere Anforderungen, wie etwa das Erfordernis einer schriftlichen Einwilligung oder spezifische Vorgaben in Bezug auf die Aufklärung, für die Verarbeitung besonderer Kategorien personenbezogener Daten zu normieren.207 Bedeutung erlangt Art. 9 Abs. 4 DSGVO vor allem in Bezug auf die unmittelbar anwendbaren Erlaubnistatbestände des Art. 9 Abs. 2 DSGVO, wie etwa die Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die gemäß Art. 9 Abs. 4 DSGVO durch mitgliedstaatliches Recht modifiziert werden können.208 So hat der deutsche Gesetzgeber etwa das Schriftformerfordernis für die Einwilligung in die Verarbeitung von Gesundheitsdaten in § 67b Abs. 2 S. 2 SGB X auf Art. 9 Abs. 4 DSGVO
203
Weichert, DuD 2017, 538 (541); Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 98. 204 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 150; Dochow, GesR 2016, 401 (407); Dochow, Telematik im Gesundheitswesen, S. 434; Kühling, MedR 2019, 611 (613). 205 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 99; Spindler / Dalby, in: Spindler / Schuster, Recht der elektronischen Medien, Art. 9 DSGVO Rn. 27. 206 Kühnl / Rohrer / Schneider, DuD 2018, 735 (740). 207 Jaspers / Schwartmann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 228; Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 48; Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 64; Plath, in: Plath, DSGVO BDSG, Art. 9 DSGVO Rn. 30; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 99; Kühnl / Rohrer / Schneider, DuD 2018, 735 (740); Müller, Die Öffnungsklauseln der DSGVO, S. 196; Schulz, SGb 2020, 536 (539). 208 Kampert, in: Sydow, DSGVO, Art. 9 DSGVO Rn. 59.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
129
gestützt.209 Zudem enthalten die Landeskrankenhausgesetze teilweise besondere Anforderungen an die Einwilligung, die sich ebenfalls auf Art. 9 Abs. 4 DSGVO stützen können.210 Hinsichtlich der in Art. 9 Abs. 2 DSGVO enthaltenen Öffnungsklauseln dürfte der Vorschrift hingegen keine besondere Bedeutung zukommen, da die nähere Ausgestaltung ohnehin den Mitgliedstaaten überlassen ist.211
III. Verarbeitung von Gesundheitsdaten auf der Grundlage einer Einwilligung Zumeist wird die Datenverarbeitung im Rahmen der ärztlichen Behandlung durch eine gesetzliche Grundlage legitimiert, sodass es nicht notwendig ist, eine Einwilligung einzuholen.212 Jenseits der eigentlichen Behandlungssituation können jedoch Datenverarbeitungen erforderlich werden, für die keine gesetzliche Erlaubnis zur Verarbeitung von Gesundheitsdaten vorhanden ist.213 Die Fragen, die sich im Rahmen der Einwilligung ergeben, betreffen somit hauptsächlich Konstellationen, die außerhalb der eigentlichen Patientenbehandlung liegen.214 Dies ist im Gesundheitswesen etwa der Fall bei der Weitergabe von Patientendaten an gewerbliche Abrechnungsstellen und der dortigen Verarbeitung der übermittelten Daten,215 der Datenverarbeitung im Rahmen des Versandes von Terminerinnerungen216 oder der Einbindung eines Callcenters zur Terminvereinbarung217. Daneben hat die Einwilligung auch mit Blick auf moderne Technologien eine höhere Bedeutung 209
BT-Drs. 19/4674, S. 401; s. dazu ausführlich unter Kap. 3 A. III. 3. b), (S. 205 f.). Gemäß § 50 Abs. 2 S. 1 LKHG BW, § 36 Abs. 2 S. 2 LKG Rh.-Pf., § 13 Abs. 2 S. 3 SKHG sowie § 16 Abs. 2 S. 2 KHG LSA bedarf die Einwilligung der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist; nach § 33 Abs. 2 S. 2 SächsKHG bedarf die Einwilligung des Patienten einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist; § 36 Abs. 2 LKHG SH enthält etwas weniger strenge Anforderungen, dort wird festgelegt, dass die Einwilligung grundsätzlich der revisionssicheren Dokumentation bedarf, wird sie hingegen mündlich erteilt, ist sie aufzuzeichnen; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 153. 211 Kampert, in: Sydow, DSGVO, Art. 9 DSGVO Rn. 59. 212 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 88 f.; BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A8). 213 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 89; Jülicher, Medizininformationsrecht, S. 90. 214 Spyra, Die Arztpraxis, S. 90. 215 BayLDA, Auslegungshilfe „Rechtsgrundlage der Verarbeitung in einer Arztpraxis“ v. 15. Mai 2019, S. 2, abrufbar unter: https://www.lda.bayern.de/de/thema_aerzte.html; HmbBfDI, 27. Tätigkeitsbericht 2018, S. 119 f.; s. dazu ausführlich unter Kap. 2 B. III. 5. a) bb) (1), (S. 181 ff.). 216 Kuhn / Heinz, GesR 2018, 691 (696). 217 Buchner, MedR 2013, 337 (341 f.); Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 167 f.; Jülicher, Medizininformationsrecht, S. 93. 210
130
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
erlangt,218 so etwa im Rahmen der Einbindung von digitalen Gesundheitsanwendungen in die Gesundheitsversorgung.219 In diesen Fällen kann die Verarbeitung von Gesundheitsdaten zulässig sein, wenn der Patient in die Datenverarbeitung eingewilligt hat. Zudem stützt sich die Datenverarbeitung im Bereich der medizinischen Forschung bislang üblicherweise auf die Einwilligung der betroffenen Person. An dieser Stelle werden jedoch zunächst die Wirksamkeitsvoraussetzungen der Einwilligung im Behandlungskontext besprochen, die spezifischen rechtlichen Probleme, die sich im Zusammenhang mit der Einwilligung in die Datenverarbeitung zu medizinischen Forschungszwecken ergeben, werden sodann ausführlich im siebten Kapitel erörtert.220 Das Erfordernis einer Einwilligungsmöglichkeit des Einzelnen lässt sich im Datenschutzrecht primärrechtlich aus Art. 8 Abs. 2 S. 1 GRCh ableiten.221 Die Einwilligung ist dort als Legitimationsgrundlage für die Datenverarbeitung explizit genannt.222 Sie ist „genuiner Ausdruck informationeller Selbstbestimmung“223, weil sie die betroffene Person in die Situation versetzt, über das „Ob“ und „Wie“ der Verarbeitung ihrer personenbezogenen Daten zu entscheiden.224 Die Einwilligung ist daher eine zentrale, wenngleich mit den gesetzlichen Legitimationstatbeständen gleichrangige,225 Legitimation für die Verarbeitung personenbezogener Daten. Mit der in der DSGVO vorgesehenen Einwilligung wird das informationelle Selbst bestimmungsrecht daher einfachgesetzlich zum Ausdruck gebracht.226 Nach Art. 9 Abs. 2 lit. a DSGVO ist die grundsätzlich untersagte Verarbeitung besonderer Kategorien personenbezogener Daten erlaubt, wenn die betroffene Person ausdrücklich in die Verarbeitung der personenbezogenen Daten eingewilligt hat. Legaldefiniert ist der Begriff der Einwilligung in Art. 4 Nr. 11 DSGVO als „[…] jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung […]“. Neben den in der Definition aufgeführten Anforderungen ergeben sich die Voraussetzungen einer wirksamen Einwilligung aus einer Gesamtschau von Art. 7 und 8 DSGVO sowie für besondere Kategorien personenenbezogener Daten zudem aus Art. 9 Abs. 2 lit. a DSGVO.227 Die in den Art. 7 und 8 DSGVO benannten allgemeinen Voraussetzungen für die Wirksam-
218
Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 63. Dazu ausführlich unter Kap. 6, (S. 317 ff.). 220 S. dazu unter Kap. 7 E. I., (S. 363 ff.). 221 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 18. 222 Kühling / Klar / Sackmann, Datenschutzrecht, 2. Kap. Rn. 497. 223 Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 17; Uecker, ZD 2019, 248 (248). 224 Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 17. 225 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 19; Botta, Datenschutz bei E-Learning-Plattformen, S. 117; ausführlich zum Verhältnis der Erlaubnistat bestände zueinander unter Kap. 2 A. IV., (S. 152 ff.). 226 Taeger, in: Taeger / Gabel, DSGVO BDSG, Art. 7 DSGVO Rn. 1. 227 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 31. 219
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
131
keit der Einwilligung sind auch auf die Einwilligung in Art. 9 Abs. 2 lit. a DSGVO anwendbar, jedoch können sich für die sensiblen Daten im Einzelnen speziellere Anforderungen ergeben.228 Der Erlaubnistatbestand der Einwilligung in Art. 9 Abs. 2 lit. a DSGVO stellt grundsätzlich eine unmittelbar geltende Verarbeitungsbefugnis dar.229 Zusätzlicher mitgliedstaatlicher Regelungen bedarf es daher insoweit nicht, sie wären wegen des europarechtlichen Normwiederholungsverbots sogar möglicherweise unzulässig.230 Eine Ausnahme davon gilt jedoch für Art. 9 Abs. 2 lit. a Hs. 2 DSGVO, der eine Öffnungsklausel darstellt, die es den Mitgliedstaaten erlaubt, festzulegen, dass das Verarbeitungsverbot nach Art. 9 Abs. 1 DSGVO nicht durch eine Einwilligung der betroffenen Person aufgehoben werden kann. 1. Wirksamkeitsvoraussetzungen der Einwilligung bei der Verarbeitung von Gesundheitsdaten im Gesundheitswesen a) Freiwilligkeit Konstitutiv für die Wirksamkeit der Einwilligung ist zunächst deren Freiwilligkeit.231 Der Sinn und Zweck des Freiwilligkeitskriteriums besteht darin, die einzelne Person davor zu schützen, dass sie allein deshalb in eine Datenverarbeitung einwilligt, weil sie ansonsten ein Angebot nicht in Anspruch nehmen kann.232 Nach EG 42 S. 5 DSGVO soll eine freiwillige Einwilligung nur dann anzunehmen sein, wenn die betroffene Person eine echte oder freie Wahl hat, wem und zu welchen Zwecken sie die Datenverarbeitung genehmigt und dementsprechend auch in der Lage ist, die Einwilligung zu verweigern, ohne Nachteile zu erleiden. Diese Wahlfreiheit kann insbesondere dann ausgeschlossen sein, wenn die Einwilligung gemäß Art. 7 Abs. 4 DSGVO i. V. m. EG 43 S. 2 Alt. 2 DSGVO an einen Vertrag gekoppelt wird, für dessen Erfüllung die Verarbeitung der von einer Einwilligung erfassten personenbezogenen Daten nicht erforderlich ist oder gemäß EG 43 S. 1 DSGVO ein klares Ungleichgewicht zwischen dem Verantwortlichen und der betroffenen Person besteht.233 Insbesondere im Arzt-Patienten-Verhältnis ergeben sich daher Bedenken, ob die Erteilung der Einwilligung stets freiwillig erfolgt.
228
Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 53; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 50; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Rn. 34. 229 Bieresborn, NZS 2017, 926 (927). 230 Bieresborn, NZS 2017, 887 (888); Freund / Shagdar, SGb 2018, 195 (200). 231 Jülicher, Medizininformationsrecht, S. 90; Buchner / Schwichtenberg, GuP 2016, 218 (220). 232 Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 52. 233 Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 183.
132
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
aa) Kopplungsverbot Als Ausprägung des sog. Kopplungsverbots gibt Art. 7 Abs. 4 DSGVO Maßstäbe zur Bewertung der Freiwilligkeit der Einwilligung vor.234 Demnach muss bei der Bewertung der Freiwilligkeit der Einwilligung gemäß Art. 7 Abs. 4 DSGVO „[…] dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung personenbezogener Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“ Die Regelung zielt mithin auf Einwilligungserklärungen ab, die nicht die Datenverarbeitung zur Durchführung des Vertrags legitimieren, sondern vielmehr vom Vertragszweck unabhängige Verarbeitungen ermöglichen sollen.235 Bezugspunkt des Kopplungsverbots aus Art. 7 Abs. 4 DSGVO sind somit Einwilligungserklärungen zu Datenverarbeitungen, die für die Erfüllung des Vertrags nicht erforderlich sind.236 Im Rahmen der ärztlichen Behandlung betrifft dies Einwilligungen, die eine außerhalb des Behandlungszwecks liegende Datenverarbeitung, etwa zur Weitergabe von Patientendaten an externe Abrechnungsstellen, legitimieren sollen.237 In Bezug auf das Kopplungsverbot kann dies problematisch sein, soweit die Erfüllung des Behandlungsvertrags von einer Einwilligung in die Datenverarbeitung abhängig gemacht wird, obwohl diese für die Erfüllung des Behandlungsvertrags nicht erforderlich ist, sondern die Datenverarbeitung dann lediglich nicht erfolgen kann.238 Jedoch besteht Unklarheit darüber, wie streng das in der DSGVO angelegte Kopplungsverbot zu verstehen ist.239 Der Wortlaut der Norm stellt zunächst darauf ab, dass dem Überschreiten der Erforderlichkeitsgrenze „in größtmöglichem Umfang Rechnung getragen werden“ muss. Dies spricht dafür, dass ein Überschreiten der Erforderlichkeit die Freiwilligkeit der Einwilligung nicht automatisch entfallen lässt.240 Der zugehörige EG 43 S. 2 Alt. 2 DSGVO ist allerdings strenger formuliert. Demnach gilt die Einwilligung nicht als freiwillig erteilt, wenn die Erfüllung eines Vertrags von der Einwilligung abhängig ist, obwohl diese für die Erfüllung 234 Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 41; Heck mann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 56, 94. 235 Krohm / Müller-Peltzer, ZD 2017, 551 (552). 236 Engeler, ZD 2018, 55 (56). 237 Jülicher, Medizininformationsrecht, S. 90 f.; Vedder, DuD 2014, 821 (822); Kühling / Seidel, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 99; KV Nordrhein, Informationsblätter zum neuen Datenschutzrecht in der ambulanten Versorgung v. 23. November 2018, S. 31, abrufbar unter: https://www.kvno.de/fileadmin/shared/pdf/online/datenschutz_dsgvo/ infoblaetter_dsgvo.pdf; Dochow, GesR 2016, 401 (404); vgl. Weichert, Big Data im Gesundheitsbereich, S. 127. 238 KV Nordrhein, Informationsblätter zum neuen Datenschutzrecht in der ambulanten Versorgung v. 23. November 2018, S. 31. 239 Veil, NJW 2018, 3337 (3340); Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 DSGVO Rn. 58. 240 Engeler, ZD 2018, 55 (58); Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 42.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
133
nicht erforderlich ist. Danach wäre das Fehlen der Freiwilligkeit und mithin die Unwirksamkeit der Einwilligung im Falle einer Kopplung die Regel, soweit die durch die Einwilligung abgedeckte Datenverarbeitung nicht zwingend für die „Erfüllung eines Vertrags“ erforderlich ist.241 Dieser Erwägungsgrund hat aber, anders als ursprünglich vom Europäischen Parlament intendiert, keinen Niederschlag im Normtext der DSGVO gefunden.242 Eine über das für die Vertragserfüllung Erforderliche hinausgehende Datenverarbeitung aufgrund einer Einwilligung ist somit keinesfalls zwangsläufig unzulässig.243 Vielmehr ist vom Verantwortlichen im Einzelfall zu prüfen, ob eine Drucksituation entsteht, die die Freiheit zur Willensentschließung aufhebt.244 In diese Prüfung müssen alle Umstände einfließen, die geeignet sein können, die Entschließungsfreiheit der betroffenen Person zu beeinträchtigen.245 Somit folgt aus Art. 7 Abs. 4 DSGVO kein absolutes Kopplungsverbot, sondern nur eine gesteigerte Prüfungspflicht.246 Um sicherzugehen, sollten Ärzte und Krankenhausträger die Behandlung einer betroffenen Person nicht von der Erteilung einer Einwilligung in die Datenverarbeitung abhängig machen, die für die Behandlung nicht erforderlich ist.247 So wäre etwa die Aussage „Wenn Sie Ihre Einwilligung zur Datenverarbeitung zu Rechnungszwecken nicht erteilen, können wir Sie leider nicht behandeln“, hoch problematisch.248 Stattdessen können Formulierungen wie „Ihre Behandlung ist 241
Gierschmann, ZD 2016, 51 (54); Plath, in: Plath, DSGVO BDSG, Art. 7 DSGVO Rn. 19. Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 99; Engeler, ZD 2018, 55 (59); Krohm / Müller-Peltzer, ZD 2017, 551 (552 f.); Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 40; Schantz, NJW 2016, 1841 (1845); ursprünglich plante das Europäische Parlament ein absolutes Kopplungsverbot in Art. 7 Abs. 4 DSGVO aufzunehmen, in den Trilog-Verhandlungen wurde dieses mit Hilfe des Erwägungsgrunds 43 angepasst und teilweise entschärft, s. Europäisches Parlament, Legislative Entschließung v. 12. März 2014, P7_TA(2014)0212, S. 115; s. dazu auch Schantz, NJW 2016, 1841 (1845). 243 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 42; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 7 DSGVO Rn. 18; Schulz, in: Gola, DSGVO, Art. 7 DSGVO Rn. 26; Engeler, ZD 2018, 55 (58); a. A. Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung, S. 268 f. 244 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 42; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 7 DSGVO Rn. 18; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 97. 245 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 42. 246 Schulz, in: Gola, DSGVO, Art. 7 DSGVO Rn. 26; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 95, 99; Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 7 DSGVO Rn. 62; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 DSGVO Rn. 58 spricht in diesem Zusammenhang von einer „bloße[n] Berücksichtigungspflicht“; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 516; Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 187; Engeler, ZD 2018, 55 (58), ders. spricht auf S. 61 auch von einer „Rechnungstragungspflicht“; Heberlein, Datenschutz im Social Web, S. 188; a. A. Dammann, ZD 2016, 307 (311); Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung, S. 268 f. 247 Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 187; Kühling / Seidel, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 99. 248 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 70. 242
134
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
von dieser Einwilligungserklärung unabhängig“ in das Einwilligungsformular aufgenommen werden. Konkret bedeutet dies, dass Ärzte die sich aus dem Vertrag ergebende Leistungspflicht auch dann erbringen sollten, wenn die entsprechende Einwilligung nicht erteilt wird und im Fall der oben angeführten Beispiele im Zweifel etwa die Rechnungstellung selbst übernehmen oder als Alternative zum Callcenter einen direkten Kontakt zur Praxis zu anderen Zeiten oder über eine andere Nummer anbieten sollten.249 bb) Freiwilligkeit bei einem Ungleichgewicht zwischen Verantwortlichem und betroffener Person Der EG 43 S. 1 DSGVO betont daneben, dass an der Freiwilligkeit der Einwilligung zu zweifeln ist, „wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht“ besteht. Ein solches Ungleichgewicht könnte im Arzt-Patienten-Verhältnis angenommen werden, da die medizinische Erfahrung des Arztes die Beziehung zum Patienten prägt und diesen in ein Abhängigkeitsverhältnis zum Arzt stellt.250 Aufgrund des Informationsvorsprungs des Arztes ist ein Abhängigkeitsverhältnis jedenfalls nicht von vornherein ausgeschlossen.251 Daraus den Schluss zu ziehen, dass eine freiwillige Einwilligung in diesem Kontext stets ausgeschlossen ist, schränkt die Einwilligung jedoch unnötig ein.252 Dies gilt insbesondere, da Art. 7 DSGVO die Freiwilligkeit der Einwilligung in Situationen eines klaren Ungleichgewichts nicht, wie ursprünglich von der EU-Kommission vorgesehen, gänzlich ausschließt.253 Vielmehr stellt der zugehörige EG 43 S. 1 DSGVO ausdrücklich auf die konkreten Umstände der Situation ab, in der die Einwilligung eingeholt wurde. Danach soll die Einwilligung nicht als gültige Rechtsgrundlage angesehen werden, wenn es „in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde“. Daher genügt es gerade nicht, allein die abstrakten Machtverhältnisse zwischen den Beteiligten zu berücksichtigen, vielmehr ist eine differenzierte Prüfung der Auswirkungen im Einzelfall geboten.254 Keinesfalls 249
Jülicher, Medizininformationsrecht, S. 90 f.; Buchner, MedR 2013, 337 (342); Schneider, Datenschutz nach der EU-Datenschutzgrundverordnung, S. 167 f.; Vedder, DuD 2014, 821 (822); Kühling / Seidel, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 99. 250 Lodzig, ZD-Aktuell 2012, 02990. 251 Dochow, GesR 2016, 401 (404); Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 184; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 51. 252 Otto / Rüdlin, ZD 2017, 519 (521); Ingold, in: Sydow, DSGVO, Art. 7 DSGVO Rn. 28; Kühling / Klar, DuD 2013, 791 (795); Dochow, GesR 2016, 401 (404); a. A. Zirfas, Smart Health, S. 173 ff. welche davon ausgeht, dass ein solches Ungleichgewicht allein aufgrund des Informationsvorsprungs des Arztes vorliege. 253 Kühling / Martini, EuZW 2016, 448 (451); Heberlein, Datenschutz im Social Web, S. 187. 254 Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 184 f.; Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 44;
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
135
kann die Freiwilligkeit der Einwilligung im Bereich des Gesundheitswesens daher generell ausgeschlossen werden.255 Wird die Einwilligung in Notfallsituationen oder bei der Inanspruchnahme besonders spezialisierter Fachärzte erteilt und mithin in Fällen, in denen der Patient akut auf die Behandlung des Arztes angewiesen ist, können sich jedoch Situationen ergeben, in denen sich der Patient zumindest subjektiv in einer Zwangslage sieht, die Einwilligung zu erteilen, sodass Zweifel an der Freiwilligkeit der Einwilligung bestehen.256 Je akuter die Krankheit ist, die behandelt werden muss, desto weniger richtet der Patient seine Aufmerksamkeit auf die Verarbeitung seiner personenbezogenen Daten, sondern vielmehr auf die Behandlung und Wiederherstellung seiner Gesundheit.257 In derartigen Situation sollte daher ein besonderes Augenmerk darauf gerichtet werden, wie die Freiwilligkeit der Einwilligung gewährleistet werden kann.258 Dies kann etwa dadurch geschehen, dass die Person auf die freie Wahlmöglichkeit hingewiesen wird, die Einwilligungserklärung zu erteilen oder zu verweigern.259 Eine mögliche Vorgehensweise kann auch darin bestehen, den Patienten zunächst zu behandeln, wobei die dafür erforderliche Datenverarbeitung durch Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. legitimiert wäre und die Einwilligung, etwa in die Übermittlung der Daten an eine gewerbliche Verrechnungsstelle, erst nach der erfolgten Behandlung einzuholen.260 Im Ergebnis kann eine freiwillige Einwilligung der betroffenen Person nur dann angenommen werden, wenn dieser die Möglichkeit geboten wird, zu entscheiden, ob und wie ihre Daten verarbeitet werden.261 b) Informiertheit der betroffenen Person Nach Art. 4 Nr. 11 DSGVO muss die Einwilligung „in informierter Weise“ erteilt werden. Vor dem Hintergrund des Transparenzprinzips aus Art. 5 Abs. 1 lit. a Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 34; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 DSGVO Rn. 65; Dochow, GesR 2016, 401 (405); Jülicher, Medizininformationsrecht, S. 91. 255 Ingold, in: Sydow, DSGVO, Art. 7 DSGVO Rn. 28. 256 Schulz, in: Gola, DSGVO, Art. 7 DSGVO Rn. 23; Buchner / Schwichtenberg, GuP 2016, 218 (221); Buchner, Datenschutz im Gesundheitswesen, S. 57; Jülicher, Medizininformationsrecht, S. 90. 257 Otto / Rüdlin, ZD 2017, 519 (521); Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 64. 258 GMDS / GDD, Die datenschutzrechtliche Einwilligung, Version 2.0, S. 15; Ernst, ZD 2017, 110 (111 f.); Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 470. 259 Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 185; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 51. 260 Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 180. 261 Ingold, in: Sydow, DSGVO, Art. 7 DSGVO Rn. 29; Schulz, in: Gola, DSGVO, Art. 7 DSGVO Rn. 21.
136
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
DSGVO ist es von zentraler Bedeutung, dass der betroffenen Person Informationen zur Verfügung gestellt werden, die es ihr ermöglichen, ihre Entscheidung in Kenntnis der Sachlage zu treffen und die Auswirkungen ihrer Entscheidung zu beurteilen.262 Unspezifische Beschreibungen sind daher keinesfalls hinreichend.263 Gemäß EG 42 S. 4 DSGVO soll die betroffene Person mindestens wissen, wer der Verantwortliche ist und für welchen Zweck welche ihrer Daten verarbeitet werden.264 Nach Auffassung des Europäischen Datenschutzausschusses (EDSA) sind mindestens Informationen über die Identität des Verantwortlichen, den Zweck der Verarbeitung, die Art der Daten sowie ein Hinweis auf das Widerrufsrecht erforderlich.265 Abhängig von den Umständen und dem Kontext des jeweiligen Falls können darüber hinaus weitere Informationen erforderlich sein, um der betroffenen Person die Möglichkeit zu geben, die entsprechenden Verarbeitungsvorgänge wirklich zu verstehen.266 Alle notwendigen Informationen müssen rechtzeitig, also vor Beginn der Datenerhebung, zur Verfügung gestellt werden.267 Unabhängig von den im Rahmen der Aufklärung vor der Einwilligung in die Datenverarbeitung mitzuteilenden Informationen trifft den Verantwortlichen die Pflicht, die betroffene Person gemäß der Informationspflichten aus Art. 13 und 14 DSGVO zu informieren.268 Die im Rahmen der Aufklärung zur Verfügung zu stellenden Informationen sind von diesen zum Teil weitergehenden Inhalten der Informationspflichten zu unterscheiden.269 Die in den Art. 13 und 14 DSGVO aufgeführten Informationen können aber einen Anhaltspunkt geben, welche Informationen notwendig sind, damit die betroffene Person informiert einwilligen kann.270 Verstöße gegen die in Art. 13 und 14 DSGVO genannten Informationspflichten berühren die Wirksamkeit der Einwilligung hingegen nicht.271
262
Bischoff, PharmR 2019, 265 (267). Ernst, in: Paal / Pauly, DSGVO BDSG, Art. 4 DSGVO Rn. 82. 264 Ernst, in: Paal / Pauly DSGVO BDSG, Art. 4 DSGVO Rn. 83; Schulz, in: Gola, DSGVO, Art. 7 DSGVO Rn. 31. 265 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 17 f. 266 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 18. 267 Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 59. 268 Zu den Anforderungen der Art. 13 und 14 DSGVO ausführlich unter Kap. 4 B. I., (S. 250 ff.). 269 Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 DSGVO Rn. 73; v. Kiel mansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 114. 270 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 520; Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 59; Arning / Rothkegel, in: Taeger / Gabel, DSGVO BDSG, Art. 4 DSGVO Rn. 278; Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 451. 271 Schulz, in: Gola, DSGVO, Art. 7 DSGVO Rn. 36; Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 59; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 DSGVO Rn. 78; Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 41; im Hinblick auf das Fehlen der Kontaktdaten des Datenschutzbeauftragten auch Ernst, ZD 2017, 110 (112); Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 94. 263
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
137
c) Bestimmtheit der Einwilligung Weitere Voraussetzung für eine wirksame Einwilligung ist deren Bestimmtheit. Durch diese Voraussetzung soll ein gewisses Maß an Transparenz und Kontrolle für die betroffene Person sichergestellt werden,272 damit sie die Reichweite ihrer Einwilligung überblicken kann.273 Das Bestimmtheitserfordernis überschneidet sich mit der Verpflichtung, die betroffene Person zu informieren, da sich die Bestimmtheit der Einwilligung in der Regel aus dem Zusammenspiel der Informationen an die betroffene Person und der Einwilligungserklärung ergibt.274 Die Notwendigkeit der bestimmten Einwilligung steht zudem in engem Zusammenhang mit dem Zweckbindungsgrundsatz aus Art. 5 Abs. 1 lit. b DSGVO als Schutz vor einer schrittweisen Ausweitung der Zwecke.275 Das Risiko für betroffene Personen bei der Ausweitung der Zwecke besteht darin, dass es zu einer unerwarteten Verarbeitung personenbezogener Daten durch den Verantwortlichen oder durch Dritte und somit zu einem Kontrollverlust der betroffenen Person kommen kann.276 Dies soll durch den Bestimmtheitsgrundsatz bzw. die Zweckbestimmung begrenzt werden. Es bedarf daher einer hinreichenden Konkretisierung der geplanten Verarbeitungen.277 Die Einwilligung muss so bestimmt wie möglich sein, insbesondere muss sie den für die Verarbeitung Verantwortlichen, die Datenkategorien und den Verarbeitungszweck umfassen.278 Eine pauschale Einwilligung, die nicht auf die konkreten Zwecke der jeweiligen Verarbeitung bezogen ist, ist daher unwirksam.279 Die Einwilligung muss sich aber nicht allein auf einen Datenverarbeitungszweck beschränken, da die betroffene Person ihre Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO „für einen oder mehrere festgelegte Zwecke“ erteilen kann.280 Sofern die einzelnen Zwecke hinreichend bestimmt und abschließend bezeichnet sind, kann die Einwilligung daher auch für mehrere Zwecke zugleich abgegeben werden.281 272 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 15. 273 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 74. 274 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 75; EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 17. 275 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 16. 276 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 16. 277 Spranger, MedR 2017, 864 (864). 278 Roßnagel, ZD 2019, 157 (160); Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 75. 279 Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 DSGVO Rn. 9; Schulz, in: Gola, DSGVO, Art. 7 DSGVO Rn. 34; Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 179; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 DSGVO Rn. 69; Ernst, in: Paal / Pauly, DSGVO BDSG, Art. 4 DSGVO Rn. 78; Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 68. 280 Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 62. 281 Conrad / Treeger, in: Auer-Reinsdorff / Conrad, IT- und Datenschutzrecht, § 34 Rn. 480; Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 77; Spranger, MedR 2017, 684 (684).
138
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
Etwas anderes ergibt sich auch nicht aus EG 32 S. 5 DSGVO, nach dem für alle Verarbeitungszwecke eine Einwilligung gegeben werden sollte, wenn die Verarbeitung mehreren Zwecken dient. Denn daraus lässt sich kein Hinweis auf die konkrete Art der Ausgestaltung der Einwilligung entnehmen.282 Als problematisch dürften sich in diesem Zusammenhang allein Einwilligungskonzepte erweisen, bei denen die betroffene Person bezüglich einer Vielzahl von Verarbeitungsvorgängen vor die Wahl gestellt wird, ihre Einwilligung entweder ganz oder gar nicht zu erteilen.283 Werden jedoch alle Verarbeitungszwecke gesondert in der Einwilligungserklärung aufgeführt und wird dem Patienten etwa durch das Ankreuzen von Kästchen die Möglichkeit eingeräumt, einzelnen Verarbeitungszwecken zu widersprechen, ist ein solches Vorgehen nicht zu beanstanden.284 So geht auch der EDSA davon aus, dass ein Verantwortlicher, der die Einwilligung für unterschiedliche Zwecke einholen möchte, für jeden Zweck ein gesondertes „Opt-in“ bereitstellen sollte.285 d) Ausdrücklichkeit Gemäß Art. 9 Abs. 2 lit. a DSGVO ist für die Verarbeitung besonderer Kategorien personenbezogener Daten eine ausdrückliche Einwilligung erforderlich.286 Ausdrücklich ist die Einwilligung, wenn sie durch eine positiv bejahende Handlung unmittelbar und spezifisch das Einverständnis zum Ausdruck bringt.287 Was dieses zusätzliche Tatbestandsmerkmal indes konkret bedeutet, ist nicht abschließend geklärt.288 Weitgehend übereinstimmend wird zunächst angenommen, dass eine konkludente Einwilligung jedenfalls nicht ausreichend ist.289 Daneben ist jedoch unklar, ob dieses Merkmal so auszulegen ist, dass sich die Einwilligung nur auf konkrete Datenkategorien oder auch auf die spezifischen Daten im konkreten 282
Reiter, Der Schutz des informationellen Selbstbestimmungsrechts, S. 119; Otto / Rüdlin, ZD 2017, 519 (522). 283 Rohwedder, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 5 Rn. 144; Schantz, NJW 2016, 1841 (1845); Krohm / Müller-Peltzer, ZD 2017, 551 (552); vgl. Buchner, DuD 2016, 155 (158). 284 Otto / Rüdlin, ZD 2017, 519 (522); Reiter, Der Schutz des informationellen Selbstbestimmungsrechts, S. 118 f.; Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 68; Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 77. 285 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 17. 286 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 47; Greve, in: Auern hammer, DSGVO BDSG, Art. 9 DSGVO Rn. 19. 287 Rohwedder, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 5 Rn. 134. 288 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 51; Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 461; Tinnefeld / Conrad, ZD 2018, 391 (395). 289 Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 16; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 51; Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 82; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 47.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
139
Einzelfall beziehen muss.290 Aufschlussreich ist in diesem Zusammenhang der Sinn und Zweck der gesteigerten Anforderung der Ausdrücklichkeit der Einwilligung, der darin besteht, dass die betroffene Person auf die Schutzbedürftigkeit der sensiblen Daten aufmerksam wird und die explizite Gefahr der Verarbeitung dieser Daten für sie greifbar wird.291 Vor diesem Hintergrund genügt es, dass sich die Einwilligung explizit auf die Verarbeitung besonderer Kategorien personenbezogener Daten, wie etwa Gesundheitsdaten, bezieht, während eine Benennung der spezifischen Daten nicht erforderlich ist.292 Die offensichtlichste Möglichkeit, um sicherzustellen, dass die Einwilligung ausdrücklich erteilt wurde, besteht darin, sich diese in einer schriftlichen Erklärung bestätigen zu lassen. Dies stellt jedoch nicht die einzige Möglichkeit dar, eine ausdrückliche Einwilligung zu erteilen, vielmehr kommen auch ausdrücklich mündliche sowie elektronisch fixierte Einwilligungen in Betracht.293 Daneben führt EG 32 S. 3 DSGVO aus, dass „bereits angekreuzte Kästchen“ keine wirksame Einwilligung darstellen sollten. Ein derartiges Vorgehen war bislang in Konsequenz der BGH-Rechtsprechung überwiegend als zulässig angesehen worden.294 Unter der Rechtslage der DSGVO ist hingegen eine Einwilligung im Wege des sog. Opt-out, bei dem der betroffenen Person ein Einverständnis mit der Datenverarbeitung allein deshalb unterstellt wird, weil sie es unterlassen hat, der Einwilligung durch Auskreuzen vorausgefüllter Ankreuzfelder oder Durchstreichen einer bereits vorformulierten Einwilligungsklausel zu widersprechen, nicht mehr zulässig.295 Vielmehr muss sichergestellt sein, dass die betroffene Person ihre Einwilligung in Form einer aktiven Willensbetätigung erklärt hat.296 e) Form Sodann ist zu klären, welche formalen Anforderungen die DSGVO an die Einwilligung stellt. Art. 9 Abs. 2 lit. a DSGVO selbst statuiert keine Formanforderungen. Auch in den Art. 4 Nr. 11 und Art. 7 DSGVO wird keine bestimmte Form für 290
Tinnefeld / Conrad, ZD 2018, 391 (395). Greve, in: Auernhammer, DSGVO BDSG, Art. 9 DSGVO Rn. 19; Spindler / Dalby, in: Spindler / Schuster, Recht der elektronischen Medien, Art. 9 DSGVO Rn. 7. 292 Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 16. 293 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 24; Hauser / Haag, Datenschutz im Krankenhaus, S. 47. 294 BGH, DuD 2008, 818 (820); BGH, DuD 2010, 493 (495); OLG Frankfurt, DuD 2016, 246 (248). 295 Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 58; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 24; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 492; Kühling / Martini, EuZW 2016, 448 (451); EuGH, Urt. v. 1. Oktober 2019 – C-673/17, ZD 2019, 556 (559) – Planet49. 296 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 83; Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 58. 291
140
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
das Erteilen einer Einwilligung vorgeschrieben. Der den Art. 7 DSGVO konkretisierende EG 32 S. 1 DSGVO verdeutlicht vielmehr, dass die Einwilligung schriftlich, elektronisch oder mündlich erteilt werden kann. Beispielhaft wird angeführt, dass dies durch das Anklicken eines Kästchens beim Besuch der Internetseite oder durch eine andere Erklärung, mit der die betroffene Person eindeutig ihr Einverständnis mit der Datenverarbeitung signalisiert, geschehen kann. Die Schriftform der Einwilligungserklärung fordert die DSGVO somit nicht, auch nicht für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten.297 Das Schriftformerfordernis aus § 4a Abs. 1 S. 3 BDSG a. F. findet sich in der DSGVO mithin nicht wieder.298 Teilweise wird jedoch angenommen, dass der Schutzzweck des Art. 9 DSGVO dafür spreche, dass zwar eine elektronische, nicht aber eine mündliche Einwilligungserklärung genüge.299 Der Wortlaut des Art. 9 DSGVO stützt eine solche Einschränkung allerdings nicht, sodass von einer bewussten Entscheidung des Verordnungsgebers hinsichtlich des Verzichts auf jegliche Formanforderungen auszugehen ist.300 Dies gilt insbesondere vor dem Hintergrund der fortschreitenden Digitalisierung.301 Die Einwilligung ist somit aufgrund mangelnder Schriftform nicht unwirksam.302 Jedoch gilt für die Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO die aus Art. 7 Abs. 1 und EG 42 S. 1 DSGVO folgende Nachweispflicht des Verantwortlichen.303 Danach muss der Verantwortliche die Einwilligung nachweisen können, wobei es ihm allerdings freisteht, in welcher Form er das Vorliegen der Einwilligung nachweist.304 Denn an die Form der Nachweisbarkeit stellt Art. 7 Abs. 1 DSGVO keine Anforderungen, weder wird eine Originalunterschrift noch die Textform verlangt.305 Vor dem Hintergrund der Nachweispflicht erscheint es allerdings ratsam, die Einwilligungserklärung der betroffenen Person schriftlich einzuholen.306 So wird der Nachweis problemlos möglich sein, wenn die Einwilligung schriftlich in einem unterzeichneten Formular oder in Textform erklärt wurde.307 297
Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 458. 298 Heberlein, Datenschutz im Social Web, S. 143. 299 Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 35. 300 Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 17. 301 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 94. 302 Thüsing / Schmidt / Forst, RDV 2017, 116 (121). 303 Thüsing / Schmidt / Forst, RDV 2017, 116 (121); Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 35. 304 Schwartmann / Klein, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 7 DSGVO Rn. 20; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 71; Kramer, in: Auernhammer, DSGVO BDSG, Art. 7 DSGVO Rn. 16. 305 Taeger, in: Taeger / Gabel, DSGVO BDSG, Art. 7 DSGVO Rn. 43; Selk, DANA 2016, 59 (60). 306 Werry / Knoblich, MPR 2017, 1 (9); Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 94. 307 Taeger, in: Taeger / Gabel, DSGVO BDSG, Art. 7 DSGVO Rn. 41.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
141
Wenn die Einwilligung schriftlich erfolgt und zusammen mit anderen Erklärungen abgegeben wird, etwa wenn die Einwilligung eines Patienten im Rahmen eines Behandlungsvertrags eingeholt wird,308 schreibt Art. 7 Abs. 2 S. 1 DSGVO zusätzliche Anforderungen vor. Danach muss das Ersuchen um Einwilligung zum einen in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen und zum anderen von den anderen Sachverhalten klar zu unterscheiden sein. Die erstgenannten Anforderungen hinsichtlich Form und Sprache werden unter dem Begriff Transparenzgebot zusammengefasst und sollen dazu beitragen, dass die betroffene Person in die Lage versetzt wird, Tragweite und Umfang ihrer Einwilligung vollumfänglich erfassen zu können. Komplexe Zusammenhänge sind daher in einer für Laien verständlichen Form darzustellen und Fachtermini sind zu umschreiben, sofern nicht explizit Fachkreise angesprochen sind.309 Hinsichtlich des Trennungsgebots wird in der DSGVO, anders als noch in § 4a Abs. 1 S. 4 sowie § 28 Abs. 3a S. 2 BDSG a. F., nicht mehr festgeschrieben, dass die zusammen mit anderen Erklärungen schriftlich erteilte Einwilligung besonders hervorzuheben ist.310 Daher ist es nicht zwingend erforderlich, die Einwilligung drucktechnisch, beispielsweise durch Rahmung oder Fettsetzung, in den Vordergrund zu rücken.311 Es genügt vielmehr, die Einwilligung in einen eigenen Absatz zu fassen.312 Dies führt allerdings nicht zu einer Absenkung des Datenschutzniveaus, da die betroffene Person die Einwilligung nach den Vorgaben der DSGVO jedenfalls in Form einer aktiven Willensbetätigung erklären muss, sodass die nach alter Rechtslage bestehende Gefahr, dass die Einwilligung zwischen anderen Erklärungen versteckt wird und somit von der betroffenen Person nicht bewusst wahrgenommen wird, nicht mehr besteht.313 f) Einwilligungsfähigkeit Die Wirksamkeit der Einwilligung setzt zudem voraus, dass die betroffene Person einwilligungsfähig ist. Die Einwilligungsfähigkeit wird als hinreichende Fähigkeit zur kognitiven Erfassung des Sachverhalts einschließlich der mit der Einwilligung verbundenen Folgen sowie zur selbstbestimmten Willensbildung und -betätigung definiert.314 Die betroffene Person muss folglich in der Lage sein, die Tragweite der Datenverarbeitung zu überblicken und sich verbindlich dazu zu 308
Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 90; Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 66. 309 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 63; Ernst, ZD 2017, 110 (113). 310 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 66. 311 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 66; Dammann, ZD 2016, 307 (308); a. A. Schulz, in: Gola, DSGVO, Art. 7 DSGVO Rn. 44; Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 7 DSGVO Rn. 14; Uecker, ZD 2019, 248 (248). 312 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 66. 313 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 67. 314 Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 DSGVO Rn. 49.
142
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
äußern.315 Dabei ist zwischen der Einwilligungsfähigkeit Minderjähriger und Volljähriger zu differenzieren. aa) Einwilligungsfähigkeit Minderjähriger Die DSGVO sieht keine allgemeine Norm vor, die ausdrücklich festlegt, ab wann ein Minderjähriger einwilligungsfähig ist. In Art. 8 DSGVO findet sich jedoch eine spezielle Regelung für die Wirksamkeit der Einwilligung im Fall der Einwilligung durch einen Minderjährigen. Gemäß Art. 8 Abs. 1 UAbs. 1 S. 1 DSGVO gilt die Einwilligung bei einem Angebot von Diensten der Informationsgesellschaft, welches einem Minderjährigen direkt unterbreitet wird, als rechtmäßig, wenn der Minderjährige das 16. Lebensjahr vollendet hat.316 Da der Anwendungsbereich des Art. 8 DSGVO demnach sachlich auf „Dienste der Informationsgesellschaft“ beschränkt ist, ist zu klären, in welchen Fällen im Gesundheitswesen ein Dienst der Informationsgesellschaft durchgeführt wird und was andernfalls hinsichtlich der Einwilligungsfähigkeit Minderjähriger gilt. Art. 4 Nr. 25 DSGVO verweist bezüglich der Begriffsbestimmung auf Art. 1 Abs. 1 lit. b der Richtlinie 2015/1535317. Dort wird legaldefiniert, was unter einem Dienst der Informationsgesellschaft zu verstehen ist.318 Demnach werden vor allem über das Internet individuell angebotene Dienstleistungen von der Definition erfasst.319 Aufschlussreich sind insbesondere die im Anhang I der Richtlinie benannten Beispiele für Tätigkeiten, die nicht unter diese Definition zu fassen sind. Für den medizinischen Bereich ist relevant, dass weder die „Untersuchung oder 315 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 33; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 32; Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 440. 316 Roßnagel, ZD 2020, 88 (89). 317 Richtline (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABL. EU 2015 L 241, S. 1. 318 Art. 1 Abs. 1 lit. b der Richtlinie (EU) 2015/1535 lautet: b) „Dienst“ [bezeichnet] eine Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Im Sinne dieser Definition bezeichnet der Ausdruck i) „im Fernabsatz erbrachte Dienstleistung“ eine Dienstleistung, die ohne gleichzeitige physische Anwesenheit der Vertragsparteien erbracht wird; ii) „elektronisch erbrachte Dienstleistung“ eine Dienstleistung, die mittels Geräten für die elektronische Verarbeitung (einschließlich digitaler Kompression) und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen wird und die vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischem Wege gesendet, weitergeleitet und empfangen wird; iii) „auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“ eine Dienstleistung, die durch die Übertragung von Daten auf individuelle Anforderung erbracht wird. Eine Beispielliste der nicht unter diese Definition fallenden Dienste findet sich in Anhang I. 319 Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 8 DSGVO Rn. 1.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
143
Behandlung in der Praxis eines Arztes mithilfe elektronischer Geräte […] in Anwesenheit des Patienten“ gemäß Anhang I Nr. 1 lit. a, noch „die medizinische Beratung per Telefon“ gemäß Anhang I Nr. 2 lit. d unter diese Begriffsbestimmung fällt. Somit werden im Gesundheitswesen regelmäßig keine Einwilligungen gegenüber Anbietern von „Diensten der Informationsgesellschaft“ erteilt.320 Fraglich ist, welche Altersgrenze in Fällen gilt, in denen die Einwilligung nicht gegenüber einem Anbieter eines Dienstes der Informationsgesellschaft erteilt wird.321 Für Bereiche, die nicht in den Anwendungsbereich des Art. 8 Abs. 1 DSGVO fallen, enthält die DSGVO keine Regelung hinsichtlich der Einwilligungsfähigkeit von Minderjährigen.322 Außerhalb des direkten Angebots von Diensten der Informationsgesellschaft bleibt es daher bei der schon unter der alten Rechtslage bestehenden Rechtsunsicherheit, wann die Einwilligungsfähigkeit Minderjähriger gegeben ist.323 In der Literatur wird für die Frage der Einwilligungsfähigkeit ganz überwiegend auf das Beurteilungskriterium der Einsichtsfähigkeit des einwilligenden Minderjährigen im konkreten Verarbeitungskontext abgestellt.324 Kriterien, die in die einzelfallabhängige Beurteilung einbezogen werden können, sollen dabei die Befähigung des Minderjährigen zu selbstständigem und verantwortungsbewusstem Handeln, die Komplexität des Verarbeitungsvorgangs sowie die Reichweite der Datenverarbeitung sein.325 Ganz ohne Faustregel bleibt die Frage der Einwilligungsfähigkeit jedoch konturlos und ist in der Praxis wenig operabel. Zu überlegen ist daher, ob sich aus Art. 8 DSGVO die Vermutung ableiten lässt, dass bei Minderjährigen auch außerhalb des Angebots von Diensten der Informationsgesellschaft mit Vollendung des 16. Lebensjahres regelmäßig von dem Vorliegen der Einsichtsfähigkeit auszugehen ist.326 Dafür spricht, dass der europäische 320
Buchner / Schwichtenberg, GuP 2016, 218 (221); teilweise wird in diesem Zusammenhang jedoch auf Fernbehandlungen hingewiesen, Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 71; Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 97. 321 Plath, in: Plath, DSGVO BDSG, Art. 8 DSGVO Rn. 7. 322 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 486; Tinnefeld / Conrad, ZD 2018, 391 (393); Kampert, in: Sydow, DSGVO, Art. 8 DSGVO Rn. 7. 323 Buchner / Schwichtenberg, GuP 2016, 218 (221); Joachim, ZD 2017, 414 (415 f.); Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 477. 324 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 8 DSGVO Rn. 10; Karg, in: BeckOK Datenschutzrecht, Art. 8 DSGVO Rn. 35; Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 70, Art. 8 DSGVO Rn. 13; Schiff, in: Ehmann / Selmayr, DSGVO, Art. 8 DSGVO Rn. 41. 325 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 71; Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 67; Joachim, ZD 2017, 414 (416). 326 So Sypra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 97; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 8 DSGVO Rn. 12; Karg, in: BeckOK Datenschutzrecht, Art. 8 DSGVO Rn. 47 nimmt an, dass es zu einer „rechtspolitischen Ausstrahlungswirkung“ auf Einwilligungen auch außerhalb des Anwendungs bereichs des Art. 8 DSGVO kommen wird; auch Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 488 geht davon aus, dass es zu Wertungswidersprüchen führen würde, in der „Offline-Welt“ stark von der Altersgrenze von 16 Jahren abzuweichen.
144
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
Gesetzgeber offensichtlich der Auffassung ist, dass die Einsichtsfähigkeit von 16-Jährigen ausreicht, um etwa wirksam in die Datenverarbeitung von Sozialen Netzwerken und den damit einhergehenden Risiken für die Persönlichkeitsrechte der Minderjährigen einzuwilligen, sodass nicht ersichtlich ist, warum Vergleichbares nicht auch für Einwilligungen in der „Offlinewelt“ gelten solle.327 Demnach ist auch für die Datenverarbeitung im Gesundheitswesen davon auszugehen, dass sich die Wertungen des Art. 8 Abs. 1 DSGVO übertragen lassen, sodass die Einwilligungsfähigkeit in der Regel ab Vollendung des 16. Lebensjahres angenommen werden kann.328 Bestehen hingegen begründete Anhaltspunkte dafür, dass der Minderjährige trotz Vollendung des 16. Lebensjahres noch nicht die erforderliche Einsichtsfähigkeit besitzt, kann es an der Einsichtsfähigkeit auch trotz Überschreitens der Altersgrenze fehlen. In diesem Fall bedarf es der Berücksichtigung der besonderen Umstände des Einzelfalls. Wenn der betroffene Minderjährige selbst noch nicht die für eine wirksame Einwilligung erforderliche Einsichtsfähigkeit aufweist, ist die Einwilligung von den gesetzlichen Vertretern des Minderjährigen zu erteilen.329 Für den konkreten Fall der Einwilligung in die Datenverarbeitung von Gesundheitsdaten im Rahmen einer ärztlichen Behandlung stellt sich die Frage, inwiefern die datenschutzrechtliche Einwilligungsfähigkeit mit der medizinischen Einwilligungsfähigkeit korrespondiert. Für die Einwilligung in die medizinische Behandlung wird zwar eine starre Altersgrenze abgelehnt, jedoch angenommen, dass Minderjährige unter vierzehn Jahren in der Regel noch nicht einwilligungsfähig seien, sodass die Einwilligung der Sorgeberechtigten einzuholen sei.330 Auf der Altersstufe vom vierzehnten bis zum achtzehnten Lebensjahr komme es sodann darauf an, wie der Arzt die Persönlichkeit des Jugendlichen im Hinblick auf den geplanten medizinischen Eingriff beurteile.331 Nach der Vollendung des 16. Lebensjahres könne die Einwilligungsfähigkeit jedoch, ebenso wie hier in Bezug auf die datenschutzrechtliche Einwilligung vertreten, nicht ohne Weiteres abgelehnt werden.332 Damit besteht zumindest in Bezug auf Minderjährige, die das 16. Le 327
Karg, in: BeckOK Datenschutzrecht, Art. 8 DSGVO Rn. 42; a. A. Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 34, nach dem die in Art. 8 DSGVO festgelegten Altersgrenzen wegen der ausdrücklichen tatbestandlichen Einschränkung nicht verallgemeinerungsfähig sind; Joachim, ZD 2017, 414 (415 f.). 328 So auch Roßnagel, ZD 2019, 157 (160) in Bezug auf die Datenverarbeitung für Forschungsvorhaben; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 8 DSGVO Rn. 4. 329 Buchner, FamRZ 2019, 665 (668); die gesetzlichen Vertreter des Kindes sind in der Regel die Eltern gemäß §§ 1626 ff. BGB, ansonsten ein Vormund nach §§ 1773 ff. BGB oder ein Pfleger gemäß § 1630 BGB. 330 Katzenmeier, in: Laufs / Katzenmeier / Lipp, Arztrecht, V. Rn. 52; ders., in: BeckOK BGB, § 630d BGB Rn. 13; Förster, in: BeckOK BGB, § 823 BGB Rn. 882. 331 Katzenmeier, in: Laufs / Katzenmeier / Lipp, Arztrecht, V. Rn. 52; ders., in: BeckOK BGB, § 630d BGB Rn. 13; Ulsenheimer, in: Laufs / Kern / Rehborn, Handbuch des Arztrechts, § 149 Rn. 65. 332 Spickhoff, FamRZ 2018, 412 (419); Sternberg-Lieben, in: Schönke / Schröder, StGB, § 223 StGB Rn. 38d.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
145
bensjahr vollendet haben, ein Gleichlauf, da sowohl in Bezug auf die Einwilligung in die Datenverarbeitung als auch im Hinblick auf die Einwilligung in die medizinische Behandlung regelmäßig vom Vorliegen der Einwilligungsfähigkeit ausgegangen werden kann. Im Übrigen wird sich die datenschutzrechtliche Einwilligungsfähigkeit jedoch nicht an den zur medizinischen Einwilligungsfähigkeit entwickelten Grundsätzen orientieren können, vielmehr muss sich diese nach den Wertungen des europäischen Gesetzgebers richten. Darüber hinaus stellt sich in Anknüpfung an die Diskussion zur Einwilligung in die medizinische Behandlung die Frage, ob der einsichtsfähige Minderjährige allein in die Datenverarbeitung einwilligen kann oder ob darüber hinaus die Notwendigkeit der Mitwirkung der gesetzlichen Vertreter besteht.333 So wird in Bezug auf die Einwilligung in die medizinische Behandlung zum Teil angenommen, dass sowohl der einwilligungsfähige Minderjährige als auch dessen gesetzliche Vertreter kumulativ einwilligen müssen,334 wobei teilweise zwischen schweren und weniger schweren Eingriffen differenziert wird.335 Andere nehmen demgegenüber an, dass dem einwilligungsfähigen Minderjährigen eine Alleinentscheidungskompetenz zustehe.336 Zutreffend wird in diesem Zusammenhang darauf hingewiesen, dass es inkonsequent erscheine, für den einsichtsfähigen Minderjährigen zusätzlich den sog. elterlichen Co-Konsens zu fordern, da das Erfordernis eines solchen Co-Konsenses zu einer erheblichen Relativierung der mit Zuerkennung der Einwilligungsfähigkeit bejahten partiellen Mündigkeit des Minderjährigen führe.337 Sei ein Minderjähriger zur konkreten Entscheidung in der Lage, bestehe keine Notwendigkeit, dass die Sorgeberechtigen in eine solche Entscheidung „hineinregieren“.338 Der Befürwortung eines solchen Co-Konsenses dürfte wohl eher die Annahme zugrundeliegen, dass es dem Minderjährigen in Wahrheit doch an der notwendigen Einsichtsfähigkeit fehlt.339 Dann wäre aber richtigerweise bereits die Einsichtsfähigkeit des Minderjährigen abzulehnen und diese nicht erst zu bejahen, um sie anschließend durch das Erfordernis der zusätzlichen Einwilligung des Sorgeberechtigten wieder zu relativieren. Aus gleichen Gründen muss ein doppeltes Einwilligungserfordernis auch hinsichtlich der Einwilligung des Minderjähri 333
Lugani, NJW 2020, 1330 (1330) m. w. N. Nebendahl, MedR 2009, 197 (202 ff.); Coester-Waltjen, MedR 2012, 553 (559); Kaeding / Schwenke, MedR 2016, 935 (940); Lipp, in: Laufs / Katzenmeier / Lipp, Arztrecht, VI. Rn. 183. 335 Coester-Waltjen, MedR 2012, 553 (559). 336 Spickhoff, FamRZ 2018, 412 (423); ders., in: Spickhoff, Medizinrecht, § 630d BGB Rn. 8; Lugani, in: MüKo-BGB, § 1666 BGB Rn. 79 m. w. N.; Huber, in: MüKo-BGB, § 1626 BGB Rn. 42; Kern, in: Laufs / Kern / Rehborn, Handbuch des Arztrechts, § 65 Rn. 4; Veit, in: BeckOK BGB, § 1626 BGB Rn. 59; OLG Hamm, NJW 2020, 1373 (1375) Rn. 22 im Hinblick auf eine einsichtsfähige minderjährige Schwangere, die zu einem Schwangerschaftsabbruch nicht der Einwilligung ihrer Eltern bedürfe; differenzierend Wagner, in: MüKo-BGB, § 630d BGB Rn. 41 ff. 337 Veit, in: BeckOK BGB, § 1626 BGB Rn. 58. 338 Spickhoff, FamRZ 2018, 412 (423). 339 Spickhoff, FamRZ 2018, 412 (423). 334
146
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
gen in die Datenverarbeitung abgelehnt werden.340 Dies entspricht auch dem für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft in Art. 8 Abs. 1 UAbs. 1 S. 2 DSGVO festgelegten Grundsatz, dass die Einwilligung der gesetzlichen Vertreter des Kindes oder deren Zustimmung341 nur erforderlich ist, wenn der Minderjährige das 16. Lebensjahr noch nicht vollendet hat.342 Unabhängig von Altersgrenzen oder dem Bezugspunkt der Einwilligung legt EG 58 S. 4 DSGVO fest, dass im Fall der Einwilligung durch Minderjährige aufgrund deren besonderer Schutzwürdigkeit sichergestellt sein muss, dass Informationen und Hinweise in einer klaren und einfachen Sprache erfolgen, damit diese sie verstehen können. bb) Einwilligungsunfähigkeit Volljähriger Für volljährige Personen hält die DSGVO keine spezielle Regelung hinsichtlich der Einwilligungsfähigkeit bereit. Gemäß Art. 4 Nr. 11 DSGVO muss die betroffene Person ihre Einwilligung freiwillig und in informierter Weise erteilen. Dies bedingt, dass die betroffene Person in der Lage sein muss, die Bedeutung und Tragweite ihrer Erklärung zu erfassen.343 Bei Erwachsenen ist im Regelfall vom Vorliegen der datenschutzrechtlichen Einwilligungsfähigkeit auszugehen.344 Erst wenn Anzeichen darauf hindeuten, dass Einschränkungen vorliegen könnten, etwa aufgrund von psychischen Erkrankungen, ist eine genaue Untersuchung erforderlich. Für den Fall, dass bei einem Volljährigen keine Einsichtsfähigkeit vorliegt, kommt die Einholung der Einwilligung des nach § 1896 Abs. 1 BGB gerichtlich bestellten Betreuers oder des Bevollmächtigten gemäß § 1896 Abs. 2 S. 2 BGB in Betracht. Allerdings ist die Zulässigkeit einer Stellvertretung bei der Abgabe einer 340
Etwas anderes gilt allein, wenn in Spezialvorschriften ausnahmsweise vorgeschrieben ist, dass bei Minderjährigen in jedem Fall zusätzlich die Einwilligung des gesetzlichen Vertreters in die Datenverarbeitung erforderlich ist, so wie dies etwa in Bezug auf die mit der klinischen Prüfung einhergehende Datenverarbeitung in § 40b Abs. 3 S. 1 AMG n. F. festgelegt wird. Diese Bestimmungen regeln jedoch spezielle Konstellationen, die sich nicht verallgemeinern lassen. 341 Mit Zustimmung ist hier – anders als im deutschen Recht gemäß §§ 183, 184 Abs. 1 BGB – nur die vorherige Zustimmung gemeint, dazu ausführlich Funke, Dogmatik und Voraussetzung der datenschutzrechtlichen Einwilligung, S. 214 ff.; Gola / Schulz, ZD 2013, 475 (478); Schulz, in: Gola, DSGVO, Art. 8 DSGVO Rn. 17; Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 8 DSGVO Rn. 21; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 8 DSGVO Rn. 26. 342 Schulz, in: Gola, DSGVO, Art. 8 DSGVO Rn. 17; Plath, in: Plath, DSGVO BDSG, Art. 8 DSGVO Rn. 3. 343 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 33; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 32; Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 440. 344 So auch in Bezug auf die Einwilligung in die medizinische Behandlung Lugani, NJW 2020, 1330 (1330); Ulsenheimer, in: Laufs / Kern / Rehborn, Handbuch des Arztrechts, § 149 Rn. 64; Katzenmeier, in: Laufs / Katzenmeier / Lipp, Arztrecht, V. Rn. 51.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
147
Einwilligungserklärung mangels Regelung in der DSGVO bislang ungeklärt.345 So wird teilweise darauf hingewiesen, dass die datenschutzrechtliche Einwilligung im Ausgangspunkt höchstpersönlicher Natur sei, sodass Zweifel bestünden, ob sie als solche rechtsgeschäftlich auf einen gewillkürten Stellvertreter übertragen werden könne.346 Nach anderer Auffassung wird zutreffend darauf verwiesen, dass das Recht auf informationelle Selbstbestimmung auch die Befugnis des Einzelnen umfasse, darüber zu entscheiden, ob er dieses Recht höchstpersönlich oder durch Einschaltung eines Vertreters ausüben möchte.347 Allerdings gelten für die Erteilung einer solchen Vollmacht grundsätzlich die gleichen Voraussetzungen wie für die Erteilung der Einwilligung selbst, insbesondere müsse die Vollmacht zweckbestimmt erteilt werden.348 Eine Stellvertretung komme daher dann in Betracht, wenn eine Vollmacht vorliege, aus der sich die ausdrückliche Entscheidung des Versicherten ergebe, dass der Vertreter für bestimmte, festgelegte Sachverhalte eine Einwilligungserklärung abgeben dürfe.349 Vor diesem Hintergrund bietet es sich an, im Rahmen der Erteilung einer Vorsorgevollmacht auch die Zulässigkeit einer Datenverarbeitung durch den Bevollmächtigten ausdrücklich zu regeln, indem der Vollmachtgeber auch die Einwilligung in die Verarbeitung der ihn betreffenden Daten erteilt.350 Dabei ist dann vor allem darauf zu achten, dass konkret benannt wird, zu welchen Zwecken eine Datenverarbeitung erlaubt werden soll. Soweit daneben, etwa im Rahmen der Gesundheitssorge, Gesundheitsdaten als besondere Kategorien personenbezogener Daten verarbeitet werden, muss sich die Erteilung der Vollmacht auch explizit auf die Verarbeitung dieser Daten beziehen.351 Enthält die Vorsorgevollmacht keine dahingehende Regelung für die Einwilligung in die Datenverarbeitung, kommt ein Rückgriff auf den gesetzlichen Erlaubnistatbestand des Art. 9 Abs. 2 lit. c DSGVO in Betracht.352 Hat ein handlungsunfähiger Betroffener hingegen einen gesetzlichen Vertreter oder liegt eine entsprechende Vorsorgevollmacht vor, so scheidet eine Berufung auf Art. 9 Abs. 2 lit. c DSGVO mangels rechtlicher Unmöglichkeit der Einholung der Einwilligung aus.353 In diesem Fall muss versucht werden, von der vertretungsberechtigten Person eine Einwilligung einzuholen.354 345
Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 31. GMDS / GDD, Datenschutzrechtliche Anforderungen an die medizinische Forschung unter Berücksichtigung der EU-Datenschutz-Grundverordnung, S. 18; GMDS / GDD, Die datenschutzrechtliche Einwilligung, Version 2.0, S. 68; Taeger, in: Taeger / Gabel, DSGVO BDSG, Art. 7 DSGVO Rn. 10; Ernst, ZD 2017, 110 (111); v. Ulmenstein, DuD 2020, 528 (532 f.). 347 Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 31. 348 Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 31. 349 Hoffmann, NZS 2017, 807 (808); Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 31; Däubler, in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, Art. 7 DSGVO Rn. 13a. 350 Buchner, FamRZ 2019, 665 (670). 351 Buchner, FamRZ 2019, 665 (670). 352 S. dazu bereits oben unter Kap. 2 A. II. 4., (S. 125 f.). 353 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 68. 354 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 68. 346
148
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
Auch im Zusammenhang mit der gesetzlichen Stellvertretung verdient es Beachtung, dass die datenschutzrechtliche Einwilligung im Ausgangspunkt höchstpersönlicher Natur ist.355 Diesem Umstand wird bei der Betreuung nach den §§ 1896 ff. BGB aber insoweit Rechnung getragen, als die Einwilligung des Betreuers dem Wohl des Betreuten zu entsprechen hat und dessen Wünsche und Interessen nach wie vor Beachtung finden müssen, § 1896 Abs. 1a BGB.356 Daher sind auch Betreuererklärungen zur datenschutzrechtlichen Einwilligung des Betreuten, welche diesen Anforderungen entsprechen, als wirksam anzusehen.357 2. Widerrufbarkeit der Einwilligung Gemäß Art. 7 Abs. 3 S. 1 DSGVO hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen. Art. 7 Abs. 3 DSGVO vollzieht damit nach, dass die Selbstbestimmung über die Einwilligung auch deren Widerruf ermöglicht.358 Es soll somit im Sinne der informationellen Selbstbestimmung sichergestellt werden, dass der Einzelne in der Lage ist, sein einmal erteiltes Einverständnis in die Datenverarbeitung auch nachträglich wieder zu revidieren.359 Dabei kann die betroffene Person ihre Einwilligung gemäß Art. 7 Abs. 3 S. 2 DSGVO jedoch nur mit Wirkung für die Zukunft widerrufen, sodass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung von dem Widerruf der Einwilligung unberührt bleibt.360 Zwar sind die auf der Grundlage der widerrufenen Einwilligung verarbeiteten Daten mit der Ausübung des Widerrufsrechts zu löschen. Dies gilt gemäß Art. 17 Abs. 1 lit. b DSGVO allerdings nur, wenn es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt.361 Auf die Möglichkeit des Widerrufs muss der Einwilligende gemäß Art. 7 Abs. 3 S. 3 DSGVO vor Erteilung der Einwilligung hingewiesen werden.362 Aufgrund der Formulierung „hiervon“, die sich auf die in Art. 7 Abs. 3 S. 2 DSGVO statuierte ex nunc-Wirkung der Einwilligung bezieht, ist die betroffene Person vor Abgabe ihrer Einwilligung auch über die rechtliche Wirkung des Widerrufs in Kenntnis zu setzen.363
355
Steinrötter, ZD 2020, 336 (339). Steinrötter, ZD 2020, 336 (339). 357 Steinrötter, ZD 2020, 336 (339). 358 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 7 DSGVO Rn. 16. 359 Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 34. 360 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 87; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 7 DSGVO Rn. 16. 361 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 91; ausführlich zum Recht auf Löschung nach Art. 17 DSGVO unter Kap. 4 C. II., (S. 274 ff.). 362 Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 7 DSGVO Rn. 121; Plath, in: Plath, DSGVO BDSG, Art. 7 DSGVO Rn. 16; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 7 DSGVO Rn. 16; Selk, DANA 2016, 59 (61); Schütze / Spyra, RDV 2016, 285 (286). 363 Rombach, in: Hauck / Noftz, SGB X, § 67b SGB X Rn. 75; Plath, in: Plath, DSGVO BDSG, Art. 7 DSGVO Rn. 16; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 7 DSGVO Rn. 16. 356
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
149
Die rechtlichen Folgen eines Fehlens der Aufklärung des Betroffenen über dieses Widerrufsrecht sind gesetzlich nicht geregelt und daher unklar.364 Wenn man, wie in der Überschrift festgelegt, von einer „Bedingung für die Einwilligung“ ausgeht, wäre bei einem Fehlen der Widerrufsbelehrung von einer Unwirksamkeit der Einwilligung auszugehen.365 Systematische Erwägungen lassen jedoch darauf schließen, dass ein Verstoß gegen die Aufklärungspflicht die Wirksamkeit der Einwilligung unberührt lässt.366 Denn Art. 7 Abs. 2 S. 2 DSGVO ordnet bei einem Verstoß gegen das Trennungs- und Transparenzgebot ausdrücklich die Rechtsfolge der Unverbindlichkeit der Einwilligung an, während die rechtlichen Folgen des Fehlens der Belehrung in Art. 7 Abs. 3 DSGVO nicht geregelt sind.367 Die Normierung der Unwirksamkeitsfolge in Art. 7 Abs. 2 S. 2 DSGVO wäre nicht erforderlich gewesen, wenn der Verordnungsgeber stets die Unwirksamkeit der Einwilligung bei einem Verstoß gegen Art. 7 DSGVO intendiert hätte.368 Die fehlende Widerrufsbelehrung führt mithin nicht zur Unwirksamkeit der Einwilligung. Daneben muss der Widerruf der Einwilligung gemäß Art. 7 Abs. 3 S. 4 DSGVO so einfach wie die Erteilung der Einwilligung erklärt werden können. Dies beschränkt sich nicht nur auf die Form der Erteilung des Widerrufs, sondern erfasst auch sämtliche Umstände der Erklärung, sodass etwa nicht festgelegt werden kann, dass der Widerruf nur gegenüber einem bestimmten Ansprechpartner erklärt werden kann.369 3. Rückausnahme in Art. 9 Abs. 2 lit. a Hs. 2 DSGVO Nach Art. 9 Abs. 2 lit. a Hs. 2 DSGVO darf die Einwilligung als grundsätzlich unmittelbar geltende Verarbeitungsbefugnis durch mitgliedstaatliches Recht beschränkt werden.370 Denn die Vorschrift räumt den Mitgliedstaaten im Falle der Verarbeitung besonderer Kategorien personenbezogener Daten die Möglichkeit ein, die Datenverarbeitung trotz Vorliegens einer Einwilligung per Gesetz zu versagen.371 In diesem Zusammenhang ist jedoch zu berücksichtigen, dass die Ein 364
Ernst, ZD 2020, 383 (383); Ernst, ZD 2017, 110 (112); Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 90a. 365 Plath, in: Plath, DSGVO BDSG, Art. 7 DSGVO Rn. 16; Kramer, in: Auernhammer, DSGVO BDSG, Art. 7 DSGVO Rn. 38. 366 Ernst, ZD 2017, 110 (112); Ernst, in: Paal / Pauly, DSGVO BDSG, Art. 4 DSGVO Rn. 77; Plath, in: Plath, DSGVO BDSG, Art. 7 DSGVO Rn. 16; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 89. 367 Ernst, ZD 2020, 383 (383); Ernst, ZD 2017, 110 (112); Plath, in: Plath, DSGVO BDSG, Art. 7 DSGVO Rn. 16. 368 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 89. 369 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 7 DSGVO Rn. 17; Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 90b. 370 Bieresborn, in: Schütze, SGB X, Vorbemerkungen zu §§ 67–85a SGB X Rn. 38 f.; ders., in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 29. 371 Kühling, MedR 2019, 611 (612).
150
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
willigung stets auch Ausdruck des grundrechtlich garantierten Rechts auf informationelle Selbstbestimmung ist.372 Daher ist eine Einwilligungsfestigkeit nur in Ausnahmefällen gerechtfertigt.373 Unklarheit besteht dahingehend, ob die Regelung die Möglichkeit eröffnet, neben des Ausschlusses der Einwilligung an diese auch weitergehende Anforderungen zu stellen.374 Erhöhte Anforderungen an die Einwilligung finden sich im bereichsspezifischen Recht etwa in § 67b Abs. 2 SGB X, der u. a. spezielle Formerfordernisse für die Einwilligung aufstellt. Gleiches gilt für § 8 Abs. 1 S. 1 und 3 GenDG, der verlangt, dass die Einwilligung in die Verarbeitung genetischer Daten zu Zwecken der Durchführung genetischer Untersuchungen oder Analysen nicht nur ausdrücklich, sondern auch schriftlich erteilt wird.375 Ob solche zusätzlichen Anforderungen über die Ausnahme des Art. 9 Abs. 2 lit. a Hs. 2 DSGVO abgedeckt sind, ist zu klären. Nach einer Auffassung lässt Art. 9 Abs. 2 lit. a Hs. 2 DSGVO keinen Raum für die mitgliedstaatliche Modifikation der Anforderungen an die Einwilligung.376 Zur Begründung wird vor allem auf den Wortlaut und die Systematik verwiesen. Nach dem Wortlaut sei nur eine Regelung möglich, die es verbiete das Verarbeitungsverbot aus Art. 9 Abs. 1 DSGVO durch eine Einwilligung einzuschränken, dieser umfasse daher zumindest nicht zwingend auch die Befugnis zur Modifikation der Anforderungen an die Einwilligung.377 Auch die Systematik spreche gegen eine den Mitgliedstaaten zugestandene Möglichkeit der Modifikation der Anforderungen an die Einwilligung. Denn während es den Mitgliedstaaten in Art. 9 Abs. 4 DSGVO ausdrücklich zugestanden werde, die Anforderungen an die Einwilligung zu konkretisieren, sei dies in Art. 9 Abs. 2 lit. a DSGVO nicht explizit vorgesehen. Ganz überwiegend wird demgegenüber davon ausgegangen, dass die Ermächtigung zum Verbot der Einwilligung in der DSGVO als Minus auch die Befugnis der Mitgliedstaaten enthalte, die Anforderung an die Einwilligung zu verschärfen.378 Zutref 372
Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 49; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 23; Kühling, MedR 2019, 611 (612); ders. / Klar, DuD 2013, 791 (795); ders. / Martini et al., Die DSGVO und das nationale Recht, S. 49. 373 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 23; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 49; Kampert, in: Sydow, DSGVO, Art. 9 DSGVO Rn. 15; auch Kühling / Seidel, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 151 betrachten die Möglichkeit des Ausschlusses der Einwilligung kritisch. 374 Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 49; Kühling, MedR 2019, 611 (612). 375 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 100. 376 Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 36. 377 Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 36; auch Kühling, MedR 2019, 611 (612) sowie Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 50 gehen davon aus, dass eine Verschärfung der Anforderungen an die Einwilligung im Wortlaut der Öffnungsklausel nicht zwingend angelegt sei, vertreten aber gleichwohl die Gegenauffassung. 378 Kühling, MedR 2019, 611 (612); ders. / Martini et al., Die DSGVO und das nationale Recht, S. 49 f.; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 49; Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 19; Weichert, in: Kühling / Buchner, DSGVO BDSG,
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
151
fend wird in diesem Zusammenhang auf die mit der Vorschrift eingeräumte weit reichende mitgliedstaatliche Gestaltungsbefugnis hingewiesen, aus der sich ergebe, dass auch eine Verschärfung der Anforderungen der Einwilligung abgedeckt sei.379 Demnach können auf der Grundlage des Art. 9 Abs. 2 lit. a Hs. 2 DSGVO auch erhöhte Anforderungen an die Einwilligung, etwa in Form des Erfordernisses einer vorherigen fachkundigen Beratung oder bestimmter Formanforderungen, gestellt werden.380 Letztlich wirkt sich die Streitfrage zumindest bei der Verarbeitung von Gesundheitsdaten allerdings nicht aus, da Art. 9 Abs. 4 DSGVO für Gesundheitsdaten die Einführung zusätzlicher Bedingungen, einschließlich Beschränkungen, ermöglicht, sodass Verschärfungen der Anforderungen an die Einwilligung jedenfalls auf Art. 9 Abs. 4 DSGVO gestützt werden können.381 4. Zwischenfazit In Fällen außerhalb der eigentlichen Behandlungssituation kann die Einholung einer Einwilligung zur Legitimation der Verarbeitung von Gesundheitsdaten erforderlich sein. Der Einwilligung kommt daher auch unter der DSGVO als Erlaubnistatbestand für eine rechtmäßige Datenverarbeitung im Gesundheitswesen eine gewisse Bedeutung zu.382 Gleichwohl sieht sich die Einwilligung berechtigterweise teils erheblicher Kritik ausgesetzt, da in der alltäglichen Datenverarbeitung oft nicht allzu viel von einer freien und informierten Entscheidung der betroffenen Person übrig bleibe.383 Vielmehr erschöpfe sich die Einwilligung oftmals in einem bloßen Formalismus, der mit einer wirklichen Ausübung informationeller Selbstbestimmung wenig gemein habe.384 Auch unter der Rechtslage der DSGVO werden sich diese Bedenken nicht gänzlich ausräumen lassen, jedoch sieht die DSGVO Ansätze vor, um diesen Tendenzen zumindest entgegenzuwirken. Dies gilt etwa im Hinblick auf vorausgefüllte Ankreuzfelder, denen durch die DSGVO eine klare Absage erteilt wird, sowie für die Vorgaben zur Gewährleistung der FreiwilligArt. 9 DSGVO Rn. 48; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Rn. 36; Greve, in: Auernhammer, DSGVO BDSG, Art. 9 DSGVO Rn. 20; Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 26. 379 Kühling, MedR 2019, 611 (612); Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 50. 380 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 48; Dochow, GesR 2016, 401 (405). 381 Kühling, MedR 2019, 611 (612); ausführlich zu Art. 9 Abs. 4 DSGVO bereits unter Kap. 2 A. I. 6., (S. 127 ff.). 382 Buchner / Schwichtenberg, GuP 2016, 218 (220); Werry / Knoblich, MPR 2017, 1 (9); Dochow, GesR 2016, 401 (403 ff.). 383 Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 10 f.; Buchner, in: FS Hart, 49 (54); Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 471 m. w. N.; Dochow, MedR 2019, 636 (645); ders., Telematik im Gesundheitswesen, S. 703 f. m. w. N. 384 Buchner / Kühling, DuD 2017, 544 (545); Kramer, in: Auernhammer, DSGVO BDSG, Art. 7 DSGVO Rn. 3.
152
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
keit der Einwilligung.385 Gerade mit Blick auf die Freiwilligkeit der Einwilligung kommen im Gesundheitswesen oft Zweifel bezüglich der Wirksamkeit der Einwilligung auf.386 Zwar ist trotz des Bestehens eines gewissen Ungleichgewichts im Arzt-Patienten-Verhältnis nicht von vornherein davon auszugehen, dass die Einwilligung unfreiwillig erteilt wurde, allerdings ist eine differenzierte Prüfung der Freiwilligkeit der Einwilligung im Einzelfall geboten. Auch im Übrigen stellt die DSGVO an die Wirksamkeit der Einwilligung insgesamt hohe Anforderungen. Dies gilt insbesondere für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten, wie Gesundheitsdaten, die teilweise strengeren Anforderungen unterliegt.387 Werden die Wirksamkeitsvoraussetzungen der Einwilligung nicht eingehalten, ist die auf der Einwilligung beruhende Datenverarbeitung rechtswidrig, was ein empfindliches Bußgeld nach sich ziehen kann.388
IV. Verhältnis der Erlaubnistatbestände zueinander Nachdem die für die Datenverarbeitung im Gesundheitswesen wesentlichen Erlaubnistatbestände im Einzelnen erörtert wurden, stellt sich die Frage, wie sich diese Zulässigkeitstatbestände zueinander verhalten. Dazu ist zunächst grund legend festzuhalten, dass die Einwilligung und die gesetzlichen Erlaubnistatbestände nach der Konzeption der DSGVO als Rechtfertigungsmöglichkeiten gleichrangig nebeneinander stehen.389 Insbesondere ist der Tatsache, dass der Gesetzgeber die Einwilligung sowohl in Art. 6 Abs. 1 DSGVO als auch in Art. 9 Abs. 2 DSGVO an die Spitze der Erlaubnistatbestände gestellt hat, kein Vorrang der Einwilligung vor anderen Erlaubnistatbeständen zu entnehmen.390 Dies folgt bereits aus Art. 8 Abs. 2 S. 1 GRCh nach dem personenbezogene Daten entweder „mit Ein-
385
Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 12; Buchner, Datenschutz im Gesundheitswesen, S. 30 ff.; Buchner / Kühling, DuD 2017, 544 (545). 386 Dochow, MedR 2019, 636 (645). 387 Piltz, K&R 2016, 557 (566). 388 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 77; BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A9); nach Art. 83 Abs. 5 lit. a DSGVO können Geldbußen von bis zu 20. 000. 000 Euro oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher Betrag höher ist. 389 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 19; Plath, in: Plath, DSGVO BDSG, Art. 6 DSGVO Rn. 5; Reimer, in: Sydow, DSGVO, Art. 6 DSGVO Rn. 8; Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 10; Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung, S. 112; Thüsing / Rombey, NZS 2019, 201 (203); Veil, NVwZ 2018, 686 (688); Veil, NJW 2018, 3337 (3338); Gierschmann, MMR 2018, 7 (8); Uecker, ZD 2019, 248 (248); Engeler, ZD 2018, 55 (56). 390 Kramer, in: Auernhammer, DSGVO BDSG, Art. 6 DSGVO Rn. 25, Art. 7 DSGVO Rn. 2; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 19; Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 10; Krusche, ZD 2020, 232 (233); Veil, NJW 2018, 3337 (3338); a. A. Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 6 DSGVO Rn. 10.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
153
willigung der betroffenen Person“ oder „auf einer sonstigen gesetzlich geregelten legitimen Grundlage“ verarbeitet werden dürfen.391 Auch Art. 8 Abs. 2 S. 1 GRCh weist der Einwilligung mithin keine hervorgehobene Stellung zu.392 Der Gleichrang der Rechtsgrundlagen kommt zudem auch in EG 40 DSGVO zum Ausdruck, der festlegt, dass personenbezogene Daten, damit die Verarbeitung rechtmäßig ist, mit Einwilligung der betroffenen Person oder auf einer sonstigen Rechtsgrundlage verarbeitet werden können. Eine inhaltliche Aussage wird durch die Reihenfolge, in der die Tatbestandsvarianten aufgelistet sind, daher nicht getroffen.393 Die Annahme, dass das deutsche Gesundheitsdatenschutzrecht auf die Einwilligung fokussiert sei,394 wird daher ausdrücklich als „Fehlannahme“395 bezeichnet. Die Einwilligung steht als Rechtfertigungsmöglichkeit gleichrangig neben den übrigen gesetzlichen Rechtsgrundlagen. Ausgehend von dieser Annahme wird überwiegend vertreten, dass der Verantwortliche auch dann eine Einwilligung bei der betroffenen Person einholen dürfe, wenn sich die Datenverarbeitung an sich bereits auf einen gesetzlichen Zulässigkeitstatbestand stützen ließe.396 Vereinzelt wird hingegen angenommen, dass von einer Rechtswirkung der Einwilligung nicht auszugehen sei, wenn parallel zur Einwilligung weitere Zulässigkeitstatbestände griffen, da Art. 7 Abs. 1 DSGVO davon spreche, dass die Verarbeitung auf einer Einwilligung beruhen müsse.397 Jedoch würde dadurch eine Subsidiarität der Einwilligung herbeigeführt, die in der DSGVO nicht angelegt ist. Weitergehend wird die Frage diskutiert, ob eine Datenverarbeitung auch zugleich auf mehrere Rechtsgrundlagen gestützt werden kann, mit der Folge, dass die Datenverarbeitung bei dem Wegfall der einen Rechtsgrundlage auf Basis der verbleibenden Rechtsgrundlage weitergeführt werden kann.398 Ob dies der Fall ist, war bereits vor dem Inkrafttreten der DSGVO umstritten399 und wird auch unter der Rechtslage der DSGVO weiterhin kontrovers diskutiert. So wird einerseits 391
Veil, NJW 2018, 3337 (3338); Krusche, ZD 2020, 232 (233). Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 19; Piltz, K&R 2016, 557 (562). 393 Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 10. 394 So Deutscher Ethikrat, Stellungnahme Big Data und Gesundheit, S. 143. 395 Thüsing / Rombey, NZS 2019, 201 (203). 396 Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 17; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 DSGVO Rn. 34; Uecker, ZD 2019, 248 (248). 397 Ingold, in: Sydow, DSGVO, Art. 7 DSGVO Rn. 51. 398 Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 18; Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 11 f.; Council of the European Union, Preparation of the Council position on the evaluation and review of the General Data Protection Regulation (GDPR) – Comments from Member States v. 9. Oktober 2019, Rev. 1, S. 14; Krusche, ZD 2020, 232 (233 ff.). 399 Scholz / Sokol, in: Simitis, BDSG a. F., § 4 BDSG a. F. Rn. 6; Gola / Klug / Körffer, in: Gola / Schomerus, BDSG a. F., § 4 BDSG a. F. Rn. 16. 392
154
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
angenommen, dass der Verantwortliche die Datenverarbeitung kumulativ auf die einschlägige gesetzliche Rechtsgrundlage und die Einwilligung stützen könne, mit der Folge, dass die Datenverarbeitung im Falle des Widerrufs oder der Unwirksamkeit der Einwilligung zulässig bleibe.400 Ein solches Bedürfnis, die Verarbeitung zugleich auf mehrere Rechtsgrundlagen zu stützen, mag etwa bei allgemein gehaltenen Erlaubnistatbeständen gegeben sein, bei denen der Datenverarbeiter über Inhalt und Umfang des gesetzlichen Erlaubnistatbestandes unsicher ist, sodass er die Verarbeitung vorsichtshalber mittels einer Einwilligung legitimieren lässt.401 Die Einholung einer vorsorglichen Einwilligung trotz bestehender Rechtsgrundlage könne so für Rechtssicherheit sorgen,402 eine Absicherung durch eine Einwilligung wird in derartigen Fällen teilweise sogar empfohlen.403 In der Praxis ist das Einholen einer Einwilligung von Patienten oft noch das Mittel der Wahl, um die Verarbeitung von Patientendaten auf vermeintlich einfache Weise zu legitimieren.404 Andere Stimmen werten es hingegen als unzulässig, dieselbe Datenverarbeitung auf zwei Rechtsgrundlagen zu stützen, um dann für den Fall der Unwirksamkeit oder des Widerrufs der Einwilligung auf die gesetzliche Rechtsgrundlage zurückzugreifen.405 Als Begründung wird angeführt, dass der betroffenen Person durch das Einholen der Einwilligung eine Kontrolle über die Datenverarbeitung in Form des Widerrufs gemäß Art. 7 Abs. 3 DSGVO suggeriert würde, die dann beim Zurückgreifen auf einen gesetzlichen Erlaubnistatbestand tatsächlich nicht bestehe.406 400
Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 DSGVO Rn. 34; Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 5 Rn. 71 f.; Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung, S. 112; Reimer, in: Sydow, DSGVO, Art. 6 DSGVO Rn. 8; Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 11; ders., DuD 2020, 302 (304); Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 27; Krusche, ZD 2020, 232 (232 ff.); Veil, NJW 2018, 3337 (3338); Waldkirch, VersR 2020, 1141 (1147). 401 Buchner, Datenschutz im Gesundheitswesen, S. 30; Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 17; Hoffmann, NZS 2017, 807 (812) benennt als eine solche Unsicherheit die Frage, ob bestimmte Daten für das Wahrnehmen einer Aufgabe erforderlich oder nur nützlich sind. 402 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 20. 403 Schantz, in: Schantz / Wolff, Das neues Datenschutzrecht, Rn. 475. 404 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 88. 405 DSK, Kurzpapier Nr. 20, „Einwilligung nach der DSGVO“, Stand 22. Februar 2019, S. 3; Forum Privatheit, Policy Paper Evaluation der Datenschutz-Grundverordnung, S. 4 f.; Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 23; Frenzel, in: Paal / Pauly, DSGVO BDSG Art. 7 DSGVO Rn. 17a; Engeler, ZD 2018, 55 (58); Uecker, ZD 2019, 248 (249). 406 Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 23, Art. 7 DSGVO Rn. 18; Engeler, ZD 2018, 55 (58); Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 20; Tinnefeld / Conrad, ZD 2018, 391 (392); Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 7 DSGVO Rn. 17a; Forum Privatheit, Policy Paper Evaluation der DatenschutzGrundverordnung, S. 5; auch Schantz, in: Simitis / Hornung / Spiecker, Datenschutz, Art. 6 Abs. 1 DSGVO Rn. 12, 89 sieht eine Gefahr der Illusion über die Kontrolle der Datenverarbeitung.
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
155
Daher stelle ein Rückgriff auf den gesetzlichen Erlaubnistatbestand bei Unwirksamkeit oder Widerruf der Einwilligung einen Verstoß gegen die Grundsätze von Fairness und Transparenz aus Art. 5 Abs. 1 lit. a DSGVO dar.407 Insbesondere Art. 17 Abs. 1 lit. b DSGVO lässt aber erkennen, dass der Verordnungsgeber eine solche Sperrwirkung der Einwilligung nicht intendiert hat.408 Denn dieser verdeutlicht, dass Datenverarbeitungen auch im Fall des Widerrufs der Einwilligung zulässigerweise auf Grundlage eines gesetzlichen Erlaubnistatbestandes fortgeführt werden können.409 Dadurch wird klargestellt, dass die Möglichkeit der Verarbeitung auf Basis eines gesetzlichen Erlaubnistatbestandes nicht allein deshalb entfällt, weil ursprünglich eine Einwilligung eingeholt wurde. Schon deshalb scheint letztere Ansicht nicht mit den gesetzlichen Vorgaben der DSGVO vereinbar zu sein.410 Gegen ein treuwidriges Verhalten des Verantwortlichen spricht zudem die Pflicht zur Einhaltung der umfangreichen Informationspflichten gegenüber der betroffenen Person aus Art. 13 und 14 DSGVO, die nach dem jeweiligen Abs. 1 lit. c auch die Pflicht zur Nennung der Rechtsgrundlage für die Verarbeitung umfassen.411 Die betroffene Person ist mithin schon von Gesetzes wegen darüber zu informieren, dass die Daten auf der Basis von zwei Rechtsgrundlagen verarbeitet werden.412 Jedenfalls kann daraus, dass in Art. 13 und 14 Abs. 1 lit. c DSGVO jeweils nur die Rechtsgrundlage im Singular genannt ist, nicht geschlossen werden, dass sich der Verantwortliche auf eine Rechtsgrundlage beschränken muss.413 Durch die Information über die einschlägigen Rechtsgrundlagen ist dem Interesse der betroffenen Person hinreichend Rechnung getragen, sodass dem Verantwort lichen nicht vorgeworfen werden kann, dass er sich widersprüchlich verhalte, wenn er die Verarbeitung auf einen anderen, vorher mitgeteilten Rechtmäßigkeitstatbe 407 DSK, Kurzpapier Nr. 20, „Einwilligung nach der DSGVO“, Stand 22. Februar 2019, S. 3; Forum Privatheit, Policy Paper Evaluation der Datenschutz-Grundverordnung, S. 5. 408 Plath, in: Plath, DSGVO BDSG, Art. 7 DSGVO Rn. 15; Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 11; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 27; Taeger, in: Taeger / Gabel, DSGVO BDSG, Art. 7 DSGVO Rn. 72; Kramer, in: Auernhammer, DSGVO BDSG, Art. 6 DSGVO Rn. 23; Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung, S. 112; Waldkirch, VersR 2020, 1141 (1147); nach Veil, NJW 2018, 3337 (3342) deute der Wortlaut der Vorschrift sogar darauf hin, dass zunächst nach einer anderen Rechtsgrundlage zu suchen sei, bevor die Rechtsfolge der Löschung eintrete. 409 Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 11; Schulz, DuD 2020, 302 (304); Kramer, in: Auernhammer, DSGVO BDSG, Art. 6 DSGVO Rn. 23; Krusche, ZD 2020, 232 (234). 410 Schulz, DuD 2020, 302 (304). 411 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 27; Kramer, in: Auernhammer, DSGVO BDSG, Art. 6 DSGVO Rn. 24; Krusche, ZD 2020, 232 (235 f.); Waldkirch, VersR 2020, 1141 (1147). 412 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 29; Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 12; Kramer, in: Auernhammer, DSGVO BDSG, Art. 6 DSGVO Rn. 24; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 475; Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 18; Tinnefeld / Conrad, ZD 2018, 391 (392). 413 Krusche, ZD 2020, 232 (234); Knyrim, in: Ehmann / Selmyar, DSGVO, Art. 13 DSGVO Rn. 38 Fn. 55.
156
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
stand stützt.414 Überdies wird teilweise zusätzlich gefordert, dass die betroffene Person darüber zu informieren sei, dass die Verarbeitung nach dem Widerruf der Einwilligung fortgeführt werden könne.415 Dem wird jedoch zutreffenderweise entgegengesetzt, dass die Informationspflichten der DSGVO einen derartigen Hinweis nicht vorsehen.416 Allerdings kann sich für den Fall, dass die betroffene Person erkennbar davon ausgeht, dass die Verarbeitung nach dem Widerruf eingestellt wird, aus der Transparenzpflicht gemäß Art. 5 Abs. 1 lit. a DSGVO eine Pflicht des Verantwortlichen ergeben, die betroffene Person über die Fortführung der Verarbeitung in Kenntnis zu setzen.417 Die Situation der Verarbeitung nach Wegfall einer Rechtsgrundlage, die von Vornherein auf mehrere Rechtsgrundlagen gestützt wurde, ist zu unterscheiden von dem nachträglichen Auswechseln von Rechtsgrundlagen. Ein Nachschieben von Rechtsgrundlagen in dem Sinne, dass der Verantwortliche nach Wegfall der ursprünglichen Rechtsgrundlage versucht, die Verarbeitung auf eine andere gesetzliche Rechtsgrundlage zu stützen, obwohl er sich in seiner Information gegenüber der betroffenen Person nur auf die entfallene Rechtsgrundlage berufen hat, ist nicht möglich.418 Hingegen kann eine datenverarbeitende Stelle für die weitere Verarbeitung eine Einwilligung einholen, wenn die gesetzliche Rechtsgrundlage entfallen ist.419 Festzuhalten ist, dass sich aus der DSGVO keine Anhaltspunkte ergeben, die auf einen Ausschluss des Nebeneinanders von Einwilligung und gesetzlichem Erlaubnistatbestand hindeuten. Es ist anzuerkennen, dass die Zulässigkeitstatbestände der DSGVO grundsätzlich gleichwertig sind und nebeneinander Geltung beanspruchen können.420 Dies gilt somit auch für das Verhältnis der Einwilligung zu den gesetzlichen Erlaubnistatbeständen. Daher ist es möglich, die Verarbeitung personenbezogener Daten kumulativ auf mehrere Rechtsgrundlagen zu stützen, mit der Folge, dass die Verarbeitung fortgeführt werden kann, wenn eine der Rechts 414 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 27; Krusche, ZD 2020, 232 (235); a. A. Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 23; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 7 DSGVO Rn. 17a; Uecker, ZD 2019, 248 (249). 415 Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 12; Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 475; Tinnefeld / Conrad, ZD 2018, 391 (392); Waldkirch, VersR 2020, 1141 (1147). 416 Krusche, ZD 2020, 232 (236). 417 Krusche, ZD 2020, 232 (236); EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 29. 418 Krusche, ZD 2020, 232 (236); Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 65. 419 Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 22; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 DSGVO Rn. 34; Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 DSGVO Rn. 12; Voigt / von dem Bussche, EU-Datenschutz-Grundverordnung, S. 129; Krusche, ZD 2020, 232 (236). 420 Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 10; Reimer, in: Sydow, DSGVO, Art. 6 DSGVO Rn. 8; Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 16; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 DSGVO Rn. 34.
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
157
grundlagen entfällt. Dies gilt jedoch nur unter der Voraussetzung, dass für beide Rechtsgrundlagen die erforderlichen Informationspflichten erfüllt worden sind.
B. Die Zulässigkeit der Datenverarbeitung im Rahmen der Einbindung weiterer Personen oder Stellen im Gesundheitswesen Üblicherweise werden Gesundheitsdaten im Gesundheitswesen zunächst in einer Arztpraxis oder in einem Krankenhaus erhoben und gespeichert, anschließend aber nicht nur von der erhebenden Stelle zur unmittelbaren Heilbehandlung verarbeitet. Vielmehr ist es nicht selten erforderlich, dass der Arzt Gesundheitsdaten seiner Patienten im Rahmen des arbeitsteiligen Zusammenwirkens an andere Ärzte übermittelt, etwa mit dem Ziel Behandlungsprozesse zu optimieren.421 So kommt es im Gesundheitswesen häufig vor, dass personenbezogene Daten an andere Gesundheitseinrichtungen weitergegeben oder arbeitsteilig mit diesen verarbeitet werden.422 Dies kann etwa der Fall sein zwischen mitbehandelnden Ärzten in einer Praxis oder bei der Datenübermittlung zwischen Haus- und Facharzt.423 Ebenfalls kann die Weitergabe von Gesundheitsdaten im Rahmen eines ärztlichen Konzils, also der kollegialen Beratung unter Ärzten, notwendig werden.424 Daneben beziehen Einrichtungen im Gesundheitswesen in Zeiten komplexer werdender Praxisabläufe vermehrt auch externe Dienstleister in die Datenverarbeitung ein.425 Neben Ärzten sind somit auch andere Personen aus Anlass der medizinischen Behandlung in die Gesundheitsdatenverarbeitung eingebunden. Die Zusammenarbeit im Gesundheitswesen kann mithin unterschiedliche Formen annehmen, für die die DSGVO verschiedene Rechtsfiguren vorsieht. Diese sollen im Folgenden näher beleuchtet werden, um derartige Datenverarbeitungen datenschutzrechtskonform einzuordnen. Im vertragsärztlichen Bereich existieren in diesem Zusammenhang teilweise Sonderregelungen, die ausführlich im dritten Kapitel besprochen werden. Ausgangspunkt der folgenden Betrachtung ist die Feststellung, dass mit einer Einbindung weiterer Personen oder Stellen in die Datenverarbeitung stets eine 421 Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 64; Schröder, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 61. 422 Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 8. 423 Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 64. 424 Dochow, MedR 2019, 363 (368). 425 Brandt, in: Bräutigam, IT-Outsourcing und Cloud-Computing, B. IT-Outsourcing im Gesundheitswesen, Rn. 68; GMDS / GDD, Positionspapier zur Neugestaltung der datenschutzrechtlichen Regelungen, S. 14; Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 8.
158
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
Übertragung von Daten einhergeht. Sind zwei Parteien an der Verarbeitung personenbezogener Daten beteiligt, kommt es grundsätzlich zu einer Offenlegung der durch den einen Beteiligten verarbeiteten personenbezogenen Daten gegenüber den anderen Beteiligten.426 Die Offenlegung personenbezogener Daten als Unterfall der Verarbeitung i. S. d. Art. 4 Nr. 2 DSGVO kann durch die Übermittlung, Verbreitung oder eine andere Form der Bereitstellung vorgenommen werden. Jede Datenübermittlung oder anderweitige Offenlegung besonderer Kategorien personenbezogener Daten unterliegt als Unterform der Verarbeitung i. S. d. Art. 4 Nr. 2 DSGVO den Rechtmäßigkeitsanforderungen des Art. 9 DSGVO, sodass sie gemäß des allgemeinen Verarbeitungsverbots aus Art. 9 Abs. 1 DSGVO nur rechtmäßig ist, soweit einer der in Art. 9 Abs. 2 DSGVO ausdrücklich genannten Rechtfertigungstatbestände eingreift. Vor diesem Hintergrund sollen im Folgenden einzelne Konstellationen, die für das Gesundheitswesen von Bedeutung sind, genauer betrachtet werden. Dabei gilt es bei den externen Empfängern streng zwischen „getrennt Verantwortlichen“, „Auftragsverarbeitern“ und „gemeinsam Verantwortlichen“ zu unterscheiden,427 da sich diesbezüglich gerade auch im Hinblick auf das Bedürfnis eines Zulässigkeitstatbestandes für die Datenweitergabe an diese Empfänger unterschiedliche Fragestellungen ergeben. Unter der Rechtslage der DSGVO sind diese Konstellationen neu zu bewerten, da die Verantwortlichkeitsverhältnisse bei der Beteiligung mehrerer Akteure im Zusammenhang mit der Datenverarbeitung mit dem Geltungsbeginn der DSGVO neu geregelt wurden.428 Da bei der Weitergabe von Gesundheitsdaten durch einen Arzt bzw. ein Krankenhaus parallel zur Zulässigkeit der Datenverarbeitung stets auch die Vorgaben zur ärztlichen Schweigepflicht in den Blick zu nehmen sind,429 werden bei der nachfolgenden Untersuchung beide Regelungskomplexe jeweils gesondert betrachtet.
I. Weitergabe von Daten innerhalb der Einrichtung des Verantwortlichen 1. Datenschutzrechtliche Betrachtung Zunächst ist zu klären, inwiefern bei der Datenübertragung an andere Ärzte innerhalb einer verantwortlichen Stelle im datenschutzrechtlichen Sinne von einer Datenübermittlung ausgegangen werden kann, da davon abhängt, ob es für diese Übertragung eines gesonderten Zulässigkeitstatbestandes bedarf. Dazu ist es erforderlich, zu bestimmen, wer zu dem Verantwortlichen gehört. Verantwortlicher ist gemäß Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, die allein oder 426
Kremer, CR 2019, 225 (226). Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 34. 428 Kuhn / Heinz, GesR 2018, 691 (697). 429 S. dazu ausführlich unter Kap. 1 C. II. 4., (S. 68 ff.). 427
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
159
gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet. Dies entspricht der verantwortlichen Stelle nach § 3 Abs. 7 BDSG a. F., bei der gleichsam auf die natürliche oder juristische Person als solche abgestellt wurde.430 Datenschutzrechtlich Verantwortlicher ist daher der in Einzelpraxis niedergelassene Arzt, die Berufsausübungsgemeinschaft in der Rechtsform einer Gesellschaft bürgerlichen Rechts oder die Trägergesellschaft eines Medizinischen Versorgungszentrums.431 Die Verantwortungssphäre von Arztpraxen umfasst dabei die Datenverarbeitungstätigkeit ihrer nicht-selbstständigen Mitarbeiter, die insoweit ein unselbstständiger Teil des Verantwortlichen sind.432 Ein Klinkkonzern ist hingegen nicht insgesamt als Verantwortlicher einzuordnen, vielmehr handelt es sich bei jeder zugehörigen Klinikgesellschaft um einen eigenständigen Verantwortlichen, sodass bei der Weitergabe von Daten zwischen einzelnen Konzerngesellschaften die datenschutzrechtlichen Vorschriften einzuhalten sind.433 Denn ein Konzernprivileg existiert auch unter der DSGVO nicht.434 Für Krankenhäuser mit organisatorischer Untergliederung in Fachabteilungen gilt grundsätzlich nichts anderes, sodass jede Abteilung datenschutzrechtlich als eigenständiger Verantwortlicher einzuordnen ist und Daten mithin nicht ohne Weiteres fachabteilungsübergreifend weitergegeben werden dürfen.435 Etwas anderes kann allenfalls dann gelten, wenn die andere Organisationseinheit unmittelbar mit Untersuchungen oder Behandlungen des Patienten befasst ist. In diesem Sinne regelt § 5 Abs. 1 S. 2 GDSG NW, dass zwar auch die Weitergabe von Patientendaten in andere Organisationseinheiten innerhalb der Einrichtung eine Übermittlung darstellt, dies aber nicht gilt, sofern diese Organisationseinheit unmittelbar mit Untersuchungen oder Behandlungen befasst ist. Jedoch darf eine Fachabteilung, die einen Patienten nicht behandelt, dessen medizinische Daten nicht ohne Weiteres zur Kenntnis erhalten.436 Dementsprechend gilt etwa der gesetzliche Erlaubnistatbestand zur Übermittlung von Patientendaten in § 12 Abs. 2 HKHG gemäß § 12 Abs. 3 HKHG in Krankenhäusern mit Behandlungseinrichtungen verschiedener Fachrichtungen grundsätzlich auch zwischen diesen Fachabteilungen. Nach § 12 Abs. 2 Nr. 2 HKHG ist die Übermittlung von Patientendaten etwa zur Durchführung einer Mit- oder Nachbehandlung zulässig. Bezüglich der Übertragung von Daten innerhalb einer abgrenzbaren Organisationseinheit, beispielsweise an einen mitbehandelnden Arzt in einer Arztpraxis, ist 430
Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO Rn. 88. Maus, in: Clausen / K rafczyk, BeckOF Medizinrecht, Kap. 16.2 Rn. 3; Garbe, in: Ratzel / Luxenburger, Handbuch Medizinrecht, Kap. 24 Rn. 42; Schütz, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 17; BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A5). 432 Dochow, MedR 2019, 636 (640). 433 Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO Rn. 116, zur Datenübertragung zwischen zwei getrennt Verantwortlichen nachfolgend unter Kap. 2 B. II., (S. 162 ff.). 434 Dochow, Telematik im Gesundheitswesen, S. 641; Uebele, EuZW 2018, 440 (444); Lezzi / Oberlin, ZD 2018, 398 (401). 435 Dochow, Telematik im Gesundheitswesen, S. 641. 436 Bloebel / Koeppe, Handbuch Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen, S. 57. 431
160
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
fraglich, ob diese einer Rechtsgrundlage bedarf. Eine solche wäre nur erforderlich, wenn es sich bei der Übertragung um eine Übermittlung i. S. d. DSGVO handelt. In der DSGVO wird die Übermittlung zwar als Unterfall der Verarbeitung i. S. d. Art. 4 Nr. 2 DSGVO genannt, jedoch definiert die DSGVO den Begriff der Übermittlung selbst nicht. Insbesondere wird nicht, wie noch in § 3 Abs. 4 S. 2 Nr. 3 BDSG a. F., gefordert, dass die Daten an einen Dritten übermittelt werden. Jede natürliche oder juristische Person, der personenbezogene Daten offengelegt werden, ist gemäß Art. 4 Nr. 9 DSGVO daher zunächst einmal Empfänger, unabhängig davon, ob es sich um einen Dritten handelt oder nicht.437 Empfänger könnten daher auch Personen innerhalb einer verantwortlichen Stelle sein, sodass folglich auch die Datenübermittlung an „Nichtdritte“ eine Verarbeitung darstellen würde und daher einer Rechtsgrundlage bedürfte. Nach dem Wortlaut der Definition des Empfängers in Art. 4 Nr. 9 DSGVO ist jedoch anzunehmen, dass ein gewisses Maß an Eigenständigkeit erforderlich ist, um von einem Empfänger sprechen zu können.438 Daher zählen die in die Organisationseinheit des Verantwortlichen räumlich und organisatorisch eingegliederten Personen zum Verantwortlichen und sind damit nicht als Empfänger i. S. d. Art. 4 Nr. 9 DSGVO anzusehen.439 Die Datenweitergabe innerhalb des Verantwortlichen stellt mithin keine Datenübermittlung i. S. d. DSGVO dar.440 Werden Daten innerhalb einer funktional abgrenzbaren Organisationseinheit übermittelt, die als Ganzes als Verantwortlicher anzusehen ist, wie dies beispielsweise bei der Gemeinschaftspraxis der Fall ist, bedarf es für die Datenweitergabe zwischen den mitbehandelnden Ärzten dieser Praxis somit keines gesonderten datenschutzrechtlichen Zulässigkeitstatbestandes.441 2. Strafrechtlicher Geheimnisschutz Unabhängig von der datenschutzrechtlichen Betrachtung sind zusätzlich die Voraussetzungen der ärztlichen Schweigepflicht zu prüfen, da die datenschutzrecht lichen Erlaubnisse, wie bereits dargestellt, grundsätzlich nicht zu einer Befugnis im Rahmen des § 203 Abs. 1 Nr. 1 StGB führen. Dieser stellt die Offenbarung 437
Kremer, CR 2019, 225 (226); Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 2 DSGVO Rn. 26; Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 2 DSGVO Rn. 29 ff. 438 Ernst, in: Paal / Pauly, DSGVO BDSG, Art. 4 DSGVO Rn. 57; Arning / Rothkegel, in: Taeger / Gabel, DSGVO BDSG, Art. 4 DSGVO Rn. 238; Rombach, in: Hauck / Noftz, SGB X, § 67 SGB X Rn. 124; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO Rn. 91; Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 9 DSGVO Rn. 6; Schreiber, in: Plath, DSGVO BDSG, Art. 4 DSGVO Rn. 34. 439 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 34; Gola, in: Gola, DSGVO, Art. 4 DSGVO Rn. 80; Schreiber, in: Plath, DSGVO BDSG, Art. 4 DSGVO Rn. 34; Bieresborn, in: Schütze, SGB X, § 67b SGB X Rn. 11. 440 Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO Rn. 49; Bieresborn, in: Schütze, SGB X, § 67b SGB X Rn. 9. 441 Kühling, MedR 2019, 611 (620).
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
161
eines fremden Geheimnisses, welches u. a. dem Arzt anvertraut oder sonst bekannt geworden ist, unter Strafe. Voraussetzung für eine Strafbarkeit wegen der Verletzung der ärztlichen Schweigepflicht ist daher die Offenbarung eines fremden Geheimnisses. Geheimnisse sind Tatsachen, die nur einem begrenzten Personenkreis bekannt sind und an deren Geheimhaltung der Geheimnisträger ein von seinem Standpunkt aus sachlich begründetes Interesse hat.442 In Bezug auf die ärztliche Tätigkeit sind dies neben der Tatsache, dass sich jemand überhaupt in ärztlicher Behandlung befindet, etwa Angaben über Anamnese, Diagnose und Therapie sowie Untersuchungs- und Laborbefunde.443 Ein Offenbaren i. S. d. § 203 StGB liegt vor, wenn das Geheimnis einem Empfänger mitgeteilt wird, das diesem noch verborgen ist oder von dem dieser jedenfalls keine sichere Kenntnis hat.444 Daher kann bei einer Weitergabe von Gesundheitsdaten die Tathandlung des unbefugten Offenbarens eines Geheimnisses erfüllt sein.445 Gemäß § 203 Abs. 3 S. 1 StGB liegt jedoch bereits kein tatbestandsmäßiges Offenbaren vor, wenn die Schweigepflichtigen den bei ihnen berufsmäßig tätigen Gehilfen, wie etwa medizinischen Fachangestellten oder Sprechstundenhilfen, Geheimnisse zugänglich machen.446 Daneben gilt die ärztliche Schweigepflicht zwar auch im Verhältnis von Ärzten untereinander und somit grundsätzlich auch im Falle der innerorganisatorischen Geheimnisweitergabe.447 Dies gilt jedoch nicht, soweit diese Ärzte unmittelbar am konkreten Behandlungsgeschehen mitwirken.448 Denn nur die Unterrichtung von Personen, die nicht zum Kreis der zum Wissen Berufenen zählen, erfüllt den Tatbestand des § 203 StGB.449 Wenn sich ein Patient in eine Arztpraxis oder ein Krankenhaus begibt und ihm bewusst ist, dass an seiner Behandlung mehrere Ärzte mitwirken, sind diese in den Kreis der zum Wissen Berufenen einbezogen und daher keine außenstehenden Dritten.450 Bei arbeitsteiligem Zusammenwirken innerhalb einer Arztpraxis oder derselben Fachabteilung eines Krankenhauses ist die Tathandlung des Offenbarens daher abzulehnen.451
442
Eisele, in: Schönke / Schröder, StGB, § 203 StGB Rn. 5. Eisele, in: Schönke / Schröder, StGB, § 203 StGB Rn. 7; Karaalp, Der Schutz von Patientendaten, S. 200 f.; Pöttgen, Medizinische Forschung und Datenschutz, S. 219. 444 Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 51. 445 Dochow, Telematik im Gesundheitswesen, S. 913. 446 Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 122. 447 Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 142; Karaalp, Der Schutz von Patientendaten, S. 201; Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 52; Heger, in: Lackner / Kühl, StGB, § 203 StGB Rn. 17; Hoyer, in: SK-StGB, § 203 StGB Rn. 33; Fischer, in: Fischer, StGB, § 203 StGB Rn. 35. 448 Dochow, Telematik im Gesundheitswesen, S. 872 f., 908. 449 Langkeit, NStZ 1994, 6 (6); Fischer, in: Fischer, StGB, § 203 StGB Rn. 35. 450 Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 52. 451 Kargl, in: NK-StGB, § 203 StGB Rn. 58 a. E. 443
162
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
II. Datenübertragung zwischen zwei getrennt Verantwortlichen 1. Datenschutzrechtliche Betrachtung Im Gegensatz zur Datenweitergabe innerhalb der verantwortlichen Stelle liegt eine datenschutzrechtliche Übermittlung i. S. d. DSGVO vor, wenn die Daten an eine Person oder Stelle außerhalb des Verantwortlichen, etwa an einen nachbehandelnden Arzt, übertragen werden. Damit stellt sich die Frage, welche Rechtsgrundlage für die Übermittlung von Daten an externe Ärzte einschlägig ist. In Betracht kommt einerseits die ausdrückliche Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten i. S. d. Art. 9 Abs. 2 lit. a DSGVO.452 Die Annahme, dass für die Zulässigkeit der Datenweitergabe von Arzt zu Arzt nach den Grundsätzen der ärztlichen Schweigepflicht auf eine konkludente Einwilligung des Patienten zurückgegriffen werden könne,453 verkennt, dass die datenschutzrechtliche Einwilligung nicht mit der Entbindung von der beruflichen Schweigepflicht identisch ist.454 Für die Einwilligung des Patienten in die Datenübermittlung bedeutet dies, dass sowohl die datenschutzrechtlichen Anforderungen an eine Einwilligung als auch die Anforderungen nach den Grundsätzen der ärztlichen Schweigepflicht erfüllt sein müssen.455 Neben der Verarbeitung auf der Grundlage einer datenschutzrechtlichen Einwilligung kommt als Rechtsgrundlage für die Datenweitergabe im Rahmen einer ärztlichen Mit- oder Weiterbehandlung auch Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. in Betracht. Grundsätzlich liegt der DSGVO ein weiterer Verarbeitungsbegriff als dem BDSG a. F. zugrunde.456 Der in Art. 4 Nr. 2 DSGVO definierte Begriff der Verarbeitung stellt einen Oberbegriff für die verschiedenen Nutzungsmöglichkeiten personenbezogener Daten dar und differenziert nicht mehr zwischen verschiedenen Verarbeitungsphasen. Damit gestattet Art. 9 Abs. 2 lit. h DSGVO einen umfassenden Umgang mit Gesundheitsdaten, soweit dies im Rahmen der Zwecksetzung des Art. 9 Abs. 2 lit. h DSGVO erforderlich ist. Im Umfang dieser Zwecksetzung ist vor dem Hintergrund des weiten Verständnisses des Verarbeitungsbegriffs in der DSGVO somit auch die Übermittlung von Gesundheitsdaten an Dritte zulässig.457 Daher kann nicht nur die Erhebung 452 Schröder, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 61; s. dazu unter Kap. 2 A. III., (S. 129 ff.). 453 So Buchner, in: Tinnefeld / Buchner et al., Einführung in das Datenschutzrecht, S. 101; Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 78; Buchner, Datenschutz im Gesundheitswesen, S. 51, 60 f.; Jülicher, Medizininformationsrecht, S. 89 f. 454 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 49; Dochow, MedR 2019, 363 (368). 455 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 49, 146; a. A. B uchner, in: Tinnefeld / Buchner et al., Einführung in das Datenschutzrecht, S. 437. 456 Buchner / Schwichtenberg, GuP 2016, 218 (222). 457 Kazemi, in: FS Dahm, 283 (292); Schröder, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 61; Buchner / Schwichtenberg, GuP 2016, 218 (222); Taupitz, in: FS Hart, 603 (618).
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
163
der personenbezogenen Daten, sondern auch die Übermittlung für Zwecke der Behandlung im Gesundheitsbereich auf Art. 9 Abs. 2 lit. h DSGVO gestützt werden. Die Übermittlung von Gesundheitsdaten zum Zwecke der Mit-, Weiter- oder Nachbehandlung sowie die Weitergabe von Daten im Rahmen eines ärztlichen Konzils sind mithin durch Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. gedeckt.458 Daneben sehen auch die Landeskrankenhausgesetze teilweise eigene Übermittlungstatbestände für die Weitergabe von Patientendaten vom Krankenhaus an sonstige Nach- oder Weiterbehandler vor, die zu beachten sind soweit das LKHG auf das jeweilige Krankenhaus Anwendung findet.459 Bis zum Inkrafttreten des TSVG460 war bezüglich der Weitergabe von Daten im Rahmen des Behandlungskontextes zwischen der Datenübermittlung im vertragsärztlichen und privatärztlichen Bereich zu differenzieren. Denn für Vertragsärzte war eine datenschutzrechtliche Sonderregelung in § 73 Abs. 1b SGB V vorgesehen, die für den Austausch von Behandlungsdaten und Befunden zwischen Hausärzten und anderen Leistungserbringern zum Zwecke der weiteren Behandlung eine Einwilligung des Patienten in die Weitergabe der Daten forderte. Mit Inkrafttreten des TSVG wurde das schriftliche Einwilligungserfordernis jedoch aus der Vorschrift gestrichen, verlangt wird nun lediglich die Zustimmung des Versicherten.461 Fraglich bleibt dabei, welche Rechtsqualität diese Zustimmung hat.462 Im Allgemeinen ist noch ungeklärt, welche Anforderungen die Zustimmung als tatbestandliche Voraussetzung einer gesetzlich vorgesehenen Verarbeitungsgrundlage konkret erfüllen muss.463 So wird teilweise gefordert, dass eine solche Zustimmung alle Voraussetzungen einer wirksamen Einwilligung erfüllen müsse.464 In ähnlicher Weise wird auch für den vorliegenden Fall die Ansicht vertreten, dass eine datenschutzrechtliche Regelung intendiert sei, da in der Regelung klassische Datenverarbeitungsschritte, wie etwa die Übermittlung, angesprochen seien und in der Konsequenz für diese „Zustimmung“ das Ausdrücklichkeitserfordernis aus Art. 9 Abs. 2 lit. a DSGVO weiterhin gelte.465 Die Gesetzesbegründung legt allerdings eine andere Interpretation nahe. Denn nach dieser ergibt sich das in § 73 Abs. 1b
458
BÄK, Stellungnahme zum Referentenentwurf eines 2. DSAnpUG-EU v. 16. Juli 2018, S. 15, abrufbar unter: https://www.bundesaerztekammer.de/recht/aktuelle-rechtliche-themen/ datenschutzrecht/; Dochow, MedR 2019, 363 (368). 459 Rechtsgrundlage zur Datenübermittlung ist in diesem Fall die entsprechende Regelung in den Landeskrankenhausgesetzen, z. B. Art. 27 Abs. 5 S. 1 BayKrG, § 46 Abs. 1 Nr. 3 lit. b LKHG BW, § 40 Abs. 1 Nr. 1 BremKrhG oder § 11 Abs. 1 lit. b GDSG NW. 460 Gesetz für schnellere Termine und bessere Versorgung (Terminservice- und Versorgungsgesetz – TSVG) v. 6. Mai 2019, BGBl. 2019 Teil I Nr. 18 v. 10. Mai 2019, S. 646. 461 BT-Drs. 19/8351, S. 178; zur Kritik an dem bisherigen Einwilligungserfordernis im Rahmen des § 73 Abs. 1b SGB V schon BÄK, Stellungnahme zum Referentenentwurf eines 2. DSAnpUG-EU v. 16. Juli 2018, S. 14 f. 462 Dochow, MedR 2019, 636 (644). 463 Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 22. 464 Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 22. 465 Dochow, MedR 2019, 636 (644).
164
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
SGB V geregelte Zustimmungserfordernis der Versicherten „nicht aus datenschutzrechtlichen Vorgaben“466. Damit wird deutlich, dass die Zustimmung nicht die normativen Voraussetzungen der datenschutzrechtlichen Einwilligung erfüllen muss. In der Gesetzesbegründung wird diesbezüglich ausdrücklich betont, dass die „Verarbeitung von Behandlungsdaten auch durch mehrere an der Behandlung beteiligte Ärzte auf der Grundlage des § 22 Absatz 1 Nummer 1 Buchstabe b BDSG grundsätzlich ohne eine datenschutzrechtliche Einwilligung der Patienten erfolgen“467 könne. Die Rechtsgrundlage bildet daher nicht die Zustimmung, sondern vielmehr die gesetzliche Verarbeitungsgrundlage, die mit der Einholung der Zustimmung verknüpft wird. Die Befugnis des Gesetzgebers, neben der gesetzlichen Rechtsgrundlage des Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. eine Einschränkung in Form des zusätzlichen Zustimmungserfordernisses zu etablieren, ergibt sich aus Art. 9 Abs. 4 DSGVO. Festzuhalten bleibt, dass die Regelung des Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. auch den Austausch von Gesundheitsdaten zum Zweck der ärztlichen Behandlung umfasst.468 Mit diesem gesetzlichen Erlaubnistatbestand wurde die Möglichkeit geschaffen, dass erforderliche Behandlungsdaten zwischen den verschiedenen Akteuren im Gesundheitswesen zum Zwecke der Behandlung ausgetauscht werden können.469 Davon ist etwa der Austausch von Behandlungsdaten zwischen Haus- und Facharzt erfasst. 2. Strafrechtlicher Geheimnisschutz Werden die Daten an eine Person oder Stelle außerhalb des Verantwortlichen übermittelt, so ist parallel zur Zulässigkeit der Datenverarbeitung die ärztliche Schweigepflicht zu beachten. Die Weitergabe der Daten an einen Dritten stellt nur dann keinen Verstoß gegen die ärztliche Schweigepflicht dar, wenn sie befugt erfolgt. Dabei ist zu berücksichtigen, dass eine strafbare Offenbarung auch dann vorliegen kann, wenn der Empfänger des Geheimnisses als Arzt selbst schweigepflichtig ist, sofern er außerhalb des Kreises steht, dem das Geheimnis bisher schon zugänglich war.470 Die Weitergabe von Behandlungsdaten ist daher etwa nicht schon deshalb gerechtfertigt, weil die empfangenden Stellen ihrerseits einer
466
BT-Drs. 19/8351, S. 178; vgl. auch Rademacker, in: KassKomm Sozialversicherungsrecht, § 73 SGB V Rn. 16; Huster, in: Becker / K ingreen, SGB V, § 73 SGB V Rn. 3. 467 BT-Drs. 19/8351, S. 178. 468 BÄK, Stellungnahme zum Referentenentwurf eines 2. DSAnpUG-EU v. 16. Juli 2018, S. 15. 469 Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 22; Kramer / Oberbeck, in: Auernhammer, DSGVO BDSG, § 22 BDSG Rn. 20; Schröder, MedR 2019, 631 (635 f.). 470 Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 52; Cornelius, NJW 2017, 3751 (3754).
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
165
strafbewehrten Geheimnispflicht unterliegen.471 Denn das Patientengeheimnis gilt auch für Schweigeverpflichtete untereinander.472 Die Datenweitergabe ist aus strafrechtlicher Sicht insbesondere im Fall der Entbindung von der ärztlichen Schweigepflicht oder bei Vorliegen einer gesetzlichen Offenbarungsbefugnis bzw. -verpflichtung möglich. Das Einverständnis bedarf dabei grundsätzlich keiner Form und kann auch konkludent erteilt werden.473 Zunächst ist davon auszugehen, dass das Offenbaren von Geheimnissen innerhalb arbeitsteilig organisierter Funktionseinheiten von der konkludenten Einwilligung des Patienten gedeckt ist.474 Dies gilt etwa im Rahmen des Hinzuziehens weiterer Fachärzte desselben Krankenhauses, wenn sich die Notwendigkeit einer fachabteilungsübergreifenden Behandlung des Patienten herausgestellt hat.475 Hinreichend konkrete Anhaltspunkte für ein konkludent erteiltes Einverständnis können daneben auch dann gegeben sein, wenn sich ein Patient auf Grund einer Einweisung seines Hausarztes in einer Klinik untersuchen lässt oder im Fall der Überweisung von einem Hausarzt an einen Facharzt, der die Behandlung fortsetzen soll. In diesen Fällen ist anzunehmen, dass der Patient damit einverstanden ist, dass der Klinikarzt dem Hausarzt berichtet bzw. der Hausarzt dem Facharzt die ihm vorliegenden Untersuchungsergebnisse mitteilt.476 Die Offenbarung eines Geheimnisses gegenüber einem Konsiliararzt oder einem Betriebsarzt wird hingegen in der Regel nicht von einem stillschweigend erklärten Einverständnis gedeckt sein.477 In derartigen Fällen ist daher ein ausdrücklich erklärtes Einverständnis erforderlich, soweit keine gesetzlichen Offenbarungsbefugnisse vorliegen. Wie bereits dargestellt, enthält nicht jeder datenschutzrechtliche Erlaubnistatbestand zugleich auch eine gesetzliche Offenbarungsbefugnis i. S. d. § 203 StGB.478 Einigkeit besteht zunächst darüber, dass die Regelungen des allgemeinen
471
Dochow, MedR 2020, 348 (351). Karaalp, Der Schutz von Patientendaten, S. 201; Dochow, MedR 2020, 348 (351); ders., Telematik im Gesundheitswesen, S. 872; Dochow, GesR 2018, 137 (140 f.); Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 142; Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 52. 473 Eisele, in: Schönke / Schröder, StGB, § 203 StGB Rn. 36; Cierniak / Niehaus, in: MüKoStGB, § 203 StGB Rn. 65; Heger, in: Lackner / Kühl, StGB, § 203 StGB Rn. 18. 474 Hoyer, in: SK-StGB, § 203 StGB Rn. 81. 475 Hoyer, in: SK-StGB, § 203 StGB Rn. 81; Kargl, in: NK-StGB, § 203 StGB Rn. 58; Lang keit, NStZ 1994, 6 (7). 476 Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 67 m. w. N.; Heger, in: Lackner / Kühl, StGB, § 203 StGB Rn. 18; Kargl, in: NK-StGB, § 203 StGB Rn. 58; Buchner, in: Tinnefeld / Buchner et al., Einführung in das Datenschutzrecht, S. 439 f.; kritisch Dochow, Telematik im Gesundheitswesen, S. 897 ff. 477 Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 67 m. w. N.; Langkeit, NStZ 1994, 6 (7); Dochow, Telematik im Gesundheitswesen, S. 901 f.; a. A. Heger, in: Lackner / Kühl, StGB, § 203 StGB Rn. 18. 478 Dochow, MedR 2019, 279 (286); ders., MedR 2019, 363 (368); ders., Telematik im Gesundheitswesen, S. 858; s. dazu ausführlich unter Kap. 1 C. II. 4., (S. 68 ff.). 472
166
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
Datenschutzrechts in der DSGVO, im BDSG n. F. sowie in den Landesdatenschutz gesetzen keine Befugnisse zur Offenbarung von Berufsgeheimnissen begrün den.479 Auf den ersten Blick könnte aber in solchen Erlaubnisnormen eine Offenbarungsbefugnis gesehen werden, die die Übermittlung von Gesundheitsdaten gestatten.480 Zu denken wäre dabei vor allem an § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. Diese Annahme verkennt jedoch, dass § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. die Erlaubnis zur Datenverarbeitung seinerseits zusätzlich davon abhängig macht, dass die Daten von Personen verarbeitet werden, die einer besonderen Geheimhaltungspflicht unterliegen.481 Es wäre daher ein Zirkelschluss, über diese Vorschrift zugleich eine Offenbarung von Patientengeheimnissen zu legitimieren.482 Zudem lässt das BDSG n. F. die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufsgeheimnissen gemäß § 1 Abs. 2 S. 3 BDSG n. F. ausdrücklich unberührt, sodass Vorschriften aus dem BDSG n. F. zutreffenderweise nicht als Offenbarungsbefugnis gelten können.483 Dies muss daher auch für die Vorschrift des § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. gelten.484 Eine abweichende Beurteilung kann sich allerdings für die bereichsspezifischen Vorschriften in den Landeskrankenhausgesetzen ergeben, soweit die Offenbarung des Patientengeheimnisses in der jeweiligen Norm explizit zugelassen ist.485 Eine solche explizite Offenbarungsbefugnis sieht etwa § 33 Abs. 2 LKHG M-V vor, nach dem personenbezogene Daten von Patienten gegenüber Behandlungseinrichtungen anderer Fachrichtungen desselben Krankenhauses offenbart werden dürfen, soweit dies u. a. zur Erfüllung des Behandlungsvertrags erforderlich ist.486
479
Dochow, MedR 2019, 279 (286); Jülicher, Medizininformationsrecht, S. 228; Schneider, Sekundärnutzung klinischer Daten, S. 76 f.; Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 119; insbesondere wird eine Geheimnisoffenbarung i. S. d. § 203 Abs. 1 StGB auch nicht durch die Regelung des Art. 9 Abs. 3 DSGVO legitimiert, Dochow, MedR 2019, 363 (363). 480 Schneider, Sekundärnutzung klinischer Daten, S. 76. 481 Dochow, MedR 2019, 363 (363). 482 Dochow, Telematik im Gesundheitswesen, S. 860 zu der Vorgängervorschrift in § 28 Abs. 7 S. 2 BDSG a. F. 483 Schneider, Sekundärnutzung klinischer Daten, S. 77; Dochow, Telematik im Gesundheitswesen, S. 860. 484 Schneider, Sekundärnutzung klinischer Daten, S. 77 zur alten Rechtslage. 485 Dochow, MedR 2019, 279 (286); ders., Telematik im Gesundheitswesen, S. 858; Hauser / Haag, Datenschutz im Krankenhaus, S. 9; so auch Karaalp, Der Schutz von Patientendaten, S. 204, der jedoch die speziellen Erlaubnistatbestände der Landeskrankenhausgesetze insgesamt als Rechtfertigungsgründe im Rahmen des § 203 Abs. 1 StGB heranzieht; so auch Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 187; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 147 f. weist darauf hin, dass es „heftig umstritten ist, inwieweit datenschutzrechtliche Befugnisregelungen eine Legitimation zur Offenbarung von Berufsgeheimnissen geben.“ 486 LT-Drs. 7/1583, S. 27 spricht explizit von einer „Offenbarungsbefugnis“.
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
167
III. Inanspruchnahme von Auftragsverarbeitern im Gesundheitswesen In Zeiten komplexer werdender Behandlungsabläufe sind Einrichtungen im Gesundheitswesen darüber hinaus vermehrt auf die Inanspruchnahme von externen Dienstleistern angewiesen.487 Viele erforderliche Unterstützungsleistungen können nicht mehr durch den Arzt selbst oder von seinem Personal vorgenommen werden, sei es aus wirtschaftlichen Gründen oder aufgrund der Komplexität der eingesetzten Technologien.488 So sind externe Anbieter etwa für die (Fern-)Wartung von Praxissystemen und medizinischen Geräten oder die Datensicherung unverzichtbar.489 Daher muss ärztliches Personal zunehmend auch externen Dienstleistern den Zugang zu Gesundheitsdaten gewähren.490 Als Instrument zur Einbindung externer Personen in die Verarbeitung personenbezogener Daten hat sich im Datenschutzrecht die Auftragsverarbeitung etabliert.491 Die DSGVO definiert den Auftragsverarbeiter in Art. 4 Nr. 8 DSGVO als eine Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Entscheidendes Kriterium für die Auftragsverarbeitung ist, dass der Auftraggeber Einfluss auf die Entscheidung über die Verarbeitung der personenbezogenen Daten hat.492 Der Auftragnehmer ist hingegen weisungsgebunden und verarbeitet die Daten nur im Auftrag und nur für den Auftraggeber.493 Bezüglich der Weisungsgebundenheit ist es jedoch unschädlich, wenn dem Auftragnehmer innerhalb des vom Verantwortlichen gesetzten Rahmens gewisse Entscheidungsbefugnisse über die Mittel der Verarbeitung zustehen.494 Die unter dem BDSG a. F. als Negativabgrenzung gegenüber der Auftragsdatenverarbeitung verwendete Funktionsübertragung ist daher unter der DSGVO entfallen.495 Unter einer Funktionsübertragung wurde das Outsourcing verstanden, bei dem dem Dienstleister 487 Brandt, in: Bräutigam, IT-Outsourcing und Cloud-Computing, B. IT-Outsourcing im Gesundheitswesen Rn. 68; GMDS / GDD, Positionspapier zur Neugestaltung der datenschutzrechtlichen Regelungen, S. 14; Buchner, MedR 2013, 337 (337). 488 Dochow, GesR 2018, 137 (138); Buchner, MedR 2016, 660 (661). 489 Buchner, MedR 2016, 660 (661); Schütze, DANA 2017, 188 (189 f.); Dochow, GesR 2018, 137 (138). 490 Brandt, in: Bräutigam, IT-Outsourcing und Cloud Computing, B. IT-Outsourcing im Gesundheitswesen Rn. 68. 491 Eckhardt, CCZ 2017, 111 (111). 492 Schütze, DANA 2017, 188 (190). 493 Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 314. 494 DSK, Kurzpapier Nr. 13 „Auftragsverarbeitung“, Stand 16. Januar 2018, S. 1; Art. 29- Datenschutzgruppe, Stellungnahme 1/2010, WP 169 v. 16. Februar 2010, S. 17 f., 34; EDPB, Guidelines 07/2020 on the concepts of controller an processor in the GDPR, S. 24 f. Rn. 78. 495 Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 314; Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 28 DSGVO Rn. 44; Spoerr, in: BeckOK Datenschutzrecht, Art. 28 DSGVO Rn. 26; Schütz, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 84; Härting, ITRB 2016, 137 (137).
168
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
hinsichtlich der Aufgabenerfüllung ein Beurteilungs- und Entscheidungsspielraum von substantiellem Gewicht eingeräumt wurde.496 Aufgrund der eigenen Entscheidungsbefugnis wurde der Auftragnehmer als Verantwortlicher angesehen. Da gewisse Entscheidungsspielräume innerhalb des durch den Verantwortlichen gesteckten Rahmens eines Beauftragten die Auftragsverarbeitung unter der Rechtslage der DSGVO nicht ausschließen, können Fälle der Funktionsübertragung nach Ansicht der Datenschutzkonferenz (DSK) unter der DSGVO auch als Auftragsverarbeitung einzuordnen sein, je nachdem, wer über die Zwecke und wesentlichen Mittel der Datenverarbeitung entscheide.497 Unter der Rechtslage der DSGVO sind als Auftragsverarbeiter im Gesundheitswesen beispielsweise Dienstleister einzuordnen, die für die Wartung von IT-Systemen oder die Vernichtung von Patientenakten herangezogen werden und hierfür auf personenbezogene Daten zugreifen können.498 Da diese Tätigkeit regelmäßig mit einer Offenlegung von Patientendaten gegenüber den Dienstleistern einhergeht,499 stellt sich die Frage nach dem Bedürfnis einer Rechtsgrundlage. Als eine solche kommt Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG n. F., wie bereits erläutert, jedenfalls nicht in Betracht.500 Zwar erfüllen die externen Dienstleister die Anforderung des Art. 9 Abs. 3 DSGVO, da sie als „mitwirkende Person“ i. S. d. § 203 Abs. 4 S. 1 StGB selbst einer Geheimhaltungspflicht unterliegen, sie werden jedoch nicht zu Zwecken der Verwaltung von Systemen oder Diensten im Gesundheits- oder Sozialbereich tätig.501 1. Privilegierung der Auftragsverarbeitung unter der DSGVO Bis zum Geltungsbeginn der DSGVO bestand Einigkeit, dass die Auftragsverarbeitung privilegiert ist, sodass es bei der Weitergabe personenbezogener Daten vom Verantwortlichen an den Auftragsverarbeiter keiner zusätzlichen Rechtsgrundlage bedurfte. Diese Privilegierung der Auftragsverarbeitung war bereits in der DSRL angelegt und wurde entsprechend in mehreren Staaten, darunter auch
496
Kühling / Klar, DuD 2013, 791 (794); Kühling / Klar / Sackmann, Datenschutzrecht, 2. Kap. Rn. 525; Härting, ITRB 2016, 137 (137); Dovas, ZD 2016, 512 (516). 497 DSK, Kurzpapier Nr. 13 „Auftragsverarbeitung“, Stand 16. Januar 2018, S. 1; DSK, Kurzpapier Nr. 16 „Gemeinsam für die Verarbeitung Verantwortliche“, Stand 19. März 2018, S. 2; Brandt, in: Bräutigam, IT-Outsourcing und Cloud-Computing, B. IT-Outsourcing im Gesundheitswesen Rn. 66. 498 BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A11); DSK, Kurzpapier Nr. 13 „Auftragsverarbeitung“, Stand 16. Januar 2018, S. 3 mit weiteren Beispielen in Anhang A; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 28 DSGVO Rn. 23; Bertermann, in: Ehmann / Selmayr, DSGVO, Art. 28 DSGVO Rn. 10; Heckmann / Scheurer, in: Heckmann, JurisPK- Internetrecht, Kap. 9 Rn. 255. 499 Buchner / Schwichtenberg, GuP 2016, 218 (224); Werry / Knoblich, MPR 2017, 1 (11). 500 S. dazu unter Kap. 2 A. II. 2. b) bb), (S. 109 ff.). 501 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 43.
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
169
in Deutschland, auf Basis der Datenschutzrichtlinie umgesetzt.502 Die Privilegierung wurde im deutschen Recht im Wesentlichen damit begründet, dass die Auftragsverarbeiter gemäß § 3 Abs. 8 S. 3 BDSG a. F. als „Nichtdritte“ einzuordnen waren, sodass die Weitergabe personenbezogener Daten an diese Dienstleister nach § 3 Abs. 4 S. 2 Nr. 3 BDSG a. F. keine Übermittlung im datenschutzrechtlichen Sinne darstellte und daher auch keiner gesonderten Rechtsgrundlage bedurfte.503 Diese Privilegierungswirkung der Auftragsverarbeitung ist unter der Rechtslage der DSGVO umstritten. Zwar regelt auch die DSGVO in Art. 4 Nr. 10, wie es bereits das BDSG a. F. in § 3 Abs. 8 S. 3 vorsah, dass der Auftragsverarbeiter nicht als Dritter anzusehen ist. Im Unterschied zum BDSG a. F. spricht die Definition der Verarbeitung in Art. 4 Nr. 2 DSGVO jedoch nur von einer „Offenlegung durch Übermittlung“, unabhängig davon, ob diese gegenüber Dritten vorgenommen wird. Anders als das BDSG a. F. differenziert die DSGVO mithin nicht zwischen der Übermittlung, die nur gegenüber einem Dritten erfolgen kann und dem sonstigen Erhalt von Daten durch einen Empfänger.504 Die Auftragsverarbeiter als „Nichtdritte“ sind somit per Definition nicht vom Verarbeitungsbegriff i. S. d. Art. 4 Nr. 2 DSGVO ausgenommen, wie dies noch nach § 3 Abs. 4 S. 2 Nr. 3 BDSG a. F. der Fall war.505 a) Entfall der Privilegierung Vor diesem Hintergrund wird teilweise angenommen, dass die Datenweitergabe zwischen Verantwortlichem und Auftragsverarbeiter stets als „Verarbeitung“ i. S. d. DSGVO einzuordnen sei, sodass wie für jede Verarbeitung unter der DSGVO eine eigenständige Rechtsgrundlage erforderlich sei.506 Diese Auffassung stützt sich im Wesentlichen auf den Vergleich mit dem BDSG a. F. und betont, dass in der DSGVO eine dem § 3 Abs. 4 S. 2 Nr. 3 BDSG a. F. vergleichbare Norm fehle und daher der Auftragsverarbeiter als „Nichtdritter“ nicht vom Verarbeitungsbegriff ausgenommen sei.
502
Schmidt / Freund, ZD 2017, 14 (15 f.); v. Holleben / Knaut, CR 2017, 299 (301). Schmidt / Freund, ZD 2017, 14 (14); Spoerr, in: BeckOK Datenschutzrecht, Art. 28 DSGVO Rn. 5. 504 Kremer, in: Schwartmann / Jaspers / Thüsing / Kugelmann, DSGVO BDSG, Art. 28 DSGVO Rn. 64. 505 Kremer, in: Laue / K remer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 5 Rn. 6; Piltz, K&R 2016, 709 (712). 506 Piltz, K&R 2016, 709 (712); Hofmann, in: Roßnagel, DSGVO, § 3 Rn. 251; dies., in: Roßnagel, Das neue Datenschutzrecht, § 5 Rn. 77; dies., ZD-Aktuell 2017, 05488; Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 85; Schwartmann / Hermann, in: Schwartmann / Japsers / T hüsing / Kugelmann, DSGVO BDSG, Art. 4 Nr. 2 DSGVO Rn. 54; zum Kommissionsentwurf der DSGVO Roßnagel / Kroschwald, ZD 2014, 495 (497). 503
170
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
b) Fortgeltung der Privilegierung Demgegenüber spricht sich die überwiegende Literatur für eine Weitergeltung der Privilegierung der Auftragsverarbeitung unter der DSGVO und somit gegen das Bedürfnis einer gesonderten Rechtsgrundlage aus.507 Dafür werden verschiedene Begründungsansätze diskutiert. aa) Datenaustausch zwischen Verantwortlichem und Auftragsverarbeiter keine Übermittlung i. S. d. DSGVO Teilweise wird die Annahme, dass der Datenaustausch zwischen Verantwortlichem und Auftragsverarbeiter keiner datenschutzrechtlichen Legitimation bedürfe, damit begründet, dass der Auftragsverarbeiter nicht „Dritter“ i. S. d. DSGVO sei.508 Die „Offenlegung durch Übermittlung“ als Unterform der Verarbeitung i. S. d. Art. 4 Nr. 2 DSGVO meine aber ihrem Sinn nach die Weitergabe an einen Dritten und nicht an jeden Empfänger.509 Anhand der Definition des Dritten in Art. 4 Nr. 10 DSGVO werde deutlich, dass der Auftragsverarbeiter als Teil des Verantwortlichen anzusehen sei, da dieser ausdrücklich von den als Dritten bezeichneten Stellen ausgenommen werde.510 Jedoch weisen die Vetreter dieser Auffassung selbst einschränkend darauf hin, dass der Wortlaut der DSGVO diesen Begründungsansatz nicht in letzter Deutlichkeit stütze.511 bb) Art. 28 DSGVO als Rechtfertigungsgrundlage für die Datenweitergabe Einige Autoren gehen daher davon aus, dass es für eine rechtmäßige Übermittlung von Daten an den Auftragsverarbeiter genüge, wenn die Vorgaben des 507
Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 28 DSGVO Rn. 15; Martini, in: Paal / Pauly, DSGVO BDSG, Art. 28 DSGVO Rn. 8a ff.; Kramer, in: Auernhammer, DSGVO BDSG, Art. 28 DSGVO Rn. 9; Schmidt / Freund, ZD 2017, 14 (15); Schmitz / v. Dall’Armi, ZD 2016, 427 (428); v. Holleben / Knaut, CR 2017, 299 (301); Eckhardt, CCZ 2017, 111 (113); Krohm / Müller-Peltzer, RDV 2016, 306 (306 ff.); Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 5 Rn. 22; Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 939; DSK, Kurzpapier Nr. 13 „Auftragsverarbeitung“, Stand 16. Januar 2018, S. 2. 508 Martini, in: Paal / Pauly, DSGVO BDSG, Art. 28 DSGVO Rn. 8a; Plath, in: Plath, DSGVO BDSG, Art. 28 DSGVO Rn. 6. 509 Martini, in: Paal / Pauly, DSGVO BDSG, Art. 28 DSGVO Rn. 9; Plath, in: Plath, DSGVO BDSG, Art. 28 DSGVO Rn. 6; Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 28 DSGVO Rn. 17. 510 Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 28 DSGVO Rn. 17; v. Holleben / Knaut, CR 2017, 299 (301). 511 Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 28 DSGVO Rn. 15; Martini, in: Paal / Pauly, DSGVO BDSG, Art. 28 DSGVO Rn. 8b.
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
171
Art. 28 DSGVO erfüllt seien.512 Insbesondere liege es nahe, die nach Art. 28 Abs. 3 DSGVO geschlossene Vereinbarung über die Auftragsverarbeitung als Rechtfertigungsgrundlage für die Datenweitergabe an den Auftragsverarbeiter anzusehen.513 Art. 28 Abs. 3 DSGVO verdränge als lex specialis die allgemeinen Erlaubnistatbestände der Art. 6 und Art. 9 DSGVO.514 Insofern könne Art. 28 DSGVO als eigene Befugnisnorm verstanden werden.515 cc) Auftragsverarbeitung als einheitlicher Datenverarbeitungsvorgang Andere Stimmen sehen die Auftragsverarbeitung als einen einheitlichen Verarbeitungsvorgang des Verantwortlichen an, bei dem die Offenlegung und die weitere Verarbeitung durch den Auftragsverarbeiter als Annex zur eigentlichen Verarbeitung mit gerechtfertigt werde.516 Der Auftragsverarbeiter werde als „verlängerter Arm“517 des Verantwortlichen tätig und leite die Befugnis für die Datenverarbeitung vom primären Verantwortlichen ab.518 c) Stellungnahme Zunächst überzeugt es nicht, die Ablehnung der Privilegierung der Auftragsverarbeitung unter der DSGVO damit zu begründen, dass der Auftragsverarbeiter als „Nichtdritter“, anders als noch nach dem BDSG a. F., unter der Rechtslage der DSGVO nicht vom Verarbeitungsbegriff ausgenommen sei. Denn die DSGVO ist nicht nach dem deutschen Rechtsverständnis des BDSG a. F. auszulegen, vielmehr ist für sie als Nachfolgeregelung zur DSRL die europarechtliche Sicht maßgeblich.519 Die DSGVO ist autonom auszulegendes europäisches Recht, sodass sich bei ihrer Auslegung jeder unreflektierte Rückgriff auf Erfahrungswerte aus dem 512 v. Holleben / Knaut, CR 2017, 299 (301); Schmidt / Freund, ZD 2017, 14 (15 f.); Gola, in: Gola, DSGVO, Art. 4 DSGVO Rn. 75. 513 Schmidt / Freund, ZD 2017, 14 (15); dies. weisen jedoch darauf hin, dass andere Sprachfassungen auch so verstanden werden könnten, dass der Vertrag lediglich die formale Ausgestaltung regele, vgl. Art. 28 Abs. 3 DSGVO „Processing by a processor shall be governed by a contract […]“ (englische Fassung). 514 v. Holleben / Knaut, CR 2017, 299 (301). 515 Gola, in: Gola, DSGVO, Art. 4 DSGVO Rn. 75. 516 Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 28 DSGVO Rn. 33; Spoerr, in: BeckOK Datenschutzrecht, Art. 28 DSGVO Rn. 32; Ingold, in: Sydow, DSGVO, Art. 28 DSGVO Rn. 31; Cremer, CR 2019, 225 (231); Härting, ITRB 2016, 137 (139). 517 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 38. 518 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 38; Freund / Shagdar, SGb 2018, 267 (269); DSK, Kurzpapier Nr. 13 „Auftragsverarbeitung“, Stand 16. Januar 2018, S. 1. 519 Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 28 DSGVO Rn. 33; Schmidt / Freund, ZD 2017, 14 (15); v. Holleben / Knaut, CR 2017, 299 (301).
172
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
BDSG a. F. verbietet.520 Dadurch, dass die DSGVO hinsichtlich der Auftragsverarbeitung die entscheidenden Definitionen der DSRL weitgehend übernommen hat, wird deutlich, dass sie hinsichtlich der Legitimation der Auftragsverarbeitung nicht von der bereits in der DSRL vorgesehenen Privilegierung der Auftragsverarbeitung abweichen wollte.521 Überzeugend ist daher der Vergleich zur DSRL und die durch die DSGVO intendierte Kontinuität.522 Hinzu kommt, dass bei einer Ablehnung der Privilegierung der Auftragsverarbeitung unter der DSGVO gerade die Auftragsverarbeitung mit besonderen Kategorien personenbezogener Daten, wie etwa Gesundheitsdaten, weitgehend ausgeschlossen wäre.523 Denn wie bereits erläutert, fallen externe Dienstleister nicht unter Art. 9 Abs. 2 lit. h DSGVO, sodass dieser keine Rechtsgrundlage für die Auftragsverarbeitung im Gesundheitswesen darstellt.524 Es könnte daher nur auf die Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO zurückgegriffen werden. Dadurch würde die Einbindung externer Dienstleister im Gesundheitswesen jedoch u. a. wegen der angeführten Bedenken gegen die Freiwilligkeit der Einwilligung im Arzt-Patienten-Verhältnis sowie der jederzeitigen Widerruflichkeit der Einwilligung signifikant erschwert.525 Es ist nicht ersichtlich, dass der Verordnungsgeber dies intendiert hat.526 Ist die grundsätzliche Verneinung der Privilegierung unter der DSGVO mithin abzulehnen, bleibt zu bewerten, welcher Begründungsansatz für die Privilegierung der Auftragsverarbeitung unter der DSGVO dogmatisch überzeugt.527 Zunächst erscheint es wenig überzeugend, in Art. 28 DSGVO eine eigenständige Rechtsgrundlage zu sehen.528 Denn systematisch steht Art. 28 DSGVO außerhalb der Systeme der Art. 6 und 9 DSGVO, die die Erlaubnistatbestände der DSGVO abschließend regeln.529 Einem derartigen Verständnis von Art. 28 DSGVO steht 520
Kremer, CR 2019, 225 (226). Schmidt / Freund, ZD 2017, 14 (15); Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 28 DSGVO Rn. 19; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 28 DSGVO Rn. 33. 522 Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 68. 523 Martini, in: Paal / Pauly, DSGVO BDSG, Art. 28 DSGVO Rn. 10; Schmidt / Freund, ZD 2017, 14 (14 f.); Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 28 DSGVO Rn. 21; Krohm / Müller-Peltzer, RDV 2016, 306 (311); v. Holleben / Knaut, CR 2017, 229 (301). 524 S. dazu unter Kap. 2 A. II. 2. b) bb), (S. 109 ff.). 525 Zur Freiwilligkeit der Einwilligung im Einzelnen s. unter Kap. 2 A. III. 1. a), (S. 131 ff.). 526 v. Holleben / Knaut, CR 2017, 299 (301); Krohm / Müller-Peltzer, RDV 2016, 306 (311). 527 Aufgrund der dargestellten Parallelgeltung von Datenschutzrecht und ärztlicher Schweigepflicht ist die Ansicht von Wronka, RDV 2017, 129 (131) von vornherein abzulehnen, nach der für die Datenverarbeitung im Rahmen der Auftragsverarbeitung keine datenschutzrechtliche Rechtsgrundlage mehr erforderlich sei, sondern diese sich auf § 203 Abs. 3 S. 2 StGB stützen könne, da ein „Zulässigkeitsvorrang des § 203 Abs. 3 Satz 2 StGB“ bestehe. Da § 203 Abs. 3 S. 2 StGB die Rechtfertigungsnormen der DSGVO nicht verdrängt, sondern diese vielmehr parallel zur Anwendung kommen, sind die Voraussetzungen beider Rechtsregime parallel zu berücksichtigen, so auch Dochow, MedR 2019, 363 (367). 528 Petri, in: Simitis / Hornung / Spieker, Datenschutzrecht, Art. 28 DSGVO Rn. 33. 529 v. Holleben / Knaut, CR 2017, 299 (301); Krohm / Müller-Peltzer, RDV 2016, 307 (310); Kremer, CR 2019, 225 (230); Bertermann, in: Ehmann / Selmayr, DSGVO, Art. 28 DSGVO Rn. 5. 521
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
173
somit die Systematik der DSGVO entgegen.530 Da zwischen dem Verantwortlichen als Auftraggeber und seinem Auftragsverarbeiter auch unter der DSGVO ein „Innenverhältnis“531 besteht, sprechen die besseren Gründe dafür, die Auftragsverarbeitung als Teil der Verarbeitungshandlung des Verantwortlichen zu betrachten. Dies entspricht auch der Systematik des Art. 4 Nr. 2 DSGVO, der nicht zwischen verschiedenen Verarbeitungsvorgängen unterscheidet, sondern die Übermittlung als Unterfall der Verarbeitung miterfasst.532 Es ist somit festzuhalten, dass die Privilegierung der Auftragsverarbeitung unter der DSGVO fortgeführt wird und daher für die Auftragsverarbeitung keine gesonderte datenschutzrechtliche Legitimierung erforderlich ist. Wenn die Datenverarbeitung durch den Verantwortlichen insgesamt zulässig ist, so erstreckt sich diese Zulässigkeit auch auf die Weitergabe der Daten an den Auftragsverarbeiter.533 Diese Privilegierung der Auftragsverarbeitung steht auch nicht im Widerspruch zum Schutzzweck des Art. 9 DSGVO, der darin besteht, einen hohen Schutz für die Verarbeitung besonderer Kategorien personenbezogener Daten zu gewährleisten. Denn diese hohen Schutzanforderungen sind durch den Auftragsverarbeiter bei der Gestaltung technischer und organisatorischer Maßnahmen für die Verarbeitung zu berücksichtigen, deren Einhaltung durch den Verantwortlichen zu kontrollieren ist.534 2. Anforderungen an die Auftragsverarbeitung nach der DSGVO Art. 28 DSGVO regelt die grundlegenden Bestimmungen für sowie die Anforderungen an eine Auftragsverarbeitung. Gemäß Art. 28 Abs. 1 DSGVO muss der Verantwortliche dafür Sorge tragen, dass der Auftragsverarbeiter hinreichende Garantien für eine ordnungsgemäße Verarbeitung bietet. Zur Bewertung der hinreichenden Garantien soll der Verantwortliche gemäß EG 81 S. 1 DSGVO insbesondere auf das Fachwissen, die Zuverlässigkeit und die Ressourcen des Auftragsverarbeiters abstellen. Es muss sichergestellt sein, dass die Anforderungen der DSGVO eingehalten werden und der Schutz der Rechte der betroffenen Personen gewährleistet ist. Das dafür im Gesetz vorgesehene Mittel sind geeignete technische und organisatorische Maßnahmen.535 Was darunter konkret zu verstehen ist, ergibt sich aus Art. 32 DSGVO. Dort sind als derartige Maßnahmen etwa die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Möglich 530
Kremer, in: Schwartmann / Jaspers / Thüsing / Kugelmann, DSGVO BDSG, Art. 28 DSGVO Rn. 73. 531 DSK, Kurzpapier Nr. 13 „Auftragsverarbeitung“, Stand 16. Januar 2018, S. 1. 532 Krohm / Müller-Peltzer, RDV 2016, 307 (310); Härting, ITRB 2016, 137 (139). 533 Krohm / Müller-Peltzer, RDV 2016, 307 (311). 534 Schmidt / Freund, ZD 2017, 14 (16); Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 28 DSGVO Rn. 33. 535 Spoerr, in: BeckOK Datenschutzrecht, Art. 28 DSGVO Rn. 33.
174
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
keit, die Verfügbarkeit der Daten nach einem technischen Zwischenfall wiederherzustellen sowie ein Verfahren, an Hand dessen die Sicherheitsmaßnahmen regelmäßig überprüft werden können, aufgeführt. Nach Art. 28 Abs. 5 DSGVO können auch Verhaltensregeln einen Faktor darstellen, um die Einhaltung der Garantien vorzuweisen. Solche Verhaltensregeln können von Verbänden oder Vereinigungen gemäß Art. 40 DSGVO ausgearbeitet werden.536 Zudem kann die Einhaltung anerkannter Zertifizierungen gemäß Art. 42 DSGVO durch einen Auftragsverarbeiter als Nachweis für hinreichende Garantien herangezogen werden.537 Daneben ist es erforderlich, dass der Verantwortliche mit dem Auftragsverarbeiter einen Vertrag schließt, welcher gemäß Art. 28 Abs. 9 DSGVO schriftlich abgefasst werden muss, wobei eine Erklärung in einem elektronischen Format genügt.538 Die zwingenden Mindestinhalte dieses Vertrags sind in Art. 28 Abs. 3 DSGVO vorgeschrieben. Danach muss der Vertrag gemäß Art. 28 Abs. 3 S. 1 DSGVO Gegenstand, Dauer sowie Art und Zweck der Verarbeitung der personenbezogenen Daten regeln. Zudem hat der Vertrag u. a. auch vorzusehen, dass der Auftragsverarbeiter die personenbezogenen Daten nur auf Weisung des Auftraggebers verarbeitet und gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.539 Daneben eröffnet Art. 28 Abs. 6 DSGVO dem Verantwortlichen und Auftragsverarbeiter die Möglichkeit, anstelle individueller Vereinbarungen Standardvertragsklauseln zu verwenden.540 Solche Standardvertragsklauseln können nach Art. 28 Abs. 7 DSGVO durch die Kommission festgelegt werden. Am 4. Juni 2021 hat die Kommission neue Standardvertragsklauseln zur Auftragsverarbeitung veröffentlicht.541 Damit wurde erstmalig eine einheitliche Vertragsvorlage für Auftragsverarbeitungen in der EU geschaffen. 3. Datenschutz und Schweigepflicht im Hinblick auf die Auftragsverarbeitung Bis zum Inkrafttreten des „Gesetz[es] zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ bestand insofern Rechtsunsicherheit, als die strafrechtliche und datenschutzrechtliche Beurteilung der Weitergabe von Daten an Auftragsverarbeiter 536
In Deutschland verfügt beispielsweise der Gesamtverband der Deutschen Versicherungs wirtschaft e. V. über ein solches Regelwerk, diesem sind verschiedene private Krankenversicherungen beigetreten, abrufbar unter: https://www.gdv.de/de/ueber-uns/unsere-services/ daten-schutz-ko-dex---code-of-conduct---15544. 537 Klug, in: Gola, DSGVO, Art. 28 DSGVO Rn. 6. 538 Bertermann, in: Ehmann / Selmayr, DSGVO, Art. 28 DSGVO Rn. 12; Klug, in: Gola, DSGVO, Art. 28 DSGVO Rn. 12; Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 5 Rn. 26. 539 Dazu ausführlich Hartung / Steinweg, PinG 2018, 21 (22 f.); Eckhardt, CCZ 2017, 111 (115). 540 Martini, in: Paal / Pauly, DSGVO BDSG, Art. 28 DSGVO Rn. 70. 541 Durchführungsbeschluss (EU) 2021/915 der Kommission vom 4. Juni 2021, ABl. EU 2021 L 199, S. 18.
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
175
auseinanderfallen konnte.542 Denn die Weitergabe von Daten an einen Auftragsverarbeiter konnte strafrechtlich als unbefugtes Offenbaren einzuordnen sein,543 während aufgrund der datenschutzrechtlichen Privilegierung der Auftragsverarbeitung ein datenschutzkonformes Verhalten vorlag. Ärzte, die einer besonderen berufsrechtlichen Schweigepflicht unterliegen, benötigten daher bis zum 1. November 2017 bei einer datenschutzrechtlich zulässigen Auftragsverarbeitung zusätzlich die Schweigepflichtentbindungserklärung ihrer Patienten, um deren Gesundheitsdaten durch externe Dienstleister verarbeiten lassen zu können.544 Denn die datenschutzrechtlich zulässige Weitergabe von Daten im Rahmen der Auftragsverarbeitung stellte zutreffenderweise aufgrund der parallelen Geltung von Datenschutzrecht und ärztlicher Schweigepflicht keine Befugnis zur Offenbarung im strafrechtlichen Sinne dar.545 Die Datenverarbeitung im Auftrag stellt zwar auch weiterhin keine Erlaubnis dar, dem Auftragsverarbeiter Daten zu offenbaren, die aufgrund von Berufsgeheimnissen vertraulich zu behandeln sind.546 Seit der Reform des § 203 StGB dürfen Berufsgeheimnisträger, wie etwa Ärzte, jedoch sonstigen Personen, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, gemäß § 203 Abs. 3 S. 2 StGB fremde Geheimnisse offenbaren, soweit die Offenbarung des Geheimnisses für die Tätigkeit der sonstigen mitwirkenden Person erforderlich ist.547 Das Mitwirken an der beruflichen oder dienstlichen Tätigkeit ist nach der Gesetzesbegründung weit zu verstehen und soll etwa auch externe IT-Dienstleister erfassen.548 Die Offenbarung des Geheimnisses ist aber nur gerechtfertigt, soweit das Offenbaren für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Person erforderlich ist.549 Damit wird allerdings allein der notwendige Umfang der zulässigen Datenweitergabe beschränkt, nicht entscheidend ist hingegen, ob die Inanspruchnahme der mitwirkenden Person für die Ausübung der Tätigkeit des Berufsgeheimnisträgers selbst erforderlich ist.550 Nicht maßgeblich ist daher etwa, ob der Arzt selbst 542
Freund / Shagdar, SGb 2018, 267 (270). Dies galt zumindest bei einer restriktiven Auslegung des Begriffs „Gehilfe“, nach der der externe Dienstleister nicht als Gehilfe einzuordnen war, Kroschwald / Wicker, CR 2012, 758 (761 ff.) m. w. N.; Buchner, MedR 2016, 660 (661 f.); BT-Drs. 18/11936, S. 18. 544 ULD SH, Tätigkeitsbericht 2019, S. 78. 545 Dochow, GesR 2018, 137 (140). 546 DSK, Kurzpapier Nr. 13 „Auftragsverarbeitung“, Stand 16. Januar 2018, S. 2; zweifelnd Kazemi, in: FS Dahm, 283 (291 f.). 547 DSK, Kurzpapier Nr. 13 „Auftragsverarbeitung“, Stand 16. Januar 2018, S. 2. 548 BT-Drs. 18/11936, S. 22; Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 56. 549 Eisele, in: Schönke / Schröder, StGB, § 203 StGB Rn. 51; Cornelius, NJW 2017, 3751 (3751); Dochow, MedR 2019, 279 (286). 550 Eisele, in: Schönke / Schröder, StGB, § 203 StGB Rn. 51; Heger, in: Lackner / Kühl, StGB, § 203 StGB Rn. 25a; das Erforderlichkeitskriterium wird überwiegend kritisch beurteilt, da nicht klar sei, wie die Erforderlichkeit im Einzelnen zu beurteilen sei, Ruppert, K&R 2017, 609 (612); Fechtner / Haßdenteufel, CR 2017, 355 (360); Dochow, Telematik im Gesundheitswesen, S. 1355; ders., GesR 2018, 137 (144); ders., MedR 2020, 348 (353); dagegen Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 138 nach denen mit dem Kriterium der Erforderlichkeit kaum die Schaffung weiterer Rechtsunsicherheiten verbunden sein dürfte. 543
176
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
entsprechende technische Fähigkeiten besitzt.551 Im Rahmen des für die konkrete Tätigkeit notwendigen Umfangs der Datenweitergabe ist die Offenbarung des Patientengeheimnisses daher gerechtfertigt, sodass der beauftragende Arzt seine ärztliche Schweigepflicht nicht verletzt und sich folglich nicht strafbar macht. Auch nach der Gesetzesänderung decken sich die strafrechtlichen und datenschutzrechtlichen Anforderungen jedoch nicht vollständig.552 Eine divergierende Bewertung ist insbesondere dann möglich, wenn eine Auslagerung der personenbezogenen Daten nicht erforderlich i. S. d. § 203 Abs. 3 S. 2 StGB ist, jedoch den datenschutzrechtlichen Anforderungen entspricht.553 Im Gegenzug unterliegt der Auftragsverarbeiter nach § 203 Abs. 4 S. 1 StGB nun selbst der strafrechtlich sanktionierten Verschwiegenheitspflicht.554 Zudem muss der Berufsgeheimnisträger dafür Sorge tragen, dass die sonstige mitwirkende Person zur Geheimhaltung verpflichtet wird, sofern sie nicht selbst Berufsgeheimnisträger ist, da er sich andernfalls nach § 203 Abs. 4 S. 2 Nr. 1 StGB strafbar macht, wenn die sonstige mitwirkende Person unbefugt ein fremdes Geheimnis offenbart.555 4. Regelungen zur Auftragsverarbeitung im nationalen Recht Art. 28 DSGVO regelt die datenschutzrechtlichen Vorgaben der Auftragsverarbeitung abschließend, sodass grundsätzlich kein Raum für die Beibehaltung oder Neuregelung von Vorschriften im nationalen Recht verbleibt.556 Zwar sieht Art. 28 Abs. 3 S. 1 DSGVO vor, dass die Verarbeitung durch einen Auftragsverarbeiter nicht nur auf der Grundlage eines Vertrags, sondern auch auf der Grundlage eines anderen Rechtsinstruments nach dem Recht der Mitgliedstaaten erfolgen kann.557 Damit steht den Mitgliedstaaten aber keine inhaltliche Regelungsbefugnis zu, sie können vielmehr nur das Handlungsinstrument ausgestalten.558 Fraglich ist vor diesem Hintergrund, wie mit bereits bestehenden Spezialgesetzen umzugehen ist. Viele Sondervorschriften zur Auftragsverarbeitung finden sich insbesondere in den Landeskrankenhausgesetzen.559 Solche Vorschriften sind zum Beispiel in § 33 Abs. 8 SächsKHG oder Art. 27 Abs. 4 S. 5 und 6 BayKrG geregelt. Dabei sind die 551
Eisele, in: Schönke / Schröder, StGB, § 203 StGB Rn. 51. Dochow, MedR 2019, 363 (367). 553 Cornelius, NJW 2017, 3751 (3753). 554 Kraus, PinG 2018, 16 (18); Hartung / Steinweg, PinG 2018, 21 (21). 555 Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 69. 556 Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 28 DSGVO Rn. 110. 557 Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 28 DSGVO Rn. 110. 558 Spoerr, in: BeckOK Datenschutzrecht, Art. 28 DSGVO Rn. 47; Martini, in: Paal / Pauly, DSGVO BDSG, Art. 28 DSGVO Rn. 25; Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 78. 559 Kremer, in: Schwartmann / Jaspers / Thüsing / Kugelmann, DSGVO BDSG, Art. 28 DSGVO Rn. 193. 552
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
177
Voraussetzungen von Bundesland zu Bundesland sehr unterschiedlich ausgestaltet.560 So dürfen dem Auftragsverarbeiter nach § 37 Abs. 2 S. 1 LKHG SH Patientendaten nur offenbart werden, soweit dies für die Auftragserfüllung erforderlich ist. Zudem ist in § 37 Abs. 2 S. 2 LKHG SH festgelegt, dass der Krankenhausträger dem Auftragsverarbeiter anonymisierte Daten oder, falls dies nicht möglich ist, pseudonymisierte Daten zur Verfügung zu stellen hat. Nach § 41 Abs. 1 BremKrhG darf die Verarbeitung einem Auftragsverarbeiter u. a. nur dann übertragen werden, wenn Störungen im Betriebsablauf sonst nicht vermieden werden können oder die Datenverarbeitung dadurch erheblich kostengünstiger gestaltet werden kann. Gemäß § 33 Abs. 8 SächsKHG bedarf die Auftragserteilung hingegen der Zustimmung der zuständigen Behörde. Ebenso werden in § 27b ThürKHG, § 38 LKHG M-V sowie § 7 Abs. 1 und 2 GDSG NW zusätzliche Bedingungen für die Datenverarbeitung durch einen Auftragsverarbeiter aufgestellt.561 Da Art. 28 DSGVO keine Öffnungsklausel in Bezug auf die Auftragsverarbeitung enthält, ist fraglich, inwiefern diese nationalen bereichsspezifischen Normen mit der DSGVO in Einklang stehen.562 Teilweise bestehen vor diesem Hintergrund Zweifel, ob solche Beschränkungen der Auftragsverarbeitung durch nationales Recht zulässig sind.563 Zudem wird angenommen, dass es auch keiner weiteren Beschränkung der Auftragsverarbeitung im Gesundheitswesen durch die entsprechenden bereichspezifischen Vorschriften mehr bedürfe, da die externen Dienstleister nun selbst dem § 203 StGB unterliegen. Damit sei dem Schutzgedanken des Art. 9 Abs. 3 DSGVO Rechnung getragen, nach dem Gesundheitsdaten im Rahmen der medizinischen Versorgung nur durch Personen verarbeitet werden sollen, die einer besonderen Geheimhaltungspflicht unterliegen.564 Da die Auftragsverarbeitung aber als ausgelagerter Verarbeitungsvorgang des Verantwortlichen einzuordnen ist, können im Rahmen der Öffnungsklauseln auf nationaler Ebene richtigerweise zusätzliche Voraussetzungen für die Zulässigkeit einer Auftragsverarbeitung aufgestellt werden, soweit Öffnungsklauseln für den konkreten Bereich der Datenverarbeitung vorgesehen sind.565 Dies ist für den Bereich des Gesundheitswesens 560
Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 63. 561 Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 28 DSGVO Rn. 113. 562 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 69. 563 Brandt, in: Bräutigam, IT-Outsourcing und Cloud-Computing, B. IT-Outsourcing im Gesundheitswesen Rn. 64, 67. 564 Brandt, in: Bräutigam, IT-Outsourcing und Cloud-Computing, B. IT-Outsourcing im Gesundheitswesen Rn. 64. 565 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 69; Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 28 DSGVO Rn. 113; so geht auch das BayLDA davon aus, dass Art. 27 BayKrG auf die Öffnungsklausel des Art. 9 Abs. 4 DSGVO gestützt werden könne, BayLDA, 7. Tätigkeitsbericht 2015/2016, März 2017, S. 101; a. A. Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 64, da der Landesgesetzgeber für das Instrument der Auftragsverarbeitung mangels europarechtlicher Öffnungsklausel keinen Handlungsspielraum habe, abweichende Anforderungen für die Zulässigkeit der Auftragsverarbeitung zu erlassen.
178
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
mit Art. 9 Abs. 2 lit. h DSGVO der Fall. Die Berechtigung der Mitgliedstaaten, für die Zulässigkeit der Auftragsverarbeitung zusätzliche Bedingungen aufzustellen, unterfällt mithin der grundsätzlichen Befugnis der Mitgliedstaaten, die Voraussetzungen einer Verarbeitung teilweise selbst zu regeln.566 Während der Inhalt und die Ausgestaltung der Auftragsverarbeitung in Art. 28 DSGVO geregelt wird, darf die jeweilige mitgliedstaatliche Bestimmung somit festlegen, unter welchen Voraussetzungen die Auftragserteilung erfolgen darf.567 So sind Regelungen, wie etwa in § 41 Abs. 1 BremKrhG oder § 38 Abs. 1 S. 1 LKHG M-V, die festlegen, dass die Erteilung eines Auftrags zur Datenverarbeitung nur zulässig ist, wenn sonst Störungen im Betriebsablauf auftreten oder die Arbeiten erheblich kostengünstiger gestaltet werden können, von der Öffnungsklausel des Art. 9 Abs. 2 lit. h DSGVO gedeckt. Daneben hat sich auch die teilweise in Bezug auf § 24 Abs. 7 S. 2 und 4 LKG Berlin a. F. vorgebrachte Kritik, dass dieser für die Auftragsverarbeitung, die nicht durch ein Krankenhaus erfolge, die Beachtung der datenschutzrechtlichen Vorgaben zur Auftragsverarbeitung vorschreibe, obwohl der Auftragnehmer ohnehin nur anonyme Daten verarbeiten dürfe,568 mit der Anpassung dieser Vorschrift an die Vorgaben der DSGVO erledigt. Denn § 24 Abs. 7 LKG Berlin n. F. schreibt nun nicht mehr vor, dass die Datenschutzvorschriften zur Auftragsverarbeitung auch anzuwenden sind, wenn der Auftragnehmer lediglich anonyme Daten verarbeitet. Darüber hinaus bestehen keine Bedenken gegen nationale Bestimmungen, die die Verarbeitung anonymer Daten regeln, da die Verarbeitung anonymer Daten mangels Personenbezugs gemäß Art. 2 Abs. 1 DSGVO nicht in den Anwendungsbereich der DSGVO fällt, sodass dem nationalen Gesetzgeber insoweit die Möglichkeit zusteht, nationale Regelungen zu erlassen. 5. Abgrenzung der Auftragsverarbeitung zur Datenübermittlung an einen eigenständigen Verantwortlichen Für die Annahme einer Auftragsverarbeitung verbleibt allerdings kein Raum, wenn beide Parteien Einfluss auf die Zwecke und Mittel der Verarbeitung nehmen.569 Soweit diese externen Personen oder Stellen Daten zu eigenen Zwecken verarbeiten, sind sie als eigenständige Verantwortliche zu charakterisieren.570 Die Abgrenzung ist insbesondere mit Blick auf das Erfordernis einer Rechtsgrundlage bei der Datenübertragung zwischen zwei Alleinverantwortlichen relevant. Denn 566
Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 28 DSGVO Rn. 113; vgl. Hofmann, in: Roßnagel, DSGVO, § 3 Rn. 280. 567 BT-Drs. 18/12611, S. 114 in Bezug auf die Verarbeitung von Sozialdaten im Auftrag nach § 80 SGB X. 568 Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 64. 569 Jung / Hansch, ZD 2019, 143 (148); Härting / Gössling, NJW 2018, 2523 (2525). 570 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 58.
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
179
die Übermittlung von Daten von einem Verantwortlichen an einen weiteren Verantwortlichen stellt eine eigenständige Verarbeitung dar, die eines eigenen Erlaubnistatbestandes bedarf. Diesbezüglich bedürfen im Gesundheitswesen insbesondere die folgenden Konstellationen der genaueren Betrachtung. a) Weitergabe von Gesundheitsdaten an privatärztliche und gewerbliche Verrechnungsstellen Anders als in der gesetzlichen Krankenversicherung wird in der privaten Krankenversicherung grundsätzlich unmittelbar zwischen Arzt und Patient abgerechnet.571 Um den Arzt von dem mit der Abrechnung verbundenen Verwaltungsaufwand freizuhalten, werden im Bereich der privaten Krankenversicherung zur Abrechnung ärztlicher Leistungen oftmals private Abrechnungsstellen eingeschaltet.572 Damit diese externen Dienstleister Rechnungen erstellen können, muss der Arzt Patienteninformationen sowie konkrete Behandlungsdaten, wie die ärztlich erbrachten Leistungen und die Diagnose, weitergeben.573 Bei der Weitergabe von Patienteninformationen an private Abrechnungsstellen werden folglich Gesundheitsdaten verarbeitet.574 Vor dem Hintergrund des grundsätzlichen Verbots der Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO stellt sich daher die Frage, ob die Datenverarbeitung im Rahmen der Einschaltung dieser ärztlichen Abrechnungsstellen eine Auftragsverarbeitung darstellt und mithin keiner gesonderten Rechtsgrundlage bedarf. Hierbei ist zwischen der Einschaltung von privatärztlichen und gewerblichen Verrechnungsstellen zu differenzieren.575 aa) Weitergabe von Gesundheitsdaten an privatärztliche Verrechnungsstellen (1) Datenschutzrechtliche Beurteilung Privatärztliche Verrechnungsstellen sind üblicherweise ein Zusammenschluss von Ärzten in der Rechtsform eines Vereins des bürgerlichen Rechts.576 In dieser Konstellation überträgt der Arzt der Verrechnungsstelle die Rechnungsstel 571 Zur Datenübermittlung im Bereich der GKV im Rahmen der Abrechnung s. unter Kap. 3 B. II. 1., (S. 216 ff.). 572 Ulsenheimer, in: Laufs / Kern / Rehborn, Handbuch des Arztrechts, § 145 Rn. 49; Engel mann, GesR 2009, 449 (449). 573 Dochow, MedR 2020, 348 (349, 350); Spickhoff, in: Spickhoff, Medizinrecht, § 10 GOZ Rn. 22; Hilgendorf, in: Wabnitz / Janovsky / Schmitt, Handbuch Wirtschafts- und Steuerstrafrecht, Kap. 14 Rn. 59; Buchner, MedR 2013, 337 (340). 574 Dochow, MedR 2020, 348 (354). 575 Dochow, MedR 2020, 348 (349 f.); Ulsenheimer, in: Laufs / Kern / Rehborn, Handbuch des Arztrechts, § 145 Rn. 49 ff. 576 Ulsenheimer, in: Laufs / Kern / Rehborn, Handbuch des Arztrechts, § 145 Rn. 50; Hauser / Haag, Datenschutz im Krankenhaus, S. 423; Dochow, MedR 2020, 348 (349).
180
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
lung, welche individuell nach seinen Angaben erstellt wird.577 Zudem unterliegen die Mitarbeiter bei Erstellung der Rechnung den Weisungen des behandelnden Arztes.578 Eine solche weisungsgebundene Tätigkeit ist charakteristisch für die Auftragsverarbeitung. Wenn daher die Tätigkeit der privatärztlichen Abrechnungsstelle so ausgestaltet ist, dass dieser keine eigenen inhaltlichen Entscheidungsspielräume zustehen, sondern die Art und Weise der Abrechnung vielmehr vom Arzt vorgegeben und die Rechnung in seinem Interesse erstellt wird, ist vom Vorliegen einer Auftragsverarbeitung auszugehen.579 Dann bedarf es zwar eines Vertrags zur Auftragsverarbeitung, jedoch keiner gesonderten Rechtsgrundlage für die Weitergabe der Daten.580 (2) Strafrechtliche Beurteilung Strafrechtlich kann auch die Weitergabe von Patientendaten an privatärztliche Verrechnungsstellen ein strafbares Offenbaren darstellen, obwohl diese nach § 203 Abs. 1 Nr. 7 StGB selbst schweigepflichtig sind.581 Die ärztliche Schweige pflicht gilt daher grundsätzlich auch im Verhältnis des Arztes zur Verrechnungsstelle.582 Jedoch gilt auch hier, dass das Offenbaren dann gerechtfertigt ist, wenn das Geheimnis einer sonstigen mitwirkenden Person i. S. d. § 203 Abs. 3 S. 2 StGB zugänglich gemacht wird und die Offenbarung für die Inanspruchnahme der Tätigkeit erforderlich ist.583 Fraglich ist somit, ob auch Mitarbeiter privatärztlicher
577
Ulsenheimer, in: Laufs / Kern / Rehborn, Handbuch des Arztrechts, § 145 Rn. 51. Hauser / Haag, Datenschutz im Krankenhaus, S. 423; Dochow, MedR 2020, 348 (349). 579 KV Nordrhein, Informationsblätter zum neuen Datenschutzrecht in der ambulanten Versorgung v. 23. November 2018, S. 30, abrufbar unter: https://www.kvno.de/fileadmin/shared/ pdf/online/datenschutz_dsgvo/infoblaetter_dsgvo.pdf; Kühling / Seidel, GesR 2012, 402 (405); dies., in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 135; Uwer, in: BeckOK Datenschutzrecht, Syst. F. Rn. 143. 580 BayLDA, Auslegungshilfe Auftragsverarbeitung Arzt v. 15. Mai 2019, abrufbar unter: https://www.lda.bayern.de/de/thema_auftragsverarbeitung.html; KV Nordrhein, Informationsblätter zum neuen Datenschutzrecht in der ambulanten Versorgung v. 23. November 2018, S. 30; Buchner, in: FS Hart, 49 (58); Dochow, MedR 2020, 348 (358) stellt klar, dass die Einbeziehung privatärztlicher Verrechnungsstellen nur dann als Auftragsverarbeitung zu qualifizieren sei, wenn sich die Dienstleistung auf das Erstellen der Abrechnung beschränke und darüber hinaus keine weiteren eigenständigen Leistungen, wie das Erstellen von Mahnungen oder die Beitreibung, angeboten würden. Führe die privatärztliche Verrechnungsstelle hingegen eigenverantwortliche Tätigkeiten aus, so nimmt er an, dass die privatärztliche Verrechnungsstelle und die Arztpraxis als gemeinsam Verantwortliche i. S. d. Art. 26 DSGVO zu qualifizieren seien. Dann wäre für die Weitergabe von Daten zwischen den gemeinsam Verantwortlichen eine eigenständige Rechtsgrundlage erforderlich, s. dazu ausführlich unter Kap. 2 B. IV., (S. 187 ff.). 581 Heger, in: Lackner / Kühl, StGB, § 203 StGB Rn. 18; Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 52; Dochow, MedR 2020, 348 (351). 582 Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 52. 583 Eisele, in: Schönke / Schröder, StGB, § 203 StGB Rn. 49. 578
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
181
Verrechnungsstellen zu den sonstigen mitwirkenden Personen i. S. d. § 203 Abs. 3 S. 2 StGB zählen. Eine Mitwirkung an der beruflichen oder dienstlichen Tätigkeit liegt nach der Gesetzesbegründung nur vor, wenn die mitwirkende Person unmittelbar mit der beruflichen Tätigkeit des Geheimnisträgers, ihrer Vorbereitung, Durchführung, Auswertung oder Verwaltung befasst ist.584 Dazu gehört nach Auffassung des Gesetzgebers insbesondere auch das Rechnungswesen, welches auch die Rechnungstellung erfassen soll.585 Daher sind auch die Mitarbeiter privatärztlicher Verrechnungsstellen als sonstige mitwirkende Personen i. S. d. § 203 Abs. 3 S. 2 StGB einzuordnen.586 Daneben wird auch die Erforderlichkeit der Offenbarung regelmäßig gegeben sein. Denn diese bezieht sich nicht auf die Erforderlichkeit der Übertragung der Tätigkeit auf die sonstige mitwirkende Person selbst, sondern beschränkt sich auf den für die Erbringung der konkreten Tätigkeit der externen Person notwendigen Umfang der Preisgabe von Geheimnissen.587 Der Berufsgeheimnisträger darf somit nicht mehr geschützte Geheimnisse preisgeben, als für die Übertragung der Tätigkeit auf die sonstige mitwirkende Person erforderlich.588 Da die Hinzuziehung des externen Mitwirkenden allerdings nicht für die Ausübung der Tätigkeit des Berufsgeheimnisträgers selbst erforderlich sein muss, ist die Datenweitergabe auch zulässig, wenn der Berufsgeheimnisträger die Erstellung der Abrechnung selbst vornehmen könnte.589 Im Rahmen des Erforderlichen i. S. d. § 203 Abs. 3 S. 2 StGB ist die Weitergabe von Patientendaten an privatärztliche Verrechnungsstellen somit erlaubt.590 bb) Weitergabe von Gesundheitsdaten an gewerbliche Verrechnungsstellen (1) Datenschutzrechtliche Beurteilung Die Weitergabe von Gesundheitsdaten an gewerbliche Verrechnungsstellen ist demgegenüber nach anderen Maßstäben zu beurteilen. Denn gewerbliche Verrechnungsstellen sind auf Gewinnerzielungsabsicht ausgerichtete juristische Personen des Handelsrechts, bei denen in der Regel keine Ärzte, sondern private Kaufleute Mitglieder sind.591 Diese Verrechnungsstellen ziehen die Honorarforderung üb
584
BT-Drs. 18/11936, S. 22; Eisele, in: Schönke / Schröder, StGB, § 203 StGB Rn. 49. BT-Drs. 18/11936, S. 17, 22; Dochow, MedR 2020, 348 (352). 586 Dochow, MedR 2020, 348 (352); Uwer, in: BeckOK Datenschutzrecht, Syst. F. Rn. 144. 587 BT-Drs. 18/11936, S. 23; Cornelius, NJW 2017, 3751 (3752); Heger, in: Lackner / Kühl, StGB, § 203 StGB Rn. 25a. 588 BT-Drs. 18/11936, S. 23. 589 Heger, in: Lackner / Kühl, StGB, § 203 StGB Rn. 25a; Eisele, in: Schönke / Schröder, StGB, § 203 StGB Rn. 51; für eine restriktive Auslegung des Merkmals der Erforderlichkeit Dochow, MedR 2020, 348 (353). 590 Ulsenheimer, in: Laufs / Kern / Rehborn, Handbuch des Arztrechts, § 145 Rn. 54. 591 Ulsenheimer, in: Laufs / Kern / Rehborn, Handbuch des Arztrechts, § 145 Rn. 53; Hau ser / Haag, Datenschutz im Krankenhaus, S. 423; Dochow, MedR 2020, 348 (349). 585
182
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
licherweise als eigene ein, nachdem ihnen der Arzt diese im Rahmen einer Global zession abgetreten hat, sog. Factoring.592 In dieser Konstellation kommt eine Auftragsverarbeitung aufgrund der konkreten Einwirkungsmöglichkeit der privaten Rechnungsstelle auf den Datenverarbeitungsprozess nicht in Betracht.593 Die Verrechnungsstelle ist aufgrund der Abtretung Inhaber der Forderungen geworden, mithin benötigt sie die Patienten- und Abrechnungsdaten, um die ihr zustehende Forderung aus eigenem Interesse gegenüber dem Patienten geltend zu machen. Der Arzt als Auftraggeber hat dementsprechend keinen Einfluss auf die Datenverarbeitung der Verrechnungsstelle.594 Es handelt sich daher um die Inanspruchnahme fremder Fachleistungen durch einen eigenständigen Verantwortlichen.595 Diese Weitergabe der Daten stellt eine Offenlegung von einem Alleinverantwortlichen gegenüber einem anderen Alleinverantwortlichen und mithin eine Verarbeitung personenbezogener Daten gemäß Art. 4 Nr. 2 DSGVO gegenüber einem Dritten gemäß Art. 4 Nr. 10 DSGVO dar, die einer Rechtsgrundlage gemäß Art. 9 Abs. 2 DSGVO bedarf.596 In diesem Zusammenhang ist zunächst darauf hinzuweisen, dass sich die Legitimation der Weitergabe von Gesundheitsdaten an die gewerblichen Verrechnungsstellen nicht schon aus § 203 Abs. 3 S. 2 StGB ergibt, da die ärztliche Schweigepflicht und der Datenschutz unabhängig voneinander zur Anwendung gelangen.597 Als datenschutzrechtliche Rechtsgrundlage kommt Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. in Betracht, der u. a. die Datenverarbeitung zu Zwecken der Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich gestattet. Möglicherweise könnte daher die Abtretung ärztlicher Forderungen im privatärztlichen Bereich ohne Einwilligung des betroffenen Patienten allein über diese Rechtsgrundlage legitimiert werden.598 Neu ist diesbezüglich insbesondere, dass im Gegensatz zur DSRL nicht mehr zwischen öffentlicher und privater Verwaltung im Gesundheits- und Sozialbereich unterschieden wird.599 Während unter der DSRL noch allein von der „Verwaltung von Gesundheitsdiensten“ die Rede war, umfassen die entsprechenden Regelungen in der DSGVO nun 592
Dochow, MedR 2020, 348 (350); Engelmann, GesR 2009, 449 (449); Foerster, JuS 2020, 203 (204). 593 BayLDA, Auslegungshilfe Auftragsverarbeitung Arzt v. 15. Mai 2019, abrufbar unter: https://www.lda.bayern.de/de/thema_auftragsverarbeitung.html; KV Nordrhein, Informationsblätter zum neuen Datenschutzrecht in der ambulanten Versorgung v. 23. November 2018, S. 30; Dochow, MedR 2020, 348 (357). 594 Jandt / Roßnagel, MedR 2013, 17 (19); Dochow, MedR 2020, 348 (357). 595 DSK, Kurzpapier Nr. 13 „Auftragsverarbeitung“, Stand 16. Januar 2018, S. 4. 596 Kremer, CR 2019, 225 (228). 597 Dochow, MedR 2020, 348 (354); ders., Telematik im Gesundheitswesen, S. 1359; a. A. Wronka, RDV 2017, 129 (131); ausführlich zum Verhältnis von Datenschutz und ärztlicher Schweigepflicht s. unter Kap. 1 C. II. 4., (S. 68 ff.). 598 Kazemi, in: FS Dahm, 283 (292). 599 Weichert, DANA 2016, 48 (51); Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 30; a. A. Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 717.
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
183
„die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich“, sodass auch nichtöffentliche Stellen erfasst werden.600 Jedoch konkretisiert der EG 53 S. 1 DSGVO diesen Verarbeitungszweck dahingehend, dass mit der Verwaltung der Systeme und Dienste des Gesundheits- oder Sozialbereichs insbesondere die Datenverarbeitung durch die Verwaltung und die nationalen Gesundheitsbehörden gemeint ist. Die Verwaltung von Systemen und Diensten betrifft folglich die „infrastrukturelle Dimension des Gesundheitswesens“601 und meint damit die Datenverarbeitung durch die Verwaltung und die Kostenträger von Gesundheitsund Sozialleistungen.602 Weitere Anbieter von Dienstleistungen im Gesundheitsbereich, wie private Verrechnungsstellen, sind daher nicht erfasst.603 Die Einbeziehung von Verrechnungsstellen stellt daher keine Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich gemäß Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. dar.604 Die Datenverarbeitung im Zusammenhang mit der Einbindung privater Verrechnungsstellen lässt sich zudem auch nicht auf den Verarbeitungszweck der Versorgung oder Behandlung im Gesundheitsbereich i. S. v. Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. stützen. Denn verarbeitet werden dürfen in diesem Rahmen nur die Daten, die für die jeweils festgelegten Zwecke erfor derlich sind.605 Mit Blick auf den Schutzzweck der Vorschrift ist die Beurteilung der Erforderlichkeit restriktiv auszulegen.606 Voraussetzung dafür wäre, dass die Verarbeitung für die Behandlung des Patienten erfolgt.607 Die ärztliche Behandlung kann jedoch auch durchgeführt werden, wenn die Abrechnung nicht auf externe Dienstleister ausgelagert wird.608 Die Einschaltung von Abrechnungsstellen kann daher zwar abrechnungstechnisch effizienter und aus organisatorischen Gründen 600 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 106, § 22 BDSG Rn. 14; ders., DuD 2017, 538 (542); Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 79. 601 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 79. 602 Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 59; Kampert, in: Sydow, DSGVO, Art. 9 DSGVO Rn. 45; Dochow, MedR 2020, 348 (356). 603 Dochow, MedR 2020, 348 (356); Rose, in: Taeger / Gabel, DSGVO BDSG, § 22 BDSG Rn. 24; a. A. Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 106, 109. 604 Dochow, MedR 2020, 348 (356); ders., in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 44; Uwer, in: BeckOK Datenschutzrecht, Syst. F. Rn. 102; a. A. Jaspers / Schwart mann / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 191; Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 35; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 109. 605 Petri, in: Simits / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Rn. 87; Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 17; EG 53 S. 1 DSGVO. 606 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 46; vgl. Uwer, in: BeckOK Datenschutzrecht, Syst. F. Rn. 102. 607 Petri, in: Simits / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Rn. 87; Dochow, MedR 2020, 348 (355); Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 60, der jedoch davon ausgeht, dass auch die Abwicklung von gesundheitsbezogenen Leistungen erforderlich i. S. d. Vorschrift sei. 608 Dochow, MedR 2020, 348 (355).
184
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
nützlich sein und somit eine Arbeitserleichterung für die Ärzte darstellen, sie ist jedoch zur Abwicklung der Behandlung im datenschutzrechtlichen Sinne nicht erforderlich.609 Daher bedarf es für die Übermittlung der Daten an die gewerbliche Verrechnungsstelle einer ausdrücklichen Einwilligung des Patienten gemäß Art. 9 Abs. 2 lit. a DSGVO.610 Diese muss den in der DSGVO aufgestellten Wirksamkeitsanforderungen entsprechen.611 Die Abgabe der Willenserklärung im Zusammenhang mit dem Behandlungsvertrag kann dabei jedenfalls nicht als Einwilligung i. S. d. Art. 9 Abs. 2 lit. a DSGVO in die weitergehende Verarbeitung durch die Verrechnungsstelle verstanden werden, da es dafür bereits an der Wirksamkeitsvoraussetzung der Ausdrücklichkeit fehlt.612 An der Freiwilligkeit der Einwilligung kann es in diesem Zusammenhang etwa fehlen, wenn die Behandlung in medizinischen Notfällen davon abhängig gemacht wird, dass eine Einwilligung in die Übermittlung von Daten an eine externe Verrechnungsstelle erteilt wird.613 Dem kann mit dem Angebot einer alternativen direkten Abrechnung entgegengewirkt werden.614 Hingegen existieren im Bereich der gesetzlichen Krankenversicherung spezielle Vorschriften für die Zulässigkeit der Übermittlung von Gesundheitsdaten an externe Verrechnungsstellen, auf die im dritten Kapitel dieser Arbeit gesondert eingegangen wird.615 (2) Strafrechtliche Beurteilung Unabhängig von den datenschutzrechtlichen Anforderungen sind bei der Weitergabe von Daten zu Zwecken der Abrechnung durch gewerbliche Verrechnungsstellen parallel auch die Vorgaben der ärztlichen Schweigepflicht zu berücksich 609 Dochow, MedR 2020, 348 (348, 355); ders., in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 41; Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 170 f. zu § 28 Abs. 7 BDSG a. F.; KV Nordrhein, Informationsblätter zum neuen Datenschutzrecht in der ambulanten Versorgung v. 23. November 2018, S. 30. 610 BÄK / K VB, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A8); ULD SH, Die Datenschutzgrundverordnung tritt in Kraft – Das müssen selbstständige Heilberufler beachten, S. 2, abrufbar unter: https:// www.datenschutzzentrum.de/dsgvo/; Uwer, in: BeckOK Datenschutzrecht, Syst. F. Rn. 102, 144; Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 180; Dochow, MedR 2020, 348 (358); ders., in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 41, 44; Jülicher, Medizininformationsrecht, S. 90. 611 S. dazu ausführlich unter Kap. 2 A. III. 1., (S. 131 ff.). 612 Dochow, MedR 2020, 348 (355). 613 Vedder, DuD 2014, 821 (822); ob dies der Fall ist, ist anhand der Vorgaben des Art. 7 Abs. 4 DSGVO zu prüfen, s. dazu ausführlich unter Kap. 2 A. III. 1. a) aa), (S. 132 ff.). 614 Seiler, PinG 2018, 43 (46). 615 Uwer, in: BeckOK Datenschutzrecht, Syst. F. Rn. 145 f.; solche Vorschriften finden sich in § 295a Abs. 1 und 3 SGB V, § 300 Abs. 2 SGB V sowie § 301a Abs. 2 SGB V; s. zur Situation in der gesetzlichen Krankenversicherung Kap. 3 B. II. 1. c), (S. 219 ff.).
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
185
tigen. Auch hier gilt, dass die Übermittlung von Behandlungsunterlagen an die externe Verrechnungsstelle ein strafbares Offenbaren darstellt.616 Insbesondere kann die Weitergabe von Patientendaten nach Abtretung zur Einziehung durch Dritte nicht auf eine konkludente Einwilligung gestützt werden.617 Jedoch könnte die Offenbarung des Patientengeheimnisses ebenfalls gemäß § 203 Abs. 3 S. 2 StGB gerechtfertigt sein, wenn die Mitarbeiter der gewerblichen Verrechnungsstelle als sonstige mitwirkende Personen an der beruflichen Tätigkeit des Arztes mitwirken und dies für die Inanspruchnahme der Tätigkeit der Verrechnungsstelle erforderlich ist. Allerdings wird teilweise bezweifelt, ob auch Mitarbeiter gewerblicher Verrechnungsstellen an der beruflichen Tätigkeit des Arztes mitwirken.618 Problematisiert wird in diesem Zusammenhang insbesondere, ob die Mitarbeiter gewerblicher Verrechnungsstellen noch unmittelbar mit der beruflichen Tätigkeit des Arztes befasst sind.619 Dies sei zweifelhaft, da die Tätigkeit nicht mehr als berufliche Hilfeleistung eingeordnet werden könne, weil die Geschäftsinteressen nach der Abtretung der Honorarforderung auf eigenes Risiko des Zessionars, also der gewerblichen Verrechnungsstelle, verfolgt würden.620 Jedoch ist in diesem Zusammenhang zu berücksichtigen, dass das Mitwirken der sonstigen Personen nach der Gesetzesbegründung weit zu verstehen ist.621 Diese führt eine Reihe von nicht abschließenden Beispielen auf, die unter die mitwirkenden Tätigkeiten i. S. d. Vorschrift zu fassen sind. Insbesondere der Vergleich mit den anderen dort genannten Tätigkeiten verdeutlicht, dass der Gesetzgeber keine Einschränkung dahingehend vorgesehen hat, dass der Berufsgeheimnisträger die Herrschaft über die Daten behält.622 So gehört etwa auch die Bereitstellung von Systemen zur externen Speicherung von Daten zu den mitwirkenden Tätigkeiten. Damit ist ausdrücklich die Speicherung von Daten schweigepflichtigter Personen in sog. Cloud-Systemen angesprochen.623 Wenn dies folglich heißt, dass Cloud-Dienstleister unmittelbar mit der beruflichen Tätigkeit der schweigepflichtigen Person befasst sind, dann muss dies für Mitarbeiter gewerblicher Verrechnungsstellen ebenso gelten.624 Im Rahmen des Erforderlichen ist daher auch die Weitergabe von Patientendaten an gewerbliche Rechnungsstellen erlaubt.
616 Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 55; Eisele, in: Schönke / Schröder, StGB, § 203 Rn. 20. 617 Heger, in: Lackner / Kühl, StGB, § 203 StGB Rn. 18; Kargl, in: NK-StGB, § 203 StGB Rn. 58. 618 Dochow, MedR 2020, 348 (352). 619 Dochow, MedR 2020, 348 (352). 620 Dochow, MedR 2020, 348 (352). 621 Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 56. 622 Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 137. 623 Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 137. 624 Ulsenheimer, in: Laufs / Kern / Rehborn, Handbuch des Arztrechts, § 145 Rn. 49; a. A. Dochow, MedR 2020, 348 (352).
186
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
b) Externe Ärzte als eigenständige Verantwortliche Oft nehmen Ärzte und Krankenhäuser daneben auch die Dienstleistungen externer Labore in Anspruch, um Proben ihrer Patienten untersuchen zu lassen.625 Bezüglich der Frage, ob in diesem Fall eine Auftragsverarbeitung zwischen Arzt und Untersuchungslabor bzw. Laborarzt vorliegt oder die Laborärzte vielmehr als eigenständige Verantwortliche einzuordnen sind, vertreten die Verbände keine einheitliche Rechtsauffassung. So teilt die Kassenärztliche Vereinigung Nordrhein mit, dass die Weitergabe von Proben an ein externes Labor eines Vertrags zur Auftragsverarbeitung bedürfe.626 Andere Verbände teilen diese Auffassung mit unterschiedlichen Begründungen nicht.627 Auch nach Ansicht der Datenschutzkonferenz handelt es sich bei der Einbeziehung eines Berufsgeheimnisträgers um die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen.628 Um dies abschließend zu bewerten, ist die Tätigkeit der Laborärzte zu betrachten. Diese führen eine fachlich spezifische Untersuchung durch und erbringen somit eigene ärztliche Leistungen.629 Sie sind nicht ausschließlich den Weisungen der beauftragenden Ärzte unterworfen, sondern verarbeiten die personenbezogenen Daten im Rahmen ihrer Tätigkeit vielmehr selbstständig.630 Der Auftragsverarbeiter wird demgegenüber dadurch charakterisiert, dass er ohne maßgebliche Wertungs- und Entscheidungsspielräume agiert.631 Laborärzte werden somit nicht als Auftragsverarbeiter tätig, sondern sind vielmehr eigenständige Verantwortliche für die im Rahmen laborfachärztlich erbrachter Leistungen durchgeführte Datenverarbeitung.632 Die Datenübermittlung an das jeweilige Labor bedarf daher grundsätzlich einer gesonderten Rechtsgrundlage. In der bisherigen Rechtsprechung des BGH wurde jedoch angenommen, dass der behandelnde Arzt bei Inanspruchnahme eines externen Laborarztes als Stellvertreter des Patienten tätig werde.633 Dazu könne der Patient dem ihn behan 625
Bleckmann, DuD 2019, 137 (137). KV Nordrhein, FAQ zur DSGVO „Was ist bei der Zusammenarbeit mit Dienstleistern zu beachten?“, abrufbar unter: https://www.kvno.de/praxis/haeufige-fragen/gesetze/dsgvo. 627 BayLDA, Auslegungshilfe „Auftragsverarbeitung Arzt“ v. 15. Mai 2019, abrufbar unter: https://www.lda.bayern.de/de/thema_auftragsverarbeitung.html; Landesdatenschutzaufsicht Niedersachsen, FAQ DSGVO im Gesundheitsbereich, Nr. 11, abrufbar unter: https://lfd. niedersachsen.de/startseite/datenschutzreform/dsgvo/faq/ds-gvo-im-gesundheitsbereich-166 950.html; KVB, Fragen und Antworten zur DSG-VO und Datenschutz in der Arztpraxis, S. 15, Stand 17. März 2021, abrufbar unter: https://www.kvb.de/fileadmin/kvb/dokumente/Praxis/ Praxisfuehrung/KVB-Infoblatt-FAQ-DSGVO.pdf; differenzierend zwischen Laboren und Dentallaboren HmbBfDI, 27. Tätigkeitsbericht 2018, S. 119. 628 DSK, Kurzpapier Nr. 13 „Auftragsverarbeitung“, Stand 16. Januar 2018, Anhang B. 629 Bleckmann, DuD 2019, 137 (140). 630 Bleckmann, DuD 2019, 137 (137). 631 Martini, in: Paal / Pauly, DSGVO BDSG, Art. 28 DSGVO Rn. 2. 632 Bleckmann, DuD 2019, 137 (140 f.); Dochow, MedR 2019, 636 (641). 633 BGH, NJW 2010, 1203 (1204); BGH, NJW 2010, 1200 (1201). 626
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
187
delnden Arzt stillschweigend durch schlüssiges Verhalten, zum Beispiel mit der Blutentnahme, eine Innenvollmacht erteilen.634 Vor diesem Hintergrund wird teilweise die Ansicht vertreten, dass die Übersendung von Probenmaterial durch den behandelnden Arzt keine Datenübermittlung darstelle, da der Patient die Daten, vertreten durch den Arzt, selbst an das Labor gebe.635 Da es somit nicht zu einer Datenübermittlung komme, benötige der einsendende Arzt auch keine datenschutzrechtliche Rechtsgrundlage, um die Daten an das Labor weitergeben zu dürfen.636 Ob sich diese zivilrechtliche Konstruktion allerdings ohne Weiteres auf das Datenschutzrecht übertragen lässt, ist zweifelhaft. Denn wenn der Arzt die Daten als Stellvertreter des Patienten an das Labor gibt, ist darin datenschutzrechtlich, unabhängig von der zivilrechtlichen Bewertung, jedenfalls eine Übermittlung seitens des Arztes zu sehen. Jedoch lässt sich die Datenübermittlung an das Labor auf Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. stützen.637
IV. Der Austausch von Daten zwischen gemeinsam Verantwortlichen i. S. d. Art. 26 DSGVO In Fällen arbeitsteiliger Datenverarbeitung ist daneben auch die Rechtsfigur der gemeinsamen Verantwortlichkeit in Erwägung zu ziehen. Die Möglichkeit eines gemeinsamen Datenverarbeitungsvorgangs war zwar bereits in Art. 2 lit. d der bisherigen DSRL als sog. Joint-Control-Vereinbarung vorgesehen,638 die Begriffsbestimmung der verantwortlichen Stelle im § 3 Abs. 7 BDSG a. F. kannte hingegen nur die Verarbeitung personenbezogener Daten „für sich selbst“ oder „durch andere im Auftrag“.639 Im deutschen Datenschutzrecht fristete der „gemeinsam Verantwortliche“ daher bislang ein Schattendasein.640 Nun ist die gemeinsame Verantwortlichkeit bereits im Begriff des Verantwortlichen in Art. 4 Nr. 7 DSGVO angelegt, dort jedoch nicht näher definiert. In Zusammenschau mit Art. 26 DSGVO ergibt sich sodann, dass eine gemeinsame Verantwortlichkeit vorliegt, wenn die Zwecke der und die Mittel zur Verarbeitung gemeinsam festgelegt 634
BGH, NJW 2010, 1203 (1203). Seiler, PinG 2018, 43 (46). 636 Spitzenverband Fachärzte Deutschlands e. V., Pressemitteilung v. 13. Juni 2018, abrufbar unter: https://biermann-medizin.de/schreckgespenst-dsgvo-spifa-warnt-vor-uebertriebenerauslegung-des-datenschutzes/. 637 So auch BayLDA, Auslegungshilfe „Auftragsverarbeitung Arzt“ v. 15. Mai 2019, abrufbar unter: https://www.lda.bayern.de/de/thema_auftragsverarbeitung.html; a. A. Bleckmann, DuD 2019, 137 (142) der annimmt, dass es erforderlich sei, zur Übermittlung der Daten an das Labor eine Einwilligung einzuholen; s. zur Einbeziehung weiterer Ärzte in die Behandlung bereits unter Kap. 2 B. II. 1., (S. 162 ff.). 638 Werry / Knoblich, MPR 2017, 1 (3). 639 Kremer, CR 2019, 225 (225). 640 Spoerr, in: BeckOK Datenschutzrecht, Art. 26 DSGVO Rn. 1; Härting / Gössling, NJW 2018, 2523 (2524); Jotzo, JZ 2018, 1159 (1161). 635
188
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
werden. Mit diesem Rechtsinstitut beabsichtigte der EU-Gesetzgeber durch eine klare Zuteilung der Verantwortungsbereiche dem Umstand gerecht zu werden, dass viele Datenverarbeitungsvorgänge nicht isoliert, sondern in arbeitsteiligen Prozessen unter Einbeziehung unterschiedlicher verarbeitender Stellen vorgenommen werden.641 Damit soll dem Schutz der Rechte und Freiheiten der betroffenen Person Rechnung getragen sowie Rechtssicherheit bezüglich der Verantwortung geschaffen werden.642 Nach Art. 26 Abs. 1 S. 1 DSGVO liegt eine gemeinsame Verantwortlichkeit vor, wenn „zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung“ festlegen. Das Kriterium der Gemeinsamkeit dient damit der Abgrenzung zum Handeln von zwei getrennt voneinander Verantwortlichen.643 Entscheidend ist folglich, ob jede in die Datenverarbeitung eingebundene Partei eigenständig über Zwecke oder Mittel der Verarbeitung entscheidet und somit von einem Handeln von mehreren Alleinverantwortlichen auszugehen ist oder ob mehrere Verantwortliche gemeinsam über Zwecke und Mittel einer Verarbeitung entscheiden. Der EuGH hat in drei Urteilen maßgeblich zur Auslegung des Begriffs der gemeinsamen Verantwortlichkeit beigetragen.644 Diese Urteile beziehen sich zwar auf den Begriff der Verantwortlichkeit unter der DSRL, da die Definition jedoch inhaltsgleich in die DSGVO übernommen wurde, wird einhellig angenommen, dass die Rechtsprechung auf die Rechtslage unter der DSGVO übertragbar sei.645 Danach ist es unerheblich, ob dieselben Zugriffsmöglichkeiten auf die Daten bestehen oder die Daten lediglich von einem der Beteiligten zur Verfügung gestellt werden.646 Zudem können die Akteure in verschiedenen Phasen in die Verarbeitung der personenbezogenen Daten einbezogen sein.647 Eine gleichrangige Verteilung der Einflussnahme auf die Zwecke und Mittel sei nicht zwingend erforderlich.648 641
Spoerr, in: BeckOK Datenschutzrecht, Art. 26 DSGVO Rn. 2; Kartheuser / Nabulsi, MMR 2018, 717 (717); Specht-Riemenschneider / Schneider, MMR 2019, 503 (504). 642 Spoerr, in: BeckOK Datenschutzrecht, Art. 26 DSGVO Rn. 2; EG 79 DSGVO. 643 Spoerr, in: BeckOK Datenschutzrecht, Art. 26 DSGVO Rn. 14. 644 EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (357 ff.) – Wirtschaftsakademie Schleswig-Holstein; EuGH, Urt. v. 10. Juli 2018 – C-25/17, ZD 2018, 469 (469 ff.) – Jehovan todistajat; EuGH, Urt. v. 29. Juli 2019 – C-40/17, ZD 2019, 455 (455 ff.) – Fashion ID. 645 Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 26 DSGVO Rn. 26; Gierschmann, ZD 2020, 69 (70); Sattler, GRUR 2019, 1023 (1023). 646 EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (359) Rn. 38 – Wirtschaftsakademie Schleswig-Holstein; EuGH, Urt. v. 10. Juli 2018 – C-25/17, ZD 2018, 469 (472) Rn. 69 – Jehovan todistajat. 647 EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (359) Rn. 43 – Wirtschaftsakademie Schleswig-Holstein; EuGH, Urt. v. 10. Juli 2018 – C-25/17, ZD 2018, 469 (472) Rn. 66 – Jehovan todistajat. 648 EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (359) Rn. 43 – Wirtschaftsakademie Schleswig-Holstein; zur Kritik an dieser Rechtsprechung dahingehend, dass eine Diversifizierung von Zuständigkeiten sich auch ins Gegenteil kehren könne Moos / Rothkegel, MMR 2018, 596 (597); Dochow, MedR 2019, 636 (643).
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
189
Der EuGH legt den Begriff der gemeinsamen Verantwortlichkeit mithin weit aus.649 In seinem jüngsten Urteil hat der EuGH seine vorangegangene extensive Auslegung jedoch dahingehend präzisiert, dass eine gemeinsame Verantwortlichkeit stets nur für die Phasen eines Verarbeitungsvorgangs angenommen werden könne, auf die die Parteien faktisch Einfluss nehmen können.650 Dagegen könne eine Person oder Stelle für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlege, nicht als verantwortlich angesehen werden.651 Trotz der in der EuGH-Rechtsprechung festgelegten Grundsätze besteht in der Rechtspraxis erhebliche Unsicherheit, wann eine gemeinsame Verantwortlichkeit i. S. d. Art. 26 DSGVO gegeben ist.652 Letztlich bedarf die Beurteilung, ob eine gemeinsame Verantwortlichkeit i. S. d. Art. 26 DSGVO vorliegt, einer genauen Betrachtung im Einzelfall.653 Dabei sollte insbesondere analysiert werden, wie die Datenverarbeitung konkret ausgestaltet ist, welche Aufgaben die Kooperationspartner übernehmen und ob sie mit der Datenverarbeitung wirklich ein gleichartiges Ziel verfolgen.654 Im Gesundheitswesen wird eine gemeinsame Verantwortlichkeit etwa zwischen den Parteien einer klinischen Arzneimittelstudie,655 zwischen privatärztlicher Verrechnungsstelle und Arztpraxis656 oder dem Betreiber einer Plattform für telemedizinische Dienste und dem Telemediziner657 in Erwägung gezogen.658 Dagegen ist im Falle einer Nach- oder Weiterbehandlung durch einen ärztlichen Kollegen nicht von einer gemeinsamen Veranwortlichkeit auszugehen, da ein Austausch von 649
So auch Gierschmann, ZD 2020, 69 (70); Specht-Riemenschneider / Schneider, MMR 2019, 503 (505). 650 EuGH, Urt. v. 29. Juli 2019 – C-40/17, ZD 2019, 455 (456 f.) Rn. 74 – Fashion ID; Kollmar, NVwZ 2019, 1740 (1741). 651 EuGH, Urt. v. 29. Juli 2019 – C-40/17, ZD 2019, 455 (457) Rn. 74 – Fashion ID. 652 Jaspers / Jacquemain, DuD 2020, 297 (299); Gierschmann, ZD 2020, 69 (71); Weichert, DuD 2020, 293 (295); BR-Drs. 570/19 (B), S. 6. 653 Jung / Hansch, ZD 2019, 143 (144); exemplarisch zur Einordnung der gemeinsamen Verantwortlichkeit am Beispiel der digitalen Gesundheitsanwendung s. unter Kap. 6 B. II., (S. 323 ff.) sowie am Beispiel der klinischen Prüfung s. unter Kap. 7 F. I. 1., (S. 404 ff.). 654 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 37. 655 DSK, Kurzpapier Nr. 16 „Gemeinsam für die Verarbeitung Verantwortliche“, Stand 19. März 2018, S. 4; EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, S. 21 f.; im Einzelnen zur datenschutzrechtlichen Verantwortlichkeit im Rahmen klinischer Prüfungen von Arzneimitteln s. unter Kap. 7 F. I. 1., (S. 404 ff.). 656 So Dochow, MedR 2020, 348 (358); ausführlich zur Weitergabe von Gesundheitsdaten an privatärztliche Verrechnungsstellen bereits unter Kap. 2 B. III. 5. a) aa), (S. 179 ff.). 657 Dazu ausführlich Dochow, MedR 2019, 636 (642 f.). 658 Daneben wird das Bestehen einer gemeinsamen Verantwortlichkeit im Gesundheitswesen auch im Zusammenhang mit digitalen Gesudheitsanwendungen diskutiert, s. dazu unter Kap. 6 B. II., (S. 323 ff.) sowie im Rahmen der Telematikinfrastruktur, s. dazu unter Kap. 3 C. II. 1., (S. 229 ff.).
190
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
Daten ohne gemeinsame Zwecke oder Mittel als Datenübermittlung zwischen zwei Alleinverantwortlichen einzuordnen ist.659 Jedoch verleiht die Rechtsfigur der gemeinsamen Verantwortlichkeit keine Legitimation für den Austausch von Gesundheitsdaten zwischen den gemeinsam Verantwortlichen.660 Mit der Qualifikation als gemeinsam Verantwortliche ist daher keine Privilegierung gegenüber Einzelverantwortlichen hinsichtlich der Übermittlung von Daten zwischen den gemeinsam Verantwortlichen verbunden.661 Untereinander sind die Beteiligten Empfänger der Daten i. S. v. Art. 4 Nr. 9 DSGVO.662 Der Austausch von gemeinsam erhobenen Daten zwischen den gemeinsam Verantwortlichen ist daher genauso rechtfertigungsbedürftig wie zwischen Alleinverantwortlichen. Dementsprechend benötigt jeder beteiligte Akteur eine eigene Rechtsgrundlage für die einzelnen Verarbeitungsvorgänge einschließlich der Übermittlung von Daten zwischen den gemeinsam Verantwortlichen.663 Allerdings ergeben sich bei dem Vorliegen einer gemeinsamen Verantwortlichkeit gegenüber der Verarbeitung durch getrennt Verantwortliche insofern Besonderheiten, als Art. 26 Abs. 1 S. 2 DSGVO für gemeinsam Verantwortliche vorschreibt, dass diese eine Vereinbarung zur klaren Zuweisung der datenschutzrechtlichen Verantwortlichkeit treffen müssen.664 Damit wird bezweckt, dass die 659
Dochow, MedR 2019, 636 (643). Dochow, MedR 2020, 348 (359); Jaspers / Jacquemain, DuD 2020, 297 (299), die eine gesetzliche Klarstellung dahingehend fordern. 661 DSK, Kurzpapier Nr. 16 „Gemeinsam für die Verarbeitung Verantwortliche“, Stand 19. März 2018, S. 1; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 375; Hartung, in: Kühling / Büchner, DSGVO BDSG, Art. 26 DSGVO Rn. 27; Spoerr, in: BeckOK Datenschutzrecht, Art. 26 DSGVO Rn. 23 f.; Bertermann, in: Ehmann / Selmayr, DSGVO, Art. 26 DSGVO Rn. 11; Schreibauer, in: Auernhammer, DSGVO BDSG, Art. 26 DSGVO Rn. 6; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 26 DSGVO Rn. 1; Dochow, MedR 2020, 348 (358); Dovas, ZD 2016, 512 (515); a. A. Piltz, in: Gola, DSGVO Art. 26 DSGVO Rn. 8; Moos, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 8 Rn. 32; Lang, in: Taeger / Gabel, DSGVO BDSG, Art. 26 DSGVO Rn. 53 ff.; Kremer, CR 2019, 225 (231); Botta, Datenschutz bei E-Learning-Plattformen, S. 226 Fn. 928; Martini, in: Paal / Pauly, DSGVO BDSG, Art. 26 DSGVO Rn. 3a, der davon ausgeht, dass sich die gemeinsam Verantwortlichen nicht als Dritte gegenüberstehen und daher ein Verarbeitungsprivileg bei der Übermittlung von Daten genießen. Jedoch nimmt Art. 4 Nr. 10 DSGVO von der Definition des Dritten nur den Verantwortlichen und nicht die gemeinsam Verantwortlichen untereinander aus, zudem wird für eine Übermittlung i. S. d. Art. 4 Nr. 2 DSGVO gerade nicht, wie noch in § 3 Abs. 4 Nr. 3 BDSG a. F., gefordert, dass die Daten an einen Dritten übermittelt werden. 662 Mester, DuD 2019, 167 (167); DSK, Kurzpapier Nr. 16 „Gemeinsam für die Verarbeitung Verantwortliche“, Stand 19. März 2018, S. 1. 663 DSK, Kurzpapier Nr. 16 „Gemeinsam für die Verarbeitung Verantwortliche“, Stand 19. März 2018, S. 1; Bischoff / Wiencke, ZD 2019, 8 (9); Jaspers / Jacquemain, DuD 2020, 297 (299); Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 26 DSGVO Rn. 1; Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 26 DSGVO Rn. 62; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 375. 664 Hornung, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 26 DSGVO Rn. 5; Specht- Riemenschneider / Schneider, MMR 2019, 503 (505). 660
B. Datenverarbeitung im Rahmen der Einbindung weiterer Personen
191
Parteien im Vorfeld ihre jeweiligen Rollen diskutieren und klären und somit intern klare organisatorische Strukturen schaffen.665 Nach Art. 26 Abs. 2 S. 1 DSGVO muss die Vereinbarung eine Beschreibung der tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber den betroffenen Personen enthalten. Zu den tatsächlichen Funktionen zählen Angaben über die Aufgabenverteilung zwischen den gemeinsam Verantwortlichen sowie ihre Entscheidungsbefugnis hinsichtlich der Zwecke und Mittel der Verarbeitung.666 Wichtig ist daher, dass die Verantwortungsbereiche in der Vereinbarung klar voneinander abgegrenzt werden.667 Die Beziehung gegenüber den betroffenen Personen umfasst hingegen die Aufgabenverteilung hinsichtlich der gegenüber den betroffenen Personen zu erfüllenden gesetzlichen Pflichten.668 Art. 26 Abs. 1 S. 2 DSGVO erwähnt in diesem Zusammenhang explizit die Informationspflichten gemäß Art. 13 und 14 DSGVO. Die Vereinbarung sollte daher insbesondere Informationen über die Rechtsgrundlagen für die Verarbeitung sowie über die Zwecke und Mittel der Verarbeitung enthalten.669 Nach Art. 26 Abs. 2 S. 2 DSGVO sind den betroffenen Personen zudem die wesentlichen Inhalte dieser Vereinbarung zur Verfügung zu stellen. Ungeachtet der Einzelheiten dieser Vereinbarung kann die betroffene Person ihre Datenschutzrechte Art. 26 Abs. 3 DSGVO zufolge gegenüber jedem einzelnen der Verantwortlichen geltend machen.670 Die Verantwortungszuteilung nach Art. 26 Abs. 1 S. 2 DSGVO darf somit nur die Erfüllung der Betroffenenrechte, wie die Auskunftserteilung oder die Löschung der Daten, regeln und dafür im Innenverhältnis Zuständigkeiten festlegen.671 Im Außenverhältnis hat jedoch jeder der gemeinsam Verantwortlichen voll für die Einhaltung aller gesetzlichen Vorgaben und somit auch für die Wahrung der Betroffenenrechte einzustehen.672 Dies kann dazu führen, dass die Erfüllung der Betroffenenrechte durch einen anderen Verantwortlichen erfolgt, als demjenigen, gegenüber dem die betroffene Person ihr Recht ursprünglich geltend gemacht hat.673
665 Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 26 DSGVO Rn. 10; Bischoff / Wiencke, ZD 2019, 8 (9). 666 Piltz, in: Gola, DSGVO, Art. 26 DSGVO Rn. 20. 667 Küll, A&R 2019, 51 (57). 668 Piltz, in: Gola, DSGVO, Art. 26 DSGVO Rn. 20. 669 EDPB, Guidelines 07/2020 on the concepts of controller an processor in the GDPR, S. 41; Specht-Riemenschneider / Schneider, MMR 2019, 503 (505). 670 Hornung, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 26 DSGVO Rn. 28; Piltz, in: Gola, DSGVO, Art. 26 DSGVO Rn. 23; Ingold, in: Sydow, DSGVO, Art. 26 DSGVO Rn. 10. 671 Piltz, in: Gola, DSGVO, Art. 26 DSGVO Rn. 25. 672 Moos / Rothkegel, MMR 2018, 596 (597); Moos, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 8 Rn. 27. 673 Piltz, in: Gola, DSGVO, Art. 26 DSGVO Rn. 26.
192
Kap. 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten
C. Fazit Kapitel 2 Aufgrund der weit gefassten Öffnungsklauseln, die die DSGVO für die Datenverarbeitung im Gesundheitswesen vorsieht, haben die Mitgliedstaaten die Möglichkeit behalten, die Datenverarbeitung im Gesundheitswesen weitestgehend eigenständig zu regeln und dabei die Vorgaben der DSGVO zu konkretisieren.674 Ob der Gesetzgeber bei der Normierung der Vorgaben des § 22 BDSG n. F. auf nationaler Ebene den Anforderungen der DSGVO entsprochen hat, wird jedoch bezweifelt.675 Vor allem wird diesbezüglich die teils unveränderte Wiederholung der korrespondierenden Öffnungsklauseln des Art. 9 Abs. 2 DSGVO kritisiert.676 In diesem Zusammenhang wird angemerkt, dass es mitunter sinnvoller gewesen wäre, wenn der Gesetzgeber die Rechtsgrundlagen in bereits bestehenden nationalen Gesetzen ausfindig gemacht hätte und diese auf ihre Vereinbarkeit mit der DSGVO überprüft und ggf. angepasst hätte, um auf diese Weise teils obsolete Vorgaben in einem allgemeinen Gesetz zu vermeiden.677 Kollisionen zwischen den Vorschriften der DSGVO und den nun bestehenden Vorschriften im BDSG n. F. kämen gleichwohl nur in Betracht, wenn der nationale Gesetzgeber den vorgegebenen Ausgestaltungsspielraum überschritten hätte, indem er Regelungen erlassen hätte, die im Widerspruch zur DSGVO stehen.678 Aufgrund der überwiegenden Wiederholung der europäischen Vorschriften ist dies aber nicht ersichtlich. Allenfalls wäre zu erwägen, ob der Erlass inhaltsgleicher nationaler Vorschriften einen Verstoß gegen das europäische Normwiederholungsverbot darstellt.679 Rechtlich dürfte jedoch kaum etwas dagegen einzuwenden sein, dass aus Gründen der Rechtsklarheit teils eine nationale Wiederholung der europäischen Vorgaben im BDSG n. F. erfolgt ist.680 Dies gilt insbesondere, da der Gesetzgeber in der Gesetzesbegründung ausdrücklich darauf hingewiesen hat, dass die punktuellen Wiederholungen im BDSG n. F. die unmittelbare Geltung der DSGVO unberührt lassen.681 Das durch den EuGH entwickelte Normwiederholungsverbot findet daher vorliegend
674
Kühling, MedR 2019, 611 (613). Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 5. 676 Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 5; Frenzel, in: Paal / Pauly, DSGVO BDSG, § 22 BDSG Rn. 2; Weichert, in: Kühling / Buchner, DSGVO BDSG, § 22 BDSG Rn. 5; ders., DuD 2017, 538 (542); Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 71 ff.; Jandt, in: Roßnagel, Das neue Datenschutzrecht, § 8 Rn. 299. 677 Albers / Veit, in: BeckOK Datenschutzrecht, § 22 BDSG Rn. 41; Frenzel, in: Paal / Pauly, DSGVO BDSG, § 22 BDSG Rn. 15; auch der Bundesrat hatte im Gesetzgebungsverfahren zum DSAnpUG-EU darauf hingewiesen, dass die in § 22 Abs. 1 BDSG n. F. vorgesehenen Regelungen zum Teil obsolet seien, BT-Drs. 18/11655, S. 11. 678 Jandt, in: Roßnagel, Das neue Datenschutzrecht, § 8 Rn. 301. 679 Jandt, in: Roßnagel, Das neue Datenschutzrecht, § 8 Rn. 301. 680 Weichert, in: Kühling / Buchner, DSGVO BDSG, § 22 BDSG Rn. 45; restriktiver Frenzel, in: Paal / Pauly, DSGVO BDSG, § 22 BDSG Rn. 2 nach dem „eine Wiederholung oder Paraphrasierung des Wortlauts […] weder erforderlich noch zulässig“ sei. 681 BT-Drs. 18/11325, S. 80. 675
C. Fazit Kapitel 2
193
keine Anwendung.682 Entsprechend der Auffangfunktion des BDSG n. F. ist die Vorschrift des § 22 BDSG n. F. allerdings nur dann einschlägig, wenn im konkreten Fall keine bereichsspezifischen Vorschriften zur Verarbeitung besonderer Kategorien personenbezogener Daten vorhanden sind.683 Gerade im Gesundheits- und Sozialbereich existieren in großem Umfang bereichsspezifische Regelungen, wie etwa die bereits erwähnten Vorschriften in den Landeskrankenhausgesetzen oder im Infektionsschutzgesetz.684 Auf weitere, für die Datenverarbeitung im Gesundheitswesen besonders relevante bereichsspezifische Regelungen soll daher im Folgenden eingegangen werden.
682
Weichert, in: Kühling / Buchner, DSGVO BDSG, § 22 BDSG Rn. 45. Albers / Veit, in: BeckOK Datenschutzrecht, § 22 BDSG Rn. 8. 684 Albers / Veit, in: BeckOK Datenschutzrecht, § 22 BDSG Rn. 40. 683
Kapitel 3
Sozialdatenschutz unter der DSGVO Den wichtigsten Spezialfall des bereichsspezifischen Datenschutzrechts des Bundes bildet im Gesundheitswesen das Sozialdatenschutzrecht.1 Dieses ist für das Gesundheitswesen von entscheidender Bedeutung, da vor allem gesetzliche Krankenversicherungen eine große Anzahl an personenbezogenen Daten verarbeiten, die dem Bereich der sozialen Sicherheit unterfallen.2 Ausgangspunkt des Sozialdatenschutzes ist das in § 35 Abs. 1 S. 1 SGB I legaldefinierte Sozialgeheimnis, dessen Gegenstand der umfassende Schutz der betroffenen Person vor einem unbefugten Umgang mit ihren Sozialdaten ist.3 Sozialdaten sind gemäß § 67 Abs. 2 S. 1 SGB X personenbezogene Daten i. S. v. Art. 4 Nr. 1 DSGVO, die von einer in § 35 Abs. 1 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach dem Sozialgesetzbuch verarbeitet werden. Zu den in § 35 Abs. 1 SGB I genannten Stellen zählen insbesondere die Leistungsträger der Sozialversicherungen, zu denen gemäß § 12 S. 1 i. V. m. § 21 Abs. 2 SGB I auch die gesetzlichen Krankenversicherungen gehören.4 Diese verarbeiten somit Sozialdaten. Viele dieser Sozialdaten zählen zu den besonderen Kategorien personenbezogener Daten i. S. v. Art. 9 Abs. 1 DSGVO, insbesondere wenn es sich um medizinische Daten handelt, die von einer Krankenkasse verarbeitet werden.5 Handelt es sich bei den Sozialdaten zugleich um Gesundheitsdaten, so werden diese als besondere Kategorien von Sozialdaten bezeichnet.6 Soweit die zu verarbeitenden Gesundheitsdaten gleichzeitig Sozialdaten darstellen, gilt für diese der bereichsspezifische Regelungsmechanismus im Sozialgesetzbuch.7 1
Kühling, MedR 2019, 611 (619). Marburger, WzS 2012, 304 (304); Spindler, MedR 2016, 691 (691); für private Krankenversicherungen kommt das SGB hingegen nicht zu Anwendung, stattdessen gilt für diese überwiegend das allgemeine Datenschutzrecht in DSGVO und BDSG n. F. sowie teilweise spezialgesetzliche Vorgaben zum Umgang mit Gesundheitsdaten aus dem VVG, so etwa § 213 VVG, Paschke, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 13 Rn. 36; Deutscher Ethikrat, Stellungnahme Big Data und Gesundheit, S. 145; ausführlich zum Gesundheitsdatenschutzrecht im Privatversicherungsrecht Washausen, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 372 ff. 3 Kipker, in: Spiecker / Bretthauer, Dokumentation zum Datenschutz, Bd. 3, E 1.0 Rn. 4. 4 Arning, in: Moos / Schefzig / Arning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 177. 5 Bieresborn, NZS 2017, 926 (927); ders., in: Forgó / Helfrich / Schneider, Betrieblicher Datenschutz, S. 1141 Rn. 13; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 40; Marburger, WzS 2012, 304 (305). 6 Wobbe, MedR 2019, 625 (626). 7 Kühling / Sackmann / Schildbach, Sozialdatenschutzrechtl. Weiterentwicklungsbedarf im SGB V und X für Big Data, S. 17; Kühling, MedR 2019, 611 (615 f.); Albers / Veit, in: BeckOK 2
A. Regelungssystematik des Sozialdatenschutzes
195
Um das Sozialdatenschutzrecht terminologisch und systematisch an die Vorgaben der DSGVO anzupassen, waren Änderungen des bisherigen Rechts erforderlich. Daher hat der deutsche Gesetzgeber zunächst durch Artikel 19 und 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften8 die Datenschutzregelungen im Ersten und Zehnten Buch des Sozialgesetzbuches an die Vorgaben der DSGVO angepasst. Zudem erfolgten weitere Modifikationen des SGB I und X durch Artikel 119 und 131 des 2. DSAnpUG-EU sowie insbesondere die Anpassung der Vorschriften des SGB V an die DSGVO durch Artikel 123 des 2. DSAnpUG-EU, welches jedoch größtenteils redaktionelle Änderungen vorsah, um das SGB V an die sprachliche Terminologie der DSGVO anzupassen.9
A. Regelungssystematik des Sozialdatenschutzes unter der Rechtslage der DSGVO Bevor die einzelnen Konstellationen, die das Sozialgesetzbuch datenschutzrechtlich für die medizinische Versorgung gesetzlich versicherter Patienten regelt, im Detail betrachtet werden, wird nachfolgend zunächst die Regelungssystematik des Sozialdatenschutzrechts unter der Rechtslage der DSGVO beleuchtet.
I. Verhältnis der DSGVO zum SGB Da sowohl die DSGVO als auch das SGB spezifische Regelungen für die Datenverarbeitung im Gesundheitswesen vorsehen, stellt sich nach dem Inkrafttreten der DSGVO die Frage nach dem Verhältnis dieser Regelungssysteme zueinander. Unter der alten Rechtslage stellten die Regelungen des Sozialdatenschutzes ein geschlossenes System dar, welches keinen Rückgriff auf das allgemeine Datenschutzrecht zuließ, es sei denn, es wurde explizit auf die Regelungen des allgemeinen Datenschutzrechts verwiesen.10 Vor dem Hintergrund des Anwendungsvorrangs der DSGVO ist das Verhältnis der bereichsspezifischen Datenschutzregelungen im SGB zur DSGVO neu zu bewerten. Eine für das Verständnis des Verhältnisses des nationalen Sozialdatenschutzrechts zum Unionsrecht wichtige, wenn auch deklaratorische Regelung, ist in § 35 Datenschutzrecht, § 22 BDSG Rn. 10; Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 22 BDSG Rn. 10. 8 Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften v. 17. Juli 2017, BGBl. 2017 Teil I Nr. 49 v. 24. Juli 2017, S. 2541, dieses trat gleichzeitig mit dem Geltungsbeginn der DSGVO am 25. Mai 2018 in Kraft. 9 Kaboré / Kinast, ZD 2019, 441 (442); Kipker, DuD 2019, 371 (372). 10 Hoidn, in: Roßnagel, Das neue Datenschutzrecht, § 7 Rn. 110; Hoidn / Roßnagel, DuD 2018, 487 (487); Freund / Shagdar, SGb 2018, 195 (198); Buchner, Datenschutz im Gesundheitswesen, S. 34.
196
Kap. 3: Sozialdatenschutz unter der DSGVO
Abs. 2 S. 1 SGB I festgelegt.11 Nach dieser Vorschrift regeln die Vorschriften des Zweiten Kapitels des Zehnten Buches sowie die übrigen Bücher des Sozialgesetzbuches die Verarbeitung von Sozialdaten abschließend, „soweit nicht“ die DSGVO „unmittelbar gilt“. Der Gesetzgeber möchte damit der ohnehin bestehenden unmittelbaren Geltung der DSGVO i. S. d. Art. 288 Abs. 2 AEUV Rechnung tragen.12 Die DSGVO gilt wie jede europäische Verordnung im Allgemeinen unmittelbar, sie enthält mit den zahlreichen Öffnungsklauseln aber Regelungen, die nicht konkret genug für die unmittelbare Anwendbarkeit sind.13 Ein eigener legislativer Gestaltungsspielraum der Mitgliedstaaten besteht mithin nur noch in solchen Bereichen, in denen die DSGVO Regelungsaufträge erteilt oder Regelungsoptionen eröffnet.14 In diesem Rahmen können die Sozialgesetzbücher die Zulässigkeit der Verarbeitung von Sozialdaten ergänzend und konkretisierend regeln.15 In diesem Sinne hat der deutsche Gesetzgeber die Vorschriften, die die Verarbeitung von besonderen Kategorien personenbezogener Daten im nationalen Sozialdatenschutzrecht regeln, in den Anpassungsgesetzen auf die Öffnungsklauseln in Art. 9 Abs. 2 lit. b und lit. h DSGVO gestützt bzw., soweit die Vorschriften zusätzliche Bedingungen für die Verarbeitung vorsehen, von der Ermächtigung in Art. 9 Abs. 4 DSGVO Gebrauch gemacht.16 Einerseits treffen die Mitgliedstaaten somit auf der Grundlage der Öffnungsklauseln eigene Regelungen, andererseits lassen die spezifischen Befugnisse des SGB die nach der DSGVO unmittelbar anwendbaren Regelungen unberührt.17 Auch im Bereich des Sozialdatenschutzrechts existiert unter der DSGVO mithin ein „Mehrebenensystem“18 der Normen. Die Regelungen des Sozialdatenschutzes bestimmen die Verarbeitung von Sozialdaten nach dem Inkrafttreten der DSGVO nicht mehr als alleinige, abschließende Regelungen, sondern bauen vielmehr systematisch auf der DSGVO auf.19 Der nationale Sozialdatenschutz ist daher nur in 11
So auch Kühling / Sackmann, NVwZ 2018, 681 (681 f.) zu dem insoweit gleichlautenden § 1 Abs. 5 BDSG n. F.; Mrozynski, in: Mrozynski, SGB I, § 35 SGB I Rn. 7. 12 BT-Drs. 18/12611, S. 96; Buchner, Datenschutz im Gesundheitswesen, S. 35; Bieresborn, in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 31; ders., in: Schütze, SGB X, Vorbemerkungen zu §§ 67–85a SGB X Rn. 63; Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 35 SGB I Rn. 69. 13 Schneider, in: Krauskopf, Soziale Krankenversicherung, § 287 SGB V Rn. 25. 14 Leopold, NZS 2018, 357 (357). 15 Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 35 SGB I Rn. 78; Greiner, in: Knickrehm / K reikebohm / Waltermann, Kommentar zum Sozialrecht, § 35 SGB I Rn. 2. 16 BT-Drs. 19/4674, S. 356 ff.; BT-Drs. 18/12611, S. 101 ff. 17 Bieresborn, NZS 2017, 887 (888); ders., NZS 2017, 926 (928); Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 35 SGB I Rn. 80. 18 Freund / Shagdar, SGb 2018, 195 (198); so auch Bieresborn, NZS 2017, 887 (888); Greiner, in: Knickrehm / K reikebohm / Waltermann, Kommentar zum Sozialrecht, § 35 SGB I Rn. 1. 19 Freund / Shagdar, SGb 2018, 195 (198); Greiner, in: Knickrehm / K reikebohm / Waltermann, Kommentar zum Sozialrecht, § 35 SGB I Rn. 1; Herbst, in: KassKomm Sozialversicherungsrecht, § 75 SGB X Rn. 23; Bieresborn, NZS 2018, 10 (16); a. A. wohl Hoidn, in: Roßnagel, Das neue Datenschutzrecht, § 7 Rn. 140 ff. der davon ausgeht, dass „der deutsche Regelungskomplex des Sozialdatenschutzes als ein in sich abgeschlossenes System beibehalten werden“
A. Regelungssystematik des Sozialdatenschutzes
197
Zusammenschau mit der DSGVO vollständig und verständlich.20 Der Ansatz einer Vollregelung des Sozialdatenschutzrechts im SGB, bei der kein Rückgriff auf andere Datenschutzregelungen erforderlich ist, gilt aufgrund der unmittelbaren Geltung der DSGVO daher nur noch eingeschränkt.21
II. Verhältnis des SGB zu den nationalen Datenschutzvorschriften Hinsichtlich des Verhältnisses des SGB zum BDSG n. F. stellt § 35 Abs. 2 S. 1 SGB I klar, dass die datenschutzrechtlichen Regelungen im SGB das bereichsspezifische Datenschutzrecht abschließend regeln, sodass diese gegenüber den Bestimmungen im BDSG n. F. Vorrang haben.22 Dementsprechend entfällt der in § 1 Abs. 2 S. 2 BDSG n. F. geregelte subsidiäre Rückgriff auf das BDSG n. F., sofern das SGB nicht ausnahmsweise explizit auf das BDSG n. F. verweist.23 Korrespondierend dazu regelt § 1 Abs. 2 S. 1 BDSG n. F., dass bereichsspezifische Datenschutznormen auf Bundesebene dem BDSG n. F. vorgehen. Zudem haben die Normen des Sozialdatenschutzes auch gegenüber den Vorschriften der Landesdatenschutzgesetze Vorrang.24 Somit stellen die Regelungen des Sozialdatenschutzes auf nationaler Ebene abschließendes Recht dar.25 Es lässt sich mithin festhalten, dass die Verarbeitung von Sozialdaten durch die DSGVO, das SGB X sowie die datenschutzrechtlichen Vorschriften in den übrigen Sozialgesetzbüchern im Grundsatz abschließend geregelt wird.26 Wie dieses Zusammenspiel im Mehrebenensystem konkret ausgestaltet ist und in welchem Umfang die Öffnungsklauseln im Einzelnen genutzt wurden, wird nachfolgend untersucht. könne und „keine Notwendigkeit für die Anwendung der allgemeinen Bestimmungen aus der Verordnung“ bestehe. 20 Freund / Shagdar, SGb 2018, 195 (198). 21 Kühnl / Rohrer / Schneider, DuD 2018, 735 (738). 22 BT-Drs. 18/12611, S. 96. 23 Bieresborn, NZS 2017, 887 (891); ders., in: Schütze, SGB X, Vorbemerkugen zu §§ 67– 85a SGB X Rn. 64; Kühnl / Rohrer / Schneider, DuD 2018, 735 (738); Gola, in: Gola, DSGVO, Einl. Rn. 53 f.; Fromm, in: Schlegel / Voelzke, JurisPK-SGB X, § 67 SGB X Rn. 40; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Rn. 40; Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 35 SGB I Rn. 72. 24 Greiner, in: Knickrehm / K reikebohm / Waltermann, Kommentar zum Sozialrecht, § 35 SGB I Rn. 5; Bieresborn, in: Schütze, SGB X, Vorbemerkung zu §§ 67–85a SGB X Rn. 83. 25 Freund / Shagdar, SGb 2018, 195 (198); Kühnl / Rohrer / Schneider, DuD 2018, 735 (738); Kühling, MedR 2019, 611 (619); Buchner / Schwichtenberg, GuP 2016, 218 (223); a. A. Weichert, DuD 2017, 538 (542) der danach differenziert, ob die Regelung im SGB lediglich Voraussetzungen zur materiell-rechtlichen Zulässigkeit oder bereichsspezifische Garantien vorsehe. Bei Ersterem sei § 22 Abs. 2 BDSG n. F. ergänzend anwendbar; in diese Richtung auch Albers / Veit, in: BeckOK Datenschutzrecht, § 22 BDSG Rn. 40, die annehmen, dass insoweit auf den Katalog des § 22 Abs. 2 BDSG n. F. jedenfalls als Orientierungshilfe zurückzugreifen sei. 26 Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 35 SGB I Rn. 71; Michels, in: Becker / K ingreen, SGB V, Vor § 284 SGB V Rn. 2.
198
Kap. 3: Sozialdatenschutz unter der DSGVO
III. Systematik innerhalb des SGB Die Öffnungsklauseln der DSGVO ermöglichen es den nationalen Gesetzgebern, die Verarbeitung von Gesundheitsdaten weiter auszugestalten. Die für das Gesundheitswesen relevanten gesetzlichen Befugnisnormen finden sich in den §§ 67a ff. SGB X sowie den §§ 284 ff. SGB V. 1. Verhältnis der Regelungen des Sozialdatenschutzrechts im SGB I, V und X zueinander Hinsichtlich der Systematik innerhalb des SGB ist sodann zwischen dem allgemeinen Sozialdatenschutz nach § 35 SGB I i. V. m. §§ 67 bis 85a SGB X und dem bereichsspezifischen Sozialdatenschutz, der die für das Gesundheitswesen relevanten Regelungen über die GKV in den §§ 284 bis 305b SGB V enthält, zu unterscheiden.27 Das Verhältnis der Datenschutzregelungen im SGB V zu denen im SGB I und X ist nicht eindeutig geklärt.28 Nach der Rechtsprechung des Bundessozialgerichts wird durch die Bestimmungen des SGB I, V und X ein gleichrangiger Datenschutz, vorbehaltlich abweichender spezialgesetzlicher Kollisionsregelungen, gewährleistet.29 In der Literatur wird aufgrund der Regelung des § 37 SGB I zutreffend ganz überwiegend davon ausgegangen, dass die im SGB V normierten Vorschriften über den Datenschutz leges speciales gegenüber den Vorschriften des Zweiten Kapitels des SGB X sind.30 Daraus folgt, dass die allgemeinen Datenschutzvorschriften im SGB I und X nur nachrangig zur Anwendung kommen, soweit im SGB V diesbezüglich keine spezielle Regelung getroffen wurde.31 Den spezielleren Normen aus dem bereichsspezifischen Sozialdatenschutzrecht im SGB V kommt somit keine generelle Sperrwirkung gegenüber den Datenschutzregelungen im SGB I und X zu, vielmehr gehen die Regelungen des SGB V den allgemeinen Bestimmungen nur vor, soweit sie einen Teilbereich spezifisch regeln. Allein für den spezifischen Regelungsgegenstand der SGB V-Norm ergibt sich ein Vorrang gegenüber dem allgemeinen Sozialdatenschutzrecht.32
27
Kipker, in: Spiecker / Bretthauer, Dokumentation zum Datenschutz, Bd. 3, E 1.0 Rn. 3. Leopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 8. 29 BSG, GesR 2019, 48 (51) Rn. 21; BSGE 107, 86 (89); E 117, 224 (227). 30 Leopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 8; Schneider, in: Krauskopf, Soziale Krankenversicherung, Vor § 284 SGB V Rn. 14; Freund / Shagdar, SGb 2018, 195 (198); Michels, in: Becker / K ingreen, SGB V, Vor § 284 Rn. 2; Lücking, in: Sodan, Handbuch des Krankenversicherungsrechts, § 41 Rn. 9. 31 Freund / Shagdar, SGb 2018, 195 (198); Leopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 8; Fischinger / Monsch, in: Spickhoff, Medizinrecht, § 284 SGB V Rn. 4; Schneider, in: Krauskopf, Soziale Krankenversicherung, Vor § 284 SGB V Rn. 14. 32 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 23, 36; Schnei der, in: Krauskopf, Soziale Krankenversicherung, Vor § 284 SGB V Rn. 14; Greiner, in: Knick rehm / K reikebohm / Waltermann, Kommentar zum Sozialrecht, § 35 SGB I Rn. 34. 28
A. Regelungssystematik des Sozialdatenschutzes
199
2. Gesetzliche Zulässigkeitstatbestände Die Zulässigkeit der Verarbeitung von Sozialdaten richtet sich gemäß § 35 Abs. 2 SGB I grundsätzlich nach den §§ 67 ff. SGB X. Diese schaffen Zulässigkeitstatbestände für die Datenverarbeitung und sehen Öffnungsklauseln für Einzelregelungen in den einzelnen Sozialgesetzbüchern vor.33 Neben den Regelungen im SGB X ergeben sich Befugnisse zur Datenverarbeitung daher aus den einzelnen Sozialgesetzbüchern, die die Bestimmungen des SGB X ergänzen und konkretisieren.34 Für den Bereich der GKV sind solche spezialgesetzlichen Regelungen im Zehnten Kapitel des SGB V vorgesehen, die die allgemeinen Vorschriften in den §§ 67 bis 85a SGB X im Rahmen der Öffnungsklauseln der DSGVO ergänzen.35 Bevor im Einzelnen auf die ergänzenden datenschutzrechtlichen Vorschriften im SGB V eingegangen wird, sind daher als Ausgangspunkt zunächst die allgemeinen datenschutzrechtlichen Zulässigkeitstatbestände des SGB X zu betrachten. Insbesondere in den §§ 67a Abs. 1 S. 2, 67b Abs. 1 S. 2 und 3 sowie 67c Abs. 1 und 2 SGB X wird die Verarbeitung von besonderen Kategorien personenbezogener Daten im nationalen Sozialdatenschutzrecht auf der Grundlage des Art. 9 Abs. 2 lit. b und h DSGVO zugelassen sowie jeweils auf die „Aufgaben nach diesem Gesetzbuch“ oder „eine andere Rechtsvorschrift in diesem Gesetzbuch“ verwiesen.36 Der in Art. 4 Nr. 2 DSGVO auch für das deutsche Sozialdatenschutzrecht unmittelbar verbindlich definierte Begriff der Verarbeitung erfasst einheitlich alle Verarbeitungsphasen, sodass an der bisherigen Terminologie in § 67 Abs. 6 SGB X a. F., nach der das Verarbeiten nicht die Stufen der Datenerhebung und Nutzung erfasste, nicht festgehalten werden konnte.37 Zwar regelt § 67a SGB X die Erhebung von Sozialdaten weiterhin eigenständig, nun jedoch lediglich als Unterfall der Verarbeitung.38 In diesem Sinne normiert § 67a Abs. 1 S. 2 SGB X gestützt auf Art. 9 Abs. 2 lit. b und h DSGVO die Datenerhebung von besonderen Kategorien personenbezogener Sozialdaten im Rahmen der Erforderlichkeit zur Erfüllung einer Aufgabe nach dem Sozialgesetzbuch.39 Nach Art. 9 Abs. 3 DSGVO dürfen Daten zu den in
33 Kühling / Sackmann / Schildbach, Sozialdatenschutzrechtl. Weiterentwicklungsbedarf im SGB V und X für Big Data, S. 17. 34 Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 35 SGB I Rn. 83. 35 Michels, in: Becker / K ingreen, SGB V, Vor § 284 Rn. 2. 36 Freund / Shagdar, SGb 2018, 195 (202). 37 Greiner, in: Knickrehm / K reikebohm / Waltermann, Kommentar zum Sozialrecht, § 35 SGB I Rn. 19. 38 Bieresborn, NZS 2017, 887 (889); ders., in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 25; Rombach, in: Hauck / Noftz, SGB X, § 67a SGB X Rn. 1; auch Kipker / Pollmann, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, S. 728 weisen darauf hin, dass das SGB die Begriffe „Erhebung“ und „Nutzung“ dem Oberbegriff der Verarbeitung unterordne. 39 BT-Drs. 18/12611, S. 101.
200
Kap. 3: Sozialdatenschutz unter der DSGVO
Art. 9 Abs. 2 lit. h DSGVO genannten Zwecken nur verarbeitet werden, wenn das Fachpersonal dem Berufsgeheimnis oder einer Geheimhaltungspflicht unterliegt. Gemäß § 35 Abs. 2a SGB I bleibt die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, unberührt und damit neben dem SGB bestehen,40 sodass auch diese Anforderung der DSGVO erfüllt wird.41 Aufgrund des ausdrücklichen Verweises in § 67a Abs. 1 S. 3 SGB X gilt § 22 Abs. 2 BDSG n. F. entsprechend. Damit soll ausweislich der Gesetzesbegründung dem Umstand Rechnung getragen werden, dass Art. 9 Abs. 2 lit. b und h DSGVO „geeignete Garantien“ bzw. „angemessene und spezifische Maßnahmen“ bei der Verarbeitung besonderer Kategorien personenbezogener Daten verlangen.42 Daneben sind die Daten gemäß § 67a Abs. 2 S. 1 SGB X weiterhin grundsätzlich bei der betroffenen Person zu erheben und dürfen nur unter den in § 67 Abs. 2 S. 2 SGB X aufgeführten Voraussetzungen bei Dritten ohne Mitwirkung der betroffenen Person erhoben werden. § 67b SGB X, der die Zulässigkeit aller sonstigen Formen der Verarbeitung von Sozialdaten regelt, legt in § 67b Abs. 1 S. 2 SGB X grundlegend fest, dass die Datenverarbeitung besonderer Kategorien personenbezogener Daten nur zulässig ist, soweit die nachfolgenden Vorschriften oder eine andere Rechtsvorschrift im Sozialgesetzbuch dies erlauben. § 67b SGB X stellt somit eine Ausnahme zu dem Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO dar und wird ebenfalls auf Art. 9 Abs. 2 lit. b und h DSGVO gestützt.43 Speziell für Gesundheitsdaten ist § 67b Abs. 1 S. 3 SGB X von Bedeutung, nach dem die Übermittlung von Gesundheitsdaten abweichend von Art. 9 Abs. 2 lit. b und d bis j DSGVO nur zulässig ist, soweit eine gesetzliche Übermittlungsbefugnis nach den §§ 68 bis 77 SGB X oder nach einer anderen Vorschrift des Sozialgesetzbuches vorliegt. Die Übermittlung wird somit an das Vorhandensein einer speziellen Übermittlungsbefugnisnorm nach dem SGB geknüpft.44 Dadurch wird gleichzeitig die Verarbeitung dieser Daten auf unmittelbarer Grundlage der DSGVO, mit Ausnahme der Übermittlung auf Grundlage einer Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, eingeschränkt.45 Damit hat der deutsche Gesetzgeber von der Ermächtigung in Art. 9 Abs. 4 DSGVO Gebrauch gemacht, die Verarbeitung von Gesundheitsdaten zu begrenzen.46
40
BT-Drs. 18/12611, S. 97. Strohmann, in: Krahmer, Sozialdatenschutzrecht, § 67a SGB X Rn. 14. 42 BT-Drs. 18/12611, S. 102. 43 BT-Drs. 18/12611, S. 103; Cormann, in: KassKomm Sozialversicherungsrecht, § 67b SGB X Rn. 6. 44 Bieresborn, NZS 2017, 926 (928). 45 Bieresborn, NZS 2017, 926 (928); BT-Drs. 18/12611, S. 103; Rombach, in: Hauck / Noftz, SGB X, § 67a SGB X Rn. 45. 46 Bieresborn, NZS 2017, 926 (928); ders., in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 47; Rombach, in: Hauck / Noftz, SGB X, § 67b SGB X Rn. 5; Freund / Shagdar, SGb 2018, 195 (203); BT-Drs. 18/12611, S. 103. 41
A. Regelungssystematik des Sozialdatenschutzes
201
Darüber hinaus sieht § 76 Abs. 1 SGB X eine Beschränkung der Übermittlungsbefugnis für Sozialdaten vor. Danach können Daten, die von einem Arzt an einen Leistungsträger übermittelt wurden, nur unter den Voraussetzungen weiter übermittelt werden, unter denen der Arzt selbst übermittlungsbefugt wäre. Der berufliche Geheimnisschutz des Arztes aus § 203 Abs. 1 Nr. 1 StGB setzt sich mithin beim Sozialleistungsträger fort.47 Dadurch soll sichergestellt werden, dass das Arztgeheimnis auch gewahrt wird, wenn ein Arzt Sozialdaten an eine Stelle im Sinne des § 35 SGB I weiterleitet.48 In diesem Zusammenhang ist zu berücksichtigen, dass die Vorschrift keine eigenständige Übermittlungsbefugnisnorm darstellt, sondern vielmehr das Vorliegen einer der in den §§ 67d ff. SGB X festgelegten Übermittlungsbefugnisse voraussetzt.49 § 76 Abs. 1 SGB X kommt überwiegend im Tätigkeitsbereich der gesetzlichen Krankenversicherung zur Anwendung.50 Die Befugnis der Krankenkassen zur Offenbarung von Patientendaten wird demnach beschränkt. Für Gesundheitsdaten lässt sich diese Norm auf die Ermächtigung in Art. 9 Abs. 4 DSGVO stützen.51 Jedoch lässt § 76 Abs. 2 SGB X enge Ausnahmen von der Einschränkung der Übermittlung zu. Dies gilt etwa für den Fall, dass die Daten zwischen den Sozialleistungsträgern übermittelt werden sollen, um eine Begutachtung wegen der Erbringung von Sozialleistungen durchzuführen oder eine Bescheinigung auszustellen.52 Gleichzeitig wird für die betroffene Person allerdings ein zusätzliches Widerspruchsrecht normiert.53 Dieses zusätzliche Widerspruchsrecht kann gemäß § 76 Abs. 3 SGB X in bestimmten Fällen, insbesondere in Fällen der notwendigen Kontrolle, wieder eingeschränkt werden.54 Da es sich nicht um das in Art. 21 DSGVO gewährte Widerspruchsrecht, sondern um ein zusätzliches Widerspruchsrecht handelt, konnte dieses durch den nationalen Gesetzgeber eingeschränkt werden.55
47
Mrozynski, in: Mrozynski, SGB I, § 35 SGB I Rn. 10. Bieresborn, NZS 2017, 926 (928). 49 Woltjen, in: Schlegel / Voelzke, JurisPK-SGB X, § 76 SGB X Rn. 36; Bieresborn, in: Forgó / Helfrich / Schneider, Betrieblicher Datenschutz, S. 1159 Rn. 66. 50 Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 236. 51 Bieresborn, NZS 2017, 926 (928). 52 BT-Drs. 18/12611, S. 111 f. 53 BT-Drs. 18/12611, S. 112. 54 BT-Drs. 18/12611, S. 112. 55 Bieresborn, in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 49. 48
202
Kap. 3: Sozialdatenschutz unter der DSGVO
3. Die Einwilligung im GKV-System a) Bedeutung der Einwilligung im Bereich der öffentlichen Datenverarbeitung Vor dem Inkrafttreten der DSGVO wurde der Einwilligung im öffentlichen Bereich, wie etwa bei Krankenkassen als Körperschaften des öffentlichen Rechts gemäß § 4 Abs. 1 SGB V, im Vergleich zum nichtöffentlichen Bereich eine geringere Bedeutung zugemessen, da öffentliche Stellen im Wesentlichen dazu bestimmt seien, ihren gesetzlich definierten Aufgaben nachzugehen.56 Daneben sollte die Einwilligung als Zulässigkeitsvoraussetzung einer Datenverarbeitung auch eine Ausnahme darstellen, weil ihre Freiwilligkeit angesichts „des Angewiesenseins des Betroffenen auf Sozialleistungen“57 als problematisch erachtet wurde.58 Daher bestand bisher die Auffassung, dass die Einwilligung als Legitimationsgrundlage für die Datenverarbeitung bei öffentlichen Stellen, wenn überhaupt, nur in Ausnahmefällen in Betracht komme.59 Es stellt sich daher die Frage, inwiefern die vor dem Geltungsbeginn der DSGVO vertretene Rechtsauffassung aufgrund des Anwendungsvorrangs der DSGVO sowie der Regelung zur Einwilligung in Art. 9 Abs. 2 lit. a DSGVO unter der Rechtslage der DSGVO anders zu bewerten ist. Nach der Konzeption der DSGVO ist die Einwilligung als vollwertige Alternative neben den übrigen Rechtsvorschriften der DSGVO und denen des mitgliedstaatlichen Rechts ausgestaltet.60 Dies gilt im Grundsatz in gleichem Maße für den öffentlichen wie für den nichtöffentlichen Bereich.61 Auch bei der Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten, wie etwa Gesundheitsdaten, in Art. 9 Abs. 2 lit. a DSGVO unterscheidet die DSGVO nicht zwischen öffentlichen und nichtöffentlichen Stellen.62 Daraus wird vereinzelt geschlossen, dass auch öffentliche Stellen unter der Rechtslage der DSGVO grundsätzlich uneingeschränkt auf Einwilligungen zurückgreifen könnten, da eine Bindung an den gesetzlich definierten Aufgabenkreis bei der nun gleichrangig zu den anderen Erlaubnistatbeständen konzipierten Einwilligung nicht mehr in Betracht komme.63 Ganz überwiegend wird in diesem Zusammenhang jedoch auf den für öffentliche Stellen geltenden allgemeinen Grundsatz der Gesetzmäßigkeit der 56
Simitis, in: Simitis, BDSG, § 4a BDSG a. F. Rn. 14 f.; Kühling, in: BeckOK Datenschutzrecht, § 4a BDSG a. F. Rn. 6; Menzel, DuD 2008, 400 (401 ff.). 57 Bieresborn, in: v. Wulfen / Schütze, SGB X, § 67b SGB X Rn. 9. 58 Simitis, in: Simitis, BDSG, § 4a BDSG a. F. Rn. 16. 59 Rogosch, Die Einwilligung im Datenschutzrecht, S. 34 f.; Simitis, in: Simitis, BDSG, § 4a BDSG a. F. Rn. 15 ff.; Bieresborn, in: v. Wulfen / Schütze, SGB X, § 67b SGB X Rn. 9. 60 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 3. 61 Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 13; Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 3; Ingold, in: Sydow, DSGVO, Art. 7 DSGVO Rn. 11; Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 7 DSGVO Rn. 4. 62 Samardzik / Becker, EuZW 2020, 646 (652). 63 Ingold, in: Sydow, DSGVO, Art. 7 DSGVO Rn. 11.
A. Regelungssystematik des Sozialdatenschutzes
203
Verwaltung und die gesetzliche Aufgabenzuweisung verwiesen.64 Die öffentliche Sozialverwaltung solle ihren Aufgabenbereich durch die Einholung von Einwilligungen nicht (beliebig) erweitern.65 Richtigerweise wird in diesem Zusammenhang aber berücksichtigt, dass die Einwilligung auch Instrument eines selbstbestimmten Umgangs der betroffenen Person mit ihren Daten ist und als solche auf verfassungsrechtliche Gründe der Selbstbestimmung des Menschen gestützt ist, wie sie in Art. 8 GRCh deutlich zum Ausdruck kommen.66 Zudem wurde auch nicht, wie ursprünglich im Referentenentwurf des 2. DSAnpUG-EU vorgesehen, ein Absatz 5 in die Vorschrift des § 284 SGB V eingefügt, nach dem Krankenkassen Sozialdaten aufgrund von Einwilligungen nur verarbeiten dürfen, sofern eine Rechtsgrundlage im SGB V die Verarbeitung dieser Daten mit Einwilligung ausdrücklich vorsieht.67 Eine solche Regelung wäre angesichts der Öffnungsklausel in Art. 9 Abs. 2 lit. a Hs. 2 DSGVO grundsätzlich möglich gewesen.68 Dies spricht dafür, dass unter der Rechtslage der DSGVO ein Rückgriff auf die Einwilligung auch im öffentlichen Bereich mit Einschränkungen denkbar ist. In der Literatur wird in diesem Zusammenhang insbesondere auf Fälle verwiesen, in denen die auf der Einwilligung basierende Datenverarbeitung zur Aufgabenerfüllung erforderlich sei und dafür keine entsprechende datenschutzrechtliche Erlaubnisvorschrift existiere oder die einwilligungsbasierte Verarbeitung Entscheidungsprozesse im Sozialverwaltungsverfahren im Interesse der betroffenen Person erleichtere bzw. beschleunige.69 Dies wäre beispielsweise der Fall, wenn Daten mit Einwilligung der betroffenen Person nicht bei dieser, sondern bei Dritten erhoben werden.70 Es verbleibt daher auch im öffentlichen Bereich ein begrenzter Anwendungsbereich für Einwilligungen.71 64 Wobbe, MedR 2019, 625 (629); BT-Drs. 18/12611, S. 103; Dochow, MedR 2019, 636 (646); Kühnl / Rohrer / Schneider, DuD 2018, 735 (738); Freund / Shagdar, SGb 2018, 195 (202); Hoidn / Roßnagel, DuD 2018, 487 (489); Hoffmann, NZS 2017, 807 (812); Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 15; Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 7 DSGVO Rn. 4; Schulz, in: Gola, DSGVO, Art. 7 DSGVO Rn. 5 f. 65 Freund / Shagdar, SGb 2018, 195 (202); Kühnl / Rohrer / Schneider, DuD 2018, 735 (738); Hoidn / Roßnagel, DuD 2018, 487 (489); BT-Drs. 18/12611, S. 103; Hoffmann, NZS 2017, 807 (812); Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 15; Schulz, in: Gola, DSGVO, Art. 7 DSGVO Rn. 5; Marsch, Das europäische Datenschutzgrundrecht, S. 151. 66 Strothmann, in: Krahmer, Sozialdatenschutzrecht, § 67a SGB X Rn. 24; Krahmer, in: Krahmer / Trenk-Hinterberger, SGB I, § 35 SGB I Rn. 21. 67 Wobbe, MedR 2019, 625 (629); Conrad, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 53. 68 Freund / Shagdar, SGb 2018, 195 (202). 69 Schulz, in: Gola, DSGVO, Art. 7 DSGVO Rn. 6; Dochow, Telematik im Gesundheitswesen, S. 707; ders., MedR 2019, 636 (646); Freund / Shagdar, SGb 2018, 195 (201); Hoffmann, NZS 2017, 807 (812); Strothmann, in: Krahmer, Sozialdatenschutzrecht, § 67a SGB X Rn. 24. 70 Hoffmann, NZS 2017, 807 (812); vgl. § 60 Abs. 1 S. 1 Nr. 1 SGB I. 71 Krahmer, in: Krahmer / Trenk-Hinterberger, SGB I, § 35 SGB I Rn. 21; Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 15; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 DSGVO Rn. 50; Kramer, in: Auernhammer, DSGVO BDSG, Art. 7 DSGVO Rn. 8.
204
Kap. 3: Sozialdatenschutz unter der DSGVO
Für die Fälle, für die die Einwilligung auch im öffentlichen Bereich von Bedeutung ist, schließt sich die Frage der Freiwilligkeit der Einwilligung an. Um die Freiwilligkeit der Einwilligung zu gewährleisten, muss der betroffenen Person effektiv die Möglichkeit zustehen, selbst zu bestimmen, ob und wie ihre Daten verarbeitet werden.72 Demgegenüber haben öffentliche Stellen als Träger von Hoheitsgewalt oftmals eine überlegene Machtposition inne, die einer freiwilligen Entscheidung des Bürgers entgegenstehen kann.73 Daher soll die Einwilligung laut EG 43 S. 1 DSGVO bei einem klaren Ungleichgewicht, insbesondere wenn der Verantwortliche eine Behörde ist, keine gültige Rechtsgrundlage darstellen. Dies gilt nicht nur für den Bereich der Eingriffsverwaltung, sondern im Grundsatz ebenso für den Bereich der Leistungsverwaltung. Denn oftmals sind die Sozialleistungen für die Wiederherstellung der Gesundheit erforderlich und somit für die betroffene Person kaum verzichtbar.74 Jedoch ist die Einwilligung gegenüber einer Behörde gemäß EG 43 S. 1 DSGVO nicht per se ausgeschlossen, sondern es ist zu prüfen, ob es „in Anbetracht alle Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde“.75 Demnach kann nicht pauschal davon ausgegangen werden, dass die Einwilligung im öffentlichen Sozialleistungsbereich keine taugliche Rechtsgrundlage darstellt.76 Vielmehr ist bei der Prüfung der Freiwilligkeit der Einwilligung auf die konkreten Umstände des Einzelfalls abzustellen und der Wille der betroffenen Person zu ermitteln.77 Der EDSA führt in diesem Zusammenhang konkrete Beispiele an, in denen die Verwendung der Einwilligung als Rechtsgrundlage für die Datenverarbeitung durch Behörden angemessen sein kann.78 Diese beziehen sich zwar nicht auf die Datenverarbeitung im Gesundheitswesen, ihnen können aber allgemeine Maßstäbe entnommen werden, nach denen die Einwilligung auch gegenüber Behörden zulässig sein kann. Maßgebliches Kriterium für die freiwillige Einwilligung gegenüber einer Behörde ist demnach die Ausgestaltung der Aufklärung über die Freiwilligkeit der Einwilligung. In beiden Beispielen weist die Behörde ausdrücklich darauf hin, dass keine Verpflichtung zur Erteilung der Einwilligung besteht und die Bürger auch im Falle der Verweigerung der Einwilligung in den Genuss der Kerndienstleistungen kommen und alle ihre Rechte ausüben können.79 Auch in der Literatur wird angenommen, dass sich das Ungleichgewicht in der konkreten Einwilligungssituation nicht auswirke, wenn die Verarbeitung im Interesse der betroffenen Person liege oder diese keine Nachteile erleide, wenn sie ihre Einwilligung verweigere.80 Die be 72
Hoffmann, NZS 2017, 807 (810). Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 3. 74 Hoffmann, NZS 2017, 807 (810). 75 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 9; Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 51. 76 Krahmer, in: Krahmer / Trenk-Hinterberger, SGB I, § 35 SGB I Rn. 21. 77 Krahmer / Hoidn, in: Krahmer, Sozialdatenschutzrecht, Einführung Rn. 13; Krahmer, in: Krahmer / Trenk-Hinterberger, SGB I, § 35 SGB I Rn. 21. 78 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 9 f. 79 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 9. 80 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 50. 73
A. Regelungssystematik des Sozialdatenschutzes
205
hördliche Verarbeitung auf der Grundlage einer Einwilligung ist daher zwar nicht generell ausgeschlossen, insgesamt wird die Datenverarbeitung einer Behörde auf dieser Grundlage aber eher die Ausnahme bleiben.81 Daher bleibt festzuhalten, dass es auch unter der DSGVO nur einen kleinen Spielraum für Einwilligungsregelungen im öffentlichen Bereich gibt.82 Seit dem Inkrafttreten der DSGVO ist somit „zumindest partiell“ von einer „faktischen[n] Subsidiarität“83 der Einwilligung in der öffentlichen Verwaltung auszugehen.84 b) Konkretisierende Anforderungen an die Einwilligung im SGB X Die Kriterien für die Wirksamkeit der Einwilligung ergeben sich auch im Bereich des Sozialdatenschutzrechts grundsätzlich aus Art. 7 DSGVO in Zusammenschau mit Art. 4 Nr. 11 DSGVO. In § 67b Abs. 2 SGB X werden nun allein konkretisierende Anforderungen an die Einwilligung geregelt,85 während die die Verarbeitung zulassenden Vorschriften zur Einwilligung in § 67b Abs. 1 S. 1 sowie § 67c Abs. 2 Nr. 2 SGB X a. F. entsprechend der unmittelbar geltenden Regelung der Einwilligung in der DSGVO gestrichen wurden.86 § 67b Abs. 2 S. 1 SGB X sieht nun vor, dass die Einwilligung schriftlich oder elektronisch erfolgen soll. Da die DSGVO für Einwilligungen keine Form vorschreibt, bezeichnet Wobbe die Einführung dieser Formvorschriften als eine „nicht ganz widerspruchsfreie Ergänzung der DSGVO-Normen durch sozialdatenschutzrechtliche Normen“87. Allerdings legt Art. 7 Abs. 1 DSGVO dem Verantwortlichen die Pflicht auf, das Vorliegen einer wirksamen Einwilligung nachweisen zu können. Vor diesem Hintergrund sind die in § 67b Abs. 2 S. 1 SGB X aufgestellten Anforderungen als konkretisierende Bestimmungen zur Nachweismöglichkeit der Einwilligung zu verstehen.88 Zudem ist die Vorschrift bewusst als „Soll-Vorschrift“ ausgestaltet worden, um auch andere Formen der Einwilligung zu ermöglichen.89 In einem atypischen Fall kann daher etwa auch mündlich eingewilligt werden.90 81
Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 7 DSGVO Rn. 19; Hoidn / Roßnagel, DuD 2018, 487 (489); Freund / Shagdar, SGb 2018, 195 (201); Wobbe, MedR 2019, 625 (629). 82 Wobbe, MedR 2019, 625 (629); Strothmann, in: Krahmer, Sozialdatenschutzrecht, § 67a SGB X Rn. 24. 83 Ingold, in: Sydow, DSGVO, Art. 7 DSGVO Rn. 11; zust. Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 15 Fn. 12. 84 Hoffmann, NZS 2017, 807 (811). 85 Krahmer, in: Krahmer / Trenk-Hinterberger, SGB I, § 35 SGB I Rn. 21. 86 Freund / Shagdar, SGb 2018, 195 (200); Bieresborn, NZS 2017, 926 (930); ders., NZS 2017, 887 (889); Hoffmann, NZS 2017, 807 (810). 87 Wobbe, MedR 2019, 625 (626). 88 BT-Drs. 18/12611, S. 104; Freund / Shagdar, SGb 2018, 195 (200); so auch Bieresborn, NZS 2017, 926 (930). 89 Hoidn / Roßnagel, DuD 2018, 487 (489). 90 Mrozynski, in: Mrozynski, SGB I, § 35 SGB I Rn. 34.
206
Kap. 3: Sozialdatenschutz unter der DSGVO
Gemäß § 67b Abs. 2 S. 2 SGB X hat die Einwilligung zur Verarbeitung von Gesundheitsdaten hingegen schriftlich oder elektronisch zu erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Die Festlegung dieser Formerfordernisse für die Einwilligung lässt sich auf Art. 9 Abs. 4 DSGVO stützen, nach dem für die Verarbeitung von Gesundheitsdaten zusätzliche Bedingungen oder Beschränkungen eingeführt oder aufrechterhalten werden können.91 Daneben normiert § 67b Abs. 2 S. 3 SGB X, dass die betroffene Person auf den Zweck der Verarbeitung, die Folgen der Verweigerung der Einwilligung sowie die jederzeitige Widerrufsmöglichkeit hinzuweisen ist. Zwar stellt das Erfordernis des Hinweises auf die jederzeitige Widerrufsmöglichkeit der Einwilligung eine Wiederholung der Vorgabe aus Art. 7 Abs. 3 S. 3 DSGVO dar, daneben enthält die DSGVO jedoch keine ausdrückliche Regelung dafür, welche Informationen der Einwilligende im Einzelnen erhalten soll, sodass eine solche konkretisierende Regelung insgesamt zulässig erscheint.92 Wird eine Datenverarbeitung im Bereich des Sozialdatenschutzrechts auf die Rechtsgrundlage der Einwilligung gestützt, sind neben den grundlegenden Anforderungen an das Vorliegen einer wirksamen Einwilligung aus der DSGVO daher auch die in § 67b Abs. 2 SGB X enthaltenen konkretisierenden Anforderungen an die Einwilligung zu beachten. c) Rechtsprechung des BSG zur Einwilligung der betroffenen Person in die Weitergabe ihrer Patientendaten an externe Dienstleister In Bezug auf die Einwilligung des Versicherten im Verhältnis zum Leistungserbringer hat der sechste Senat des BSG unter der Rechtslage vor dem Geltungsbeginn der DSGVO entschieden, dass die Weitergabe von Patientendaten durch Leistungserbringer an private Abrechnungsstellen im Geltungsbereich des SGB V nur dann gestattet sei, wenn bereichsspezifische Vorschriften dies erlaubten.93 Es bestehe kein allgemeiner Grundsatz, dass eine Datenverarbeitung unabhängig von einer gesetzlichen Ermächtigung stets zulässig sei, sofern eine Einwilligung vorliege.94 Der Umstand, dass die Datenweitergabe durch Leistungserbringer nur punktuell gesetzlich normiert sei, zwinge zu dem Schluss, dass der Gesetzgeber davon ausgegangen sei, dass sensible personenbezogene Daten ausschließlich innerhalb der vom Gesetz vorgegebenen Bahnen ausgetauscht werden dürften.95 Zudem stellten sich die Regelungen des SGB V zum Datenschutz im Verhältnis zu den Bestimmungen des SGB X und denen des BDSG a. F. als leges speciales 91 BT-Drs. 19/4674, S. 401; Bieresborn, in: Schütze, SGB X, § 67b SGB X Rn. 48; Westphal, in: BeckOK Sozialrecht, § 67b SGB X Rn. 16. 92 Bieresborn, in: Schütze, SGB X, § 67b SGB X Rn. 49. 93 BSGE 102, 134 (134 ff.). 94 BSGE 102, 134 (145 f.) Rn. 35. 95 BSGE 102, 134 (141) Rn. 24.
A. Regelungssystematik des Sozialdatenschutzes
207
dar, sodass eine entsprechende oder ergänzende Anwendung insbesondere des BDSG a. F. ausscheide.96 Daher könne aus der Einwilligung von Patienten nach § 4a BDSG a. F. keine Befugnis zur Weitergabe von Behandlungsdaten durch die Leistungserbringer an Dritte hergeleitet werden.97 Die Entscheidung betraf zwar allein die Zulässigkeit der Abrechnung der im Rahmen der ambulanten Notfallversorgung durch ein zugelassenes Krankenhaus erbrachten Leistungen gegenüber der zuständigen Kassenärztlichen Vereinigung über eine private Abrechnungsstelle und die damit verbundene Weitergabe von Daten. Das BSG hat zugleich aber auch klargestellt, dass die dargestellten Grundsätze für alle Personen und Institutionen gelten, die Leistungen der ambulanten Krankenbehandlung erbringen.98 Daneben wurde in der Literatur darauf verwiesen, dass die Entscheidung des BSG zwar ausschließlich die Einschaltung externer Abrechnungsstellen in der ambulanten Versorgung betreffe, sie darüber hinaus aber auch Auswirkungen für die stationäre Versorgung von gesetzlich versicherten Patienten habe.99 Sei die Weitergabe von Behandlungsdaten an externe Dritte in der ambulanten Versorgung nur aufgrund einer ausdrücklichen gesetzlichen Ermächtigung zulässig, so müsse dies im gleichen Umfang auch für die stationäre Versorgung gelten. Auch in diesem Bereich dürften Patientendaten zur Abrechnung und Einziehung von Honorarforderungen folglich an Dritte nur weitergegeben werden, sofern eine ausdrückliche gesetzliche Ermächtigung vorhanden sei.100 Zwar wurde als Reaktion auf die Entscheidung des BSG die Regelung des § 295a SGB V für Fälle der ambulanten Notfallversorgung sowie für die hausarztzen trierte Versorgung (§ 73b SGB V) und die besondere Versorgung (§ 140a SGB V) in das SGB V eingefügt, die nun die Rechtsgrundlage für die Weitergabe von Patientendaten durch Leistungserbringer an private Abrechnungstellen darstellt.101 Diese Vorschrift ist jedoch begrenzt auf die Abrechnung im Rahmen von Selektivverträgen und der ambulanten Notfallbehandlung im Krankenhaus, während es für weitere Bereiche an einer dem § 295a SGB V entsprechenden Regelung fehlt. Dies gilt etwa für den Bereich der ambulanten spezialfachärztlichen Versorgung102 oder für die Abrechnung im Krankenhaus im Rahmen der allgemeinen Krankenhausbehandlung sowie der ambulanten Krankenversorgung durch ermächtigte Kran 96
BSGE 102, 134 (145 f.) Rn. 35. BSGE 102, 134 (145 f.) Rn. 35; Engelmann, GesR 2009, 449 (455). 98 BSGE 102, 134 (147) Rn. 38. 99 Engelmann, GesR 2009, 449 (455). 100 Engelmann, GesR 2009, 449 (455). 101 Schneider, in: Krauskopf, Soziale Krankenversicherung, § 295a SGB V Rn. 2. 102 Der Gesetzgeber hatte mit § 116b Abs. 6 S. 16 SGB V zunächst die Möglichkeit geschaffen, eine andere Stelle mit der Abrechnung der erbrachten Leistung zu beauftragen, aus § 295 Abs. 5 SGB V ergab sich sodann die datenschutzrechtliche Befugnis zur Datenübermittlung. Allerdings wurden sowohl § 116b Abs. 6 S. 16 SGB V als auch § 295 Abs. 5 SGB V wieder gestrichen, sodass die Beauftragung mit der Abrechnung nun auf die Kassenärztliche Vereinigung beschränkt ist, § 116b Abs. 6 S. 1 Hs. 2 SGB V, s. hierzu Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 187. 97
208
Kap. 3: Sozialdatenschutz unter der DSGVO
kenhausärzte.103 Da im deutschen Gesundheitsdatenschutzrecht im Bereich der gesetzlichen Krankenversicherung somit nur einzelne Legitimationsgrundlagen für die Einbeziehung privater Abrechnungsstellen existieren,104 stellt sich die Frage, ob die Weitergabe von Patientendaten durch die Leistungserbringer auch unter der Rechtslage der DSGVO nur im Falle des Vorliegens einer bereichsspezifischen Norm, die die Datenübertragung an Dritte ausdrücklich legitimiert, zulässig ist. d) Geltung der Grundsätze der Rechtsprechung des BSG unter der DSGVO Zunächst ist in diesem Zusammenhang darauf hinzuweisen, dass die Rechtsprechung des BSG zur Weitergabe von Patientendaten durch Leistungserbringer an private Abrechnungsstellen bereits vor dem Inkrafttreten der DSGVO auf berechtigte Kritik gestoßen ist.105 Trotzdem wird diese Rechtsansicht teilweise auch unter der Rechtslage des DSGVO weiterhin von Datenschutzbehörden vertreten. So hat etwa der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) jüngst angemerkt, dass die Verarbeitung von Gesundheitsdaten aufgrund einer Einwilligung nur dann zulässig sei, wenn dies im SGB V ausdrücklich vorgesehen sei.106 Möglicherweise ist die Rechtslage diesbezüglich vor dem Hintergrund der unmittelbar geltenden DSGVO jedoch anders zu beurteilen. Es stellt sich daher die Frage, inwieweit die Grundsätze der Rechtsprechung des BSG unter der Geltung der DSGVO weiter Bestand haben können.107 Nach dem Inkrafttreten der DSGVO ergibt sich die Möglichkeit, Datenverarbeitungen bei besonderen Kategorien personenbezogener Daten durch die Einwilligung der betroffenen Person zu legitimieren, unmittelbar aus Art. 9 Abs. 2 lit. a DSGVO.108 In diesem Sinne weist § 35 Abs. 2 S. 1 SGB I deklaratorisch auf die Existenz unmittelbar aus der DSGVO resultierender Verarbeitungsgrundlagen hin.109 Die im deutschen Sozialrecht bislang vertretene Auffassung, dass eine Einwilligung nur wirksam sei, wenn eine gesetzliche Ermächtigung die Einwilligung im Einzelfall ausdrücklich gestatte, kann unter der DSGVO daher nicht weiter 103
Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 192. Kühling / Seidel, GesR 2012, 402 (406). 105 Kircher, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 186 f., 237 ff.; ders., Der Schutz personenbezogener Gesundheitsdaten, S. 176 ff.; Kingreen / Kühling, JZ 2015, 213 (215, 217 f.); Bieresborn, in: v. Wulffen / Schütze, SGB X, § 67b SGB X Rn. 6a; Spindler, MedR 2016, 691 (696); Ziegler, ZMGR 2016, 211 (214 f.). 106 BfDI, Broschüre „Sozialdatenschutz“, S. 19. 107 Buchner, Datenschutz im Gesundheitswesen, S. 37. 108 Hoffmann, NZS 2017, 807 (810); Greiner, in: Knickrehm / K reikebohm / Waltermann, Kommentar zum Sozialrecht, § 35 SGB I Rn. 4; Roßnagel / Hoidn, DuD 2018, 487 (489); Freund / Shagdar, SGb 2018, 195 (220); Bieresborn, in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 29, 55; Strothmann, in: Krahmer, Sozialdatenschutzrecht, § 67a SGB X Rn. 24. 109 Bieresborn, NZS 2017, 887 (889); Rombach, in: Hauck / Noftz, SGB X, § 67b SGB X Rn. 26. 104
B. Bereichsspezifische Datenschutzregelungen im SGB V
209
fortbestehen.110 Die DSGVO sieht die Zulässigkeit von Datenverarbeitungen allein auf Grundlage einer Einwilligung für besondere Kategorien personenbezogener Daten in Art. 9 Abs. 2 lit. a DSGVO vor,111 während eine Wiederholung oder Bezugnahme auf die Einwilligung in mitgliedstaatlichen Gesetzen europarechtlich grundsätzlich als unzulässig angesehen wird.112 Insofern wird deutlich, dass sich die bereits unter der DSRL viel kritisierten Grundsätze der Rechtsprechung des BSG unter der Rechtslage der DSGVO erübrigt haben.113 Somit kommt ein Rückgriff auf die in der DSGVO normierte Einwilligung als Legitimationsgrundlage für Fallgestaltungen, die dem SGB unterfallen, in Betracht. Zwar können die Mitgliedstaaten gemäß Art. 9 Abs. 2 lit. a Hs. 2 DSGVO vorsehen, dass das Verbot der Datenverarbeitung nach Art. 9 Abs. 1 DSGVO nicht durch eine Einwilligung der betroffenen Person aufgehoben werden kann.114 Dafür müsste der nationale Gesetzgeber jedoch positiv formuliert regeln, dass die Einwilligungsmöglichkeit das Verbot für die Verarbeitung dieser Daten nicht aufhebt.115 Allein aus der Formulierung über die Notwendigkeit der Einwilligung des Versicherten in einigen gesetzlichen Zulässigkeitstatbeständen des SGB V, sog. normakzessorische Einwilligung, kann jedenfalls nicht geschlossen werden, dass Daten nur im Rahmen der im SGB V vorgegebenen bereichsspezifischen gesetzlichen Rechtsgrundlagen verarbeitet werden dürfen und eine Einwilligung als Rechtsgrundlage außerhalb dieser Normen nicht in Betracht kommt.116
B. Bereichsspezifische Datenschutzregelungen im SGB V Die konkrete Ausgestaltung der Datenverarbeitung im Bereich der gesetzlichen Krankenversicherung erfolgt im SGB V.117 Das Zehnte Kapitel des SGB V ist mit der Überschrift „Versicherungs- und Leistungsdaten, Datenschutz, Datentransparenz“ überschrieben und in drei Abschnitte unterteilt. Die ersten beiden Abschnitte sehen in den §§ 284–293a SGB V Vorschriften für die Datenverarbeitung durch die Krankenkassen und Kassenärztlichen Vereinigungen sowie in den §§ 294–303f SGB V Vorgaben für die Datenübermittlung durch die Leistungserbringer vor.118 110
Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 107; Ziegler, GuP 2017, 237 (238). 111 Bieresborn, NZS 2017, 926 (930). 112 Freund / Shagdar, SGb 2018, 195 (200). 113 Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 36; Mrozynski, in: Mrozynski, SGB I, § 35 SGB I Rn. 36; Bieresborn, NZS 2017, 926 (930); ders., in: Schütze, SGB X, § 67b SGB X Rn. 33; Wobbe, MedR 2019, 625 (628); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 22; Thüsing / Rombey, NZS 2019, 201 (204) Fn. 24. 114 Freund / Shagdar, SGb 2018, 196 (202); vgl. Spindler, MedR 2016, 691 (696). 115 Wobbe, MedR 2019, 625 (628). 116 Wobbe, MedR 2019, 625 (628); Buchner / Schwichtenberg, GuP 2016, 218 (223). 117 Schröder, MedR 2019, 631 (632). 118 Schneider, in: Krauskopf, Soziale Krankenversicherung, Vor § 284 SGB V Rn. 18; L eopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 7.
210
Kap. 3: Sozialdatenschutz unter der DSGVO
Der dritte Abschnitt des Zehnten Kapitels umfasst in den §§ 304–305b SGB V Vorschriften zur Datenlöschung und Auskunftspflicht, die als punktuelle Beschränkungen der unmittelbar geltenden Rechte der betroffenen Personen nach der DSGVO zu betrachten sind und daher im Zusammenhang mit den Betroffenenrechten der DSGVO im Einzelnen im vierten Kapitel der Arbeit erläutert werden.119 Im Übrigen werden die einzelnen Rechtsgrundlagen im Folgenden entsprechend der Strukturierung im SGB V unter der Rechtslage der DSGVO erörtert.
I. Datenverarbeitung durch Krankenkassen und Kassenärztliche Vereinigungen In den §§ 284 und 285 SGB V werden spezialgesetzliche Regelungen für die Verarbeitung von Sozialdaten durch die Krankenkassen und Kassenärztlichen Vereinigungen festgelegt. Diese Vorschriften wurden im Zuge des 2. DSAnpUG-EU unter Beibehaltung der geltenden Rechtslage vor allem redaktionell an die Vorgaben der Verordnung angepasst.120 1. Datenverarbeitung durch Krankenkassen In der gesetzlichen Krankenversicherung werden in erheblichem Umfang personenbezogene Daten insbesondere zu Zwecken der Bewilligung und Abrechnung von Leistungen sowie der Prüfung der Leistungserbringer verarbeitet.121 Die dargestellten Öffnungsklauseln in den §§ 67a ff. SGB X verweisen für die Datenverarbeitung im Bereich der gesetzlichen Krankenversicherung auf die bereichsspezifischen Datenschutzregelungen in den §§ 284 ff. SGB V. a) Erhebung und Speicherung von Sozialdaten § 284 SGB V regelt für die gesetzlichen Krankenversicherungen in Ergänzung zu den Vorschriften der DSGVO und des SGB I und X die Voraussetzungen für die Verarbeitung von Sozialdaten i. S. d. § 67 Abs. 2 S. 1 SGB X.122 § 284 SGB V stellt die „datenschutzrechtliche Grundnorm“123 des SGB V dar und enthält in § 284 Abs. 1 S. 1 SGB V eine abschließende Aufzählung der Zwecke, für die die Krankenkassen Sozialdaten erheben und speichern dürfen und beschränkt die Ver 119
Dazu ausführlich unter Kap. 4, (S. 249 ff.). BT-Drs. 19/4674, S. 371 ff. 121 Michels, in: Becker / K ingreen, SGB V, Vor § 284 Rn. 1; Leopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 4; Marburger, WzS 2012, 304 (304). 122 Michels, in: Becker / K ingreen, SGB V, § 284 SGB V Rn. 1; Leopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 2. 123 Fischinger / Monsch, in: Spickhoff, Medizinrecht, § 284 SGB V Rn. 1. 120
B. Bereichsspezifische Datenschutzregelungen im SGB V
211
arbeitung von Sozialdaten damit auf bestimmte Tätigkeitsfelder.124 So dürfen die Krankenkassen nach § 284 Abs. 1 S. 1 Nr. 8 SGB V Sozialdaten etwa erheben und speichern, soweit dies für Zwecke der Abrechnung mit den Leistungserbringern erforderlich ist. Für die in diesem Rahmen regelmäßig verarbeiteten besonderen Kategorien personenbezogener Daten stellt dies eine zulässige Ausgestaltung der Öffnungsklausel des Art. 9 Abs. 2 lit. h DSGVO dar.125 Gemäß § 284 Abs. 1 S. 4 SGB V gelten für die Datenerhebung und -speicherung im Übrigen die Vorschriften des SGB I und X. Darin kommt explizit zum Ausdruck, dass die Vorschriften des SGB I und X dort anwendbar sind, wo die §§ 284 ff. SGB V keine Spezialregelungen enthalten.126 Zutreffend wird darauf hingewiesen, dass bereits anhand der Terminologie des § 284 SGB V deutlich werde, dass das Zusammenspiel von den unionsrechtlichen und nationalen Datenschutzregelungen noch undeutlich sei.127 Während Art. 4 Nr. 2 DSGVO auch für das deutsche Recht verbindlich einen einheitlichen Verarbeitungsbegriff festlegt, der als Unterfälle beispielhaft verschiedene Verarbeitungsvorgänge aufführt, hält § 284 Abs. 1 SGB V mit den Begriffen „Erheben“ und „Speichern“ an der vormaligen Terminologie des deutschen Datenschutzrechts fest.128 Auch wenn die Schaffung unterschiedlicher Regelungen für einzelne Datenverarbeitungsvorgänge im nationalen Recht nicht unzulässig sein mag, so sorgen die „terminlogische[n] Inkonsistenz[en]“129 doch zumindest dafür, dass das Verständnis des Unionsrechts erheblich beeinträchtigt wird.130 b) Weitergehende und zweckändernde Verarbeitung von Sozialdaten Hinsichtlich einer weiteren Verarbeitung der Daten sind die zusätzlichen Anforderungen des § 284 Abs. 3 SGB V zu beachten.131 § 284 Abs. 3 S. 1 SGB V bestimmt zunächst, dass die rechtmäßig erhobenen und gespeicherten versichertenbezogenen Daten grundsätzlich nur für die anderen in § 284 Abs. 1 SGB V abschließend genannten Zwecke verarbeitet werden dürfen, wodurch die für die Erhebung und Speicherung von Sozialdaten bestehende strenge Zweckbindung auf die weitergehende Verarbeitung von Sozialdaten erstreckt wird.132 Auch an dieser Stelle werden 124
Leopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 2; Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 35 SGB I Rn. 74; Schneider, in: Krauskopf, Soziale Krankenversicherung, § 284 SGB V Rn. 4. 125 Leopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 24. 126 Fischinger / Monsch, in: Spickhoff, Medizinrecht, § 284 SGB V Rn. 4. 127 Leopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 9. 128 Leopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 9. 129 Leopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 40. 130 Leopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 9. 131 Michels, in: Becker / K ingreen, SGB V, § 284 SGB V Rn. 7. 132 Leopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 40; Michels, in: Becker / K ingreen, SGB V, § 284 SGB V Rn. 7; vgl. Kircher, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 260.
212
Kap. 3: Sozialdatenschutz unter der DSGVO
die terminologischen Inkonsistenzen deutlich, da der vorliegend verwendete Begriff der Verarbeitung nach der Konzeption der DSGVO die Verarbeitungsphasen des Erhebens und Speicherns mit einschließt, während angesichts der Regelung in § 284 Abs. 1 SGB V das Erheben und Speichern von Daten hier wohl ausgeschlossen sein soll.133 Verarbeitungen zu weiteren Zwecken sind daneben nach dem Wortlaut der Norm nur aufgrund ausdrücklicher gesetzlicher Ermächtigung im Sozialgesetzbuch erlaubt.134 Eine Verarbeitung für weitere Zwecke hängt daher von einer besonderen Befugnisnorm, wie etwa § 299 Abs. 1a SGB V, ab, der die Verarbeitung von ursprünglich zu anderen Zwecken rechtmäßig erhobenen und gespeicherten Sozialdaten zu Zwecken der Qualitätssicherung gestattet, soweit dies erforderlich und in den Richtlinien des Gemeinsamen Bundesausschusses vorgesehen ist.135 Dieser stellt mithin eine Zweckänderungsvorschrift dar.136 In der DSGVO werden die Anforderungen an die Rechtmäßigkeit von Verarbeitungen personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie ursprünglich erhoben wurden, in Art. 6 Abs. 4 DSGVO geregelt, sog. zweckändernde Weiterverarbeitung.137 Der Gehalt dieser Bestimmung erschließt sich in Zusammenschau mit Art. 5 Abs. 1 lit. b Hs. 1 DSGVO, der grundlegend festlegt, dass personenbezogene Daten nur „für festgelegte, eindeutige und legitime Zwecke erhoben werden und […] nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“ dürfen.138 Art. 6 Abs. 4 DSGVO setzt für die Zulässigkeit der zweckändernden Weiterverarbeitung primär das Vorliegen einer Einwilligung oder einer Rechtsvorschrift der Union oder der Mitgliedstaaten voraus, die eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele darstellt. In diesem Sinne bestimmt § 284 Abs. 3 S. 1 SGB V, dass die rechtmäßig erhobenen und gespeicherten versichertenbezogenen Daten nur für die Zwecke der Aufgaben nach § 284 Abs. 1 verarbeitet werden dürfen und eine zweckändernde Verarbeitung daneben nur in Betracht kommt, soweit dies durch Rechtsvorschrift des Sozialgesetzbuchs angeordnet oder erlaubt ist. Wenn keine mitgliedstaatliche Regelung zur zweckändernden Verarbeitung vorhanden ist, kann eine Verarbeitung zu einem anderen Zweck als dem ursprünglichen Erhebungszweck nach der DSGVO subsidiär auch dann zulässig sein, wenn die Zwecke unter Berücksichtigung der Kriterien des Art. 6 Abs. 4 133
Leopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 40. Scholz, in: BeckOK Sozialrecht, § 284 SGB V Rn. 6; Schneider, in: Krauskopf, Soziale Krankenversicherung, § 284 SGB V Rn. 72; Kühling, MedR 2019, 611 (621); Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 213. 135 Scholz, in: BeckOK Sozialrecht, § 284 SGB V Rn 6; Leopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 43; Roters, in: KassKomm Sozialversicherungsrecht, § 299 SGB V Rn. 1. 136 Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 221. 137 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 68. 138 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 68; Schwartmann / Pieper / Mühlenbeck, in: Schwartmann / Jaspers / T hüsing / Kugelmann, Art. 6 Abs. 4 DSGVO Rn. 231. 134
B. Bereichsspezifische Datenschutzregelungen im SGB V
213
Hs. 2 DSGVO miteinander vereinbar sind.139 Dazu werden dem Verantwortlichen nicht abschließend aufgeführte Kriterien an die Hand gegeben, die er zu berücksichtigen hat, um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit dem Erhebungszweck vereinbar ist.140 Zu betrachten ist demnach das Verhältnis des ursprünglichen zu dem sekundären Zweck, der Erhebungskontext, die Art der personenbezogenen Daten, die möglichen Folgen der Weiterverarbeitung sowie das Vorliegen geeigneter Garantien.141 Diese Prüfung der Vereinbarkeit von Primär- und Sekundärzweck anhand der Kriterien des Art. 6 Abs. 4 Hs. 2 DSGVO wird als sog. Kompatibilitätstest bezeichnet.142 Bereits im Allgemeinen ist höchst umstritten,143 ob die zweckändernde Weiterverarbeitung allein auf der Grundlage einer Zweckkompatibilitätsprüfung nach Art. 6 Abs. 4 Hs. 2 DSGVO vorgenommen werden kann144 oder ob sie stets einer neuen, eigenen Rechtsgrundlage bedarf und sich Art. 6 Abs. 4 Hs. 2 DSGVO in seiner Funktion auf den Kompatibilitätstest beschränkt.145 Die besseren Gründe sprechen dafür, dass allein der Kompatibilitätstest des Art. 6 Abs. 4 Hs. 2 DSGVO eine zweckändernde Weiterverarbeitung nicht zu einer rechtmäßigen Verarbeitung machen kann.146 Denn Art. 6 Abs. 4 139
Bieresborn, in: Schütze, SGB X, § 67c SGB X Rn. 15; Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 38; Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 DSGVO Rn. 50, 51; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 71; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 6 DSGVO Rn. 46; Culik / Döpke, ZD 2017, 226 (228); BTDrs. 18/11325, S. 95 f. 140 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 69; Culik / Döpke, ZD 2017, 226 (229); Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1590); Dammann, ZD 2016, 307 (312); Piltz, K&R 2016, 557 (556). 141 Schantz, in: BeckOK Datenschutzrecht, Art. 5 DSGVO Rn. 21; Dammann, ZD 2016, 307 (312); Albrecht, CR 2016, 88 (91 f.). 142 Schantz, NJW 2016, 1841 (1844); Albrecht, CR 2016, 88 (92); Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 6 DSGVO Rn. 46. 143 Ausführlich zu der Frage, ob für die zweckändernde Weiterverarbeitung eine gesonderte Rechtsgrundlage erforderlich ist, in Kap. 7 C. I. 2., (S. 356 ff.). 144 So Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 DSGVO Rn. 98; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 5 DSGVO Rn. 31; Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 185; Assion / Nolte / Veil, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 6 DSGVO Rn. 212 ff.; Kramer, in: Auernhammer, DSGVO BDSG, Art. 5 DSGVO Rn. 29, Art. 6 DSGVO Rn. 98 ff.; Piltz, K&R 2016, 557 (566); Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1589); Kühling / Martini, EuZW 2016, 448 (451); Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 411; Monreal, ZD 2016, 507 (510); Culik / Döpke, ZD 2017, 226 (230). 145 So Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 5 DSGVO Rn. 28 f., 48 f.; Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 181 ff.; Schantz, NJW 2016, 1841 (1844); Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 54; Reimer, in: Sydow, DSGVO, Art. 5 DSGVO Rn. 24; Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 5 DSGVO Rn. 19 f. 146 Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 183; Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 54; die Annahme, dass der Kompatibilitätstest die Funktion eines Erlaubnistatbestandes habe, bezeichnet Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 5 DSGVO Rn. 49 als „Missverständnis“; a. A. Kühling / Sackmann / Schildbach, Sozialdatenschutzrechtl. Weiterentwicklungsbedarf im SGB V und X für Big Data, S. 45 die annehmen, dass Art. 6 Abs. 4 DSGVO eine „ähnliche Funktion wie einem gesetzlichen Zulässigkeitstatbestand“ zukomme.
214
Kap. 3: Sozialdatenschutz unter der DSGVO
DSGVO nimmt die Vorgabe der Vereinbarkeit des Primär- mit dem Sekundärzweck in Art. 5 Abs. 1 lit. b DSGVO auf und bezieht sich daher allein auf die Zweckbindung einer Datenverarbeitung und nicht auf deren Rechtmäßigkeit.147 Art. 6 Abs. 4 Hs. 2 DSGVO selbst stellt somit keinen Erlaubnistatbestand für eine zweckändernde Weiterverarbeitung dar.148 Dies gilt im Besonderen für öffentliche Stellen, da Art. 6 Abs. 4 Hs. 2 DSGVO als „Bewertungsklausel mit Beurteilungskriterien“149 nicht den Voraussetzungen entspricht, die das Rechtsstaatsprinzip aus Art. 20 Abs. 3 GG an eine dem Bestimmtheitsgebot genügende Rechtsgrundlage stellt.150 Krankenkassen können daher für zweckändernde Weiterverarbeitungen nicht auf den Kompatibilitätstest aus Art. 6 Abs. 4 Hs. 2 DSGVO zurückgreifen.151 2. Datenverarbeitung durch die Kassenärztliche Vereinigung § 285 SGB V regelt in Ergänzung zu den allgemeinen datenschutzrechtlichen Vorschriften der DSGVO sowie des SGB I und X die Datenkompetenz der Kassenärztlichen Vereinigung (KV).152 Die Norm ermöglicht das Erheben und Speichern sowie das Verarbeiten und Übermitteln der für die Tätigkeit der Kassenärztlichen Vereinigung erforderlichen arzt- und versichertenbezogenen Sozialdaten zu den jeweils abschließend aufgeführten Zwecken.153 So ermächtigt § 285 Abs. 1 SGB V die KV zur Erhebung und Speicherung von Daten über die persönlichen und sachlichen Verhältnisse der Ärzte, soweit dies beispielsweise erforderlich ist zur Vergütung der vertragsärztlichen Versorgung einschließlich der Überprüfung der Zulässigkeit und Richtigkeit der Abrechnung.154 § 285 Abs. 3 S. 1 Hs. 2 SGB V gestattet daneben ausdrücklich auch die Verarbeitung und Nutzung der von einer KV rechtmäßig erhobenen und gespeicherten Sozialdaten „für andere Zwecke“, soweit dies aufgrund einer Rechtsvorschrift des SGB erlaubt ist. Diese Vorschrift stellt einen gesetzlich normierten Fall der Zweckänderung dar.155 Eine solche Rechtsvorschrift ist etwa § 295 Abs. 2 SGB V, der die Übermittlung von 147
Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 183. Schwartmann / Pieper / Mühlenbeck, in: Schwartmann / Jaspers / Thüsing / Kugelmann, DSGVO BDSG, Art. 6 Abs. 4 DSGVO Rn. 235; Reimer, in: Sydow, DSGVO, Art. 6 DSGVO Rn. 67; Buchner / Petri, in: Kühling / Buchner DSGVO BDSG, Art. 6 DSGVO Rn. 183. 149 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 4 DSGVO Rn. 2; auch Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 183 bezeichnen die Vorschrift als „Auslegungsregel für das Tatbestandsmerkmal der Vereinbarkeit“. 150 Bieresborn, NZS 2017, 926 (929); ders., in: Schütze, SGB X, § 67c SGB X Rn. 17. 151 So auch Freund / Shagdar, SGb 2018, 195 (203). 152 Schneider, in: Krauskopf, Soziale Krankenversicherung, § 285 SGB V Rn. 2; Michels, in: Becker / K ingreen, SGB V, § 285 SGB V Rn. 1; Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 285 SGB V Rn. 2. 153 Scholz, in: BeckOK Sozialrecht, § 285 SGB V Rn. 2. 154 Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 285 SGB V Rn. 4. 155 Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 214. 148
B. Bereichsspezifische Datenschutzregelungen im SGB V
215
Abrechnungsdaten aus der vertragsärztlichen Versorgung an die Krankenkassen regelt.156 Im Zusammenhang mit der Frage, welche Daten über die Leistungserbringung in der vertragszahnärztlichen Versorgung seitens der Kassenzahnärztlichen Vereinigung an die Ersatzkassen zu übermitteln sind, hatte sich das BSG bereits mit der Frage der datenschutzrechtlichen Unbedenklichkeit der Übermittlung von Gesundheitsdaten durch die Kassenärztlichen Vereinigungen an die Krankenkassen unter der Rechtslage der DSGVO zu befassen.157 Anhand der zutreffenden Beurteilung der Zulässigkeit der Datenübermittlung durch das BSG wird das Zusammenspiel der DSGVO mit den nationalen Vorschriften des SGB deutlich. Als Ausgangspunkt setzt das BSG bei Art. 9 Abs. 2 lit. h DSGVO an, der die Verarbeitung von Gesundheitsdaten für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats und vorbehaltlich der in Art. 9 Abs. 3 DSGVO genannten Bedingungen und Garantien gestattet. Ergänzend seien für Gesundheitsdaten allerdings gemäß Art. 9 Abs. 4 DSGVO die im innerstaatlichen Recht durch den Bundesgesetzgeber zusätzlich statuierten Bedingungen und Beschränkungen zu beachten, im vorliegenden Fall § 67b Abs. 1 S. 3 und 4 SGB X.158 Danach ist die Übermittlung von Gesundheitsdaten nur zulässig, soweit eine gesetzliche Übermittlungsbefugnis vorliegt. Die maßgebliche gesetzliche Übermittlungsbefugnis stelle vorliegend § 295 Abs. 2 SGB V dar, der aufgrund der Öffnungsklausel in Art. 9 Abs. 2 lit. h DSGVO auch unter der Rechtslage der DSGVO weiterhin zulässig sei.159 Daneben habe die Kassenzahnärztliche Vereinigung bei der Datenübermittlung jedoch die Bedingungen und Garantien gemäß Art. 9 Abs. 3 DSGVO sowie die Anforderungen nach § 67b Abs. 1 S. 4 SGB X i. V. m. § 22 Abs. 2 BDSG zu gewährleisten.160 Es wird mithin deutlich, dass die Vorschriften der DSGVO aufgrund der weiten Öffnungsklauseln hinsichtlich der Frage, welche Daten über die Leistungserbringung in der vertragsärztlichen Versorgung an die Krankenkassen zu übermitteln sind, zu keinem anderen Ergebnis als unter der alten Rechtslage führen, sondern sich vielmehr lediglich die Anknüpfungspunkte für die rechtliche Bewertung verschoben haben.161
156
BSG, MedR 2019, 405 (408); Scholz, in: BeckOK Sozialrecht, § 285 SGB V Rn. 3; zur Datenverarbeitung zu Abrechnungszwecken im GKV-Bereich ausführlich unter Kap. 3 B. II. 1., (S. 216 ff.). 157 BSG, MedR 2019, 405 (405 ff.); Maus, MedR 2019, 410 (411). 158 BSG, MedR 2019, 405 (410). 159 BSG, MedR 2019, 405 (410). 160 BSG, MedR 2019, 405 (410); Maus, MedR 2019, 410 (411); Deister, NZS 2019, 37 (37); vgl. Schröder, MedR 2019, 631 (632). 161 BSG, MedR 2019, 405 (409); Maus, MedR 2019, 410 (411); Deister, NZS 2019, 37 (37).
216
Kap. 3: Sozialdatenschutz unter der DSGVO
II. Datenverarbeitung durch die Leistungserbringer Im Vordergrund des Zweiten Abschnitts des Zehnten Kapitels des SGB V stehen die Leistungserbringer der Gesetzlichen Krankenversicherung, insbesondere die an der vertragsärztlichen Versorgung teilnehmenden Ärzte.162 Diese verarbeiten nach der Definition in § 67 Abs. 2 S. 1 SGB X zwar keine Sozialdaten, da sie als Leistungserbringer nicht zu den in § 35 Abs. 1 SGB I genannten Stellen gehören. Sie sind jedoch ein wichtiger Bestandteil des GKV-Systems, sodass es unvermeidlich ist, dass sie Versichertendaten, in der Regel in Form von besonders sensiblen Gesundheitsdaten, verarbeiten.163 Daher enthält das SGB V zahlreiche Vorgaben für Leistungserbringer, Daten ihrer Patienten zu verarbeiten und an bestimmte Empfänger zu übermitteln.164 1. Datenübermittlung zu Abrechnungszwecken Wie aufgezeigt, ist für die Datenverarbeitung niedergelassener Ärzte grundsätzlich die DSGVO i. V. m. den Regelungen des BDSG n. F. maßgeblich. Für die Aufzeichnung und Übermittlung von Leistungsdaten an die Krankenversicherung und Kassenärztliche Vereinigung ergeben sich für Vertragsärzte aus den §§ 294 ff. SGB V jedoch spezialgesetzliche Befugnisse.165 Diese Regelungen stellen bereichsspezifische Vorschriften des Gesundheitsdatenschutzrechts jenseits des Sozialdatenschutzrechts dar, die den Vorschriften des BDSG n. F. vorgehen.166 Auch für Krankenhäuser und sonstige Leistungserbringer finden sich spezielle Vorschriften für die Datenverarbeitung zu Abrechnungszwecken im SGB V, die dem allgemeinen Datenschutzrecht insoweit vorgehen. Die Vorschriften der §§ 294 ff. SGB V, die die Verarbeitung von Daten regeln, die medizinische Leistungserbringer den Krankenkassen und den Kassenärztlichen Vereinigungen mitzuteilen haben, sind von dem Verarbeitungszweck der Verwaltung von Systemen und Diensten im Gesundheitsbereich i. S. d. Art. 9 Abs. 2 lit. h DSGVO gedeckt.167 Die gesetzlichen Krankenkassen erfüllen ihre Leistungsverpflichtung gegenüber ihren Versicherten grundsätzlich durch den Abschluss von Verträgen mit den Kassenärztlichen Vereinigungen.168 Gegenstand dieser Gesamtverträge ist die ver-
162
Schneider, in: Krauskopf, Soziale Krankenversicherung, Vor § 284 SGB V Rn. 20. Schneider, in: Krauskopf, Soziale Krankenversicherung, Vor § 284 SGB V Rn. 20. 164 Schröder, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 60. 165 Kühling, MedR 2019, 611 (620). 166 BÄK, Stellungnahme zum Referentenentwurf eines 2. DSAnpUG-EU v. 16. Juli 2018, S. 14, abrufbar unter: https://www.bundesaerztekammer.de/recht/aktuelle-rechtliche-themen/ datenschutzrecht/. 167 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 105. 168 Nebendahl, in: Spickhoff, Medizinrecht, § 2 SGB V Rn. 12; Joussen, in: BeckOK Sozialrecht, § 2 SGB V Rn. 6. 163
B. Bereichsspezifische Datenschutzregelungen im SGB V
217
tragsärztliche Versorgung der Mitglieder der Krankenkassen.169 Zur Erfüllung der Honoraransprüche der Leistungserbringer gegenüber den Krankenkassen bedarf es zu Abrechnungszwecken der Übermittlung leistungsbezogener Daten.170 Diese Daten, die die Leistungserbringer zu Abrechnungszwecken den damit beauftragten Stellen übermitteln, werden als Leistungsdaten bezeichnet.171 a) Die Übermittlung ärztlicher Leistungsdaten zu Abrechnungszwecken im Rahmen der Regelversorgung und in den neuen Versorgungsformen Die §§ 294 ff. SGB V regeln die datenschutzrechtlichen Voraussetzungen zur Abrechnung vertragsärztlicher Leistungen. § 294 SGB V verpflichtet die an der vertragsärztlichen Versorgung beteiligten Leistungserbringer zunächst, die zur Aufgabenerfüllung durch die Krankenkassen und Kassenärztlichen Vereinigungen notwendigen Angaben aufzuzeichnen und nach Maßgabe der §§ 294a ff. SGB V zu übermitteln.172 In Konkretisierung des § 294 SGB V regelt § 295 SGB V die datenschutzrechtlichen Vorgaben für die Abrechnung ärztlicher Leistungen und differenziert dabei zwischen der Regelversorgung und den neuen Versorgungsformen.173 aa) Abrechnung im Rahmen der Regelversorgung § 295 Abs. 1 SGB V bestimmt abschließend, welche Leistungsdaten von den Ärzten im Rahmen der Regelversorgung in den Abrechnungsunterlagen aufzuzeichnen und an die Kassenärztliche Vereinigungen zu übermitteln sind.174 Dies umfasst im Wesentlichen die von den Ärzten erbrachten Leistungen, die Diagnose sowie die Arztnummer. Die Kassenärztlichen Vereinigungen übermitteln dann gemäß § 295 Abs. 2 S. 1 SGB V arzt- und versichertenbezogene Leistungsdaten quartalsweise für jeden Behandlungsfall an die Krankenkassen.175 Dabei handelt 169 Hahne, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 4 Rn. 39. 170 Fischinger / Monsch, in: Spickhoff, Medizinrecht, § 294 SGB V Rn. 1. 171 Kühling / Seidel, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 42 f.; Waschull, in: Krauskopf, Soziale Krankenversicherung, § 304 SGB V Rn. 15; Ziegler, ZMGR 2016, 211 (213); Kühling, MedR 2019, 611 (616). 172 Gleichzeitig legitimieren die Regelungen der §§ 294 ff. SGB V die Offenbarung von Patientengeheimnissen durch die Leistungserbringer an die Krankenkassen oder Kassenärzt lichen Vereinigungen, da sie gesetzliche Offenbarungspflichten i. S. d. § 203 StGB darstellen, Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 147; BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A3); Eisele, in: Schönke / Schröder, StGB, § 203 StGB Rn. 44; Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 92. 173 Scholz, in: BeckOK Sozialrecht, § 295 SGB V Rn. 1. 174 Michels, in: Becker / K ingreen, SGB V, § 295 SGB V Rn. 2. 175 Scholz, in: BeckOK Sozialrecht, § 295 SGB V Rn. 11; Hess, in: KassKomm Sozialversicherungsrecht, § 295 SGB V Rn. 10.
218
Kap. 3: Sozialdatenschutz unter der DSGVO
es sich konkret um die Arztnummer, in Überweisungsfällen die Arztnummer des überweisenden Arztes, die Art der Inanspruchnahme und der Behandlung, den Tag und, soweit für die Überprüfung der Zulässigkeit und Richtigkeit der Abrechnung erforderlich, die Uhrzeit der Behandlung, die abgerechneten Gebührenpositionen sowie die Kosten der Behandlung. bb) Abrechnung im Rahmen der neuen Versorgungsformen Gemäß § 295 Abs. 1b SGB V erfolgt die Abrechnung der ärztlichen Leistung, die im Rahmen der hausarztzentrierten Versorgung gemäß § 73b SGB V oder der besonderen Versorgungsformen gemäß § 140a SGB V erbracht wird, unmittelbar zwischen dem Leistungserbringer und der Krankenkasse des Versicherten.176 § 295 Abs. 2a SGB V enthält die Verpflichtung der Ärzte, die an den besonderen Versorgungsformen teilnehmen, zur Aufzeichnung und Übermittlung der nach § 292 SGB V erforderlichen Angaben an die Krankenkasse des Versicherten.177 Da die Krankenkassen in diesem Fall Sozialdaten erhalten, die in der Regelversorgung den Kassenärztlichen Vereinigungen übermittelt werden, wird die Verarbeitung dieser Daten in § 284 Abs. 3 S. 2 SGB V auf bestimmte in der Norm im einzelnen aufgeführte Zwecke beschränkt, sofern der Versichertenbezug nicht vorher gelöscht wurde.178 Im Rahmen der ambulanten spezialfachärztlichen Versorgung sollen Leistungen zur Behandlung bestimmter, besonders komplexer Krankheiten gleichermaßen durch Fachärzte und Krankenhäuser erbracht werden.179 Die Grundlage für die Datenübermittlung innerhalb des interdisziplinären Ärzteteams ist durch § 116b SGB V gegeben.180 Die in diesem Zusammenhang erbrachten Leistungen werden gemäß § 116b Abs. 6 S. 1 Hs. 1 SGB V grundsätzlich direkt mit den Krankenkassen abgerechnet. Die Übermitlung der in § 295 Abs. 1 SGB V aufgeführten Abrechnungsdaten an die Krankenkasse erfolgt dann auf Grundlage des § 295 Abs. 1b S. 1 Hs. 1 und Abs. 2a Hs. 1 SGB V zum Zwecke der Vergütung der erbrachten Leistungen. Die Leistungserbringer können ihre ambulanten Leistungen § 116b Abs. 6 S. 1 Hs. 2 SGB V zufolge jedoch auch fakultativ über ihre Kassenärztliche Vereinigung abrechnen lassen.181 Die Befugnis zur Übermittlung der Leistungsdaten an die Kassenärztliche Vereinigung regelt für diesen Fall § 295 Abs. 1b S. 1 Hs. 2 und Abs. 2a Hs. 2 SGB V.182 176
Scholz, in: BeckOK Sozialrecht, § 295 SGB V Rn. 15. Koch, in: Schlegel / Voelzke, JurisPK-SGB V, § 295 SGB V Rn. 40. 178 Scholz, in: BeckOK Sozialrecht, § 284 SGB V Rn. 6. 179 Becker, in: Becker / K ingreen, SGB V, § 116b SGB V Rn. 1. 180 Jäschke / Z orbach, in: Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen, S. 190. 181 Scholz, in: BeckOK Sozialrecht, § 295 SGB V Rn. 15a. 182 Scholz, in: BeckOK Sozialrecht, § 295 SGB V Rn. 15a. 177
B. Bereichsspezifische Datenschutzregelungen im SGB V
219
b) Abrechnung der übrigen Leistungserbringer Auch für die Datenverarbeitung zu Abrechnungszwecken bei den übrigen Leistungserbringern finden sich spezielle Normen im SGB V, welche auf der Grundlage der Öffnungsklausel des Art. 9 Abs. 2 lit. h DSGVO beibehalten werden konnten und dem allgemeinen Datenschutzrecht vorgehen.183 Die Abrechnung der Apotheker, der nach § 108 SGB V zugelassenen Krankenhäuser sowie der sonstigen Leistungserbringer ist in den §§ 300 ff. SGB V geregelt.184 So regelt § 300 SGB V die Datenübermittlung zu Zwecken der Abrechnung durch Apotheken und verpflichtet diese das mit der nach § 131 Abs. 5 S. 2 SGB V vereinbarten Pharmazentralnummer versehene Rezept in digitaler Form an die Krankenkassen zu übermitteln.185 Demgegenüber ergibt sich die Befugnis zur Übermittlung über die in den Krankenhäusern erbrachten Leistungen zu Abrechnungszwecken aus § 301 SGB V für den Regelfall der stationären Behandlung oder aus § 295a Abs. 3 SGB V für im Notfall erbrachte ambulante ärztliche Leistungen.186 In § 301 Abs. 1 SGB V ist abschließend aufgelistet, welche Angaben die zugelassenen Krankenhäuser der jeweiligen Krankenkasse zu übermitteln haben.187 Die von den ermächtigten Krankenhausärzten erbrachten Leistungen müssen demgegenüber nach § 120 Abs. 1 S. 3 SGB V vom Krankenhausträger mit den Kassenärztlichen Vereinigungen abgerechnet werden. Die Rechtsgrundlage für die Datenübermittlung vom ermächtigten Arzt zum Krankenhausträger und von dort zur Kassenärztlichen Vereinigung wird in § 301 Abs. 5 SGB V geregelt.188 Daneben regelt § 301a SGB V die Datenübermittlung durch Hebammen und § 302 SGB V die Datenübermittlung durch sonstige Leistungserbringer. c) Zulässigkeit der Übermittung von Gesundheitsdaten an private Abrechnungsstellen im System der gesetzlichen Krankenversicherung Auch im System der gesetzlichen Krankenversicherung werden externe private Abrechnungsstellen durch verschiedene Leistungserbringer eingesetzt, um die im Gesundheitswesen erbrachten Leistungen möglichst kosteneffizient und zeitspa 183
Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 107. Schröder, MedR 2019, 631 (632). 185 Scholz, in BeckOK Sozialrecht, § 300 SGB V Rn. 2; s. hierzu auch die Arzneimittelabrechnungsvereinbarung gemäß § 300 Abs. 3 SGB V v. 1. April 2021 und die erste Änderungsvereinbarung zur Arzneimittelabrechnungsvereinbarung vom 9. Juli 2021, abrufbar unter: https://www.gkv-spitzenverband.de/krankenversicherung/arzneimittel/rahmenvertraege/ rahmenvertraege.jsp. 186 Dazu Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 192 f.; Kühling, MedR 2019, 611 (620). 187 Bieresborn, in: Forgó / Helfrich / Schneider, Betrieblicher Datenschutz, S. 1149 Rn. 34. 188 Scholz, in: BeckOK Sozialrecht, § 301 SGB V Rn. 4. 184
220
Kap. 3: Sozialdatenschutz unter der DSGVO
rend abzurechnen.189 Dies gilt zunächst für die Abrechnung der ärztlichen Leistungen, die im Rahmen der hausarztzentrierten Versorgung und der besonderen Versorgungsformen erbracht werden, da diese in der Regel nicht wie im kollektivvertraglichen System stets über die Kassenärztliche Vereinigung, sondern grundsätzlich unmittelbar zwischen dem Arzt oder dessen Verband und der Krankenkasse erfolgt, sodass in der Praxis vor dem Hintergrund des ansonsten bestehenden erheblichen zusätzlichen Verwaltungsaufwands oftmals rechtlich eigenständige Abrechnungsstellen eingeschaltet werden.190 Auch für Krankenhäuser gehört die Abrechnung ambulanter ärztlicher Leistungen mit den Kassenärztlichen Vereinigungen nicht zum Kerngeschäft, da solche gemäß § 76 Abs. 1 S. 2 SGB V grundsätzlich nur im Notfall erbracht werden dürfen, sodass auch dafür häufig private Abrechnungsstellen eingeschaltet werden.191 Daneben schalten auch Apotheken in der Regel externe Rechenzentren zur Abrechnung ihrer Leistungen ein.192 Gleiches gilt für die sonstigen Leistungserbringer i. S. d. § 302 SGB V. Diese Rechenzentren übernehmen die anspruchsvolle technische Abwicklung der Datenaufbereitung sowie der Datenübermittlung an die Krankenkassen.193 Nach § 295a Abs. 1 S. 1 SGB V sind die an der hausarztzentrierten Versorgung oder den besonderen Versorgungsformen teilnehmenden Leistungserbringer befugt, die zu Abrechnungszwecken erforderlichen Angaben an eine „andere Stelle“, in der Regel eine privatrechtlich organisierte Abrechnungsstelle, weiterzugeben.194 Voraussetzung für die Übermittlung dieser Angaben an eine solche Abrechnungsstelle ist aus datenschutzrechtlicher Sicht gemäß § 295a Abs. 1 S. 2 SGB V, dass der Versicherte vor Abgabe der Teilnahmeerklärung an der Versorgungsform umfassend über die vorgesehene Datenübermittlung informiert wurde und in die Datenübermittlung schriftlich oder elektronisch eingewilligt hat.195 Der Versicherte muss somit alle Informationen erhalten, die notwendig sind, um Anlass, Ziel und Folgen 189
Kühling / Seidel, GesR 2012, 402 (402); Arning, MMR-Aktuell 2010, 301110. Rademacker, in: KassKomm Sozialversicherungsrecht, § 73b SGB V Rn. 29; Hess, in: KassKomm Sozialversicherungsrecht, § 295a SGB V Rn. 3. 191 Scholz, in: BeckOK Sozialrecht, § 295a SGB V Rn. 2. 192 Giesen / Schnoor, Rechtsgutachten Datenschutzrechtliche Anforderungen an die Verarbeitung und Nutzung anonymisierter Daten für andere Zwecke nach § 300 Abs. 2 Satz 2, 2. Halbsatz SGB V durch Apotheken-Rechenzentren, S. 3. 193 Scholz, in: BeckOK Sozialrecht, § 300 SGB V Rn. 4. 194 Schneider, in: Krauskopf, Soziale Krankenversicherung, § 295a SGB V Rn. 16; Michels, in: Becker / K ingreen, SGB V, § 295a SGB V Rn. 1, 2; Scholz, in: BeckOK Sozialrecht, § 295a SGB V Rn. 2. 195 Rademacker, in: KassKomm Sozialversicherungsrecht, § 73b SGB V Rn. 30; Schneider, in: Krauskopf, Soziale Krankenversicherung, § 295a SGB V Rn. 25 bezeichnet diese Kon stellation als „Zwischenform aus gesetzlicher Erlaubnis und Einwilligung“; Freund / Shagdar, SGb 2018, 195 (200) Fn. 45 bezeichnen sie als „Mischtatbestände“; dabei handele es sich nicht um eine klassische gesetzliche Erlaubnis, welche für sich genommen das Verbot der Datenverarbeitung aufhebe, sondern vielmehr um eine flankierende Norm, welche die eigentliche Aufhebung des datenschutzrechtlichen Verbots durch Einwilligung des Versicherten ermögliche, Schneider, in: Krauskopf, Soziale Krankenversicherung, § 295a SGB V Rn. 25. 190
B. Bereichsspezifische Datenschutzregelungen im SGB V
221
der Verarbeitung einschätzen zu können. Dies beinhaltet insbesondere Informationen darüber, welche Daten zu welchen Zwecken an welche Stellen übermittelt werden.196 Das Erfordernis einer schriftlichen oder elektronischen Einwilligung stellt allerdings eine Abweichung von den Vorgaben des § 67b Abs. 2 S. 2 SGB X dar, nach dem die Einwilligung zur Verarbeitung von Gesundheitsdaten bei Vorliegen besonderer Umstände auch in anderer Form eingeholt werden kann.197 Ausweislich der Gesetzesbegründung wurde diese Abweichung zur Aufrechterhaltung des bisherigen Schutzniveaus getroffen.198 Diese von der DSGVO abweichenden strengeren Formerfordernisse für die Einwilligung sind von der Öffnungsklausel des Art. 9 Abs. 4 DSGVO gedeckt.199 Im Rahmen dieser Rechtsgrundlage ist es möglich, auf nationaler Ebene gesetzliche Vorgaben für den notwendigen Inhalt und die Ausgestaltung einer Einwilligung vorzusehen.200 Daneben ist zu beachten, dass die Einwilligung in die Datenübermittlung gemäß Art. 7 Abs. 2 S. 1 DSGVO klar von den übrigen Inhalten der Teilnahmeerklärung am Versorgungsmodell zu unterscheiden sein muss, wenn sie zusammen mit der Teilnahmeerklärung abgegeben wird.201 Darüber hinaus wird zum Teil bezweifelt, ob die Einwilligung in die Datenübermittlung freiwillig i. S. d. Art. 4 Nr. 11, Art. 7 Abs. 4 DSGVO erteilt wird, wenn die Teilnahme an der besonderen Versorgungsform von der Einwilligung in die Datenverarbeitung abhängig gemacht wird.202 Vertretbar erscheint es, die Verknüpfung von Einwilligung und Teilnahme an der besonderen Versorgungsform noch als zulässig anzusehen, da es sich bei der besonderen Versorgungsform um ein zusätzliches Angebot zu der auch bei Nichterteilung der Einwilligung weiterhin gewährleisteten kollektivvertraglichen Versorgung handelt.203 Gemäß § 295a Abs. 3 S. 1 SGB V dürfen auch Krankenhäuser für die Abrechnung von im Notfall erbrachten ambulanten ärztlichen Leistungen eine andere Stelle mit der Verarbeitung der erforderlichen personenbezogenen Daten beauftragen, sofern der Versicherte schriftlich oder elektronisch in die Datenübermittlung eingewilligt hat.204 Dabei beruht die Einwilligung in die Datenübermittlung an die „andere Stelle“ jedenfalls nur dann auf einer freiwilligen Entscheidung des Versicherten, wenn diese erst im Anschluss an die erfolgte Notfallbehandlung ein 196
Scholz, in: BeckOK Sozialrecht, § 295a SGB V Rn. 4. Scholz, in: BeckOK Sozialrecht, § 295a SGB V Rn. 4. 198 BT-Drs. 19/4674, S. 380. 199 So BT-Drs. 19/4674, S. 401 zu § 67b SGB X; BÄK, Stellungnahme zum Referentenentwurf eines 2. DSAnpUG-EU v. 16. Juli 2018, S. 12. 200 So Kircher, in: Becker / K ingreen, SGB V, § 68b SGB V Rn. 4 in Bezug auf das Einwilligungserfordernis in § 68b Abs. 3 SGB V a. F. 201 Scholz, in: BeckOK Sozialrecht, § 295a SGB V Rn. 4; Schneider, in: Krauskopf, Soziale Krankenversicherung, § 295a SGB V Rn. 22. 202 Michels, in: Becker / K ingreen, SGB V, § 295a SGB V Rn. 3; Scholz, in: BeckOK Sozialrecht, § 295a SGB V Rn. 4; Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 185 f. 203 Schneider, in: Krauskopf, Soziale Krankenversicherung, § 295a SGB V Rn. 26; Fischinger / Monsch, in: Spickhoff, Medizinrecht, § 295a SGB V Rn. 2; BT-Drs. 17/6141, S. 40. 204 BT-Drs. 19/4674, S. 380. 197
222
Kap. 3: Sozialdatenschutz unter der DSGVO
geholt wird und die Entscheidung über die Behandlung zudem nicht von der Einwilligungserklärung abhängig gemacht wird.205 Nach § 300 Abs. 2 S. 1 SGB V sowie § 302 Abs. 2 S. 2 SGB V können auch Apotheken sowie sonstige Leistungserbringer für die Abrechnung ihrer Leistungen Rechenzentren in Anspruch nehmen. Gleiches gilt über den Verweis in § 301a Abs. 2 SGB V auch für die Abrechnung von Hebammen. Die Rechenzentren dürfen die ihnen hierzu übermittelten Daten nach § 300 Abs. 2 S. 2 sowie § 302 Abs. 2 S. 3 SGB V allein für im Sozialgesetzbuch bestimmte Zwecke und nur in einer auf diese Zwecke ausgerichteten Weise verarbeiten, soweit sie dazu von einer berechtigten Stelle beauftragt worden sind. Die Durchführung der Abrechnung durch einen über einen Vertrag zur Auftragsverarbeitung einbezogenen Dienstleister erfordert somit keine zusätzliche Einwilligung.206 2. Datenverarbeitung zu Zwecken der Wirtschaftlichkeitsprüfung und der Qualitätssicherung Die für die Datenverarbeitung durch Leistungserbringer relevanten Vorschriften im SGB V beschränken sich aber nicht nur auf die Datenverarbeitungsbefugnisse zu Abrechnungszwecken. Daneben ergibt sich für die an der vertragsärztlichen Versorgung teilnehmenden Ärzte und Einrichtungen auch aus § 296 Abs. 4 SGB V eine Übermittlungsbefugnis, nach der sie die für die Wirtschaftlichkeitsprüfung ärztlich verordneter Leistungen notwendigen Befunde an die Prüfstelle übermitteln können. Auch § 299 Abs. 1 S. 1 SGB V normiert eine datenschutzrechtliche Befugnis der Leistungserbringer, personen- und einrichtungsbezogene Daten für Zwecke der Qualitätssicherung zu verarbeiten. Derartige Datenverarbeitungen, die die Qualität und Wirtschaftlichkeit in den sozialen Krankenversicherungssystemen sicherstellen sollen, unterfallen dem Verarbeitungszweck der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich und sind daher von der Öffnungsklausel des Art. 9 Abs. 2 lit. h DSGVO gedeckt.207 Dahingehend verdeutlicht auch der EG 52 S. 2 DSGVO, dass eine Ausnahme vom Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten insbesondere dann erlaubt sein sollte, „wenn dadurch die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen sichergestellt werden soll“. Es handelt sich bei den Normen mithin um spezifische Vorschriften im Sinne der Öffnungsklausel der DSGVO.208 Durch Artikel 123 des 205
Scholz, in: BeckOK Sozialrecht, § 295a SGB V Rn. 4 a. E.; Schneider, in: Krauskopf, Soziale Krankenversicherung, § 295a SGB V Rn. 43; BT-Drs. 17/6141, S. 41. 206 So BfArM, DiGA-Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 41 in Bezug auf DiGAHersteller als sonstige Leistungserbringer i. S. d. § 302 SGB V. 207 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 107; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Rn. 84. 208 Fromm, in: Schlegel / Voelzke, JurisPK-SGB X, § 67 SGB X Rn. 22.
B. Bereichsspezifische Datenschutzregelungen im SGB V
223
2. DSAnpUG-EU wurden die Vorschriften dementsprechend unter Beibehaltung des geltenden Rechts allein redaktionell angepasst.
III. Fazit Bis zum Geltungsbeginn der DSGVO wirkte sich das Unionsrecht nur marginal auf das deutsche Sozialdatenschutzrecht aus.209 Seit dem Zeitpunkt der Geltung der DSGVO wird das nationale Sozialdatenschutzrecht nunmehr durch unmittelbar geltendes supranationales Recht beeinflusst.210 Jedoch hält die DSGVO zahlreiche Öffnungsklauseln bereit, die es den Mitgliedstaaten auch im Bereich des Sozialdatenschutzes ermöglichen, bereichsspezifische Regelungen beizubehalten bzw. zu erlassen. Der nationale Gesetzgeber hat davon Gebrauch gemacht, indem er vorwiegend redaktionelle und begriffliche Anpassungen vorgenommen hat, im Übrigen das bislang bestehende Sozialdatenschutzrecht aber weitgehend beibehalten hat.211 Auch wenn die Anpassungen an die neuen Begrifflichkeiten der DSGVO notwendig waren, haben diese allein, bei einer ansonsten überwiegenden Beibehaltung der wesentlichen Strukturen des SGB, keine Verbesserungen im Hinblick auf die komplexe Regelungslage im Gesundheitswesen zur Folge.212 Die Gelegenheit zur Neustrukturierung hat der Gesetzgeber bisher jedenfalls nicht genutzt.213 Daher wird kritisch und nicht zu Unrecht angemerkt, dass die ohnehin schon schwer anwendbaren Gesetze im Sozialgesetzbuch im Rahmen der Anpassung an die DSGVO selbst für Experten noch mehr zu einer „unleserlichen Bleiwüste“214 geworden seien. An anderer Stelle wird in ähnliche Richtung darauf verwiesen, dass der Gesetzgeber sich einer Verweistechnik bedient habe, die sich „auch für Eingweihte“215 nicht erschließe. Insbesondere stellt sich in der Tat die Frage, warum für die Leistungserbringer ein spezifisches Datenschutzrecht innerhalb des Sozialgesetzbuchs notwendig ist, wenn der Bundesgesetzgeber im BDSG n. F. für gleichgelagerte Verarbeitungszwecke ausreichende Befugnisse zur Verarbeitung von Gesundheitsdaten geschaffen hat.216 Daher ist es zu begrüßen, dass der Ge 209
Krahmer / Hoidn, in: Krahmer, Sozialdatenschutzrecht, Einführung Rn. 2. Greiner, in: Knickrehm / K reikebohm / Waltermann, Kommentar zum Sozialrecht, § 35 SGB I Rn. 1. 211 Weichert, DANA 2016, 48 (51); Krahmer, in: Krahmer / Trenk-Hinterberger, SGB I, § 35 SGB I Rn. 5. 212 BÄK, Stellungnahme zum Referentenentwurf eines 2. DSAnpUG-EU v. 16. Juli 2018, S. 3, abrufbar unter: https://www.bundesaerztekammer.de/recht/aktuelle-rechtliche-themen/ datenschutzrecht/. 213 Kühling, MedR 2019, 611 (620) der zudem darauf hinweist, dass die Schaffung eines eigenständigen Sozialdatenschutzrechts keinesfalls zwingend sei; Weichert, in: Kühling / Buchner DSGVO BDSG, Art. 9 DSGVO Rn. 170. 214 Weichert, MedR 2019, 622 (624). 215 Roßnagel / Hoidn, DuD 2018, 487 (489). 216 BÄK, Stellungnahme zum Referentenentwurf eines 2. DSAnpUG-EU v. 16. Juli 2018, S. 14, abrufbar unter: https://www.bundesaerztekammer.de/recht/aktuelle-rechtliche-themen/ datenschutzrecht/; BÄK, Stellungnahme zum Regierungsentwurf eines 2. DSAnpUG-EU v. 210
224
Kap. 3: Sozialdatenschutz unter der DSGVO
setzgeber die datenschutzrechtlichen Regelungsteile aus § 73 Abs. 1b SGB V herausgelöst hat und sich die Datenübermittlung zwischen Haus- und Facharzt nun auf Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. stützen kann.217 Auch wenn darüber hinaus insgesamt eine übersichtlichere Rechtslage zu begrüßen wäre, dürfte die teilweise geforderte Gesamtkodifizierung in einem Gesundheitsdatenschutzgesetz218 wohl wenig wahrscheinlich sein.219 Dies gilt insbesondere, da die geltende Gesetzesfassung letztlich Resultat des Versuchs des Gesetzgebers ist, die Anpassungen des bisherigen Sozialdatenschutzrechts an die DSGVO möglichst gering zu halten.220 Rechtssystematisch hat das Inkrafttreten der DSGVO dennoch für eine wesentliche Neustrukturierung gesorgt. Denn den Regelungen des Sozialdatenschutzes kommt nach dem Inkrafttreten der DSGVO nur noch die Funktion präzisierender, bereichsspezifischer Normen zu, die die Öffnungsklauseln der DSGVO ausfüllen.221 Die angepassten Regelungen im SGB sind somit als bereichsspezifische Rechtsgrundlagen für die Verarbeitung von Sozialdaten zu verstehen, die die in der DSGVO vorgesehenen mitgliedstaatlichen Regelungsspielräume „mit Leben füllen“222.
C. Einordnung der novellierten Regelungen zur Telematikinfrastruktur des Gesundheitswesens und der elektronischen Patientenakte in das datenschutzrechtliche Regelungsgefüge Mit dem am 20. Oktober 2020 in Kraft getretenen Patientendaten-Schutz-Gesetz verfolgt der Gesetzgeber das Ziel, die digitale Kommunikation zwischen den Leistungserbringern und Patienten sowie zwischen den Leistungserbringern untereinander zu verbessern und den Austausch von medizinischen Informationen so zu organisieren, dass sie ihren Mehrwert für die Versorgung entfalten können.223 Um 5. Dezember 2018, S. 4, abrufbar unter: https://www.bundesaerztekammer.de/recht/aktuellerechtliche-themen/datenschutzrecht/. 217 BT-Drs. 19/8351, S. 178; zu den Anforderungen an das verbleibende Zustimmungserfordernis s. Kap. 2 B. II. 1., (S. 162 ff.). 218 BÄK, Stellungnahme zum Gesetzesentwurf der Bundesregierung zum DSAnpUG-EU v. 21. März 2017, S. 3; BÄK, Stellungnahme zum Referentenentwurf eines 2. DSAnpUG-EU v. 16. Juli 2018, S. 3; für eine systematische Neuordnung der nationalen rechtlichen Vorgaben des Sozialdatenschutzes auch Kipker, in: Plagemann, Münchener Anwaltshandbuch Sozialrecht, § 48 Rn. 3. 219 Kühling, DuD 2020, 182 (188); nach ders., MedR 2019, 611 (621) ist eine Vereinfachung der Regelungsstruktur gegenwärtig „weder ersichtlich noch wahrscheinlich“. 220 Leopold, in: KassKomm Sozialversicherungsrecht, § 284 SGB V Rn. 9; Kühnl / Rohrer / Schneider, DuD 2018, 735 (737). 221 Bieresborn, in: Schütze, SGB X, Vorbemerkungen zu §§ 67–85a SGB X Rn. 61. 222 Greiner, in: Knickrehm / K reikebohm / Waltermann, Kommentar zum Sozialrecht, § 35 SGB I Rn. 2. 223 BT-Drs. 19/18793, S. 1.
C. Einordnung der novellierten Regelungen
225
dieses Ziel zu erreichen, hat der Gesetzgeber eine umfassende Neustrukturierung der bisherigen Regelungen zur Telematikinfrastruktur und ihrer Anwendungen in den §§ 291a bis 291h SGB V vorgenommen.224 Zwar ist die DSGVO nicht Anlass für diese gesetzgeberische Tätigkeit, sie gibt jedoch den legislativen Handlungsspielraum des nationalen Gesetzgebers vor. In diesem Sinne hat der Gesetzgeber bereits im Gesetzgebungsverfahren betont, dass die datenschutzrechtlichen Vorgaben bei diesem Gesetzesvorhaben eine „herausragende Rolle“225 spielen und bei der Weiterentwicklung des gesetzlichen Rahmens der Telematikinfrastruktur und ihrer Anwendungen angemessen abzubilden sowie mit den Zielen der digitalen Vernetzung in Einklang zu bringen sind.226 Inwiefern dies gelungen ist, soll im Anschluss an eine überblicksartige Darstellung der neuen Regelungen bewertet werden.
I. Regelungsüberblick 1. Neue Strukturierung im SGB V Die Vorschriften zur Gesundheitstelematik, die bisher in den §§ 291a bis 291h SGB V verortet waren, wurden im Zuge des PDSG novelliert.227 Dabei verbleiben die Regelungen zur elektronischen Gesundheitskarte (eGK) im 10. Kapitel des SGB V. Diese werden zwar neu strukturiert, entsprechen inhaltlich jedoch weitestgehend dem bisherigen Regelungsinhalt. Die Regelungen zur Telematikinfrastruktur wurden hingegen aus dem 10. Kapitel herausgelöst und neben weiteren neuen Vorschriften in ein neues 11. Kapitel des SGB V eingefügt, welches nun eine klare Struktur für die Bestimmungen zur Telematikinfrastruktur und ihren Anwendungen vorsieht. Von besonderer Bedeutung ist insbesondere der fünfte Abschnitt des 11. Kapitels, in dem die einzelnen Anwendungen der Telematikinfrastruktur normiert sind. Während im ersten Titel dieses Abschnitts die allgemeinen Grundsätze, wie die Voraussetzungen für den Zugriff von Leistungserbringern, festgelegt werden, wird das Nähere zu den Anwendungen der Telematikinfrastruktur in den nachfolgenden §§ 341 bis 361 SGB V geregelt. Die Neustrukturierung führt insgesamt zu einer übersichtlicheren Struktur im Vergleich zu den bisher inhaltlich überladenen und damit insgesamt schwer erschließbaren Normen.228 Trotz der verbesserten Struktur sind aber auch die neuen Vorschriften teilweise kompliziert formuliert, was insbesondere auf häufige Wiederholungen und Querverweise zurückzuführen ist.229 224
BT-Drs. 19/18793, S. 3. BT-Drs. 19/18793, S. 2. 226 BT-Drs. 19/18793, S. 2. 227 Dochow, MedR 2020, 979 (979). 228 Dochow, MedR 2020, 979 (980); Kircher, GuP 2021, 1 (5); zur Kritik an § 291a SGB V a. F. Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 291a SGB V Rn. 9. 229 Kircher, GuP 2021, 1 (5); so wird etwa das Einwilligungserfordernis nach § 339 Abs. 1 S. 1 SGB V in den §§ 352, 353, 356 Abs. 2 und 357 Abs. 2 S. 1 SGB V wiederholt. 225
226
Kap. 3: Sozialdatenschutz unter der DSGVO
2. Aufbau und Weiterentwicklung der Telematikinfrastruktur Bereits mit der Verabschiedung des GKV-Modernisierungsgesetzes230 im Jahre 2003 wurden die grundlegenden Rahmenbedingungen zum Aufbau einer Telematikinfrastruktur geschaffen.231 Mit dem sog. E-Health-Gesetz232 aus dem Jahre 2015 sollte der Ausbau der Telematikinfrastruktur und die digitale Vernetzung im Gesundheitswesen sodann weiter vorangetrieben werden.233 Eine flächendeckende Anbindung an die Telematikinfrastruktur war jedoch lange Zeit nicht möglich, da u. a. die notwendigen Komponenten noch nicht zur Verfügung standen.234 Mit dem PDSG möchte der Gesetzgeber nun die großen Chancen der Digitalisierung für die gesundheitliche Versorgung in Deutschland nutzen.235 Basis dafür ist die „Datenautobahn des Gesundheitswesens“236, die sog. Telematikinfrastruktur, die die Leistungserbringer, Kostenträger und Versicherten so miteinander vernetzen soll, dass sie sicher, schnell und sektorenübergreifend miteinander kommunizieren können.237 Die Telematikinfrastruktur wird in § 306 Abs. 1 S. 2 SGB V als interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur beschrieben, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens dient. Nach § 306 Abs. 1 S. 3 SGB V wird die Schaffung der Telematikinfrastruktur durch eine Gesellschaft für Telematik, die gematik GmbH (Gematik), wahrgenommen. § 306 Abs. 1 S. 2 Nr. 1 SGB V zufolge ist die Telematikinfrastruktur insbesondere erforderlich für die Nutzung der elektronischen Gesundheitskarte und der übrigen Anwendungen der Telematikinfrastruktur. Mit der Neufassung der Regelungen zur Telematikinfrastruktur wurde zugleich ein Paradigmenwechsel vollzogen, nach dem nun nicht mehr die elektronische Gesundheitskarte im Mittelpunkt steht, sondern vielmehr die Telematikinfrastruktur den zentralen Dreh- und Angelpunkt bildet, in deren Rahmen auch die elektronische Gesundheitskarte zum Einsatz kommt.238 Die Bedeutung der elektronischen Gesundheitskarte tritt daher nun hinter der Telematikinfrastruktur und ihren Anwendungen zurück und wird überwiegend auf die Funktion eines Zugangsschlüssels des Versicherten zur Telematikinfrastruktur reduziert.239 230
Gesetz zur Modernisierung der gesetzlichen Krankenversicherung v. 14. November 2003, BGBl. 2003 Teil I Nr. 55 v. 19. November 2003, S. 2190. 231 di Bella, RDG 2020, 166 (166). 232 Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen v. 21. Dezember 2015, BGBl. 2015 Teil I Nr. 54 v. 28. Dezember 2015, S. 2408. 233 Ausführlich dazu Paland / Holland, NZS 2016, 247 (247 ff.). 234 Dochow / Kreitz, ZfmE 2018, 147 (151). 235 BT-Drs. 19/18793, S. 1. 236 BT-Drs. 19/18793, S. 1. 237 BT-Drs. 19/18793, S. 1. 238 Kircher, GuP 2021, 1 (1); dieser Paradigmenwechsel wurde im Zuge des Digitale-Versorgungund-Pflege-Modernisierungs-Gesetzes (DVPMG) weiterverfolgt. Nach der Gesetzesbegründung soll die eGK nicht mehr als Datenspeicher für medizinische Daten genutzt werden, sondern nur noch Daten enthalten, die als Versicherungsnachweis dienen, BT-Drs. 19/27652, S. 118. 239 Kircher, GuP 2021, 1 (2).
C. Einordnung der novellierten Regelungen
227
3. Anwendungen der Telematikinfrastruktur Die einzelnen Anwendungen der Telematikinfrastruktur werden in § 334 Abs. 1 S. 2 SGB V aufgeführt und damit, anders als unter der bisherigen Rechtslage, deutlich von der elektronischen Gesundheitskarte entkoppelt.240 Zu den freiwilligen Anwendungen der Telematikinfrastruktur zählen demnach etwa die elektronische Patientenakte (ePA), elektronische Erklärungen zu Organ- und Gewebespenden, der elektronische Medikationsplan sowie die elektronischen Notfalldaten. Während diese Anwendungen bislang überwiegend technisch nicht realisierbar waren,241 ist es nun erklärtes Ziel des Gesetzgebers, den Austausch von medizinischen Informationen so zu organisieren, dass Anwendungen wie der Medikationsplan, der Notfalldatensatz und vor allem die elektronische Patientenakte wirklich genutzt werden und ihren Mehrwert für die Versorgung entfalten können.242 Bezüglich dieser freiwilligen Anwendungen wird weiterhin daran festgehalten, dass sich die Legitimation zur Datenverarbeitung aus der informierten Einwilligung des Versicherten ergeben muss.243 Die elektronische Patientenakte, das „Kernelement der digitalen medizinischen Anwendungen“244, wird durch das PDSG in mehreren Ausbaustufen weiterentwickelt. Es handelt sich dabei gemäß § 341 Abs. 1 S. 1 SGB V um eine versichertengeführte elektronische Akte, die den Versicherten auf Antrag von den Krankenkassen zur Verfügung gestellt wird. In der elektronischen Patientenakte können medizinische Daten, beispielsweise zu Befunden und Diagnosen, bereitgestellt werden, die sodann von den Leistungserbringern mit Einwilligung der Versicherten im Behandlungskontext im erforderlichen Umfang eingesehen werden können.245 Daneben kommt auch den anderen Anwendungen eine wichtige Bedeutung zu. So soll es den Leistungserbringern mithilfe des elektronischen Medikationsplans erleichtert werden, den Versicherten aktualisierte Medikationspläne zur Verfügung zu stellen, indem sie bei einem Änderungsbedarf des Medikationsplans die bereits vorhandenen Daten in ihre lokalen Verwaltungssysteme übernehmen können, ohne sie erneut eingeben zu müssen.246 In dem Medikationsplan stehen u. a. alle dem Versicherten verordneten Medikamente mit Wirkstoff, Dosierung und Einnahmegrund.247 Die elektronische Speicherung von Diagnosen erlaubt in Notfällen zudem den erleichterten Zugriff auf Blutgruppe, Vorerkrankungen oder verschriebene 240
Dochow, MedR 2020, 979 (981). Weyd, MedR 2020, 183 (190); Buchner, MedR 2016, 660 (663). 242 BT-Drs. 19/18793, S. 1. 243 S. dazu § 359 Abs. 2 und 3 SGB V für den elektronischen Medikationsplan und die elektronischen Notfalldaten, § 356 Abs. 1 SGB V für elektronische Erklärungen des Versicherten zur Organ- und Gewebespenden; ausführlich zur Einwilligung in die Verarbeitung von Daten mittels der ePA s. unter Kap. 3 C. II. 3. b) aa), (S. 239 ff.). 244 BT-Drs. 19/18973, S. 3. 245 BT-Drs. 19/18793, S. 112. 246 Freudenberg, in: Schlegel / Voelzke, JurisPK-SGB V, § 291a SGB V Rn. 38. 247 Knöppler / Bottling et al., G+S 2020, 38 (44). 241
228
Kap. 3: Sozialdatenschutz unter der DSGVO
Medikamente eines Versicherten.248 Für die gesundheitliche Versorgung sind daher vor allem diese freiwilligen Anwendungen von Bedeutung.249 Von den freiwilligen Anwendungen der Telematikinfrastruktur sind die Pflichtanwendungen abzugrenzen. Zu den Pflichtanwendungen gehören das in § 291b SGB V geregelte Versichertenstammdatenmanagement, der Auslandsversicherungsnachweis gemäß § 291a Abs. 3 Nr. 5 SGB V sowie die elektronischen Verordnungen i. S. v. § 334 Abs. 1 S. 2 Nr. 6 SGB V.250 Das Versichertenstammdatenmanagement war der erste Dienst, der noch unter der alten Rechtslage in Betrieb genommen werden konnte.251 Dieser ist nun in § 291b SGB V geregelt und verpflichtet die Leistungserbringer in § 291b Abs. 2 SGB V dazu, bei der erstmaligen Inanspruchnahme ihrer Leistungen im Quartal einen Online-Abgleich der auf der elektronischen Gesundheitskarte gespeicherten Daten mit den bei den Krankenkassen vorliegenden Daten vorzunehmen. Sobald die eGK in das E-Health-Kartenterminal eingeführt wird, beginnt ein automatisierter Datenabgleich. Der Konnektor fragt über die Telematikinfrastruktur beim Versichertenstammdatendienst der Krankenkasse an, ob die Karte gültig ist und ob die auf ihr gespeicherten Daten aktuell sind. Die durchgeführte Prüfung wird auf der Karte gespeichert und der Prüfungsnachweis in das Praxisverwaltungssystem des Arztes übernommen.252 Soweit die Anwendungen der Telematikinfrastruktur als Pflichtanwendungen der Verwaltung des Gesundheitssystems dienen, kann die in diesem Rahmen stattfindende Datenverarbeitung auf die Öffnungsklausel des Art. 9 Abs. 2 lit. h DSGVO gestützt werden, da diese die Verwaltung von Systemen und Diensten im Sozialbereich betrifft.253 4. Rechtssystematische Einordnung Anders als es der Kurztitel „Patientendaten-Schutz-Gesetz“ zunächst vermuten ließe, führt das PDSG nicht zu einer umfassenden Neuregelung des Patientendatenschutzes.254 Vielmehr bleibt es im Bereich des Gesundheitsdatenschutzrechts bei dem Regelungsgeflecht aus Vorgaben der DSGVO, den Regelungen im BDSG n. F. und in den LDSG sowie den bereichsspezifischen Datenschutzgesetzen auf Bundes- und Landesebene.255 Das PDSG selbst stellt kein „reines“ Datenschutzgesetz dar, da es neben Regelungen zum Schutz der personenbezogenen Daten von Versicherten etwa auch organisatorische Vorschriften zur Telematikinfrastruktur 248
Bieresborn, in: Schütze, SGB X, Vorbemerkungen zu §§ 67–85a SGB X Rn. 91. Dochow / Kreitz, ZfmE 2018, 147 (150, 153). 250 Dochow, MedR 2020, 979 (987). 251 Dochow, MedR 2020, 979 (982); Weyd, MedR 2020, 183 (190). 252 Scholz, in: BeckOK Sozialrecht, § 291b SGB V Rn. 2. 253 Dochow, MedR 2020, 979 (980); Dochow / Kreitz, ZfmE 2018, 147 (152); KVB, FAQs – Telematikinfrastruktur Version 1.22, Stand 27. Mai 2020, S. 13. 254 Dochow, MedR 2020, 979 (980); Kircher, GuP 2021, 1 (2). 255 Dochow, MedR 2020, 979 (980). 249
C. Einordnung der novellierten Regelungen
229
enthält.256 Soweit die im Zuge des PDSG reformierten oder neu erlassenen Vorschriften einen datenschutzrechtlichen Regelungsgehalt aufweisen, sind diese dem bereichsspezifischen Datenschutzrecht zuzuordnen.257 Die datenschutzrechtlichen Vorschriften zählen dabei jedoch nicht insgesamt zum Sozialdatenschutzrecht.258 Soweit die Verarbeitung der Daten durch die in den einzelnen Vorschriften adressierten Leistungserbringer erfolgt, handelt es sich gemäß der Definiton in § 67 Abs. 2 S. 1 SGB X nicht um die Verarbeitung von Sozialdaten, sondern vielmehr um bereichsspezifisches Datenschutzrecht jenseits des Sozialdatenschutzrechts.259 Werden die Daten hingegen durch die Krankenkassen verarbeitet, zählen diese zu den Sozialdaten i. S. d. § 67 Abs. 2 S. 1 SGB X und unterfallen mithin dem Sozialdatenschutzrecht.
II. Vereinbarkeit mit der DSGVO Die Entwürfe zum PDSG wurden während des Gesetzgebungsverfahrens kontrovers diskutiert und waren insbesondere auch datenschutzrechtlicher Kritik ausgesetzt.260 Im Fokus standen dabei vor allem das neue datenschutzrechtliche Verantwortlichkeitskonzept und die Bestimmungen des PDSG zur elektronischen Patientenakte. Vor diesem Hintergrund wird nachfolgend bewertet, inwiefern datenschutzrechtliche Bedenken berechtigt sind. 1. Neuregelung der datenschutzrechtlichen Verantwortlichkeit für die Datenverarbeitung im Rahmen der Telematikinfrastruktur Die Bestimmung des datenschutzrechtlich Verantwortlichen ist für die betroffenen Personen von hoher Relevanz, da dadurch festgelegt wird, welche Stelle für die Einhaltung der anwendbaren datenschutzrechtlichen Vorgaben in Bezug auf die 256
Dochow, MedR 2020, 979 (980); Kircher, GuP 2021, 1 (2); zu § 291a SGB V a. F. Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 291a SGB V Rn. 18. 257 Dochow, MedR 2020, 979 (980); so zu den §§ 291a ff. SGB V a. F. auch Dochow / Kreitz, ZfmE 2018, 147 (152). 258 So zu § 291a SGB V a. F. bereits Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 291a SGB V Rn. 18; Dochow / Kreitz, ZfmE 2018, 147 (152). 259 Dochow, MedR 2020, 979 (980); zu den §§ 291a ff. SGB V a. F. bereits Dochow, Telematik im Gesundheitswesen, S. 1110 ff.; Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 291a SGB V Rn. 18. 260 BfDI, Pressemitteilung „BfDI zu Folgen der Gesetzgebung des PDSG“ v. 19. August 2020, abrufbar unter: https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2020/20_BfDIzu-PDSG.html; LDA Brandenburg, Pressemitteilung „Elektronische Patientenakte – Datenschutzverstöße sind vorprogrammiert“ v. 19. August 2020, abrufbar unter: https://www.lda. brandenburg.de/lda/de/service/presseinformationen/details-presse/~19-08-2020-elektronischepatientenakte-datenschutzverstoesse-sind-vorprogrammiert; DSK, Entschließung zum Patientendaten-Schutz-Gesetz v. 1. September 2020.
230
Kap. 3: Sozialdatenschutz unter der DSGVO
Verarbeitung verantwortlich ist.261 Allerdings ergeben sich oft Schwierigkeiten bei der Festlegung des datenschutzrechtlich Verantwortlichen, wenn Datenverarbeitungsvorgänge in arbeitsteiligen Prozessen unter Einbeziehung unterschiedlicher datenverarbeitender Stellen vorgenommen werden.262 So besteht auch hinsichtlich der datenschutzrechtlichen Verantwortlichkeit für die Datenverarbeitung in der Telematikinfrastruktur seit längerer Zeit Unklarheit.263 Dies gilt insbesondere, da die Telematikinfrastruktur aus verschiedenen Bausteinen besteht, sodass insgesamt eine Vielzahl von Akteuren, wie Leistungserbringer und Leistungsträger, aber auch IT-Dienstleister, an der Datenverarbeitung beteiligt sind.264 Die Unklarheiten über die jeweilige datenschutzrechtliche Verantwortlichkeit innerhalb der einzelnen Bausteine der Telematikinfrastruktur veranlasste die DSK vor dem Inkrafttreten des PDSG dazu, sich mit Beschluss vom 12. September 2019265 zur Verteilung der datenschutzrechtlichen Verantwortlichkeit in der Telematikinfrastruktur zu äußern. Demnach sollte die Gematik datenschutzrechtlich alleinverantwortlich für die zentrale Zone der Telematikinfrastruktur sowie neben den Leistungserbringern mitverantwortlich i. S. d. Art. 26 DSGVO für die dezen trale Zone der Telematikinfrastruktur sein. Gleichzeitig stellte die DSK klar, dass der Umfang der Verantwortung der Gematik für die dezentrale Zone der Telematikinfrastruktur einer gesetzlichen Regelung bedürfe. a) Datenschutzrechtliche Verantwortlichkeiten gemäß § 307 SGB V Die seit langem umstrittene Frage der datenschutzrechtlichen Verantwortlichkeit im Rahmen der Telematikinfrastruktur wurde im Zuge des PDSG nun gesetzlich geregelt. Mit den gesetzlichen Festlegungen zur datenschutzrechtlichen Verantwortlichkeit im PDSG sieht der Gesetzgeber allerdings abweichende Regelungen zu den Einschätzungen der DSK vor. Anstatt gemeinsame Verantwortlichkeiten festzulegen, werden in § 307 SGB V getrennte Verantwortlichkeiten statuiert,266 die sich nach der Gesetzesbegründung an den für die jeweilige Stelle überblickbaren und beherrschbaren Strukturen orientieren, wie sie sich aus den einzelnen Bausteinen der Telematikinfrastruktur ergeben.267 Jeder Verantwortliche soll für den Bereich verantwortlich sein, in dem er über die konkrete Datenverarbeitung entscheidet.268 261
Moos / Rothkegel, MMR 2018, 596 (596); Dochow, MedR 2019, 636 (639). Kartheuser / Nabulsi, MMR 2018, 717 (717). 263 S. dazu etwa die Kleine Anfrage zu Datenschutz und IT-Sicherheit im Gesundheitswesen, BT-Drs. 19/15313, S. 3 Frage 8. 264 Heckmann, Ausschuss-Drs. 19(14)165(25), S. 5; vgl. Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 107. 265 DSK, Beschluss „Datenschutzrechtliche Verantwortlichkeit innerhalb der Telematik- Infrastruktur“ v. 12. September 2019. 266 Kircher, GuP 2021, 1 (4). 267 BT-Drs. 19/18793, S. 100. 268 BT-Drs. 19/18793, S. 100. 262
C. Einordnung der novellierten Regelungen
231
Um die jeweiligen Verantwortlichkeiten gesetzlich abbilden zu können, gibt der neue § 306 Abs. 2 SGB V zunächst die „Gesamtarchitektur der Telematik infrastruktur“269 vor. Diese gliedert sich in die zentrale und dezentrale Infrastruktur sowie die Anwendungsinfrastruktur. Die dezentrale Infrastruktur besteht aus Komponenten zur Authentifizierung, wie etwa den Heilberufsausweisen, sowie aus Komponenten zur sicheren Datenübermittlung in die zentrale Infrastruktur, wie den E-Health-Kartenterminals und den Konnektoren.270 Diese Komponenten kommen insbesondere in der Umgebung der Leistungserbringer zum Einsatz und ermöglichen diesen den sicheren Zugang zum geschlossenen Netz der zentralen Infrastruktur.271 Als zweiten Baustein enthält die zentrale Infrastruktur sichere Zugangsdienste, welche die Nutzer an das geschlossene Netz der Telematikinfrastruktur anbinden.272 Schließlich besteht die Anwendungsinfrastruktur als dritter Baustein der Telematikinfrastruktur aus Diensten für die konkreten Anwendungen, die den Nutzern im Sinne der digitalen Gesundheitsversorgung zur Verfügung stehen.273 Dies betrifft neben dem Versichertenstammdatenmanagement oder dem elektronischen Medikationsplan insbesondere auch die elektronische Patientenakte.274 Diese einzelnen Bausteine der Telematikinfrastruktur sind der Anknüpfungspunkt für die gesetzliche Zuweisung der datenschutzrechtlichen Verantwortlichkeit in § 307 SGB V.275 Nach § 307 Abs. 1 SGB V sind die Leistungserbringer verantwortlich, wenn sie Komponenten der dezentralen Infrastruktur zu Zwecken der Authentifizierung und zur sicheren Übermittlung personenbezogener Daten der Versicherten in die zentrale Infrastruktur nutzen.276 Dies gilt einschränkend jedoch allein für die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten und nur soweit die Leistungserbringer über die Mittel der Datenverarbeitung mitentscheiden. Diese Regelung wurde nach Kritik am Refe 269
BT-Drs. 19/18793, S. 98. BT-Drs. 19/18793, S. 99; Dochow, MedR 2020, 979 (982); die Komponenten der dezentralen Infrastruktur wurden im Zuge des DVPMG um die Komponenten zur elektronischen Signatur und zur Verschlüsselung sowie Entschlüsselung von Daten ergänzt, BT-Drs. 19/27652, S. 22. 271 BT-Drs. 19/18793, S. 99. 272 BT-Drs. 19/18793, S. 99. 273 BT-Drs. 19/18793, S. 99. 274 BT-Drs. 19/18793, S. 99. 275 BT-Drs. 19/18793, S. 100; Kircher, GuP 2021, 1 (4); Dochow, MedR 2020, 979 (983). 276 BT-Drs. 19/18793, S. 100; im Zuge des DVPMG wurde von der in Art. 35 Abs. 10 DSGVO vorgesehenen Möglichkeit Gebrauch gemacht, für bestimmte Verarbeitungsvorgänge bereits im Rahmen des Gesetzgebungsverfahrens eine Datenschutz-Folgenabschätzung durchzuführen. § 307 Abs. 1 S. 3 SGB V verweist nun auf eine Anlage zum SGB V, die eine entsprechende Datenschutz-Folgenabschätzung für die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur vorsieht. Die Leistungserbringer sind daher hinsichtlich der standardmäßig in den Komponenten der dezentralen Telematikinfrastruktur durchgeführten Verarbeitungsvorgänge von ihrer Pflicht zur Durchführung einer eigenen Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 bis 7 DSGVO befreit, BT-Drs. 19/27652, S. 116. 270
232
Kap. 3: Sozialdatenschutz unter der DSGVO
rentenentwurf im Hinblick auf eine zu weitgehende Verantwortlichkeit der Leistungserbringer in den Gesetzentwurf aufgenommen.277 Laut Gesetzesbegründung erstreckt sich die Verantwortlichkeit dabei schwerpunktmäßig auf die Sicherstellung der bestimmungsgemäßen Nutzung der Komponenten, deren ordnungsgemäßen Anschluss und die Durchführung der erforderlichen fortlaufenden SoftwareUpdates.278 Für die Datenverarbeitung im Rahmen des Betriebs des jeweiligen Zugangsdienstes in der zentralen Infrastruktur ist hingegen der jeweilige Dienste anbieter gemäß § 307 Abs. 2 SGB V verantwortlich. Daneben ist der Anbieter des gesicherten Netzes gemäß § 307 Abs. 3 SGB V für die Datenverarbeitung in diesem Netz datenschutzrechtlich verantwortlich. Dies betrifft insbesondere die Übertragung von Gesundheitsdaten der Versicherten zwischen den Leistungserbringern und Leistungsträgern. Anbieter des Zugangsdienstes und des gesicherten Netztes sind etwa Hersteller und Anbieter von Software-Programmen oder die für die Praxen tätigen IT-Dienstleister.279 Für die Datenverarbeitung zum Zweck der Nutzung der jeweiligen Anwendung ist gemäß § 307 Abs. 4 SGB V hingegen der jeweilige Anbieter von Diensten der Anwendungsinfrastruktur verantwortlich.280 So wird in § 358 Abs. 5 SGB V klargestellt, dass die Krankenkassen, die ihren Versicherten elektronische Gesundheitskarten mit der Möglichkeit zur Speicherung der elektronischen Notfalldaten und des elektronischen Medikationsplans ausgeben, die insoweit für die Datenverarbeitung Verantwortlichen i. S. d. Art. 4 Nr. 7 DSGVO sind.281 Schließlich soll die Gematik gemäß § 307 Abs. 5 S. 1 SGB V subsidiär verantwortlich sein, wenn sich aus den vorherigen Absätzen keine Verantwortlichkeit ergibt und die Gematik die Mittel der Datenverarbeitung festlegt. Zwar geht der Gesetzgeber davon aus, dass die Gematik überwiegend konzeptionelle und regulatorische Vorgaben mache, jedoch könne sie im Einzelfall auch die Mittel der Verarbeitung festlegen.282 Zudem wird eine Verpflichtung der Gematik zur Einrichtung einer koordinierenden Stelle festgelegt, die sicherstellen soll, dass den Versicherten ein einheitlicher Ansprechpartner zur Verfügung steht. Dies soll vor allem der effizienten Ausübung der Datenschutzrechte der betroffenen Personen dienen, da über diese Stelle eine Benennung des jeweils Verantwortlichen erfolgen kann.283
277 Zur Kritik am Referentenentwurf KBV, Stellungnahme zum Referentenentwurf des PDSG, S. 11 f., abrufbar unter: https://www.kbv.de/html/44415.php; BÄK, Stellungnahme zum Referentenentwurf des PDSG, S. 7, abrufbar unter: https://www.bundesaerztekammer. de/politik/stellungnahmengesetzgebung/. 278 BT-Drs. 19/18793, S. 100 f. 279 Dochow, MedR 2020, 979 (983). 280 Zur Verantwortlichkeit für die Datenverarbeitung im Rahmen der elektronischen Patientenakte im Einzelnen unter Kap. 3 C. II. 3. b) cc), (S. 247). 281 BT-Drs. 19/18793, S. 126. 282 BT-Drs. 19/18793, S. 101. 283 BT-Drs. 19/18793, S. 101.
C. Einordnung der novellierten Regelungen
233
b) Rechtliche Bewertung Im Grundsatz ergibt sich die datenschutzrechtliche Verantwortlichkeit aus Art. 4 Nr. 7 DSGVO. Danach ist derjenige datenschutzrechtlich verantwortlich, der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Daneben eröffnet Art. 4 Nr. 7 Hs. 2 DSGVO dem nationalen Gesetzgeber die Möglichkeit der gesetzlichen Zuweisung der datenschutzrechtlichen Verantwortlichkeit, wenn die Zwecke und Mittel der Verarbeitung durch das Recht der Mitgliedstaaten vorgegeben werden. Dies ist im Rahmen der Telematikinfrastruktur der Fall.284 Die in § 306 Abs. 2 SGB V gesetzlich festgelegten Vorgaben zur Struktur der Telematikinfrastruktur bilden den Rahmen für die in den weiteren Regelungen erfolgende Konkretisierung von Mitteln, die bei der Verarbeitung personenbezogener Daten zu verwenden sind.285 Damit verfolgt der Gesetzgeber das Ziel, die Mittel der Verarbeitung gesetzlich festzulegen.286 Zudem sind mit den gesetzlichen Zweckbindungsvorgaben für die Anwendungen und Dienste der Telematikinfrastruktur auch die Zwecke der Verarbeitung personenbezogener Daten gesetzlich vorgegeben.287 Daher ist es vor dem Hintergrund des komplexen datenschutzrechtlichen Zusammenspiels der verschiedenen Akteure grundsätzlich zu begrüßen, dass der Gesetzgeber die datenschutzrechtlichen Verantwortlichkeiten innerhalb der Telematikinfrastruktur in § 307 SGB V gesetzlich festgelegt hat. Insbesondere die der Gematik zugeschriebene Rolle des lediglich subsidiär Verantwortlichen gemäß § 307 Abs. 5 SGB V sorgt allerdings für Kritik. So war etwa der Bundesrat im Gesetzgebungsverfahren der Ansicht, dass der Gematik, indem sie konkrete Vorgaben für die Anwenderinfrastruktur und die Zugangsdienste erteile sowie eine organisierende und koordinierende Funktion übernehme, eine datenschutzrechtliche Verantwortlichkeit in Form der gemeinsamen Verantwortlichkeit mit den in § 307 SGB V genannten Akteuren zukomme.288 Soweit die Gematik daher die Zwecke und Mittel der Datenverarbeitung festlege, könne von der ihr zukommenden datenschutzrechtlichen Verantwortlichkeit nicht durch nationale Gesetzgebung abgewichen werden bzw. dürfe eine andere Stelle nicht als allein verantwortlich bezeichnet werden, die faktisch nicht vollumfänglich die Zwecke und Mittel der Datenverarbeitung bestimme.289 Soweit sich die Literatur bisher mit dieser Fragestellung beschäftigt hat, wird in ähnlicher Weise die Frage aufgeworfen, ob den Leistungserbringern für die Komponenten der dezentralen Infrastruktur eine Alleinverantwortlichkeit zugewiesen werden könne oder ob vielmehr, wie ursprünglich von der DSK gefordert, eine Mitverantwortlichkeit der Gematik begründet sei.290 284
Kircher, GuP 2021, 1 (4); Dochow, MedR 2020, 979 (984). BR-Drs. 164/20, S. 106; Kircher, GuP 2021, 1 (4). 286 Kircher, GuP 2021, 1 (4). 287 BT-Drs. 19/18793, S. 100; Kircher, GuP 2021, 1 (4); a. A. Dochow, MedR 2020, 979 (985) Fn. 118. 288 BR-Drs. 164/20 (B), S. 5. 289 BR-Drs. 164/20 (B), S. 6. 290 Dochow, MedR 2020, 979 (985); Prütting / Friedrich / Winter / Wolk, GesR 2020, 756 (758). 285
234
Kap. 3: Sozialdatenschutz unter der DSGVO
Unter datenschutzrechtlichen Gesichtspunkten ist in diesem Zusammenhang entscheidend, in welchem Umfang Art. 4 Nr. 7 Hs. 2 DSGVO die Mitgliedstaaten berechtigt, die Verantwortlichkeiten auf nationaler Ebene gesetzlich festzulegen. Wenn bei der Frage der Begründung einer Mitverantwortlichkeit die Maßstäbe der DSGVO und vor allem auch die Rechtsprechung des EuGH zur gemeinsamen Verantwortlichkeit maßgeblich wären, ließe sich vorliegend durchaus eine Mitverantwortlichkeit der Gematik begründen, auch wenn in den verschiedenen Bausteinen der Telematikinfrastruktur letztlich von dieser nicht mehr beherrschbare Verarbeitungsprozesse ablaufen.291 Denn der EuGH legt den Begriff der gemeinsamen Verantwortlichkeit grundsätzlich weit aus.292 Demnach kann es für die Begründung einer Mitverantwortlichkeit bereits genügen, wenn ein Beteiligter einem anderen die Datenverarbeitung ermöglicht und dabei Kriterien für die Datenverarbeitung eines anderen festlegt.293 In diesem Sinne legt die Gematik gemäß § 327 Abs. 2 S. 2 SGB V das Nähere zu den Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und nimmt nach § 311 Abs. 1 S. 1 Nr. 1 lit. b SGB V die konkrete Festlegung von Inhalt und Struktur der Datensätze vor. Zudem kann eine Mitverantwortlichkeit nach der Rechtsprechung des EuGH auch durch die Übernahme bloß hintergründiger Organisations- und Koordinationsaufgaben begründet werden.294 Dies gilt aber nur, soweit die unmittelbar datenverarbeitenden Personen oder Stellen im Eigeninteresse der koordinierenden Stelle tätig werden.295 Das trifft auf die Gematik vorliegend allerdings nicht zu, da sie kein Eigeninteresse an der Datenverarbeitung hat, sondern sie lediglich die ihr gesetzlich zugewiesenen Aufgaben erfüllt.296 Unabhängig von der Frage, ob die Steuerungsmöglichkeiten der Gematik letztlich zur Begründung einer datenschutzrechtlichen Mitverantwortlichkeit nach den durch die Rechtsprechung des EuGH festgelegten Kriterien genügen würden, ist nicht anzunehmen, dass diese Kriterien vorliegend Maßstab für die Verantwortlichkeitszuweisung im Rahmen der Telematikinfrastruktur sind. Die Öffnungsklausel des Art. 4 Nr. 7 Hs. 2 DSGVO ermöglicht es den nationalen Gesetzgeber gerade, den Verantwortlichen gesetzlich zu bestimmen, wenn die Zwecke und Mittel der Verarbeitung gesetzlich vorgegeben sind. Damit ist den Mitgliedstaaten die Möglichkeit eröffnet, die datenschutzrechtlichen Verantwortlichkeiten nach eigenen Maßstäben zuzuweisen. Zu Recht wird daher angenommen, dass diese Ver-
291
Dochow, MedR 2020, 979 (985 f.). EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (358) Rn. 28 – Wirtschaftsakademie Schleswig-Holstein; EuGH, Urt. v. 10. Juli 2018 – C-25/17, ZD 2018, 469 (472) Rn. 66 – Jehovan todistajat. 293 EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (358) Rn. 35, 36, 39 – Wirtschaftsakademie Schleswig-Holstein. 294 EuGH, Urt. v. 10. Juli 2018 – C-25/17, ZD 2018, 469 (472) Rn. 70 – Jehovan todistajat; GA Bobek, BeckRS 2018, 32835 Rn. 65; Specht-Riemenschneider / Schneider, MMR 2019, 503 (504). 295 EuGH, Urt. v. 10. Juli 2018 – C-25/17, ZD 2018, 469 (472) Rn. 68, 71 – Jehovan todistajat. 296 Heckmann, Ausschuss-Drs. 19(14)165(25), S. 5. 292
C. Einordnung der novellierten Regelungen
235
antwortlichkeitszuweisung Vorrang vor Art. 4 Nr. 7 Hs. 1 DSGVO genieße, wenn, wie vorliegend, von der Öffnungsklausel des Art. 4 Nr. 7 Hs. 2 DSGVO Gebrauch gemacht werde.297 Auf die Rechtsprechung des EuGH zur gemeinsamen Verantwortlichkeit kommt es insofern richtigerweise nicht an.298 Maßgeblich ist vielmehr, dass die mitgliedstaatlichen Regelungen zur Festlegung der datenschutzrechtlichen Verantwortlichkeit die jeweiligen tatsächlichen Funktionen und Beziehungen der verarbeitenden Stellen hinreichend widerspiegeln und den betroffenen Personen nicht die Möglichkeit genommen wird, ihre Rechte gegenüber denjenigen Stellen geltend zu machen, denen der faktisch größte Einfluss auf die Datenverarbeitung zukommt.299 Dort wo das nationale Recht unterschiedliche sachliche Zuständigkeiten vorsieht, erscheint vor allem eine Anknüpfung an die Aufgabenverteilung sinnvoll.300 Die vorliegend gewählte Ausgestaltung knüpft an die Rollenverteilung innerhalb der Telematikinfrastruktur an. Die Gematik entscheidet selbst nicht über die konkreten Zwecke und Mittel der Verarbeitung, sondern legt entsprechend ihrer gesetzlichen Aufgaben nach § 311 SGB V lediglich den Rahmen für die Struktur der Telematikinfrastruktur fest.301 Zutreffenderweise wird dieser daher eine „überwiegend strategische Rolle“302 zugeschrieben. Vor diesem Hintergrund erscheint es sachgerecht, dass die Gematik gemäß § 307 Abs. 5 S. 1 SGB V allein dann subsidiär verantwortlich ist, wenn sie im Einzelfall doch die Mittel für die Verarbeitung bestimmt. Dadurch soll sichergestellt werden, dass eine lückenlose Zuweisung der Verantwortlichkeiten innerhalb der Telematikinfrastruktur besteht.303 Die vorliegend gewählte Ausgestaltung der Verantwortlichkeit in Form der Zuweisung von Alleinverantwortlichkeiten an die Leistungserbringer sowie die Dienst- und Anwendungsanbieter erscheint vor diesem Hintergrund vorzugswürdig vor einer Festlegung von gemeinsamen Verantwortlichkeiten im Verhältnis von Leistungserbringer und Gematik oder auch im Verhältnis der Leistungserbringern zu den Anbietern von Diensten. In Bezug auf eine extensive Begründung von pluralen Verantwortlichkeiten hatte bereits der Generalanwalt beim EuGH Bobek in seinem Schlussantrag zur Rechtsache Fashion ID Bedenken vorgebracht. Dort äußerte er sich wie folgt: „Macht man jedermann verantwortlich, bedeutet dies, dass tatsächlich niemand verantwortlich ist.“304 Denn der eine Beteiligte, der für einen bestimmten Vorgang verantwortlich gemacht werden solle, könne sich leicht
297
Kircher, GuP 2021, 1 (4). Kircher, GuP 2021, 1 (4) Fn. 35. 299 Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 7 DSGVO Rn. 26; Dochow, MedR 2020, 979 (984). 300 Raschauer, in: Sydow, DSGVO, Art. 4 DSGVO Rn. 141. 301 BT-Drs. 19/18793, S. 101; Heckmann, zit. bei Gesundheitsausschuss des Bundestages, Protokoll Nr. 19/93 der 93. Sitzung v. 27. Mai 2020, S. 6; Schütz / Schmitz / Ippach, RDV 2019, 224 (231); a. A. Freye / Kipker et al., DuD 2020, 393 (396); Dochow, MedR 2020, 979 (985). 302 Heckmann, Ausschuss-Drs. 19(14)165(25), S. 6. 303 BT-Drs. 19/18793, S. 101. 304 GA Bobek, BeckRS 2018, 32835 Rn. 92. 298
236
Kap. 3: Sozialdatenschutz unter der DSGVO
hinter den anderen Mitverantwortlichen verstecken, wodurch die Wirksamkeit des Schutzes erheblich leiden würde.305 In Bezug auf die Anknüpfung an die Aufgabenverteilung erscheint es ebenfalls sachgerecht, dass den Leistungserbringern zumindest eine begrenzte datenschutzrechtliche Verantwortlichkeit zugewiesen wird. Denn auch wenn es sich bei den Komponenten der dezentralen Infrastruktur um solche einer „staatlich implementierten Infrastruktur“306 handelt, kommen diese in der Umgebung der Leistungserbringer zum Einsatz. Dabei wird die Alleinverantwortlichkeit in Bezug auf die Komponenten der dezentralen Infrastruktur den Leistungserbringern nicht etwa pauschal zugewiesen,307 sondern vielmehr eng umgrenzt. Die Verantwortlichkeit beschränkt sich ausweislich der Gesetzesbegründung im Wesentlichen auf die Sicherstellung der bestimmungsgemäßen Nutzung der Komponenten, deren ordnungsgemäßen Anschluss und die Durchführung der erforderlichen SoftwareUpdates.308 Für eine über diesen Umfang hinausgehende Datenverarbeitung greift sodann die subsidiäre Verantwortlichkeit der Gematik. Die unabhängig davon gemäß § 307 Abs. 5 S. 2 SGB V bestehende Verpflichtung der Einrichtung einer koordinierenden Stelle bei der Gematik soll daneben der effizienten Ausübung der Datenschutzrechte der betroffenen Personen dienen.309 Damit wird sichergestellt, dass die betroffenen Personen ihre Rechte gegenüber denjenigen Stellen geltend machen können, denen der faktisch größte Einfluss auf die Datenverarbeitung zukommt. Diese Konstruktion entspricht im Grundsatz der Idee der gemeinsamen Anlaufstelle nach Art. 26 Abs. 1 S. 3 DSGVO, die den betroffenen Personen ebenfalls Unklarheiten im Hinblick auf die Verteilung der Verantwortlichkeiten ersparen soll.310 Die Einführung einer solchen Stelle lässt sich auf Art. 9 Abs. 4 DSGVO stützen.311 Im Wesentlichen geht es bei der datenschutzrechtlichen Verantwortlichkeit darum, die Verantwortlichkeit derjenigen Person oder Stelle zuzuweisen, die die Einhaltung der Datenschutzbestimmungen und die Ausübung der Betroffenenrechte gewährleisten kann.312 Daher ist es schlüssig, die Zuweisung der Verantwortlichkeit anhand der für die jeweilige Stelle überblickbaren und beherrschbaren Strukturen, 305
GA Bobek, BeckRS 2018, 32835 Rn. 92; auch Kircher, GuP 2021, 1 (4) geht davon aus, dass der inflationären Annahme von gemeinsamen Verantwortlichkeiten eine „Tendenz der Verantwortlichkeitsdiffusion“ innewohne; ebenso spricht Dochow, MedR 2019, 636 (643) von einer „Disruption im Verantwortlichkeitskonzept“, ders. MedR 2020, 979 (986) spricht allerdings im vorliegenden Kontext der Zuweisung von Alleinverantwortlichkeiten auch von einer „Verantwortungszerfaserung“. 306 Dochow, MedR 2020, 979 (985). 307 So aber Dochow, MedR 2020, 979 (984). 308 BT-Drs. 19/18793, S. 100 f. 309 BT-Drs. 19/19365, S. 25. 310 Martini, in: Paal / Pauly, DSGVO BDSG, Art. 26 DSGVO Rn. 28. 311 Heckmann, Ausschuss-Drs. 19(14)165(25), S. 7. 312 Heckmann, Ausschuss-Drs. 19(14)165(25), S. 4; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 7 DSGVO Rn. 1.
C. Einordnung der novellierten Regelungen
237
wie sie sich aus den einzelnen Bausteinen der Telematikinfrastruktur ergeben, vorzunehmen. So wird sichergestellt, dass die jeweiligen tatsächlichen Funktionen und Beziehungen der verarbeitenden Stellen rechtlich abgebildet werden und den betroffenen Personen die Möglichkeit verbleibt, ihre Rechte gegenüber denjenigen Stellen geltend zu machen, denen der größte Einfluss auf die Datenverarbeitung zukommt. 2. Betroffenenrechte im Kontext der Verarbeitung von personenbezogenen Daten in der Telematikinfrastruktur Die Art. 12 ff. DSGVO räumen den von der Datenverarbeitung betroffenen Personen umfangreiche sog. Betroffenenrechte, wie etwa Auskunfts- und Berichtigungsrechte, ein.313 Gemäß § 308 SGB V werden die Rechte der betroffenen Person nach den Art. 12 bis 22 DSGVO im Kontext der Verarbeitung von personenbezogenen Daten in der Telematikinfrastruktur gegenüber den Verantwortlichen ausgeschlossen, soweit diese von dem Verantwortlichen nicht oder nur unter Umgehung von Schutzmechanismen, wie beispielsweise der Pseudonymisierung, erfüllt werden können. Eine solche Situation könne sich laut Gesetzesbegründung ergeben, wenn ein Verantwortlicher aufgrund der gesetzlichen Vorgaben und Spezifikationen der Gematik technisch nicht in der Lage sei, einem Betroffenenrecht zu entsprechen.314 Der Gesetzgeber stützt diese Beschränkung der Betroffenenrechte auf Art. 23 DSGVO.315 Dieser gewährt den Mitgliedstaaten die Möglichkeit, die Betroffenenrechte in den Art. 12 bis 22 DSGVO unter den in der Norm benannten Vorgaben durch nationale Rechtsvorschriften einzuschränken.316 In Art. 23 Abs. 1 lit. a bis j DSGVO findet sich eine abschließende Aufzählung von Rechtsgütern, zu deren Gunsten eine Beschränkung vorgenommen werden darf. So können beschränkende Vorschriften gemäß Art. 23 Abs. 1 lit. e DSGVO zum Schutz von Zielen des allgemeinen öffentlichen Interesses eines Mitgliedstaats erlassen werden. Auf diese Ausnahme stützt sich der Gesetzgeber, wenn er erläutert, dass der sichere Betrieb der Telematikinfrastruktur ein überragend wichtiges Ziel des allgemeinen öffentlichen Interesses der Bundesrepublik Deutschland darstelle, das insbesondere wichtige wirtschaftliche und finanzielle Interessen im Bereich der öffentlichen Gesundheit betreffe. Beispielhaft wird angeführt, dass die sichere Vernetzung aller Akteure etwa angesichts der demographischen Entwicklung, der Zunahme der Anzahl chronisch Kranker, des Fachkräftemangels sowie der Unterversorgung in strukturschwachen Regionen für die Sicherung des Niveaus der Gesundheitsversorgung unverzichtbar sei.317 Da Art. 23 Abs. 1 lit. e DSGVO den Bereich der öffentlichen Gesundheit selbst beispielhaft hervorhebt, erfüllt die 313
Conrad, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 560; ausführlich zu den Betroffenenrechten in der DSGVO im Kapitel 4. 314 BT-Drs. 19/18793, S. 102. 315 BT-Drs. 19/18793, S. 101. 316 Paal, in: Paal / Pauly, DSGVO BDSG, Art. 23 DSGVO Rn. 1. 317 BT-Drs. 19/18793, S. 102.
238
Kap. 3: Sozialdatenschutz unter der DSGVO
Einschränkung der Betroffenenrechte im Kontext der Verarbeitung von Daten in der Telematikinfrastruktur die Anforderungen an diesen Ausnahmetatbestand. Dies gilt insbesondere, da die Rechte der betroffenen Person durch § 308 SGB V nicht gänzlich eingeschränkt werden, sondern nur insoweit begrenzt werden, als die Befriedigung der Ansprüche nicht oder nur unter Umgehung von Schutz mechanismen möglich wäre. 3. Neufassung der Regelungen zur elektronischen Patientenakte Der elektronischen Patientenakte kommt als ein „Herzstück“318 des PDSG besondere Bedeutung unter den Anwendungen der Telematikinfrastruktur zu, an deren Einführung bereits seit 2003 gearbeitet wird.319 Mit dem PDSG wurden die Rahmenbedingungen zur flächendeckenden Einführung der ePA nun konkretisiert.320 Das Ziel der Weiterentwicklung der ePA besteht zum einen darin, die in die Behandlung der Versicherten eingebundenen Leistungserbringer im Bedarfsfall bestmöglich über Vorerkrankungen und vorliegende Befunddaten der Versicherten zu informieren. Zum anderen sollen auch die Versicherten besser über ihre Gesundheitsdaten informiert werden und ihre medizinische Behandlung dadurch besser begleiten können.321 a) Vorboten der Weiterentwicklung der elektronischen Patientenakte Bereits mit dem GKV-Modernisierungsgesetz aus dem Jahre 2003 führte der deutsche Gesetzgeber in § 291a Abs. 3 S. 1 Nr. 4 a. F. SGB V die Möglichkeit einer elektronischen Patientenakte ein, in der Befunde, Diagnosen und Behandlungsberichte für eine fall- und einrichtungsübergreifende Dokumentation gespeichert werden sollten.322 Seitdem war die ePA als eine freiwillige Online-Anwendung der eGK ausgestaltet, mangels technischer Voraussetzungen war sie allerdings nicht nutzbar.323 Vor diesem Hintergrund kündigte sich bereits in § 291h SGB V des Referentenentwurfs zum Digitale-Versorgung-Gesetz eine neue Regelung für die ePA an.324 Am 10. Juli 2019 hat das Bundeskabinett den Gesetzentwurf zum DVG 318
Stoklas, ZD-Aktuell 2020, 07308. Kircher, GuP 2021, 1 (2). 320 Purohit / Geibel et al., Das Krankenhaus 2020, 1084 (1084). 321 BT-Drs. 19/18793, S. 112. 322 Leupold / Wiesner, in: Leupold / Wiebe / Glossner, Münchener Anwaltshandbuch IT-Recht, Teil 13 Rn. 6. 323 Weyd, MedR 2020, 183 (190). 324 Referentenentwurf des Bundesministeriums für Gesundheit, „Entwurf eines Gesetzes für bessere Versorgung durch Digitalisierung und Innovation (Digitale Versorgung Gesetz – DVG)“ v. 15. Mai 2019, abrufbar unter: https://www.bundesgesundheitsministerium.de/ fileadmin/Dateien/3_Downloads/Gesetze_und_Verordnungen/GuV/D/Digitale_Versorgung_ Gesetz_-_RefEntwurf.pdf. 319
C. Einordnung der novellierten Regelungen
239
jedoch ohne die Bestimmungen zur ePA beschlossen, da datenschutzrechtliche Mindestanforderungen nicht hinreichend abgebildet werden konnten.325 Gleichzeitig kündigte das Kabinett ein zeitnah folgendes eigenes Datenschutzgesetz an. In diesem Sinne soll das PDSG nun den Austausch von medizinischen Informationen so organisieren, dass vor allem die elektronische Patientenakte auch wirklich genutzt werden und damit ihren Mehrwert für die Versorgung entfalten kann.326 b) Die neuen Regelungen zur elektronischen Patientenakte Die Regelungen zur ePA finden sich nun nicht mehr in § 291a SGB V, sondern neu geordnet in dem neuen Elften Kapitel des SGB V, konkret in den §§ 341 bis 355 SGB V. Diese Vorgaben sollen die ePA hinsichtlich ihrer Inhalte, ihrer Nutzung, der Verarbeitungsbefugnisse sowie der Zugriffskonzeption näher ausgestalten.327 Mit der ePA sollen den Versicherten gemäß § 341 Abs. 1 S. 3 SGB V auf Verlangen Informationen, etwa zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen sowie zu Behandlungsberichten, für eine einrichtungs-, fach- und sektorenübergreifende Nutzung für Zwecke der Gesundheitsversorgung barrierefrei elektronisch bereitgestellt werden. Bereits mit Inkrafttreten des TSVG am 11. Mai 2019 wurden die Krankenkassen verpflichtet, ihren Versicherten spätestens ab dem 1. Januar 2021 eine von der Gematik zugelassene elektronische Patientenakte zur Verfügung zu stellen.328 § 342 Abs. 1 SGB V wiederholt diese Vorgabe und verpflichtet die Krankenkassen in gleicher Weise, den Versicherten seit dem 1. Januar 2021 auf Antrag und mit Einwilligung eine von der Gematik zugelassene ePA zur Verfügung zu stellen. Welche Informationen im Einzelnen in der ePA gespeichert werden können, regelt § 341 Abs. 2 SGB V.329 Dazu gehören insbesondere medizinische Informationen über den Versicherten, wie Daten zu Befunden, Diagnosen und Therapiemaßnahmen, aber etwa auch das elektronische Zahn-Bonusheft oder der elektronische Mutterpass. aa) Zulässigkeit der Datenverarbeitung durch die Krankenkassen und Leistungserbringer im Rahmen der elektronischen Patientenakte Grundlegende Voraussetzung für die Datenverarbeitung im Rahmen der elektronischen Patientenakte ist die Einwilligung des Versicherten. Diesbezüglich ist ein zweistufiges Einwilligungskonzept vorgesehen. Zum einen verlangt § 344 325
Schütz / Schmitz / Ippach, RDV 2019, 224 (224); Fricke, Ärztezeitung v. 5. Juli 2019, „Spahn muss bei Patientenakte in die Warteschleife“, abrufbar unter: https://www.aerztezeitung.de/ Wirtschaft/Spahn-muss-bei-Patientenakte-in-die-Warteschleife-256249.html. 326 BT-Drs. 19/18793, S. 1. 327 BT-Drs. 19/18793, S. 2. 328 § 291a Abs. 5c S. 4 SGB V a. F. 329 Kircher, GuP 2021, 1 (5).
240
Kap. 3: Sozialdatenschutz unter der DSGVO
Abs. 1 S. 1 SGB V die Einwilligung des Versicherten in die Einrichtung der ePA und die damit verbundene Verarbeitung personenbezogener Daten, zum anderen schreiben die §§ 339 Abs. 1 und 353 Abs. 1 SGB V die Notwendigkeit einer Einwilligung für den Zugriff auf die in der ePA gespeicherten Daten durch den jeweiligen Leistungserbringer vor. Hinsichtlich der Verarbeitung der zum Zweck der Einrichtung der ePA erforderlichen personenbezogenen Daten legt § 344 Abs. 1 S. 1 SGB V fest, dass diese durch die Krankenkassen, die Anbieter der ePA sowie die Anbieter von einzelnen Diensten und Komponenten verarbeitet werden dürfen, wenn der Versicherte zuvor in die Einrichtung der ePA eingewilligt hat. Für die Krankenkassen erweitert der neue § 284 Abs. 1 S. 1 Nr. 20 SGB V entsprechend den Katalog der Zweckbestimmungen um die mit der Zurverfügungstellung einer ePA einhergehenden administrativen Aufgaben.330 Werden die Daten durch die Krankenkassen verarbeitet, handelt es sich nach der Definiton in § 67 Abs. 2 S. 1 SGB X um Sozialdaten, sodass bezüglich der Wirksamkeit der Einwilligung neben den Anforderungen der DSGVO auch die konkretisierenden Anforderungen in § 67b Abs. 2 SGB X zu berücksichtigen sind. Zudem sieht § 350 Abs. 1 SGB V einen Anspruch des Versicherten gegenüber seiner Krankenkasse vor, dass diese die bei ihr gespeicherten Daten über die in Anspruch genommenen Leistungen des Versicherten in die ePA übermittelt und dort speichert. Dementsprechend regelt der neu eingefügte § 305 Abs. 1 S. 3 SGB V, dass Krankenkassen Daten über die von den Versicherten in Anspruch genommenen Leistungen auf Verlangen und mit ausdrücklicher Einwilligung des jeweiligen Versicherten an die Anbieter elektronischer Patientenakten zur Erfüllung ihrer Pflicht nach § 350 Abs. 1 SGB V übermitteln dürfen. Gemäß § 344 Abs. 2 SGB V dürfen die Krankenkassen die zu diesem Zweck übermittelten personenbezogenen Daten auf Grund der Einwilligung des Versicherten zudem speichern. Daneben ergibt sich auch aus § 344 Abs. 1 S. 2 SGB V eine gesetzliche Befugnis der Krankenkassen, versichertenbezogene Daten über den Anbieter der ePA in diese zu übermitteln.331 Bevor die in § 352 SGB V abschließend aufgeführten Leistungserbringer, wie Ärzte und deren berufsmäßige Gehilfen, auf die in der ePA gespeicherten Daten zugreifen können, bedarf es ebenfalls einer Einwilligung des Versicherten. Diese wird gemäß § 353 SGB V durch eine eindeutige bestätigende Handlung durch technische Zugriffsfreigabe entweder über die Benutzeroberfläche eines geeigneten Endgeräts oder unter Nutzung der dezentralen Infrastruktur der Leistungserbringer, also über PIN-Eingabe am Kartenterminal, erteilt.332 Dadurch wird gewährleistet, dass ein aktives Tätigwerden des Versicherten erforderlich ist, bevor eine Verarbeitung von in der ePA gespeicherten Daten durch die Leistungserbringer
330
BT-Drs. 19/18793, S. 95. BT-Drs. 19/18793, S. 117; Kircher, GuP 2021, 1 (7). 332 Kircher, GuP 2021, 1 (7); Dochow, MedR 2020, 979 (988). 331
C. Einordnung der novellierten Regelungen
241
vorgenommen werden kann.333 Die Einwilligung wird damit ausdrücklich i. S. d. Art. 9 Abs. 2 lit. a DSGVO erteilt.334 Welche Vorgaben für die wirksame Einwilligung in die Verarbeitung von Gesundheitsdaten im Übrigen erfüllt sein müssen, ergibt sich unmittelbar aus der DSGVO, konkret aus einer Gesamtschau von Art. 9 Abs. 2 lit. a und Art. 7 Abs. 1 und 3 DSGVO.335 Auch im Falle der wirksamen Erteilung einer Einwilligung durch den Versicherten dürfen die Leistungserbringer nach § 352 SGB V nur dann auf die in der ePA gespeicherten Daten zugreifen, wenn die Verarbeitung der Daten aus medizinischer Sicht zur Versorgung des Versicherten erforderlich ist.336 Bei diesen durch die Leistungserbringer verarbeiteten Daten handelt es sich nicht um Sozialdaten i. S. d. § 67 Abs. 2 S. 1 SGB X, sodass für diese Datenverarbeitungen im Grundsatz das allgemeine Datenschutzrecht Anwendung findet, dem die Vorschriften des SGB V zur elektronischen Patientenakte jedoch als bereichsspezifische Datenschutzregelungen vorgehen.337 Zudem erhalten die Versicherten in den §§ 347 Abs. 1 SGB V und 348 Abs. 1 SGB V Ansprüche gegenüber den an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringern sowie den Leistungserbringern in den zugelassenen Krankenhäusern auf Übermittlung und Speicherung ihrer Behandlungsdaten in der elektronischen Patientenakte. Korrespondierend dazu werden die Leistungserbringer verpflichtet, die Daten in die ePA zu übermitteln und dort zu speichern. bb) Abgestuftes Berechtigungsmanagement Vor Inkrafttreten des PDSG galt, dass der Leistungserbringer alle in die ePA eingestellten Daten des Versicherten einsehen konnte, sofern dieser einmal seine Einwilligung erteilt hat.338 Der Zugriff auf die ePA konnte daher nur insgesamt eröffnet oder verweigert werden.339 Entgegen diesem „Alles-Oder-Nichts-Prinzip“340 wird schon seit langem gefordert, ein abstufbares Freigabemanagement zu implementieren, um die grundsätzliche Informationshoheit des Versicherten zu erhalten.341 Ein 333
BT-Drs. 19/18793, S. 122. Kircher, GuP 2021, 1 (7); a. A. Dochow, MedR 2020, 979 (988). 335 So in Bezug auf die Einwilligung nach § 291a Abs. 5 S. 1 SGB V a. F. Michels, in: Becker / K ingreen, SGB V, § 291a SGB V Rn. 10; Freudenberg, in: Schlegel / Voelzke, JurisPKSGB V, § 291a SGB V Rn. 48; Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 129; zu den Wirksamkeitsvoraussetzung der Einwilligung im Einzelnen s. unter Kap. 2 A. III. 1., (S. 131 ff.). 336 Kircher, GuP 2021, 1 (7); Böllhoff / Ziegenhorn et al., Rechtsgutachten Vereinbarkeit der Regelungen der elektronischen Patientenakte (ePA) nach dem Patientendatenschutzgesetz (PDSG) mit europäischem Datenschutzrecht, S. 10. 337 Kircher, GuP 2021, 1 (6). 338 Schütz / Schmitz / Ippach, RDV 2019, 224 (224). 339 Hornung, in: Anzinger / Hamacher / Katzenbeisser, Schutz genetischer, medizinischer und sozialer Daten, S. 60. 340 Schütz / Schmitz / Ippach, RDV 2019, 224 (230). 341 So schon Hornung, in: Anzinger / Hamacher / Katzenbeisser, Schutz genetischer, medizinischer und sozialer Daten, S. 60 m. w. N.; dazu auch BT-Drs. 19/15313, S. 2. 334
242
Kap. 3: Sozialdatenschutz unter der DSGVO
solches abgestuftes Berechtigungsmanagement ist nun in § 342 SGB V verankert, welches technisch bedingt in mehreren Umsetzungsstufen realisiert werden soll.342 (1) Die Umsetzungsstufen der elektronischen Patientenakte § 342 Abs. 2 SGB V sieht drei Umsetzungsstufen für die ePA vor, wobei sowohl die Inhalte als auch die Steuerungsmöglichkeiten schrittweise erweitert werden.343 (a) 1. Umsetzungsstufe seit dem 1. Januar 2021 In der ersten Umsetzungsstufe, seit dem 1. Januar 2021, muss die ePA mindestens medizinische Informationen, wie etwa Daten zu Befunden, Diagnosen und Behandlungsberichten (§ 341 Abs. 2 Nr. 1 SGB V), sowie Gesundheitsdaten, die durch den Versicherten selbst zur Verfügung gestellt werden (§ 341 Abs. 2 Nr. 6 SGB V), bereitstellen können. In Bezug auf diese Daten steht den Versicherten gemäß § 342 Abs. 2 Nr. 1 lit. c SGB V bereits eine Wahlmöglichkeit zu. Der Zugriff kann dabei auf die in der ePA gespeicherten Daten insgesamt erteilt werden, es ist aber auch möglich, diesen Zugriff ausschließlich auf die von den Leistungserbringern eingestellten Informationen oder die vom Versicherten selbst zur Verfügung gestellten Daten zu beschränken.344 Dem Versicherten wird somit eine Wahlmöglichkeit zugestanden, es ist aber nicht möglich, für einzelne Dokumente festzulegen, welcher Arzt jeweils Zugriff nehmen kann. Die Voreinstellung für die Dauer einer Zugriffberechtigung beträgt in der 1. Umsetzungsstufe standardmäßig eine Woche, sie kann aber gemäß § 342 Abs. 2 Nr. 1 lit. f SGB V auf die Dauer von einem Tag bis zu 18 Monaten festgelegt werden. (b) 2. Umsetzungsstufe seit dem 1. Januar 2022 In der zweiten Umsetzungsstufe, seit dem 1. Januar 2022, müssen in der ePA auch die Daten nach § 341 Abs. 2 Nr. 2 bis 5, 7, 8 und 11 SGB V, also etwa zum elektronischen Zahn-Bonusheft oder zum elektronischen Untersuchungsheft für Kinder, verarbeitet werden können. Zudem muss es seitdem möglich sein, die Einwilligung in den Zugriff der Leistungserbringer gemäß § 342 Abs. 2 Nr. 2 lit. b SGB V sowohl auf spezifische Dokumente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen zu beschränken und somit ein „feingranulares Berechtigungsmanagement“345 eingeführt werden. Gruppen von Dokumenten und 342
Heckmann, Ausschuss-Drs. 19(14)165(25), S. 8, 12. Kircher, GuP 2021, 1 (6). 344 BT-Drs. 19/18793, S. 114. 345 BT-Drs. 19/18793, S. 115. 343
C. Einordnung der novellierten Regelungen
243
Datensätzen können dabei beispielsweise Entlassbriefe oder OP-Berichte sein.346 Die Zugriffsberechtigung kann gemäß § 342 Abs. 2 Nr. 2 lit. f SGB V für eine frei gewählte Dauer oder auch unbefristet erteilt werden. (c) 3. Umsetzungsstufe ab dem 1. Januar 2023 In der dritten Umsetzungsstufe der ePA müssen alle in § 341 Abs. 2 SGB V aufgeführten Daten in der ePA verarbeitet werden können. Zudem müssen die Krankenkassen gewährleisten, dass die Versicherten die Möglichkeit haben, die Daten ihrer ePA zu Forschungszwecken zur Verfügung zu stellen.347 (2) Kritik an dem abgestuften Berechtigungsmanagement Dieses stufenweise Vorgehen wurde von verschiedenen Seiten auch vor dem Hintergrund datenschutzrechtlicher Bedenken kritisiert.348 So hat etwa der BfDI vorgebracht, dass die Nutzer in Bezug auf die von den Leistungserbringern in der ePA gespeicherten Daten in der ersten Umsetzungsstufe zu einem „Alles oder Nichts“ gezwungen würden. Jede Person, der die Versicherten Einsicht in diese Daten gewährten, könne alle dort enthaltenen Informationen einsehen.349 Der damit verdeutlichte Wunsch nach einer Ausgestaltung als feingranulares Berechtigungsmanagement bereits in der ersten Umsetzungsstufe der ePA ist zwar nachvollziehbar, in rechtlicher Hinsicht jedoch keinesfalls zwingend.350 Zunächst ist klarzustellen, dass der Zugriff auf die in der ePA gespeicherten Daten – entgegen der teils vertretenen Annahme, dass betroffene Personen in der ersten Umsetzungsstufe sämtliche Datensätze nur für alle Behandler oder für keinen freigeben könnten351 – bereits in der ersten Umsetzungsstufe derart ausgestaltet ist, dass die betroffenen Personen den Zugriff auf die Daten in der ePA allen Zu-
346
BT-Drs. 19/18793, S. 115. S. dazu ausführlich unter Kap. 7 G. IV., (S. 447 ff.). 348 DSK, Entschließung zum Patientendaten-Schutz-Gesetz v. 1. September 2020; BfDI, Pressemitteilung „BfDI zu Folgen der Gesetzgebung des PDSG“ v. 19. August 2020, abrufbar unter: https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2020/20_BfDI-zu-PDSG.html; BfDI, Stellungnahme zum Patientendaten-Schutz-Gesetz v. 25. Mai 2020, S. 12 ff., abrufbar unter: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Stellung nahmen/2020/StgN_Patienten-Datenschutz-Gesetz.html; BR-Drs. 164/20 (B), S. 18. 349 BfDI, Pressemitteilung „BfDI zu Folgen der Gesetzgebung des PDSG“ v. 19. August 2020. 350 So auch Kircher, GuP 2021, 1 (8 ff.). 351 LfD Niedersachsen, Pressemitteilung „Thiel warnt vor Datenschutzverstößen durch die elektronische Patientenakte“ v. 19. August 2020 abrufbar unter: https://lfd.niedersachsen. de/startseite/infothek/presseinformationen/thiel-warnt-vor-datenschutzverstossen-durch-elek tronische-patientenakte-191688.html. 347
244
Kap. 3: Sozialdatenschutz unter der DSGVO
griffsberechtigten oder auch nur einzelnen Leistungserbringern erteilen können.352 Gemäß § 339 Abs. 1 und § 353 SGB V hängt es von der Einwilligung des Versicherten ab, welcher Leistungserbringer auf die Daten der ePA zugreifen darf. Dadurch verdichtet sich die Erteilung der Zugriffsberechtigung auf bestimmte Personen.353 Nur diese ausgewählten Leistungserbringer haben Zugriff auf die in der ePA gespeicherten Daten und zwar auch in der ersten Umsetzungsstufe nicht auf sämtliche in der ePA enthaltenen Informationen, sondern nach Wahl des Versicherten gemäß § 342 Abs. 2 Nr. 1 lit. c SGB V etwa nur auf die medizinischen Daten nach § 341 Abs. 2 Nr. 1 SGB V. Die Kritik kann sich demnach nur darauf beziehen, dass in der ersten Umsetzungsstufe keine dokumentenbezogene Einwilligung erteilt werden kann. Die DSGVO verlangt für eine wirksame Einwilligung jedoch keine Granularität hinsichtlich einzelner Daten in bestimmten Dokumenten.354 Vielmehr wird die Granularität der Einwilligung allein in anderen Zusammenhängen gefordert. So wird die Granularität zum einen in Bezug auf die Freiwilligkeit der Einwilligung diskutiert.355 Nach EG 43 S. 2 Hs. 1 DSGVO gilt die Einwilligung nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist. Datenverarbeitungen dürfen demnach nicht in einer einzigen Einwilligung zusammengefasst werden, wenn diese Datenverarbeitungsvorgänge auch getrennt voneinander erbracht werden können und eine granulare Entscheidungsmöglichkeit der betroffenen Person angebracht wäre.356 Dies bedeutet jedoch nicht, dass eine Einwilligung nicht verschiedene Datenverarbeitungsvorgänge abdecken kann. Vielmehr kann es durchaus zulässig sein, auch eine einzige Einwilligung für mehrere Datenverarbeitungsvorgänge gemeinsam einzuholen, etwa wenn einzelne Verarbeitungsvorgänge inhaltlich zusammenhängen.357 Die Möglichkeit in verschiedene Datenverarbeitungsvorgänge, etwa im Rahmen unterschiedlicher Behandlungen, getrennt einzuwilligen, ist vorliegend jedoch gegeben, indem nach § 339 Abs. 1 SGB V die Möglichkeit besteht, für jede Freigabe der Daten in der ePA gegenüber den grundsätzlich Zugriffsberechtigten eine gesonderte Einwilligung zu erteilen. Jedenfalls wird mit der Vorgabe des EG 43 S. 2 Hs. 1 DSGVO keine dokumentenbezogene Einwilligung gefordert. Zum anderen wird die Granularität auch im Zusammenhang mit dem Merkmal der Bestimmtheit der Einwilligung dis-
352 Böllhoff / Ziegenhorn et al., Rechtsgutachten Vereinbarkeit der Regelungen der elektronischen Patientenakte (ePA) nach dem Patientendatenschutzgesetz (PDSG) mit europäischem Datenschutzrecht, S. 21. 353 Dochow, MedR 2020, 979 (990). 354 BAS, Stellungnahme zum Einsatz der elektronischen Patientenakte v. 19. November 2020, S. 3, abrufbar unter: https://www.bundesamtsozialesicherung.de/de/service/rundschreiben/ detail/default-1be94a3b47/; a. A. wohl Dochow, MedR 2021, 13 (17). 355 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 14. 356 Krohm / Müller-Peltzer, ZD 2017, 551 (552). 357 Krohm / Müller-Peltzer, ZD 2017, 551 (552); Piltz, K&R 2016, 557 (562).
C. Einordnung der novellierten Regelungen
245
kutiert.358 In diesem Zusammenhang bezieht sich die Granularität jedoch darauf, dass ein Verantwortlicher, der die Einwilligung für unterschiedliche Zwecke einholen möchte, für jeden Verarbeitungszweck eine gesonderte Einwilligung einholen sollte, damit die Nutzer für bestimmte Zwecke eine konkrete Einwilligung erteilen können.359 Daraus ergibt sich im Umkehrschluss, dass für Datenverarbeitungen, die zu demselben Zweck erfolgen, nur eine Einwilligung einzuholen ist.360 Der Zweck des durch die Einwilligung legitimierten Zugriffs auf die in der ePA gespeicherten Daten wird in § 352 SGB V festgelegt und betrifft in den Fällen der Nummern 1 bis 15 die Versorgung der Versicherten.361 Die einzelnen in der ePA gespeicherten Daten werden folglich ausschließlich zu diesem Zweck verarbeitet, sodass nach den Vorgaben der DSGVO keine gesonderte Einwilligung einzuholen ist. Zudem ist auch nicht anzunehmen, dass die Versicherten zu einem „Alles oder Nichts“ gezwungen würden und mithin ein Mangel an Freiwilligkeit vorliegt.362 Nach EG 42 S. 5 DSGVO ist die Einwilligung nicht als freiwillig anzusehen, wenn die betroffene Person keine echte Wahl hat und Nachteile erdulden muss, wenn sie nicht einwilligt.363 Dass dies vorliegend der Fall ist, ist nicht ersichtlich. § 341 Abs. 1 S. 2 SGB V weist ausdrücklich darauf hin, dass die Nutzung der ePA für den Versicherten freiwillig ist, sodass dieser sich etwa auch dazu entscheiden kann, auf den Einsatz der ePA vorübergehend bis zum Beginn der zweiten Umsetzungsstufe zu verzichten. In diesem Zeitraum können einzelne Befunde oder andere Dokumente auf bisherige Weise, etwa per Fax, übermittelt werden.364 Zwar kann die Behandlung mangels Zugriffs auf die in der ePA gespeicherten Daten im Einzelfall faktisch schlechter sein, § 335 Abs. 3 SGB V legt jedoch fest, dass der Versicherte, wenn er sich gegen die Nutzung der ePA entscheidet, nicht benachteiligt werden darf und entsprechend eine Behandlung nach denselben fachlichen Standards geschuldet ist.365 Dadurch wird eine echte Wahlfreiheit gewährleistet.366 Die notwendige Versor 358 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 17. 359 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 17. 360 Böllhoff / Ziegenhorn et al., Rechtsgutachten Vereinbarkeit der Regelungen der elektronischen Patientenakte (ePA) nach dem Patientendatenschutzgesetz (PDSG) mit europäischem Datenschutzrecht, S. 29. 361 Kircher, GuP 2021, 1 (7). 362 So aber BfDI, Pressemitteilung „BfDI zu Folgen der Gesetzgebung des PDSG“ v. 19. August 2020. 363 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/697, Version 1.1, S. 8. 364 Heckmann, Ausschuss-Drs. 19(14)165(25), S. 13; für das Erfordernis eines adäquaten Alternativverfahrens auch Dochow, MedR 2021, 13 (18). 365 Kircher, GuP 2021, 1 (9). 366 BAS, Stellungnahme zum Einsatz der elektronischen Patientenakte, S. 3, abrufbar unter: https://www.bundesamtsozialesicherung.de/de/service/rundschreiben/detail/default-1be94a3 b47/; auch das BSG sieht die Freiwilligkeit der ePA als gewahrt, BSG, Urteil v. 20. Januar 2021 – B 1 KR 7/20 R –, Juris Rn. 17, 22, 57.
246
Kap. 3: Sozialdatenschutz unter der DSGVO
gungsleistung ist mithin auch zu erbringen, wenn die betroffene Person nicht in die Datenverarbeitung im Rahmen der ePA einwilligt, während die die Einwilligung voraussetzende Datenverarbeitung im Rahmen der ePA lediglich ein zusätzliches Angebot an die Versicherten darstellt.367 Überdies ist der Versicherte gemäß § 342 Abs. 2 Nr. 1 lit. g und h sowie § 343 Abs. 1 S. 3 Nr. 12 SGB V vor der Erteilung der Einwilligung in die konkrete Datenverarbeitung über den Umstand zu informieren, dass es in der ersten Umsetzungsstufe der ePA nicht möglich ist, die Einwilligung auf spezifische Dokumente oder Gruppen von Dokumenten zu beschränken. Willigt der Versicherte dann in die Datenverarbeitung ein, so ist dies Ausdruck seiner grundrechtlichen Freiheit, über die eigenen Daten im Rahmen der informationellen Selbstbestimmung selbstständig zu verfügen.368 Dies gilt insbesondere, weil das Recht auf informationelle Selbstbestimmung auch das Recht umfasst, überschaubare Einschränkungen übergangsweise hinzunehmen.369 Daneben wurden datenschutzrechtliche Bedenken auch vorgebracht, da die den Leistungserbringern in der ersten Umsetzungsstufe im Rahmen einer Behandlung zugänglich gemachten Daten nicht alle als datenschutzrechtlich erforderlich qualifiziert werden könnten.370 Dies ist jedoch kein Einwand, der aus datenschutzrechtlicher Sicht Bedenken an dem Stufenkonzept zulässt. Zwar kann der Umfang der freigegebenen Daten in der ersten Umsetzungsstufe durchaus über das aus medizinischer Sicht zur Versorgung des Versicherten erforderliche Maß hinausgehen.371 Wird dem behandelnden Arzt aber während der ersten Umsetzungsstufe mittels Einwilligung seitens des Patienten eine Zugriffsmöglichkeit auf alle medizinischen Informationen gemäß § 341 Abs. 2 Nr. 1 lit. c SGB V eingeräumt, bestimmt sich die Rechtmäßigkeit der weiteren Verarbeitung durch den Leistungserbringer gemäß § 352 Nr. 1 SGB V nach der Erforderlichkeit für die Versorgung des Versicherten.372 Aus § 352 SGB V ergibt sich, dass die grundsätzlich zugriffsberechtigten Leistungserbringer auch mit Einwilligung des jeweiligen Patienten nur auf die ePA zugreifen dürfen, soweit dies für die Versorgung der Versicherten erforderlich ist.373
367
Kircher, GuP 2021, 1 (9); Böllhoff / Ziegenhorn et al., Rechtsgutachten Vereinbarkeit der Regelungen der elektronischen Patientenakte (ePA) nach dem Patientendatenschutzgesetz (PDSG) mit europäischem Datenschutzrecht, S. 27. 368 Böllhoff / Ziegenhorn et al., Rechtsgutachten Vereinbarkeit der Regelungen der elektronischen Patientenakte (ePA) nach dem Patientendatenschutzgesetz (PDSG) mit europäischem Datenschutzrecht, S. 37. 369 Dochow, MedR 2021, 13 (18); Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 18: „kein Schutz personenbezogener Daten gegen den Willen der Betroffenen“. 370 BR-Drs. 164/20 (B), S. 18. 371 Kircher, GuP 2021, 1 (9). 372 Kircher, GuP 2021, 1 (9). 373 Böllhoff / Ziegenhorn et al., Rechtsgutachten Vereinbarkeit der Regelungen der elektronischen Patientenakte (ePA) nach dem Patientendatenschutzgesetz (PDSG) mit europäischem Datenschutzrecht, S. 22.
C. Einordnung der novellierten Regelungen
247
Der Arzt ist folglich nur zur Verarbeitung derjenigen Daten berechtigt, die aus medizinischer Sicht für die jeweilige Behandlung des Patienten erforderlich sind. Auch während der ersten Umsetzungsstufe gilt somit nicht mehr das „AllesOder-Nichts-Prinzip“, da dem Versicherten bereits die Möglichkeit der Zugriffssteuerung zugestanden wird.374 Dieser kann bei der Freigabe bereits in der ersten Umsetzungsstufe inhaltlich zwischen Leistungserbringerdaten und vom Versicherten selbst zur Verfügung gestellten Daten differenzieren und die Dauer der Zugriffsberechtigung zeitlich beschränken.375 Eine solch differenzierte Freigabe der in der ePA gespeicherten Daten entspricht dem in Art. 5 Abs. 1 lit. c DSGVO verankerten Grundsatz der Datenminimierung, nach dem die Verarbeitung personenbezogener Daten auf das für den Verarbeitungszweck erforderliche Maß beschränkt sein muss.376 cc) Datenschutzrechtliche Verantwortlichkeit für die elektronische Patientenakte Bislang war die datenschutzrechtliche Verantwortlichkeit in Bezug auf die ePA gesetzlich nicht geregelt.377 Die Rechtsunsicherheit, die damit einherging, kam auch in den in der Literatur vertretenen Ansichten zum Ausdruck. So wurde es teilweise in Erwägung gezogen, die Krankenkasse und den von dieser beauftragten ePA-Anbieter als gemeinsam Verantwortliche i. S. d. Art. 26 Abs. 1 DSGVO zu qualifizieren.378 Andererseits wurde es als sehr weitgehend bewertet, für alle Beteiligten einer elektronischen Patientenakte eine Mitverantwortlichkeit anzunehmen.379 Damit der datenschutzrechtlich Verantwortliche der ePA fortan rechtssicher identifiziert werden kann, wurde die datenschutzrechtliche Verantwortlichkeit für die ePA nun in § 341 Abs. 4 i. V. m. § 307 Abs. 4 SGB V gesetzlich festgelegt. Gemäß § 341 Abs. 4 S. 1 SGB V sind die Krankenkassen, die ihren Versicherten eine elektronische Patientenakte zur Verfügung stellen, gemäß § 307 Abs. 4 SGB V für die Verarbeitung der Daten zum Zweck der Nutzung der elektronischen Patientenakte verantwortlich. Unbeschadet dieser Verantwortlichkeit können die Krankenkassen gemäß § 341 Abs. 4 S. 3 SGB V Anbieter von elektronischen Patientenakten als Auftragsverarbeiter mit der Zurverfügungstellung von elektronischen Patientenakten beauftragen. Die Anforderungen dafür ergeben sich sodann aus Art. 28 DSGVO i. V. m. § 80 SGB X.
374
BT-Drs. 19/18793, S. 114; Krüger-Brand, DÄBl. 2020, Heft 7, A300 (A300). BT-Drs. 19/18793, S. 114. 376 Schütz / Schmitz / Ippach, RDV 2019, 224 (230). 377 Freye / Kipker et al., DuD 2020, 393 (395); Schütz / Schmitz / Ippach, RDV 2019, 224 (230). 378 Schütz / Schmitz / Ippach, RDV 2019, 224 (231). 379 Dochow, MedR 2019, 636 (643). 375
248
Kap. 3: Sozialdatenschutz unter der DSGVO
III. Fazit Das erklärte Ziel des Gesetzgebers, mit dem PDSG die Regelungen des SGB V zur Telematikinfrastruktur und zu ihren Anwendungen in ihrer Struktur an die Ausgestaltung der datenschutzrechtlichen Vorgaben der DSGVO anzupassen,380 wurde mit den Vorgaben des PDSG nicht verfehlt.381 Vor allem überzeugt die Kritik der Datenschutzaufsichtsbehörden an der fehlenden dokumentenspezifischen Zugriffsfreigabe der ePA während der ersten Umsetzungsstufe in datenschutzrechtlicher Hinsicht nicht.382 Die Regelungen stehen nicht im Widerspruch zu den Vorgaben der DSGVO, da diese für eine wirksame Einwilligung keine Granularität hinsichtlich einzelner Daten in bestimmten Dokumenten verlangt. Auch die gesetzliche Festlegung der datenschutzrechtlichen Verantwortlichkeit für die Datenverarbeitung in der Telematikinfrastruktur in § 307 SGB V steht im Einklang mit den Vorgaben der DSGVO.383 Entsprechend der Rolle des jeweiligen Akteurs in den arbeitsteiligen Datenverarbeitungsprozessen der Telematikinfrastruktur sieht die Vorschrift eine konkrete datenschutzrechtliche Verantwortlichkeitszuweisung im Sinne des Art. 4 Nr. 7 Hs. 2 DSGVO vor. Dadurch werden die datenschutzrechtlichen Verantwortlichkeiten „konkret und lückenlos“384 zugewiesen. Auch im Übrigen werden die datenschutzrechtlichen Vorgaben der DSGVO bei der Weiterentwicklung der medizinischen Anwendungen angemessen abgebildet. Wie auch bisher wird mit einer differenzierten Festlegung der Zugriffsrechte und Übermittlungsbefugnisse der besonderen Schutzbedürftigkeit von Gesundheitsdaten Rechnung getragen.385 Gleichzeitig ändert sich jedoch auch wenig daran, dass die Regelungen wegen ihrer weit in die Einzelheiten gehenden Bestimmungen und teilweise redundanten Formulierungen für den Rechtsanwender schwer überschaubar bleiben.386 Nach wie vor gilt, dass die Akzeptanz des Projektes unabhängig von den datenschutzrechtlichen Vorgaben maßgeblich von der Verständlichkeit und Nachvollziehbarkeit der rechtlichen Rahmenbedingungen abhängen wird.387
380
BT-Drs. 19/18793, S. 2. So auch BSGE, 131, 169 (190) Rn. 88. 382 S. dazu ausführlich unter Kap. 3 C. II. 3. b) bb) (2), (S. 243 ff.). 383 S. dazu ausführlich unter Kap. 3 C. II. 1., (S. 229 ff.). 384 BSGE, 131, 169 (192) Rn. 89. 385 Katzenmeier, MedR 2019, 259 (263); Michels, in: Becker / K ingreen, SGB V, § 291a SGB V Rn. 1; Dochow / Kreitz, ZfmE 2018, 147 (160). 386 So zur Kritik an § 291a SGB V a. F. schon Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 291a SGB V Rn. 9; auch Freye / Kipker et al., DuD 2020, 393 (395) sprechen von einer „increasing complexity of regulation“. 387 So zu § 291a SGB V a. F. schon Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 291a SGB V Rn. 9. 381
Kapitel 4
Die Betroffenenrechte im Gesundheitswesen unter der DSGVO Ein wesentlicher Grundsatz der DSGVO ist die Transparenz der Datenverarbeitung. Dieser Transparenzgrundsatz ist in Art. 5 Abs. 1 lit. a Var. 3 DSGVO statuiert und legt das Erfordernis der Verarbeitung personenbezogener Daten in einer für die betroffene Person „nachvollziehbaren Weise“ fest.1 Der Grundsatz der Transparenz findet seine Ausprägung in den im Kapitel III der DSGVO geregelten Rechten der betroffenen Personen, insbesondere in den Informationspflichten und dem Auskunftsrecht sowie den damit korrespondierenden Pflichten des Verantwortlichen.2 Die Bedeutung der Betroffenenrechte kommt daneben auch in EG 11 DSGVO zum Ausdruck, nach dem ein unionsweiter wirksamer Schutz personenbezogener Daten die Stärkung und präzise Festlegung der Rechte der betroffenen Personen erfordert. Die Betroffenenrechte waren mithin ein Kernstück der Novellierung des europäischen Datenschutzrechts im Rahmen der DSGVO.3 Mit der DSGVO sind die bereits zuvor bekannten Betroffenenrechte daher zum Teil verschärft worden, zudem wurde der Katalog der einzelnen Betroffenenrechte insgesamt erweitert.4 So wurden etwa die einzelnen Informationspflichten gegenüber der Rechtslage vor der DSGVO verschärft, während das Recht auf Vergessenwerden und das Recht auf Datenübertragbarkeit neu eingeführt wurden. Zu den Rechten der betroffenen Personen zählen nun das Informationsrecht, das Auskunftsrecht, das Recht auf Berichtigung, Löschung und Einschränkung der Datenverarbeitung, das Recht auf Datenübertragbarkeit sowie das Widerspruchsrecht.
1 Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 5 DSGVO Rn. 11; Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 5 DSGVO Rn. 18. 2 Roßnagel, ZD 2018, 339 (340); Hermonies, in: Jandt / Steidle, Datenschutz im Internet, S. 443 Rn. 1. 3 Conrad, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 560; Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 1 Rn. 8, Teil 4 Rn. 1. 4 Buchner, Datenschutz im Gesundheitswesen, S. 78; Werry / Knoblich, MPR 2017, 1 (5).
250
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
A. Systematik der Betroffenenrechte I. Allgemeine Grundsätze und Verfahrensvorschriften Der Normierung der einzelnen Betroffenenrechte sind in Art. 12 DSGVO allgemeine Grundsätze für die Rechte der betroffenen Personen vorangestellt.5 So werden in Art. 12 Abs. 1 DSGVO zunächst die wesentlichen Anforderungen an eine transparente Information der betroffenen Person normiert. Demnach hat der Verantwortliche geeignete Maßnahmen zu treffen, um der betroffenen Person alle Mitteilungen in „präziser, transparenter, verständlicher und leicht zugänglicher Form“ sowie in einer „klaren und einfachen Sprache“ zu übermitteln. Dazu müssen die Informationen vom Verantwortlichen griffig formuliert und auf eine einfache Formel gebracht werden, sodass sie für einen typischen Angehörigen des Zielpublikums verständlich sind.6 Ferner werden Verfahrensvorschriften für die Ausübung der Betroffenenrechte, wie Fristen, eine allgemeine Unterstützungspflicht sowie die Unentgeltlichkeit der Information vor die Klammer gezogen. So muss der Verantwortliche gemäß Art. 12 Abs. 3 S. 1 DSGVO auf Anträge der betroffenen Person grundsätzlich unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags antworten. Es besteht jedoch die Möglichkeit der Fristverlängerung um weitere zwei Monate bei komplexeren Fällen und einer hohen Anzahl von Anträgen.7 Die Fristverlängerung sowie die Gründe für die Verzögerung müssen der betroffenen Person ihrerseits innerhalb einer Monatsfrist mitgeteilt werden.8 Zudem müssen die Informationen gemäß den Art. 13 und 14 DSGVO sowie die Mitteilungen und Maßnahmen gemäß den Art. 15 bis 22 DSGVO nach Art. 12 Abs. 5 S. 1 DSGVO unentgeltlich zur Verfügung gestellt werden. Ausnahmen davon sind nur im Fall von offenkundig unbegründeten oder exzessiven Anträgen vorgesehen. In diesem Fall trägt der Verantwortliche gemäß Art. 12 Abs. 5 S. 3 DSGVO die Beweislast für das Vorliegen des offenkundig unbegründeten oder exzessiven Charakters des Antrags.
5
Weichert, DANA 2016, 48 (51); Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 12 DSGVO Rn. 2; Knyrim, in: Ehmann / Selmayr, DSGVO, Art. 13 DSGVO Rn. 9; Franck, in: Gola, DSGVO, Art. 12 DSGVO Rn. 8. 6 Art. 29-Datenschutzgruppe, Leitlinien für Transparenz gemäß der Verordnung 2016/679, WP 260 rev. 01 v. 11. April 2018, S. 7 f. 7 Werry / Knoblich, MPR 2017, 1 (5). 8 Reich, VuR 2018, 293 (296).
B. Informationspflichten, Art. 13 und 14 DSGVO
251
II. Einschränkungsmöglichkeiten Die Betroffenenrechte gelten nach der DSGVO unmittelbar, sodass es einer eigenständigen Normierung im nationalen Recht nicht mehr bedarf bzw. eine solche sogar unzulässig wäre.9 Teilweise werden diese Rechte unmittelbar durch die DSGVO selbst eingeschränkt, daneben gewährt der europäische Gesetzgeber den Mitgliedstaaten über die Öffnungsklausel des Art. 23 DSGVO die Möglichkeit, die Reichweite der Betroffenenrechte „im Wege von Gesetzgebungsmaßnahmen“ einzuschränken oder bereits bestehende Beschränkungen beizubehalten.10 Dies gilt unter der Prämisse, dass die Beschränkungen den Wesensgehalt der Grundrechte und Grundfreiheiten achten sowie notwendig und verhältnismäßig sind, um die in Art. 23 Abs. 1 lit. a bis j DSGVO aufgeführten Schutzziele zu wahren. Zudem muss jede gesetzgeberische Beschränkung gemäß Art. 23 Abs. 2 DSGVO spezi fische Mindestanforderungen wahren. Durch die gewählte Formulierung, dass jede Gesetzgebungsmaßnahme i. S. d. Art. 23 Abs. 1 DSGVO „insbesondere gegebenenfalls […] zumindest“ spezifische Vorschriften enthalten muss, kommt zum Ausdruck, dass die in Art. 23 Abs. 2 DSGVO aufgeführten Fälle nicht abschließend sind und der jeweiligen Regelungssituation angepasst werden können.11 Art. 23 DSGVO bestimmt somit, in welchen Fällen Beschränkungen der Betroffenenrechte der DSGVO durch die Mitgliedstaaten möglich sind und welche Anforderungen im Einzelnen zu erfüllen sind.12 Die Regelungen im nationalen Recht stellen folglich punktuelle Beschränkungen der Betroffenenrechte der DSGVO dar und ergänzen damit die in der DSGVO selbst vorgesehenen Einschränkungen der Rechte der betroffenen Personen.13 Insbesondere zahlreiche für das Gesundheitswesen relevante Datenschutzgesetze auf unterschiedlichen Ebenen sehen Einschränkungen der Betroffenenrechte vor, sodass sich bei der Datenverarbeitung im Gesundheitswesen die Frage nach der konkreten Reichweite der Betroffenenrechte stellt.
B. Informationspflichten, Art. 13 und 14 DSGVO Die Grundsätze einer fairen und transparenten Verarbeitung personenbezogener Daten erfordern es, dass die betroffene Person über die Existenz der Verarbeitung sowie die Verarbeitungszwecke unterrichtet wird.14 Die Informationspflichten in 9
Worms, in: BeckOK Datenschutzrecht, Art. 16 DSGVO Rn. 13; Freund / Shagdar, SGb 2018, 267 (272); Greve, NVwZ 2017, 737 (739). 10 Paal, in: Paal / Pauly, DSGVO BDSG, Art. 23 DSGVO Rn. 1; Bieresborn, NZS 2017, 887 (889). 11 Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 32; Paal, in: Paal / Pauly, DSGVO BDSG, Art. 23 DSGVO Rn. 44; Bieresborn, NZS 2018, 10 (11). 12 Bertermann, in: Ehmann / Selmayr, DSGVO, Art. 23 DSGVO Rn. 1. 13 Greve, NVwZ 2017, 737 (739); Worms, in: BeckOK Datenschutzrecht, Art. 16 DSGVO Rn. 13. 14 EG 60 S. 1 DSGVO; Paal / Hennemann, in: Paal / Pauly, DSGVO BDSG, Art. 13 DSGVO Rn. 4.
252
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
Art. 13 und 14 DSGVO sind somit Ausdruck einer fairen und transparenten Verarbeitung personenbezogener Daten.15 Zudem bilden diese die Basis für die Ausübung der Rechte der betroffenen Person und sind daher von zentraler Bedeutung für die Betroffenenrechte des dritten Kapitels der DSGVO.16 Denn Voraussetzung für die Ausübung dieser Rechte ist zunächst, dass die betroffene Person von der Datenverarbeitung und deren Reichweite erfährt.17 Diese Möglichkeit erhält sie durch die mit Hilfe von Art. 13 und 14 DSGVO gewonnenen Informationen, die unabhängig von einem Antrag der betroffenen Person vom Verantwortlichen zur Verfügung zu stellen sind.18 Bei den Informationspflichten ist zwischen zwei Konstellationen zu differenzieren: Soweit die personenbezogenen Daten direkt bei der betroffenen Person erhoben werden, sog. Direkterhebung, gelten die Anforderungen des Art. 13 DSGVO. Werden die Daten hingegen bei einer dritten Person, beispielsweise einem ärztlichen Kollegen, erhoben, so sind die Vorgaben des Art. 14 DSGVO zu beachten.
I. Modalitäten der Informationspflichten 1. Die Informationspflichten nach Art. 13 DSGVO In der Regel werden die Daten im Behandlungskontext direkt bei der betroffenen Person erhoben, etwa wenn ein Patient entsprechende Angaben in einem Anamnesebogen bekannt gibt, sodass diesbezüglich die Voraussetzungen nach Art. 13 DSGVO zu erfüllen sind.19 Da die dort normierten Anforderungen zum Teil über die bisherigen Vorgaben im BDSG a. F. hinausgehen,20 sind auch die Informationen umfangreicher geworden, die dem Patienten mitgeteilt werden müssen.21 a) Inhalt der Informationspflichten Art. 13 Abs. 1 und 2 DSGVO enthalten die Informationen, über die die betroffene Person in Kenntnis zu setzen ist. Gemäß Art. 13 Abs. 1 DSGVO ist die be 15
Paal / Hennemann, in: Paal / Pauly, DSGVO BDSG, Art. 13 DSGVO Rn. 4. Freund / Shagdar, SGb 2018, 267 (272). 17 Knyrim, in: Ehmann / Selmayr, DSGVO, Art. 13 DSGVO Rn. 1; Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 4 Rn. 4; Voigt / von dem Bussche, EU-Datenschutz-Grundverordnung, S. 196. 18 Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 13 DSGVO Rn. 1; Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 13 DSGVO Rn. 1. 19 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 106. 20 Kazemi, in: FS Dahm, 283 (293); Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 13 DSGVO Rn. 4. 21 Buchner / Schwichtenberg, GuP 2016, 218 (222); Dochow, GesR 2016, 401 (408). 16
B. Informationspflichten, Art. 13 und 14 DSGVO
253
troffene Person über den Namen und die Kontaktdaten des Verantwortlichen, den Zweck und die Rechtsgrundlage der Verarbeitung sowie über die Empfänger der personenbezogenen Daten zu informieren. Neu ist dabei insbesondere, dass auch die Rechtsgrundlage für die Verarbeitung zu benennen ist.22 Fragen wirft vor allem die Information über die Empfänger personenbezogener Daten nach Art. 13 Abs. 1 lit. e DSGVO auf. Nach der Definition des Empfängers in Art. 4 Nr. 9 DSGVO ist ein Empfänger jede Person oder Stelle, der personenbezogene Daten offengelegt werden. Im Gesetzgebungsprozess wurden Bedenken geäußert, ob die Formulierung des Art. 13 Abs. 1 lit. e DSGVO zu vage sei und daher auch Mitarbeiter des Verantwortlichen von dem Begriff erfasst seien.23 Da richtigerweise aber eine gewisse Eigenständigkeit zu verlangen ist, um von einem Empfänger sprechen zu können,24 sind interne Übermittlungen innerhalb des Verantwortlichen nicht mitzuteilen.25 Unklarheit besteht daneben insbesondere darüber, ob auch Auftragsverarbeiter als Empfänger einzuordnen sind und mithin eine Pflicht des Verantwortlichen besteht, über die Datenweitergabe an Auftragsverarbeiter zu informieren. Art. 4 Nr. 10 DSGVO legt lediglich fest, dass der Auftragsverarbeiter nicht „Dritter“ ist. Art. 4 Nr. 9 DSGVO unterscheidet für den Begriff des Empfängers jedoch nicht danach, „ob es sich […] um einen Dritten handelt oder nicht“. Die Einordnung als Empfänger ist daher unabhängig davon vorzunehmen, ob es sich bei der Person oder Stelle um einen Dritten handelt. Dementsprechend wird der Auftragsverarbeiter überwiegend als Empfänger eingeordnet.26 Dass es bei der Weitergabe von Daten an diesen gleichwohl keiner gesonderten Rechtsgrundlage bedarf, wurde bereits festgestellt. Dies stützt sich richtigerweise darauf, dass die Auftragsverarbeitung für den Verantwortlichen einen einheitlichen Datenverarbeitungsvorgang i. S. d. Art. 4 Nr. 2 DSGVO darstellt.27 Neben dem Wortlaut des Art. 4 Nr. 9 DSGVO spricht auch der Sinn und Zweck der Informationspflichten dafür, dass eine Pflicht besteht, die betroffene Person über die Weitergabe ihrer Daten an Auftragsverarbeiter zu informieren. Denn der Zweck der Informationspflichten, der darin besteht, die Verarbeitung personenbezogener Daten möglichst transparent zu gestalten, kann nur erreicht werden, wenn die betroffene Person darüber 22
Reich, VuR 2018, 293 (294); Kazemi, in: FS Dahm, 283 (293). Rat der Europäischen Union, Vermerk 7978/1/15 REV 1 v. 27. April 2015, S. 23 Fn. 77. 24 Ernst, in: Paal / Pauly, DSGVO BDSG, Art. 4 DSGVO Rn. 57; Arning / Rothkegel, in: Taeger / Gabel, DSGVO BDSG, Art. 4 DSGVO Rn. 238; s. dazu bereits unter Kap. 2 B. I. 1., (S. 158 ff.). 25 Schmidt-Wudy, in: BeckOK Datenschutzrecht, Art. 14 DSGVO Rn. 51; Knyrim, in: Ehmann / Selmayr, DSGVO, Art. 13 DSGVO Rn. 32. 26 DSK, Kurzpapier Nr. 10 „Informationspflichten bei Dritt- und Direkterhebung“, Stand 16. 01. 2018, S. 2; Knyrim, in: Ehmann / Selmayr, DSGVO, Art. 13 DSGVO Rn. 33; Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 13 DSGVO Rn. 28; Paal, in: Paal / Pauly, DSGVO BDSG, Art. 13 DSGVO Rn. 18; Arning / Rothkegel, in: Taeger / Gabel, DSGVO BDSG, Art. 4 DSGVO Rn. 235; i. E. auch Schmidt-Wudy, in: BeckOK Datenschutzrecht, Art. 14 DSGVO Rn. 51. 27 S. dazu Kap. 2 B. III. 1., (S. 168 ff.); Spoerr, in: BeckOK Datenschutzrecht, Art. 28 DSGVO Rn. 32 m. w. N. 23
254
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
in Kenntnis gesetzt wird, dass ihre Daten außer durch den Verantwortlichen auch durch weitere Personen verarbeitet werden. Die Pflicht des Art. 13 Abs. 1 lit. e DSGVO über die Empfänger personenbezogener Daten zu informieren umfasst daher auch die Pflicht, über die Datenweitergabe an einen Auftragsverarbeiter zu informieren.28 Als Empfänger kommen im Gesundheitswesen daneben insbesondere andere Ärzte und Leistungsträger sowie Kassenärztliche Vereinigungen und privatärztliche Verrechnungsstellen in Betracht.29 Ferner muss der Verantwortliche gemäß Art. 13 Abs. 2 DSGVO weitere Informationen, etwa über die Dauer der Verarbeitung der personenbezogenen Daten sowie über das Bestehen von Auskunfts-, Berichtigungs-, Löschungs- und Widerrufsrechten, zur Verfügung stellen. b) Umfang der Informationserteilung Hinsichtlich des Umfangs der Informationserteilung besteht zunächst Unklarheit darüber, ob die Informationen des Art. 13 Abs. 2 DSGVO stets oder nur situationsbedingt mitzuteilen sind.30 Liest man die Formulierung des Art. 13 Abs. 2 DSGVO dahingehend, dass die Informationen nur zur Verfügung zu stellen sind, wenn diese notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten, wäre nur eine situationsabhängige Mitteilung geboten.31 Überwiegend wird hingegen angenommen, dass die Formulierung des Wortlauts der Norm als Relativsatz eine solche Lesart nicht stütze, sodass stets sämtliche in Art. 13 Abs. 2 DSGVO genannte Informationen bereitzustellen seien.32 Damit verbleibt aber die Frage, warum der europäische Gesetzgeber sich für eine Verteilung der mitzuteilenden Informationen auf zwei Absätze entschieden hat.33 Diese Aufteilung lässt sich vor dem Hintergrund der Formulierung im Ratsentwurf erklären, nach dem bestimmte Basisinformationen stets mitzuteilen sein sollten, während weitergehende Informationen nur mitgeteilt werden sollten, soweit sie erforderlich sind.34 Dieser mehr risikobasierte Ansatz findet sich in der verabschiedeten Fassung der DSGVO je 28
EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 18. 29 Schröder, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 154. 30 Knyrim, in: Ehmann / Selmayr, DSGVO, Art. 13 DSGVO Rn. 29. 31 Knyrim, in: Ehmann / Selmayr, DSGVO, Art. 13 DSGVO Rn. 29; Schantz, NJW 2016, 1841 (1845); Kamlah, in: Plath, DSGVO BDSG, Art. 13 DSGVO Rn. 16 f.; Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 4 Rn. 5. 32 Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 13 DSGVO Rn. 20 auch unter Verweis auf die englischsprachige und französischsprachige Fassung der DSGVO in Fn. 20; Art. 29-Datenschutzgruppe, Leitlinien für Transparenz gemäß der Verordnung 2016/679, WP 260 rev. 01 v. 11. April 2018, S. 16; Nink, in: Spindler / Schuster, Recht der elektronischen Medien, Art. 13 DSGVO Rn. 6 f.; Schmidt-Wudy, in: BeckOK Datenschutzrecht, Art. 13 DSGVO Rn. 37, 58 f.; Franck, in: Gola, DSGVO, Art. 13 DSGVO Rn. 6. 33 Paal / Hennemann, in: Paal / Pauly, DSGVO BDSG, Art. 13 DSGVO Rn. 22. 34 Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 13 DSGVO Rn. 20; Franck, in: Gola, DSGVO, Art. 13 DSGVO Rn. 6; Veil, ZD 2015, 347 (349).
B. Informationspflichten, Art. 13 und 14 DSGVO
255
doch nicht wieder.35 Daher sind die Informationen des Art. 13 Abs. 2 DSGVO der betroffenen Person stets zur Verfügung zu stellen.36 Daneben wird teilweise angenommen, dass in Einzelfällen die Pflicht des Verantwortlichen bestehe, zusätzlich weitere Informationen, wie etwa die Folgen einer Verarbeitung für die betroffene Person, mitzuteilen.37 Dies wird insbesondere aus EG 60 S. 2 DSGVO hergeleitet, nach dem der betroffenen Person alle weiteren Informationen zur Verfügung zu stellen sind, „die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen“ notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Dieser Annahme lassen sich jedoch zwei gewichtige Argumente entgegensetzen. Zum einen kann aus den Erwägungsgründen dogmatisch keine Pflicht hergeleitet werden, da diese in erster Linie der Auslegung des Normtextes der DSGVO dienen, zum anderen war eine derartige Pflicht noch im Kommissions- und Ratsentwurf vorgesehen, diese findet sich im Normtext der finalen Fassung der DSGVO aber nicht wieder.38 Die in Art. 13 Abs. 1 und 2 DSGVO aufgeführten Informationen sind somit abschließend. c) Zeitpunkt und Form der Informationserteilung Nach Art. 13 Abs. 1 und 2 DSGVO sind die Informationen zum Zeitpunkt der Erhebung der Daten mitzuteilen bzw. zur Verfügung zu stellen. Dabei handelt es sich um den spätestens Zeitpunkt der Informationserteilung, die betroffenen Personen sind also vor oder spätestens gleichzeitig mit der Datenerhebung zu informieren.39 Fraglich ist darüber hinaus, in welcher Form die Informationspflichten zu erfüllen sind. Diesbezüglich werden seitens der Verbände unterschiedliche Anforderungen aufgestellt. So geht die Kassenärztliche Bundesvereinigung davon aus, dass es genüge, einen Aushang in der Praxis vorzunehmen.40 Die Kassenärztliche Ver 35
Franck, in: Gola, DSGVO, Art. 13 DSGVO Rn. 6. Franck, in: Gola, DSGVO, Art. 13 DSGVO Rn. 6; Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 13 DSGVO Rn. 20; i. E. so auch Paal / Hennemann, in: Paal / Pauly, DSGVO BDSG, Art. 13 DSGVO Rn. 23; Eßer, in: Auernhammer, DSGVO BDSG, Art. 13 DSGVO Rn. 34. 37 Franck, in: Gola, DSGVO, Art. 13 DSGVO Rn. 30 ff.; Art. 29-Datenschutzgruppe, Leitlinien für Transparenz gemäß der Verordnung 2016/679, WP 260 rev. 01 v. 11. April 2018, S. 8. 38 S. Art. 14 Abs. 1 lit. h Kommissions- und Ratsentwurf; Schmidt-Wudy, in: BeckOK Datenschutzrecht, Art. 14 DSGVO Rn. 38; Paal / Hennemann, in: Paal / Pauly, DSGVO BDSG, Art. 13 DSGVO Rn. 23a. 39 Schmidt-Wudy, in: BeckOK Datenschutzrecht, Art. 13 DSGVO Rn. 79; Paal, in: Paal / Pauly, DSGVO BDSG, Art. 13 DSGVO Rn. 12; Ingold, in: Sydow, DSGVO, Art. 13 DSGVO Rn. 12; Leopold, NZS 2018, 357 (359); a. A. Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 13 DSGVO Rn. 56 der entgegen dem Wortlaut der Norm davon ausgeht, dass die Informationen stets vor der Erhebung der Daten erfüllt werden müssen. 40 KBV, Praxisinfo: Datenschutz-Grundverordnung – Was Praxen jetzt tun müssen, Stand 27. November 2019, S. 4, abrufbar unter: https://www.kbv.de/html/praxisinformationen.php; so auch BayLDA, 8. Tätigkeitsbericht 2017/2018, März 2019, S. 45; HmbBfDI, 27. Tätigkeitsbericht 2018, S. 118. 36
256
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
einigung Nordrhein empfiehlt darüber hinaus für Patienten ein Schriftstück vorzubereiten, in dem die Informationen vermittelt werden, sowie die anschließende Dokumentation der Überreichung des Schriftstücks.41 Die Bundesärztekammer und die Kassenärztliche Bundesvereinigung differenzieren in einer gemeinsamen Empfehlung hingegen danach, ob die Informationen dem Patienten gemäß Art. 13 bzw. 14 DSGVO „mitgeteilt“ oder lediglich „zur Verfügung gestellt“ werden müssen. Im Fall der Mitteilung könne die Information mündlich oder durch Aushändigung eines standardisierten Formulars erfolgen, während sie im Fall der Zurverfügungstellung etwa durch einen deutlich sichtbaren Aushang in der Praxis erfüllt werden könne.42 Gegen eine derartige Differenzierung spricht bereits, dass den in der amtlichen deutschen Übersetzung verwendeten Begriffen „Mitteilen“ im jeweiligen Absatz 1 und „zur Verfügung stellen“ im jeweiligen Absatz 2 der Vorschriften keine rechtliche Bedeutung zuzumessen ist, da sowohl die englische als auch die französische Sprachfassung keine begriffliche Differenzierung aufweisen.43 Insofern wird sogar von einem Übersetzungsfehler in der deutschen Sprachfassung gesprochen.44 Im Übrigen sieht Art. 13 DSGVO keine speziellen Formerfordernisse vor, sodass diesbezüglich ein Rückgriff auf die allgemeinen Vorgaben aus Art. 12 DSGVO erforderlich ist.45 Art. 12 Abs. 1 S. 2 DSGVO legt fest, dass die Übermittlung der Informationen „schriftlich oder in anderer Form“ erfolgen kann. Daneben müssen die Informationen für die betroffene Person leicht zugänglich sein. Dies setzt voraus, dass die betroffene Person die Informationen mit den ihr zur Verfügung stehenden Mitteln erreichen kann.46 Ansonsten überlässt Art. 12 Abs. 1 DSGVO die Form dem Verantwortlichen.47 Eine Pflicht zur Ausfüllung oder Unterzeichnung eines Dokuments besteht demnach jedenfalls nicht. Da der Verantwortliche die Erfüllung der Informationspflicht jedoch gemäß Art. 5 Abs. 2 DSGVO nachweisen können muss, ist eine schriftliche Dokumentation zu empfehlen, aus der sich ergibt, in welcher Weise der Verantwortliche für die Einhaltung der Rechenschaftspflicht Sorge trägt.48 Dazu ist es ausreichend, wenn dem Patienten ein Dokument mit den erforderlichen Informationen übergeben wird und dies im Praxissystem 41
KV Nordrhein, Informationsblätter zum neuen Datenschutzrecht in der ambulanten Versorgung v. 23. November 2018, S. 32. 42 BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A9). 43 Franck, in: Gola DSGVO, Art. 13 DSGVO Rn. 5; Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 13 DSGVO Rn. 59; Knyrim, in: Ehmann / Selmayr, DSGVO, Art. 13 DSGVO Rn. 21; Paal / Hennemann, in: Paal / Pauly, DSGVO BDSG, Art. 13 DSGVO Rn. 21. 44 Paal / Hennemann, in: Paal / Pauly, DSGVO BDSG, Art. 13 DSGVO Rn. 21. 45 Schmidt-Wudy, in: BeckOK Datenschutzrecht, Art. 13 DSGVO Rn. 85. 46 Paal / Hennemann, in: Paal / Pauly, DSGVO BDSG, Art. 13 DSGVO Rn. 32. 47 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1157. 48 Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 5 DSGVO Rn. 80; Schröder, MedR 2019, 631 (635); DSK, Beschluss „Ablehnung der Behandlung durch Ärztinnen und Ärzte“ v. 5. September 2018.
B. Informationspflichten, Art. 13 und 14 DSGVO
257
vermerkt wird oder alternativ der konkrete Verfahrensablauf dokumentiert wird, aus dem hervorgeht, wie der Patient die Informationen im Regelfall erhält.49 Die Einzelheiten der Information dürfen darüber hinaus auch auf der Praxishomepage erläutert werden, soweit die Informationen dort leicht auffindbar sind.50 2. Abweichende Angaben nach Art. 14 DSGVO Die Informationspflichten nach Art. 14 DSGVO werden relevant, wenn die personenbezogenen Daten nicht direkt bei der betroffenen Person erhoben wurden. Dies kann etwa der Fall sein, wenn ein Arzt von seinem Patienten innerhalb des Arzt-Patienten-Verhältnisses personenbezogene Daten eines Dritten, etwa eines Familienangehörigen, erhält. Die in Art. 14 DSGVO statuierten Informationspflichten unterscheiden sich von der Pflicht nach Art. 13 DSGVO insofern, als der Verantwortliche der betroffenen Person auch die Kategorien der verarbeiteten Daten, wie etwa Gesundheitsdaten, sowie die Quelle, aus der die personenbezogenen Daten stammen, mitteilen muss. Daneben enthält Art. 14 Abs. 3 DSGVO abweichende Vorgaben zum Zeitpunkt der Informationserteilung. Nach Art. 14 Abs. 3 lit. a DSGVO müssen die Informationen grundsätzlich innerhalb einer angemessenen Frist nach Erlangung der Daten, spätestens jedoch innerhalb eines Monats, erteilt werden. Für spezielle Verarbeitungssituationen enthalten Art. 14 Abs. 3 lit. b und c DSGVO darüber hinaus Regelungen, die den spätestens zulässigen Informationszeitpunkt weiter konkretisieren.51 So sind Informationen, die zum Zweck der Kommunikation mit der betroffenen Person gespeichert werden sollen, gemäß Art. 14 Abs. 3 lit. b DSGVO spätestens zum Zeitpunkt der ersten Mitteilung zur Verfügung zu stellen. Im Falle einer Offenlegung gegenüber Dritten ist die betroffene Person gemäß Art. 14 Abs. 3 lit. c DSGVO hingegen spätestens zum Zeitpunkt der ersten Offenlegung zu informieren.52
49
DSK, Beschluss „Ablehnung der Behandlung durch Ärztinnen und Ärzte“ v. 5. September 2018; ULD SH, Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbstständige Heilberufler beachten, S. 4; ULD SH, Tätigkeitsbericht 2019, S. 77. 50 ULD SH, Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbstständige Heilberufler beachten, S. 4; BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A9). 51 Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 14 DSGVO Rn. 27, 33, 37; Paal / Hennemann, in: Paal / Pauly, DSGVO BDSG, Art. 14 DSGVO Rn. 33. 52 Reich, VuR 2018, 293 (294).
258
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
II. Unionsrechtliche Ausnahmen von den Informationspflichten Gemäß Art. 13 Abs. 4 sowie Art. 14 Abs. 5 lit. a DSGVO bestehen die Informationspflichten nicht, soweit die betroffene Person bereits über die in der jeweiligen Vorschrift vorgeschriebenen Informationen verfügt. Dies dürfte insbesondere der Fall sein, wenn die betroffene Person bei einer der Ersterhebung nachfolgenden weiteren Datenerhebung bereits über die unveränderten Informationen verfügt.53 Daneben sieht Art. 14 Abs. 5 DSGVO weitere Ausnahmen von der Informationspflicht nach Art. 14 DSGVO vor. Für die Datenverarbeitung im Gesundheitswesen ist insbesondere die Ausnahme in Art. 14 Abs. 5 lit. d DSGVO von Bedeutung. Danach ist der Berufsgeheimnisträger nicht verpflichtet, die betroffenen Personen über die Datenverarbeitung zu informieren, wenn dadurch Berufsgeheimnisse offenbart würden.54 Die betroffenen Personen sind in diesem Fall nicht die Patienten des Berufsgeheimnisträgers, sondern Dritte, deren Daten der Berufsgeheimnisträger im Rahmen des Patientenverhältnisses verarbeitet.55 Die Vorschrift hat mithin Dreiecksverhältnisse zum Gegenstand, in denen neben der betroffenen Person und dem Berufsgeheimnisträger weitere Personen beteiligt sind, da dem Berufsgeheimnisträger Daten über sie anvertraut wurden.56 Dies ist zum Beispiel der Fall, wenn ein Arzt von einem Patienten Gesundheitsdaten über dessen Familienangehörige erhält.57 Eine Informationspflicht gegenüber den Familienangehörigen besteht in diesem Fall nicht. Dadurch soll die Vertrauensbeziehung zwischen dem Berufsgeheimnisträger und dem Begünstigten des Berufsgeheimnisses gegenüber Dritten, deren Daten der Berufsgeheimnisträger verarbeitet, geschützt werden.58 Wenn der Arzt allerdings Daten über seinen Patienten bei einem Dritten erhebt, bleibt er seinem Patienten gegenüber gemäß Art. 14 DSGVO informationspflichtig.59
III. Einschränkung der Informationspflichten im mitgliedstaatlichen Recht Neben den unionsrechtlichen Ausnahmen gewährt Art. 23 DSGVO den Mitgliedstaaten die Möglichkeit, die Informationspflichten durch Rechtsvorschriften weiter einzuschränken, sofern die Beschränkung den Wesensgehalt der Grundrechte 53
Paal / Hennemann, in: Paal / Pauly, DSGVO BDSG, Art. 13 DSGVO Rn. 11. Uwer, in: BeckOK Datenschutzrecht, Syst. F Rn. 52. 55 Uwer, in: BeckOK Datenschutzrecht, Syst. F Rn. 52. 56 Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 14 DSGVO Rn. 69; Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 14 DSGVO Rn. 30. 57 Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 14 DSGVO Rn. 69; Art. 29-Daten schutzgruppe, Leitlinien für Transparenz gemäß der Verordnung 2016/679, WP 260 rev. 01 v. 11. April 2018, S. 39. 58 Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 14 DSGVO Rn. 69. 59 Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 14 DSGVO Rn. 30; Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 14 DSGVO Rn. 69. 54
B. Informationspflichten, Art. 13 und 14 DSGVO
259
und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, um die in Art. 23 Abs. 1 lit. a bis j DSGVO abschließend aufgeführten Schutzziele zu wahren. Von den in Art. 23 Abs. 1 DSGVO aufgezählten Rechtsgütern, zu deren Gunsten eine Beschränkung der Betroffenenrechte vorgenommen werden darf, ist im Rahmen der Datenverarbeitung im Gesundheitswesen vor allem Art. 23 Abs. 1 lit. i DSGVO von Bedeutung, der eine Beschränkung zulässt, sofern diese den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen sicherstellt.60 Ebenso ist auch Art. 23 Abs. 1 lit. e DSGVO von Relevanz, der beschränkende Rechtsvorschriften zulässt, sofern diese den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses, etwa im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit, sicherstellen. Von der Möglichkeit, für diese Zwecke Ausnahmen von den Betroffenenrechten einzuführen oder beizubehalten, hat der nationale Gesetzgeber in teils erheblichem Umfang Gebrauch gemacht. 1. Einschränkung der Informationspflichten nach dem BDSG n. F. Ein für das Gesundheitswesen relevanter Ausnahmetatbestand von den Informationspflichten ergibt sich vor dem Hintergrund der beruflichen Verschwiegenheitspflicht der Ärzte aus § 29 Abs. 2 BDSG n. F.61 Danach besteht keine Pflicht der übermittelnden Stelle zur Information der betroffenen Person, wenn Daten Dritter im Zuge der Aufnahme oder im Rahmen eines Mandatsverhältnisses an einen Berufsgeheimnisträger übermittelt werden. Wie an dem Begriff „Mandatsverhältnis“ deutlich wird, hatte der Gesetzgeber bei der Normierung der Vorschrift vor allem Rechtsanwälte und Wirtschaftsprüfer im Blick. Der Anwendungsbereich der Norm ist nach dem Wortlaut jedoch nicht auf diese Berufsgruppen beschränkt, da die Regelung allgemein auf die Übermittlung von Daten an einen Berufsgeheimnisträger abstellt. Erfasst sind daher sämtliche Träger von Berufsgeheimnissen nach § 203 StGB und mithin auch Ärzte.62 In sachlicher Hinsicht zielt die Vorschrift auf die Übermittlung von Daten Dritter, wie etwa von Familienangehörigen, an den Berufsgeheimnisträger ab.63 Adressat der Regelung ist nach dem ausdrücklichen Wortlaut nicht der Träger des Berufsgeheimnisses, sondern die übermittelnde Stelle.64 Die Vorschrift befreit somit den Patienten von seinen Informationspflichten gegenüber dem Dritten, dessen Daten er an den Berufsge 60
Paal, in: Paal / Pauly, DSGVO BDSG, Art. 23 DSGVO Rn. 41; Stender-Vorwachs, in: BeckOK Datenschutzrecht, Art. 23 DSGVO Rn. 31. 61 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 110. 62 Uwer, in: BeckOK Datenschutzrecht, § 29 BDSG Rn. 25; Lapp, in: Gola / Heckmann, BDSG, § 29 BDSG Rn. 18. 63 Uwer, in: BeckOK Datenschutzrecht, § 29 BDSG Rn. 24. 64 Lapp, in: Gola / Heckmann, BDSG, § 29 BDSG Rn. 18; Uwer, in: BeckOK Datenschutzrecht, § 29 BDSG Rn. 23.
260
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
heimnisträger übermittelt hat.65 Darin besteht der Unterschied zu der Ausnahmeregelung in Art. 14 Abs. 5 lit. d DSGVO, der den Berufsgeheimnisträger selbst von der Informationspflicht gegenüber Dritten befreit. Die Datenverarbeitung durch den Arzt, dem Daten Dritter zur Verfügung gestellt werden, und die damit zusammenhängende Informationspflicht wird somit von der Ausnahmeregelung in Art. 14 Abs. 5 lit. d DSGVO erfasst.66 Einschränkend besteht die Befreiung von der Informationspflicht nach § 29 Abs. 2 BDSG n. F. jedoch nur, sofern nicht das Interesse der betroffenen Person an der Informationserteilung überwiegt. Aufgrund der herausragenden Bedeutung der Vertrauensbeziehung zwischen dem Berufsgeheimnisträger und dem Begünstigtem wird aber mehrheitlich angenommen, dass in der Regel von einem überwiegenden Geheimhaltungsinteresse auszugehen sei.67 Der Regelfall wird daher die Freistellung von der Informationspflicht sein.68 Die Regelung beruht auf der Öffnungsklausel des Art. 23 Abs. 1 lit. i Alt. 2 DSGVO, nach der Informationspflichten zum Schutz der Rechte und Freiheiten anderer Personen beschränkt werden können.69 Ausweislich der Gesetzesbegründung strebt der Gesetzgeber mit der Regelung die Gewährleistung einer vertraulichen und ungehinderten Kommunikation in der Vertrauensbeziehung zwischen Berufsgeheimnisträger und Begünstigtem des Berufsgeheimnisses an.70 Es widerspreche dem umfassenden Schutz dieser Vertrauensbeziehung, wenn der Begünstigte sämtliche durch die Datenübermittlung an den Berufsgeheimnisträger betroffenen Personen u. a. über die Zwecke der Datenübermittlung und die Identität des beauftragten Berufs geheimnisträgers informieren müsse.71 Darüber hinaus enthalten die §§ 32 und 33 BDSG n. F. weitere Einschränkungen der Informationspflichten der DSGVO, denen jedoch für die Datenverarbeitung im Gesundheitswesen keine besondere Bedeutung zukommt.72
65
Uwer, in: BeckOK Datenschutzrecht, Syst. F Rn. 56. Uwer, in: BeckOK Datenschutzrecht, § 29 BDSG Rn. 29. 67 Lapp, in: Gola / Heckmann, BDSG, § 29 BDSG Rn. 24; Uwer, in: BeckOK Datenschutzrecht, § 29 BDSG Rn. 27; Gräber / Nolden, in: Paal / Pauly, DSGVO BDSG, § 29 BDSG Rn. 17; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1367. 68 Lapp, in: Gola / Heckmann, BDSG, § 29 BDSG Rn. 24; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1367. 69 BT-Drs. 18/11325, S. 101; Uwer, in: BeckOK Datenschutzrecht, § 29 BDSG Rn. 1. 70 BT-Drs. 18/11325, S. 100. 71 BT-Drs. 18/11325, 101. 72 Buchner, Datenschutz im Gesundheitswesen, S. 81. 66
B. Informationspflichten, Art. 13 und 14 DSGVO
261
2. Einschränkung der Informationspflichten nach dem SGB Sind die zu verarbeitenden Daten zugleich als Sozialdaten i. S. d. § 67 Abs. 2 S. 1 SGB X einzuordnen, so sind die Vorgaben im SGB zu beachten. Auch diese enthalten punktuelle Beschränkungen der unmittelbar geltenden Betroffenenrechte nach der DSGVO.73 So enthält § 82 Abs. 1 SGB X eine Regelung zur Beschränkung der nach Art. 13 Abs. 1 lit. e DSGVO bestehenden Informationspflicht über Kategorien von Empfängern auf der Grundlage von Art. 23 Abs. 1 lit. e DSGVO.74 Diese Regelung ist auch auf Krankenkassen anzuwenden, da im SGB V selbst keine Bestimmung zu den Informationspflichten vorgesehen ist. § 82 Abs. 1 SGB X sieht vor, dass die Pflicht zur Information der betroffenen Person über die Kategorien von Empfängern nur für drei Fallkonstellationen besteht und im Übrigen entfällt.75 Danach ist die betroffene Person über die Kategorien von Empfängern zu informieren, wenn sie mit der Nutzung oder Übermittlung von Sozialdaten an den Empfänger nicht rechnen musste. Die betroffene Person muss mit der Übermittlung an andere Sozialleistungsträger insbesondere dann rechnen, wenn verschiedene Leistungsträger bei der Erfüllung ihrer Aufgaben zusammenarbeiten, da sie hierzu gemäß § 86 SGB X gesetzlich verpflichtet sind.76 Zudem besteht eine Informationspflicht, wenn die Verarbeitung von Sozialdaten nicht innerhalb einer in § 35 SGB I genannten Stelle oder Organisationseinheit stattfindet oder es sich um Kategorien von Empfängern handelt mit denen die in § 35 Abs. 1 SGB X genannten Stellen gesetzlich nicht zur engen Zusammenarbeit verpflichtet sind. Nach § 82 Abs. 2 SGB X kann die Information im Falle der zweckändernden Weiterverarbeitung zudem unterbleiben, wenn die Informationserteilung die Aufgabenerfüllung gefährden würde, bei Gefahren für die öffentliche Sicherheit und Ordnung sowie bei einer Gefährdung der Vertraulichkeit.77 Gemäß § 82 Abs. 3 S. 1 SGB X hat der Verantwortliche geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person zu ergreifen, wenn deren Information unterbleibt. Hierzu zählt etwa die Bereitstellung von Informationen für die Öffentlichkeit, beispielsweise als Informationsbroschüre oder mittels einer allgemein zugänglichen Website.78 § 82 Abs. 3 S. 2 SGB X verpflichtet den Verantwortlichen zudem, schriftlich festzuhalten, aus welchen Gründen er von der Information der betroffenen Person abgesehen hat. Diese Maßnahmen stellen kompensierende Maßnahmen i. S. d. Art. 23 Abs. 2 DSGVO dar.79
73
Freund / Shagdar, SGb 2018, 267 (272). BT-Drs. 18/12611, S. 118; Westphal, in: BeckOK Sozialrecht, § 82 SGB X Rn. 5. 75 Freund / Shagdar, SGb 2018, 267 (273). 76 Westphal, in: BeckOK Sozialrecht, § 82 SGB X Rn. 7. 77 Kunkel, ZFSH SGB 2017, 443 (446). 78 BT-Drs. 18/12611, S. 118 f.; Freund / Shagdar, SGb 2018, 267 (273). 79 Franck, in: Gola, DSGVO, Art. 13 DSGVO Rn. 52; Freund / Shagdar, SGb 2018, 267 (273). 74
262
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
3. Einschränkung der Informationspflichten nach den LKHG Auf der Ebene der Krankhausgesetze der Länder hat, soweit ersichtlich, nur das Land Hamburg weitere Einschränkungen von der Informationspflicht festgelegt.80 Nach § 13a Abs. 1 S. 1 Nr. 2 HmbKHG erfolgt eine Information gemäß Art. 13 oder 14 DSGVO nicht, soweit die Tatsache der Verarbeitung nach einer Rechtsvorschrift geheim zu halten ist. Dies stützt sich ausweislich der Gesetzesbegründung auf Art. 23 Abs. 1 lit. e und i der DSGVO und betrifft Daten, die dem Berufsgeheimnis der Ärzte unterliegen.81 Gemäß § 13a Abs. 1 S. 2 HmbKHG hat der Verantwortliche die Gründe für das Absehen von der Informationserteilung zu dokumentieren. Hat der Arzt die personenbezogenen Daten nicht bei der betroffenen Person selbst erhoben, ergibt sich die Befreiung von der Pflicht zur Informationserteilung für Daten, die dem Berufsgeheimnis unterliegen, bereits aus der Ausnahmeregelung zur Informationspflicht in Art. 14 Abs. 5 lit. d DSGVO. In diesem Fall ist die unmittelbar in der DSGVO geregelte Ausnahme vorrangig und die Ausnahmeregelung in § 13a Abs. 1 S. 1 Nr. 2 HmbKHG somit nicht einschlägig.
C. Die übrigen Betroffenenrechte der DSGVO Mit Hilfe der gemäß Art. 13 und 14 DSGVO gewonnenen Informationen wird die betroffene Person in die Lage versetzt, ihre Betroffenenrechte ordnungsgemäß wahrzunehmen.82 Im Folgenden wird aufgezeigt, welche Bedeutung diesen Betroffenenrechten im Gesundheitswesen zukommt und inwiefern diese durch allgemeine und bereichsspezifische Regelungen auf nationaler Ebene eingeschränkt werden.
I. Auskunftsrecht, Art. 15 DSGVO Art. 15 Abs. 1 DSGVO gibt der betroffenen Person ein Recht auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten. Dieses Auskunftsrecht folgt unmittelbar aus Art. 8 Abs. 2 S. 2 GRCh und wird in Art. 15 DSGVO als Betroffenenrecht näher ausgestaltet.83 Durch das Auskunftsrecht und der damit korrespondierenden Auskunftspflicht des für die Datenverarbeitung Verantwortlichen soll der betroffenen Person die Möglichkeit gewährt werden, detaillierte Informationen über die Datenverarbeitung zu erhalten, um die Rechtmäßigkeit der vorgenomme 80
LT-Drs. 21/11987, S. 11. LT-Drs. 21/11987, S. 11. 82 Schmidt-Wudy, in: BeckOK Datenschutzrecht, Art. 13 DSGVO Rn. 2. 83 Leopold, in: KassKomm Sozialversicherungsrecht, § 83 SGB X Rn. 7. 81
C. Die übrigen Betroffenenrechte der DSGVO
263
nen Verarbeitung überprüfen zu können.84 Die Kenntnis darüber, wer Daten über die betroffene Person zu welchen Zwecken verarbeitet, versetzt diese zudem häufig erst in die Lage, weitere Betroffenenrechte geltend zu machen.85 Vor diesem Hintergrund wird dem Auskunftsrecht eine zentrale Bedeutung zugemessen.86 Das Recht auf Auskunft aus Art. 15 DSGVO ist zweistufig aufgebaut. Gemäß Art. 15 Abs. 1 Hs. 1 DSGVO hat der Verantwortliche der betroffenen Person in einem ersten Schritt zu bestätigen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat die betroffene Person in einem zweiten Schritt ein Recht auf Auskunft über diese personenbezogenen Daten sowie über die in Art. 15 Abs. 1 Hs. 2 lit. a bis h DSGVO aufgeführten Informationen. Das Auskunftsrecht der betroffenen Person wurde im Vergleich zum BDSG a. F. erheblich erweitert und umfasst nun im Wesentlichen Informationen über die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die Empfänger gegenüber denen personenbezogene Daten offengelegt werden sowie über das Bestehen der übrigen Betroffenenrechte. Im Gegensatz zur Informationspflicht bedarf es für die Erfüllung des Auskunftsrechts eines formlosen Antrags der betroffenen Person.87 Zudem steht der betroffenen Person nach Art. 15 Abs. 3 S. 1 DSGVO das Recht zu, eine Kopie derjenigen personenbezogenen Daten zu erhalten, die Gegenstand der Verarbeitung sind. 1. Reichweite des Rechts auf Kopie Über die inhaltliche Reichweite dieses Rechts auf Erhalt einer Datenkopie besteht seit dem Geltungsbeginn der DSGVO Unklarheit.88 Teilweise wird vertreten, dass der Verantwortliche der betroffenen Person Abschriften über sämtliche sie betreffende Daten zur Verfügung stellen müsse.89 Als Begründung wird insbesondere angeführt, dass sich aus der Gesetzessystematik ergebe, dass das Recht auf Kopie selbstständig neben den Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO trete.90 Die Gegenansicht geht demgegenüber davon aus, dass sich das Recht auf 84
Voigt / von dem Bussche, EU-Datenschutz-Grundverordnung, S. 199; EG 63 S. 1 DSGVO. Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1190; Buchner, Datenschutz im Gesundheitswesen, S. 82; Franck, in: Gola, DSGVO, Art. 15 DSGVO Rn. 1; Reich, VuR 2018, 293 (294). 86 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1190; Schmidt-Wudy, in: BeckOK Datenschutzrecht, Art. 15 DSGVO Rn. 2; Buchner / Schwichtenberg, GuP 2016, 218 (222). 87 Voigt / von dem Bussche, EU-Datenschutz-Grundverordnung, S. 199. 88 DSK, Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Anwendung der DS-GVO, S. 9; auch der Bundesrat hat in BR-Drs. 570/19 (B), S. 7 festgestellt, dass im Hinblick auf die Erfüllung des Rechts auf Kopie nach Art. 15 Abs. 3 DSGVO noch große Unsicherheit herrsche. 89 Kremer, CR 2018, 560 (563 f.); Franck, in: Gola, DSGVO, Art. 15 DSGVO Rn. 27 f.; Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 15 DSGVO Rn. 40 f. 90 Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 15 DSGVO Rn. 39. 85
264
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
Erhalt einer Abschrift allein auf die nach Art. 15 Abs. 1 Hs. 2 DSGVO mitzuteilenden Informationen beschränke.91 Art. 15 Abs. 3 S. 1 DSGVO regele lediglich eine besondere Form der Auskunft, sodass die inhaltliche Reichweite des Rechts auf Erhalt einer Kopie nicht weiter gehen könne als die des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO.92 Letztere Ansicht verdient Zustimmung. Einem extensiven Verständnis des Rechts auf Erhalt einer Datenkopie lässt sich insbesondere der Sinn und Zweck des Auskunftsrechts entgegenhalten. Dieser besteht darin, der betroffenen Person eine Überprüfung der Rechtmäßigkeit der Datenverarbeitung zu ermöglichen.93 Diese ist in der Regel allein anhand der in Art. 15 Abs. 1 Hs. 2 DSGVO aufgeführten Informationen möglich, während weitergehende Informationen zur Erreichung dieses Ziels regelmäßig nicht erforderlich sind.94 Grundsätzlich beschränkt sich Art. 15 Abs. 3 DSGVO daher auf die in Art. 15 Abs. 1 Hs. 2 DSGVO geregelten Pflichtangaben und lässt nicht darauf schließen, dass der Verantwortliche vollständige Kopien aller Unterlagen und Akten zur Verfügung stellen muss.95 Art. 15 Abs. 1 DSGVO begründet somit ein Recht der betroffenen Person auf Auskunft über die vom Verantwortlichen verarbeiteten personenbezogenen Daten sowie die dort aufgeführten Informationen und als Annex zu diesem Auskunfts anspruch in Art. 15 Abs. 3 DSGVO einen Anspruch auf Erhalt einer Kopie derjenigen Daten, die Gegenstand dieser Verarbeitung sind. Rechtlich gesehen handelt es sich somit um ein und denselben Anspruch der betroffenen Person.96 2. Verhältnis zwischen Art. 15 DSGVO und § 630g BGB In EG 63 S. 2 DSGVO weist der Gesetzgeber ausdrücklich darauf hin, dass sich der Auskunftsanspruch aus Art. 15 DSGVO auch auf die Auskunft über Daten in der eigenen Patientenakte, wie beispielsweise Diagnosen, medizinische Untersuchungsergebnisse oder Befunde, bezieht. Für den Bereich der Gesundheitsberufe hat die Vorschrift des § 630g Abs. 1 S. 1 BGB bereits vor Inkrafttreten der DSGVO das Einsichtsrecht des Patienten in die vollständige Originalpatientenakte gere 91
Paal, in: Paal / Pauly, DSGVO BDSG, Art. 15 DSGVO Rn. 33; Specht, in: Sydow, DSGVO, Art. 15 DSGVO Rn. 18; Kamlah, in: Plath, DSGVO BDSG, Art. 15 DSGVO Rn. 16; Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 15 DSGVO Rn. 28. 92 Paal, in: Paal / Pauly, DSGVO BDSG, Art. 15 DSGVO Rn. 33; Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 15 DSGVO Rn. 28; Kamlah, in: Plath, DSGVO BDSG, Art. 15 DSGVO Rn. 16. 93 Specht, in: Sydow, DSGVO, Art. 15 DSGVO Rn. 1; so auch EG 63 S. 1. 94 Wybitul / Brahms, NZA 2019, 672 (676). 95 Ausführlich dazu Zikesch / Sörup, ZD 2019, 239 (239 ff.); Wybitul / Brahms, NZA 2019, 672 (674 ff.); a. A. Engeler / Quiel, NJW 2019, 2201 (2203), die jedoch einschränkend davon ausgehen, dass Bestandteile einer Akte, die keine personenbezogenen Daten enthielten, nicht vom Recht auf Kopie erfasst seien; Weik, DuD 2020, 98 (102 f.). 96 Ausführlich dazu Zikesch / Sörup, ZD 2019, 239 (240).
C. Die übrigen Betroffenenrechte der DSGVO
265
gelt.97 Nach § 630g BGB ist dem Patienten auf Verlangen Einsicht in seine Patientenakte zu gewähren, soweit der Einsichtnahme nicht erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen. Zudem sieht § 630g Abs. 2 S. 1 BGB einen Anspruch des Patienten auf Erhalt von Abschriften der Patientenakte vor. Insbesondere dieser Anspruch auf Herausgabe von Abschriften nach § 630g Abs. 2 S. 1 BGB sowie das Recht auf Erhalt einer Kopie nach Art. 15 Abs. 3 DSGVO ähneln sich.98 Das Verhältnis von Art. 15 DSGVO zu § 630g BGB ist vor diesem Hintergrund unklar.99 Fraglich ist insbesondere, ob die Vorschriften thematisch in Konkurrenz zueinander treten und § 630g BGB damit aufgrund des Anwendungsvorrangs der DSGVO unangewendet bleiben müsste.100 Dies wird unterschiedlich bewertet. So wird teilweise angenommen, dass insgesamt keine Kollision zwischen der datenschutzrechtlichen Regelung in Art. 15 DSGVO und dem schuldrechtlichen Anspruch auf Einsicht in die Patientenakte aus § 630g BGB festzustellen sei, da die Ansprüche jeweils einen anderen Rechtskreis beträfen. Während § 630g BGB darauf abziele, dem Patienten einen Überblick zu geben, wie es um seine Gesundheit bestellt sei, welche Daten bei der Behandlung generiert werden und wie die weitere Entwicklung hinsichtlich seiner Gesundheit beurteilt werde, stünden bei Art. 15 DSGVO die Modalitäten der Datenverarbeitungsvorgänge im Vordergrund.101 Dem wird zutreffend entgegengehalten, dass das Auskunftsrecht aus Art. 15 DSGVO im Gegensatz zum Einsichtsrecht aus § 630g BGB zwar auch ein Recht auf Auskunft über zusätzliche Informationen außerhalb der Patientenkartei, wie die Dauer der Speicherung oder die Verarbeitungszwecke, beinhalte und damit den Auskunftsumfang des § 630g BGB überschreite,102 im Hinblick auf die näheren Modalitäten der Überlassung einer Kopie der Patientenakte jedoch inhaltliche Abweichungen beider Normen bestünden.103 Die Anwendbarkeit des § 630g BGB ist daher nur möglich, soweit die Norm in den jeweiligen Kollisionsfällen von einer Öffnungsklausel gedeckt ist, die Abweichungen im nationalen Recht ermöglicht.104 Eine solche Öffnungsklausel stellt Art. 23 DSGVO dar, nach dem die Mitgliedstaaten das Auskunftsrecht unter bestimmten Voraussetzungen einschrän 97
Spickhoff, in: Spickhoff, Medizinrecht, § 630g BGB Rn. 1, 4. Bayer, Ärztliche Dokumentationspflicht und Einsichtsrecht in Patientenakten, S. 223. 99 Wagner, in: MüKo-BGB, § 630g BGB Rn. 5; Walter, in: BeckOGK, § 630g BGB Rn. 22. 100 Walter / Strobl, MedR 2018, 472 (473); Cornelius / Spitz, GesR 2019, 69 (70 ff.); Kazemi, in: FS Dahm, 283 (295). 101 Hauser, Das Krankenhaus 2018, 1202 (1203); Hauser / Haag, Datenschutz im Krankenhaus, S. 351 ff.; dahingehend auch Schröder, MedR 2019, 631 (634); Wollersheim, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 6 Rn. 156. 102 Walter / Strobl, MedR 2018, 472 (474); so auch Jülicher, Medizininformationsrecht, S. 118. 103 Ärztekammer Berlin, Merkblatt Auskunftsrecht und Einsichtnahme in Patientenunterlagen, S. 4 f., abrufbar unter: https://www.aekb.de/aerzt-innen/recht/berufsrecht-berufsordnung; BÄK, Stellungnahme zum Regierungsentwurf eines 2. DSAnpUG-EU v. 5. Dezember 2018, S. 5; Cornelius / Spitz, GesR 2019, 69 (73). 104 Walter, in: BeckOGK, § 630g BGB Rn. 22; Walter / Strobl, MedR 2018, 472 (473); Veil, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 15 DSGVO Rn. 5. 98
266
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
ken können. Im Folgenden ist somit zu prüfen, ob § 630g BGB die Anforderungen dieser Öffnungsklausel erfüllt. a) Mögliche Kollision durch die Beschränkung aus therapeutischen Gründen Abweichungen zwischen beiden Normen ergeben sich zunächst im Hinblick auf die jeweiligen Einschränkungsmöglichkeiten. Gemäß § 630g Abs. 1 S. 1 BGB kann die Einsichtnahme in die Patientenakte verwehrt werden, soweit erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen. Generelle therapeutische Bedenken genügen indes nicht, um die Einschränkung des Akteneinsichtsrechts zu rechtfertigen, vielmehr bedarf es einer erheblichen Gefährdung der physischen oder psychischen Gesundheit des Patienten.105 Dies soll etwa dann gegeben sein, wenn die Ausübung des Rechts auf Einsichtnahme zu einer „erheblichen gesundheitlichen (Selbst-)Schädigung des Patienten“106 führen kann. Eine solche Einschränkung kennt Art. 15 DSGVO nicht.107 Die Einschränkung des Art. 15 DSGVO kommt nur im Fall des Rechtsmissbrauchs gemäß Art. 12 Abs. 5 S. 2 DSGVO oder, soweit das Recht auf Erhalt einer Kopie betroffen ist, im Falle der Beeinträchtigung der Rechte und Freiheiten anderer Personen gemäß Art. 15 Abs. 4 DSGVO in Betracht.108 Letzterer Ausschlussgrund deckt sich jedoch lediglich mit der Alternative der sonstigen erheblichen Rechte Dritter i. S. d. § 630g Abs. 1 S. 1 Hs. 2 Alt. 2 BGB.109 Fraglich bleibt somit, was hinsichtlich des Einsichtsverweigerungsrechts aus therapeutischen Gründen gilt. Die Öffnungsklausel des Art. 23 Abs. 1 lit. i Alt. 1 DSGVO sieht eine Beschränkungsmöglichkeit zum Schutz der betroffenen Person vor. Damit kann der Gesetzgeber eine Einschränkung des Auskunftsrechts des Patienten vorsehen, wenn ansonsten eine gesundheitliche Schädigung des Patienten zu erwarten ist.110 Diese Möglichkeit der Beschränkung umfasst auch gewichtige therapeutische Gründe im Arzt-PatientenVerhältnis.111 § 630g BGB ist daher, soweit er ein Einsichtsverweigerungsrecht aus 105
Wagner, in: MüKo-BGB, § 630g BGB Rn. 18; Rehborn / Kern, in: Laufs / Kern / Rehborn, Handbuch des Arztrechts, § 62 Rn. 5. 106 BT-Drs. 17/10488, S. 26. 107 Kazemi, in: FS Dahm, 283 (295); Cornelius / Spitz, GesR 2019, 69 (73). 108 Bayer, Ärztliche Dokumentationspflicht und Einsichtsrecht in Patientenakten, S. 225 m. w. N.; Cornelius / Spitz, GesR 2019, 69 (73); teilweise wird Art. 15 Abs. 4 DSGVO analog auch auf das Auskunftsrecht aus Art. 15 Abs. 1 und 2 DSGVO angewandt, Schmidt-Wudy, in: BeckOK Datenschutzrecht, Art. 15 DSGVO Rn. 49, 97; Specht, in: Sydow, DSGVO, Art. 15 DSGVO Rn. 33. 109 Cornelius / Spitz, GesR 2019, 69 (73); Walter / Strobl, MedR 2018, 472 (474). 110 Peuker, in: Sydow, DSGVO, Art. 23 DSGVO Rn. 34. 111 Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 23 DSGVO Rn. 30; Peuker, in: S ydow, DSGVO, Art. 23 DSGVO Rn. 34; Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 23 DSGVO Rn. 33; Cornelius / Spitz, GesR 2019, 69 (73); Walter / Strobl, MedR 2018, 472 (474).
C. Die übrigen Betroffenenrechte der DSGVO
267
therapeutischen Gründen vorsieht, über Art. 23 Abs. 1 lit. i Alt. 1 DSGVO anwendbar.112 Die Ablehnung der Auskunft muss gemäß Art. 12 Abs. 4 DSGVO innerhalb eines Monats nach Eingang des Antrags begründet werden.113 b) Kostentragungspflicht für die Erstkopie aus § 630g BGB Unterschiedliche Vorgaben bestehen daneben auch hinsichtlich der Kostentragungspflicht für die Erstkopie. Nach § 630g Abs. 2 S. 2 BGB hat der Patient dem Behandelnden die Kosten für die Anfertigung der Kopien zu erstatten. Demgegenüber ist die Datenkopie gemäß Art. 15 Abs. 3 S. 1 i. V. m. Art. 12 Abs. 5 S. 1 DSGVO grundsätzlich unentgeltlich zur Verfügung zu stellen. Erst ab der Zweitkopie kann der Verantwortliche gemäß Art. 15 Abs. 3 S. 2 DSGVO ein angemessenes Entgelt verlangen.114 Eine kostenpflichtige Zweitkopie soll jedoch nur dann vorliegen, wenn diese innerhalb unangemessener Zeitabstände beantragt wird.115 Liege zwischen beiden Kopien ein angemessener Zeitabstand, so sei die Zweitkopie hingegen mit der kostenfreien Erstkopie gleichzusetzen.116 Vorgeschlagen wird in diesem Zusammenhang ein Zeitraum von drei Monaten ab Zugang der ersten Kopie.117 Die erste Kopie hat der Verantwortliche der betroffenen Person demnach grundsätzlich kostenfrei zur Verfügung zu stellen. Eine Ausnahme gilt gemäß Art. 12 Abs. 5 S. 2 lit. a DSGVO lediglich für offenkundig unbegründete oder exzessive Anträge. Fraglich ist somit, ob die Kostentragungspflicht des Patienten für die erstellten Abschriften von der Patientenakte aus § 630g Abs. 2 S. 2 BGB neben Art. 15 DSGVO bestehen bleiben kann.118 Die insofern von Art. 15 DSGVO abweichende Regelung im BGB könnte über die Öffnungsklausel in Art. 23 Abs. 1 lit. i Alt. 2 DSGVO fortbestehen. Dazu müsste die Beschränkung die Rechte und Freiheiten 112
Buchner / Schwichtenberg, GuP 2016, 218 (222); Walter / Strobl, MedR 2018, 472 (475); Bayer, Ärztliche Dokumentationspflicht und Einsichtsrecht in Patientenakten, S. 227; auch Frank, RDV 2016, 111 (117) ging davon aus, dass § 630g BGB nach Inkrafttreten der DSGVO voraussichtlich erhalten bleibe. 113 Paal / Hennemann, in: Paal / Pauly, DSGVO BDSG, Art. 12 DSGVO Rn. 56. 114 Schmidt-Wudy, in: BeckOK Datenschutzrecht, Art. 15 DSGVO Rn. 93; Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 15 DSGVO Rn. 45; Paal, in: Paal / Pauly, DSGVO BDSG, Art. 15 DSGVO Rn. 34 f. 115 Franck, in: Gola, DSGVO, Art. 15 DSGVO Rn. 32; Schmidt / Wudy, in: BeckOK Datenschutzrecht, Art. 15 DSGVO Rn. 93; a. A. Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 15 DSGVO Rn. 45 der darauf abstellt, ob die Zweitkopie der Erstkopie inhaltlich im Wesentlichen entspricht. 116 Franck, in: Gola, DSGVO, Art. 15 DSGVO Rn. 32; auch EG 63 S. 1 DSGVO stellt auf einen angemessenen Abstand ab, Kamlah, in: Plath, DSGVO BDSG, Art. 15 DSGVO Rn. 17. 117 Schmidt / Wudy, in: BeckOK Datenschutzrecht, Art. 15 DSGVO Rn. 93. 118 Walter / Strobl, MedR 2018, 472 (476); diese Frage stellt sich auch bezüglich der Regelung in § 10 Abs. 2 S. 2 MBO-Ä, welche ebenfalls ein Recht auf Kopien der Unterlagen gegen Erstattung der Kosten statuiert.
268
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
von anderen Personen schützen. Jedoch ist bereits fraglich, ob die Verantwort lichen, also vorliegend Ärzte und Krankenhäuser, als „andere Person“ einzuordnen sind.119 Unabhängig davon soll die DSGVO gerade zur Stärkung der Betroffenenrechte beitragen und der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte gemäß Art. 12 Abs. 2 S. 1 DSGVO erleichtern.120 Ein überwiegendes Interesse der Ärzte bzw. Krankenhäuser an der Entgeltlichkeit der Auskunft ist vor diesem Hintergrund nicht ersichtlich.121 Die Kostentragungspflicht aus § 630g Abs. 2 S. 2 BGB kann daher nicht über die Öffnungsklausel des Art. 23 DSGVO beibehalten werden und muss mithin wegen des Anwendungsvorrangs des Europarechts unangewendet bleiben.122 c) Unterscheidung bezüglich des rechtlichen Leistungsortes Zudem unterscheiden sich § 630g BGB und Art. 15 DSGVO hinsichtlich des rechtlichen Leistungsortes. Kann der Patient nach § 630g Abs. 2 BGB eine Abschrift seiner Patientenakte verlangen, folgt daraus grundsätzlich keine Verpflichtung des Arztes, dem Patienten die Abschrift zuzusenden. Die Regelung des § 630g Abs. 2 BGB knüpft systematisch an § 630g Abs. 1 BGB an, der im Satz 3 eine entsprechende Anwendung des § 811 BGB anordnet.123 Demnach hat die Einsichtnahme an dem Ort zu erfolgen, an dem sich die Patientenakte befindet, mithin in der Regel am Ort der Behandlung.124 § 630g BGB sieht für den An-
119
Bieresborn, NZS 2018, 10 (11); Greve, NVwZ 2017, 737 (743); dies bejahend Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 23 DSGVO Rn. 32; ablehnend Johannes / Richter, DuD 2017, 300 (303). 120 Walter / Strobl, MedR 2018, 472 (476). 121 Walter, in: BeckOGK, § 630g BGB Rn. 22; a. A. Ärztekammer Berlin, Merkblatt Auskunftsrecht und Einsichtnahme in Patientenunterlagen, S. 5 Fn. 14 nach der die Kostenlast für Ärzte vor dem Hintergrund der Pflicht zur Behandlungsdokumentation als besonderer Eingriff erscheint, abrufbar unter: https://www.aekb.de/aerzt-innen/recht/berufsrecht-berufsordnung. 122 Walter / Strobl, MedR 2018, 472 (476); Cornelius / Spitz, GesR 2019, 69 (73); Prütting / Friedrich, MedR 2021, 523 (527); Walter, in: BeckOGK, § 630g BGB Rn. 22; Weidenkaff, in: Palandt, § 630g BGB Rn. 4; Wagner, in: MüKo-BGB, § 630g BGB bezeichnet die Vereinbarkeit der Kostentragungsregel mit dem Europarecht als „zweifelhaft“; ebenso Katzenmeier, in: BeckOK BGB, § 630g BGB Rn. 13; Buchner, Datenschutz im Gesundheitswesen, S. 82 f.; für einen Anspruch gemäß Art. 15 Abs. 3 DSGVO auf unentgeltliche Überlassung der Behandlungsdokumentation im pdf-Format auch LG Dresden, MedR 2021, 58 (58 ff.); a. A. KV Nord rhein, Informationsblätter zum neuen Datenschutzrecht in der ambulanten Versorgung v. 23. November 2018, S. 8; Schröder, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 157; ders., MedR 2019, 631 (634). 123 Kensy, MedR 2013, 767 (772). 124 Katzenmeier, in: BeckOK BGB, § 630g BGB Rn. 13; Kensy, MedR 2013, 767 (772); Spickhoff, in: Spickhoff, Medizinrecht, § 630g BGB Rn. 7; nur bei Vorliegen eines „wichtigen Grundes“, etwa bei einer nicht unerheblichen Erkrankung des Patienten oder bei einem Umzug des Behandelnden, kann die Vorlegung der Originalunterlagen an einem anderen Ort verlangt werden, § 811 Abs. 1 S. 2 BGB, BT-Drs. 17/10488, S. 27.
C. Die übrigen Betroffenenrechte der DSGVO
269
spruch des Patienten auf Erteilung von Abschriften der Patientenakte somit eine Holschuld vor.125 Im Gegensatz dazu verpflichtet Art. 15 Abs. 3 S. 1 DSGVO den Verantwortlichen dazu, eine Kopie der personenbezogenen Daten zur Verfügung zu stellen. Was darunter genau zu verstehen ist, wird uneinheitlich beantwortet. So wird auch diesbezüglich teilweise angenommen, dass eine Holschuld der betroffenen Person vorliege bzw. dieser lediglich eine Zugangsmöglichkeit zur Kopie mit zumutbarem Maß an Eigenaktivität eingeräumt werden müsse.126 In diesem Zusammenhang ist jedoch zu berücksichtigen, dass Art. 12 Abs. 2 S. 1 DSGVO als generellen Grundsatz vorsieht, dass der Verantwortliche den betroffenen Personen die Ausübung ihrer Rechte zu erleichtern hat.127 Dies wäre mit einer Holschuld kaum zu vereinbaren.128 Zudem muss der Verantwortliche die Auskunft im Falle des elektronischen Antrags nach Art. 15 Abs. 3 S. 3 DSGVO in einem gängigen elektronischen Format zur Verfügung stellen. Nach der Vorstellung des Gesetzgebers sollte dafür nach Möglichkeit ein elektronischer Fernzugang etabliert werden, EG 63 S. 4 DSGVO. Dies würde in der zivilrechtlichen Terminologie einer Schickschuld gleichen, da der Leistungsort, an dem der Fernzugang implementiert wird, von dem Erfolgsort, an dem Einsicht in die Daten genommen wird, verschieden ist.129 Auch wenn sich ein solcher elektronischer Fernzugang wohl nur für größere Einheiten anbietet,130 verdeutlicht dies, dass der Verordnungsgeber grundsätzlich davon ausging, dass der Verantwortliche nach Art. 15 Abs. 3 S. 1 DSGVO zur Übersendung der Datenkopie verpflichtet ist.131 Fraglich ist daher, ob die Einschränkung hinsichtlich des rechtlichen Leistungsortes von Art. 23 Abs. 1 lit. i Alt. 2 DSGVO gedeckt ist. Gewichtige Rechte des Arztes oder Krankenhauses, dem Patienten kein Recht auf Übersendung der begehrten Kopien zu gewähren, sind jedoch nicht ersichtlich.132 Zum Schutz anderer Personen sind etwa Beschränkungen denkbar, die eine Datenverarbeitung zum Zweck sonst bestehender wesentlicher Gesundheitsgefahren als zulässig erachten,133 allein wirtschaftliche Interessen können hingegen nicht Grundlage einer beschränkenden Rechtsvorschrift sein.134 Da die anderen Tatbestände des Art. 23 Abs. 1 DSGVO nicht einschlägig sind, bewegt sich die Regelung des § 630g BGB hinsichtlich des von Art. 15 DSGVO abweichenden rechtlichen Leis 125
Walter / Strobl, MedR 2018, 472 (476); Wagner, in: MüKo-BGB, § 630g BGB Rn. 28; Man sel, in: Jauernig, BGB, § 630g BGB Rn. 12. 126 Veil, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 15 DSGVO Rn. 19; Engeler / Quiel, NJW 2019, 2201 (2204). 127 Walter / Strobl, MedR 2018, 472 (476); Cornelius / Spitz, GesR 2019, 69 (71). 128 Walter / Strobl, MedR 2018, 472 (476) Fn. 41. 129 Cornelius / Spitz, GesR 2019, 69 (71). 130 Walter / Strobl, MedR 2018, 472 (475). 131 Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 15 DSGVO Rn. 44. 132 Walter / Strobl, MedR 2018, 472 (476). 133 Stender-Vorwachs, in: BeckOK Datenschutzrecht, Art. 23 DSGVO Rn. 31. 134 Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 23 DSGVO Rn. 32.
270
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
tungsortes außerhalb des Rahmens der Öffnungsklauseln der DSGVO und ist folglich nicht mit dem Unionsrecht vereinbar.135 d) Zwischenergebnis Die Frage, ob der Anspruch auf Einsichtnahme in die Patientenakte nach § 630g BGB aufgrund des Anwendungsvorrangs der DSGVO unangewendet bleiben muss, kann nicht pauschal beantwortet werden.136 Die Untersuchung des Verhältnisses zwischen Art. 15 DSGVO und § 630g BGB hat ergeben, dass Letzterer zum Teil mit Art. 15 DSGVO kollidiert.137 Dies gilt hinsichtlich der Kostentragungsregelung und dem Recht auf Übersendung der Kopien. In einem solchen Kollisionsfall genießt die DSGVO als Verordnung Anwendungsvorrang, sodass § 630g BGB dahingehend unanwendbar ist.138 Im Übrigen hat die Regelung des § 630g BGB auch neben dem datenschutzrechtlichen Auskunftsrecht ihre Bedeutung, etwa im Hinblick auf die Einsichtnahme in die Originalpatientenakte zwecks Vorbereitung auf Haftungsprozesse.139 3. Einschränkungen des Auskunftsrechts im mitgliedstaatlichen Recht Art. 15 DSGVO selbst sieht keine ausdrückliche Einschränkung des Rechts auf Auskunft vor. Lediglich bei offensichtlich unbegründeten oder exzessiven Anträgen kann der Verantwortliche nach Art. 12 Abs. 5 S. 2 lit. b DSGVO die Auskunft verweigern.140 Weitere Einschränkungen können sich durch beschränkende mitgliedstaatliche Regelungen auf Grundlage des Art. 23 DSGVO ergeben. a) Einschränkung des Auskunftsrechts nach dem BDSG n. F. Der Bundesgesetzgeber hat im BDSG n. F. an mehreren Stellen Einschränkungen des Auskunftsrechts der betroffenen Person aus der DSGVO vorgesehen. So besteht nach § 29 Abs. 1 S. 2 BDSG n. F. keine Pflicht zur Auskunftserteilung, soweit die Auskunft Informationen offenbaren würde, die nach einer Rechtsvorschrift geheim gehalten werden müssen. Eine Rechtsvorschrift, die die Geheimhaltung erfordern 135
So auch Walter / Strobl, MedR 2018, 472 (476); a. A. Cornelius / Spitz, GesR 2019, 69 (73) die zum Erhalt der nationalen Regelung eine unionsrechtskonforme Auslegung in Betracht ziehen. 136 Franck, in: Gola, DSGVO, Art. 15 DSGVO Rn. 4. 137 Cornelius / Spitz, GesR 2019, 69 (73). 138 Walter, in: BeckOGK, § 630g BGB Rn. 22. 139 Cornelius / Spitz, GesR 2019, 69 (74); so auch Walter / Strobl, MedR 2018, 472 (477), die im Übrigen vorschlagen, eine Revision des § 630g BGB vorzunehmen. 140 Freund / Shagdar, SGb 2018, 267 (274).
C. Die übrigen Betroffenenrechte der DSGVO
271
kann, besteht insbesondere im Fall berufsrechtlicher Verschwiegenheitspflichten, wie zum Beispiel § 203 StGB.141 Daneben sieht § 34 BDSG n. F. weitere Einschränkungen des Auskunftsrechts der betroffenen Person vor. Für das Gesundheitswesen kann insbesondere § 34 Abs. 1 Nr. 2 lit. a BDSG n. F. relevant werden. Danach besteht kein Auskunftsrecht, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsfristen nicht gelöscht werden dürfen und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde. Solche gesetzlichen und satzungsmäßigen Aufbewahrungsfristen bestehen gerade im Gesundheitswesen zahlreich.142 Fraglich ist jedoch, ob das Interesse des Verantwortlichen, einen unverhältnismäßigen Aufwand zu vermeiden, der ihm bei der Erteilung der Auskunft über allein aufgrund von Aufbewahrungspflichten gespeicherten Daten entsteht, von Art. 23 DSGVO gedeckt ist.143 Ein solch erhöhter Aufwand ergibt sich in der Regel daraus, dass Daten, die allein aufgrund von Aufbewahrungspflichten gespeichert werden, aus dem produktiven Bestand entfernt und von den übrigen Daten getrennt aufbewahrt werden.144 In Betracht käme allein eine Einschränkung nach Art. 23 Abs. 1 lit. i Alt. 2 DSGVO, der eine Beschränkung zum Schutz von Rechten und Freiheiten anderer Personen zulässt. Unabhängig von der im Allgemeinen kontrovers diskutierten Frage, ob unter den Schutz „anderer Personen“ auch der Verantwortliche selbst zu fassen ist,145 fallen unter die in Art. 23 Abs. 1 lit. i DSGVO geregelten Schutzziele jedenfalls nur gewichtige private Rechtsgüter, wie etwa die Wahrung des Berufs 141
Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 220. 142 Gesetzliche und satzungsmäßige Aufbewahrungsfristen ergeben sich für Ärzte u. a. aus folgenden Vorschriften: Gemäß § 85 Abs. 2 StrlSchG hat der Strahlenschutzverantwortliche Aufzeichnungen sowie Röntgenbilder, digitale Bilddaten und sonstige Untersuchungsdaten im Fall von Behandlungen für eine Dauer von 30 Jahren (Nr. 1) sowie im Fall von Untersuchungen für eine Dauer von bis zu zehn Jahren bzw. bei Minderjährigen bis zur Vollendung des 28. Lebensjahres (Nr. 2 a, b) aufzubewahren; gemäß § 8 Abs. 5 Betäubungsmittelverschreibungs-Verordnung sind die Rezeptvordrucke Teil 3 drei Jahre lang aufzubewahren; gemäß § 14 Abs. 3 S. 1 Transfusionsgesetz müssen Aufzeichnungen über Anwendungen von Blutprodukten mindestens 15 Jahre aufbewahrt werden, Aufzeichnungen über Blutspenden sind gemäß § 11 Abs. 1 S. 2 Transfusionsgesetz ebenfalls regelmäßig mindestens 15 Jahre aufzubewahren; auch die Krankenhausgesetze der Länder sehen teilweise abweichende Fristen vor, so sieht § 4a Hamburgisches Krankenhausgesetz etwa eine Aufbewahrungsfrist für Patientenunterlagen von 30 Jahren vor. 143 Paal, in: Paal / Pauly, DSGVO BDSG, § 34 BDSG Rn. 2; Specht-Riemenschneider / Biene mann, in: Sydow, BDSG, § 34 BDSG Rn. 2. 144 Golla, in: Kühling / Buchner, DSGVO BDSG, § 34 BDSG Rn. 9; Specht-Riemenschneider / Bienemann, in: Sydow, BDSG, § 34 BDSG Rn. 12; a. A. Bayer, Ärztliche Dokumentationspflicht und Einsichtsrecht in Patientenakten, S. 224, nach dem eine Auskunft aus Patientenakten für den Behandelnden bereits keinen unverhältnismäßigen Aufwand darstelle, da er schon aufgrund seiner satzungsrechtlichen Verpflichtungen so organisiert sein müsse, dass er einem Auskunftsverlangen der Patienten unverzüglich nachkommen könne. 145 Dies bejahend Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 23 DSGVO Rn. 32; Werkmeister, in: Gola / Heckmann, BDSG, § 34 BDSG Rn. 5; Paal, in: Paal / Pauly, DSGVO BDSG, Art. 23 DSGVO Rn. 42; a. A. Johannes / Richter, DuD 2017, 300 (303).
272
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
geheimnisses oder menschenrechtlich geschützte Interessen.146 Das Anliegen, den mit der Erteilung der Auskunft von allein aufgrund von Aufbewahrungsfristen gespeicherten Daten verbundenen Aufwand zu vermeiden, ist hingegen rein wirtschaftlicher Natur und stellt keinen tauglichen Zweck zur Einschränkung des Betroffenenrechts i. S. d. Art. 23 Abs. 1 lit. i DSGVO dar.147 Da die Einschränkung dem Verantwortlichen lediglich den Aufwand für die Auskunftserteilung ersparen soll, ist sie nicht von Art. 23 Abs. 1 lit. i DSGVO gedeckt.148 Selbst wenn die Unionsrechtswidrigkeit der Vorschrift zum Teil in Zweifel gezogen wird,149 dürften die aufgrund von Aufbewahrungsvorschriften gespeicherten Daten daneben nicht weiteren Zwecken dienen.150 Erforderlich ist nach dem ausdrücklichen Wortlaut, dass die von der Auskunft umfassten Daten nur aufgrund der Aufbewahrungsvorschriften gespeichert werden.151 Allein aus diesem Grund wird die Ausnahme für die Patientendokumentation regelmäßig nicht von Bedeutung sein, da diese Dokumentation stets auch der Behandlung des Patienten dient.152 Der Anwendungsbereich der Einschränkung des Auskunftsrechts nach § 34 Abs. 1 Nr. 2 lit. a BDSG n. F. dürfte daher unabhängig von der Frage der Unionsrechtskonformität für das Gesundheitswesen sehr beschränkt sein. b) Einschränkung des Auskunftsrechts nach dem SGB Auch § 83 SGB X enthält Einschränkungen des Auskunftsrechts der betroffenen Person. Bevor auf das Verhältnis zur DSGVO eingegangen wird, ist zunächst das Verhältnis zu § 305 SGB V zu klären. Dieser regelt einen Auskunftsanspruch des Versicherten gegenüber seiner gesetzlichen Krankenversicherung bzw. der Kassenärztlichen Vereinigung über die in Anspruch genommenen Leistungen des Versicherten sowie deren Kosten und soll daher dazu beitragen, das Kostenbewusstsein
146
Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1188; Paal, in: Paal / Pauly, DSGVO BDSG, Art. 23 DSGVO Rn. 42. 147 Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 23 DSGVO Rn. 12, 32; Golla, in: Kühling / Buchner, DSGVO BDSG, § 34 BDSG Rn. 9; Dix, in: Simits / Hornung / Spiecker, Datenschutzrecht, Art. 23 DSGVO Rn. 32; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1203. 148 Dix, in: Simits / Hornung / Spiecker, Datenschutzrecht, Art. 15 DSGVO Rn. 36; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1203; Golla, in: Kühling / Buchner, DSGVO BDSG, § 34 BDSG Rn. 9; Botta, Datenschutz bei E-Learning-Plattformen, S. 196 f.; a. A. Werk meister, in: Gola / Heckmann, BDSG, § 34 BDSG Rn. 5. 149 So Werkmeister, in: Gola / Heckmann, BDSG, § 34 BDSG Rn. 5. 150 Werkmeister, in: Gola / Heckmann, BDSG, § 34 BDSG Rn. 12; Schmidt-Wudy, in: BeckOK Datenschutzrecht, § 34 BDSG Rn. 27. 151 Schmidt-Wudy, in: BeckOK Datenschutzrecht, § 34 BDSG Rn. 27. 152 Schröder, MedR 2019, 631 (634); ders. weist in Fn. 48 zutreffend darauf hin, dass die meisten Aufbewahrungspflichten einen sachlichen Grund für die Speicherung haben, sodass dieser die Geltendmachung der Ausnahme i. d. R. verhindere.
C. Die übrigen Betroffenenrechte der DSGVO
273
der Versicherten zu steigern.153 Dahingegen besteht der Zweck des allgemeinen Auskunftsanspruchs des Versicherten aus Art. 15 Abs. 1 DSGVO i. V. m. § 83 SGB X darin, diesem die Kenntnis der Verarbeitung seiner Sozialdaten zu ermög lichen, um die Zulässigkeit und Richtigkeit überprüfen zu können. Aufgrund der unterschiedlichen Zweckrichtung lässt der Auskunftsanspruch aus § 305 SGB V den allgemeinen Auskunftsanspruch des Versicherten aus Art. 15 Abs. 1 DSGVO i. V. m. § 83 SGB X unberührt.154 Nach § 83 Abs. 1 Nr. 2 SGB X besteht das Auskunftsrecht der betroffenen Person nicht, wenn die Sozialdaten nur deshalb gespeichert sind, weil Aufbewahrungsvorschriften die Löschung verhindern oder sie ausschließlich den Zwecken der Datensicherung oder Datenschutzkontrolle dienen und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde. Bei der Beurteilung des Aufwands hat der Verantwortliche die vorhandenen technischen Möglichkeiten zu berücksichtigen, gesperrte und archivierte Daten der betroffenen Person verfügbar zu machen.155 An das Vorliegen eines unverhältnismäßigen Aufwands ist grundsätzlich ein strenger Maßstab anzulegen, um das primärrechtlich anerkannte Ziel der Datentransparenz nicht zu unterlaufen.156 Diese Beschränkung zielt da rauf ab, die in § 35 Abs. 1 SGB I genannten Stellen vor einer unverhältnismäßigen Inanspruchnahme zu schützen und dient so dem Schutz der sozialen Sicherheit im Sinne des Art. 23 Abs. 1 lit. e DSGVO.157 Auch die in § 83 Abs. 2 S. 1 und 2 SGB X beschriebenen Mitwirkungspflichten der betroffenen Person beschränken das Auskunftsrecht und dienen ebenfalls dem Schutz der sozialen Sicherheit im Sinne des Art. 23 Abs. 1 lit. e DSGVO, indem sie vor einer unverhältnismäßigen Inanspruchnahme schützen.158 Daneben dient § 83 Abs. 2 S. 4 SGB X mit dem Verweis auf § 25 Abs. 2 SGB X dem Schutz der betroffenen Person, der Auskunft über ihre gesundheitlichen Verhältnisse erteilt wird,159 indem die Mitteilung von Informationen im Falle der Gefahr für die Gesundheit der betroffenen Person durch einen Arzt erfolgen kann. Diese Vorschrift ist im Interesse der betroffenen Person beibehalten worden, um diese vor einem Schaden durch die Kenntnis von bislang nicht bekannten gesundheitlichen Daten über die eigene Person zu bewahren und rechtfertigt sich über Art. 23 Abs. 1 lit. i Alt. 1 DSGVO.160 153
Hess, in: KassKomm Sozialversicherungsrecht, § 305 SGB V Rn. 2; Schneider, in: Krauskopf, Soziale Krankenversicherung, § 305 SGB V Rn. 3. 154 Scholz, in: BeckOK Sozialrecht, § 305 SGB V Rn. 4; Fischinger / Monsch, in: Spickhoff, Medizinrecht, § 305 SGB V Rn. 2; Michels, in: Becker / K ingreen, SGB V, § 305 SGB V Rn. 1. 155 BT-Drs. 18/12611, S. 120. 156 Leopold, in: KassKomm Sozialversicherungsrecht, § 83 SGB X Rn. 25; Kipker / Pollmann, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 26 Rn. 73. 157 Westphal, in: BeckOK Sozialrecht, § 83 SGB X Rn. 4; Bieresborn, NZS 2018, 10 (12). 158 BT-Drs. 18/12611, S. 120; Westphal, in: BeckOK Sozialrecht, § 83 SGB X Rn. 5. 159 BT-Drs. 18/12611, S. 120; Westphal, in: BeckOK Sozialrecht, § 83 SGB X Rn. 6. 160 Bieresborn, NZS 2018, 10 (12); ders., in: Schütze, SGB X, § 83 SGB X Rn. 17.
274
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
Das allgemeine Auskunftsrecht besteht somit in Art. 15 Abs. 1 DSGVO mit den Einschränkungen in § 83 SGB X.161 Nach § 83 Abs. 3 S. 1 SGB X besteht zudem eine Dokumentationspflicht über die Gründe der Auskunftsverweigerung. c) Einschränkung des Auskunftsrechts nach den LKHG Daneben stellt sich die Frage, wie sich die Betroffenenrechte der DSGVO zu den bereichsspezifischen Datenschutzregelungen auf Ebene des Landesrechts verhalten. So sieht § 39 Abs. 2 S. 1 LKHG SH etwa vor, dass die Auskunft über die gespeicherten Daten eingeschränkt werden kann, „soweit der Einsichtnahme erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen“. In ähnlicher Weise regelt auch § 13 Abs. 1 S. 2 HmbKHG, dass Anträge auf Auskunftserteilung abgelehnt werden können, „soweit eine Verletzung schutzwürdiger Belange anderer Personen möglich ist oder erhebliche therapeutische Gründe entgegenstehen“. Diese Einschränkungen im mitgliedstaatlichen Recht dienen dem Schutz der betroffenen Person und können sich daher ebenfalls auf die Öffnungsklausel in Art. 23 Abs. 1 lit. i Alt. 1 DSGVO stützen.162 Auch in anderen bereichsspezifischen Datenschutzgesetzen der Länder sind Einschränkungen des Art. 15 DSGVO normiert, so etwa in § 9 Abs. 2 S. 3 GDSG NW, § 35 LKHG M-V oder § 12 Abs. 4 S. 1 HKHG. Dort ist regelmäßig vorgesehen, dass ein Arzt die Auskunft über die gespeicherten Patientendaten vermitteln kann, sofern andernfalls eine unverhältnismäßige Beeinträchtigung der Gesundheit des Patienten zu befürchten ist. Auch solche Regelungen, die eine Vermittlung des Akteninhalts durch ärztliches Personal vorsehen, sind als Beschränkungen zum Schutz der betroffenen Person im Sinne des Art. 23 Abs. 1 lit. i Alt. 1 DSGVO zu verstehen.163
II. Recht auf Löschung, Art. 17 DSGVO Mit Art. 17 DSGVO wird der betroffenen Person ein Recht auf Löschung ihrer personenbezogenen Daten gewährt. Mit diesem Recht der betroffenen Person korrespondiert die Pflicht des Verantwortlichen, die jeweiligen Daten zu löschen. Dazu führt Art. 17 Abs. 1 lit. a bis f DSGVO sechs Gründe auf, die zur unverzüglichen Löschung der jeweiligen personenbezogenen Daten berechtigen bzw. verpflichten. Danach sind personenbezogene Daten etwa zu löschen, wenn sie für
161
Kunkel, ZFSH SGB 2017, 443 (448). LT-Drs. 21/11987, S. 10. 163 Paal, in: Paal / Pauly, DSGVO BDSG, Art. 23 DSGVO Rn. 41; Stender-Vorwachs, in: BeckOK Datenschutzrecht, Art. 23 DSGVO Rn. 31; Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 23 DSGVO Rn. 33; LT-Drs. 7/1583, S. 28. 162
C. Die übrigen Betroffenenrechte der DSGVO
275
die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind (lit. a) oder wenn die betroffene Person ihre Einwilligung widerrufen hat und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt (lit. b). Insbesondere der in Art. 17 Abs. 1 lit. a DSGVO vorgesehene Löschungsgrund dient der Verwirk lichung der Grundsätze der Datenminimierung und Speicherbegrenzung aus Art. 5 Abs. 1 lit. c und e DSGVO, nach denen personenbezogene Daten nur in dem Ausmaß verarbeitet werden dürfen, das zur Erfüllung der Zwecke notwendig ist, zu denen sie erhoben wurden.164 1. Einschränkungen des Rechts auf Löschung in der DSGVO Das Recht auf Löschung gilt aber nicht uneingeschränkt, vielmehr sieht Art. 17 Abs. 3 DSGVO Konstellationen vor, in denen die Pflicht zur Löschung entfällt. a) Erfüllung rechtlicher Verpflichtungen So besteht das Recht auf Löschung gemäß Art. 17 Abs. 3 lit. b Var. 1 DSGVO nicht, soweit die Verarbeitung der Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Die Vorschrift hat Bedeutung für besondere Aufbewahrungs- und Dokumentationspflichten, wie sie sich für den Bereich des ärztlichen Behandlungsvertrags etwa aus § 630f BGB ergeben.165 Danach ist der Behandelnde verpflichtet, in unmittelbarem zeitlichem Zusammenhang mit der Behandlung eine Patientenakte zu führen und diese für die Dauer von zehn Jahren nach Abschluss der Behandlung aufzubewahren. Die Frist beginnt mit dem letzten Patientenkontakt, etwa zum Abschluss der Behandlung.166 Daneben ergeben sich für das Gesundheitswesen relevante Aufbewahrungsfristen auch aus zahlreichen weiteren Spezialgesetzen.167 Vor Ablauf dieser Aufbewahrungsfristen hat ein Patient daher keinen Anspruch auf Löschung von ihn betreffenden personenbezogenen Daten.168
164
Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 17 DSGVO Rn. 17; Hauser / Haag, Datenschutz im Krankenhaus, S. 181. 165 Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 17 DSGVO Rn. 76. 166 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 123. 167 So sieht etwa § 15 TPG Aufbewahrungs- und Löschungsfristen vor, s. zu den gesetzlichen Aufbewahrungsfristen in weiteren Spezialgesetzen Kap. 4 Fn. 142; eine Übersicht zu den wesentlichen von der 10-Jahresfrist abweichenden Aufbewahrungsfristen findet sich bei Terbille / Feifel, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 1 Rn. 838. 168 KVB, Handbuch „Datenschutz in der Arzt-/Psychotherapeutenpraxis“, S. 14 abrufbar unter: https://www.kvb.de/praxis/praxisfuehrung/datenschutz/.
276
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
b) Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen Darüber hinaus stellt sich die Frage, ob auch nach Ablauf dieser Aufbewahrungsfristen eine weitere Aufbewahrung personenbezogener Daten zur Verteidigung von Rechtsansprüchen möglich ist.169 Art. 17 Abs. 3 lit. e DSGVO regelt, dass eine Pflicht zur Löschung nicht besteht, sofern die Datenverarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.170 Dies ist so zu verstehen, dass davon nicht nur die Geltendmachung und Ausübung von eigenen Rechtsansprüchen, sondern auch die Verteidigung gegen Rechtsansprüche Dritter erfasst ist.171 Denn das Ziel der Regelung des Art. 17 Abs. 3 lit. e DSGVO besteht darin, im Falle rechtlicher Auseinandersetzungen einem Beweismittelverlust infolge der Löschung entgegenzuwirken.172 Dies muss im Sinne eines sachgerechten Interessenausgleichs sowohl für die Fälle gelten, in denen es um die Durchsetzung eigener Rechtsansprüche geht, als auch für solche Fälle, in denen eine Verteidigung gegen fremde Rechtsansprüche erfolgt.173 aa) Aufbewahrung der Behandlungsdokumentation zur Verteidigung gegen Rechtsansprüche Da etwaige Schadensersatzansprüche gemäß § 199 Abs. 2 BGB erst in 30 Jahren von der Begehung der Handlung, der Pflichtverletzung oder dem sonstigen, den Schaden auslösenden Ereignis verjähren, wird in der zivilrechtlichen Literatur zum Teil empfohlen, die Patientendokumentation zur späteren Verteidigung gegen Rechtsansprüche in potentiellen Behandlungsfehlerprozessen über einen Zeitraum von 30 Jahren aufzubewahren.174 Denn bei Löschung der Patientendokumentation nach Ablauf der Mindestaufbewahrungsfrist würden dem Arzt wichtige Beweismittel in einem möglichen Prozess genommen. Zwar obliegt dem Patienten nach den allgemeinen Grundsätzen der Beweis, dass dem Arzt ein Behandlungsfehler unterlaufen ist.175 Zudem soll es nach Ablauf der 169
Hauser / Haag, Datenschutz im Krankenhaus, S. 186. So auch EG 65 S. 5 DSGVO. 171 Paal, in: Paal / Pauly, DSGVO BDSG, Art. 17 DSGVO Rn. 46; Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 17 DSGVO Rn. 37; Kamann / Braun, in: Ehmann / Selmayr, DSGVO, Art. 17 DSGVO Rn. 64; Waldkirch, VersR 2020, 1141 (1154); a. A. Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 17 DSGVO Rn. 83 Fn. 115. 172 Leutheusser-Schnarrenberger, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 17 DSGVO Rn. 71; Haag, Das Krankenhaus 2018, 216 (218); Peuker, in: Sydow, DSGVO, Art. 17 DSGVO Rn. 69. 173 Haag, Das Krankenhaus 2018, 216 (218). 174 Wagner, in: MüKo-BGB, § 630f BGB Rn. 17; Katzenmeier, in: Laufs / Katzenmeier / Lipp, Arztrecht, IX. Rn. 54; ders., NJW 2013, 817 (820) Fn. 54 spricht von einer „effektive[n] Haftungsprophylaxe“; Seiler, PinG 2018, 43 (46); dahingehend auch BT-Drs. 19/3194, S. 6 Nr. 14; a. A. ULD SH, Tätigkeitsbericht 2019, S. 78. 175 Katzenmeier, in: BeckOK BGB, § 630h BGB Rn. 8. 170
C. Die übrigen Betroffenenrechte der DSGVO
277
zehnjährigen Aufbewahrungsfrist gerade nicht mehr zu der Beweiserleichterung des § 630h Abs. 3 BGB zugunsten des Patienten kommen, nach der ansonsten vermutet wird, dass eine medizinisch gebotene Maßnahme nicht getroffen wurde, wenn die Patientenakte nicht auffindbar ist, da es dem Arzt nicht zum Nachteil gereichen soll, wenn die Dokumentation nach Ablauf der Aufbewahrungsfrist nicht mehr vorhanden ist.176 Wird die Patientenakte nach Ablauf der Aufbewahrungsfrist vernichtet, so entfällt folglich der Anknüpfungspunkt für § 630h Abs. 3 BGB, sodass die Vermutung zu Lasten des behandelnden Arztes nicht eingreift.177 Daraus kann allerdings nicht geschlossen werden, dass der Arzt die Patientendokumentation nach Ablauf der Aufbewahrungsfrist nicht mehr zur Verteidigung gegen Rechtsansprüche benötigt. Denn zur Durchsetzung der eigenen Interessen ist es notwendig, sich zu dem Behandlungsfall kundig machen zu können, was nicht möglich wäre, wenn die Dokumentation bereits gelöscht wurde.178 Erst recht wird das Vorliegen der Beweismittel im Fall der Beweislastumkehr zulasten des Behandelnden relevant, wie sie etwa hinsichtlich der ordnungsgemäß erbrachten Aufklärung des Patienten gilt, § 630h Abs. 2 S. 1 BGB. An dieser Beweislastverteilung ändert sich auch nach dem Ablauf der zehnjährigen Aufbewahrungspflicht der Behandlungsdokumentation, zu der die Aufklärungsbögen zählen, nichts. Auch wenn die Präsentation schriftlicher und vom Patienten unterzeichneter Aufklärungsbögen für sich allein keinen Vollbeweis dafür zu erbringen vermag, dass eine ordnungsgemäße Aufklärung stattgefunden hat, kommt den Dokumenten jedenfalls eine starke Indizwirkung zu.179 Zwar geht der BGH in seiner „immer-so“-Rechtsprechung davon aus, dass die Aufklärung auch im Einzelfall in der gebotenen Weise geschehen sei, wenn einiger Beweis für ein gewissenhaftes Aufklärungsgespräch erbracht worden sei.180 Jedoch ist der Beweis, dass man bei bestimmten Indikationen immer so aufkläre, nach so langer Zeit nicht wirklich aussagekräftig.181 Folglich könnte der Arzt den Prozess ohne die Aufklärungsdokumentation in der Regel nicht gewinnen. Die Beweislastverteilung im Arzthaftungsprozess verdeutlicht mithin, dass es oftmals notwendig sein kann, die Patientendokumentation auch über die Mindestaufbewahrungsfristen hinaus aufzubewahren. bb) Anforderungen an die Wahrscheinlichkeit der Geltendmachung von Rechtsansprüchen Aus datenschutzrechtlicher Sicht besteht jedoch Unklarheit darüber, ob bereits die abstrakte Möglichkeit künftiger Rechtsstreitigkeiten genügt, um zu begrün 176
OLG Hamm, VersR 2005, 412 (412). Wagner, in: MüKo-BGB, § 630h BGB Rn. 63. 178 Bundesärztekammer, Stellungnahme zum 2. DSAnpUG-EU v. 5. Dezember 2018, S. 6. 179 Wagner, in: MüKo-BGB, § 630h BGB Rn. 37. 180 BGH, NJW 2014, 1527 (1527); BGH, NJW 2015, 74 (75). 181 Zur Kritik an dieser Rechtsprechung auch Ziegler / Ziegler, GesR 2019, 205 (205 ff.); Wagner, in: MüKo-BGB, § 630h BGB Rn. 36. 177
278
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
den, dass die weitere Verarbeitung der Daten erforderlich i. S. v. Art. 17 Abs. 3 lit. e DSGVO ist. Teilweise wird davon ausgegangen, dass bereits konkrete Anhaltspunkte für streitige Auseinandersetzungen vorliegen müssen.182 Nach anderer Auffassung sei bei Unsicherheiten über künftige Rechtsstreitigkeiten im Rahmen einer Interessenabwägung zu ermitteln, ob die Wahrscheinlichkeit der Geltendmachung der Rechtsansprüche den mit der anhaltenden Speicherung verbundenen Eingriff in die Grundrechte der betroffenen Person rechtfertigen könne.183 Demnach sei eine Abwägung vorzunehmen, die die Interessen der betroffenen Person, das Gewicht der betroffenen Ansprüche und die Wahrscheinlichkeit der Geltendmachung von Ansprüchen berücksichtigt.184 Dieser Ansicht ist zuzustimmen, da sie die mit der Löschung bzw. Aufbewahrung der Daten verbundenen Interessen am ehesten in einen interessengerechten Ausgleich bringen kann. Dabei ist anzunehmen, dass bei der medizinischen Behandlung von Patienten zumindest im Grundsatz von einer höheren Wahrscheinlichkeit rechtlicher Auseinandersetzungen auszugehen ist als in anderen Bereichen.185 Dies bedeutet jedoch nicht, dass die Unterlagen stets über die Mindestaufbewahrungsfristen hinaus aufbewahrt werden dürfen. Vielmehr ist die Frage, ob ein Rechtsstreit mit hinreichender Wahrscheinlichkeit zu erwarten ist, danach zu beurteilen, wie oft in der Vergangenheit bei bestimmten medizi nischen Eingriffen ein Rechtsstreit nach Ablauf der gesetzlichen Aufbewahrungsfrist erfolgte.186 Auf diese Weise kann im Rahmen der Abwägung beispielsweise auch berücksichtigt werden, ob es sich um eine besonders schadensträchtige Abteilung eines Krankenhauses handelt.187 Fällt die Abwägung insgesamt zugunsten des Verantwortlichen aus, so können Patientenunterlagen auch über die jeweils vorgeschriebene Aufbewahrungsfrist hinaus aufbewahrt werden. c) Öffentliche Gesundheit Daneben statuiert auch Art. 17 Abs. 3 lit. c DSGVO eine für das Gesundheitswesen relevante Ausnahme von der Löschungspflicht. Danach besteht kein Recht auf Löschung, soweit die Verarbeitung aus Gründen des öffentlichen Interesses im 182
Leutheusser-Schnarrenberger, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 17 DSGVO Rn. 71; Nolte / Werkmeister, in: Gola, DSGVO, Art. 17 DSGVO Rn. 48 f.; Bayer, Ärztliche Dokumentationspflicht und Einsichtsrecht in Patientenakten, S. 82. 183 Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 17 DSGVO Rn. 38; Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 17 DSGVO Rn. 19, 83. 184 BayLDA, Auslegungshinweise Löschung von Patientendaten v. 15. Mai 2019, S. 1 abrufbar unter: https://www.lda.bayern.de/de/thema_loeschung.html; BayLDA, 8. Tätigkeitsbericht 2017/2018, März 2019, S. 49; BMWi, Orientierungshilfe zum Gesundheitsdatenschutz, S. 38; Worms, in: BeckOK Datenschutzrecht, Art. 17 DSGVO Rn. 87. 185 Haag, Das Krankenhaus 2018, 216 (218); Hauser / dies., Datenschutz im Krankenhaus, S. 188, 191. 186 BVITG / GMDS / GDD, Leitfaden für die Erstellung von Löschkonzepten im Gesundheitswesen, S. 7. 187 Hauser / Haag, Datenschutz im Krankenhaus, S. 191.
C. Die übrigen Betroffenenrechte der DSGVO
279
Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO erforderlich ist.188 Dies kann etwa zum Zweck der Meldung im Rahmen des Infektionsschutzes der Fall sein, wenn der behandelnde Arzt gemäß §§ 6, 8 und 9 IfSG zur namentlichen Meldung der Krankheit verpflichtet ist. Die Bezugnahme auf Art. 9 Abs. 2 lit. h DSGVO ist insofern widersprüchlich, als die Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit allein von Art. 9 Abs. 2 lit. i DSGVO abgedeckt sind. Diesbezüglich ist von einem Redaktionsversehen auszugehen.189 Die Löschungspflichten sollen in allen drei in der Vorschrift benannten Konstellationen ausgeschlossen sein, wenn sie die dort aufgeführten Zwecke beeinträchtigen.190 2. Einschränkung des Rechts auf Löschung im mitgliedstaatlichen Recht a) Einschränkung des Rechts auf Löschung nach dem BDSG n. F. Auch in § 35 BDSG n. F. finden sich Beschränkungen der Löschungspflicht. So besteht nach § 35 Abs. 1 S. 1 BDSG n. F. keine Pflicht des Verantwortlichen zur Löschung personenbezogener Daten, wenn eine Löschung wegen der besonderen Art der Speicherung, wie beispielsweise in einer analogen Patientenkartei,191 entweder gar nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist und das Interesse der betroffenen Person an der Löschung als gering anzusehen ist. In diesem Fall tritt an die Stelle der Löschung nach § 35 Abs. 1 S. 2 BDSG n. F. die Einschränkung der Verarbeitung. Die Gesetzesbegründung selbst führt im Hinblick auf die Regelung in § 35 Abs. 1 BDSG n. F. keinen der Tatbestände des Art. 23 Abs. 1 DSGVO auf, nach dem eine derartige Einschränkung des Rechts auf Löschung zulässig wäre.192 In Betracht käme allein Art. 23 Abs. 1 lit. i DSGVO, nach dem eine Einschränkung zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen möglich ist. Soweit die Einschränkung aber allein dem Zweck dient, dem Verantwortlichen den mit der Wahrnehmung eines Betroffenenrechts verbundenen Aufwand zu ersparen,193 muss diesbezüglich Gleiches wie für § 34 Abs. 1 Nr. 2 lit. a BDSG n. F. gelten, nach dem das Auskunftsrecht ebenfalls entfallen soll, wenn die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde. Wie dort bereits 188
So auch EG 65 S. 5 DSGVO. Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 17 DSGVO Rn. 33; Worms, in: BeckOK Datenschutzrecht, Art. 17 DSGVO Rn. 85. 190 Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 17 DSGVO Rn. 33. 191 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 123. 192 Worms, in: BeckOK Datenschutzrecht, § 35 BDSG Rn. 24; Herbst, in: Kühling / Buchner, DSGVO BDSG, § 35 BDSG Rn. 15; BT-Drs. 18/11325, S. 105. 193 Herbst, in: Kühling / Buchner, DSGVO BDSG, § 35 BDSG Rn. 16. 189
280
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
näher erläutert, kann die Beschränkungsregelung des Art. 23 Abs. 1 lit. i DSGVO nicht auf rein wirtschaftliche Interessen gestützt werden, da diese keinen besonderen rechtlichen Schutz genießen.194 Das Entfallen der Löschverpflichtung aufgrund eines unverhältnismäßig hohen Aufwands bewegt sich somit außerhalb des Rahmens der Öffnungsklauseln der DSGVO und ist folglich nicht mit dem Unionsrecht vereinbar.195 Das Recht auf Löschung besteht daneben gemäß § 35 Abs. 3 BDSG n. F. auch dann nicht, wenn einer Löschung nach Art. 17 Abs. 1 lit. a DSGVO satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen. Damit ergänzt der nationale Gesetzgeber den Ausnahmetatbestand des Art. 17 Abs. 3 lit. b Var. 1 DSGVO, nach dem die Löschungspflicht entfällt, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Neben den durch diese Vorschrift bereits erfassten gesetzlichen Aufbewahrungspflichten, sollen daher auch satzungsgemäße und vertragliche Aufbewahrungspflichten berücksichtigt werden.196 Somit entfällt das Recht auf Löschung nicht nur bei Bestehen einer rechtlichen Verpflichtung nach Art. 17 Abs. 3 lit. b DSGVO, sondern gemäß § 35 Abs. 3 BDSG n. F. auch, wenn der Löschung satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen.197 Ausweislich der Gesetzesbegründung soll § 35 Abs. 3 BDSG n. F. den Verantwortlichen vor einer Pflichtenkollision bewahren, die dadurch entstehen kann, dass Vorschriften des deutschen Rechts eine fortgesetzte Speicherung von Daten vorsehen, für die nach Art. 17 Abs. 1 DSGVO grundsätzlich eine Löschungspflicht bestehen würde.198 Satzungsgemäße Aufbewahrungsfristen können sich etwa aus der Satzung einer Handelsgesellschaft oder eines Vereins, also aus einer privatrechtlichen Satzung, ergeben.199 Aufbewahrungsfristen in Satzungen öffentlich-rechtlicher Körperschaften sollen hingegen nicht unter die Regelung des § 35 Abs. 3 BDSG n. F., sondern unter die Regelung des Art. 17 Abs. 3 lit. b DSGVO fallen, konkret unter den Begriff der „rechtlichen Verpflichtung“.200 Dies betrifft etwa die Aufbewahrungsfristen für ärztliche Aufzeichnungen in den Berufsordnungen der Ärztekammern der Länder. In Bezug auf die rechtlichen Auswirkungen verbleibt die Zuordnung von Aufbewahrungsfristen in Satzungen öffentlich-rechtlicher Körperschaften zu den satzungsgemäßen 194 Herbst, in: Kühling / Buchner, DSGVO BDSG, § 35 BDSG Rn. 16; Worms, in: BeckOK Datenschutzrecht, § 35 BDSG Rn. 24; Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 23 DSGVO Rn. 32; s. dazu unter Kap. 4 C. I. 3. a), (S. 270 f.). 195 Herbst, in: Kühling / Buchner, DSGVO BDSG, § 35 BDSG Rn. 16; Worms, in: BeckOK Datenschutzrecht, § 35 BDSG Rn. 24; Paal, in: Paal / Pauly, DSGVO BDSG, § 35 BDSG Rn. 2; a. A. Nolte / Werkmeister, in: Gola / Heckmann, BDSG, § 35 BDSG Rn. 2 ff. 196 Nolte / Werkmeister, in: Gola, DSGVO, Art. 17 DSGVO Rn. 61. 197 Herbst, in: Kühling / Buchner, DSGVO BDSG, § 35 BDSG Rn. 26. 198 BT-Drs. 18/11325, S. 106; Worms, in: BeckOK Datenschutzrecht, § 35 BDSG Rn. 37. 199 Herbst, in: Kühling / Buchner, DSGVO BDSG, § 35 BDSG Rn. 26; Stollhoff, in: Auernhammer, DSGVO BDSG, § 35 BDSG Rn. 31. 200 Herbst, in: Kühling / Buchner, DSGVO BDSG, § 35 BDSG Rn. 26; Stollhoff, in: Auernhammer, DSGVO BDSG, § 35 BDSG Rn. 31.
C. Die übrigen Betroffenenrechte der DSGVO
281
Aufbewahrungsfristen i. S. d. § 35 Abs. 3 BDSG n. F. oder einer rechtlichen Verpflichtung i. S. d. Art. 17 Abs. 3 lit. b DSGVO jedenfalls eine theoretische Frage, da die Löschungspflicht gleichsam in beiden Fällen entfällt. Zudem besteht das Recht auf Löschung auch dann nicht, wenn einer Löschung vertragliche Aufbewahrungsfristen entgegenstehen. Die Beschränkung des Rechts auf Löschung aufgrund vertraglicher Aufbewahrungsfristen umfasst dabei nach dem Wortlaut auch Aufbewahrungsfristen in Verträgen zwischen dem Verantwortlichen und einem Dritten.201 Dies ist insofern problematisch, als das Recht der betroffenen Person auf Löschung durch die Eingehung privatrechtlicher Vereinbarungen mit Dritten durch den Verantwortlichen gezielt umgangen werden könnte.202 Daher ist der Anwendungsbereich der Vorschrift dahingehend teleologisch zu reduzieren, dass nur solche vertraglichen Aufbewahrungsfristen erfasst sind, die zwischen dem Verantwortlichen und der betroffenen Person selbst getroffen werden.203 Stehen einer Löschung satzungsgemäße oder vertragliche Fristen entgegen, tritt an die Stelle der Löschung nach § 35 Abs. 1 S. 2, Abs. 3 BDSG n. F. das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Im Falle der Einschränkung dürfen die personenbezogenen Daten nach Art. 18 Abs. 2 DSGVO nur mit Einwilligung der betroffenen Person, zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, zum Schutz der Rechte einer anderen Person oder aus Gründen eines wichtigen öffentlichen Interesses verarbeitet werden. Festzuhalten bleibt, dass gemäß Art. 17 Abs. 3 lit. b DSGVO und § 35 Abs. 3 BDSG n. F. kein Recht der betroffenen Person auf und keine Pflicht des Verantwortlichen zur Löschung besteht, soweit gesetzliche, satzungsgemäße oder vertragliche Aufbewahrungsfristen einer Löschung entgegenstehen.204 Die Gesetzesbegründung benennt als Legitimation der in § 35 Abs. 3 BDSG n. F. normierten Einschränkung des Rechts auf Löschung lediglich den Schutz des Verantwortlichen vor einer Pflichtenkollision und nimmt darüber hinaus keinen Bezug auf einen der Einschränkungstatbestände des Art. 23 Abs. 1 DSGVO.205 Da die Einschränkung einerseits dem Schutz der Rechte und Freiheiten des Verantwortlichen dient, dem bei einer Missachtung der Aufbewahrungsfristen ggf. zivilrechtliche Sanktionen drohen, sowie andererseits den Rechten und Freiheiten derjenigen Personen, zu deren Gunsten die Aufbewahrungsfristen bestehen, erfüllt sie die Voraussetzungen der Öffnungsklausel des Art. 23 Abs. 1 lit. i DSGVO.206 201 Nolte / Werkmeister, in: Gola / Heckmann, BDSG, § 35 BDSG Rn. 18; Paal, in: Paal / Pauly, DSGVO BDSG, § 35 BDSG Rn. 7. 202 Paal, in: Paal / Pauly, DSGVO BDSG, § 35 BDSG Rn. 7; Nolte / Werkmeister, in: Gola / Heckmann, BDSG, § 35 BDSG Rn. 18. 203 Paal, in: Paal / Pauly, DSGVO BDSG, § 35 BDSG Rn. 7. 204 Hauser / Haag, Datenschutz im Krankenhaus, S. 186; Herbst, in: Kühling / Buchner, DSGVO BDSG, § 35 BDSG Rn. 26; Nolte / Werkmeister, in: Gola, DSGVO, Art. 17 DSGVO Rn. 61. 205 BT-Drs. 18/11325, S. 106; Herbst, in: Kühling / Buchner, DSGVO BDSG, § 35 BDSG Rn. 29. 206 Nolte / Werkmeister, in: Gola / Heckmann, BDSG, § 35 BDSG Rn. 20; Herbst, in: Kühling / Buchner, DSGVO BDSG, § 35 BDSG Rn. 29; a. A. Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1222.
282
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
b) Spezifizierung der Pflicht zur Löschung im SGB V Auch für die den Regelungen des SGB V unterliegenden gesetzlichen Krankenkassen ergibt sich die Pflicht zur Löschung grundsätzlich aus Art. 17 Abs. 1 DSGVO. Das SGB V sieht diesbezüglich lediglich Spezifizierungen dieser Pflicht vor, die sich ausweislich der Gesetzesbegründung auf Art. 9 Abs. 2 lit. b und h i. V. m. Abs. 4 DSGVO stützen.207 Eine solche Spezifizierung findet sich in § 304 Abs. 1 und 3 SGB V, der in Ergänzung zu Art. 5 Abs. 1 lit. e, Art. 17 Abs. 1 lit. a DSGVO sowie § 84 SGB X Fristen zur Aufbewahrung von Sozialdaten regelt.208 § 304 SGB V wurde durch das 2. DSAnpUG-EU unter Beibehaltung des geltenden Rechts redaktionell angepasst. Zunächst ergibt sich die Pflicht zur Löschung nach Aufgabenerfüllung nun nicht mehr aus dem Verweis auf § 84 Abs. 2 SGB X a. F., sondern direkt aus Art. 5 Abs. 1 lit. e und Art. 17 Abs. 1 lit. a DSGVO.209 Daneben legt § 304 SGB V konkrete Fristen für die Löschung der von den Krankenkassen und Kassenärztlichen Vereinigungen gespeicherten Sozialdaten fest.210 So sind gemäß § 304 Abs. 1 S. 1 Nr. 1 SGB V die für die Aufgaben der gesetz lichen Krankenversicherung nach § 292 SGB V sowie nach § 295 Abs. 1a, 1b und Abs. 2 SGB V gespeicherten Sozialdaten nach spätestens zehn Jahren zu löschen.211 Die Löschfrist nach § 304 Abs. 1 S. 1 Nr. 1 SGB V betrifft dementsprechend ambulante Versorgungsdaten, die für die Prüfung der Voraussetzungen späterer Leistungsgewährung gespeichert wurden sowie die im Rahmen von Abrechnungsprüfungen in der vertragsärztlichen Versorgung vorgelegten Befunde (§ 295 Abs. 1a), die von Ärzten, medizinischen Versorgungszentren und Krankenhäusern übermittelten Angaben (§ 295 Abs. 1b) und die von der Kassenärztlichen Vereinigung den Krankenkassen übermittelten Angaben (§ 295 Abs. 2).212 Die Aufbewahrungsfrist beginnt gemäß § 304 Abs. 1 S. 2 SGB V mit dem Ende des Geschäftsjahres zu laufen, in dem die Leistungen gewährt oder abgerechnet wurden. Zudem ist seit der Aufhebung des § 284 Abs. 1 S. 4 SGB V a. F. durch das 2. DSAnpUG-EU die darin vorgeschriebene abweichende Löschfrist nicht mehr zu berücksichtigen, nach der die zu den dort benannten Zwecken gespeicherten Daten abweichend von § 304 SGB V bereits zu löschen waren, sobald sie für die genannten Zwecke nicht mehr benötigt wurden.213 Dies führt jedoch wegen der unmit 207
BT-Drs. 19/4674, S. 384. Michels, in: Becker / K ingreen, SGB V, § 304 SGB V Rn. 1; Kühling, MedR 2019, 611 (616). 209 Der bisherige Verweis auf § 84 Abs. 2 SGB X wurde gestrichen, BT-Drs. 19/4674, S. 384; Koch, in: Schlegel / Voelzke, JurisPK-SGB V, § 304 SGB V Rn. 12. 210 Koch, in: Schlegel / Voelzke, JurisPK-SGB V, § 304 SGB V Rn. 7. 211 Die Frist zur Löschung dieser ambulanten Versorgungsdaten wurde im Zuge des DigitaleVersorgung-Gesetzes von vier auf zehn Jahre verlängert, um diese an die Aufbewahrungsfristen im stationären Sektor anzupassen. 212 Koch, in: Schlegel / Voelzke, JurisPK-SGB V, § 304 SGB V Rn. 9 f. 213 Michels, in: Becker / K ingreen, SGB V, § 284 SGB V Rn. 4. 208
C. Die übrigen Betroffenenrechte der DSGVO
283
telbaren Geltung von Art. 5 Abs. 1 lit. e DSGVO und Art. 17 Abs. 1 lit. a DSGVO nicht zu einer inhaltlichen Änderung.214 c) Vorschriften zur Löschung von Patientendaten in den LKHG Auch die Krankenhausgesetze einiger Länder sehen Vorschriften zur Löschung von Patientendaten vor. So sind im Krankenhaus gespeicherte Patientendaten gemäß § 14 S. 1 HmbKHG, § 36 Abs. 6 Nr. 1 LKHG Rh.-Pf. sowie § 40 Abs. 1 LKHG SH zu löschen, wenn sie zur Verarbeitung nicht mehr in personenbezogener Form erforderlich sind.215 Durch diese Vorgaben wird das Recht auf Löschung aus Art. 17 DSGVO aber nicht eingeschränkt, vielmehr wird der Löschungsgrund aus Art. 17 Abs. 1 lit. a DSGVO wiederholt, nach dem personenbezogene Daten ebenfalls unverzüglich zu löschen sind, wenn diese Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Der Statuierung eines derartigen Löschungsgrundes in den LKHG hätte es somit nicht mehr bedurft. Eine solche Wiederholung erscheint vor dem Hintergrund des europäischen Normwiederholungsverbots jedoch nicht unzulässig, da sie im komplizierten Regel-AusnahmeVerhältnis der unionalen und nationalen Vorgaben dafür sorgt, die nationalen Rechtsvorschriften insgesamt verständlicher zu machen, EG 8 DSGVO. 3. Urteil des Bundessozialgerichts zur Löschung des Lichtbildes für die Ausstellung der elektronischen Gesundheitskarte und die Reaktion des Gesetzgebers a) Bundessozialgericht: Keine dauerhafte Speicherung des Lichtbildes Mit dem Recht auf Löschung aus der DSGVO und dessen Zusammenwirken mit den bereichsspezifischen Datenschutzregelungen im SGB hatte sich auch das BSG zu befassen. Die Entscheidung betraf die Frage, ob ein zur Ausstellung einer elektronischen Gesundheitskarte an eine Krankenkasse übersandtes Lichtbild nach Übermittlung der Gesundheitskarte an den Versicherten bis zum Ende des Versicherungsverhältnisses gespeichert werden dürfe.216 Nachdem seit längerem umstritten war, wie lange Krankenkassen die Lichtbilder ihrer Versicherten speichern dürfen,217 hat das BSG in der vorliegenden Entscheidung im Sinne des Klägers entschieden und diesem einen Anspruch auf Unterlassung der zukünftigen Spei-
214
BT-Drs. 19/4674, S. 373; Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 8. 215 Auch § 8 GDSG NW und § 27 Abs. 9 ThürKHG führen Fälle auf, in denen Patientendaten zu löschen sind. 216 BSGE 127, 181 (181 ff.). 217 Schneider, in: Krauskopf, Soziale Krankenversicherung, § 291 SGB V Rn. 23 m. w. N.
284
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
cherung des Lichtbildes zugesprochen. Der Anspruch auf Löschung folgte nach Ansicht des Gerichts aus Art. 17 Abs. 1 lit. a DSGVO.218 Danach sind personenbezogene Daten zu löschen, soweit sie für Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Nach § 284 Abs. 1 S. 1 Nr. 2 SGB V dürfen Krankenkassen Sozialdaten für Zwecke der Krankenversicherung erheben und speichern, soweit dies für die Ausstellung der eGK erforderlich ist.219 Mit Abschluss der Übermittlung der eGK an den Versicherten sei der Zweck der Speicherung des Lichtbildes bei der Krankenkasse jedoch erreicht.220 Die Speicherung des Lichtbildes sei somit nach der Übermittlung an den Versicherten für die Ausstellung der elektronischen Gesundheitskarte nicht mehr erforderlich i. S. d. § 284 Abs. 1 S. 1 Nr. 2 SGB V. Die Erlaubnis zur Datenspeicherung beziehe sich schon nach dem Wortlaut des § 284 Abs. 1 S. 1 Nr. 2 SGB V nur auf die Ausstellung einer einzigen Gesundheitskarte.221 Der Begriff der Ausstellung umfasse lediglich die Herstellung und Übermittlung der konkreten Gesundheitskarte an den Versicherten und beziehe sich mithin auf einen zeitlich abgrenzbaren Vorgang.222 In dem Moment, in dem sich die Karte so im Herrschaftsbereich des Versicherten befinde, dass er sie als Berechtigungsnachweis verwenden könne, sei die Übermittlung abgeschlossen und der Zweck der Verarbeitung folglich erfüllt.223 Demnach habe der Versicherte gegen seine Krankenkasse einen Anspruch darauf, dass diese es unterlasse, die zur Ausstellung der elektronischen Gesundheitskarte eingereichten Bilder nach der Übermittlung der Gesundheitskarte an den Versicherten zu speichern.224 b) Befugnis zur Speicherung des Lichtbildes nach § 291a Abs. 6 S. 1 SGB V In Reaktion auf diese Entscheidung regelt der im Zuge des PDSG neu eingefügte § 291a Abs. 6 S. 1 SGB V nun, dass die Krankenkassen das Lichtbild zur Ausstellung der elektronischen Gesundheitskarte für die Dauer des Versicherungsverhältnisses des Versicherten, jedoch längstens für zehn Jahre, für Ersatzund Folgeausstellungen der elektronischen Gesundheitskarte speichern dürfen.225 Ausweislich der Gesetzesbegründung soll durch den neu eingefügten Absatz eine Rechtsgrundlage für die Krankenkassen geschaffen werden, damit diese das Lichtbild des Versicherten für die Dauer des Versicherungsverhältnisses, jedoch längstens für zehn Jahre, speichern dürfen.226 Diese neue Aufbewahrungsregel stellt folglich eine Rechtsgrundlage für die weitere Speicherung des Lichtbildes i. S. d. 218
BSGE 127, 181 (183) Rn. 13. BSGE 127, 181 (187) Rn. 20. 220 BSGE 127, 181 (187) Rn. 21–22. 221 BSGE 127, 181 (187) Rn. 21–22. 222 BSGE 127, 181 (187) Rn. 21–22. 223 BSGE 127, 181 (187) Rn. 21–22. 224 BSGE 127, 181 (181) Ls. 1. 225 Scholz, in: BeckOK Sozialrecht, § 291a SGB V Rn. 8. 226 BT-Drs. 19/18793, S. 96. 219
C. Die übrigen Betroffenenrechte der DSGVO
285
Art. 17 Abs. 3 lit. b DSGVO dar, an der es zu Zeiten der Entscheidung des BSG noch fehlte. Das Lichtbild ist demnach nicht mehr nach der Übermittlung der elektronischen Gesundheitskarte an den Versicherten zu löschen.227 Vielmehr werden die Krankenkassen in § 291a Abs. 6 S. 2 SGB V nun verpflichtet, das Lichtbild erst nach Beendigung des Versicherungsverhältnisses unverzüglich, spätestens aber nach drei Monaten, zu löschen. Die Verarbeitung der Daten ist dann nicht mehr erforderlich.228
III. Recht auf Datenübertragbarkeit, Art. 20 DSGVO Das Recht auf Datenübertragbarkeit wurde mit der DSGVO neu eingeführt.229 Dieses Recht zielt darauf ab, dass der betroffenen Person sie betreffende personenbezogene Daten von dem Verantwortlichen in einem interoperablen Format zur Verfügung gestellt werden, welches die Übermittlung an einen weiteren Verantwortlichen ermöglicht. Alternativ zielt dieses Recht auch auf eine direkte Weitergabe der Daten zwischen verschiedenen Verantwortlichen ab.230 Dadurch soll der betroffenen Person für den Fall der Verarbeitung personenbezogener Daten mit automatischen Mitteln eine bessere Kontrolle über die eigenen Daten ermöglicht werden.231 Anders als beim Recht auf Erhalt einer Kopie nach Art. 15 Abs. 3 DSGVO besteht der Zweck des Rechts auf Datenübertragbarkeit nicht in der Information der betroffenen Person über die Datenverarbeitung, sondern vielmehr in der Ermöglichung oder Erleichterung des Anbieterwechsels.232 Im Gesetzgebungsverfahren wurde zunächst diskutiert, ob Art. 20 DSGVO auf Anbieter bestimmter Leistungen, wie beispielsweise sozialer Netzwerke, beschränkt werden solle.233 Daran wird deutlich, dass das Recht auf Datenübertragbarkeit von seiner Zielsetzung her zunächst nicht auf die Datenverarbeitung im Gesundheitswesen zugeschnitten war.234 Die finale Fassung der DSGVO enthält eine solche Beschränkung auf bestimmte Anbieter jedoch nicht.235 Der Anwendungsbereich von Art. 20 DSGVO ist daher dem Grunde nach sehr umfassend und unterscheidet insbesondere nicht nach verschiedenen Branchen oder Arten von 227
Dochow, MedR 2020, 979 (982). Dochow, MedR 2020, 979 (982). 229 Kamann / Braun, in: Ehmann / Selmayr, DSGVO, Art. 20 DSGVO Rn. 2; Piltz, in: Gola, DSGVO, Art. 20 DSGVO Rn. 1. 230 Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 20 DSGVO Rn. 1; Kamann / Braun, in: Ehmann / Selmayr, DSGVO, Art. 20 DSGVO Rn. 1. 231 EG 68 S. 1 DSGVO. 232 Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 20 DSGVO Rn. 1. 233 Jülicher / Röttgen / v. Schönfeld, ZD 2016, 358 (361); s. EG 55 S. 2 des Verordnungsentwurfs der Kommission v. 25. Januar 2012, COM(2012) 11 final. 234 Buchner, Datenschutz im Gesundheitswesen, S. 93. 235 Kamann / Braun, in: Ehmann / Selmayr, DSGVO, Art. 20 DSGVO Rn. 5; Piltz, in: Gola, DSGVO, Art. 20 DSGVO Rn. 6; Jülicher / Röttgen / v. Schönfeld, ZD 2016, 358 (361). 228
286
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
Datenverarbeitern.236 Ob eine betroffene Person ihr Recht tatsächlich ausüben kann, hängt daher von der Erfüllung der verschiedenen Tatbestandsvoraussetzungen des Art. 20 DSGVO ab.237 1. Datenverarbeitung auf der Grundlage einer Einwilligung oder eines Vertrags Der betroffenen Person steht das Recht auf Datenübertragbarkeit gemäß Art. 20 Abs. 1 lit. a DSGVO nur zu, sofern die Verarbeitung auf einer Einwilligung gemäß Art. 9 Abs. 1 lit. a DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit. b DSGVO beruht. Wie aufgezeigt, wird die Datenverarbeitung im Rahmen der Patientenversorgung in der Regel von dem gesetzlichen Erlaubnistatbestand des Art. 9 Abs. 2 lit. h DSGVO legitimiert. Da Art. 9 Abs. 2 lit. h DSGVO nicht in Art. 20 DSGVO aufgeführt wird, liegt zunächst die Annahme nahe, dass Gesundheitsdaten, die auf Basis dieser Rechtsgrundlage verarbeitet werden, nicht dem Recht auf Datenübertragbarkeit unterliegen.238 Dagegen spricht aber, dass das Recht auf Datenübertragbarkeit nach EG 68 S. 3 DSGVO auch dann gelten soll, wenn die Verarbeitung generell zur Erfüllung eines Vertrags erforderlich ist. Daher ist anzunehmen, dass das Recht auf Datenübertragbarkeit für alle Datenverarbeitungen gilt, die auf Verträgen beruhen und somit auch für den Patienten, dessen Daten auf Grundlage eines Behandlungsvertrags i. S. d. § 630a BGB verarbeitet werden.239 Daneben muss im Sinne eines Erst-Recht-Schlusses gelten, dass, wenn betroffenen Personen schon für allgemeine personenbezogene Daten ein Recht auf Datenübertragbarkeit zugestanden wird, dieses Recht für die besonderen Kategorien personenbezogener Daten aufgrund des gesteigerten Interesses der betroffenen Person am Schutz dieser Daten erst recht gelten muss.240 Für Konstellationen, die außerhalb der eigentlichen Patientenbehandlung liegen und in denen die Datenverarbeitung auf der Grundlage einer Einwilligung i. S. d. Art. 9 Abs. 2 lit. a DSGVO erfolgt, ist die Regelung des Art. 20 DSGVO hingegen bereits nach ihrem eindeutigen Wortlaut unzweifelhaft anwendbar.241
236 Piltz, in: Gola, DSGVO, Art. 20 DSGVO Rn. 7; Jülicher, Medizininformationsrecht, S. 128. 237 Piltz, in: Gola, DSGVO, Art. 20 DSGVO Rn. 7. 238 So BayLDA, 8. Tätigkeitsbericht 2017/2018, März 2019, S. 49 f.; Alich / Voskamp, BvDNews 2017, 24 (25). 239 Schütze / Spyra, RDV 2016, 285 (288); GMDS, Hinweise / Stellungnahme zum „Recht auf Datenübertragbarkeit“ gemäß Art. 20 DS-GVO, S. 10, abrufbar unter: https://gesund heitsdatenschutz.org/download/recht_datenuebertragbarkeit.pdf; Fleischer, Rechtliche Aspekte der Systemmedizin, S. 238 Fn. 1091; a. A. Wolf, GuP 2018, 129 (130). 240 GMDS, Hinweise / Stellungnahme zum „Recht auf Datenübertragbarkeit“ gemäß Art. 20 DS-GVO, S. 10; Jülicher, Medizininformationsrecht, S. 126 f. Fn. 455. 241 GMDS, Hinweise / Stellungnahme zum „Recht auf Datenübertragbarkeit“ gemäß Art. 20 DS-GVO, S. 10.
C. Die übrigen Betroffenenrechte der DSGVO
287
2. Das Tatbestandsmerkmal „Bereitstellen“ im Bereich der medizinischen Datenverarbeitung Zudem werden von Art. 20 DSGVO nur solche personenbezogenen Daten erfasst, die vom Anspruchsinhaber bereitgestellt wurden. Die DSGVO selbst enthält keine Legaldefinition des Begriffs „Bereitstellen“, jedoch ist in Art. 4 Nr. 2 DSGVO die Rede von einer „Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“. Daraus lässt sich schließen, dass eine betroffene Person sie betreffende personenbezogene Daten bereitstellt, wenn sie dem Verantwortlichen eine Zugriffsmöglichkeit auf diese Daten eröffnet.242 Im Bereich der medizinischen Datenverarbeitung stellt sich insbesondere die Frage, ob dies bei Diagnosedaten der Fall ist. Denn personenbezogene Daten, die vom Verantwortlichen als Ergebnis einer Verarbeitung i. S. e. Auswertung erstellt werden, sollen gerade nicht zu den von der betroffenen Person bereitgestellten Daten zählen.243 Da Diagnosedaten auf einer Untersuchung seitens des Arztes beruhen, werden sie somit nicht vom Patienten zur Verfügung gestellt.244 Daten, die der Verantwortliche aus Rückschlüssen erzeugt, wie die Ergebnisse einer Bewertung des Gesundheitszustandes, sind daher nicht von Art. 20 DSGVO erfasst.245 Patientenstammdaten hingegen, die beispielsweise vom Patient in einem Anam nesebogen angegeben werden, gehören zu den Daten, die der Patient dem Arzt bereitstellt.246 Dies gilt auch für Befunddaten eines Facharztes, die ein Patient seinem Hausarzt zur Verfügung stellt.247 Ein neuer Anwendungsbereich des Art. 20 DSGVO eröffnet sich zudem daraus, dass digitale Gesundheitsanwendungen i. S. d. § 33a Abs. 1 S. 1 SGB V nach § 5 Abs. 1 S. 2 Digitale GesundheitsanwendungenVerordnung (DiGAV)248 so zu konzipieren sind, dass die von der digitalen Ge 242
Jülicher / Röttgen / v. Schönefeld, ZD 2016, 359 (359); GMDS, Hinweise / Stellungnahme zum „Recht auf Datenübertragbarkeit“ gemäß Art. 20 DS-GVO, S. 4 f.; Krüger-Brand, DÄBl. 2018, Heft 8, A330 (A330); Schürmann, in: Auernhammer, DSGVO BDSG, Art. 20 DSGVO Rn. 25; Paal, in: Paal / Pauly, DSGVO BDSG, Art. 20 DSGVO Rn. 17 m. w. N.; Forum Privat heit, Policy Paper Evaluation der Datenschutz-Grundverordnung, S. 9. 243 Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 20 DSGVO Rn. 11; Kamann / Braun, in: Ehmann / Selmayr, DSGVO, Art. 20 DSGVO Rn. 13. 244 Seiler, PinG 2018, 43 (45); Veil, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 20 DSGVO Rn. 93. 245 So Art. 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev. 01, v. 5. April 2017, S. 11; BayLDA, 8. Tätigkeitsbericht 2017/2018, März 2019, S. 50; Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 20 DSGVO Rn. 11; Kamann / Braun, in: Ehmann / Selmayr, DSGVO, Art. 20 DSGVO Rn. 13; Rudolph, in: Schwartmann / Jaspers / Thüsing / Kugelmann, DSGVO BDSG, Art. 20 DSGVO Rn. 53; Strubel, ZD 2017, 355 (357); vgl. Fleischer, Rechtliche Aspekte der Systemmedizin, S. 238. 246 Seiler, PinG 2018, 43 (45); Jülicher, Medizininformationsrecht, S. 128 Fn. 462. 247 Seiler, PinG 2018, 43 (48) Fn. 10. 248 Verordnung über das Verfahren und die Anforderungen zur Prüfung der Erstattungs fähigkeit digitaler Gesundheitsanwendungen in der gesetzlichen Krankenversicherung (Digitale Gesundheitsanwendungen-Verordnung – DiGAV) v. 8. April 2020, BGBl. 2020 Teil I Nr. 18 v. 20. April 2020, S. 768; ausführlich zum Einsatz von digitalen Gesundheitsanwendungen in der Gesundheitsversorgung im Kapitel 6.
288
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
sundheitsanwendung verarbeiteten Daten in geeigneten interoperablen Formaten exportiert und im Rahmen der Versorgung genutzt werden können. Dazu soll die digitale Gesundheitsanwendung es zum einen erlauben, dem Versicherten therapierelevante Auszüge der über die Anwendung erhobenen Daten in menschenlesbarer und ausdruckbarer Form aus der Anwendung auszuspielen, sodass er diese an einen Arzt weiterleiten kann.249 Zum anderen soll die digitale Gesundheitsanwendung es dem Versicherten auch ermöglichen, die über die Anwendung erhobenen Daten in einem maschinenlesbaren, interoperablen Format auszuspielen und perspektivisch in die elektronische Patientenakte zu integrieren, um sie so einem vom Versicherten berechtigten Leistungserbringer zur Verfügung zu stellen.250 Als Beispiel für einen solchen interoperablen Datenexport nennt der BfArM-Leitfaden eine Blutzuckertagebuch-Anwendung für Diabetiker, die Blutzuckermessdaten, Ernährungsdaten sowie Insulingaben in einem interoperablen Format ausspielt.251 Auch auf diesem Wege können dem Arzt mithin Daten i. S. d. Art. 20 DSGVO bereitgestellt werden. 3. Selbstständige Realisierung des Rechts auf Datenübertragbarkeit im Rahmen der Telematikinfrastruktur In diesem Zusammenhang ist allerdings zu berücksichtigen, dass der betroffenen Person durch die im Rahmen der Telematikinfrastruktur implementierte ePA die Möglichkeit eröffnet wurde, ihr Recht auf Datenübertragbarkeit faktisch selbst zu realisieren.252 Mit der ePA sollen den Versicherten gemäß § 341 Abs. 1 S. 3 SGB V Informationen, etwa zu Befunden und Diagnosen, für Zwecke der Gesundheits versorgung elektronisch bereitgestellt werden. Konkret stehen dem Versicherten nach den §§ 347 ff. SGB V Ansprüche auf die Übertragung ihrer Daten, wie etwa medizinischen Informationen, durch die verschiedenen Leistungserbringer in die ePA zu. Nach § 337 Abs. 1 SGB V ist der Versicherte berechtigt, diese Daten aus seiner ePA auszulesen und zu übermitteln, was im Ergebnis dem Inhalt des Rechts auf Datenübertragbarkeit nach Art. 20 Abs. 1 DSGVO entspricht.253 Zudem kann der Versicherte einem oder mehreren Leistungserbringern mittels Einwilligung nach § 339 Abs. 1 SGB V eine Zugriffsmöglichkeit auf die in der ePA gespeicherten Daten erteilen. Durch die Erteilung der Zugriffsmöglichkeit kann der Ver sicherte die in die ePA übertragenen Daten weiteren Leistungserbringern zugäng 249
BfArM, DiGA-Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 58. BfArM, DiGA-Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 58; BMG, Referentenentwurf zur DiGAV v. 9. April 2020, S. 62; Dochow, MedR 2021, 13 (14); konkret wurde im Zuge des DVPMG ein neuer § 6a in die DiGAV eingefügt, nach dessen Absatz 1 digitale Gesundheitsanwendungen ab dem 1. Januar 2023 so zu gestalten sind, dass die von der digitalen Gesundheitsanwendung verarbeiteten Daten mit Einwilligung des Versicherten in die elektronische Patientenakte des Versicherten übermittelt werden können, BT-Drs. 19/27652, S. 59. 251 BfArM, DiGA-Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 63. 252 Dochow, MedR 2020, 979 (991). 253 Dochow, MedR 2020, 979 (991). 250
C. Die übrigen Betroffenenrechte der DSGVO
289
lich machen, sodass es einer direkten Datenübertragung von Leistungserbringer zu Leistungserbringer nach Art. 20 Abs. 2 DSGVO in diesem Fall nicht bedarf.
IV. Recht auf Berichtigung, Art. 16 DSGVO Nach Art. 16 DSGVO hat die betroffene Person das Recht, die Berichtigung von unrichtigen personenbezogenen Daten zu verlangen. In diesem Recht auf Berichtigung manifestiert sich der Grundsatz der Datenrichtigkeit aus Art. 5 Abs. 1 lit. d DSGVO, wonach personenbezogene Daten sachlich richtig verarbeitet werden müssen.254 Der Zweck des Rechts auf Berichtigung liegt damit in der Sicherstellung einer Verarbeitung von inhaltlich zutreffenden personenbezogenen Daten.255 1. Unrichtige personenbezogene Daten Das Kriterium der „Unrichtigkeit“ setzt grundsätzlich voraus, dass die Angaben objektiv überprüfbar und somit dem Beweis zugänglich sind, wie dies bei Tatsachenangaben der Fall ist.256 Als Tatsachen sind im medizinischen Bereich beispielsweise Informationen zum gesundheitlichen Zustand, wie Angaben zur Medikation oder Operationsberichte, einzuordnen.257 Werturteile, also ein „Meinen“ oder „Dafürhalten“, sind hingegen subjektiver Natur und entziehen sich daher im Grundsatz einer Bewertung nach dem objektiven Kriterium der „Unrichtigkeit“.258 Neben dieser grundsätzlich eindeutigen Unterscheidung zwischen Tat sachenangaben und Werturteilen können sich jedoch Grenzfälle ergeben, in denen die Zuordnung unklar ist. So ist nicht geklärt, ob auch Werturteile dem Recht auf Berichtigung unterliegen, sofern sie sich auf unrichtige Tatsachen beziehen. Dies hat insbesondere Bedeutung für ärztliche Bewertungen, wie beispielsweise Diagnosen, die als Werturteile einzuordnen sind.259 Teilweise wird angenommen, dass ein von der betroffenen Person als unzutreffend eingeschätztes Werturteil insgesamt nicht dem Berichtigungsrecht unterliege, da dieses objektiv nicht als unrichtig gelten könne.260 Dem wird jedoch zutreffenderweise entgegengehalten, 254
Paal, in: Paal / Pauly, DSGVO BDSG, Art. 16 DSGVO Rn. 4; Meents / Hinzpeter, in: Taeger / Gabel, DSGVO BDSG, Art. 16 DSGVO Rn. 3. 255 Paal, in: Paal / Pauly, DSGVO BDSG, Art. 16 DSGVO Rn. 4. 256 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1208; Keber / Keppeler, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 16 DSGVO Rn. 5; Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 16 DSGVO Rn. 8. 257 Buchner, Datenschutz im Gesundheitswesen, S. 89. 258 Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 16 DSGVO Rn. 8; Reif, in: Gola, DSGVO, Art. 16 DSGVO Rn. 10; Peuker, in: Sydow, DSGVO, Art. 16 DSGVO Rn. 7. 259 BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A10). 260 Meentz / Hintzpeter, in: Taeger / Gabel, DSGVO BDSG, Art. 16 DSGVO Rn. 8; Paal, in: Paal / Pauly, DSGVO BDSG, Art. 16 DSGVO Rn. 15.
290
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
dass Werturteile die Rechtsstellung der betroffenen Person ebenso beeinträchtigen können wie Tatsachenangaben.261 Dies gelte insbesondere, wenn ein Werturteil auf der zusammenfassenden Beurteilung von Tatsachen beruhe.262 Daher sind die auf Gesundheitsdaten basierenden ärztlichen Diagnosen nicht per se von dem Berichtigungsrecht nach Art. 16 DSGVO ausgeschlossen.263 Jedenfalls können die der ärztlichen Beurteilung zugrunde liegenden unrichtigen Tatsachenangaben berichtigt werden.264 Daneben ist gerade im Hinblick auf medizinische Befunde zu berücksichtigen, dass eine ärztliche Aufzeichnung über den Gesundheitszustand nicht allein durch eine Änderung der Umstände unrichtig wird, soweit die Aufzeichnung dem seinerzeitigen medizinischem Kenntnisstand entsprach.265 Nicht jedes Datum, das sich geändert hat, darf somit auch berichtigt werden.266 Allerdings können sich die Daten in diesem Fall als unvollständig erweisen, sodass sich der Berichtigungsanspruch gemäß Art. 16 S. 2 DSGVO auf eine Vervollständigung um die aktuellen Angaben richtet.267 2. Einschränkung des Rechts auf Berichtigung Art. 16 DSGVO selbst enthält keine Beschränkungsmöglichkeiten, jedoch kann das Recht auf Berichtigung durch Unionsrecht oder das Recht der Mitgliedstaaten unter den in Art. 23 DSGVO näher definierten Voraussetzungen beschränkt werden. a) Einschränkungen des Berichtigungsanspruchs nach § 630f BGB Zunächst können sich Einschränkungen des Berichtigungsanspruchs aus der ärztlichen Dokumentationspflicht nach § 630f BGB ergeben.268 § 630f Abs. 1 S. 2 BGB schränkt das Recht auf Berichtigung dahingehend ein, dass Berichtigungen 261
Kamann / Braun, in: Ehmann / Selmayr, DSGVO, Art. 16 DSGVO Rn. 20. Kamann / Braun, in: Ehmann / Selmayr, DSGVO, Art. 16 DSGVO Rn. 20; Herbst, in: Kühling / Buchner, DSGVO, Art. 16 DSGVO Rn. 9; Keber / Keppeler, in: Schwartmann / Jaspers / Thüsing / Kugelmann, DSGVO BDSG, Art. 16 DSGVO Rn. 6. 263 Kamann / Braun, in: Ehmann / Selmayr, DSGVO, Art. 16 DSGVO Rn. 20; so auch Bayer, Ärztliche Dokumentationspflicht und Einsichtsrecht in Patientenakten, S. 68 f. in Bezug auf die Dokumentation einer falschen Diagnose. 264 Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 16 DSGVO Rn. 9; Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 16 DSGVO Rn. 9; Peuker, in: Sydow, DSGVO, Art. 16 DSGVO Rn. 7; BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A10). 265 Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 16 DSGVO Rn. 9; Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 16 DSGVO Rn. 12; Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 4 Rn. 14. 266 Veil, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 16 DSGVO Rn. 79. 267 Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 16 DSGVO Rn. 12. 268 Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 16 DSGVO Rn. 41. 262
C. Die übrigen Betroffenenrechte der DSGVO
291
der Patientenakte nur zulässig sind, wenn der ursprüngliche Inhalt und der Zeitpunkt der Änderung erkennbar bleiben. Diese Einschränkung dient dem Schutz der betroffenen Person und ist mithin von Art. 23 Abs. 1 lit. i Alt. 1 DSGVO gedeckt. b) Der neue partielle Berichtigungsanspruch nach § 305 Abs. 1 S. 6 SGB V Die Abrechnung ärztlicher Behandlungen erfolgt sowohl in der Regelversorgung (§ 295 SGB V) als auch im Rahmen neuer Versorgungsformen (§ 295a SGB V) unter Angabe der Diagnosen.269 § 303 Abs. 4 S. 1 SGB V beschränkt die Möglichkeit zur erneuten Übermittlung der vom Leistungserbringer als Teil der Abrechnungsdaten übermittelten Diagnosen in korrigierter oder ergänzter Form auf Fälle von technischen Übermittlungsfehlern oder formalen Datenfehlern.270 Im Übrigen war eine nachträgliche Änderung oder Ergänzung von Diagnosedaten nach § 303 Abs. 4 S. 2 SGB V bislang generell unzulässig.271 Der Gesetzgeber hat nun offenbar erkannt, dass diese Regelung dem europarechtlich garantierten Betroffenenrecht auf Berichtigung entgegensteht.272 Vor diesem Hintergrund wurde mit dem PDSG ein neuer § 305 Abs. 1 S. 6 in das SGB V eingefügt, nach dem die Krankenkassen die ihnen übermittelten Diagnosedaten in berichtigter Form zu verarbeiten haben. Diesem Berichtigungsanspruch sollen die den Krankenkassen nach den §§ 295 und 295a SGB V übermittelten Diagnosedaten einschränkend allerdings nur im Hinblick auf die Unterrichtung des Versicherten nach § 305 Abs. 1 S. 1 SGB V sowie für die Übermittlung an Dritte bzw. an Anbieter elektronischer Patientenakten nach § 305 Abs. 1 S. 2 und 3 SGB V unterliegen. Die Verarbeitung der Abrechnungsdaten in der Gesetzlichen Krankenversicherung für den Zweck der Abrechnung ärztlicher Leistungen und der Durchführung des Risikostrukturausgleichs soll hingegen von dem Recht auf Berichtigung unberührt bleiben.273 Diesbezüglich gilt somit auch weiterhin, dass die erneute Übermittlung von Daten zu Diagnosen nach den §§ 295 und 295a SGB V auf solche Fälle beschränkt ist, in denen die Fehlerhaftigkeit oder Unvollständigkeit auf technische Übermittlungsoder formale Datenfehler zurückzuführen ist und eine nachträgliche Änderung oder Ergänzung von Diagnosedaten nach § 303 Abs. 4 S. 2 SGB V im Übrigen gänzlich ausgeschlossen ist. Der „partielle[…] Berichtigungsanspruch für Dia gnosedaten“274 aus § 305 Abs. 1 S. 6 SGB V stellt damit insgesamt zwar eine Verbesserung im Vergleich zu der Rechtslage vor dem Inkrafttreten des PDSG dar, er schränkt das Recht auf Berichtigung nach Art. 16 DSGVO jedoch gleichzeitig ein.
269
Scholz, in: BeckOK Sozialrecht, § 303 SGB V Rn. 5. Michels, in: Becker / K ingreen, SGB V, § 303 SGB V Rn. 8; Scholz, in: BeckOK Sozialrecht, § 303 SGB V Rn. 5. 271 Michels, in: Becker / K ingreen, SGB V, § 303 SGB V Rn. 8. 272 BT-Drs. 19/18793, S. 98. 273 BT-Drs. 19/18793, S. 98. 274 Dochow, MedR 2020, 979 (992) Fn. 237. 270
292
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
Die Gesetzesbegründung selbst führt keinen der in Art. 23 Abs. 1 DSGVO genannten öffentlichen Zwecke an, nach denen eine derartige Einschränkung des Rechts auf Berichtigung zulässig wäre. Sie stützt die mit der Neuregelung verbundene Einschränkung des Berichtigungsanspruchs vielmehr auf Art. 9 Abs. 2 lit. h DSGVO (Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich) in Verbindung mit Art. 9 Abs. 4 DSGVO.275 Dies vermag allerdings nicht zu überzeugen, da diese Vorschriften die Regelung einer Verarbeitungsbefugnis bzw. über Art. 9 Abs. 4 DSGVO auch die Regelung von Beschränkungen der Verarbeitungsbefugnis betreffen, nicht jedoch die Einschränkung von Betroffenenrechten regeln.276 Es fehlt somit an einer hinreichenden Begründung für die Einschränkung des Rechts auf Berichtigung. Unabhängig davon dürfte für § 305 Abs. 1 S. 6 SGB V aber Art. 23 Abs. 1 lit. e DSGVO zum Tragen kommen. Danach ist es möglich, die Rechte der betroffenen Personen im Interesse des Schutzes wichtiger Ziele des allgemeinen öffentlichen Interesses im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit zu beschränken. Aus der gebotenen Wichtigkeit des Zieles des öffentlichen Interesses ergibt sich, dass eine Rechtfertigung eines Eingriffs auf Grundlage von Art. 23 Abs. 1 lit. e DSGVO eines öffentlichen Interesses von besonderem Gewicht bedarf.277 Der Gesetzgeber legt die Gründe dafür dar, warum für Diagnosedaten, die für Zwecke der Abrechnung ärztlicher Leistungen und für die Durchführung des Risikostrukturausgleichs verarbeitet werden, weiterhin die Einschränkungen des § 303 Abs. 4 SGB V gelten sollen. Auf diese Weise soll eine missbräuchliche nachträgliche Veränderung der Diagnoseschlüssel verhindert werden, um so den Risikostrukturausgleich vor Manipulationen zu schützen und einen fairen Krankenkassenwettbewerb zu gewährleisten.278 Diese recht knappe Begründung bedarf, um bewerten zu können, ob die vorgebrachten Gründe wichtige Ziele des allgemeinen öffentlichen Interesses der sozialen Sicherheit betreffen, einer weiteren Betrachtung. Der erwähnte Risikostrukturausgleich ist ein Ausgleichsmechanismus, der Wettbewerbsverzerrungen innerhalb des GKV-Systems entgegenwirken und durch eine adäquate finanzielle Ausstattung aller Krankenkassen eine stabile Gesundheitsversorgung sicherstellen soll.279 Dazu erhalten die Krankenkassen Ausgleichszahlungen aus dem Gesundheitsfonds, deren Höhe sich nach der Morbidität der Versicherten der jeweiligen Krankenkasse richtet. Je höher die Morbidität der Versicherten 275
BT-Drs. 19/18793, S. 98. Auch Spranger, MedR 2017, 864 (865) weist darauf hin, dass Art. 9 Abs. 4 DSGVO nicht als Ermächtigungsgrundlage zur Reduzierung allgemeiner Rechte der betroffenen Person fehlinterpretiert werden dürfe; a. A. wohl Scholz, in: BeckOK Sozialrecht, § 305 SGB V Rn. 13, der annimmt, dass die Einschränkung des Berichtigungsanspruchs in § 305 Abs. 1 S. 6 SGB V folgerichtig auf Art. 9 Abs. 2 lit. h DSGVO gestützt wurde. 277 Stender-Vorwachs, in: BeckOK Datenschutzrecht, Art. 23 DSGVO Rn. 26; Paal, in: Paal / Pauly, DSGVO BDSG, Art. 23 DSGVO Rn. 31a. 278 BT-Drs. 19/18793, S. 97 f.; Scholz, in: BeckOK Sozialrecht, § 305 SGB V Rn. 13. 279 Thüsing / Flink, MedR 2020, 650 (650); Männle, in: BeckOK Sozialrecht, § 266 SGB V Rn. 1a. 276
C. Die übrigen Betroffenenrechte der DSGVO
293
einer Krankenkasse im Vergleich zu den anderen Krankenkassen ist, desto höher fallen auch die Zuweisungen aus dem Gesundheitsfonds aus.280 Damit die Höhe dieser Ausgleichszahlungen bestimmt werden kann, müssen die Krankenkassen die Diagnosedaten ihrer Versicherten, die ihnen zuvor von den Ärzten übermittelt wurden, an das Bundesamt für Soziale Sicherung weiterleiten, welches sodann auf der Grundlage dieser Daten die Höhe der jeweiligen Zuweisungen berechnet und sie den Krankenkassen zuweist.281 An dieser Stelle setzt nun § 303 Abs. 4 SGB V an, dessen Wirkung in Bezug auf Diagnosedaten für die Abrechnung ärztlicher Leistungen über § 305 Abs. 1 S. 6 SGB V erhalten bleiben soll, was gleichzeitig die Einschränkung des Rechts auf Berichtigung bewirkt. Mit § 304 Abs. 4 SGB V soll nach der Intention des Gesetzgebers das Nacherfassen und Übermitteln von schwereren Diagnosen, sog. Up-Coding, vermieden werden, welches aufgrund einer tatsächlich nicht vorliegenden Erkrankung zu höheren Zuweisungen aus dem Gesundheitsfonds führt als tatsächlich gerechtfertigt.282 Soweit eine Krankenkasse aus diesem Grund Mittelzuweisungen aus dem Gesundheitsfonds erhält, gefährdet dies den morbiditätsorientierten Risikostrukturausgleich und damit den fairen Wettbewerb zwischen den Krankenkassen.283 Dieses sog. Up-Coding ist also mit der in der Gesetzesbegründung erwähnten nachträglichen missbräuchlichen Veränderung der Diagnoseschlüssel angesprochen. Die Verhinderung einer solchen missbräuchlichen Korrektur von personenbezogenen Daten kann durchaus als ein wichtiges Ziel des allgemeinen öffentlichen Interesses im Bereich der sozialen Sicherheit i. S. d. Art. 23 Abs. 1 lit. e DSGVO gewertet werden. Durch die Verhinderung jeglicher nachträglicher Veränderungen von Diagnosedaten nach § 303 Abs. 4 S. 2 SGB V werden allerdings nicht nur missbräuchliche nachträgliche Veränderungen ausgeschlossen, sondern eben auch Veränderungen, die dazu dienen, eine ursprünglich falsche Information zu berichtigen.284 Die Korrektur falscher Daten, die zu einer materiell richtigen Erfassung der Morbidität und mithin zu einem korrekten Risikostrukturausgleich führt, ist jedoch keine missbräuchliche Korrektur, die es zu vermeiden gilt, sie wird durch § 303 Abs. 4 SGB V aber gleichsam ausgeschlossen.285 Dem rigorosen Ausschluss liegt aber die Annahme des Gesetzgebers zugrunde, dass bei jeder Änderung die Gefahr des Up-Codings besteht.286 Da die Verhinderung des Up-Codings ein wichtiges Ziel des allgemeinen öffentlichen Interesses im Bereich der sozialen Sicherheit darstellt, kann der Ausschluss der Datenkorrektur insgesamt, einschließlich der Korrektur auch falscher Daten, durch
280
Thüsing / Flink, MedR 2020, 650 (650). Thüsing / Flink, MedR 2020, 650 (650). 282 BT-Drs. 18/11205, S. 78; Scholz, in: BeckOK Sozialrecht, § 303 SGB V Rn. 1; Thüsing / Flink, MedR 2020, 650 (652). 283 Scholz, in: BeckOK Sozialrecht, § 303 SGB V Rn. 1; Thüsing / Flink, MedR 2020, 650 (652). 284 Thüsing / Flink, MedR 2020, 650 (651 f.). 285 Thüsing / Flink, MedR 2020, 650 (651 f.). 286 So Thüsing / Flink, MedR 2020, 650 (652). 281
294
Kap. 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO
Art. 23 Abs. 1 lit. e DSGVO gedeckt sein. Dies hätte vom Gesetzgeber allerdings ausführlicher und vor allem differenzierter begründet werden müssen.
D. Fazit Kapitel 4 Die DSGVO räumt den von einer Datenverarbeitung betroffenen Personen umfangreiche Betroffenenrechte ein und enthält damit im Vergleich zur DSRL deutlich gestärkte Betroffenenrechte.287 Insgesamt tragen die Betroffenenrechte dazu bei, dass der betroffenen Person durch transparent gestaltete Informationen die Kontrolle über die Datenverarbeitung ermöglicht wird,288 damit sie in der Lage ist, Umfang und Risiko der Datenverarbeitung abzuschätzen.289 Allerdings eröffnet Art. 23 Abs. 1 DSGVO den Mitgliedstaaten das Recht, die Betroffenenrechte für die in der Vorschrift aufgeführten öffentlichen Zwecke einzuschränken.290 Von dieser Möglichkeit haben sowohl der Bundes- als auch die Landesgesetz geber in erheblichem Umfang Gebrauch gemacht. Die konkrete Reichweite der einzelnen Betroffenenrechte ist daher stets in Zusammenschau von DSGVO sowie allgemeinen und bereichsspezifischen Einschränkungen dieser Betroffenenrechte auf Bundes- und Landesebene zu ermitteln. Dies führt gerade im Gesundheitswesen mit seiner Vielzahl an speziellen Regelungen zu einem vielschichtigen Regel-Ausnahme-Verhältnis.
287
Dochow, GesR 2016, 401 (408); Werry / Knoblich, MPR 2017, 1 (5). Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 12 DSGVO Rn. 3. 289 Greve, in: Sydow, DSGVO, Art. 12 DSGVO Rn. 2. 290 Stender-Vorwachs, in: BeckOK Datenschutzrecht, Art. 23 DSGVO Rn. 4; Schantz, NJW 2016, 1841 (1842). 288
Kapitel 5
Die Datenschutzorganisation im Gesundheitswesen Eine angemessene Datenschutzorganisation ist für Einrichtungen im Gesundheitswesen nicht nur zur Vermeidung von Datenschutzverstößen und damit einhergehenden Schadensersatzansprüchen nach Art. 82 DSGVO sowie Sanktionen nach Art. 84 DSGVO essentiell, sondern daneben insbesondere auch zur Verhinderung von Vertrauens- und Reputationsschäden unumgänglich.1 Gerade im Gesundheitswesen haben Verantwortliche aufgrund der dem Gesundheitswesen immanenten Verarbeitung besonders schützenswerter Gesundheitsdaten erhöhte Anforderungen bei der Datenschutzorganisation zu beachten, die in verschiedenen datenschutzrechtlichen Pflichten des Verantwortlichen ihren Ausdruck finden.2 Zwei besonders hervorzuhebende Datenschutzmaßnahmen, die der Reduzierung von Risiken für die betroffene Person dienen sollen, sind die Benennung eines Datenschutzbeauftragten und die Datenschutz-Folgenabschätzung. Das Amt des Datenschutzbeauftragten ist ein Instrument der regulierten Selbstkontrolle des Verantwortlichen.3 Um diese Kontrolle zu gewährleisten, ist es vor allem die Aufgabe des Datenschutzbeauftragten, den Verantwortlichen gemäß Art. 39 Abs. 1 lit. a DSGVO hinsichtlich seiner Pflichten nach der DSGVO zu unterrichten, zu beraten sowie gemäß Art. 39 Abs. 1 lit. b DSGVO die Einhaltung der DSGVO zu überwachen.4 Der Datenschutzbeauftragte dient dementsprechend der Unterstützung des Verantwortlichen bei der Einhaltung des Datenschutzes, trifft aber selbstständig keine Entscheidungen über interne Angelegenheiten des Datenschutzes.5 Die Bestellung eines Datenschutzbeauftragten war im bisherigen deutschen Recht zwar bereits vorgesehen, wurde mit Art. 37 DSGVO aber erstmalig auf europäischer Ebene etabliert. Dem Datenschutzbeauftragten wird insgesamt eine wichtigere Stellung bei einem ausgeweiteten Aufgabenkreis zugemessen.6 Vor diesem Hintergrund knüpfen an die Benennung eines Daten 1
Buchner, Datenschutz im Gesundheitswesen, S. 103. Dochow, PinG 2018, 51 (51); ders., in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 117; Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 148. 3 Moos, in: BeckOK Datenschutzrecht, Art. 37 DSGVO Rn. 1. 4 Schefzig, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 11 Rn. 53. 5 Dochow, PinG 2018, 51 (52); Schefzig, in: Moos / Schefzig / A rning, Die neue DatenschutzGrundverordnung, Kap. 11 Rn. 53; Moos, in: BeckOK Datenschutzrecht, Art. 37 DSGVO Rn. 2; dies kommt auch in EG 97 S. 1 DSGVO zum Ausdruck. 6 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 117, 133, 135. 2
296
Kap. 5: Die Datenschutzorganisation im Gesundheitswesen
schutzbeauftragten in einer Gesundheitseinrichtung zahlreiche Fragen an.7 Dabei steht in der Praxis in erster Linie die Frage im Vordergrund, ob für die jeweilige Gesundheitseinrichtung überhaupt eine Verpflichtung besteht, einen Datenschutzbeauftragten zu benennen. Dieser Frage soll im Folgenden nachgegangen werden. Auch die Verantwortung für die Durchführung der sog. Datenschutz-Folgenabschätzung i. S. d. Art. 35 DSGVO liegt bei dem für die Datenverarbeitung Verantwortlichen.8 Mit Hilfe dieses Instruments sollen Risiken für die Rechte und Freiheiten betroffener Personen, die aus einer Datenverarbeitung hervorgehen können, umfassend beurteilt und nach Möglichkeit vermieden oder zumindest verringert werden.9 Aufgrund der mit der Verarbeitung besonders schützenswerter Daten verbundenen Risiken für die betroffenen Personen, ist die Datenschutz-Folgenabschätzung für die Datenverarbeitung im Gesundheitswesen von besonderer Bedeutung.10
A. Die Datenschutz-Folgenabschätzung im Gesundheitswesen Die DSGVO hat mit der Datenschutz-Folgenabschätzung in Art. 35 DSGVO ein neues Instrument des Datenschutzrechts eingeführt,11 um die aus einer Datenverarbeitung folgenden Risiken für die Rechte und Freiheiten natürlicher Personen zu identifizieren und durch geeignete Gegenmaßnahmen zu begrenzen.12 Die Datenschutz-Folgenabschätzung überträgt dem Verantwortlichen die Aufgabe, die Verarbeitung im Rahmen einer risikobasierten Selbsteinschätzung auf Datenschutzimplikationen zu prüfen.13 Nach der Vorstellung des Normgebers ermöglicht es erst die vorgelagerte Analyse von Schwachstellen, sich abzeichnende Rechtsverletzungen, die sich typischerweise aus dem Verarbeitungsvorgang ergeben, frühzeitig zu erkennen, um diese durch Gegenmaßnahmen zu vermeiden oder einzudämmen.14 Die Datenschutz-Folgenabschätzung stellt daher eine 7
Buchner, Datenschutz im Gesundheitswesen, S. 102. Buchner, Datenschutz im Gesundheitswesen, S. 124. 9 Friedewald / Bieker et al., Forum Privatheit: White Paper Datenschutz-Folgenabschätzung, S. 5; Martin / Friedewald et al., in: Friedewald / Martin, Die Datenschutz-Folgenabschätzung, S. 13, 15. 10 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 148. 11 Unter der alten Rechtslage war lediglich das Instrument der Vorabkontrolle gemäß § 4d Abs. 5 BDSG a. F. bekannt, Friedewald / Bieker et al., Forum Privatheit: White Paper Datenschutz-Folgenabschätzung, S. 8 f. 12 Syckor / Strufe / L auber-Rönsberg, ZD 2019, 390 (390). 13 Martini, in: Paal / Pauly, DSGVO BDSG, Art. 35 DSGVO Rn. 6; Laue, in: Spindler / Schuster, Recht der elektronischen Medien, Art. 35 DSGVO Rn. 1. 14 Martini, in: Paal / Pauly, DSGVO BDSG, Art. 35 DSGVO Rn. 8; Friedewald / Bieker et al., Forum Privatheit: White Paper Datenschutz-Folgenabschätzung, S. 5. 8
A. Die Datenschutz-Folgenabschätzung im Gesundheitswesen
297
Art „Frühwarnmechanismus“15 dar, um rechtzeitig geeignete Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person planen und implementieren zu können. Als solcher ist sie eine wesentliche Ausprägung des risikobasierten Ansatzes der DSGVO, der darauf abzielt, die Pflichten des Verantwortlichen auf die Höhe des Risikos der konkreten Verarbeitung abzustimmen.16 Im Gegensatz zu pauschalen Verpflichtungen des Verantwortlichen soll dadurch ein effektiveres Datenschutzsystem entstehen.17
I. Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung Entsprechend dem risikobasierten Ansatz der DSGVO ist eine DatenschutzFolgenabschätzung nicht für alle Verarbeitungsvorgänge obligatorisch.18 Nach Art. 35 Abs. 1 S. 1 DSGVO ist eine solche verpflichtend vorzunehmen, wenn eine Datenverarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat. Neben dieser sehr allgemein gefassten Formulierung bestimmt Art. 35 Abs. 3 DSGVO drei Regelbeispiele, bei deren Vorliegen stets eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung besteht. Für die Datenverarbeitung im Gesundheitswesen ist dabei insbesondere das Regelbeispiel der „umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten“ von Bedeutung. Zudem haben die Aufsichtsbehörden gemäß Art. 35 Abs. 4 DSGVO eine Liste für Verarbeitungsvorgänge zu erstellen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. Ferner steht es den Aufsichtsbehörden gemäß Art. 35 Abs. 5 DSGVO frei, daneben auch eine Liste von Verarbeitungsvorgängen zu erstellen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Der eigentlichen Datenschutz-Folgenabschätzung vorgelagert ist vom Verantwortlichen daher in einem mehrstufigen Verfahren zu prüfen, ob die Verarbeitung unter eines der Regelbeispiele des Art. 35 Abs. 3 DSGVO subsumiert werden kann oder ob die Verarbeitungstätigkeit in der Liste der zuständigen Aufsichtsbehörde nach Art. 35 Abs. 4 DSGVO geführt wird. Ist dies nicht der Fall, so ist schließlich zu prüfen, ob die Verarbeitung gemäß Art. 35 Abs. 1 S. 1 DSGVO voraussichtlich ein hohes Risiko zur Folge haben kann.19
15
Martini, in: Paal / Pauly, DSGVO BDSG, Art. 35 DSGVO Rn. 1. Syckor / Strufe / L auber-Rönsberg, ZD 2019, 390 (390). 17 Baumgartner, in: Ehmann / Selmayr, DSGVO, Art. 35 DSGVO Rn. 21. 18 Art. 29-Datenschutzgruppe, Leitlinien zur Datenschutz-Folgenabschätzung, WP 248 Rev. 01 v. 4. Oktober 2017, S. 5. 19 Syckor / Strufe / L auber-Rönsberg, ZD 2019, 390 (391); Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 35 DSGVO Rn. 36. 16
298
Kap. 5: Die Datenschutzorganisation im Gesundheitswesen
1. Regelbeispiel „umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten“ Art. 35 Abs. 3 DSGVO enthält eine nicht abschließende Aufzählung von Fällen, in denen eine Datenschutz-Folgenabschätzung erforderlich ist. Einer eigenen Risikobewertung bedarf es in diesen Fällen daher nicht.20 Die Datenschutz- Folgenabschätzung ist vielmehr schon dann erforderlich, wenn die Verarbeitung unter eines der Regelbeispiele subsumiert werden kann.21 Eine Datenschutz- Folgenabschätzung ist gemäß Art. 35 Abs. 3 lit. b DSGVO verpflichtend vorzunehmen, wenn „eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten“ erfolgt. Da die Verarbeitung von Gesundheitsdaten als besondere Kategorien personenbezogener Daten i. S. d. Art. 9 Abs. 1 DSGVO für das Gesundheitswesen kennzeichend ist, ist dieses Regelbeispiel im Kontext des Datenschutzes im Gesundheitswesen besonders relevant. Das maßgebliche Tat bestandsmerkmal in Art. 35 Abs. 3 lit. b DSGVO ist die „umfangreiche Verarbeitung“ besonderer Kategorien personenbezogener Daten.22 Diesbezüglich wurde im Parlamentsentwurf angedacht, dass das Kriterium der umfangreichen Verarbeitung erfüllt ist, wenn durch die Verarbeitung 5.000 natürliche Personen innerhalb von zwölf Monaten betroffen sind.23 Da dieser Schwellenwert jedoch keinen Eingang in die Endfassung der DSGVO gefunden hat, bedarf es nunmehr einer Betrachtung im konkreten Einzelfall.24 Kriterien zur Bestimmung einer umfangreichen Verarbeitung sind nach EG 91 S. 1 DSGVO insbesondere die Menge der verarbeiteten personenbezogenen Daten, die Anzahl der betroffenen Personen sowie die geografische Reichweite der Verarbeitung.25 Gerade im Kontext der Datenverarbeitung im Gesundheitswesen ist bei der Auslegung des Tatbestandsmerkmals der „umfangreichen Verarbeitung“ zudem die Vorgabe des EG 91 S. 4 DSGVO hilfreich. Demnach soll die Verarbeitung personenbezogener Daten nicht als umfangreich gelten, wenn die Datenverarbeitung durch einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufs erfolgt. Daher kann davon ausgegangen werden, dass zumindest die Verarbeitung durch einen einzelnen niedergelassenen Arzt nicht als umfangreich i. S. d. Art. 35 Abs. 3 lit. b DSGVO zu bewerten ist. Da der Erwägungsgrund auf das Handeln eines einzelnen Arztes und nicht auf die Organisationsform als solche abstellt, wird 20
BMWi, Orientierungshilfe zum Gesundheitsdatenschutz, S. 45. Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 35 DSGVO Rn. 36; Dochow, PinG 2018, 51 (53). 22 Dochow, PinG 2018, 51 (54). 23 Vgl. Erwägungsgrund 63 und 75 des Parlamentsentwurfs der DSGVO v. 12. März 2014, P7_TA(2014)0212; Schwendemann, in: Sydow, DSGVO, Art. 35 DSGVO Rn. 13; Baumgartner, in: Ehmann / Selmayr, DSGVO, Art. 35 DSGVO Rn. 22. 24 So auch Schwendemann, in: Sydow, DSGVO, Art. 35 DSGVO Rn. 13 der jedoch annimmt, dass die verabschiedeten Erwägungsgründe dafür sprächen, dass von einem höheren Schwellenwert auszugehen sei; Baumgartner, in: Ehmann / Selmayr, DSGVO, Art. 35 DSGVO Rn. 38. 25 Baumgartner, in: Ehmann / Selmayr, DSGVO, Art. 35 DSGVO Rn. 38. 21
A. Die Datenschutz-Folgenabschätzung im Gesundheitswesen
299
zudem angenommen, dass dieser Gedanke auch auf solche Organisationsformen übertragen werden könne, die mit einer Einzelarztpraxis vergleichbar seien.26 Dies gilt aufgrund der Notwendigkeit der getrennten Datenverwaltung insbesondere für Praxisgemeinschaften.27 Für Berufsausübungsgemeinschaften ist hingegen danach zu differenzieren, ob die Behandlung durch einen einzelnen Arzt erfolgt, sodass die Art der Datenverarbeitungstätigkeit mit derjenigen einer Einzelarztpraxis vergleichbar ist oder ob etwa in großen fach- und ortsübergreifend agierenden Berufsausübungsgemeinschaften im Hinblick auf die gemeinsam behandelten Patienten eine im Vergleich zum einzelnen Arzt ausgeweitete Verarbeitung erfolgt.28 Festzuhalten ist somit, dass unabhängig von der Organisationsform einer Arztpraxis von einer umfangreichen Verarbeitung auszugehen ist, wenn die Verarbeitung das übliche Maß der in einer durchschnittlichen Einzelarztpraxis verarbeiteten Anzahl an Daten bei weitem übersteigt.29 Im Zweifel wird es auf eine Einzelfallbetrachtung ankommen,30 wobei zu berücksichtigen ist, ob Art, Umfang, Umstände oder die Zwecke der Verarbeitung eine zusätzliche Risikoerhöhung begründen.31 Im Hinblick auf die Verarbeitung von Patientendaten im gewöhn lichen Geschäftsbetrieb eines Krankenhauses wird hingegen einstimmig angenommen, dass dort eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten regelmäßig gegeben sei.32 Zudem ist von diesem Regelbeispiel auch jedes Forschungsprojekt erfasst, das in größerem Umfang Gesundheitsdaten verarbeitet.33 26
Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 106; ders., PinG 2018, 51 (55); BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A12). 27 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 106; ders., PinG 2018, 51 (56). 28 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 106, 127; ders., PinG 2018, 51 (56); BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A14); Schröder, MedR 2019, 631 (633). 29 ULD SH, Die Datenschutzgrundverordnung tritt in Kraft – Das haben selbstständige Heilberufler zu beachten, S. 6; Landesärztekammer Thüringen, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, S. 35, abrufbar unter: https://www.laek-thueringen.de/aerzte/recht-und-goae/hinweise_ rechtsinformationen_jura/datenschutz_datenverarbeitung/; Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 106; ders., PinG 2018, 51 (56); Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 159. 30 Baumgartner, in: Ehmann / Selmayr, DSGVO, Art. 35 DSGVO Rn. 38; BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A12). 31 BT-Drs. 19/18793, S. 100. 32 Art. 29-Datenschutzgruppe, Leitlinien in Bezug auf Datenschutzbeauftragte, WP 243 Rev. 01 v. 5. April 2017, S. 9; ULD SH, Die Datenschutzgrundverordnung tritt in Kraft – Das haben selbstständige Heilberufler zu beachten, S. 6; Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 107. 33 Bischoff, PharmR 2019, 265 (272); Roßnagel, ZD 2019, 157 (163); im Einzelnen zum Datenschutz in der medizinischen Forschung s. unter Kap. 7, (S. 347 ff.).
300
Kap. 5: Die Datenschutzorganisation im Gesundheitswesen
2. Positivlisten der Datenschutzaufsichtsbehörden, Art. 35 Abs. 4 DSGVO Darüber hinaus verleiht Art. 35 Abs. 4 DSGVO den Aufsichtsbehörden zugleich die Befugnis und Pflicht, eine Liste mit Verarbeitungsvorgänge zu erstellen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist.34 Diese Liste enthält diejenigen Verarbeitungsvorgänge, für die nach Ansicht der Aufsichtsbehörde voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht.35 Sie haben eine verbindliche Wirkung, sodass zwingend eine Datenschutz-Folgenabschätzung vorzunehmen ist, wenn die geplante Verarbeitung auf der Liste der jeweiligen Aufsichtsbehörde geführt wird.36 Für den nichtöffentlichen Bereich hat die DSK eine solche sog. Positivliste beschlossen, die insgesamt 17 Verarbeitungstätigkeiten beschreibt, in denen eine Datenschutz-Folgenabschätzung durchzuführen ist.37 Für den öffentlichen Bereich haben die Aufsichtsbehörden der Länder entsprechende Listen veröffentlicht, die sich allerdings in Teilen voneinander unterscheiden.38 Die Positivliste der DSK enthält insbesondere in den Nummern 2, 15 und 16 Verarbeitungstätigkeiten, die im Gesundheitswesen von Bedeutung sind. So wird in der Nummer 2 die Verarbeitung von genetischen Daten schutzbedürftiger Betroffener, etwa zur Früherkennung von Erbkrankheiten, aufgeführt. Exemplarisch wird in diesem Zusammenhang auf eine Klinik verwiesen, die DNA-Tests zur Früherkennung vererblicher Krankheiten bei Neugeborenen einsetzt. In der Nummer 15 wird die Anonymisierung von besondereren Kategorien personenbezogener Daten zum Zweck der Übermittlung an Dritte genannt. Als Beispiel wird auf Daten verwiesen, die durch ein Apothekenrechenzentrum oder eine Versicherung anonymisiert und sodann an Dritte weitergegeben werden. Warum gerade in der Anonymisierung besonderer Kategorien personenbezogener Daten nach Auffassung der DSK ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bestehen soll, ist allerdings fraglich. Denn die Anonymisierung dient der Aufhebung des Personenbezugs und stellt mithin eine bewährte Methode des Schutzes der informationellen Selbstbestimmung dar. Sie ist ein Schutzinstrument, um die Auswirkungen einer Datenverarbeitung auf die betroffene Person zu minimieren und sie auf diese Weise vor etwaigen negativen Folgen zu schützen.39 Zwar geht der BfDI davon aus, dass bei einer Anonymisierung die Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung bestehe, da die Generierung eines anonymen 34
Hauser, Das Krankenhaus 2016, 690 (693). Hansen, in: BeckOK Datenschutzrecht, Art. 35 DSGVO Rn. 31. 36 Martini, in: Paal / Pauly, DSGVO BDSG, Art. 35 DSGVO Rn. 33. 37 DSK, Muss-Liste, Version 1.1 vom 17. Oktober 2018, abrufbar unter: https://www. datenschutzkonferenz-online.de/anwendungshinweise.html. 38 Schröder, MedR 2019, 631 (634); Nolte / Werkmeister, in: Gola, DSGVO, Art. 35 DSGVO Rn. 30; zu den abweichenden Vorgaben der Listen der Aufsichtsbehörden der Länder im Einzelnen Hauser / Haag, Datenschutz im Krankenhaus, S. 280 ff. 39 Hornung / Wagner, ZD 2020, 223 (225). 35
A. Die Datenschutz-Folgenabschätzung im Gesundheitswesen
301
Datenbestandes eine komplexe Aufgabe des Verantwortlichen darstelle.40 Diese Argumentation kann im Einzelfall für ein erhöhtes Risiko bei der Anonymisierung sprechen, im Allgemeinen ist sie aber zu pauschal, um zu begründen, warum gerade durch die Anonymisierung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bestehen soll.41 Auch wenn sich somit nicht erschließt, warum die DSK in der Anonymisierung von besonderen Kategorien personenbezogener Daten ein besonderes Risikopotential sieht, ist aufgrund der verbindlichen Wirkung der Liste jedenfalls eine Datenschutzfolgenabschätzung durchzuführen, solange der Verarbeitungsvorgang auf der Liste geführt wird. Die Aufsichtsbehörde kann allerdings Streichungen vornehmen, wenn eine Neubewertung nicht mehr zu der Einschätzung eines hohen Risikos führt.42 In der Nummer 16 wird zudem die Verarbeitung besonderer Kategorien personenbezogener Daten mittels mobiler Anwendungen angeführt, die von einer zentralen Stelle empfangen und aufbereitet werden. Als typisches Einsatzfeld wird exemplarisch der Einsatz von Telemedizin- Lösungen zur Verarbeitung von Krankheitsdaten benannt, etwa wenn ein Arzt ein Webportal nutzt oder eine App einsetzt, um mit Patienten mittels Videotelefonie zu kommunizieren oder Gesundheitsdaten durch Sensoren beim Patienten systematisch zu verarbeiten. Darüber hinaus weist die DSK ausdrücklich darauf hin, dass die Positivliste nicht abschließend sei. Wird die Verarbeitungstätigkeit eines Verantwortlichen nicht in der Liste aufgeführt, bedeutet dies somit nicht, dass keine DatenschutzFolgenabschätzung durchzuführen ist. In diesem Fall hat der Verantwortliche vielmehr eine Bewertung nach dem System der Absätze 1 bis 3 des Art. 35 DSGVO vorzunehmen.43 3. Risikobewertung gemäß Art. 35 Abs. 1 S. 1 DSGVO Sofern sich nicht bereits aus einem der Regelbeispiele oder der Positivliste der Aufsichtsbehörde ergibt, dass eine Datenschutz-Folgenabschätzung zwingend durchzuführen ist, kann die Durchführung einer solchen gemäß Art. 35 Abs. 1 S. 1 DSGVO gleichwohl erforderlich sein, wenn eine Form der Verarbeitung „voraussichtlich ein hohes Risiko“ für die persönlichen Rechte und Freiheiten der betroffenen Personen zur Folge hat. Zwar birgt die Verarbeitung von Gesundheitsdaten allein aufgrund der Sensibilität der Daten bereits ein gewisses Risiko für die Rechte und Freiheiten natürlicher Personen, allein daraus kann jedoch nicht geschlossen werden, dass die Verarbeitung sensibler Daten stets zu einem voraussichtlich ho 40 BfDI, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche v. 29. Juni 2020, S. 11. 41 Schweinoch / Peintinger, CR 2020, 643 (648). 42 Hansen, in: BeckOK Datenschutzrecht, Art. 35 DSGVO Rn. 34. 43 Baumgartner, in: Ehmann / Selmayr, DSGVO, Art. 35 DSGVO Rn. 46; Martin / Mester et al., DuD 2020, 149 (152).
302
Kap. 5: Die Datenschutzorganisation im Gesundheitswesen
hen Risiko für die betroffene Person führt.44 Vielmehr hat der Verantwortliche im Vorfeld der Verarbeitung im Rahmen einer umfassenden Risikoanalyse, der sog. Schwellwertanalyse,45 zu evaluieren, ob die geplante Verarbeitung die Schwelle eines voraussichtlich hohen Risikos überschreitet.46 Die DSGVO definiert im Normtext selbst weder den Begriff des Risikos, noch gibt sie vor, wann von einem hohen Risiko auszugehen ist.47 Jedoch gibt der EG 75 DSGVO dem Verantwortlichen für die Risikobewertung einige Parameter vor.48 Demnach können Risiken aus einer Verarbeitung etwa hervorgehen, wenn diese zu einer Diskriminierung von Personen, finanziellen Verlusten, dem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder der unbefugten Aufhebung der Pseudonymisierung führen kann. Ob für die in EG 75 DSGVO aufgeführten Datenverarbeitungsvorgänge tatsächlich ein hohes Risiko besteht, ist sodann gemäß EG 76 DSGVO zu beurteilen.49 Danach erfolgt die Beurteilung des Risikos anhand einer objektiven Bewertung von Eintrittswahrscheinlichkeit und Schwere des möglichen Schadens.50 Die Schwere des möglichen Schadens ist dabei grundsätzlich einzelfallbezogen anhand der Art, des Umfangs und der Zwecke der Datenverarbeitung zu beurteilen, während die Eintrittswahrscheinlichkeit des Schadens mittels einer Prognoseentscheidung zu bestimmen ist.51 Darüber hinaus lassen sich dem EG 91 DSGVO Kriterien für die Bestimmung der Höhe des Schadensrisikos entnehmen.52 Demnach ist die verwendete Technologie, die Datenmenge, die Sensibilität der Daten sowie die Anzahl der betroffenen Person maßgeblich. Aus EG 91 DSGVO ergibt sich somit, dass die Sensibilität der Daten die Wahrscheinlichkeit eines hohen Risikos zumindest vermuten lässt.53 Als Beispiele für risikoreiche Verfahren der Datenverarbeitung, die eine Datenschutz-Folgenabschätzung erforderlich machen, wird die hausarztzentrierte 44
Baumgartner, in: Ehmann / Selmayr, DSGVO, Art. 35 DSGVO Rn. 38; Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 107; ders., MedR 2019, 636 (646). 45 DSK, Kurzpapier Nr. 5 „Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO“, Stand 17. Dezember 2018, S. 1. 46 Baumgartner, in: Ehmann / Selmayr, DSGVO, Art. 35 DSGVO Rn. 22. 47 Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 35 DSGVO Rn. 22; Hansen, in: BeckOK Datenschutzrecht, Art. 35 DSGVO Rn. 14. 48 Schmitz / v. Dall’Armi, ZD 2017, 57 (59). 49 Schmitz / v. Dall’Armi, ZD 2017, 57 (59). 50 Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 35 DSGVO Rn. 23; Martini, in: Paal / Pauly, DSGVO BDSG, Art. 35 DSGVO Rn. 15b; nach Syckor / Strufe / L auber-Rönsberg, ZD 2019, 390 (392) soll zur Prüfung der Frage, ob eine Verarbeitung mit einem hohen Risiko einhergeht, ausschließlich danach gefragt werden, ob ein hoher Schaden für die Betroffenen möglich ist, das Kriterium der Eintrittswahrscheinlichkeit soll hingegen im Rahmen der Vorprüfung keine Berücksichtigung finden. 51 Reibach, in: Taeger / Gabel, DSGVO BDSG, Art. 35 DSGVO Rn. 15; Martini, in: Paal / Pauly, DSGVO BDSG, Art. 35 DSGVO Rn. 19. 52 Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 35 DSGVO Rn. 27. 53 BVITG / GMDS / DKG, Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO, S. 10, abrufbar unter: https://www.gesundheitsdatenschutz.org/html/dsfa.php.
A. Die Datenschutz-Folgenabschätzung im Gesundheitswesen
303
oder integrierte Versorgung angeführt, wenn eine große Anzahl von Patientendaten durch verschiedene Ärzte verarbeitet werden, sowie Praxen, die gendiagnostische Verfahren anwenden.54 Insgesamt hilft der in Art. 35 Abs. 1 S. 1 DSGVO formulierte Tatbestand aufgrund seines Abstraktionsgrades indes nur bedingt weiter, wenn es darum geht, die Erforderlichkeit einer Datenschutz-Folgenabschätzung festzustellen.55 Zur Konkretisierung der Frage, wann aufgrund des hohen Risikos eines Verarbeitungsvorgangs eine Datenschutz-Folgenabschätzung erforderlich ist, hat die Art. 29-Datenschutzgruppe in Leitlinien Kriterien zur Bestimmung des hohen Risikos erarbeitet.56 Der EDSA hat die Geltung dieser Leitlinien zur DatenschutzFolgenabschätzung unter der Rechtslage der DSGVO bestätigt, sodass diese von Verantwortlichen als Hilfestellung bei der Risikobewertung herangezogen werden können.57 Die Leitlinien sehen insgesamt neun Kriterien vor, wovon für die Verarbeitung im Gesundheitswesen insbesondere die Kriterien der vertraulichen oder höchstpersönlichen Daten sowie die Datenverarbeitung in großem Umfang relevant sein dürften. Zu der Kategorie der vertraulichen bzw. höchstpersönlichen Daten zählen die besonderen Kategorien personenbezogener Daten i. S. v. Art. 9 Abs. 1 DSGVO. Beispielhaft wird in diesem Zusammenhang ein allgemeines Krankenhaus genannt, welches die Krankenakten seiner Patienten archiviert.58 Hinsichtlich der Datenverarbeitung in großem Umfang kann auf die Ausführungen zur umfangreichen Verarbeitung verwiesen werden. Nach Ansicht der Art. 29-Datenschutzgruppe ist davon auszugehen, dass ein Verarbeitungsvorgang ein „voraussichtlich hohes Risiko“ mit sich bringe, wenn der Verarbeitungsvorgang mindestens zwei dieser Kriterien erfülle.59 Gleichzeitig betont sie jedoch, dass in Ausnahmefällen auch die Notwendigkeit einer Datenschutz-Folgenabschätzung bestehen könne, wenn nur eines der Kriterien auf den geplanten Verarbeitungsvorgang zutreffe.60 Um zu veranschaulichen, wie die Kriterien im Einzelnen zu verwenden sind, definiert die Art. 29-Datenschutzgruppe ferner Beispiele für Datenverarbeitungs 54
BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A13); Landesärztekammer Thüringen, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, S. 34 f., abrufbar unter: https://www.laek-thueringen.de/files/160034E0D8B/ Infobroschuere_Schweigepflicht.pdf. 55 Martin / Mester et al., DuD 2020, 149 (152). 56 Art. 29-Datenschutzgruppe, Leitlinien zur Datenschutz-Folgenabschätzung, WP 248 Rev. 01 v. 4. Oktober 2017, S. 10 ff. 57 Syckor / Strufe / L auber-Rönsberg, ZD 2019, 390 (391). 58 Art. 29-Datenschutzgruppe, Leitlinien zur Datenschutz-Folgenabschätzung, WP 248 Rev. 01 v. 4. Oktober 2017, S. 11. 59 Art. 29-Datenschutzgruppe, Leitlinien zur Datenschutz-Folgenabschätzung, WP 248 Rev. 01 v. 4. Oktober 2017, S. 12. 60 Art. 29-Datenschutzgruppe, Leitlinien zur Datenschutz-Folgenabschätzung, WP 248 Rev. 01 v. 4. Oktober 2017, S. 13.
304
Kap. 5: Die Datenschutzorganisation im Gesundheitswesen
vorgänge, die ein hohes Risiko für die Rechte und Freiheiten darstellen.61 So ist demnach von der Notwendigkeit einer Datenschutz-Folgenabschätzung auszugehen, wenn ein Krankenhaus genetische und medizinische Daten seiner Patienten in einem Krankenhausinformationssystem verarbeitet.62 Gleiches soll gelten, wenn zu Archivierungszwecken pseudonymisierte Daten von betroffenen Personen gespeichert werden, die an Forschungsprojekten bzw. klinischen Studien teilgenommen haben.63 Unabhängig vom Ergebnis der Vorprüfung ist die Entscheidung über die Durchführung oder Nichtdurchführung der Datenschutz-Folgenabschätzung unter Angabe von Gründen zu dokumentieren, um der in Art. 5 Abs. 2 DSGVO statuierten Rechenschaftspflicht nachzukommen.64
II. Anforderungen an die Durchführung einer Datenschutz-Folgenabschätzung Zunächst genügt es gemäß Art. 35 Abs. 1 S. 2 DSGVO grundsätzlich, wenn für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken eine kumulierte Datenschutz-Folgenabschätzung vorgenommen wird. Bei dem Kriterium der „Ähnlichkeit“ soll es insbesondere auf einen gemeinsamen Verarbeitungszweck ankommen.65 Darüber hinaus legt die DSGVO kein konkretes Verfahren fest, nach dem der Verantwortliche die Datenschutz-Folgenabschätzung durchzuführen hat, sie definiert jedoch inhaltliche Mindestanforderungen, die bei einer Datenschutz-Folgenabschätzung einzuhalten sind.66 In diesem Sinne verlangt Art. 35 Abs. 7 DSGVO eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung (lit. a), eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge sowie der Risiken für die Rechte und Freiheiten der betroffenen Personen (lit. b und c) und schließlich die Dokumentation der zur Bewältigung der Risiken geplanten Abhilfe maßnahmen (lit. d).67 Zunächst hat der Verantwortliche folglich das geplante Ver 61
Art. 29-Datenschutzgruppe, Leitlinien zur Datenschutz-Folgenabschätzung, WP 248 Rev. 01 v. 4. Oktober 2017, S. 13 f. 62 Art. 29-Datenschutzgruppe, Leitlinien zur Datenschutz-Folgenabschätzung, WP 248 Rev. 01 v. 4. Oktober 2017, S. 13. 63 Art. 29-Datenschutzgruppe, Leitlinien zur Datenschutz-Folgenabschätzung, WP 248 Rev. 01 v. 4. Oktober 2017, S. 13 f. 64 DSK, Kurzpapier Nr. 5 „Datenschutz-Folgenabschätzung nach Art. 35 DSGVO“, Stand 17. Dezember 2018, S. 1; Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 152. 65 Baumgartner, in: Ehmann / Selmayr, DSGVO, Art. 35 DSGVO Rn. 17; Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 35 DSGVO Rn. 19. 66 Martin / Mester et al., DuD 2020, 149 (152); Martin / Schiering et al., DuD 2020, 154 (154). 67 Zu den in Deutschland erarbeiteten Verfahren zur Durchführung der Datenschutz- Folgenabschätzung im Einzelnen Martin / Schiering et al., DuD 2020, 154 (154 ff.).
A. Die Datenschutz-Folgenabschätzung im Gesundheitswesen
305
fahren mit sämtlichen Datenverarbeitungen zu beschreiben, daran schließt sich die Bewertung der Notwendigkeit der Datenverarbeitung an und schließlich bedarf es einer detaillierten Beschreibung der Maßnahmen und Vorkehrungen durch die der Schutz der betroffenen Personen gewährleistet werden soll.68 Nach Abschluss dieser Prüfung und der Umsetzung der erforderlichen Abhilfemaßnahmen darf die geplante Verarbeitung durchgeführt werden.69
III. Konsultation der Aufsichtsbehörde Kommt die Datenschutz-Folgenabschätzung zu dem Ergebnis, dass aufgrund der geplanten Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht und konnten keine ausreichenden Maßnahmen zur Minimierung dieses Risikos getroffen werden, so ist die Aufsichtsbehörde gemäß Art. 36 Abs. 1 DSGVO vor der Datenverarbeitung zu konsultieren.70 Für die Konsultation mit der Aufsichtsbehörde hat der Verantwortliche dieser die in Art. 36 Abs. 3 DSGVO aufgeführten Informationen zur Verfügung zu stellen, so etwa die Zwecke und Mittel der beabsichtigten Verarbeitung und die vorgesehenen Schutzmaßnahmen. Die Aufsichtsbehörde prüft sodann, ob die geplante Verarbeitung im Einklang mit der DSGVO steht. Führt diese Prüfung zu dem Ergebnis, dass die geplante Verarbeitung nicht mit den Vorgaben der DSGVO vereinbar ist, unterbreitet die Aufsichtsbehörde gemäß Art. 36 Abs. 2 S. 1 DSGVO innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation eine schriftliche Empfehlung. Die Frist für die Erteilung der Empfehlung kann gemäß Art. 36 Abs. 2 S. 2 DSGVO bei entsprechender Komplexität der geplanten Verarbeitung einmalig um bis zu weitere sechs Wochen verlängert werden. Daneben kann die Aufsichtsbehörde auch die übrigen in Art. 58 DSGVO aufgeführten Befugnisse ausüben, wenn sie bei der Prüfung feststellt, dass die geplante Datenverarbeitung nicht hinnehmbar ist.71 Die Aufsichtsbehörden verfügen gemäß Art. 58 DSGVO über umfangreiche Befugnisse zur Durchsetzung der DSGVO. So regelt Art. 58 Abs. 1 DSGVO Untersuchungsbefugnisse, Art. 58 Abs. 2 DSGVO sieht Abhilfebefugnisse vor und Art. 58 Abs. 3 DSGVO statuiert Genehmigungsrechte und Beratungsbefugnisse.72 In diesem Zusammenhang ist jedoch zu berücksichtigen, dass gemäß § 29 Abs. 3 S. 1 BDSG n. F. die Untersuchungsbefugnisse der Aufsichtsbehörden 68
Buchner, Datenschutz im Gesundheitswesen, S. 124 f. Martin / Friedewald et al., in: Friedewald / Martin, Die Datenschutz-Folgenabschätzung, S. 16. 70 Werry / Knoblich, MPR 2017, 1 (4); Schmitz / v. Dall’Armi, ZD 2017, 57 (63); EG 94 S. 1 DSGVO. 71 Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 155. 72 Lapp, in: Gola / Heckmann, BDSG, § 29 BDSG Rn. 25. 69
306
Kap. 5: Die Datenschutzorganisation im Gesundheitswesen
nach Art. 58 Abs. 1 lit. e und f DSGVO gegenüber den in § 203 StGB genannten Personen, wie etwa Ärzten, nicht bestehen, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflicht führen würde. Ausgeschlossen ist in diesem Fall der Zugang zu allen personenbezogenen Daten, die dem Patientengeheimnis unterfallen, wie etwa Patientenakten, sowie zu den Geschäftsräumen des Verantwortlichen.73 Damit macht die Vorschrift von der Öffnungsklausel des Art. 90 DSGVO Gebrauch, nach der die Mitgliedstaaten die Befugnisse der Aufsichtsbehörden gegenüber den Verantwortlichen, die dem Berufsgeheimnis unterliegen, regeln können, soweit dies notwendig ist, um das Recht auf Schutz personenbezogener Daten mit der Pflicht zur Geheimhaltung in Einklang zu bringen.74 Diese Einschränkung der Untersuchungsbefugnisse der Aufsichtsbehörde ist teilweise auf erhebliche Kritik gestoßen, da die Überprüfungsmöglichkeiten der Aufsichtsbehörden gerade dort eingeschränkt würden, wo wegen der Sensibilität der Daten eine besondere Gefährdung für das Recht auf informationelle Selbstbestimmung bestehe.75 Allerdings ist in diesem Zusammenhang zu berücksichtigen, dass § 29 Abs. 3 S. 1 BDSG n. F. allein die Befugnisse der Aufsichtsbehörde nach Art. 58 Abs. 1 lit. e und f DSGVO ausschließt und dies auch nur, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten der Berufsgeheimnisträger führen würde.76 Die Befugnisse der Aufsicht werden somit nur in bestimmten Fällen eingeschränkt und nicht gänzlich ausgeschlossen.77 Eine Zugangsbefugnis der Aufsichtsbehörde kann etwa dann bestehen, wenn die Behörde die Überprüfung außerhalb der Praxisöffnungszeiten angekündigt hat und die Patientendaten hinreichend vor einer Kenntnisnahme gesichert sind.78 Im Übrigen werden auch alle sonstigen Befugnisse der Aufsichtsbehörden nach Art. 58 DSGVO nicht durch § 29 Abs. 3 BDSG n. F. eingeschränkt, sodass keine besonderen Bedenken gegen eine solche Einschränkung der Untersuchungsbefugnisse der Aufsichtsbehörden bestehen.
IV. Fazit Die Untersuchung hat gezeigt, dass auch für Verantwortliche im Gesundheitswesen trotz einer gewissen Risikogeneigtheit der Verarbeitung von Gesundheitsdaten eine differenzierte Prüfung der Erforderlichkeit der Durchführung einer 73
BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A16). 74 Lapp, in: Gola / Heckmann, BDSG, § 29 BDSG Rn. 25; Greve, NVwZ 2017, 737 (739). 75 Weichert, DANA 2017, 76 (79); ders., DuD 2017, 538 (543); ders., in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, § 29 BDSG Rn. 27. 76 Uwer, in: BeckOK Datenschutzrecht, § 29 BDSG Rn. 37; Lapp, in: Gola / Heckmann, BDSG, § 29 BDSG Rn. 33. 77 Gräber / Nolden, in: Paal / Pauly, DSGVO BDSG, § 29 BDSG Rn. 21. 78 BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A16).
B. Die Pflicht zur Benennung eines Datenschutzbeauftragten
307
Datenschutz-Folgenabschätzung geboten ist. In der praktischen Umsetzung kann die Datenschutz-Folgenabschätzung ihre Funktion als „Frühwarnsystem“79 nur dann erfüllen, wenn die Erforderlichkeit der Durchführung einer Datenschutz- Folgenabschätzung rechtlich klar geregelt ist. Insbesondere das im Rahmen der sog. Schwellwertanalyse zu prüfende Kriterium des hohen Risikos bringt in diesem Zusammenhang als unbestimmter Rechtsbegriff einige Unsicherheiten mit sich.80 Die Fallgruppen des Art. 35 Abs. 3 DSGVO und die Positivlisten der Datenschutzaufsichtsbehörden nach Art. 35 Abs. 4 DSGVO können für eine gewisse Konkretisierung sorgen, indem sie Kriterien dafür vorgeben, wann eine Datenschutz- Folgenabschätzung verpflichtend durchzuführen ist.81 Speziell die Privilegierung des „einzelnen Arztes“ in EG 91 S. 4 DSGVO stellt für die Frage, ob bei Einrichtungen im Gesundheitswesen eine umfangreiche Verarbeitung von Gesundheitsdaten erfolgt, eine wichtige Auslegungshilfe dar. Auch wenn diese Vorgaben nicht jeden Einzelfall erfassen können, in dem eine Datenschutz-Folgenabschätzung durchzuführen ist, so können sie zumindest Anhaltspunkte für die Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung bieten.
B. Die Pflicht zur Benennung eines Datenschutzbeauftragten im Gesundheitswesen Nicht zuletzt vor dem Hintergrund drohender Bußgelder für den Fall der Missachtung der Benennung eines Datenschutzbeauftragten steht für Einrichtungen im Gesundheitswesen insbesondere die Frage nach dem Bedürfnis der Benennung eines Datenschutzbeauftragten im Raum.82 Hierbei ergeben sich für das Gesundheitswesen besondere Fragestellungen, die im Folgenden in den Blick genommen werden.
I. Pflicht zur Benennung eines Datenschutzbeauftragten Auf europäischer Ebene ist die Pflicht zur Benennung eines Datenschutz beauftragten in Art. 37 DSGVO geregelt. Ergänzend gibt die Öffnungsklausel des Art. 37 Abs. 4 S. 1 Hs. 2 DSGVO den nationalen Gesetzgebern die Möglichkeit, abweichende Anforderungen an die Benennung von Datenschutzbeauftragten für 79
Friedewald / Bieker et al., Forum Privatheit: White Paper Datenschutz-Folgenabschätzung, S. 38. 80 Siehe dazu ausführlich unter Kap. 5 A. I. 3., (S. 301 ff.). 81 Siehe dazu ausführlich unter Kap. 5 A. I. 1. und 2. (S. 298 ff.). 82 Gemäß Art. 83 Abs. 4 lit. a DSGVO kann eine Geldbuße von bis zu 10. 000. 000 EUR oder im Fall eines Unternehmens von bis zu zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher der Beträge höher ist.
308
Kap. 5: Die Datenschutzorganisation im Gesundheitswesen
nichtöffentliche Stellen auf nationaler Ebene aufzustellen. Davon hat der Bundesgesetzgeber mit § 38 BDSG n. F. Gebrauch gemacht. Hinsichtlich der Pflicht zur Benennung eines Datenschutzbeauftragten sind demnach die folgenden Konstellationen zu unterscheiden. 1. Verpflichtende Benennung für öffentliche Stellen sowie bei umfangreicher Verarbeitung personenbezogener Daten als Kerntätigkeit, Art. 37 DSGVO Art. 37 Abs. 1 lit. a DSGVO legt zunächst fest, dass für die Datenverarbeitung einer öffentlichen Stelle, wie etwa Krankenhäuser in öffentlicher Trägerschaft, stets ein Datenschutzbeauftragter zu benennen ist. Diese Benennungspflicht wiederholt § 5 Abs. 1 S. 1 BDSG n. F.83 Daneben kommt eine verpflichtende Benennung für private Stellen im Gesundheitswesen insbesondere gemäß Art. 37 Abs. 1 lit. c Alt. 1 DSGVO in Betracht. Danach ist ein Datenschutzbeauftragter zu bestellen, wenn die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht. Hinsichtlich des Tatbestandsmerkmals „umfangreich“ kann zunächst im Wesentlichen auf die entsprechenden Ausführungen im Rahmen der Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung verwiesen werden.84 Daneben ist jedoch zu berücksichtigen, dass die DSK ein Kurzpapier zu Datenschutzbeauftragten sowie eine Entschließung speziell zur Datenschutzbeauftragten-Bestellpflicht nach § 37 Abs. 1 lit. c DSGVO veröffentlicht hat, die weiter konkretisieren, wann von einer „umfangreichen Verarbeitung“ i. S. d. Art. 37 Abs. 1 lit. c Alt. 1 DSGVO auszugehen ist. Ausgehend von der Annahme, dass die Datenverarbeitung durch einen Einzelarzt nach EG 91 S. 4 DSGVO regelmäßig keine Benennungspflicht auslöst,85 führt die DSK in ihrem Kurzpapier weiter aus, dass im Einzelfall auch in Einzelarztpraxen ein Datenschutzbeauftragter zu benennen sein könne, wenn ein „erheblich“ vom durchschnittlichen Einzelarzt abweichender Umfang der Datenverarbeitung erfolge.86 Wann dies konkret der Fall ist, wird allerdings offengelassen. Als Orientierungswert geben die Bundesärztekammer und die Kassenärztliche Bundesvereinigung anhand der durchschnittlichen Behandlungsfallzahlen die Anzahl von ca. 6.000 Datensätzen pro Jahr vor, da für einzelne Facharztbereiche Behandlungsfallzahlen von bis zu 1.500 Patienten pro 83 Dies widerspricht nicht dem unionsrechtlichen Normwiederholungsgebot, da die Vorschrift der Verständlichkeit und Kohärenz dient, dazu ausführlich Gola, ZD 2019, 383 (384). 84 S. dazu unter Kap. 5 A. I. 1., (S. 298 ff.). 85 EG 91 S. 4 DSGVO gilt auch für Art. 37 Abs. 1 lit. c DSGVO, Baumgartner, in: Ehmann / Selmayr, DSGVO, Art. 35 DSGVO Rn. 27. 86 DSK, Kurzpapier Nr. 12 „Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern“, Stand 16. Januar 2018, S. 1 f.
B. Die Pflicht zur Benennung eines Datenschutzbeauftragten
309
Quartal durchschnittlich seien, wobei die aufgrund von Aufbewahrungsfristen ohnehin schon dokumentierten Patientendatensätze hinzuzurechnen seien.87 Eine erhebliche Abweichung von der durchschnittlichen Anzahl der Patientendatensätze dürfte jedenfalls ab 10.000 Datensätzen pro Jahr anzunehmen sein.88 Eine derartige Festlegung von konkreten Schwellenwerten ist aus Gründen der Rechtssicherheit grundsätzlich zu begrüßen, allerdings ist in diesem Zusammenhang zu berücksichtigen, dass die Behandlungsfallzahlen pro Quartal in den einzelnen Facharztbereichen stark voneinander abweichen können.89 Unabhängig davon ist nach Entschließung der DSK zur „Datenschutzbeauftragten-Bestellpflicht nach Art. 37 Abs. 1 lit. c DSGVO“ eine umfangreiche Verarbeitung auch dann anzunehmen, wenn in der Praxis eines einzelnen Arztes mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.90 Im Gegensatz zu § 38 Abs. 1 S. 1 BDSG n. F., bei dem die Anzahl von zwanzig Personen ein Tatbestandsmerkmal darstellt, ist der Schwellenwert von zehn Personen jedoch in Art. 37 Abs. 1 lit. c DSGVO gesetzlich nicht verankert.91 Auf die Anzahl der Beschäftigten kommt es bei Art. 37 Abs. 1 lit. c DSGVO folglich gerade nicht an.92 Zudem führt diese Annahme dazu, dass das identische Merkmal der „umfangreichen Verarbeitung“ in Art. 35 Abs. 3 lit. b und Art. 37 Abs. 1 lit. c DSGVO unterschiedlich ausgelegt wird. Dieser Schwellenwert kann daher allenfalls neben den übrigen in EG 91 S. 1 DSGVO vorgesehenen Kriterien, wie der Menge der verarbeiteten personenbezogenen Daten und der Anzahl der betroffenen Personen, als Orientierungswert zur Beurteilung des Vorliegens einer umfangreichen Verarbeitung herangezogen werden.93
87
BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A14). 88 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 127. 89 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 106; ders., PinG 2018, 53 (56). 90 DSK, Entschließung „Datenschutzbeauftragten-Bestellpflicht nach Art. 37 Abs. 1 lit. c“ v. 26. April 2018, S. 1. 91 Die Entschließung der DSK zur „Datenschutzbeauftragten-Bestellpflicht nach Art. 37 Abs. 1 lit. c“ v. 26. April 2018 ist noch vor dem Inkrafttreten des 2. DSAnpUG-EU veröffentlicht worden, mit dem die Personenanzahl in § 38 Abs. 1 S. 1 BDSG n. F. von zehn auf 20 Personen angehoben wurde und sollte ursprünglich daher wohl einen Gleichlauf zu der Personenanzahl des § 38 Abs. 1 S. 1 BDSG n. F. herstellen. 92 BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A14); Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 124; Klug, in: Gola, DSGVO, Art. 37 DSGVO Rn. 9. 93 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 126 der annimmt, dass die Festlegung eines solchen Schwellenwerts sogar dem risikobasierten Ansatz der DSGVO widersprechen könne, in ders., PinG 2018, 53 (61) allerdings selbst noch davon ausging, dass eine „umfangreiche Verarbeitung“ i. S. d. Art. 37 Abs. 1 lit. c DSGVO erst dann vorliege, wenn regelmäßig mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt werden.
310
Kap. 5: Die Datenschutzorganisation im Gesundheitswesen
Darüber hinaus ist gemäß der Entschließung der DSK in der Regel auch bei Ärzten, die „zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft)“ zusammengeschlossen sind, nicht von einer umfangreichen Verarbeitung personenbezogener Daten auszugehen.94 Problematisch ist dabei, dass die DSK damit die Berufsausübungsgemeinschaft mit der Praxisgemeinschaft gleichsetzt, wobei gerade für diese beiden Organisationsformen im Hinblick auf eine mögliche umfangreiche Datenverarbeitung eine differenzierte Betrachtung geboten sein kann.95 Richtigerweise ist daher, wie bereits dargestellt, danach zu differenzieren, ob unabhängig von der Organisationsform der Arztpraxis eine im Vergleich zum einzelnen Arzt überdurchschnittliche Verarbeitungstätigkeit erfolgt.96 Als Referenzwert kann diesbezüglich auf die durchschnittlichen Behandlungsfallzahlen pro Quartal abgestellt werden. Daneben muss es sich gemäß Art. 37 Abs. 1 lit. c DSGVO bei der umfangreichen Datenverarbeitung auch um die Kerntätigkeit des Datenverarbeiters handeln. Die Frage, ob die Datenverarbeitung zur Kerntätigkeit von Ärzten gehört, wird unterschiedlich beurteilt. So wird einerseits die Ansicht vertreten, dass die Verarbeitung von Gesundheitsdaten durch medizinische Einrichtungen als deren Kerntätigkeit einzuordnen sei.97 Denn der Begriff der Kerntätigkeit erstrecke sich auch auf Tätigkeiten, bei denen die Verarbeitung von Daten einen untrennbaren Bestandteil der Tätigkeit darstelle.98 So bestehe die Kerntätigkeit einer Arztpraxis oder eines Krankenhauses zwar vorwiegend in der Leistung der medizinischen Versorgung, um dies in wirksamer Form tun zu können, müssten jedoch Gesundheitsdaten verarbeitet werden.99 Daher sei die Datenverarbeitung im medizinischen Kontext als Kerntätigkeit des Arztes anzusehen.100
94
DSK, Entschließung „Datenschutzbeauftragten-Bestellpflicht nach Art. 37 Abs. 1 lit. c“ v. 26. April 2018, S. 1 Nr. 2, so auch KV Nordrhein, Informationsblätter zum neuen Datenschutzrecht in der ambulanten Versorgung v. 23. November 2018, S. 11; hinsichtlich Praxisgemeinschaften auch Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 159. 95 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 119 f. 96 BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A14). 97 Art. 29-Datenschutzgruppe, Leitlinien in Bezug auf Datenschutzbeauftragte, WP 243 Rev. 01 v. 5. April 2017, S. 8; ULD SH, Die Datenschutzgrundverordnung tritt in Kraft – das müssen selbstständige Heilberufler beachten, S. 5. 98 Art. 29-Datenschutzgruppe, Leitlinien in Bezug auf Datenschutzbeauftragte WP 243 Rev. 01 v. 5. April 2017, S. 8, Anhang zu WP 243, Ziff. 2; KV Nordrhein, Informationsblätter zum neuen Datenschutzrecht in der ambulanten Versorgung v. 23. November 2018, S. 12; Hel frich, in: Sydow, DSGVO, Art. 37 DSGVO Rn. 64. 99 Art. 29-Datenschutzgruppe, Leitlinien in Bezug auf Datenschutzbeauftragte, WP 243 Rev. 01 v. 5. April 2017, S. 8; Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 37 DSGVO Rn. 27. 100 Bergt, in: Kühling / Buchner, DSGVO BDSG, Art. 37 DSGVO Rn. 24; ULD SH, Die Datenschutzgrundverordnung tritt in Kraft – das müssen selbstständige Heilberufler beachten, S. 5; Schaffland / Holthaus, in: Schaffland / Wiltfang, DSGVO BDSG, Art. 37 DSGVO Rn. 15; Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 37 DSGVO Rn. 27; Piltz, K&R 2017, 709 (717).
B. Die Pflicht zur Benennung eines Datenschutzbeauftragten
311
Andere Stimmen nehmen hingegen an, dass vom Vorliegen einer Kerntätigkeit nur dann auszugehen sei, wenn der Hauptzweck der Tätigkeit in der Durchführung von Verarbeitungsvorgängen liege.101 Der Hauptzweck der Tätigkeit eines Arztes betreffe jedoch in erster Linie die medizinische Versorgung von Patienten, die zwar die Verarbeitung von Daten mit sich bringe, aber nicht den eigentlichen Geschäftszweck des ärztlichen Handelns darstelle. Folglich gehöre die Datenverarbeitung nicht zu der Kerntätigkeit eines Arztes.102 Letztere Auffassung verdient Zustimmung. Bereits der Wortlaut der Vorschrift stellt auf die Kerntätigkeit selbst ab und nicht auf solche Verarbeitungsvorgänge, die unmittelbar mit der Kerntätigkeit im Zusammenhang stehen oder einen untrennbaren Bestandteil der Geschäftstätigkeit des Verantwortlichen darstellen.103 Zudem würde das Kriterium der Kerntätigkeit seine Bedeutung verlieren, wenn man davon ausginge, dass die Verarbeitung zur Kerntätigkeit zu rechnen sei, sobald die Datenverarbeitung erforderlich sei, damit der Verantwortliche seinen Geschäftszweck verfolgen könne.104 Denn dann würde das Kriterium der Kerntätigkeit in den meisten Fällen erfüllt sein. Überdies wird diese Auffassung von EG 97 S. 2 DSGVO gestützt, nach dem sich die Kerntätigkeit eines Verantwortlichen im privaten Sektor auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht. Von einer Kerntätigkeit i. S. d. Art. 37 Abs. 1 lit. c DSGVO ist daher nur dann auszugehen, wenn der primäre Hauptzweck der datenverarbeitenden Stelle in der Durchführung von Verarbeitungsvorgängen liegt.105 Die ärztliche Tätigkeit beruht hingegen in der Regel schwerpunktmäßig auf der Behandlung des Patienten in Form von Diagnose, Beratung und Therapie, welche als Nebeneffekt die Verarbeitung von Daten mit sich bringt.106 Naturgemäß fallen bei jeder ärztlichen Behandlung Daten an, jedoch ist die Datenverarbeitung nicht die eigentliche Haupttätigkeit des Arztes.107 Vielmehr
101
Niklas / Faas, NZA 2017, 1091 (1092); Dammann, ZD 2016, 307 (308). BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A14); Landesärztekammer Thüringen, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, S. 37; Dochow, PinG 2018, 51 (60); ders., in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 124 f.; Schröder, MedR 2019, 631 (633). 103 Niklas / Faas, NZA 2017, 1091 (1092); Bergt, in: Kühling / Buchner, DSGVO BDSG, Art. 37 DSGVO Rn. 21. 104 So aber Art. 29-Datenschutzgruppe, Leitlinien in Bezug auf Datenschutzbeauftragte, WP 243 rev. 01 v. 5 April 2017, Anhang zu WP 243, Ziff. 2; Helfrich, in: Sydow, DSGVO, Art. 37 DSGVO Rn. 64; Klug, in: Gola, DSGVO Art. 37 DSGVO Rn. 8. 105 Niklas / Faas, NZA 2017, 1091 (1092); Klug, ZD 2016, 315 (316); Paal, in: Paal / Pauly, DSGVO BDSG, Art. 37 DSGVO Rn. 8 m. w. N. 106 Dochow, PinG 2018, 51 (60); Schröder, MedR 2019, 631 (633). 107 Landesärztekammer Thüringen, Hinweise und Empfehlungen zur ärztlichen Schweige pflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, S. 37; a. A. Bergt, in: Kühling / Buchner, DSGVO BDSG, Art. 37 DSGVO Rn. 24. 102
312
Kap. 5: Die Datenschutzorganisation im Gesundheitswesen
handelt es sich dabei um eine „notwendige[…] Unterstützungsfunktion[…]“108 der eigentlichen ärztlichen Leistung. Für Arztpraxen und Krankenhäuser kommt daher eine Benennungspflicht nach Art. 37 Abs. 1 lit. c DSGVO nicht in Betracht, da selbst eine umfangreiche Verarbeitung von Gesundheitsdaten grundsätzlich nicht zu der Kerntätigkeit von Ärzten zu zählen ist. 2. Verpflichtende Benennung in Abhängigkeit von der Anzahl der Beschäftigten, § 38 Abs. 1 S. 1 BDSG n. F. Daneben haben der Verantwortliche oder Auftragsverarbeiter bei nichtöffent lichen Stellen gemäß § 38 Abs. 1 S. 1 BDSG n. F. einen Datenschutzbeauftragten zu benennen, soweit sie „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“.109 Dies wirft die Frage auf, welche Personen zu diesem Personenkreis zu zählen sind. Der Wortlaut „in der Regel“ verdeutlicht zunächst, dass es auf vorübergehende Schwankungen in der Beschäftigtenzahl nicht ankommt.110 Maßgeblich soll daher sein, ob der Schwellenwert von 20 Personen über einen Zeitraum von einem Jahr erreicht wird.111 Zudem ist es für die Bestimmung der „in der Regel“ zu berücksichtigenden Personen nicht entscheidend, ob die jeweilige Person voll- oder teilzeitbeschäftigt ist.112 Ferner muss die Person „ständig“ mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sein. Dafür ist es jedoch ausreichend, dass der jeweilige Mitarbeiter regelmäßig mit der automatisierten Datenverarbeitung befasst ist, die Tätigkeit muss hingegen nicht die Hauptaufgabe des Mitarbeiters darstellen oder den entscheidenden Anteil der Beschäftigung ausmachen.113 Wenn Ärzte Patientendaten zur Patientendatenverwaltung, für Behandlungszwecke oder zu Zwecken der Abrechnung regelmäßig automatisiert verarbeiten, sind diese folg-
108 Art. 29-Datenschutzgruppe, Leitlinien in Bezug auf Datenschutzbeauftragte, WP 243 rev. 01 v. 5. April 2017, S. 8. 109 Durch Art. 12 des 2. DSAnpUG-EU wurde der Schwellenwert in § 38 Abs. 1 S. 1 BDSG n. F., ab dem ein Datenschutzbeauftragter zu benennen ist, m. W. v. 26. November 2019 von zehn auf 20 Mitarbeiter angehoben. 110 Kühling / Sackmann, in: Kühling / Buchner, DSGVO BDSG, § 38 BDSG Rn. 10; Rücker / Dienst, in: Gola / Heckmann, BDSG, § 38 BDSG Rn. 31; Helfrich, in: Sydow, BDSG, § 38 BDSG Rn. 17. 111 GDD, Praxishilfe DSGVO I – Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung, Stand Juli 2019, S. 5, abrufbar unter: https://www.gdd.de/gdd-arbeitshilfen/ praxishilfen-ds-gvo/praxishilfen-ds-gvo; Kühling / Sackmann, in: Kühling / Buchner, DSGVO BDSG, § 38 BDSG Rn. 10; teilweise wird auch ein kürzerer Zeitraum von etwa drei Monaten als vertretbar angesehen, Helfrich, in: Sydow, BDSG, § 38 BDSG Rn. 17. 112 Kühling / Sackmann, in: Kühling / Buchner, DSGVO BDSG, § 38 BDSG Rn. 9; Helfrich, in: Sydow, BDSG, § 38 BDSG Rn. 15; Rücker / Dienst, in: Gola / Heckmann, BDSG, § 38 BDSG Rn. 31. 113 Pauly, in: Paal / Pauly, DSGVO BDSG, § 38 BDSG Rn. 10; Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 123.
B. Die Pflicht zur Benennung eines Datenschutzbeauftragten
313
lich mitzuzählen.114 Daneben zählen auch Mitarbeiter, die am Empfang oder im Rahmen der Abrechnung mit der Datenverarbeitung befasst sind, zu diesem Personenkreis.115 Zudem umfasst der für die Benennungspflicht maßgebliche Personenkreis die bei dem Verantwortlichen „beschäftigten“ Personen. Dieser Begriff ist grundsätzlich weit auszulegen, sodass neben Arbeitnehmern auch Auszubildende, Praktikanten und freie Mitarbeiter zu diesem Personenkreis zu zählen sind, soweit diese Daten der Patienten verarbeiten.116 Daneben vertritt die überwiegende Auffassung in der Literatur die Ansicht, dass der Geschäftsführer sowie anderes Leitungspersonal und mithin auch der Praxisinhaber selbst nicht mitzuzählen sei, da diese Personen gerade nicht „beschäftigt“ seien.117 Demgegenüber wird von den Aufsichtsbehörden zum Teil die Ansicht vertreten, dass auch der Praxisinhaber selbst in der Berechnung zu berücksichtigen sei.118 Diese Annahme erscheint vor dem Sinn und Zweck der Norm zunächst schlüssig, welcher der Gedanke zugrunde liegt, dass eine bestimmte mit der automatisierten Datenverarbeitung befasste Personenanzahl innerhalb einer Organisationshoheit ein Bedürfnis nach einer Kontrolle der Datenverarbeitung durch einen Datenschutzbeauftragten auslöst.119 Sie widerspricht jedoch dem insoweit eindeutigen Wortlaut der Norm, der auf die Personen abstellt, die der Verantwortliche als Adressat der Vorschrift beschäftigt.120 Unabhängig von dem nach dem Wortlaut insoweit eindeutigen Ergebnis erscheint es vor dem Hintergrund möglicher aufsichtsrechtlicher Maßnahmen ratsam, den Praxisinhaber im Zweifel entsprechend der Auffassung der Aufsichtsbehörden zum Personenkreis hinzuzuzählen, sollte es zur Erreichung des Schwellenwerts 114 BayLDA, Auslegungshilfe „Datenschutzbeauftragter im medizinischen Bereich“ v. 10. Dezember 2019, S. 1, abrufbar unter: https://www.lda.bayern.de/de/thema_datenschutz beauftragter.html. 115 Dochow, PinG 2018, 51 (57); Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 160. 116 ULD SH, Die Datenschutz-Grundverordnung tritt in Kraft – Das haben selbstständige Heilberufler zu beachten, S. 5; Pauly, in: Paal / Pauly, DSGVO BDSG, § 38 BDSG Rn. 6; Rücker / Dienst, in: Gola / Heckmann, BDSG, § 38 BDSG Rn. 18 f.; Kühling / Sackmann, in: Kühling / Buchner, DSGVO BDSG, § 38 BDSG Rn. 9; Moos, in: BeckOK Datenschutzrecht, § 38 BDSG Rn. 9. 117 Klug, in: Gola, DSGVO, Art. 37 DSGVO Rn. 26; Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 122; ders., PinG 2018, 51 (58); Moos, in: BeckOK Datenschutzrecht, § 38 BDSG Rn. 9; Rücker / Dienst, in: Gola / Heckmann, BDSG, § 38 BDSG Rn. 19; Raum, in: Auernhammer, DSGVO BDSG, § 38 BDSG Rn. 7; Schröder, MedR 2019, 631 (633); BÄK / K BV, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, A1 (A13). 118 ULD SH, Die Datenschutzgrundverordnung tritt in Kraft – das müssen selbstständige Heilberufler beachten, S. 5; BayLDA, Auslegungshilfe „Datenschutzbeauftragter im medizinischen Bereich“ v. 10. Dezember 2019, S. 1, abrufbar unter: https://www.lda.bayern.de/de/ thema_datenschutzbeauftragter.html; DSK, Entschließung „Datenschutzbeauftragten-Bestellpflicht nach Art. 37 Abs. 1 lit. c“ v. 26. April 2018, S. 1. 119 Rücker / Dienst, in: Gola / Heckmann, BDSG, § 38 BDSG Rn. 19. 120 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 122; ders., PinG 2018, 51 (58); zu dem insoweit identischen § 4f Abs. 1 S. 3 BDSG a. F. Gola / Klug, NJW 2007, 118 (120).
314
Kap. 5: Die Datenschutzorganisation im Gesundheitswesen
von 20 Personen wirklich einmal auf den Praxisinhaber ankommen.121 Eindeutig nicht erfasst werden hingegen externe sonstige mitwirkende Personen, wie etwa Auftragsverarbeiter, oder Personen, die keinen Zugang zu Datenverarbeitungssystemen mit personenbezogenen Daten haben.122 3. Verpflichtende Benennung bei Verarbeitungen, die einer Datenschutz-Folgenabschätzung unterliegen, § 38 Abs. 1 S. 2 Var. 1 BDSG n. F. Unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen ist die Benennung eines Datenschutzbeauftragten gemäß § 38 Abs. 1 S. 2 Var. 1 BDSG n. F. verpflichtend, wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die nach Maßgabe des Art. 35 DSGVO einer Datenschutz-Folgenabschätzung unterliegen. Die Regelung berücksichtigt den Umstand, dass die betroffene Person in Fällen, in denen eine Datenschutz-Folgenabschätzung durchzuführen ist, besonders schutzbedürftig ist und daher auf Seiten des Verantwortlichen zusätzlich eine institutionalisierte Kontrolle der Datenverarbeitungstätigkeiten durchgeführt werden soll.123 In diesem Fall ist eine inzidente Prüfung der Voraussetzungen der Datenschutz-Folgenabschätzung vorzunehmen, sodass diesbezüglich auf die Ausführungen zur Datenschutz-Folgenabschätzung verwiesen werden kann.124 Teilweise wird angenommen, dass daneben auch die Zugehörigkeit der Verarbeitung zur Kerntätigkeit des Verantwortlichen zu prüfen sei.125 Denn nach Art. 37 DSGVO soll das Merkmal der Kerntätigkeit für die Benennung eines Datenschutzbeauftragten entscheidend sein, sodass der Tatbestand des Art. 37 Abs. 1 lit. c DSGVO ohne dieses Merkmal um eine wesentliche Voraussetzung reduziert würde.126 Die Europarechtskonformität dieser Regelung wird vor diesem Hintergrund bezweifelt.127 Entscheidend ist in diesem Zusammenhang, ob die Öffnungsklausel in Art. 37 Abs. 4 S. 1 Hs. 2 DSGVO eine solche Abweichung durch den nationalen Gesetzgeber zulässt. Diesbezüglich wird einerseits vertreten, dass die Öffnungsklausel es den einzelnen Mitgliedstaaten lediglich ermögliche, stren 121
Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 122. Kühling / Sackmann, in: Kühling / Buchner, DSGVO BDSG, § 38 BDSG Rn. 11; Rücker / Dienst, in: Gola / Heckmann, BDSG, § 38 BDSG Rn. 20; BayLDA, Anforderungen der Datenschutz-Grundverordnung Muster 5: Arztpraxis, S. 2, abrufbar unter: https://www.lda.bayern. de/media/muster_5_arztpraxis.pdf. 123 Helfrich, in: Sydow, BDSG, § 38 BDSG Rn. 19; Pauly, in: Paal / Pauly, DSGVO BDSG, § 38 BDSG Rn. 12. 124 S. dazu Kap. 5 A. I., (S. 297 ff.). 125 Dochow, PinG 2018, 51 (59). 126 Dochow, PinG 2018, 51 (59). 127 Dochow, PinG 2018, 51 (59); ders., in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 129 Fn. 50. 122
B. Die Pflicht zur Benennung eines Datenschutzbeauftragten
315
gere Bestellpflichten vorzusehen. Nationale Regelungen, die die Pflicht zur Benennung eines Datenschutzbeauftragten einschränken oder abbedingen seien demgegenüber unzulässig.128 Die Gegenauffassung nimmt an, dass die Öffnungsklausel dem nationalen Gesetzgeber die Möglichkeit einräume, auch in anderen als den bereits in Art. 37 Abs. 1 DSGVO benannten Fällen abweichende Bestellpflichten vorzusehen und mithin die Anforderungen an die Benennungspflicht aus Art. 37 Abs. 1 DSGVO zu modifizieren.129 Dem ist zuzustimmen, da Art. 37 Abs. 4 S. 1 Hs. 2 DSGVO den nationalen Gesetzgebern im Sinne einer fakultativen Öffnungsklausel die Möglichkeit einräumt, weitere über Art. 37 Abs. 1 DSGVO hinausgehende Verpflichtungen zur Benennung eines Datenschutzbeauftragten vorzuschreiben.130 Die Öffnungsklausel ermöglicht nicht nur eine Spezifizierung des europäischen Rechtsrahmens, sondern vielmehr auch eine eigenständige Ausgestaltung des nationalen Rechts.131 Der Bundesgesetzgeber hat daher unter Nutzung des ihm eingeräumten Gestaltungsspielraumes eine Bestellpflicht für Fälle normiert, in denen eine Datenschutz-Folgenabschätzung durchzuführen ist.132 Demnach muss das Kriterium der Kerntätigkeit für die Erfüllung der Voraussetzungen des § 38 Abs. 1 S. 2 Var. 1 BDSG n. F. nicht gegeben sein. Daher muss ein Datenschutzbeauftragter nach dieser Vorschrift unabhängig von der Frage der Kerntätigkeit benannt werden, wenn die Verarbeitung einer Datenschutz-Folgenabschätzung unterliegt. 4. Bestimmungen zum Datenschutzbeauftragten in den Landeskrankenhausgesetzen Daneben regeln auch einige Landeskrankenhausgesetze, dass der Krankenhausträger einen Datenschutzbeauftragten zu benennen hat.133 Dies wird daneben teils noch an zusätzliche Voraussetzungen geknüpft, so ist der Datenschutzbeauftragte etwa gemäß § 51 Abs. 1 S. 1 LKHG BW schriftlich zu bestellen. Solche Vorgaben im nationalen Recht lassen sich auf die Öffnungsklausel des Art. 37 Abs. 4 S. 1 Hs. 2 DSGVO stützen.
128
Niklas / Faas, NZA 2017, 1091 (1091); BÄK, Stellungnahme zum Referentenentwurf eines 2. DSAnpUG-EU v. 16. Juli 2018, S. 7; Dochow, PinG 2018, 51 (59) Fn. 124. 129 Moos, in: BeckOK Datenschutzrecht, Art. 37 DSGVO Rn. 35; Pauly, in: Paal / Pauly, DSGVO BDSG, § 38 BDSG Rn. 3; Maier / Ossoinig, in: Roßnagel, DSGVO, § 3 Rn. 353. 130 Rücker / Dienst, in: Gola / Heckmann, BDSG, § 38 BDSG Rn. 9; Pauly, in: Paal / Pauly, DSGVO BDSG, § 38 BDSG Rn. 3. 131 Pauly, in: Paal / Pauly, DSGVO BDSG, § 38 BDSG Rn. 3; Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 901. 132 Klug, in: Gola, DSGVO, Art. 37 DSGVO Rn. 28. 133 So in § 51 Abs. 1 S. 1 LKHG BW, § 12 Abs. 1 GDSG NW sowie § 33 Abs. 7 SächsKHG.
316
Kap. 5: Die Datenschutzorganisation im Gesundheitswesen
II. Fazit Festhalten lässt sich, dass die Anzahl von mindestens 20 Personen, die mit der Datenverarbeitung befasst sind, einen festen Schwellenwert für die Benennung eines Datenschutzbeauftragten markiert. In Krankenhäusern und auch in medizinischen Versorgungszentren wird diese Grenze regelmäßig überschritten sein. Ist der Schwellenwert unterschritten, wie dies zumeist bei Einzelarztpraxen und Praxisgemeinschaften der Fall sein wird, so kommt es für die Benennungspflicht darauf an, ob Verarbeitungen vorgenommen werden, die einer Datenschutz- Folgenabschätzung unterliegen. Dies wird insbesondere gegeben sein, wenn diese Einrichtungen Verarbeitungstätigkeiten durchführen, die auf der Positivliste der DSK geführt werden oder wenn sie im Einzelfall eine im Vergleich zum einzelnen Arzt deutlich umfangreichere Verarbeitung von Gesundheitsdaten vornehmen.134 Daneben wird sich aus Art. 37 DSGVO für Einrichtungen im Gesundheitswesen regelmäßig keine Benennungspflicht ergeben, da auch die umfangreiche Verarbeitung personenbezogener Daten nicht zur Kerntätigkeit des Arztes zu rechnen ist.135 Kommt der Verantwortliche unter Berücksichtigung der benannten Kriterien zu dem Schluss, dass kein Datenschutzbeauftragter zu benennen ist, so ist dies zu dokumentieren, um den Nachweis- und Dokumentationspflichten aus Art. 5 Abs. 2 DSGVO nachzukommen.136 Im Falle der Benennung eines Datenschutzbeauftragen ist der Verantwortliche gemäß Art. 37 Abs. 7 DSGVO verpflichtet, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der zuständigen Aufsichtsbehörde mitzuteilen.
134
S. dazu ausführlich unter Kap. 5 B. I. 3., (S. 314 f.). S. dazu ausführlich unter Kap. 5 B. I. 1., (S. 308 ff.). 136 Stöferle, in: Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen, S. 88. 135
Kapitel 6
Datenschutzrechtliche Anforderungen bei dem Einsatz von Gesundheits-Applikationen in der Gesundheitsversorgung Seit Jahren kommen vermehrt mobile Anwendungsprogramme mit Gesundheits- bzw. medizinischem Bezug auf den Markt, die die Körperdaten ihrer Nutzer elektronisch erfassen und anschließend auswerten, sog. Gesundheits-Apps.1 So waren Anfang 2022 für das Android-Betriebssystem bereits rund 130.000 Apps mit Gesundheitsbezug erhältlich.2 Diese Apps zeichnen sich durch eine Vielzahl von Anwendungsmöglichkeiten aus, sie können beispielsweise zu einer gesunden Lebensweise beitragen, Blutdruckwerte und den Blutzuckerspiegel mittels Sensoren erfassen oder durch die Erhebung, Auswertung und Dokumentation der Daten die ärztliche Diagnose und Behandlung unterstützen.3 Da die Nutzung dieser Apps folglich mit der Verarbeitung einer Vielzahl personenbezogener Daten verbunden ist,4 wirft die Einbindung solcher mobiler Anwendungen in die Gesundheitsversorgung stets auch Fragen nach dem Datenschutz auf, denen im Folgenden nachgegangen werden soll.
1
Eine einheitliche und verbindliche Definition von Gesundheits-Apps existiert bislang noch nicht, v. Zezschwitz, MedR 2020, 196 (196); Gregor-Haack, Bundesgesundheitsbl. 2018, 328 (328); Rehmann / Heimhalt, A&R 2014, 250 (250); Heimhalt / Rehmann, MPR 2014, 197 (197 f.); zudem ist nicht abschließend geklärt, wie die einzelnen App-Kategorien zu definieren und voneinander abzugrenzen sind, allgemein kann nach der Funktion bzw. dem Zweck der Anwendung zwischen rein gesundheitsfördernden „Health-Apps“ und Applikationen mit medizinischem Bezug, sog. „Medical-Apps“, differenziert werden, dazu ausführlich Gregor-Haack, Bundesgesundheitsbl. 2018, 328 (328 ff.), jedoch ist trotz der Einteilung in die beschriebenen Kategorien eine eindeutige Zuordnung aufgrund der engen Verbindung der Zielrichtungen der Apps nicht immer möglich, Jandt / Hohmann, K&R 2015, 694 (695). 2 Dazu https://www.appbrain.com/stats/android-market-app-categories; davon Stand 26. Februar 2022 89.856 Apps in der Kategorie „Health&Fitness“ und 40.982 Apps in der Kategorie „Medical“. 3 Weyd, MedR 2020, 183 (184); Heimhalt / Rehmann, MPR 2014, 197 (197 f.); Raum, in: Stiftung Datenschutz, Big Data und E-Health, S. 130; Gaßner / Strömer, VersR 2015, 1219 (1221); Katzenmeier, MedR 2019, 259 (264); Weichert, Bundesgesundheitsbl. 2018, 285 (285); Kuhn / Amelung, in: Albrecht, Chancen und Risiken von Gesundheits-Apps, S. 101. 4 Pramann, in: Albrecht, Chancen und Risiken von Gesundheits-Apps, S. 214; BMWi, Orientierungshilfe zum Gesundheitsdatenschutz, S. 61; DSK, Entschließung „Wearables und Gesundheits-Apps“, S. 1; Rübsamen, MedR 2015, 485 (487); Jandt, DuD 2016, 571 (572); Hänold, ZD-Aktuell 2015, 04649; Küll, A&R 2019, 51 (54).
318
Kap. 6: Datenschutzrechtliche Anforderungen in der Gesundheitsversorgung
A. Überblick über die Einbindung von GesundheitsApplikationen in die Gesundheitsversorgung Bisher wurden Gesundheits-Apps in der ärztlichen Praxis nicht flächendeckend zu diagnostischen oder therapeutischen Zwecken herangezogen.5 Dies war bislang vor allem darauf zurückzuführen, dass es an einem zentralen sozialrechtlichen Zugangsverfahren in die GKV-Versorgung fehlte, welches eine Integration dieser Anwendungen in die Regelversorgung sicherstellte.6 So konnten Gesundheits-Apps bislang nur in begrenztem Umfang, etwa als freiwillige Satzungsleistungen der Krankenkassen gemäß § 11 Abs. 6 SGB V, im Rahmen von Modellvorhaben gemäß § 63 ff. SGB V oder durch Verträge der besonderen Versorgung nach § 140a SGB V in die GKV-Versorgung gelangen.7 Die Auswahl der finanzierten digitalen Anwendungen obliegt dabei der Entscheidungshoheit der einzelnen Krankenkassen im Rahmen ihrer Selbstverwaltung. Es handelt sich mithin um kassenindividuelle Versorgungsangebote, die nur von den Versicherten der jeweiligen Krankenkasse in Anspruch genommen werden können.8 Mit dem am 19. Dezember 2019 in Kraft getretenen Digitale-Versorgung-Gesetz (DVG)9 haben Versicherte der gesetzlichen Krankenversicherung in dem neu eingeführten § 33a SGB V erstmalig einen Anspruch auf die Versorgung mit sog. digitalen Gesundheitsanwendungen (DiGA) erhalten. Korrespondierend dazu erstrecken sich die Leistungen, die im Rahmen der Krankenbehandlung als Sachleistung zu gewähren sind, gemäß § 27 Abs. 1 S. 2 Nr. 3 Var. 5 SGB V nun auch auf diese digitalen Gesundheitsanwendungen.10 Von den DiGA sind gemäß § 33a Abs. 1 S. 1 5 Seiler, PinG 2018, 43 (48); laut Ergebnis einer aktuellen forsa-Umfrage im Auftrag der KKH Kaufmännische Krankenkasse gaben nur vier Prozent der 1002 Befragten im Alter von 18 bis 50 Jahren an, dass ihr Arzt ihnen geraten habe, Gesundheitsdaten via App aufzuzeichnen, KKH, App auf Rezept: Einfluss von Ärzten ist bislang gering, 5. Juli 2019, abrufbar unter: https://www.kkh.de/presse/pressemeldungen/app-auf-rezept-einfluss-von-aerzten-ist-bislanggering. 6 Wien, G+S 2018, 90 (90); Gregor-Haack, Bundesgesundheitsbl. 2018, 328 (328 ff.). 7 Ein in Deutschland eingesetztes Beispiel aus der Praxis ist etwa die „Caterna-App“, die spezielle Sehübungen bereitstellt, um die kindliche Amblyopie zu behandeln, Bork / Weitz / Penter, DÄBl. 2018, Heft 3, A62 (A66); Kluckert, SGb 2020, 197 (197); BT-Drs. 19/5736, S. 5; Braun, NZS 2018, 894 (894 f.); Aumann / Frank / Pramann, in: Albrecht, Chancen und Risiken von Gesundheits-Apps, S. 268; Gregor-Haack, Bundesgesundheitsbl. 2018, 328 (329 ff.); unabhängig von Selektivverträgen können Apps auch Hilfsmittel darstellen und als solche erstattet werden, weiterführend dazu Gregor-Haack, Bundesgesundheitsbl. 2018, 328 (328 ff.); Heckel mann / Schödel, NZS 2018, 926 (926 ff.); Aumann / Frank / Pramann, in: Albrecht, Chancen und Risiken von Gesundheits-Apps, S. 271 ff. 8 BT-Drs.19/5736, S. 5; Kluckert, SGb 2020, 197 (197). 9 Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale- Versorgung-Gesetz – DVG) v. 9. Dezember 2019, BGBl. 2019 Teil I Nr. 49 v. 18. Dezember 2019, S. 2562. 10 Kluckert, SGb 2020, 197 (199); Knispel, in: BeckOK Sozialrecht, § 27 SGB V Rn. 51; diese leistungsrechtlichen Regelungen spiegeln sich im vertragsarztrechtlichen Versorgungsumfang wider, § 73 Abs. 2 S. 1 Nr. 7a SGB V, Weyd, MedR 2020, 183 (184).
A. Einbindung von Gesundheits-Applikationen in die Gesundheitsversorgung
319
SGB V Medizinprodukte niedriger Risikoklassen umfasst, deren Hauptfunktion auf digitalen Technologien beruht und welche dazu bestimmt sind, die Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten bzw. die Erkennung, Behandlung, Linderung oder Kompensierung von Verletzungen oder Behinderungen zu unterstützen.11 Damit sind in erster Linie Gesundheits-Apps erfasst, die von den Versicherten auf ihren mobilen Endgeräten genutzt werden.12 Nach Vorstellung des Gesetzgebers bieten diese digitalen Gesundheitsanwendungen vielfältige Möglichkeiten, um Patienten bei der Erkennung und Behandlung von Krankheiten sowie bei einer selbstbestimmen gesundheitsfördernden Lebensführung zu unterstützen.13 Ein anschauliches Beispiel wäre etwa eine Anwendung, die in der Lage ist, den Herzrhythmus aufzuzeichnen oder den Blutzuckerwert auszuwerten.14 Kernstück der mit dem DVG neu eingefügten Leistungskategorie der digitalen Gesundheitsanwendung sind mithin Medizin-Apps, die der Diagnose oder Therapie einer Erkrankung dienen.15 Seit Oktober 2020 konnten bereits insgesamt dreißig DiGA in die Regelversorgung aufgenommen werden.16 Voraussetzung für die Aufnahme in die Regelversorgung ist gemäß § 33a Abs. 1 S. 2 Nr. 1 SGB V, dass die DiGA in ein vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) geführtes, neu eingerichtetes Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen aufgenommen wird.17 Gemäß § 139e Abs. 3 SGB V prüft das BfArM die Aufnahme in das Verzeichnis auf Antrag des Herstellers. Dafür müssen seitens des Herstellers Nachweise zur Sicherheit, Funktionstauglichkeit und Qualität des Medizinproduktes, zu datenschutzrechtlichen Anforderungen sowie positiven Versorgungseffekten gemäß 11 Medizinprodukte niedriger Risikoklasse sind gemäß § 33a Abs. 2 SGB V solche, die der Risikoklasse I oder IIa nach Art. 51 i. V. m. Anhang VIII der EU-Medizinprodukteverordnung (VO (EU) 2017/745) zugeordnet und als solche bereits in den Verkehr gebracht sind. Zudem sind dies auch Medizinprodukte, die unter der Geltung der Medizinprodukte-Richtlinie in den Verkehr gebracht wurden, entweder als Medizinprodukt der Risikoklasse IIa aufgrund der Übergangsbestimmungen in Art. 120 Abs. 3 und 4 der Medizinprodukte-Verordnung oder als Medizinprodukt der Risikoklasse I, das aufgrund unionsrechtlicher Vorschriften zunächst verkehrsfähig bleibt; unter dem Rechtsregime der VO (EU) 2017/745 unterfällt Software, die dazu bestimmt ist, Informationen zu liefern, die zu Entscheidungen für diagnostische oder therapeutische Zwecke herangezogen werden, entsprechend den neuen Klassifizierungsregeln mindestens der Klasse IIa (Anhang VIII Kapitel III Ziff. 6.3 Regel 11), können diese Entscheidungen jedoch schwerwiegende Folgen verursachen, unterfällt das Medizinprodukt der Risikoklasse III bzw. IIb und wäre mithin nicht vom neuen Rechtsrahmen für DiGA erfasst; ausführlich dazu v. Zezschwitz, MedR 2020, 196 (199 f.); Braun, GesR 2019, 757 (759); Kircher, in: Becker / K ingreen, SGB V, § 33a SGB V Rn. 6 ff.; Prütting / Wolk, MedR 2020, 359 (361 ff.). 12 BT-Drs. 19/13438, S. 35; Ammann, in: BeckOK Sozialrecht, § 134 SGB V Rn. 5; Bördner, GuP 2019, 131 (131); Weyd, MedR 2020, 183 (184). 13 BT-Drs. 19/13438, S. 35. 14 Ammann, in: BeckOK Sozialrecht, § 134 SGB V Rn. 5. 15 Ammann, in: BeckOK Sozialrecht, § 134 SGB V Rn. 5. 16 Stand Februar 2022; wöchentlich aktualisierte Zahlen rund um das DiGA-Verzeichnis sind abrufbar unter: https://www.bfarm.de/DE/Medizinprodukte/DVG/_node.html. 17 Weyd, MedR 2020, 183 (185); Kluckert, SGb 2020, 197 (199).
320
Kap. 6: Datenschutzrechtliche Anforderungen in der Gesundheitsversorgung
§ 193e Abs. 2 S. 1 Nr. 1 bis 3 SGB V erbracht werden. Bei Vorliegen vollständiger Antragsunterlagen entscheidet das BfArM sodann innerhalb von drei Monaten über den Antrag des Herstellers. Die Entscheidung des BfArM umfasst gemäß § 139e Abs. 3 S. 2 SGB V auch die Bestimmung der ärztlichen Leistungen, die zur Versorgung mit der jeweiligen DiGA erforderlich sind. Die Aufnahme einer DiGA in das amtliche Verzeichnis erfolgt dabei entweder endgültig oder vorläufig für den Zeitraum einer Erprobung von bis zu zwölf Monaten, § 139e Abs. 4 S. 1 SGB V.18 Ferner setzt der Versorgungsanspruch des Versicherten gemäß § 33a Abs. 1 S. 2 Nr. 2 SGB V voraus, dass die digitale Gesundheitsanwendung entweder vom behandelnden Arzt bzw. Psychotherapeuten verordnet oder von der Krankenkasse genehmigt wird.19 Bei Vorliegen dieser Voraussetzungen können sich Patienten die DiGA wie Arzneimittel von einem Arzt auf Kosten der gesetzlichen Krankenkassen verschreiben lassen.20 Vor dem Hintergrund des mit dem DVG neu etablierten Leistungsanspruchs wird der Einsatz von Gesundheits-Apps in der Gesundheitsversorgung daher weiter zunehmen.21
B. Datenschutzrechtliche Aspekte bei digitalen Gesundheitsanwendungen Zutreffend hat der Bundesrat bereits im Gesetzgebungsverfahren darauf hingewiesen, dass sich im Bereich der digitalen Gesundheitsanwendungen komplexe datenschutzrechtliche Fragen ergeben können.22 Insgesamt besteht aufgrund der nicht für die Anwendbarkeit auf Apps ausgerichteten Erlaubnistatbestände der DSGVO Rechtsunsicherheit hinsichtlich des datenschutzkonformen Umgangs.23 Vor diesem Hintergrund wird im Folgenden exemplarisch aufgezeigt, welche datenschutzrechtlichen Fragestellungen sich im Zusammenhang mit der Einbindung digitaler Anwendungen in die Gesundheitsversorgung ergeben können.
I. Gesundheitsdaten in digitalen Gesundheitsanwendungen Vor dem Hintergrund der besonderen Schutzbedürftigkeit von Gesundheitsdaten und den damit einhergehenden erhöhten rechtlichen Anforderungen stellt sich zunächst die Frage, inwieweit personenbezogene Daten, die durch digitale Gesund 18
Der Zeitraum der vorläufigen Aufnahme in das Verzeichnis zur Erprobung kann einmalig um bis zu weitere zwölf Monate verlängert werden, § 139e Abs. 4 S. 7 SGB V. 19 Eine Verordnung durch Krankenhäuser ist gemäß § 39 Abs. 1a S. 7 SGB V im Rahmen des Entlassmanagements nur möglich, soweit dies für die Versorgung des Versicherten unmittelbar nach der Entlassung erforderlich ist. 20 v. Zezschwitz, MedR 2020, 196 (196). 21 v. Zezschwitz, MedR 2020, 196 (196). 22 BR-Drs. 360/19 (B), S. 16. 23 So bereits Jandt / Hohmann, K&R 2015, 694 (698) zur alten Rechtslage.
B. Datenschutzrechtliche Aspekte bei digitalen Gesundheitsanwendungen
321
heitsanwendungen verarbeitet werden, als Gesundheitsdaten i. S. d. Art. 4 Nr. 15 DSGVO zu qualifizieren sind. Grundsätzlich gilt nach EG 35 S. 2 DSGVO, dass Gesundheitsdaten unabhängig von der Herkunft der Daten bestimmt werden, also etwa auch von Apps hervorgebracht oder durch die betroffene Person selbst erhoben werden können. In der Kommentarliteratur werden die von einer GesundheitsApp erhobenen Daten überwiegend insgesamt als Gesundheitsdaten eingeordnet.24 So geht etwa Ernst davon aus, dass alle Daten, die von einer Gesundheits-App erfasst werden, unter den Begriff der Gesundheitsdaten fallen.25 Zutreffend wird überwiegend kein Zweifel daran bestehen, dass es sich bei den durch die DiGA erhobenen Daten um Gesundheitsdaten handelt. Dies gilt etwa für Blutdruckoder Blutzuckerwerte.26 Im Einzelfall können sich jedoch Abgrenzungsfragen ergeben, die eine differenzierte Betrachtung erfordern.27 Art. 4 Nr. 15 DSGVO schränkt den Begriff des Gesundheitsdatums insofern ein, als ein Datum, welches sich nicht auf die Gesundheit bezieht, aus welchem aber Informationen über den Gesundheitszustand hervorgehen, nicht als Gesundheitsdatum einzuordnen ist.28 Daten, die nur den Lebensstil betreffen, ohne dabei einen Rückschluss auf die Gesundheit zuzulassen, sind demnach keine Gesundheitsdaten.29 In diesem Sinne hat bereits die Art. 29-Datenschutzgruppe festgestellt, dass nicht alle Daten, die über eine App erhoben werden, als Gesundheitsdaten zu qualifizieren sind.30 Dies gelte etwa, wenn eine App nur die Anzahl der Schritte des Nutzers zähle, ohne diese Daten mit anderen Daten von und über die gleiche Person kombinieren zu können.31 Denn bei der von einer App erhobenen Schrittzahl handele es sich um eine vom Gesundheitszustand losgelöste Information.32 Im gleichen Zusammenhang hat die Art. 29-Datenschutzgruppe jedoch ebenfalls darauf verwiesen, dass auch Daten, die sich auf den ersten Blick nicht als Gesundheitsdaten einordnen ließen, in Verknüpfung mit anderen Daten auf den Gesundheitsstatus einer Per 24
Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO Rn. 124; Kampert, in: Sydow, DSGVO, Art. 4 DSGVO Rn. 189; Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 15 DSGVO Rn. 3; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 15 DSGVO Rn. 5; Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 29, ders. beschreibt die Situation in Rn. 6 wie folgt: „Mobile Geräte (auch sog. Wearables) […] triefen voller Gesundheitsdaten […]“; Kühling / Klar / Sackmann, Datenschutzrecht, 2. Kap. Rn. 279. 25 Ernst, in: Paal / Pauly, DSGVO BDSG, Art. 4 DSGVO Rn. 110. 26 Ernst, in: Paal / Pauly, DSGVO BDSG, Art. 4 DSGVO Rn. 110; Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO Rn. 144. 27 Dahingehend auch Braun, GesR 2019, 757 (763). 28 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 15; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 40. 29 Dregelies, VuR 2017, 258 (259); Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 15. 30 Art. 29-Datenschutzgruppe, Annex – Health Data in Apps and Devices v. 5. Februar 2015, S. 3. 31 Art. 29-Datenschutzgruppe, Annex – Health Data in Apps and Devices v. 5. Februar 2015, S. 3. 32 Rehmann / Heimhalt, A&R 2014, 250 (253); Art. 29-Datenschutzgruppe, Annex – Health Data in Apps and Devices v. 5. Februar 2015, S. 3.
322
Kap. 6: Datenschutzrechtliche Anforderungen in der Gesundheitsversorgung
son schließen lassen können.33 So könne etwa die Schrittzahl in Kombination mit Angaben zur Pulsfrequenz über eine kumulierte Auswertung eine Aussage über den Gesundheitszustand des Herz-Kreislauf-Systems treffen.34 Gesundheitsdaten können daher auch durch die Verknüpfung verschiedener Daten entstehen, die allein nichts über den Gesundheitszustand aussagen.35 Dies gilt beispielsweise auch für die Verknüpfung von Größe, Gewicht und Alter einer Person in Verbindung mit Informationen über die körperliche Aktivität.36 Dies wird im Kontext digitaler Gesundheitsanwendungen in der Regel der Fall sein. Entsprechend der Legaldefinition in § 33a Abs. 1 S. 1 SGB V muss die DiGA der Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten bzw. der Erkennung, Behandlung, Linderung oder Kompensierung von Verletzungen oder Behinderungen dienen, sodass rein präventive digitale Anwendungen von vornherein aus dem erstattungsfähigen Rahmen ausgeklammert werden.37 Insbesondere solche Anwendungen, die rein auf die Förderung eines gesunden Lebensstils abzielen, wie etwa klassische Fitness-Apps, die beispielsweise die täglich gegangenen Schritte des Nutzers messen und damit den gesunden Menschen in den Fokus stellen, sind keine DiGA i. S. d. § 33a Abs. 1 S. 1 SGB V.38 Auch wenn daher nicht alle Daten, die eine digitale Gesundheitsanwendung erhebt, für sich genommen als Gesundheitsdatum zu qualifizieren sind, ist davon auszugehen, dass diese in Kombination mit weiteren Informationen eindeutige Rückschlüsse auf den Gesundheitszustand einer Person ermöglichen.39 Die bei der Nutzung von digitalen Gesundheitsanwendungen verarbeiteten Daten sind daher überwiegend als Gesundheitsdaten und mithin als besondere Kategorien personenbezogener Daten i. S. d. Art. 9 Abs. 1 DSGVO zu qualifizieren.40
33 Art. 29-Datenschutzgruppe, Annex – Health Data in Apps and Devices v. 5. Februar 2015, S. 3. 34 Jandt / Hohmann, K&R 2015, 694 (697); Art. 29-Datenschutzgruppe, Annex – Health Data in Apps and Devices v. 5. Februar 2015, S. 3. 35 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 15; Dregelies, VuR 2017, 256 (259); Bierekoven, ITRB 2015, 114 (119). 36 Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 9 DSGVO Rn. 15; Art. 29-Datenschutz gruppe, Annex – Health Data in Apps and Devices v. 5. Februar 2015, S. 4; Jandt / Hohmann, K&R 2015, 694 (697). 37 Kemmer / Vivikens, MPR 2020, 80 (84); BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 21; Braun, GesR 2019, 757 (757); Kircher, in: Becker / K ingreen, SGB V, § 33a SGB V Rn. 13. 38 Kemmer / Vivikens, MPR 2020, 80 (84); BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 21; v. Zezschwitz, MedR 2020, 196 (196). 39 So generell zu Gesundheits-Apps auch Jandt / Hohmann, K&R 2015, 694 (697); Düssel dorfer Kreis, Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter v. 16. Juni 2014, S. 28. 40 So auch BMG, Referentenentwurf zur DiGAV v. 9. April 2020, S. 58; neben Gesundheitsdaten können freilich auch andere personenbezogene Daten, wie etwa Name, Telefonnummer und Anschrift verarbeitet werden, Hofer / Sachs / Sonnenschein, MPR 2020, 227 (229).
B. Datenschutzrechtliche Aspekte bei digitalen Gesundheitsanwendungen
323
II. Einordnung der datenschutzrechtlichen Verantwortlichkeit für digitale Gesundheitsanwendungen Bevor im Folgenden auf die datenschutzrechtliche Zulässigkeit der Daten verarbeitung im Kontext digitaler Gesundheitsanwendungen eingegangen wird, ist zunächst die Bestimmung der datenschutzrechtlichen Verantwortlichkeit für die Verarbeitung personenbezogener Daten mittels digitaler Gesundheitsanwendungen vorzunehmen. Denn die Zuweisung der datenschutzrechtlichen Verantwortlichkeit ist im Datenschutzrecht zentral.41 Durch sie wird festgelegt, welche Stelle für die Einhaltung der anwendbaren datenschutzrechtlichen Vorgaben in Bezug auf eine bestimmte Verarbeitung verantwortlich ist.42 Erst wenn diese Zuständigkeit klar feststeht, weiß der Patient beispielsweise, wem gegenüber er seine Betroffenenrechte geltend machen kann und wer für die Rechtmäßigkeit der Verarbeitung einzustehen hat.43 Diesbezüglich hat der BfDI in seiner Stellungnahme zum Gesetzentwurf des DVG darauf hingewiesen, dass der Gesetzentwurf hinsichtlich der datenschutzrechtlichen Verantwortlichkeit für digitale Gesundheitsanwendungen unklar sei.44 Nach seiner Auffassung könne zwar vielfach eine gemeinsame datenschutzrechtliche Verantwortung zwischen dem behandelnden Arzt und den Anbietern bzw. Herstellern der digitalen Gesundheitsanwendung bestehen, dies sollte aber gemäß Art. 4 Nr. 7 DSGVO gesetzlich festgelegt werden.45 Damit ist die Möglichkeit in Art. 4 Nr. 7 Hs. 2 DSGVO angesprochen, die den Mitgliedstaaten einen gewissen Spielraum bei der Festlegung des Verantwortlichen zubilligt, wenn die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben sind.46 In die finale Fassung des DVG wurde jedoch keine gesetzliche Regelung zur datenschutzrechtlichen Verantwortlichkeit bei digitalen Gesundheitsanwendungen aufgenommen, sodass hinsichtlich der datenschutzrechtlichen Verantwortlichkeit im Kontext digitaler Gesundheitsanwendungen die Grundsätze der DSGVO maßgeblich sind. Nach der Legaldefinition in Art. 4 Nr. 7 DSGVO ist als Verantwortlicher „[…] jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]“, anzusehen. Wie bereits aus der Definition hervorgeht, muss die datenschutzrechtliche Verantwortlichkeit nicht nur einer Person oder Stelle allein zugeordnet sein, vielmehr kann 41
Jotzo, JZ 2018, 1159 (1160). Moos / Rothkegel, MMR 2018, 596 (596). 43 Moos / Rothkegel, MMR 2018, 596 (596); Dochow, MedR 2019, 636 (640). 44 BfDI, Stellungnahme zum Gesetzentwurf des DVG, S. 2, abrufbar unter: https://www. bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Stellungnahmen/2019/StgN_ Digitale_Versorgung_Gesetz.html. 45 BfDI, Stellungnahme zum Gesetzentwurf des DVG, S. 3. 46 Gola, in: Gola, DSGVO, Art. 4 DSGVO Rn. 55. 42
324
Kap. 6: Datenschutzrechtliche Anforderungen in der Gesundheitsversorgung
auch verschiedenen Verantwortlichen eine gemeinsame Entscheidungsbefugnis zukommen, sodass sie in der Folge gemeinsam rechtliche Verantwortung für eine Datenverarbeitung tragen.47 Einzelheiten der Kooperation regelt sodann Art. 26 DSGVO. Nach Art. 26 Abs. 1 S. 1 DSGVO sind mehrere Stellen „gemeinsam Verantwortliche“, wenn sie die Zwecke der und die Mittel zur Verarbeitung gemeinsam festlegen. Mit der Statuierung der gemeinsamen Verantwortlichkeit möchte der europäische Gesetzgeber eine klare Zuteilung der Verantwortungsbereiche erzielen und der zunehmend komplexen Realität informationstechnischer Vorgänge Rechnung tragen.48 Vor diesem Hintergrund ist nachfolgend zu klären, ob dem Arzt und dem Hersteller einer DiGA eine gemeinsame Verantwortlichkeit für die Verarbeitung personenbezogener Daten im Kontext digitaler Gesundheitsanwendungen zukommt. Dies würde auf Rechtsfolgenseite die Pflicht der gemeinsam Verantwortlichen nach sich ziehen, eine transparente Vereinbarung zur klaren Zuweisung der datenschutzrechtlichen Pflichten i. S. d. Art. 26 Abs. 1 S. 2 DSGVO zu treffen. Zudem ergibt sich aus der Haftungsnorm des Art. 82 Abs. 4 DSGVO, dass gemeinsam Verantwortliche im Außenverhältnis grundsätzlich gesamtschuldnerisch nach Maßgabe des Art. 82 DSGVO haften, da dort auf mehr als einen Verantwortlichen abgestellt und somit von einer Pluralität von Verantwortlichen ausgegangen wird.49 1. Gemeinsam Verantwortliche, Art. 26 DSGVO Charakteristisch für die gemeinsame Verantwortlichkeit ist, dass jeder Beteiligte einen bestimmenden tatsächlichen Einfluss auf die Entscheidung über die Zwecke und Mittel der Datenverarbeitung hat.50 Wie bereits erläutert, legt der EuGH den Begriff der gemeinsamen Verantwortlichkeit grunsätzlich weit aus, um einen umfassenden Schutz der betroffenen Personen zu gewährleisten.51 So erfordert ein bestimmender Einfluss nach der Jurisdiktion des EuGH insbesondere nicht, dass dieselben Zugriffsmöglichkeiten auf die Daten bestehen oder eine gleichwertige 47
Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 7 DSGVO Rn. 12. Spoerr, in: BeckOK Datenschutzrecht, Art. 26 DSGVO Rn. 2; Specht-Riemenschneider / Schneider, MMR 2019, 503 (504). 49 Hartung, in: Kühling / Buchner, DSGVO BDSG, Art. 26 DSGVO Rn. 64; Dovas, ZD 2016, 512 (515); Botta, Datenschutz bei E-Learning-Plattformen, S. 228; Jotzo, JZ 2018, 1159 (1161). 50 DSK, Kurzpapier Nr. 16 „Gemeinsam für die Verarbeitung Verantwortliche“, Stand 19. März 2018, S. 2; Dochow, MedR 2019, 636 (642). 51 EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (358) Rn. 26 ff. – Wirtschaftsakademie Schleswig-Holstein; EuGH, Urt. v. 10. Juli 2018 – C-25/17, ZD 2018, 469 (472) Rn. 66 – Jehovan todistajat; so auch Gierschmann, ZD 2020, 69 (70); Specht-Riemenschneider / Schneider, MMR 2019, 503 (505); der EuGH hat sich in diesen Urteilen mit der geltenden Rechtslage vor dem 25. Mai 2018 befasst, da die Definition des Verantwortlichen in Art. 4 Nr. 7 DSGVO im Vergleich zu der Definition in Art. 2 lit. d DSRL keine Änderung erfahren hat, ist die Rechtsprechung auf die Rechtslage unter der DSGVO übertragbar, Gierschmann, ZD 2020, 69 (70); s. allgemein zur gemeinsamen Verantwortlichkeit unter der DSGVO auch Kap. 2 B. IV., (S. 187 ff.). 48
B. Datenschutzrechtliche Aspekte bei digitalen Gesundheitsanwendungen
325
Verteilung der Einflussnahme auf die Zwecke und Mittel gegeben ist.52 Nicht erforderlich sei zudem, dass sich die Beteiligten wechselseitig kennen und gezielt zusammenarbeiten.53 Es genüge vielmehr, wenn ein Verantwortlicher einem anderen Verantwortlichen die Datenverarbeitung ermögliche.54 In diesem Zusammenhang ist jedoch zu berücksichtigen, dass der EuGH die Kriterien für die gemeinsame Verantwortlichkeit fallbezogen konkretisiert hat, sodass es für das Vorliegen der gemeinsamen Verantwortlichkeit stets auf die Gegebenheiten des Einzelfalls ankommt, die an den tatsächlichen Abläufen und Strukturen zu messen sind.55 a) Entscheidung über Zwecke und Mittel Für das Vorliegen einer gemeinsamen Verantwortlichkeit ist entscheidend, dass mehr als eine Person über die Zwecke und Mittel der Verarbeitung entscheidet. Zunächst ist daher jeder einzelne Beteiligte auf seine Eigenschaft als Verantwortlicher zu prüfen.56 Vorliegend kommen als Verantwortliche entweder die Hersteller der digitalen Gesundheitsanwendungen in Betracht, die diese konzipieren oder die Ärzte, die diese verordnen.57 Bei den digitalen Gesundheitsanwendungen stellt sich die Situation so dar, dass der Hersteller durch die Festlegung der Details der Programmsteuerung die Strukturen für die Verarbeitung von Gesundheitsdaten der Patienten schafft und mithin den abstrakten Zweckrahmen der Datenverarbeitung mittels der digitalen Gesundheitsanwendungen bestimmt.58 Die Entscheidung, ob und in welcher Weise die App mit personenbezogenen Daten des Anwenders umgeht, ist somit zumindest auch die des Herstellers.59 In diesem Sinne wird auch in der aktuellen Version des DiGA-Leitfadens gegenüber der Vorversion verdeutlicht, dass der Hersteller einer DiGA für die Gewährleistung aller datenschutzrechtlichen Anforderungen verantwortlich sei.60 Auch hinsichtlich der datenschutzrechtlichen Veranwortlichkeit des behandelnden Arztes wird teilweise angenommen, dass der Arzt durch die Verordnung der 52
EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (359) Rn. 43 – Wirtschaftsakademie Schleswig-Holstein; EuGH, Urt. v. 10. Juli 2018 – C-25/17, ZD 2018, 469 (472) Rn. 69 – Jehovan todistajat. 53 Moos / Rothkegel, MMR 2019, 584 (585). 54 EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (358) Rn. 35 – Wirtschaftsakademie Schleswig-Holstein. 55 Jung / Hansch, ZD 2019, 143 (144); Schreiber, ZD 2019, 55 (56). 56 Kartheuser / Nabulsi, MMR 2018, 717 (720). 57 BfDI, Stellungnahme zum Gesetzentwurf des DVG, S. 2 f. 58 Vgl. Wagner, ZD 2018, 307 (309); Dochow, MedR 2019, 636 (642) zu Plattformbetreibern von Telemedizindiensten. 59 Kremer, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 28 Rn. 48; Schreiber / Gottwald, ZD 2020, 385 (387); Jukić / Rahn, GesR 2020, 749 (754). 60 BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 37.
326
Kap. 6: Datenschutzrechtliche Anforderungen in der Gesundheitsversorgung
DiGA die Möglichkeit habe, auf die Zwecke und Mittel der Verarbeitung Einfluss zu nehmen und somit als datenschutzrechtlich (Mit-)Verantwortlicher einzuordnen sei.61 Nach anderer Auffassung könne die Verordnung einer DiGA hingegen keine datenschutzrechtliche Verantwortlichkeit des Arztes begründen.62 Maßgeblich muss in diesem Zusammenhang sein, ob der Arzt einen bestimmenden Einfluss auf die Verarbeitung personenbezogener Daten im Rahmen der DiGA hat.63 Die Einbindung der DiGA in die Regelversorgung ist so konzipiert, dass der Arzt die Auswahl zwischen verschiedenen funktional ähnlichen DiGA trifft und diese verordnet,64 jedoch wird die DiGA vom Patienten genutzt und kann von diesem mit seinen Therapiezielen individualisiert werden.65 Es handelt sich folglich um digitale Anwendungen „in der Hand der Patienten“66. Der Arzt nutzt die DiGA in der Regel selbst nicht und hat auch keinen Einfluss auf die Programmsteuerung des technischen Systems. Daneben sieht das DVG zwar auch die Aufnahme von digitalen Gesundheitsanwendungen in das DiGA-Verzeichnis vor, die Ärzte ergänzend in die Nutzung durch den Versicherten einbeziehen.67 Doch auch wenn die DiGA durch den Patienten und den Arzt gemeinsam genutzt wird,68 beschränkt sich die Nutzung durch den Arzt darauf, dass ihm die in der DiGA verarbeiteten Daten unter der Kontrolle des Versicherten zugänglich gemacht werden.69 Gemäß § 5 Abs. 1 S. 2 DiGAV soll die digitale Gesundheitsanwendung es daher ermöglichen, dass die von der App verarbeiteten Daten in geeigneten interoperablen Formaten exportiert und im Rahmen der Versorgung genutzt werden können. Die Ärzte verordnen somit zwar die jeweilige DiGA, haben aber darüber hinaus keinen Einfluss auf die Verarbeitung der Daten durch die Hersteller. Die jeweilige Rolle des Arztes im Gesamtkontext der Nutzung der Anwendung wird zudem durch den Hersteller vorgegeben.70 Gemäß § 5 Abs. 7 DiGAV hat der Hersteller die Ärzte diesbezüglich in geeigneter Weise zu informieren und zu unterstützen. Auch wenn der Arzt somit nicht unmittelbar auf die Verarbeitung personenbezogener Daten im Kontext der digitalen Gesundheitsanwendungen einwirkt, ist jedoch nicht gänzlich von der Hand zu weisen, dass er für die Datenverarbeitung zumindest mitursächlich wird, wenn er die digitalen Gesundheitsanwendungen verordnet. Fraglich ist daher, ob schon jeder irgendwie kausale Beitrag ge 61 So wohl BfDI, Stellungnahme zum Gesetzentwurf des DVG, S. 2 f.; Schulz, SGb 2020, 536 (539 f.). 62 Dochow, MedR 2019, 636 (643). 63 Vgl. DSK, Kurzpapier Nr. 16 „Gemeinsam für die Verarbeitung Verantwortliche“, Stand 19. März 2018, S. 2; Hanloser, ZD 2019, 458 (458). 64 BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 65. 65 BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 83. 66 BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 12. 67 BMG, Referentenentwurf DiGAV v. 9. April 2020, S. 64; BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 78. 68 BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 12. 69 BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 79. 70 BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 78.
B. Datenschutzrechtliche Aspekte bei digitalen Gesundheitsanwendungen
327
nügt, um eine datenschutzrechtliche Verantwortlichkeit i. S. d. Art. 4 Nr. 7 i. V. m. Art. 26 Abs. 1 S. 1 DSGVO zu begründen.71 b) Rechtsprechung des EuGH zur gemeinsamen Verantwortlichkeit Mit dieser Fragestellung hatte sich auch der EuGH in der Rechtssache Wirt schaftsakademie Schleswig-Holstein zu befassen, in der es um die Frage ging, ob der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage verantwortlich ist.72 Das Urteil ist folglich zwar nicht im Zusammenhang mit digitalen Gesundheitsanwendungen ergangen, der Gerichtshof hat in seiner Entscheidung aber allgemeine Kriterien zur Beurteilung der gemeinsamen Verantwortlichkeit i. S. d. Art. 26 DSGVO aufgestellt, sodass die Entscheidung auch zur Klärung der vorliegenden Frage beitragen kann. Während in den Vorinstanzen noch die Ansicht vertreten wurde, dass dem Fanpage-Betreiber der rechtliche und tatsächliche Einfluss auf die Verarbeitung der Nutzungsdaten fehle, da er zwar mit der Einrichtung und dem Betreiben der Fanpage die Voraussetzung dafür schaffe, dass Facebook über diese Seite personenbezogene Daten der Besucher erheben könne, die letztendliche Kontrolle über die Datenverarbeitung jedoch bei Facebook verbleibe,73 kam der EuGH zu dem Ergebnis, dass der Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage als Verantwortlicher i. S. d. Datenschutzrechts einzuordnen sei.74 Bereits durch die Einrichtung der Fanpage mache sich der Betreiber für die Datenerhebung durch Facebook mitverantwortlich.75 Damit stellt der Gerichtshof sehr niedrige Anforderungen an die notwendige Entscheidungsbefugnis über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten.76 Dies gilt nach Ansicht des EuGH jedoch einschränkend unter der Voraussetzung, dass der Betreiber der Fanpage eine Konfiguration der Infrastruktur, sog. Parametrierung, vornehmen könne, die sich auf die Verarbeitung personenbezogener Daten durch Facebook auswirke.77 Insofern müsse der Einfluss auf den Datenverarbeitungsvorgang über das bloß kausale Ermöglichen der Datenverarbeitung hinausgehen.78 Mit Hilfe der von Facebook zur Verfügung gestellten Filter könne der Betreiber einer auf Facebook unterhaltenen Fanpage eigenständig Kriterien festlegen, nach denen Face 71
Botta, Datenschutz bei E-Learning-Plattformen, S. 222; Dochow, MedR 2019, 636 (643). EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (357 ff.) – Wirtschaftsakademie Schleswig-Holstein. 73 OVG Schleswig, ZD 2014, 643 (644); BVerwG, ZD 2016, 393 (396). 74 EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (357 ff.) – Wirtschaftsakademie Schleswig-Holstein. 75 Ettig, GRUR-Prax 2018, 358 (358). 76 Klein, IWRZ 2018, 226 (226); Gierschmann, ZD 2020, 69 (71). 77 EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (359) Rn. 36 – Wirtschaftsakademie Schleswig-Holstein; Botta, Datenschutz bei E-Learning-Plattformen, S. 224; Marosi / Matthé, ZD 2018, 361 (362); Brüggemann, CR 2018, 581 (582). 78 Hanloser, ZD 2019, 458 (458). 72
328
Kap. 6: Datenschutzrechtliche Anforderungen in der Gesundheitsversorgung
book Statistiken erstelle und könne somit auf die Datenerhebung durch Facebook Einfluss nehmen.79 Folglich sei dieser zusammen mit Facebook als gemeinsam Verantwortlicher einzustufen, da er durch die von ihm vorgenommene Parametrierung an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt sei.80 Darin besteht der wesentliche Unterschied zu dem die DiGA verordnenden Arzt, der gerade keinen Einfluss auf die einzelnen Verarbeitungsvorgänge des Herstellers der DiGA ausüben kann, indem er etwa Kriterien für die Auswertung festlegt. Vielmehr kann die DiGA vom Nutzer selbst mit seinen Therapiezielen personalisiert werden.81 Auch wenn die Übertragung der Grundsätze dieser Rechtsprechung auf die vorliegende Konstellation mithin bereits nahelegt, dass der DiGA-Hersteller und der verordnende Arzt nicht als gemeinsam Verantwortliche einzustufen sind, hat der EuGH in der Rechtssache Fashion ID82 zur weiteren Klärung der Reichweite der gemeinsamen Verantwortlichkeit beigetragen, nach der eine Einordnung des verordnenden Arztes zusammen mit dem Hersteller der DiGA als gemeinsam Verantwortliche eindeutig abzulehnen ist. In dieser Rechtssache hatte der EuGH zu entscheiden, ob der Betreiber einer Website, der Social Plugins in Form von Facebook „Like-Buttons“ in seine Website einbindet, im Sinne des Datenschutzrechts verantwortlich ist.83 In seiner Entscheidung hat der EuGH festgelegt, dass eine gemeinsame Verantwortlichkeit stets nur für die Phasen eines Verarbeitungsvorgangs anzunehmen sei, auf die die Parteien gemeinsam faktisch Einfluss nehmen können.84 Dagegen könne eine Person oder Stelle für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlege, nicht als datenschutzrechtlich verantwortlich angesehen werden.85 Der EuGH teilt die Verarbeitung dazu in einzelne Verarbeitungsschritte auf und untersucht daran die jeweilige Verantwortlichkeit.86 Für die Beantwortung, inwieweit die einzelnen Verantwortungsvorgänge getrennt voneinander bestehen, sei maßgeblich, welches Ausmaß an Kontrolle dem ersten Verantwortlichen im Hinblick auf die Übermittlung von Daten an weitere Stellen zustehe.87 Diese Argumentation des EuGH lässt sich auch auf das Verhältnis zwischen dem DiGA-Hersteller und dem behandelnden Arzt übertragen. Nach § 5 Abs. 1 S. 2 DiGAV hat der DiGA-Hersteller die Voraussetzung dafür zu schaffen, dass die von der digitalen Gesundheitsanwendung 79 EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (359) Rn. 36 – Wirtschaftsakademie Schleswig-Holstein. 80 EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (359) Rn. 39 – Wirtschaftsakademie Schleswig-Holstein. 81 BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 66. 82 EuGH, Urt. v. 29. Juli 2019 – C-40/17, ZD 2019, 455 (455 ff.) – Fashion ID. 83 EuGH, Urt. v. 29. Juli 2019 – C-40/17, ZD 2019, 455 (455 ff.) – Fashion ID. 84 EuGH, Urt. v. 29. Juli 2019 – C-40/17, ZD 2019, 455 (456 f.) Rn. 74 – Fashion ID; Kollmar, NVwZ 2019, 1740 (1741). 85 EuGH, Urt. v. 29. Juli 2019 – C-40/17, ZD 2019, 455 (457) Rn. 74 – Fashion ID. 86 Lurtz / Schindler, VuR 2019, 471 (473). 87 Moos / Rothkegel, MMR 2019, 584 (586).
B. Datenschutzrechtliche Aspekte bei digitalen Gesundheitsanwendungen
329
verarbeiteten Daten in einem geeigneten interoperablen Format exportiert und im Rahmen der Versorgung genutzt werden können. Die anschließende Nutzung der ausgespielten Daten im Rahmen der Versorgung erfolgt sodann durch den behandelnden Arzt. Die vertragsärztliche Versorgung umfasst nun auch die Auswertung der Anwendungsergebnisse im Rahmen der ärztlichen Behandlung, welche von § 73 Abs. 2 S. 1 Nr. 1 SGB V erfasst ist.88 Da die Freigabe der Daten aus der DiGA allerdings durch den Versicherten selbst gesteuert wird, kommt dem Hersteller diesbezüglich keine Kontrolle zu. Die Gesundheitsdaten können gerade nicht passiv gesammelt und direkt an den Arzt zur Auswertung übertragen werden.89 Vielmehr muss der Patient aktiv mit der DiGA interagieren und den interoperablen Export aus der DiGA heraus auslösen.90 In dem Moment, in dem der Patient die Daten aktiv an seinen Arzt freigibt, entsteht ein Verhältnis zwischen ihm als Patient und dem Arzt als Leistungserbringer außerhalb der Verantwortung des AppHerstellers. Die Mitwirkung des Herstellers an der Verarbeitung wird an diesem Punkt vollständig beendet und insgesamt an einen Dritten weitergegeben. Daraus ergibt sich, dass der App-Hersteller allein für das initiale Erheben und Ausspielen der personenbezogenen Daten verantwortlich ist, während der alleinige Verantwortungsbereich des Arztes beginnt, sobald dieser die ausgespielten Daten erhält. Es liegt daher eine separate Verantwortlichkeit von Hersteller und Arzt vor.91 2. Zwischenergebnis In der vorliegenden Konstellation besteht somit ein Nebeneinander an Verantwortung in dem Sinne, dass der Arzt für diejenigen personenbezogenen Daten, die er zur Leistungserbringung benötigt, selbst datenschutzrechtlich verantwortlich ist, während der Hersteller für die durch die DiGA verarbeiteten Daten verantwortlich ist. Wenn dem Arzt die aus der DiGA ausgespielten Daten auf einem Papierausdruck durch den Versicherten übergeben werden, ist er, wie sonst auch, für die Datenverarbeitung im Rahmen der ärztlichen Behandlung verantwortlich. Aufgrund der vertraglichen und berufsrechtlichen Pflichten eines Arztes, Patienten daten zu dokumentieren und zu archivieren, legt er mindestens dahingehend die Verarbeitungszwecke fest und ist daher in der Regel als Verantwortlicher anzusehen.92 Ärzte, die im Rahmen der ärztlichen Behandlung die aus einer DiGA ausgespielten Gesundheitsdaten verarbeiten, können die für die Patientenbehandlung erforderliche Verarbeitung dieser Gesundheitsdaten auf Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. stützen.93 88
BT-Drs. 19/13438, S. 48. BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 13. 90 BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 64. 91 So auch Dochow, MedR 2019, 636 (643). 92 Kuhn / Heinz, GesR 2018, 691 (697). 93 Vgl. Heckmann / Paschke, in: Stiftung Datenschutz, Big Data und E-Health, S. 81; Reiter, Der Schutz des informationellen Selbstbestimmungsrechts, S. 137; Dregelies, VuR 2017, 256 (259). 89
330
Kap. 6: Datenschutzrechtliche Anforderungen in der Gesundheitsversorgung
III. Datenschutzrechtliche Legitimation der Verarbeitung personenbezogener Daten im Kontext digitaler Gesundheitsanwendungen Bei der Nutzung von digitalen Gesundheitsanwendungen werden personenbezogene Daten in Form von Gesundheitsdaten verarbeitet, die als besondere Kategorien personenbezogener Daten i. S. d. Art. 9 Abs. 1 DSGVO den gesteigerten rechtlichen Anforderungen des Art. 9 Abs. 2 DSGVO unterliegen.94 Für die Datenverarbeitung im Rahmen der DiGA gelten grundsätzlich die allgemeinen datenschutzrechtlichen Vorgaben der DSGVO und des BDSG n. F. Daneben ermächtigt § 139e Abs. 9 S. 1 Nr. 2 SGB V das Bundesministerium für Gesundheit (BMG) durch Rechtsverordnung das Nähere zum Datenschutz bei digitalen Gesundheitsanwendungen nach § 139e Abs. 2 S. 2 Nr. 2 SGB V zu regeln. Diese Verordnungsermächtigung hat das BMG mit der Digitale-Gesundheitsanwendungen- Verordnung (DiGAV)95 umgesetzt, welche gemäß § 43 DiGAV am 21. April 2020 in Kraft getreten ist. Diese stellt in § 4 DiGAV weitere Anforderungen an den Datenschutz auf, die ausweislich der Begründung im Referentenentwurf zusätzlich zu den Voraussetzungen des Art. 9 DSGVO einzuhalten sind und sich auf Art. 9 Abs. 4 DSGVO stützen lassen.96 Vor diesem Hintergrund sollen nachfolgend die wesentlichen Voraussetzungen der Verarbeitung personenbezogener Daten im Kontext digitaler Gesundheitsanwendungen untersucht werden. 1. Verarbeitung personenbezogener Daten durch den Hersteller Für Hersteller der DiGA, die in der Regel privatwirtschaftliche Unternehmen sind, gilt neben der DSGVO grundsätzlich das BDSG n. F.97 Daneben konkretisiert § 4 DiGAV die durch den Hersteller einzuhaltenden Anforderungen an den Datenschutz bei der Verarbeitung personenbezogener Daten im Rahmen der digitalen Gesundheitsanwendung. § 4 Abs. 1 DiGAV legt deklaratorisch fest, dass der Hersteller einer digitalen Gesundheitsanwendung verpflichtet ist, die gesetzlichen Vorgaben des Datenschutzes zu gewährleisten. a) Zulässige Datenverarbeitung nach § 4 Abs. 2 DiGAV In § 4 Abs. 2 S. 1 DiGAV wird zunächst festgelegt, dass die Datenverarbeitung vorrangig auf Grundlage einer Einwilligung der betroffenen Person gemäß 94
BMG, Referentenentwurf zur DiGAV v. 9. April 2020, S. 58. Verordnung über das Verfahren und die Anforderungen zur Prüfung der Erstattungsfähigkeit digitaler Gesundheitsanwendungen in der gesetzlichen Krankenversicherung v. 8. April 2020, BGBl. 2020 Teil I Nr. 18 v. 20. April 2020, S. 768. 96 BMG, Referentenentwurf zur DiGAV v. 9 April 2020, S. 58. 97 BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 39. 95
B. Datenschutzrechtliche Aspekte bei digitalen Gesundheitsanwendungen
331
Art. 9 Abs. 2 lit. a DSGVO erfolgt. Diese Einwilligung muss den Voraussetzungen des Art. 7 DSGVO genügen, sodass vor der ersten Erhebung der Daten eine ausdrückliche, freiwillige und hinreichend informierte Einwilligung der betroffenen Person einzuholen ist.98 § 4 Abs. 2 S. 1 DiGAV beschränkt die Möglichkeit der Verarbeitung personenbezogener Daten auf Grundlage einer Einwilligung durch den Hersteller einer digitalen Gesundheitsanwendung dabei auf die in § 4 Abs. 2 S. 1 Nr. 1 bis 4 DiGAV abschließend aufgeführten Zwecke. So darf der Hersteller nach § 4 Abs. 2 S. 1 Nr. 1 DiGAV etwa personenbezogene Daten der Nutzer, die diese eingegeben haben oder die über Sensoren erfasst wurden, zu dem bestimmungsgemäßen Gebrauch der Anwendung verarbeiten. Darunter fällt jede Datenverarbeitung, die erforderlich ist, um die digitale Gesundheitsanwendung entsprechend ihrem Verwendungszweck im Rahmen der ärztlichen Behandlung einzusetzen.99 Dazu gehört es, dass die Anwendung, um eine an den jeweiligen Therapieverlauf angepasste, individualisierte Behandlung zu gewährleisten, Gesundheitsdaten des Nutzers der digitalen Gesundheitsanwendungen erfasst und diese mit dem Ziel der Ermöglichung der Behandlung unter Einsatz der Anwendung verarbeitet.100 Im Rahmen der Einwilligung darf die Datenverarbeitung somit ausschließlich zu den in § 4 Abs. 2 DiGAV genannten Zwecken erfolgen. Ausweislich der Begründung zum Referentenentwurf wird insoweit von der Befugnis nach Art. 9 Abs. 4 DSGVO Gebrauch gemacht.101 Dieser gestattet es den Mitgliedstaaten für Gesundheitsdaten zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen, sodass demnach derartige Einschränkungen der Einwilligung zulässig sind. Daneben bleiben gemäß § 4 Abs. 2 S. 3 DiGAV Datenverarbeitungsbefugnisse nach anderen Vorschriften, wie etwa dem BDSG n. F., unberührt. Grundsätzlich käme daher auch eine Legitimation der Verarbeitung von Gesundheitsdaten auf der gesetzlichen Grundlage des Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. in Betracht. Diese Rechtsgrundlage muss jedoch richtigerweise schon allein deshalb ausscheiden, da die Hersteller digitaler Gesundheitsanwendungen nicht zu dem Personenkreis des Art. 9 Abs. 3 DSGVO gehören. Zunächst sind die bei der Datenverarbeitung im Rahmen einer digitalen Gesundheitsanwendung tätigen Personen in der Regel keine Berufsgeheimnisträger gemäß § 203 StGB.102 Auch wenn gemäß § 4 Abs. 5 DiGAV alle für den Hersteller tätigen Personen auf Verschwiegenheit zu verpflichten sind, gehören diese Personen zudem nicht zu den „anderen Personen“ i. S. d. Art. 9 Abs. 3 DSGVO, 98 Ausführlich zu den Wirksamkeitsvoraussetzungen der datenschutzrechtlichen Einwilligung unter Kap. 2 A. III. 1., (S. 131 ff.). 99 BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 42. 100 BMG, Referentenentwurf zur DiGAV v. 9. April 2020, S. 59. 101 BMG, Referentenentwurf zur DiGAV v. 9. April 2020, S. 58. 102 BMG, Referentenentwurf zur DiGAV v. 9. April 2020, S. 60; Kremer, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 28 Rn. 68; Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 42.
332
Kap. 6: Datenschutzrechtliche Anforderungen in der Gesundheitsversorgung
die ebenfalls einer Geheimhaltungspflicht unterliegen. Denn den Voraussetzungen des Art. 9 Abs. 3 DSGVO genügt nicht jede Form der Geheimhaltungspflicht, vielmehr muss die Geheimhaltungspflicht der „anderen Person“ zumindest ein vergleichbares Schutzniveau zu dem der Berufsgeheimnisträger gewähren.103 Die für den Hersteller tätigen Personen gehören folglich nicht zu dem Personenkreis, dem eine Verarbeitung von Gesundheitsdaten zu den in der Vorschrift genannten Verarbeitungszwecken gestattet ist. Eine Datenverarbeitung auf der Grundlage des Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. scheidet daher aus.104 Von Bedeutung ist in diesem Zusammenhang aber insbesondere § 302 SGB V.105 Dieser regelt die Übermittlungspflicht und -befugnis von arzt- und versichertenbezogenen Daten zu Zwecken der Abrechnung der als sonstige Leistungserbringer i. S. d. Vorschrift zu qualifizierenden DiGA-Hersteller gegenüber der Krankenkasse. Gemäß § 302 Abs. 1 S. 1 SGB V sind die Leistungserbringer der digitalen Gesundheitsanwendungen verpflichtet, den Krankenkassen die von ihnen erbrachten Leistungen nach Art, Menge und Preis, den Tag der Leistungserbringung, die Arztnummer des verordnenden Arztes sowie die Verordnung des Arztes mit der Diagnose und den erforderlichen Angaben über den Befund mitzuteilen. Nach § 302 Abs. 2 S. 2 SGB V können zudem auch die sonstigen Leistungserbringer Rechenzentren mit der Abrechnung ihrer Leistungen als Auftragsverarbeiter beauftragen.106 Die Durchführung der Abrechnung über ein Rechenzentrum erfordert somit keine gesonderte Einwilligung.107 Die Abrechnung gemäß § 302 SGB V kommt jedoch nur in Betracht, wenn der Hersteller dem Versicherten die Anwendung gemäß § 33a Abs. 3 S. 1 SGB V entweder im Wege elektronischer Übertragung über öffentlich zugängliche Netze oder auf maschinell lesbaren Datenträgern zur Verfügung stellt, sog. Sachleistungsprinzip.108 Denn nur in diesem Fall erfolgt die Abrechnung zwischen dem DiGA-Hersteller und der Krankenkasse des Versicherten. Ist die Abgabe auf diesem Wege nicht möglich, kann die Anwendung dem Versicherten gemäß § 33a Abs. 3 S. 2 Hs. 1 SGB V auch über eine öffentlich zugängliche digitale Betriebsplattform zur Verfügung gestellt werden. Dann werden dem Versicherten die entstandenen Kosten gemäß § 33a Abs. 3 S. 2 Hs. 2 SGB V direkt durch seine Krankenkasse erstattet, sog. Kostenerstattungsprinzip. Gemäß § 4 Abs. 6 DiGAV muss der Hersteller zudem den Fragebogen nach Anlage 1 DiGAV ausfüllen, aus der sich das Nähere zu den in § 4 DiGAV aufge 103
Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 144; Jaspers / Schwart mann / Mühlenbeck, in: Jaspers / Schwartmann / T hüsing / Kugelmann, DSGVO BDSG, Art. 9 DSGVO Rn. 225. 104 So auch Jukić / Rahn, GesR 2020, 749 (754). 105 BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 41. 106 Scholz, in: BeckOK Sozialrecht, § 302 SGB V Rn. 4. 107 BfArM, DiGA Leitfaden, Version 2.2 v. 23. Oktober 2020, S. 41. 108 Braun, GesR 2019, 757 (761); Weyd, MedR 2020, 183 (186).
B. Datenschutzrechtliche Aspekte bei digitalen Gesundheitsanwendungen
333
stellten Anforderungen ergibt. Dort ist in der Nummer 2 der Rubrik Datenschutz vorgesehen, dass der Hersteller für das Nicht-Einholen der Einwilligung die zulässige Begründung angeben kann, dass der Zweck der Verarbeitung aus einer recht lichen Verpflichtung des Herstellers resultiere. Dies ist widersprüchlich zu dem in § 4 DiGAV aufgestellten Einwilligungserfordernis und entspricht zudem keinem der in Art. 9 Abs. 2 DSGVO aufgeführten gesetzlichen Zulässigkeitstatbestände. b) Übermittlung von Gesundheitsdaten in Drittstaaten Typischerweise werden die durch die DiGA erhobenen Daten nicht lokal auf dem Endgerät des Versicherten gespeichert, sondern zentral an einem virtuellen Speicherort, etwa in einer Cloud.109 Dabei gelten für die Übermittlung personenbezogener Daten an einen anderen Mitgliedstaat der Europäischen Union die gleichen Regelungen, wie für eine Übermittlung innerhalb eines Mitgliedstaats.110 Je nach Standort des Servers, auf dem die Daten gespeichert werden, kann es jedoch auch zu einer Übermittlung von Gesundheitsdaten an einen Nicht-EU-Staat kommen.111 Da viele Anbieter von Gesundheits-Apps regelmäßig Server in Staaten wie den USA oder Indien nutzen, wird dies einen häufigen Fall darstellen.112 Haben die Empfänger der Daten ihren Sitz nicht innerhalb der Europäischen Union, stellt sich daher die Frage nach der Zulässigkeit der Datenübermittlung an einen Drittstaat. aa) Zweistufige Zulässigkeitsprüfung Um festzustellen, ob die Übermittlung personenbezogener Daten an Empfänger in Drittstaaten nach der DSGVO zulässig ist, ist eine zweistufige Zulässigkeitsprüfung erforderlich.113 Auf der ersten Stufe hat der Verantwortliche zunächst sicherzustellen, dass die Übermittlung den allgemeinen materiell-rechtlichen Anforderungen der DSGVO entspricht.114 Der Cloud-Anbieter ist datenschutzrechtlich in der Regel als Auftragsverarbeiter i. S. d. Art. 28 DSGVO einzuordnen.115 Gemäß § 3 Abs. 8 S. 3 BDSG a. F. war die Privilegierungswirkung der Auftragsverarbeitung noch auf die Einschaltung von Dienstleistern innerhalb des Europä 109
v. Zezschwitz, MedR 2020, 196 (201); Schrahe / Städter, DuD 2020, 713 (714); vgl. Rehmann / Heimhalt, A&R 2014, 250 (255); Heimhalt / Rehmann, MPR 2014, 197 (204). 110 Schantz, in: BeckOK Datenschutzrecht, Art. 1 DSGVO Rn. 9; Dovas / Grapentin, in: AuerReinsdorff / Conrad, Handbuch IT- und DatenschutzR, § 35 Rn. 19. 111 Rehmann / Heimhalt, A&R 2014, 250 (255). 112 Heimhalt / Rehmann, MPR 2014, 197 (204); Dochow, GuP 2020, 229 (233). 113 Wybitul / Ströbel / Ruess, ZD 2017, 503 (504). 114 Wybitul / Ströbel / Ruess, ZD 2017, 503 (504). 115 Schmid / Kahl, ZD 2017, 54 (56); Hofmann, ZD-Aktuell 2017, 05488; die Verantwortungsverteilung hängt im Einzelfall von der konkreten Ausgestaltung und dem jeweiligen Dienstmodell ab, dazu ausführlich Roßnagel, in: Roßnagel, Wolken über dem Rechtsstaat?, S. 31 ff.
334
Kap. 6: Datenschutzrechtliche Anforderungen in der Gesundheitsversorgung
ischen Wirtschaftsraums (EWR) begrenzt.116 Nach der DSGVO besteht allerdings keine räumliche Begrenzung der Privilegierungswirkung der Auftragsverarbeitung mehr, sodass für die Übermittlung an den Cloud-Anbieter im Ausland keine gesonderte Rechtsgrundlage erforderlich ist.117 Auf zweiter Stufe sind sodann die besonderen Voraussetzungen für die Übermittlung personenbezogener Daten in Drittstaaten zu prüfen. Diese ergeben sich aus den Art. 44 ff. DSGVO. Die Privilegierung der Auftragsverarbeitung kommt hier nicht zum Tragen, da der Auftragsverarbeiter ausdrücklich in Art. 44 S. 1 DSGVO erwähnt wird.118 Eine Datenübermittlung an Empfänger in Drittstaaten ist nach den Vorgaben des Kapitels V der DSGVO insbesondere zulässig, wenn für diesen Staat ein Angemessenheitsbeschluss der EU-Kommission i. S. d. Art. 45 Abs. 3 DSGVO vorliegt oder der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien gemäß Art. 46 Abs. 2 DSGVO, wie etwa Standarddatenschutzklauseln, vorgesehen haben. Lässt sich die Datenübermittlung weder auf einen Angemessenheitsbeschluss noch auf geeignete Garantien stützen, kann ein Rückgriff auf Art. 49 DSGVO weiterhelfen, nach dem für bestimmte Fälle Ausnahmen von dem Übermittlungsverbot vorgesehen sind.119 bb) Einschränkung der Drittstaatenübermittlung durch § 4 Abs. 3 DiGAV In diesem Zusammenhang ist jedoch zu berücksichtigen, dass die Verarbeitung personenbezogener Daten durch die DiGA selbst sowie bei einer Verarbeitung personenbezogener Daten im Auftrag gemäß § 4 Abs. 3 DiGAV nur im Inland, in einem Mitgliedstaat der Europäischen Union oder, sofern ein Angemessenheits beschluss der Kommission gemäß Art. 45 Abs. 3 DSGVO vorliegt, in einem Drittstaat erfolgen darf. Die weitreichenden Ausnahmen für die Übermittlung in Drittstaaten nach den Art. 46, 47 und 49 DSGVO sind für DiGA hingegen nicht anwendbar, da § 4 Abs. 3 DiGAV insoweit abschließend ist.120 Die unionsrecht liche Zulässigkeit dieser nationalen Einschränkung wird in der Literatur teilweise kritisch betrachtet.121 Möglich wäre, dass sich diese Beschränkung der Übermittlung personenbezogener Daten an Drittländer ohne Angemessenheitsbeschluss auf Art. 49 Abs. 5 S. 1 DSGVO stützen kann. Danach können die Mitgliedstaaten 116
Spoerr, in: BeckOK Datenschutzrecht, Art. 28 DSGVO Rn. 106; Schmidt / Freund, ZD 2017, 14 (14); Rehmann / Heimhalt, A&R 2014, 250 (255). 117 Eckhardt, CCZ 2017, 111 (116); Spoerr, in: BeckOK Datenschutzrecht, Art. 28 Rn. 108; Schmid / Kahl, ZD 2017, 54 (56); ausführlich zur Privilegierungswirkung der Auftragsverarbeitung unter der DSGVO s. unter Kap. 2 B. III. 1., (S. 168 ff.). 118 Krasemann, in: Jandt / Steidle, Datenschutz im Internet, S. 203 f. Rn. 194. 119 Paal / Kumkar, MMR 2020, 733 (734). 120 BMG, Referentenentwurf zur DiGAV v. 9. April 2020, S. 59; Dochow, GuP 2020, 229 (235); Jukić / Rahn, GesR 2020, 749 (756). 121 Hofer / Sachs / Sonnenschein, MPR 2020, 227 (227 ff.); Jukić / Rahn, GesR 2020, 749 (755 f.).
B. Datenschutzrechtliche Aspekte bei digitalen Gesundheitsanwendungen
335
bei Fehlen eines Angemessenheitsbeschlusses aus wichtigen Gründen des öffentlichen Interesses Beschränkungen der Übermittlung bestimmter Kategorien von personenbezogenen Daten an Drittländer vorsehen. Voraussetzung wäre folglich, dass wichtige Gründe des öffentlichen Interesses für die Einschränkung vorliegen und die beschränkende Vorschrift die betroffenen Kategorien personenbezogener Daten spezifiziert. Die DSGVO trifft keine Aussage dazu, wann ein Grund des öffentlichen Interesses als „wichtig“ einzustufen ist.122 Mit Blick auf den Ausnahmecharakter der Norm ist die Regelung jedenfalls eng auszulegen.123 Im Referentenentwurf wurde die Einschränkung mit dem regelhaft anzunehmenden besonderen Schutzbedarf der im Rahmen der DiGA verarbeiteten Daten begründet.124 Auf diese Weise soll gewährleistet werden, dass etwa auch bei der Nutzung von Cloud-Diensten durch den Hersteller die Datenhoheit der Versicherten gewahrt wird.125 Damit liegt ein wichtiger Grund des öffentlichen Interesses vor. Die Kritik an § 4 Abs. 3 DiGAV bezieht sich daneben aber vor allem darauf, dass dieser keine Beschränkung der Übermittlung auf bestimmte Kategorien personenbezogener Daten i. S. v. Art. 49 Abs. 5 DSGVO vorsehe.126 Anders als § 80 Abs. 2 SGB X, der die Drittlandsübermittlung nur in Bezug auf Sozialdaten beschränke, beziehe sich § 4 Abs. 3 DiGAV allgemein auf die Übermittlung von personenbezogenen Daten durch die DiGA.127 Im Zuge der Ersten Verordnung zur Änderung der Digitale Gesundheitsanwendungen-Verordnung128 wurde die allgemeine Formulierung der „Verarbeitung von personenbezogenen Daten“ in § 4 Abs. 3 DiGAV nun um den Zusatz „zu den Zwecken nach Absatz 2“ ergänzt, sodass zumindest eine gewisse Einschränkung erfolgt ist. Überdies enthält die DSGVO keine Vorgaben zu der Art der Daten, deren Übermittlung auf Grundlage des Art. 49 Abs. 5 DSGVO eingeschränkt werden kann.129 Daher kann auch die Beschränkung einer Drittlandsübermittlung für „die Verarbeitung von personenbezogenen Daten zu den Zwecken nach Absatz 2 […] im Rahmen einer digitalen Gesundheitsanwendung“ der Vorgabe der Festlegung von bestimmten Kategorien von personenbezogenen Daten genügen. Daneben verpflichtet Art. 49 Abs. 5 S. 2 DSGVO die Mitgliedstaaten dazu, die Kommission über derartige Beschränkungen zu informieren. Soweit die Einschätzung in der Literatur zutrifft, dass eine solche Information bisher unterblieben ist,130 sollte diese unverzüglich nachgeholt werden.
122
Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 49 DSGVO Rn. 19. Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 49 DSGVO Rn. 19. 124 BMG, Referentenentwurf zur DiGAV v. 9. April 2020, S. 59. 125 BMG, Referentenentwurf zur DiGAV v. 9. April 2020, S. 59. 126 Hofer / Sachs / Sonnenschein, MPR 2020, 227 (229). 127 Hofer / Sachs / Sonnenschein, MPR 2020, 227 (229). 128 BGBl. 2021 Teil I Nr. 67 v. 24. September 2021, S. 4355. 129 Lange / Filip, in: BeckOK Datenschutzrecht, Art. 49 DSGVO Rn. 62; Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 49 DSGVO Rn. 35. 130 Hofer / Sachs / Sonnenschein, MPR 2020, 227 (230). 123
336
Kap. 6: Datenschutzrechtliche Anforderungen in der Gesundheitsversorgung
cc) Angemessenheitsbeschlüsse und Ungültigkeit des „EU-US-Privacy Shield“ Im Rahmen digitaler Gesundheitsanwendungen dürfen personenbezogene Daten daher ausschließlich aufgrund eines Angemessenheitsbeschlusses der Kommission i. S. d. Art. 45 Abs. 3 DSGVO in Drittländer übermittelt werden. Gemäß Art. 45 Abs. 3 S. 1 DSGVO kann die Kommission nach der Beurteilung der Angemessenheit des Schutzniveaus im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein Sektor ein angemessenes Schutzniveau bietet. Bei der Prüfung der Angemessenheit des Schutzniveaus berücksichtigt die Kommission gemäß Art. 45 Abs. 2 DSGVO insbesondere die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten sowie die Existenz und die wirksame Funktionsweise der Aufsichtsbehörden in dem betreffenden Drittland. Hat die Kommission ein angemessenes Datenschutzniveau festgestellt, so darf eine Übermittlung personenbezogener Daten an ein Drittland vorgenommen werden, ohne dass es einer weiteren Genehmigung bedarf, Art. 45 Abs. 1 S. 2 DSGVO. Solche Angemessenheitsbeschlüsse bestehen bisher für vierzehn Staaten, darunter etwa Argentinien, die Schweiz oder seit Dezember 2021 auch für die Republik Korea.131 Einer dieser Angemessenheitsbeschlüsse war bislang auch das sog. EU-USPrivacy Shield132 für die USA. Diesen Angemessenheitsbeschluss hat der EuGH aber am 16. Juli 2020 in der Rechtssache „Schrems II“133 für unwirksam erklärt, da das Recht der Vereinigten Staaten kein Schutzniveau gewährleiste, das dem in der Europäischen Union durch die DSGVO im Lichte der Art. 7 und 8 GRCh garantierten Niveau der Sache nach gleichwertig sei und der Beschluss zudem keinen effektiven gerichtlichen Rechtsschutz i. S. d. Art. 47 GRCh gewährleiste.134 Damit ist die Übermittlung personenbezogener Daten in die USA auf dieser Grundlage unzulässig. Für Hersteller von DiGA bedeutet dies, dass sie bis auf Weiteres keine personenbezogenen Daten in die USA übermitteln dürfen.
131
Die Europäische Kommission veröffentlicht eine Liste der Staaten, für die ein Angemessenheitsbeschluss vorliegt, auf ihrer Website, diese ist abrufbar unter: https://ec.europa.eu/info/ law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_ en. Zuletzt hat die Europäische Kommission am 17. Dezember 2021 den Angemessenheitsbeschluss für den Transfer von personenbezogenen Daten nach Korea angenommen, dieser ist abrufbar unter: https://ec.europa.eu/info/files/decision-adequate-protection-personal-datarepublic-korea-annexes_de. 132 Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes, ABl. EU 2016 L 207, S. 1. 133 EuGH, Urt. v. 16. Juli 2020 – C-311/18, NJW 2020, 2613 (2613 ff.) – Schrems II. 134 EuGH, Urt. v. 16. Juli 2020 – C-311/18, NJW 2020, 2613 (2619 ff.) Rn. 168 ff. – Schrems II.
B. Datenschutzrechtliche Aspekte bei digitalen Gesundheitsanwendungen
337
dd) Informationspapier des BfArM zur Zulässigkeit der Datenverarbeitung außerhalb Deutschlands Am 28. Januar 2021 hat das BfArM ein Informationspapier zur Frage der Zulässigkeit der Datenverarbeitung außerhalb Deutschlands in Bezug auf digitale Gesundheitsanwendungen veröffentlicht.135 Dieses befasst sich insbesondere mit der datenschutzrechtlichen Zulässigkeit des Einsatzes von EU-Niederlassungen eines US-amerikanischen Unternehmens zur Verarbeitung personenbezogener Daten durch DiGA-Hersteller. Danach ist die Datenverarbeitung durch eine EU-Niederlassung eines Mutterkonzerns in den USA nur zulässig, sofern sich das Rechenzentrum innerhalb der EU befindet und hinreichende Gewähr für die Unterbindung der Übertragung von personenbezogenen Daten aus dem Geltungsbereich der DSGVO an den Mutterkonzern besteht. Konkret wird darauf verwiesen, dass die Datenverarbeitung zulässig ist, sofern die personenbezogenen Daten verschlüsselt sind und der Schlüssel vom DiGA-Hersteller in der EU verwaltet oder gespeichert wird.136 Darüber hinaus ist es erforderlich, dass die EU-Niederlassung gegenüber dem DiGA-Hersteller zusichert, dass kein Datentransfer in die USA erfolgt und sie in jedem Fall des Herausgabeverlangens den Rechtsweg beschreitet und ausschöpft.137 Die Ausführungen des Informationspapiers können jedoch nur als erste Einschätzung zur Frage der Zulässigkeit der Datenverarbeitung außerhalb Deutschlands für DiGA-Hersteller gewertet werden, denn das BfArM weist einschränkend selbst darauf hin, dass das Papier lediglich die eigene Rechtsauffassung wiedergebe und keine Bindungswirkung für Datenschutzbehörden entfalte. Rechtssicherheit ist damit folglich nicht verbunden. ee) Verhältnis zwischen den Vorschriften des Kapitels V der DSGVO und Art. 3 Abs. 2 DSGVO Daneben stellt sich die Frage, inwieweit die Regelungen des Kapitels V der DSGVO zur Übermittlung personenbezogener Daten in Drittländer durch die Hersteller überhaupt einzuhalten sind, sollte die DSGVO bereits aufgrund ihrer extraterritorialen räumlichen Anwendbarkeit für die Cloud-Anbieter im Drittstaat zur Anwendung kommen.138 Eine der entscheidenden Neuerungen der DSGVO ist ihre extraterritoriale Anwendbarkeit, die sich insbesondere aus dem sog. Markt 135
BfArM, Informationspapier zur Zulässigkeit der Datenverarbeitung außerhalb Deutschlands v. 28. Januar 2021, Stand 31. Mai 2021, abrufbar unter: https://www.bfarm.de/Shared Docs/Downloads/DE/Medizinprodukte/Datenverarbeitung_ausserhalb_Deutschlands_FAQ. html. 136 BfArM, Informationspapier zur Zulässigkeit der Datenverarbeitung außerhalb Deutschlands v. 28. Januar 2021, Stand 31. Mai 2021, S. 2. 137 BfArM, Informationspapier zur Zulässigkeit der Datenverarbeitung außerhalb Deutschlands v. 28. Januar 2021, Stand 31. Mai 2021, S. 3. 138 Vgl. Schlender, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 3 DSGVO Rn. 9.
338
Kap. 6: Datenschutzrechtliche Anforderungen in der Gesundheitsversorgung
ortprinzip nach Art. 3 Abs. 2 DSGVO ergibt.139 Danach können Unternehmen ohne Niederlassung in der Europäischen Union den Anforderungen der DSGVO u. a. auch dann unterfallen, wenn sie Waren oder Dienstleistungen gegenüber betroffenen Personen in der Europäischen Union anbieten, Art. 3 Abs. 2 lit. a DSGVO. So findet die DSGVO für den Cloud-Anbieter unmittelbar Anwendung, wenn dieser außerhalb der Europäischen Union niedergelassen ist und für einen Cloud-Nutzer, der sich in der Union befindet, eine Dienstleistung anbietet.140 Hier wäre in der Tat fraglich, inwieweit die Anforderungen der Art. 44 ff. DSGVO überhaupt zu berücksichtigen sind, wenn die DSGVO bereits aufgrund ihres erweiterten räumlichen Anwendungsbereichs auf die Datenverarbeitung durch den Cloud-Anbieter Anwendung findet. Anders ist die Situation allerdings zu beurteilen, wenn der in der Union niedergelassene Cloud-Nutzer ein Unternehmen ist, welches Daten von Dritten an den Cloud-Anbieter im Drittstaat übermittelt, da die Datenverarbeitung in diesem Dreipersonenverhältnis nicht im Zusammenhang mit dem Angebot einer Dienstleistung gegenüber einer betroffenen Person steht.141 Die Rollen des Cloud-Anwenders und der betroffenen Person fallen dann auseinander.142 Denn das unternehmensbezogene Angebot des Cloud-Anbieters dient regelmäßig nicht dazu, den betroffenen Kunden des Unternehmens Waren oder Dienstleistungen anzubieten.143 So stellt sich die Situation auch vorliegend dar. Die Datenübermittlung von Daten der Versicherten in die Cloud durch den Hersteller der DiGA wird regelmäßig nicht damit im Zusammenhang stehen, betroffenen Personen, also den Versicherten, in der Union Waren oder Dienstleistungen anzubieten, wie es Art. 3 Abs. 2 lit. a DSGVO voraussetzt. Für den außereuropäischen Cloud-Anbieter ist die DSGVO daher nicht anwendbar. Daher wird es auf das im Allgemeinen umstrittene Verhältnis zwischen den Vorschriften zur Drittstaatenübermittlung im Kapitel V der DSGVO und dem räumlichen Anwendungsbereich i. S. d. Art. 3 DSGVO vorliegend nicht ankommen.144 Bei der Datenübermittlung an den CloudAnbieter sind mithin unabhängig von dieser Frage die Vorschriften des Kapitels V der DSGVO einzuhalten.
139
Voigt, CR 2020, 315 (318); Kühling / Martini, EuZW 2016, 448 (450); Piltz, in: Gola, DSGVO, Art. 3 DSGVO Rn. 2. 140 Klar, in: Kühling / Buchner, DSGVO BDSG, Art. 3 DSGVO Rn. 88; Hornung / Städtler, CR 2012, 638 (640). 141 Klar, in: Kühling / Buchner, DSGVO BDSG, Art. 3 DSGVO Rn. 89; Conrad / Licht / Stritt matter, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 22 Rn. 207; Hornung / Städtler, CR 2012, 638 (640); Spies, ZD-Aktuell 2018, 06396. 142 Steidle, in: Jandt / Steidle, Datenschutz im Internet, S. 249 Rn. 53. 143 Hornung / Städtler, CR 2012, 638 (640). 144 S. dazu Europäische Kommission, COM(2020) 264 final v. 24. Juni 2020, S. 15, 22; Voigt, CR 2020, 315 (318); Kamp / Beck, in: BeckOK Datenschutzrecht, Art. 44 DSGVO Rn. 34 ff.; Schlender, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 3 DSGVO Rn. 9; Buchholtz / Stentzel, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 1 DSGVO Rn. 41; Hornung, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 3 DSGVO Rn. 8.
B. Datenschutzrechtliche Aspekte bei digitalen Gesundheitsanwendungen
339
2. Verarbeitung personenbezogener Daten durch die Krankenkassen a) Datenverarbeitung bei der Prüfung der Leistungspflicht durch die Krankenkasse Anstelle der Verordnung des behandelnden Arztes oder des behandelnden Psychotherapeuten kann die Versorgung des Versicherten mit einer digitalen Gesundheitsanwendung gemäß § 33a Abs. 1 S. 2 Nr. 2 Alt. 2 SGB V auch durch die Krankenkasse genehmigt werden.145 Voraussetzung für eine solche Genehmigung ist nach § 33a Abs. 1 S. 3 SGB V das Vorliegen einer medizinischen Indikation. Damit Krankenkassen die digitalen Gesundheitsanwendungen genehmigen können, müssen sie daher auf medizinische Daten der Versicherten zurückgreifen.146 Datenschutzrechtlich ist die Befugnis der Krankenkassen zur Datenverarbeitung bei der Prüfung der Leistungspflicht nach § 284 Abs. 1 S. 1 Nr. 4 SGB V auf das Erheben und Speichern von Daten beschränkt, die für die Prüfung der Leistungspflicht erforderlich sind.147 Eine umfassende Befugnis zur Erhebung von Gesundheitsdaten besteht demnach nicht.148 Vielmehr hat der Gesetzgeber die Prüfung medizinischer Sachverhalte dem Medizinischen Dienst der Krankenkassen (MDK) übertragen.149 Anders als für Hilfsmittel in § 33 Abs. 5b SGB V vorgesehen, ist für die Genehmigung der Versorgung mit digitalen Gesundheitsanwendungen im Rahmen des § 33a SGB V jedoch gerade nicht gesetzlich vorgeschrieben, dass die Krankenkassen den Antrag auf Bewilligung mit eigenem weisungsgebundenen, nicht zur Leistungsabteilung der Krankenkasse gehörenden Personal zu prüfen haben und in geeigneten Fällen den MDK mit der Erforderlichkeitsprüfung beauftragen können.150 § 33a SGB V enthält insgesamt keine Bestimmungen zur Prüfung der Genehmigungsvoraussetzungen durch die Krankenkassen, vielmehr bestimmen die Krankenkassen das Verfahren und die Entscheidungskriterien für die Erteilung der Genehmigung selbst.151 Zu Recht wurden daher seitens des BfDI Bedenken vorgebracht, dass aufgrund des Fehlens gesetzlicher Vorgaben zum Verfahren der Prüfung der Leistungspflicht der Krankenkassen gerade nicht geklärt sei, welcher Zugriff auf Gesundheitsdaten für die Prüfung der Leistungspflicht i. S. d. § 284 Abs. 1 S. 1 Nr. 4 SGB V erforderlich sei.152 Dies berge die Gefahr, dass die Leistungsabteilungen der Krankenkassen entgegen des Grundsatzes, dass sie selbst keine detaillierten medizinischen Informationen verarbeiten dürfen, umfassenden Zugriff auf Gesundheitsdaten ihrer Versicherten
145
Altmiks, in: KassKomm Sozialversicherungsrecht, § 33a SGB V Rn. 26. BfDI, Stellungnahme zum Gesetzentwurf des DVG, S. 4. 147 BT-Drs. 19/13548, S. 2. 148 BT-Drs. 19/13548, S. 2. 149 BSGE 111, 58 (65) Rn. 20; ausführlich dazu auch Kettinger, DuD 2014, 826 (827). 150 Braun, GesR 2019, 757 (761); BR-Drs. 360/19 (B), S. 4. 151 BR-Drs. 360/19 (B), S. 4; BT-Drs.19/13438, S. 44. 152 BfDI, Stellungnahme zum Gesetzentwurf des DVG, S. 1 f. 146
340
Kap. 6: Datenschutzrechtliche Anforderungen in der Gesundheitsversorgung
nehmen.153 Diese Problematik wird aber zumindest insoweit entschärft, als die Krankenkassen neben der Genehmigung im Rahmen von Einzelfallentscheidungen auf Antrag des Versicherten auch im Rahmen von allgemeinen Bekanntmachungen festlegen können, dass bestimmte digitale Gesundheitsanwendungen generell erstattet werden.154 In diesem Fall wird regelmäßig kein Rückgriff auf die jeweiligen Gesundheitsdaten des Versicherten erforderlich sein. b) Datenverarbeitung bei der Leistungsabwicklung durch die Krankenkassen Wie bereits dargestellt, ist bei der Datenverarbeitung, die im Zuge der Abrechnung erforderlich wird, zwischen dem Sachleistungs- und Kostenerstattungsprinzip zu differenzieren. Wenn die digitalen Gesundheitsanwendungen von den Herstellern gemäß § 33a Abs. 3 S. 1 SGB V durch elektronische Übertragung oder Abgabe von Datenträgern zur Verfügung gestellt werden, sind die Hersteller gemäß § 302 Abs. 1 SGB V verpflichtet, Daten zu Zwecken der Kostenerstattung an die Krankenkassen zu übermitteln. In diesem Fall erfolgt die Abrechnung somit unmittelbar zwischen dem Hersteller und der zuständigen Krankenkasse.155 Gemäß § 284 Abs. 1 S. 1 Nr. 8 SGB V sind die Krankenkassen berechtigt, Daten zu erheben und zu speichern, soweit dies für die Abrechnung mit den Leistungs erbringern erforderlich ist. Daneben können digitale Gesundheitsanwendungen gemäß § 33a Abs. 3 S. 2 SGB V auch über digitale Vertriebsplattformen zur Verfügung gestellt werden. In diesem Fall erfolgt die Abrechnung im Wege der Kostenerstattung durch die Krankenkasse gegenüber dem Versicherten. Dabei prüft die Krankenkasse die Leistungsvoraussetzungen auf Kostenerstattungsantrag der Versicherten.156 Sie prüft also, ob eine ärztliche Verordnung vorliegt oder andernfalls eine Genehmigung erteilt werden kann.157 Zu diesem Zweck darf die Krankenkasse gemäß § 284 Abs. 1 S. 1 Nr. 4 SGB V Daten erheben und speichern.
153 BR-Drs. 360/19 (B), S. 4, in diesem Zusammenhang wird die Prüfung der Frage, ob im Fall einer psychischen Erkrankung eine Behandlung mithilfe einer entsprechenden App erforderlich sei, angeführt. 154 Braun, GesR 2019, 757 (761); BT-Drs. 19/13438, S. 44. 155 Altmiks, in: KassKomm Sozialversicherungsrecht, § 33a SGB V Rn. 39. 156 BT-Drs. 19/13438, S. 44. 157 Weyd, MedR 2020, 183 (186).
C. Gesundheits-Applikationen in Bonusprogrammen
341
C. Gesundheits-Applikationen in Bonusprogrammen der gesetzlichen Krankenversicherung Immer mehr Krankenkassen bieten ihren Versicherten die Nutzung von Apps als Bestandteil von Bonusprogrammen i. S. d. § 65a SGB V an.158 So hat die Techniker Krankenkasse bereits im Sommer 2016 verkündet, dass sie plant, die Nutzung von Apps in ihr Bonusprogramm zu integrieren. Dies wurde sodann mit dem Fitnessprogramm in der TK-App umgesetzt, welche mit einer Dritt-App, wie der „Google Fit“, „Samsung Health“ oder „Apple Health App“, gekoppelt wird und es dem Versicherten ermöglicht, bei Erreichung des Schrittziels pro Bonuszeitraum 500 Punkte im TK-Bonusprogramm zu sammeln. Für die Prüfung der erfolgreichen Durchführung werden das Start- und Enddatum, die Datenquelle, die User-ID sowie die zurückgelegten Schritte benötigt.159 Auch die AOK Bonus-App der AOK Nordost – Die Gesundheitskasse folgt einem ähnlichen Prinzip.160 Versicherte können die AOK Bonus-App mit einer Fitness-App, wie etwa der „Apple Health“ oder der „Google Fit“, verknüpfen, bei sportlichen Aktivitäten Bonus- bzw. Statuspunkte sammeln und die Bonuspunkte sodann gegen eine Geldprämien einlösen.161 Nach eigenen Angaben werden durch die App lediglich das Ergebnis der Prüfung, ob es sich um eine valide Aktivität handelt, sowie das Aktivitätsdatum gespeichert.162 Es ist daher zu untersuchen, inwiefern die in diesem Rahmen stattfindende Verarbeitung personenbezogener Daten mit den für die Krankenkassen maßgeblichen Datenschutznormen im Einklang steht.
I. Datenverarbeitung bei der Nutzung von Apps als Bestandteil von Bonusprogrammen Nach § 65a SGB V sollen die Krankenkassen in ihren Satzungen die Voraussetzungen festlegen, unter denen Versicherten ein Anspruch auf Bonus-Leistungen für gesundheitsbewusstes Verhalten zusteht. Anspruchsberechtigt sind gemäß § 65a Abs. 1a SGB V Versicherte, die regelmäßig Leistungen der Krankenkassen zur verhaltensbezogenen Prävention nach § 20 Abs. 5 SGB V in Anspruch nehmen oder an vergleichbaren, qualitätsgesicherten Angeboten zur Förderung eines
158
Kuhls / Starnecker, JurisPR-ITR 20/2015, Anm. 2; Brönneke / Kipker, GesR 2015, 211 (211). S. dazu: https://www.tk.de/techniker/unternehmensseiten/unternehmen/die-tk-app/tkapp-fitnessprogramm-2023654. 160 S. dazu: https://www.aok.de/kp/nordost/aok-bonus-app. 161 Für den Nachweise stehen daneben je nach Aktivität auch ein direkter Upload von Bildern und Dokumenten, das Scannen von QR-Codes oder die Verwendung von Bluetooth-basierten Funksendern (sog. Beacons), die zum Beispiel in einem Fitnessstudio installiert sind, zur Verfügung, Klose, in: Stiftung Datenschutz, Big Data und E-Health, S. 103; https://www.aok.de/ pk/nordost/inhalt/aok-bonus-app-1/. 162 S. dazu: https://www.aok.de/pk/nordost/inhalt/aok-bonus-app-1/. 159
342
Kap. 6: Datenschutzrechtliche Anforderungen in der Gesundheitsversorgung
gesundheitsbewussten Verhaltens teilnehmen.163 Dies gibt den Krankenkassen die Möglichkeit, auch Gesundheits-Apps in ihre Bonusprogramme einzubinden.164 Nach § 20 Abs. 2 S. 1 SGB V legt der Spitzenverband Bund der Krankenkassen einheitliche Handlungsfelder und Kriterien für die Leistungen der Krankenkassen in der Primärprävention fest, die die Krankenkassen gemäß § 20 Abs. 1 S. 3 SGB V bei der Festlegung der Präventionsleistungen in ihren Satzungen zugrunde legen müssen. Zu diesem Zweck hat der GKV-Spitzenverband den „Leitfaden Prävention – Handlungsfelder und Kriterien nach § 20 Abs. 2 SGB V“ erlassen.165 Der Leitfaden Prävention normiert eine Reihe von Qualitätsanforderungen, die erfüllt sein müssen, damit die entsprechenden Präventionsmaßnahmen von den Krankenkassen im Rahmen von § 20 und § 20a SGB V gefördert werden dürfen.166 So umfassen die im Leitfaden aufgestellten Anforderungen etwa den Umfang und die Frequenz der Maßnahmen sowie eine Qualitätssicherung im Rahmen einer stichprobenartigen Evaluation.167 Um die Einhaltung der in dem Leitfaden festgelegten Qualitätsanforderungen überprüfen zu können, ist es somit erforderlich, dass die Krankenkassen Daten zu Umfang und Frequenz der Nutzung der App durch den Versicherten sowie Daten zur Sicherung der Ergebnisqualität erheben.168 Dies können etwa die Pulsdaten einer Lauf-App zur Sicherung von deren positiven Effekts auf das Risiko von Herz-Kreislauf-Erkrankungen sein.169
II. Zulässigkeit der Datenverarbeitung zu Zwecken der Bonusprogrammnutzung Es stellt sich damit die Frage, auf welche Rechtsgrundlage sich die Krankenkassen für die Verarbeitung der zur Erbringung der Nachweise erforderlichen Daten stützen können. Dabei ist zu berücksichtigen, dass für die Verarbeitung von personenbezogenen Daten im Rahmen von Bonusprogrammen der Krankenkassen die datenschutzrechtlichen Vorgaben des Sozialgesetzbuches gelten.170 Auch für die 163
Fleischer, Rechtliche Aspekte der Systemmedizin, S. 149 f. Brönneke / Kipker, GesR 2015, 211 (211 ff.); Fleischer, Rechtliche Aspekte der Systemmedizin, S. 150; Wissenschaftlicher Beirat der AOK, Positionspapier v. 24. Oktober 2019, S. 2, abrufbar unter: https://www.aok.de/pk/nordost/inhalt/gesundheits-apps-nach-dem-digitaleversorgung-gesetz/; a. A. Scholz, in: BeckOK Sozialrecht, § 65a SGB V Rn. 3. 165 GKV-Spitzenverband, Leitfaden Prävention Handlungsfelder und Kriterien nach § 20 Abs. 2 SGB V, Ausgabe 2021, abrufbar unter: https://www.gkv-spitzenverband.de/kranken versicherung/praevention_selbsthilfe_beratung/praevention_und_bgf/leitfaden_praevention/ leitfaden_praevention.jsp. 166 Brönneke / Kipker, GesR 2015, 211 (212 f.); Rutz / Kühn / Dierks, in: Albrecht, Chancen und Risiken von Gesundheits-Apps, S. 127. 167 GKV-Spitzenverband, Leitfaden Prävention, S. 60 f. 168 Brönneke / Kipker, GesR 2015, 211 (213 f.). 169 Brönneke / Kipker, GesR 2015, 211 (213 f.); Fleischer, Rechtliche Aspekte der System medizin, S. 150 f. 170 Klose, in: Stiftung Datenschutz, Big Data und E-Health, S. 105; BT-Drs. 18/12500, S. 46. 164
C. Gesundheits-Applikationen in Bonusprogrammen
343
Verarbeitung personenbezogener Daten im Rahmen von Bonusprogrammen mittels Gesundheits-Apps legt § 284 Abs. 1 SGB V daher abschließend fest, zu welchen Zwecken gesetzliche Krankenkassen die Daten ihrer Versicherten verarbeiten dürfen.171 Die rechtliche Grundlage für die Datenerhebung und Speicherung durch Krankenkassen bildet dabei § 284 Abs. 1 S. 1 Nr. 4 SGB V. Dieser erlaubt die Erhebung und Speicherung von Sozialdaten durch die Krankenkassen, soweit dies für die Prüfung der Leistungspflicht und der Erbringung von Leistungen erforderlich ist, wovon Leistungen der Primärprävention i. S. d. § 20 SGB V umfasst sind.172 Die Daten zu Nutzungsumfang und -frequenz der App dienen zudem der Überwachung der Inanspruchnahme der Leistungen durch den Versicherten, wie im Leitfaden Prävention vorgeschrieben, und sind somit für die Prüfung der Erbringung der Leistung erforderlich.173 Gemäß § 284 Abs. 3 S. 1 SGB V dürfen diese rechtmäßig erhobenen und gespeicherten Daten zudem für den Erhebungszweck in dem jeweils erforderlichen Umfang verarbeitet werden. Festzuhalten ist somit, dass die Krankenkassen die Datenverarbeitung zu Zwecken der Bonusprogrammnutzung auf den Erlaubnistatbestand des § 284 Abs. 1 S. 1 Nr. 4 i. V. m. Abs. 3 S. 1 SGB V stützen können.174 Im Zuge des Digitale-Versorgung-Gesetzes wurde zudem ein neuer § 65a Abs. 1 S. 2 in das SGB V eingefügt, der möglicherweise zur weiteren Klärung beitragen kann.175 Danach können Krankenkassen die von ihnen nach § 284 Abs. 1 SGB V rechtmäßig erhobenen und gespeicherten Daten mit Einwilligung des Versicherten zur Nachweisführung über das Vorliegen der Voraussetzungen der Bonusgewährung im erforderlichen Umfang verarbeiten. Dies gilt gemäß § 65a Abs. 1a S. 2 SGB V entsprechend für Leistungen der Krankenkassen zur verhaltensbezogenen Prävention oder für vergleichbare, qualitätsgesicherte Angebote zur Förderung eines gesundheitsbewussten Verhaltens i. S. d. § 65a Abs. 1a SGB V. Damit wurde ausweislich der Gesetzesbegründung eine datenschutzrechtliche Befugnis der Krankenkassen geschaffen, mit der diese die von ihnen bereits rechtmäßig erhobenen und gespeicherten Daten zur Vereinfachung des Nachweises über das Vorliegen der Anspruchsvoraussetzungen der Bonusgewährung verarbeiten können.176 Die Rechtsgrundlage kann sich hinsichtlich der Verarbeitung besonderer 171 BT-Drucksache 18/9243, S. 6; Klose, in: Stiftung Datenschutz, Big Data und E-Health, S. 105. 172 Leopold, in: KassKomm Sozialversicherungsrecht, § 284 Rn. 17; Brönneke / Kipker, GesR 2015, 211 (215). 173 Brönneke / Kipker, GesR 2015, 211 (215). 174 Brönneke / Kipker, GesR 2015, 211 (214 f.); Fleischer, Rechtliche Aspekte der System medizin, S. 151. 175 Dieser wurde zwischenzeitlich mit Inkrafttreten des Masernschutzgesetzes am 1. März 2020 versehentlich wieder gestrichen und sodann mit dem Zweiten Gesetz zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite mit Wirkung zum 23. Mai 2020 wieder in das SGB V eingefügt, s. dazu Scholz, in: BeckOK Sozialrecht, § 65a SGB V Rn. 1a. 176 BT-Drs. 19/13438, S. 45.
344
Kap. 6: Datenschutzrechtliche Anforderungen in der Gesundheitsversorgung
Kategorien personenbezogener Daten auf Art. 9 Abs. 2 lit. b und h DSGVO stützen.177 Die Befugnis der Krankenkassen zur Datenverarbeitung ist dabei auf bei den Krankenkassen ohnehin vorliegende Daten beschränkt, eine Neuerhebung ist hingegen unzulässig.178 Sie betrifft etwa Daten, die zur Prüfung der Kostenerstattung für Leistungen der verhaltensbezogenen Prävention bzw. der Inanspruchnahme von vergleichbaren gesundheitsbezogenen Angeboten zur Förderung eines gesundheitsbewussten Verhaltens erhoben wurden.179 Der Verweis in § 65a Abs. 1 S. 2 SGB V auf die nach § 284 Abs. 1 SGB V durch die Krankenkassen rechtmäßig erhobenen und gespeicherten versichertenbezogenen Daten schließt somit auch die nach § 284 Abs. 1 S. 1 Nr. 4 SGB V zur Prüfung der Leistungspflicht erhobenen Daten zu Nutzungsumfang und -frequenz der App ein. Vor diesem Hintergrund geht der GKV-Spitzenverband zutreffend davon aus, dass § 65a Abs. 1 S. 2 SGB V allein klarstellenden Charakter haben könne, da die Krankenkassen die bei ihnen rechtmäßig nach § 284 Abs. 1 SGB V gespeicherten Daten für die Prüfung der Voraussetzungen einer Bonusgewährung ohnehin bereits nach geltendem Recht verarbeiten könnten, wenn die Datennutzung dafür erforderlich sei.180
D. Fazit Kapitel 6 Gesundheits-Apps generieren in erheblichem Umfang als besonders sensibel einzustufende Gesundheitsdaten. Dem Datenschutz kommt daher in der rechtlichen Regulierung von Gesundheits-Apps eine zentrale Bedeutung zu. Dies gilt umso mehr, als mit § 33a SGB V ein neuer Leistungsanspruch der Versicherten auf die Versorgung mit digitalen Gesundheitsanwendungen in das SGB V eingeführt worden ist. Vor dem Hintergrund dieses neu etablierten Leistungsanspruchs ist anzunehmen, dass der Einsatz von Gesundheits-Apps in der Gesundheitsversorgung weiter zunehmen wird. Klärungsbedarf besteht vor dem Hintergrund der mit der Qualifikation als datenschutzrechtlich Verantwortlichem verbundenen weitreichenden Konsequenzen vor allem hinsichtlich der datenschutzrechtlichen Verantwortlichkeit für digitale Gesundheitsanwendungen. Nachdem der EuGH in mehreren Urteilen ein weites Verständnis der gemeinsamen Verantwortlichkeit i. S. d. Art. 26 DSGVO vertreten hat, scheint es zumindest nicht von vornherein ausgeschlossen, auch Ärzte und DiGA-Hersteller als gemeinsam Verantwortliche einzuordnen. Nach 177
BT-Drs. 19/13438, S. 45. BT-Drs. 19/13438, S. 46; Scholz, in: BeckOK Sozialrecht, § 65a SGB V Rn. 1a. 179 BT-Drs. 19/13438, S. 46. 180 GKV-Spitzenverband, Stellungnahme v. 11. Oktober 2019 zum Gesetzentwurf des DVG, S. 27, abrufbar unter: https://gkv-spitzenverband.de/gkv_spitzenverband/presse/stellungnahmen/ stellungnahmen.jsp; so auch AOK Bundesverband, Stellungnahme v. 17. Juni 2019 zum Referentenentwurf des DVG, S. 18, abrufbar unter: https://www.aok-bv.de/positionen/stellung nahmen/. 178
D. Fazit Kapitel 6
345
der gesetzlich vorgesehenen Rollenverteilung spricht jedoch einiges für die Qualifizierung als getrennt Verantwortliche.181 Für mehr Rechtssicherheit würde es sicherlich sorgen, wenn der Bundesgesetzgeber gestützt auf die Öffnungsklausel in Art. 4 Nr. 7 Hs. 2 DSGVO eine Regelung in das SGB aufnehmen würde, die die datenschutzrechtliche Verantwortlichkeit für digitale Gesundheitsanwendungen gesetzlich regelt. Vorbild kann insofern die im Zuge des Patientendaten-SchutzGesetzes in das SGB V aufgenommene Regelung des § 307 SGB V sein, mit der der Gesetzgeber eine lückenlose gesetzliche Regelung der datenschutzrechtlichen Verantwortlichkeit für die Datenverarbeitung im Rahmen der Telematikinfrastruktur bezweckt.182 Da die Speicherung der Daten selten in den Endgeräten selbst erfolgt, sondern diese oftmals auf externe Speichermedien ausgelagert werden, ist auch die Frage der datenschutzrechtlichen Zulässigkeit der Auslagerung von Versichertendaten in einer Cloud von großer Bedeutung.183 Hier wirkt es sich nun mehr als ohnehin schon aus, dass der EuGH das EU-US-Privacy Shield als Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA mit der Entscheidung „Schrems II“184 für ungültig erklärt hat.185 Denn für Hersteller digitaler Gesundheitsanwendungen beschränkt § 4 Abs. 3 DiGAV die Übermittlung personenbezogener Daten an Drittländer auf das Vorliegen eines solchen Angemessenheitsbeschlusses.186 Die ansonsten im Regelfall herangezogenen Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO stellen somit keine Alternative für die Übermittlung der Daten in die USA dar. Daher müssen DiGA-Hersteller zumindest vorerst auf die Übermittlung personenbezogener Daten von Versicherten an Cloud-Server in den Vereinigten Staaten verzichten und darauf hoffen, dass die EU-Kommission zeitnah eine Nachfolgeregelung für das EU-US-Privacy Shield beschließt. Bereits im August 2020 haben die EU-Kommission und das US-Handels ministerium Gespräche aufgenommen, um über ein neues Datenschutzabkommen zu verhandeln.187 In einer am 26. März 2021 veröffentlichten gemeinsamen Presseerklärung von EU-Justizkommissar Didier Reynders und US-Handelsministerin Gina Raimondo wurde nun die Absicht erklärt, die Verhandlungen über einen verbesserten Rahmen für den EU-US-Datenschutzschild zu intensivieren.188 Daneben ist es nach dem vom BfArM veröffentlichten Informationspapier unter ge 181
S. dazu ausführlich unter Kap. 6 B. II. (S. 323 ff.). BT-Drs. 19/18793, S. 4. 183 Heimhalt / Rehmann, MPR 2014, 197 (204); Kuhls / Starnecker, JurisPR-ITR 20/2015, Anm. 2. 184 EuGH, Urt. v. 16. Juli 2020 – C-311/18, NJW 2020, 2613 (2613 ff.) – Schrems II. 185 S. dazu ausführlich unter Kap. 6 B. III. 1. b) cc), (S. 336). 186 S. dazu ausführlich unter Kap. 6 B. III. 1. b) bb), (S. 334). 187 Die gemeinsame Presseerklärung ist abrufbar unter: https://ec.europa.eu/info/news/jointpress-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commercewilbur-ross-7-august-2020-2020-aug-07_en. 188 Die gemeinsame Presseerklärung ist abrufbar unter: https://ec.europa.eu/commission/ presscorner/detail/de/STATEMENT_21_1443. 182
346
Kap. 6: Datenschutzrechtliche Anforderungen in der Gesundheitsversorgung
wissen Voraussetzungen zumindest möglich, EU-Niederlassungen von US-amerikanischen Unternehmen zur Verarbeitung personenbezogener Daten einzusetzen.189 Insgesamt gilt, dass Vertrauen in die digitalen Anwendungen nur entstehen kann, wenn die einschlägigen Datenschutzvorschriften eingehalten werden.190 Dabei gelten auch für digitale Anwendungen die allgemeinen datenschutzrechtlichen Vorgaben aus der DSGVO und dem BDSG n. F. Daneben sind jedoch insbesondere auch die speziellen Vorgaben in der DiGAV und im SGB V zu beachten, die oftmals strengere datenschutzrechtliche Anforderungen aufstellen.
189 BfArM, Informationspapier zur Zulässigkeit der Datenverarbeitung außerhalb Deutschlands v. 28. Janaur 2021, Stand 31. Mai 2021, abrufbar unter: https://www.bfarm.de/Shared Docs/Downloads/DE/Medizinprodukte/Datenverarbeitung_ausserhalb_Deutschlands_FAQ. html; s. dazu ausführlich unter Kap. 6 B. III. 1. b) dd), (S. 337). 190 Kuhls / Starnecker, JurisPR-ITR 20/2015, Anm. 2.
Kapitel 7
Datenschutz in der medizinischen Forschung unter der DSGVO Die Auswertung großer Mengen von Gesundheitsdaten verspricht einen Zuwachs an neuen Erkenntnissen in der medizinischen Forschung.1 Sie soll nicht nur zu einem verbesserten Verständnis bestimmter Erkrankungen beitragen, sondern auch präventive, diagnostische und therapeutische Möglichkeiten in der medizinischen Praxis optimieren, um insgesamt eine bessere Patientenversorgung gewährleisten zu können.2 Um dieses Ziel zu erreichen, benötigt die medizinische Forschung personenbezogene Daten und Möglichkeiten, diese zu verknüpfen und auszuwerten.3
A. Grundrechtskonflikt im Rahmen der Forschung mit personenbezogenen Daten Im Rahmen der Datenverarbeitung zu Forschungszwecken geraten Grundrechte zueinander in Konflikt.4 Konkret handelt es sich im Forschungsbereich um die Konstellation einer Grundrechtskollision zwischen dem Recht auf informationelle Selbstbestimmung der betroffenen Person als spezifische Ausprägung des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG bzw. dem Grundrecht auf Schutz personenbezogener Daten nach Art. 8 GRCh einerseits sowie der verfassungsrechtlich geschützten Forschungsfreiheit nach Art. 13 S. 1 GRCh, Art. 5 Abs. 3 S. 1 GG und dem Gesundheitsschutz zukünftiger Patienten nach Art. 35 GRCh, Art. 2 Abs. 2 S. 1 GG andererseits. Erfordert ein Forschungsprojekt die Auswertung personenbezogener Daten, so stellt jede Verarbeitung dieser Daten einen rechtfertigungsbedürftigen Eingriff in das Recht auf informationelle Selbstbestimmung der betroffenen Person dar.5 Das Recht auf informationelle Selbstbestimmung ist jedoch nicht schrankenlos 1
Deutscher Ethikrat, Stellungnahme Big Data und Gesundheit, S. 90; Weichert / Krawczak, GMS Medizinische Informatik, Biometrie und Epidemiologie 2019, Vol. 15(1), S. 3. 2 Deutscher Ethikrat, Stellungnahme Big Data und Gesundheit, S. 90; Jäschke / Vogel, in: Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen, S. 12. 3 Roßnagel, ZD 2019, 157 (158); Jülicher, Medizininformationsrecht, S. 210 f. 4 Weichert, ZD 2020, 18 (18); Roßnagel, ZD 2019, 157 (158); Geminn, DuD 2018, 640 (640 f.); Buchner / Kipker, in: Lenk / Duttge / Fangerau, Handbuch Ethik und Recht, S. 507. 5 Desoi / Jandt, DuD 2012, 895 (896); Jülicher, Medizininformationsrecht, S. 212.
348
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
gewährleistet, vielmehr muss der Einzelne Einschränkungen seines Rechts auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse hinnehmen.6 Dazu bedarf es einer verfassungsgemäßen normenklaren gesetzlichen Grundlage, die den Grundsatz der Verhältnismäßigkeit wahrt.7 Ein verfassungsrechtliches Gegengewicht, das auf dieser Basis Eingriffe in das Recht auf informationelle Selbstbestimmung rechtfertigen kann, bildet vor allem die in Art. 13 S. 1 GRCh und Art. 5 Abs. 3 S. 1 GG enthaltene Gewährleistung der Forschungsfreiheit. Der Datenschutz muss die „Schlüsselfunktion, die einer freien Wissenschaft sowohl für die Selbstverwirklichung des Einzelnen als auch für die gesamtgesellschaftliche Entwicklung zukommt“8, berücksichtigen.9 Allerdings findet die an sich schrankenlos gewährleistete Forschungsfreiheit ihre Grenzen ihrerseits in den Rechten Dritter, insbesondere in dem Recht auf Schutz personenbezogener Daten.10 Diese Grundrechte beschränken sich somit gegenseitig und müssen im Konflikt miteinander im Wege der praktischen Konkordanz zur jeweils bestmöglichen Geltung gelangen.11 Ein weiteres normatives Gegengewicht zum Recht auf informationelle Selbstbestimmung bilden der Gegenstand bzw. die erhofften Folgen der medizinischen Forschung in Form des Lebens und der Gesundheit zukünftiger Patienten, Art. 2 Abs. 2 S. 1 GG. Leben und Gesundheit als Verfassungsgut mit „Höchstwert“12 innerhalb der grundgesetzlichen Ordnung verfügen über das normative Gewicht, um Eingriffe in die informationelle Selbstbestimmung verfassungsrechtlich zu rechtfertigen.13 In der im Rahmen der Verhältnismäßigkeit vorzunehmenden Güterabwägung ist allerdings zu berücksichtigen, dass die einzelne Datenverarbeitung zu Forschungszwecken nicht unmittelbar zu einem Nutzen für die Gesundheit zukünftiger Patienten führt. Es wird regelmäßig viel Zeit vergehen, bis genügend Daten ausgewertet sind, aus denen neue medizinische Erkenntnisse gewonnen werden können, die sodann für Diagnostik und Therapie genutzt werden können. Zudem wird sich der erzielte gesundheitliche Nutzen je nach Forschungsvorhaben unterscheiden. Ein Eingriff in das informationelle Selbstbestimmungsrecht kann daher nicht pauschal durch den Verweis auf Art. 2 Abs. 2 S. 1 GG gerechtfertigt werden, denn dieses Verfassungsgut genießt keinen uneingeschränkten
6
BVerfGE 65, 1 (44) – Volkszählung. BVerfGE 65, 1 (44) – Volkszählung; Weichert, ZD 2020, 18 (18). 8 BVerfGE 35, 79 (114). 9 Roßnagel, ZD 2019, 157 (159); Weichert, ZD 2020, 18 (19). 10 Di Fabio, in: Maunz / Dürig, GG-Kommentar, Art. 2 Abs. 1 GG Rn. 247; Roßnagel, ZD 2019, 157 (159); Jülicher, Medizininformationsrecht, S. 212; Weichert, ZD 2020, 18 (19); Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 89 DSGVO Rn. 3; Raum, in: Ehmann / Selmayr, DSGVO, Art. 89 DSGVO Rn. 7; Gerling, in: Roßnagel, Handbuch Datenschutzrecht, Kap. 7.10 Rn. 6. 11 Desoi / Jandt, DuD 2012, 895 (896). 12 BVerfGE 39, 1 (42); E 49, 24 (53). 13 v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 87. 7
A. Grundrechtskonflikt mit personenbezogenen Daten
349
Vorrang vor dem Recht auf informationelle Selbstbestimmung.14 Leben und Gesundheit als Verfassungsgut bedingen daher keine Eingriffsrechtfertigung per Automatismus.15 Vielmehr wird eine Rechtfertigung umso eher gelingen, je höher das Potential für einen gesundheitlichen Nutzen der medizinischen Forschung ist und je geringer die Intensität des Eingriffs in das Recht auf informationelle Selbstbestimmung ist.16 Das einfachrechtliche Datenschutzrecht muss dementsprechend die konfligierenden Grundrechtspositionen in Form der informationellen Selbstbestimmung der betroffenen Person einerseits sowie der Forschungsfreiheit der datenverarbeitenden Stellen und des Gesundheitsschutzes der Bevölkerung andererseits zu einem verhältnismäßigen Ausgleich bringen. Die DSGVO begegnet diesem Konflikt, indem sie zum einen an verschiedenen Stellen der Verordnung Privilegierungen gegenüber anderen Zwecken der Datenverarbeitung gewährt und zum anderen die Gewährleistung besonderer Garantien für Grundrechte und Grundfreiheiten vorschreibt.17 Der wesentliche Grund für die Privilegierung der wissenschaftlichen Forschung liegt darin, dass die Datenverarbeitung für Forschungszwecke neben den Interessen des Verantwortlichen gleichzeitig auch dem öffentlichen Interesse der Gesamtgesellschaft insgesamt dient.18 Die DSGVO beabsichtigt damit, „die legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs“19 bei der Abwägungsentscheidung zwischen Verarbeitungs- und Privatheitsinteressen gebührend zu würdigen.20 Konkret sieht die DSGVO in Art. 5 Abs. 1 lit. b Hs. 2 DSGVO eine Einschränkung der Zweckbindung für die Weiterverarbeitung von Daten zu Forschungszwecken sowie in Art. 5 Abs. 1 lit. e Hs. 2 DSGVO eine Privilegierung bezogen auf die Speicherbegrenzung vor. Daneben statuiert Art. 9 Abs. 2 lit. j DSGVO eine Ausnahme vom Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten für wissenschaftliche Forschungszwecke und der EG 33 DSGVO sieht eine Reduzierung der Anforderungen an die Zweckbestimmtheit für Einwilligungen in die Datenverarbeitung zu Forschungszwecken vor. Zudem sind Einschränkungen der Betroffenenrechte vorgesehen bzw. den Mitgliedstaaten wird die Möglichkeit eröffnet, selbst weitere Einschränkungen der Rechte der betroffenen Person festzu-
14 So Jülicher, Medizininformationsrecht, S. 212 zutreffenderweise auch in Bezug auf die Forschungsfreiheit. 15 v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 87. 16 v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 87. 17 Roßnagel, ZD 2019, 157 (159); Geminn, DuD 2018, 640 (641). 18 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1347; Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 5 DSGVO Rn. 52; Weichert, ZD 2020, 18 (21); ders., in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, Art. 5 DSGVO Rn. 44; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 86; GMDS / GDD, Datenschutzrechtliche Anforderungen an die medizinische Forschung unter Berücksichtigung der DSGVO, S. 5. 19 EG 113 S. 4 DSGVO. 20 Martini, in: Paal / Pauly, DSGVO BDSG, Art. 21 DSGVO Rn. 55.
350
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
legen.21 Zum Ausgleich dieser Privilegierungen fordert Art. 89 Abs. 1 DSGVO „geeignete Garantien für die Rechte und Freiheiten der betroffenen Person“.22 Diese Garantien sollen durch technische und organisatorische Maßnahmen, wie der Anonymisierung oder Pseudonymisierung der Daten, sicherstellen, dass insbesondere die Achtung des Grundsatzes der Datenminimierung gewahrt wird.23 Art. 89 Abs. 1 DSGVO dient daher dem Ausgleich der gegensätzlichen Interessen des Verantwortlichen an der Zulässigkeit der Verarbeitung personenbezogener Daten zu Forschungszwecken einerseits und der betroffenen Personen an einem Ausschluss solcher Verarbeitungen andererseits.24 Mit den in der DSGVO vorgesehenen weitreichenden Öffnungsklauseln für die Verarbeitung besonderer Kategorien personenbezogener Daten zu wissenschaftlichen Forschungszwecken in Art. 9 Abs. 2 lit. j DSGVO sowie Art. 89 DSGVO gibt die DSGVO die äußeren Rahmenbedingungen für die nationale Umsetzung vor und überlässt die gesetzliche Ausgestaltung der Forschungsregelungen im Übrigen in weiten Teilen dem nationalen Gesetzgeber.25 Daher ist im Bereich der wissenschaftlichen Forschung auch weiterhin das nationale Recht zu beachten,26 welches sich in Deutschland in das allgemeine Datenschutzrecht auf Bundes- und Landesebene sowie das bereichsspezifische Datenschutzrecht gliedert. Vor diesem Hintergrund wird im Folgenden untersucht, wie die datenschutzrechtlichen Regelungen der DSGVO den Zielkonflikt zwischen dem Schutz der betroffenen Personen und der Forschung mit personenbezogenen Daten im Einzelnen zum Ausgleich bringen und wie die nationale Rechtslage den von der DSGVO vorgegebenen Rahmen ausfüllt.
B. Der Begriff der wissenschaftlichen Forschung in der DSGVO Bevor darauf im Detail eingegangen wird, ist zunächst zu klären, was die DSGVO selbst unter wissenschaftlichen Forschungszwecken versteht und welche Bedingungen mithin erfüllt sein müssen, um von den in der DSGVO vorgesehenen Privilegierungen erfasst zu werden.
21
Roßnagel, ZD 2019, 157 (159); Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 86; Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 89 DSGVO Rn. 4; Geminn, DuD 2018, 640 (641 f.); Johannes / Richter, DuD 2017, 300 (300). 22 Roßnagel, ZD 2019, 157 (159); Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 89 DSGVO Rn. 1. 23 Roßnagel, ZD 2019, 157 (159). 24 Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 89 DSGVO Rn. 3. 25 GMDS / GDD, Positionspapier zur Neugestaltung der datenschutzrechtlichen Regelungen, S. 3. 26 Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 8.
B. Der Begriff der wissenschaftlichen Forschung in der DSGVO
351
Diesbezüglich ist festzuhalten, dass die DSGVO den Begriff der wissenschaftlichen Forschung im Normtext selbst nicht definiert.27 Der EG 159 S. 2 DSGVO verdeutlicht aber, dass das Tatbestandsmerkmal „wissenschaftliche Forschungszwecke“ weit ausgelegt werden sollte und etwa die Grundlagenforschung, die angewandte Forschung und auch die privat finanzierte Forschung umfassen soll.28 Der Unionsgesetzgeber differenziert mithin nicht zwischen öffentlicher Forschung an staatlichen Forschungseinrichtungen einerseits und privatwirtschaftlicher Forschung andererseits.29 Es ist daher nicht von Bedeutung, wer die Forschung finanziert oder trägt.30 Entscheidend ist vielmehr, dass eine externe Einflussnahme auf den wissenschaftlichen Erkenntnisprozess oder eine Unterordnung unter rein wirtschaftliche Interessen ausgeschlossen ist.31 Allein der Umstand, dass eine dritte Stelle, die selbst Interesse an den Forschungserkenntnissen hat, ein Forschungsvorhaben finanziert, beeinträchtigt die Unabhängigkeit dabei noch nicht.32 Die Grenze ist jedoch dort überschritten, wo der Einfluss des Auftraggebers die Unabhängigkeit des Forschenden aushöhlt, etwa weil unternehmerische Zielvorgaben an die Stelle wissenschaftlicher Methodik treten.33 Die Privilegierung ist daher dann nicht gerechtfertigt, wenn es an der wissenschaftlichen Methode fehlt oder andere Zwecke als das Streben nach Erkenntnis verfolgt werden.34 In Betracht kommt eine Privilegierung bei privat finanzierter Forschung folglich nur dann, wenn die Transparenz des Forschungsprozesses und der Ergebnisse, die Unabhängigkeit der Forschenden sowie das Ziel eines Erkenntnisgewinns im Allgemeininteresse gewahrt sind.35 Daran wird deutlich, dass die Finanzierung durch Drittmittel die Unabhängigkeit der Forschung zwar grundsätzlich beeinträchtigen kann, dies jedoch nicht zwingend der Fall sein muss.36 Auch schließen diese Vorgaben die auf die Produktentwicklung ausgerichtete Forschung, etwa in der Pharmaindustrie, nicht von vornherein von der Privilegierung der DSGVO aus.37 Das gilt jedenfalls dann, wenn sie den Anforderungen wissenschaftlich unabhängiger und erkenntnis-
27 Golla, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 23 Rn. 14; Weichert, ZD 2020, 18 (18). 28 Buchner / Tinnefeld, in: Kühling / Buchner, DSGVO BDSG, Art. 89 DSGVO Rn. 12; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 88; Werkmeister / Schwaab, CR 2019, 85 (85); Spranger / Schulz, PharmR 2017, 128 (129). 29 Spranger / Schulz, PharmR 2017, 128 (129); Garbe, in: Ratzel / Luxenburger, Handbuch Medizinrecht, Kap. 24 Rn. 92. 30 Nolte, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 89 DSGVO Rn. 21. 31 Weichert, ZD 2020, 18 (19); Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 129; Geminn, DuD 2018, 640 (643). 32 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 129. 33 Martini / Hohmann, NJW 2020, 3573 (3576). 34 Weichert, in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, Art. 89 DSGVO Rn. 13. 35 Buchner / Tinnefeld, in: Kühling / Buchner, DSGVO BDSG, Art. 89 DSGVO Rn. 13. 36 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 129; Weichert, ZD 2020, 18 (20). 37 Martini / Hohmann, NJW 2020, 3573 (3576); Weichert, ZD 2020, 18 (20).
352
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
getriebener Forschung genügt.38 Ausgenommen ist dieser Forschungsbereich aber spätestens dann, wenn die Produktentwicklung den Forschungszweck gänzlich marginalisiert.39 Die Aussage, dass der Begriff der Forschungszwecke weit auszulegen ist, bezieht sich daher auf die inhaltlichen Fragestellungen der Forschung, nicht hingegen auf die Methoden und die verfolgten Zwecke.40 In diesem Sinne geben die Erwägungsgründe auch keine Beschränkung auf bestimmte Disziplinen oder Forschungsrichtungen vor.41 In EG 157 DSGVO sind exemplarisch einige Forschungsbereiche aufgeführt, wie etwa die medizinische und die sozialwissenschaftliche Forschung. Die wissenschaftlichen Forschungszwecke sollen nach EG 159 S. 4 DSGVO daneben auch Studien umfassen, die im öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchgeführt werden. Damit sind auch klinische Prüfungen42 sowie Forschungsvorhaben der Krankenkassen43 umfasst. Verarbeiten Forschungseinrichtungen somit personenbezogene Daten zu den grundsätzlich weit auszulegenden wissenschaftlichen Forschungszwecken, können sie sich auf die in der DSGVO statuierten Privilegierungen berufen.
C. Sonderregelungen für die wissenschaftliche Forschung hinsichtlich Zweckbindung und Speicherbegrenzung Die DSGVO privilegiert die Datenverarbeitung zu wissenschaftlichen Forschungszwecken, indem sie Einschränkungen der allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 DSGVO vorsieht. So unterliegen datenverarbeitende Stellen bei der Verarbeitung personenbezogener Daten zu Forschungszwecken weniger strengen Anforderungen hinsichtlich der Zweckbindung und Speicherdauer.44
I. Einschränkung des Zweckbindungsgrundsatzes Gerade in der medizinischen Forschung ist es oftmals erforderlich, große Datenmengen auszuwerten. Dazu greift die Forschung auf vielfältige Datenquellen zurück und speist sich als sog. Sekundärnutzung häufig aus bereits bestehenden Datensätzen, wie etwa aus solchen, die zum Zweck der Durchführung des Behandlungsverhältnisses erhoben wurden, zum Teil aber auch aus eigenen Datenerhebun 38
Weichert, ZD 2020, 18 (20); Hornung / Hofmann, ZD-Beil. 2017, 1 (5); Caspar, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 89 DSGVO Rn. 12, 16. 39 Martini / Hohmann, NJW 2020, 3573 (3576). 40 Weichert, in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, Art. 89 DSGVO Rn. 13. 41 Nolte, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 89 DSGVO Rn. 19. 42 Bischoff / Wiencke, ZD 2019, 8 (11). 43 Geminn, DuD 2018, 640 (644). 44 Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 89 DSGVO Rn. 10; Roßnagel, ZD 2019, 157 (159).
C. Sonderregelungen für die wissenschaftliche Forschung
353
gen.45 Wenn Daten, die ursprünglich zu Behandlungzwecken erhoben wurden, zu Zwecken der Forschung weiterverarbeitet werden, liegt eine Zweckänderung in Bezug auf den Primärzweck vor.46 Somit stellt sich im Forschungskontext häufig die Frage, unter welchen Voraussetzungen personenbezogene Daten nach deren Erhebung für einen anderen Zweck als jenen der Datenerhebung weiterverarbeitet werden dürfen.47 Eines der zentralen datenschutzrechtlichen Prinzipien ist die Zweckbindung der Daten.48 Diese findet ihre verfassungsrechtliche Grundlage in Art. 8 Abs. 2 S. 1 GRCh und gilt auch unter der DSGVO weiterhin als „tragende Säule des Datenschutzrechts“49. Danach gilt die Erlaubnis zur Datenverarbeitung nur für den Zweck, den der Verantwortliche bei der Erhebung eindeutig festgelegt hat.50 Jeder Verarbeitungsvorgang muss folglich den bei der Erhebung der Daten festgelegten Zwecken entsprechen.51 Dieses Prinzip der Zweckbindung hat die DSGVO jedoch teilweise eingeschränkt.52 Dies gilt zum einen im Hinblick auf Art. 5 Abs. 1 lit. b Hs. 1 DSGVO, der vorgibt, dass die Daten nur für „festgelegte, eindeutige und legitime Zwecke erhoben werden und […] nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“ dürfen. Damit statuiert der in Art. 5 Abs. 1 lit. b Hs. 1 DSGVO festgelegte Grundsatz der Zweckbindung keine generelle Unzulässigkeit von Verarbeitungen zu geänderten Zwecken, sondern verbietet lediglich die Weiterverarbeitung zu mit dem Erhebungszweck nicht zu vereinbarenden Zwecken.53 Die zweckändernde Weiterverarbeitung ist somit nicht gänzlich ausgeschlossen, vielmehr sind Zweckänderungen in bestimmten Grenzen zulässig.54 Ändert sich der Zweck im Laufe der Verarbeitung, so darf die Verarbeitung zu dem neuen Zweck mit dem bei der Datenerhebung festgelegten Zweck „nicht unvereinbar“ sein.55 Die Frage, ob der Zweck der Weiterverabeitung mit dem 45
Weichert, DuD 2014, 831 (833); Werkmeister / Schwaab, CR 2019, 85 (88); Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 50; Raum, in: Ehmann / Selmayr, DSGVO, Art. 89 DSGVO Rn. 27. 46 Schneider, Sekundärnutzung klinischer Daten, S. 41; Jülicher, Medizininformationsrecht, S. 215; Roßnagel, ZD 2019, 157 (162); Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 274. 47 Piltz, K&R 2016, 557 (566). 48 Die Art. 29-Datenschutzgruppe, Opinion 03/2013 on purpose limitation, WP 203 v. 02. April 2013, S. 4 bezeichnete die Zweckbindung als „cornerstone of data protection“; DSK, Erfahrungsbericht zur Anwendung der DSGVO, S. 13; Roßnagel, ZD 2018, 339 (340); Culik / Döpke, ZD 2017, 226 (227). 49 Gola, in: Gola, DSGVO, Einl. Rn. 35; Weichert, in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, Art. 5 DSGVO Rn. 28. 50 Roßnagel, ZD 2018, 339 (340). 51 Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 5 DSGVO Rn. 16. 52 Roßnagel, ZD 2018, 339 (340); Gola, in: Gola, DSGVO, Einl. Rn. 35 spricht von einer „Durchbrechung der Zweckbindung“. 53 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 25. 54 Dochow, in: Dochow et al., Datenschutz in der ärztlichen Praxis, S. 25. 55 Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 128.
354
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
ursprünglich verfolgten Zweck vereinbar ist, regelt Art. 6 Abs. 4 Hs. 2 DSGVO.56 Dieser gibt dem Verantwortlichen nicht abschließend aufgeführte Kriterien an die Hand, mit deren Hilfe festgestellt werden kann, ob die Verarbeitung zu einem anderen Zweck mit dem Erhebungszweck kompatibel ist, sog. Kompatibilitätstest.57 Eine Einschränkung des Zweckbindungsgrundsatzes gilt zum anderen insbesondere auch im Hinblick auf Art. 5 Abs. 1 lit. b Hs. 2 DSGVO, der vorsieht, dass „eine Weiterverarbeitung […] für wissenschaftliche oder historische Forschungszwecke […] gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken“ gilt.58 Im Hinblick auf wissenschaftliche Forschungszwecke findet sich in Art. 5 Abs. 1 lit. b Hs. 2 DSGVO somit eine spezielle Regelung zur Vereinbarkeit des neuen Verarbeitungszwecks mit dem ursprünglichen Erhebungszweck.59 Wie weitgehend diese Privilegierung im Einzelnen zu verstehen ist, wird indes sehr kontrovers diskutiert. 1. Keine Prüfung der Vereinbarkeit von Primär- und Sekundärzweck bei der Weiterverarbeitung zu Forschungszwecken Zunächst ist umstritten, ob die Formulierung „gilt […] nicht als unvereinbar“ in Art. 5 Abs. 1 lit. b Hs. 2 DSGVO dahingehend auszulegen ist, dass eine Weiterverarbeitung zu Forschungszwecken als stets mit dem Erhebungszweck kompatibel i. S. d. Art. 6 Abs. 4 DSGVO anzusehen ist oder ob es vielmehr auch in diesem Fall einer Vereinbarkeitsprüfung bedarf.60 So wird einerseits angenommen, dass Art. 5 Abs. 1 lit. b Hs. 2 DSGVO eine unwiderlegliche Vermutung61 bzw. eine Fiktion der Vereinbarkeit62 darstelle und mithin die Prüfung der Vereinbarkeit des Sekundärzwecks mit dem Primärzweck i. S. v. Art. 6 Abs. 4 Hs. 2 DSGVO gänzlich entfalle. 56
Roßnagel, ZD 2018, 339 (340); ders., in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 4 DSGVO Rn. 32 ff.; Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 DSGVO Rn. 48; Reimer, in: Sydow, DSGVO, Art. 5 DSGVO Rn. 26; Schantz, in: BeckOK Datenschutzrecht, Art. 5 DSGVO Rn. 21 m. w. N. 57 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 69; Culik / Döpke, ZD 2017, 226 (229); Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1590); Dammann, ZD 2016, 307 (312); Piltz, K&R 2016, 557 (556). 58 Diese Einschränkung wird dogmatisch einerseits als praktische Umsetzung des Prinzips praktischer Konkordanz der Grundrechtsverwirklichung eingeordnet, Weichert, in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, Art. 5 DSGVO Rn. 44, andererseits aber auch als „Einfallstor“ für die Aufweichung des Prinzips der Zweckbindung bezeichnet, Buchner, DuD 2016, 155 (157); Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 5 DSGVO Rn. 33. 59 Bischoff, PharmR 2019, 265 (270). 60 Spindler / Dalby, in: Spindler / Schuster, Recht der elektronischen Medien, Art. 6 DSGVO Rn. 24. 61 Reimer, in: Sydow, DSGVO, Art. 5 DSGVO Rn. 27; Greve, in: Auernhammer, DSGVO BDSG, § 27 BDSG Rn. 15; Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 DSGVO Rn. 93; Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 218. 62 Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 5 DSGVO Rn. 50; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 5 DSGVO Rn. 32; Schantz, in: BeckOK Datenschutzrecht, Art. 5 DSGVO Rn. 22; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1352.
C. Sonderregelungen für die wissenschaftliche Forschung
355
Denn die Weiterverarbeitung für wissenschaftliche Forschungszwecke fiele aus dem normativen Anwendungsbereich des ansonsten gemäß Art. 5 Abs. 1 lit. b Hs. 1 DSGVO erforderlichen Kompatibilitätstests heraus.63 Andererseits wird vertreten, dass die doppelte Verneinung darauf hindeute, dass eine Weiterverarbeitung zu Forschungszwecken zwar nicht stets, aber im Regelfall mit den ursprünglichen Zwecken vereinbar sei.64 Eine Ausnahme von der Vereinbarkeit sei im Einzelfall beispielsweise denkbar, wenn schwere Folgen der beabsichigten Weiterverarbeitung zu erwarten seien.65 In solchen Einzelfällen sei dann ausnahmsweise doch eine erneute Prüfung der Zweckvereinbarkeit erforderlich, die anhand der Vorgaben des Art. 6 Abs. 4 DSGVO durchzuführen sei.66 Daher sei von einer „Flexibilisierung des Zweckbindungsgrundsatzes“67 auszugehen.68 Die Formulierung der Norm, dass die zweckändernde Weiterverarbeitung „nicht als unvereinbar“ mit den ursprünglichen Zwecken gilt, indiziert zunächst, dass im Einzelfall auch Rückausnahmen von der formulierten Regel möglich sind.69 Dann wäre zwar im Regelfall davon auszugehen, dass eine Vereinbarkeit der Zwecke gegeben ist,70 der Verantwortliche wäre jedoch nicht stets davon befreit, die Vereinbarkeit des Sekundärzwecks mit dem Primärzweck i. S. d. Art. 6 Abs. 4 Hs. 2 DSGVO zu prüfen.71 Allerdings geht die DSGVO in EG 50 S. 4 DSGVO selbst davon 63
Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 70. Golla, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 23 Rn. 57; Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 5 DSGVO Rn. 17, Art. 6 DSGVO Rn. 53; Johannes / Richter, DuD 2017, 300 (301); Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 DSGVO Rn. 109; Johannes, in: Roßnagel, Das neue Datenschutzrecht, § 7 Rn. 250; Spindler / Dalby, in: Spindler / Schuster, Recht der elektronischen Medien, Art. 6 DSGVO Rn. 24, Art. 5 DSGVO Rn. 10. 65 Johannes / Richter, DuD 2017, 300 (301); Geminn, DuD 2018, 640 (641). 66 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 DSGVO Rn. 109; GMDS / GDD, Datenschutz bei klinischen Studien, S. 18, abrufbar unter: https://gesundheits datenschutz.org/html/klin_studien.php. 67 Johannes / Richter, DuD 2017, 300 (301). 68 Geminn, DuD 2018, 640 (641); Johannes, in: Roßnagel, Das neue Datenschutzrecht, § 7 Rn. 250. 69 Geminn, DuD 2018, 640 (641); Johannes / Richter, DuD 2017, 300 (301); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 199; Golla, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 23 Rn. 57. 70 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 DSGVO Rn. 109; ders., ZD 2019, 157 (162). 71 Roßnagel, ZD 2019, 157 (162); Bischoff, PharmR 2019, 265 (271); da Art. 6 Abs. 4 lit. c DSGVO als Kriterium zur Beurteilung der Kompatibilität ausdrücklich auf Art. 9 DSGVO verweist, wird entsprechend der Normsystematik überwiegend angenommen, dass die Kriterien des Art. 6 Abs. 4 DSGVO auch auf die besonderen Kategorien personenbezogener Daten anwendbar seien, Schulz, in: Gola, DSGVO, Art. 9 DSGVO Rn. 6; Petri, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 9 DSGVO Rn. 3; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 25; Conrad / Treeger, Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 111; Matejek / Mäusezahl, ZD 2019, 551 (555 f.); Freund / Shagdar, SGb 2018, 195 (204); Robrahn / Bremert, ZD 2018, 291 (295); a. A. Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Rn. 11; Schweinoch / Peintinger, CR 2020, 643 (648). 64
356
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
aus, dass die Weiterverarbeitung für wissenschaftliche Forschungszwecke positiv formuliert „als vereinbarer […] Verarbeitungsvorgang“ gelten sollte.72 Zutreffend ist daher anzunehmen, dass bei der Weiterverarbeitung von Daten zu wissenschaftlichen Forschungszwecken, die ursprünglich zu einem anderen Zweck erhoben wurden, die Prüfung der Vereinbarkeit mit den ursprünglichen Zwecken entfällt.73 2. Erfordernis einer gesonderten Rechtsgrundlage für die zweckändernde Weiterverarbeitung zu Forschungszwecken Daneben ist nicht geklärt, ob für die zweckändernde Weiterverarbeitung zu Forschungszwecken eine eigenständige Rechtsgrundlage erforderlich ist.74 Die Ansicht, nach der die zweckändernde Weiterarbeitung zu wissenschaftlichen Forschungszwecken keiner gesonderten Rechtsgrundlage bedarf, verweist insbesondere auf den EG 50 S. 2 DSGVO, nach dem im Fall einer zweckkompatiblen Weiterverarbeitung „keine andere gesonderte Rechtsgrundlage erforderlich [ist] als diejenige für die Erhebung der personenbezogenen Daten“.75 Daher könne sich der Verantwortliche für die zweckändernde Verarbeitung erneut auf die Rechtsgrundlage stützen, die bereits die ursprüngliche Verarbeitung legitimiert habe.76 Die Gegenauffassung nimmt an, dass für die zweckändernde Weiterverarbeitung, wie für jede Verarbeitung unter der DSGVO, stets eine neue Rechtsgrundlage erforderlich sei.77 Die letztgenannte Auffassung verdient Zustimmung. Zunächst bewerten Beteiligte am Gesetzgebungsverfahren den vermeintlich eindeutigen EG 50 S. 2 DSGVO als Redaktionsversehen, welches auf Streitigkeiten um die Reichweite von Zweckänderungsmöglichkeiten während des Gesetzgebungsprozesses zurückzuführen sei.78 Dies erscheint insofern plausibel, als Fragen zur Vereinbarkeit von ursprüng 72
Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 DSGVO Rn. 53. Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 5 DSGVO Rn. 50; Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 55. 74 Datenethikkommission, Gutachten der Datenethikkommission, Oktober 2019, S. 125. 75 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 DSGVO Rn. 98, 109; Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 13; Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 218; Richter, DuD 2016, 581 (584); Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1589 f.); Monreal, ZD 2016, 507 (510); Kühling / Martini, EuZW 2016, 448 (451). 76 Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 13; Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 DSGVO Rn. 144; Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 218; Kühling / Martini, EuZW 2016, 448 (451); Martini / Hohmann, NJW 2020, 3573 (3576). 77 Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 5 DSGVO Rn. 54; Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 5 DSGVO Rn. 17 ff.; Schantz, in: BeckOK Datenschutzrecht, Art. 5 DSGVO Rn. 22; Schantz, NJW 2016, 1841 (1844); Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 54; Reimer, in: Sydow, DSGVO, Art. 5 DSGVO Rn. 24. 78 Schantz, NJW 2016, 1841 (1844), der die Verhandlungen zur DSGVO als Referent des Bundesministeriums der Justiz und für Verbraucherschutz begleitet hat; ebenso Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 5 DSGVO Rn. 49, ders. bezeichnet das Einschleichen 73
C. Sonderregelungen für die wissenschaftliche Forschung
357
lichen und späteren Verarbeitungszwecken und zur Reichweite von Zweckänderungsmöglichkeiten bis zum Abschluss der Trilog-Verhandlungen zu den besonders stark umstrittenen Rechtsfragen zählten.79 So wollte der Rat die Weiterverarbeitung für nicht konforme Zwecke ursprünglich auch ohne gesonderte Rechtsgrundlage aufgrund einer Interessenabwägung ermöglichen.80 Das Europäische Parlament, welches die bisherige Systematik der DSRL beibehalten wollte, konnte sich diesbezüglich letztlich durchsetzen.81 EG 50 S. 2 DSGVO, welcher dem EG 40 S. 2 des Ratsentwurfs gleicht, ist ein Überrest des Ansatzes des Rates und wurde in der finalen Fassung der DSGVO nicht gestrichen.82 Da der EG 50 S. 2 DSGVO in der Praxis zu großen Schwierigkeiten bei der Durchsetzung der Rechtmäßigkeitsanforderungen an zweckändernde Datenverarbeitung führe, sollte er nach Ansicht der DSK sogar gestrichen werden.83 Damit wäre der Gegenansicht ihre maßgebliche Argumentationsgrundlage entzogen. Selbst wenn einige Stimmen in der Literatur das Vorliegen eines solchen Redaktionsversehens bezweifeln,84 sprechen systematische Erwägungen dafür, dass die Sekundärnutzung zu Forschungszwecken einer gesonderten Rechtsgrundlage bedarf. Nach der Konzeption der DSGVO sind die Erfordernisse der Rechtmäßigkeit und der Zweckbindung zwei nebeneinanderstehende Prinzipien der Datenverarbeitung, die in Art. 5 Abs. 1 lit. a und b DSGVO auch unabhängig voneinander geregelt sind.85 Die Fiktion der Zweckvereinbarkeit kann die Rechtsgrundlage eines solchen redaktionellen Fehlers in Art. 6 DSGVO Rn. 182 angesichts der gegensätz lichen Standpunkte im Gesetzgebungsprozess und des Zeitdrucks im abschließenden Trilog als „nicht ganz fernliegend“. 79 So der Berichterstatter des Parlaments Albrecht, CR 2016, 88 (92); Albers / Veit, in: BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 73; Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 182; Freund / Shagdar, SGb 2018, 195 (203); Weichert, in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, Art. 5 DSGVO Rn. 32. 80 Richter, DuD 2015, 735 (736); Schantz, NJW 2016, 1841 (1844); Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 DSGVO Rn. 94; Roßnagel / Nebel / Richter, ZD 2015, 455 (457). 81 Dazu Hintergründe vom Berichterstatter der Trilog-Verhandlungen zur DSGVO Jan Philipp Albrecht in Albrecht, CR 2016, 88 (92); Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 2 Rn. 5, Teil 3 Rn. 52; Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 DSGVO Rn. 94. 82 Schantz, NJW 2016, 1841 (1844); Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 DSGVO Rn. 94. 83 DSK, Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Anwendung der DS-GVO, S. 14. 84 Hornung / Hofmann, ZD-Beil. 2017, 1 (8); Monreal, ZD 2016, 507 (510); Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1590); Wendehorst / Graf v. Westfalen, NJW 2016, 3745 (3746). 85 EDPS, A Preliminary Opinion on data protection and scientific research, S. 23; DSK, Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Anwendung der DS-GVO, S. 13; LfDI NW, Stellungnahme zum Positionspapier des BfDI zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TKBranche, abrufbar unter: https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Telefon-Internet/ Positionen/Positionspapier-Anonymisierung-DSGVO-TKG.html; Buchner / Petri, in: Kühling / Buchner, DSGVO BDSG, Art. 6 DSGVO Rn. 183 f.
358
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
daher nicht ersetzen.86 Für die Aussage des EG 50 S. 2 DSGVO, nach dem „keine andere gesonderte Rechtsgrundlage“ erforderlich ist, fehlen daher im Normtext der DSGVO klare Anknüpfungspunkte.87 Hätte der Verordnungsgeber für den Fall der Sekundärnutzung eine Ausnahme von dem Erfordernis einer Rechtsgrundlage statuieren wollen, so hätte dies im Hinblick auf die Konsequenzen einer solchen Ausnahme explizit im Verordnungstext geregelt werden müssen.88 Bedenken gegen die Zulässigkeit einer zweckändernden Weiterverarbeitung ohne gesonderte Rechtsgrundlage ergeben sich auch, da in diesem Fall die Verarbeitung jeder einmal rechtmäßig zu einem anderen Zweck erhobener Daten, vorbehaltlich der Einhaltung der Maßgaben des Art. 89 Abs. 1 DSGVO, für Z wecke der wissenschaftlichen Forschung ohne weitere Voraussetzungen zulässig wäre.89 Dies wäre kaum mit Art. 8 Abs. 2 S. 1 GRCh vereinbar, nach dem personenbezogene Daten neben einer Einwilligung nur auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen.90 Nach ständiger Rechtsprechung des EuGH ist das sekundäre Datenschutzrecht im Lichte der Grundrechte und Grundfreiheiten zu interpretieren.91 Zudem ist nicht ersichtlich, warum eine zweckändernde Verarbeitung unter geringeren Voraussetzungen erlaubt sein sollte als die ursprüngliche Verarbeitung.92 Dieser Ansicht scheint auch der Bundes gesetzgeber gewesen zu sein, als er sich dazu entschieden hat, sowohl für die Verarbeitung von allgemeinen personenbezogenen Daten als auch für die Verarbeitung besonderer Kategorien personenbezogener Daten in den §§ 23 und 24 BDSG n. F. nationale Vorschriften für die Verarbeitung zu anderen Zwecken vorzusehen.93 Damit kommt zum Ausdruck, dass nach Ansicht des Bundesgesetzgebers für zweckändernde Weiterverarbeitungen insgesamt die Erforderlichkeit einer gesonderten 86 DSK, Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Anwendung der DS-GVO, S. 13. 87 Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 DSGVO Rn. 93; Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 5 DSGVO Rn. 48. 88 DSK, Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Anwendung der DS-GVO, S. 13. 89 Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 DSGVO Rn. 93; Schantz, in: BeckOK Datenschutzrecht, Art. 5 DSGVO Rn. 22; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1352; Schantz, NJW 2016, 1841 (1844). 90 Schantz, in: BeckOK Datenschutzrecht, Art. 5 DSGVO Rn. 22; Schantz, NJW 2016, 1841 (1844); Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1352; Fleischer, Rechtliche Aspekte der Systemmedizin, S. 295. 91 EuGH, Urt. v. 6. November 2003 – C-101/01, EuZW 2004, 245 (251) Rn. 87; EuGH, Urt. v. 20. Mai 2003 – verb. Rs. C-138/01, C-139/01 und C-465/00, EuR 2004, 276 (285) Rn. 68; Pötters, in: Gola, DSGVO, Art. 1 DSGVO Rn. 18. 92 LfDI NW, Stellungnahme zum Positionspapier des BfDI zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, abrufbar unter: https:// www.bfdi.bund.de/DE/Fachthemen/Inhalte/Telefon-Internet/Positionen/PositionspapierAnonymisierung-DSGVO-TKG.html; v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 102. 93 Schneider, in: Krauskopf, Soziale Krankenversicherung, § 287 SGB V Rn. 27; BTDrs. 18/11325, S. 95; Heckmann / Scheurer, in: Gola / Heckmann, BDSG, § 23 BDSG Rn. 1.
C. Sonderregelungen für die wissenschaftliche Forschung
359
Rechtsgrundlage besteht, auch wenn die §§ 23 Abs. 2 und 24 Abs. 2 BDSG n. F. im vorliegenden Kontext der Verarbeitung besonderer Kategorien personenbezogener Daten zu wissenschaftlichen Forschungszwecken keine Anwendung finden, sondern diesbezüglich vielmehr auf § 27 Abs. 1 S. 1 BDSG n. F. abzustellen ist.94 Festzuhalten bleibt, dass die gesetzliche Vermutung der Vereinbarkeit mit dem Erhebungszweck in Art. 5 Abs. 1 lit. b Hs. 2 DSGVO lediglich Auswirkungen auf die Prüfung der Zweckvereinbarkeit anhand der Kriterien des Art. 6 Abs. 4 DSGVO hat. Darin liegt die Privilegierung der Datenverarbeitung zu wissenschaftlichen Forschungszwecken. Davon unberührt bleibt die Notwendigkeit einer ausreichenden Rechtsgrundlage für die zweckändernde Weiterverarbeitung.95 Auch wenn Forschungszwecke gemäß Art. 5 Abs. 1 lit. b Hs. 2 DSGVO „nicht als unvereinbar mit den ursprünglichen Zwecken“ gelten, ist für die zweckändernde Weiterverarbeitung somit stets eine eigene Rechtsgrundlage erforderlich.96 Eine solche Rechtsgrundlage kann sich auf die Öffnungsklausel des Art. 9 Abs. 2 lit. j DSGVO stützen.97 Für die verschiedenen Forschungsbereiche finden sich solche Regelungen etwa in § 27 BDSG n. F., in § 287 SGB V und § 75 SGB X sowie in den Landeskrankenhausgesetzen.
II. Privilegierung in Bezug auf die Speicherdauer Nach dem Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e Hs. 1 DSGVO dürfen personenbezogene Daten grundsätzlich nur so lange gespeichert werden, wie es zur Erreichung des Verarbeitungszwecks erforderlich ist. Danach sind die personenbezogenen Daten entweder zu löschen oder der Personenbezug ist zu entfernen.98 Art. 5 Abs. 1 lit. e Hs. 2 DSGVO sieht eine Einschränkung dieses Grundsatzes für die Datenverarbeitung zu wissenschaftlichen Forschungszwecken vor, durch welche die zeitliche Speicherbegrenzung vorbehaltlich geeigneter technischer und organisatorischer Maßnahmen beschränkt wird. Mit dieser Privilegierung verfolgte der Unionsgesetzgeber u. a. das Ziel, dem gesellschaftlichen Interesse an einer funktionierenden Forschung Rechnung zu tragen.99 Forschungs 94
BR-Drs. 110/17, S. 99. Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 5 DSGVO Rn. 54; Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 5 DSGVO Rn. 17; Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 DSGVO Rn. 93; Schantz, in: BeckOK Datenschutzrecht, Art. 5 DSGVO Rn. 22; Schantz, NJW 2016, 1841 (1844); Weichert, ZD 2020, 18 (21); so auch Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 413 der davon ausgeht, dass es für den fingiert kompatiblen Zweck der Forschung bei dem Grundsatz bleibe, dass jede Verarbeitung einer Rechtsgrundlage bedürfe. 96 GMDS / GDD, Datenschutzrechtliche Anforderungen an die medizinische Forschung unter Berücksichtigung der DSGVO, S. 56. 97 Fleischer, Rechtliche Aspekte der Systemmedizin, S. 297. 98 Geminn, DuD 2018, 640 (641); Hornung / Hofmann, ZD-Beil. 2017, 1 (10). 99 Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 2 Rn. 9. 95
360
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
daten dürfen demnach länger gespeichtert werden, als dies für den Primärzweck erforderlich ist. Damit gestattet es diese Ausnahmeregelung, Daten, die etwa zu Zwecken der Patientenversorgung erhoben wurden und eigentlich nach Erreichung dieses Zwecks zu löschen wären, aufzubewahren und für einen oder mehrere vorher definierte Forschungszwecke zu verarbeiten.100 Zwar gibt die DSGVO keinen konkreten Zeitraum für die zulässige Speicherdauer vor, jedoch muss der wissenschaftliche Zweck, der die Erhaltung des Personenbezugs erforderlich macht, zumindest absehbar sein, sodass eine zeitlich unbegrenzte Speicherdauer jedenfalls nicht legitimierbar ist.101 Die Einschränkung der Speicherbegrenzung darf somit nicht zu einer unbegrenzten Vorratsdatenhaltung führen.102
D. Anforderungen an die Verarbeitung personenbezogener Daten zu Forschungszwecken nach Art. 89 Abs. 1 DSGVO Die Privilegierung der Datenverarbeitung zu wissenschaftlichen Forschungszwecken steht unter der in Art. 89 Abs. 1 S. 1 DSGVO normierten Voraussetzung, dass die Verarbeitung geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person unterliegt.103 Bei jeder Datenverarbeitung zu wissenschaftlichen Forschungszwecken müssen folglich die in Art. 89 Abs. 1 DSGVO festgelegten Mindestanforderungen eingehalten werden.104 Art. 89 Abs. 1 S. 2 DSGVO sieht dazu vor, dass die geeigneten Garantien zum Schutz der betroffenen Person durch technische und organisatorische Maßnahmen sichergestellt werden, die insbesondere den Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO gewährleisten.105 Ein besonderes Augenmerk ist daher auf die Menge der erhobenen personenbezogenen Daten, den Umfang der Verarbeitung sowie die Zugänglichkeit der Daten zu legen.106 Die konkret zu ergreifenden Maßnahmen hängen jedoch stets von dem jeweiligen Forschungsvorhaben im Einzelfall ab.107 Beispielhaft für die
100
GMDS / GDD, Datenschutzrechtliche Anforderungen an die medizinische Forschung unter Berücksichtigung der DSGVO, S. 41. 101 Geminn, DuD 2018, 640 (641 f.); Johannes, in: Roßnagel, Das neue Datenschutzrecht, § 7 Rn. 253; GMDS / GDD, Datenschutzrechtliche Anforderungen an die medizinische Forschung unter Berücksichtigung der DSGVO, S. 41; EDPS, A Preliminary Opinion on data protection and scientific research, S. 23 f. 102 Johannes, in: Roßnagel, DSGVO, § 4 Rn. 67; ders., in: Roßnagel, Das neue Datenschutzrecht, § 7 Rn. 253. 103 Werkmeister / Schwaab, CR 2019, 85 (86). 104 Johannes / Richter, DuD 2017, 300 (302). 105 Raum, in: Ehmann / Selmayr, DSGVO, Art. 89 DSGVO Rn. 47; Hornung / Hofmann, ZDBeil. 2017, 1 (10). 106 Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 89 DSGVO Rn. 12. 107 Golla, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 23 Rn. 47.
D. Anforderungen an die Verarbeitung personenbezogener Daten
361
in Art. 89 Abs. 1 S. 1 DSGVO angeführten geeigneten Garantien wird in Art. 89 Abs. 1 S. 3 DSGVO die Pseudonymisierung angeführt.108 In der Praxis erfolgt die Datenverarbeitung im Forschungsbereich in der Regel ohnehin nur in pseudonymisierter Form. Art. 89 Abs. 1 S. 4 DSGVO schreibt für die Forschung zudem ein Anonymisierungsgebot vor, wenn die Zwecke der Verarbeitung mit anonymen Daten zu erzielen sind. Kann der Forschungszweck auch mit anonymisierten Daten erreicht werden, dürfen diese Daten daher nicht personenbezogen verarbeitet werden.109 Die Erreichung des Forschungszwecks mit anonymisierten Daten dürfte sich allerdings gerade in der medizinischen Forschung regelmäßig als schwierig erweisen.110 Kommt weder eine Anonymisierung noch eine Pseudonymisierung der zu verarbeitenden personenbezogenen Daten in Frage, hat die verarbeitende Stelle zu prüfen, inwiefern der Schutz der betroffenen Personen durch andere Maßnahmen sichergestellt werden kann. In Betracht kommt dabei etwa eine Verschlüsselung der Daten oder die Verpflichtung der an den Datenverarbeitungsvorgängen Beteiligten auf Geheimhaltung.111 Die Festlegung von bestimmten Schutzmaßnahmen, wie etwa die Anonymisierung oder Pseudonymisierung, die bei der Datenverarbeitung ergriffen werden müssen, lässt sich als Ausgleich zu den Privilegierungen verstehen, die die DSGVO für die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken gewährt.112 Die verschärften Anforderungen, die Art. 89 Abs. 1 DSGVO auferlegt, korrelieren somit mit den Erleichterungen, denen die datenverarbeitenden Stellen bei der Verarbeitung personenbezogener Daten zu Forschungszwecken unterliegen.113 Dadurch soll ein Ausgleich zwischen den gegensätzlichen Interessen des Forschers und der Allgemeinheit an der Zulässigkeit der Verarbeitung von personenbezogenen Daten zu Forschungszwecken sowie dem Interesse der betroffenen Person an einem Ausschluss derartiger Verarbeitungen hergestellt werden.114 Zutreffend wird jedoch darauf hingewiesen, dass die Vorgaben des Art. 89 Abs. 1 DSGVO recht vage bleiben und die Vorgabe, „dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird“, gegenüber den nahezu wortgleichen Anforderungen des Art. 25 Abs. 1 DSGVO, dessen Beachtung be-
108
Caspar, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 89 DSGVO Rn. 49. Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 74. 110 Golla, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 23 Rn. 48. 111 Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 89 DSGVO Rn. 12. 112 Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 89 DSGVO Rn. 1; Golla, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 23 Rn. 46; Spindler, MedR 2016, 691 (694); Roßnagel, ZD 2019, 157 (161); Johannes / Richter, DuD 2017, 300 (302); Werkmeister / Schwaab, CR 2019, 85 (86). 113 Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 89 DSGVO Rn. 10. 114 Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 89 DSGVO Rn. 3; Raum, in: Ehmann / Selmayr, DSGVO, Art. 89 DSGVO Rn. 7; Weichert, ZD 2020, 18 (22). 109
362
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
reits zu den allgemeinen Pflichten des Verantwortlichen zählt, keine zusätzlichen Vorgaben statuiere.115 Das Anonymisierungsgebot begrenzt zugleich die Möglichkeit der längeren Speicherdauer personenbezogener Daten für Zwecke wissenschaftlicher Forschung nach Art. 5 Abs. 1 lit. e Hs. 2 DSGVO. Sobald die Weiterverarbeitung zu dem Forschungszweck auch mit anonymisierten Daten erreicht werden kann, sind die Daten nach Art. 89 Abs. 1 S. 4 DSGVO zu anonymisieren und dürfen dementsprechend nicht mehr mit Personenbezug gespeichert werden.116 Es besteht somit auch für wissenschaftliche Forschungszwecke keine generelle Befreiung von der Pflicht zur Speicherbegrenzung.117 In gleicher Weise setzt Art. 89 Abs. 1 S. 4 DSGVO der Privilegierung der zweckändernden Weiterverarbeitung zu Forschungszwecken nach Art. 5 Abs. 1 lit. b Hs. 2 DSGVO eine klare Grenze. Soweit der Forschungszweck auch mit anonymisierten Daten erreicht werden kann, dürfen diese nicht mehr personenbezogen weiterverarbeitet werden.118 Zudem begrenzt Art. 89 Abs. 4 DSGVO den Anwendungsbereich der Privilegierungen der DSGVO.119 Demnach kann sich eine Forschungseinrichtung, die mit der Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken zugleich auch andere Zwecke verfolgt, auf die in der DSGVO vorgesehenen Privilegierungen nur hinsichtlich der Verarbeitung zu Forschungszwecken berufen.120 Damit soll eine „Flucht in die Privilegierung“121 verhindert werden, indem Verantwortlichen die Möglichkeit genommen wird, unter dem Deckmantel der Durchführung von Verarbeitungen zu Forschungszwecken die Vorgaben der DSGVO zu umgehen. Art. 89 DSGVO stellt allerdings keinen eigenen Erlaubnistatbestand für die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken dar.122 Ob Datenverarbeitungen zu wissenschaftlichen Forschungszwecken zulässig sind, beurteilt sich vielmehr nach den allgemeinen Grundsätzen des Art. 6 DSGVO sowie bei der Verarbeitung besonderer Kategorien personenbezogener Daten nach den Vorgaben des Art. 9 DSGVO, die nachfolgend untersucht werden.
115
Martini / Hohmann, NJW 2020, 3573 (3577). Hornung / Hofman, ZD-Beil. 2017, 1 (10 f.). 117 Eichler, in: BeckOK Datenschutzrecht, Art. 89 DSGVO Rn. 12. 118 Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 74. 119 Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 89 DSGVO Rn. 18. 120 Wolff / Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1346; Weichert, ZD 2020, 18 (22); Werkmeister / Schwaab, CR 2019, 85 (86). 121 Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 89 DSGVO Rn. 18. 122 Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 89 DSGVO Rn. 1; Eichler, in: BeckOK Datenschutzrecht, Art. 89 DSGVO Rn. 1. 116
E. Zulässigkeit der Verarbeitung personenbezogener Daten
363
E. Zulässigkeit der Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken Gemäß Art. 9 Abs. 1 DSGVO ist jegliche Verarbeitung besonderer Kategorien personenbezogener Daten und mithin auch die Verarbeitung zu Forschungs zwecken im Grundsatz verboten, soweit keine der in Art. 9 Abs. 2 DSGVO aufgeführten Ausnahmen einschlägig ist. Als eine solche kommt für den Bereich der medizinischen Forschung zum einen die unmittelbar aus der Verordnung resultierende Rechtsgrundlage der Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO in Betracht. Zum anderen sieht die DSGVO mit Art. 9 Abs. 2 lit. j DSGVO eine weitere Ausnahme von dem generellen Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten vor, die unter gewissen Voraussetzungen eine einwilligungsunabhängige Datenverarbeitung zu Forschungszwecken ermöglicht. Diese Öffnungsklausel schafft jedoch lediglich den rechtlichen Rahmen für die Datenverarbeitung zu Zwecken wissenschaftlicher Forschung und überlässt die weitere Ausgestaltung im Übrigen den Mitgliedstaaten.123 Beide Optionen sollen nachfolgend im Einzelnen untersucht werden.
I. Datenverarbeitung zu Forschungszwecken auf der Grundlage einer Einwilligung Bei vielen Forschungsprojekten im Gesundheitsbereich wird als Rechtsgrundlage für die Datenverarbeitung zu Forschungszwecken die Einwilligung herangezogen.124 Sie ist der zentrale Erlaubnistatbestand für die Erhebung und weitere Verarbeitung personenbezogener Daten in der wissenschaftlichen Praxis, sodass ihr für die Datenverarbeitung im Forschungskontext große Bedeutung zukommt.125 Damit eine solche Einwilligung wirksam ist, müssen diverse inhaltliche und formale Anforderungen erfüllt sein.126 Insbesondere muss die Einwilligung freiwillig, in informierter Weise und für den bestimmten Fall erteilt werden.127 Im Forschungskontext ist vor allem die Bestimmtheit der Einwilligung problematisch, sodass auf diese Voraussetzung im Folgenden näher eingegangen werden soll.
123
Roßnagel, ZD 2019, 157 (159); Weichert, ZD 2020, 18 (21). BfDI, Schriftliche Fassung des Vortrags „Datenschutz in der Medizinforschung – Chancen und Risiken“ v. 27. Februar 2020, S. 12, abrufbar unter: https://www.bfdi.bund.de/DE/ DerBfDI/Dokumente/RedenUndBeitraege/redenundbeitraege_node.html. 125 v. Kielmansegg, zit. bei Hänold, ZD-Aktuell 2020, 06954; Schaar, Rat SWD Working Paper Nr. 264, Juni 2017, S. 2; Golla, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 23 Rn. 21. 126 Buchner / Pigeot, DuD 2014, 816 (818). 127 Ausführlich zu den Wirksamkeitsvoraussetzungen der Einwilligung im Einzelnen unter Kap. 2 A. III. 1., (S. 131 ff.). 124
364
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
1. Die Bestimmtheit der Einwilligung und die Zulässigkeit eines „Broad Consent“ unter der DSGVO Auch für die Einwilligung in die Datenverarbeitung zu Forschungszwecken gilt im Grundsatz, dass diese gemäß Art. 4 Nr. 11 DSGVO nur wirksam ist, wenn sie „für den bestimmten Fall“ erteilt wird. Das Erfordernis des bestimmten Falls konkretisiert den Zweckbindungsgrundsatz aus Art. 5 Abs. 1 lit. b Hs. 1 DSGVO, nach dem personenbezogene Daten für „festgelegte“ und „eindeutige“ Zwecke verarbeitet werden sollen.128 Ebenso verlangt Art. 9 Abs. 2 lit. a DSGVO, dass die betroffene Person in die Verarbeitung der personenbezogenen Daten für einen oder mehrere „festgelegte“ Zwecke einwilligt. Entsprechend diesen Anforderungen müssen der Inhalt und der Zweck sowie die Tragweite der Einwilligung hinreichend konkretisiert sein.129 Der betroffenen Person muss anhand der Einwilligungserklärung ersichtlich werden, wer durch die Einwilligung zur Nutzung welcher Daten und zu welchem Zweck legitimiert wird.130 Grundsätzlich ist es demnach erforderlich, dass der Verarbeitungszweck möglichst klar und präzise angegeben wird.131 So wird das Erfordernis einer eindeutigen Zweckfestlegung etwa durch eine unscharfe Bezugnahme auf pauschale Zwecke nicht erfüllt.132 Das Erfordernis einer Einwilligung für festgelegte Zwecke stößt im Forschungskontext jedoch oft an die Grenzen seiner Erfüllbarkeit.133 In vielen Fällen lassen sich Forschungsfragen und -ziele zum Zeitpunkt der Erhebung der personen bezogenen Daten nicht hinreichend klar definieren.134 Dies gilt etwa im Bereich der Versorgungsforschung, in deren Rahmen die medizinische Gesundheitsversorgung von Patienten auf mögliche Defizite untersucht wird und bei der sich die wissenschaftlichen Fragestellungen häufig in Abhängigkeit von bestimmten Erkrankungen, dem regionalen Versorgungsangebot und dem Verhalten der Patienten weiterentwickeln.135 Hier können sich im Laufe der Forschung neue Fra-
128
Eichler, in: BeckOK Datenschutzrecht, Art. 89 DSGVO Rn. 2.1. Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO Rn. 125; Fleischer, Rechtliche Aspekte der Systemmedizin, S. 282. 130 Ernst, in: Paal / Pauly, DSGVO BDSG, Art. 4 DSGVO Rn. 78; Reiter, Der Schutz des informationellen Selbstbestimmungsrechts, S. 121. 131 Monreal, ZD 2016, 507 (509). 132 Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 5 DSGVO Rn. 14; Frenzel, in: Paal / Pauly, DSGVO BDSG, Art. 7 DSGVO Rn. 8; Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 76. 133 Fleischer, Rechtliche Aspekte der Systemmedizin, S. 283; Spindler, MedR 2016, 691 (697); Kersten, in: Spickhoff / Kossak / Kvit, Aktuelle Fragen des Medizinrechts, S. 110. 134 Raum, in: Ehmann / Selmayr, DSGVO, Art. 89 DSGVO Rn. 35; Korge, in: Giersch mann / Schlender / Stentzel / Veil, DSGVO, Art. 9 DSGVO Rn. 22; Golla, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 23 Rn. 22; Rammos, A&R 2017, 243 (243); Jülicher, Medizininformationsrecht, S. 217. 135 Gläß / Drepper, in: FZI Forschungszentrum Informatik, Die Zukunft des Datenschutzes im Kontext von Forschung und Smart Data, S. 23. 129
E. Zulässigkeit der Verarbeitung personenbezogener Daten
365
gestellungen ergeben, die ursprünglich nicht absehbar waren.136 Daneben werden Gesundheitsdaten oft auch in großem Umfang gesammelt, um diese für künftige Studien vorzuhalten.137 Auch in diesem Fall sind viele wissenschaftliche Fragestellungen zum Erhebungszeitpunkt noch nicht genau bekannt.138 Im Hinblick auf die Bestimmtheit der Einwilligung stellt sich somit die Frage, wie spezifisch das jeweilige Forschungsvorhaben konkretisiert werden muss.139 Die DSGVO erkennt in EG 33 S. 1 DSGVO an, dass der Zweck der Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung zum Zeitpunkt der Erhebung der Daten oft nicht vollständig angegeben werden kann und folglich Abstriche bei der Bestimmtheit der Einwilligung erforderlich sind. Daher soll im Rahmen wissenschaftlicher Forschung nach EG 33 S. 2 DSGVO keine strenge Zweckbestimmung erforderlich sein, sondern eine Einwilligung in „bestimmte Bereiche wissenschaftlicher Forschung“ genügen, wenn dies unter Einhaltung der „anerkannten ethischen Standards der wissenschaftlichen Forschung“ geschieht.140 Zwar stehen die Erwägungsgründe außerhalb des eigentlichen Normtexts und entfalten mithin keine eigenständige Bindungswirkung, dennoch geben sie wichtige Hinweise zur Auslegung der Normen der DSGVO.141 Jedoch bringt gerade die Formulierung „bestimmte Bereiche wissenschaftlicher Forschung“ in EG 33 S. 2 DSGVO ihrerseits Unsicherheiten mit sich.142 Vor diesem Hintergrund wird die Zulässigkeit eines sog. Broad Consent unter der Rechtslage der DSGVO unterschiedlich bewertet. Fraglich ist konkret, wie weit die Zwecke bei der Datenverarbeitung im Forschungsbereich gefasst werden können bzw. unter welchen Voraussetzungen eine solche breite Einwilligung hinreichend bestimmt ist.143 a) Standpunkte in Literatur und Praxis Diesbezüglich wird in der Literatur teilweise die Auffassung vertreten, dass eine Einwilligung, mit der der Patient sein Einverständnis in die Verarbeitung von Gesundheitsdaten zu Forschungszwecken erteile, ohne diese genauer zu spezifizieren, zu unbestimmt sei. Hinsichtlich der Frage, wie konkret der Zweck im Einzelnen 136 Weichert, Big Data im Gesundheitsbereich, S. 191; Weichert / Krawczak, GMS Medizi nische Informatik, Biometrie und Epidemiologie 2019, Vol. 15(1), S. 4. 137 Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 64; Herbst, DuD 2016, 371 (373); Herbst, RphZ 2019, 271 (272). 138 Caspar, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 89 DSGVO Rn. 37; Weichert / Krawczak, GMS Medizinische Informatik, Biometrie und Epidemiologie 2019, Vol. 15(1), S. 4; Nolte, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 89 DSGVO Rn. 36. 139 Jülicher, Medizininformationsrecht, S. 218. 140 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 78. 141 Wolff / Brink, in: BeckOK Datenschutzrecht, Einl. Rn. 18. 142 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 109; Fleischer, Rechtliche Aspekte der Systemmedizin, S. 286; Martini / Hohmann, NJW 2020, 3573 (3575). 143 Korge, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 9 DSGVO Rn. 22.
366
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
anzugeben ist, werden unterschiedliche Ansichten vertreten. So wird teilweise angenommen, dass es zwingend erforderlich sei, das Forschungsvorhaben so präzise wie möglich zu benennen.144 Dies bedeute konkret, dass die Einwilligung zur Verarbeitung von Daten zu Forschungszwecken für explizit genannte Krankheitsbilder erteilt werden müsse.145 Andere gehen etwas weniger restriktiv davon aus, dass sich die Einwilligung in die Datenverarbeitung zu Forschungszwecken auch auf bestimmte Sektoren, wie etwa bestimmte Krankheitsgebiete, beziehen könne.146 Jedenfalls sei von der Möglichkeit der breiten Einwilligung insgesamt zurückhaltend Gebrauch zu machen, um im Bereich der wissenschaftlichen Forschung das Selbstbestimmungsrecht der betroffenen Person nicht leerlaufen zu lassen.147 Dagegen sprechen sich andere Stimmen in der Literatur für die Möglichkeit einer weiten Zweckfestlegung aus.148 Die Einwilligung könne sich statt auf ein bestimmtes Forschungsprojekt auf einen gesamten Forschungsbereich beziehen, um auch noch nicht absehbare Forschungsfragen zu erfassen.149 So könne die Einwilligung allgemein für die medizinische Forschung oder einen ihrer Teilbereiche erteilt werden.150 Von behördlicher Seite wird die Zulässigkeit eines „Broad Consent“ eher re striktiv beurteilt. So hat der EDSA festgestellt, dass für die Einbeziehung personenbezogener Daten in wissenschaftliche Forschungsprojekte auf der Grundlage einer Einwilligung grundsätzlich ein klar beschriebener Zweck Voraussetzung sei.151 Nur ausnahmsweise ermögliche es der EG 33 DSGVO, dass der Zweck allgemeiner beschrieben werde. In diesem Fall sei dann jedoch auf andere Weise sicherzustellen, dass die fehlende Zweckbestimmung kompensiert werde. Dafür werden Maßnahmen zur Transparenz, wie etwa das regelmäßige Bereitstellen von Informationen zur Entwicklung des Forschungszwecks oder der Zugang der betroffenen Person zu einem umfassenden Forschungsplan, in dem die Forschungsfragen und Arbeitsmethoden festgelegt werden, vorgeschlagen.152 144
Eichler, in: BeckOK Datenschutzrecht, Art. 89 DSGVO Rn. 2.1; dahingehend auch Reiter, Der Schutz des informationellen Selbstbestimmungsrechts, S. 132; Platzer, NZS 2020, 289 (294); Gallwas, MedR 2019, 360 (362). 145 Spranger, MedR 2017, 864 (864). 146 Schaar, RatSWD Working Paper 264, 2017, S. 7; Jülicher, Medizininformationsrecht, S. 218; Garbe, in: Ratzel / Luxenburger, Handbuch Medizinrecht, Kap. 24 Rn. 89. 147 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 78. 148 Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 64; Rammos, A&R 2017, 243 (243 ff.); Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 527. 149 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 527; Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 DSGVO Rn. 9. 150 Golla, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 23 Rn. 22. 151 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 36 f. 152 EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, S. 37 f.
E. Zulässigkeit der Verarbeitung personenbezogener Daten
367
Auch in dem Beschluss der DSK zur Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ heißt es, dass die Formulierung „bestimmte Bereiche wissenschaftlicher Forschung“ insgesamt enger zu verstehen sei als der grundsätzlich weit auszulegende Begriff der wissenschaftlichen Forschung.153 Das Gebot einer informierten Einwilligung erfordere es grundsätzlich, das jeweilige Forschungsvorhaben möglichst präzise anzugeben.154 Daher könne der Ansatz der breiten Einwilligung nur im Einzelfall zum Tragen kommen, wenn das Forschungsvorhaben „eine vollständige Zweckbestimmung schlechthin nicht zulasse“155. Dies sei aber nur unter Hinzuziehung von Korrektiven, wie zusätzlichen Sicherungsmaßnahmen zur Transparenz, Vertrauensbildung und Datensicherheit, vorstellbar.156 Der BfDI schließt sich diesen Ansichten an und bekräftigt, dass der EG 33 DSGVO als Ausnahmeregelung eng auszulegen sei.157 Er verweist ausdrücklich darauf, dass mit „Bereichen wissenschaftlicher Forschung“ nicht „für alle Bereiche medizinischer Forschung“ gemeint sei, da dies eindeutig zu unbestimmt sei. Als Konkretisierung für „bestimmte Bereiche wissenschaftlicher Forschung“ benennt er die „weitere Forschung der Arzneimittelsicherheit“ oder die „weitere Forschung im Zusammenhang mit Herz-Kreislauf-Erkrankungen“158. Die mit der Auslegung des EG 33 DSGVO verbundenen Unsicherheiten spiegeln sich ferner in den unterschiedlichen Standpunkten des Gesetzgebers wider. So hat dieser im Zuge der Anpassung an die DSGVO mit § 67b Abs. 3 S. 1 SGB X eine Regelung in das SGB aufgenommen, nach der die Einwilligung auch für bestimmte Bereiche der wissenschaftlichen Forschung erteilt werden kann. In der Gesetzes begründung verdeutlicht der Gesetzgeber in diesem Zusammenhang jedoch, dass der in der Einwilligung zu nennende Bereich der Forschung nicht zu allgemein gefasst und thematisch eingegrenzt werden sollte, um dem Grundsatz der informierten Einwilligung Rechnung zu tragen.159 Daneben hat der nationale Gesetzgeber mit Erlass des PDSG auch in § 363 Abs. 8 SGB V einen „Broad Consent“ im me-
153 DSK, Beschluss zur Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ v. 3. April 2019, S. 1. 154 DSK, Beschluss zur Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ v. 3. April 2019, S. 1. 155 DSK, Beschluss zur Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ v. 3. April 2019, S. 1. 156 Konkret werden Maßnahmen wie ein einsehbarer Forschungsplan, die Einrichtung einer Internetpräsenz oder die Prüfung eines dynamischen Einwilligungskonzepts vorgeschrieben, DSK, Beschluss zur Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ v. 3. April 2019, S. 2. 157 BfDI, Schriftliche Fassung des Vortrags „Datenschutz in der Medizinforschung – Chancen und Risiken“, v. 27. Februar 2020, S. 15. 158 BfDI, Schriftliche Fassung des Vortrags „Datenschutz in der Medizinforschung – Chancen und Risiken“, v. 27. Februar 2020, S. 16. 159 BT-Drs., 18/12611, S. 104.
368
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
dizinischen Bereich anerkannt.160 Danach können Versicherte die Daten ihrer elektronischen Patientenakte auf Basis einer informierten Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO für ein bestimmtes Forschungsvorhaben oder für bestimmte Bereiche der wissenschaftlichen Forschung zur Verfügung stellen. Als Beispiel für einen bestimmten Bereich der wissenschaftlichen Forschung wird in der Gesetzesbegründung explizit die medizinische Forschung angeführt.161 Damit wird ein weiteres Verständnis im Hinblick auf die rechtlich erforderliche Bestimmtheit der Einwilligung im Forschungskontext vertreten als noch im Rahmen der Anpassung des § 67b Abs. 3 S. 1 SGB X an die Vorgaben der DSGVO. Auch die Debatte um den Mustertext einer Patienteneinwilligung zur Nutzung von Patientendaten für medizinische Forschungszwecke, der im Rahmen der Medizininformatik-Initiative (MII) erarbeitet worden ist, hat gezeigt, dass die Thematik des „Broad Consent“ nach wie vor kontrovers diskutiert wird.162 So regten die Arbeitskreise der Datenschutzkonferenz etwa zwischenzeitlich an, die Aufnahme eines sog. Dynamic Consent in den Mustertext zu diskutieren.163 Nach einem intensiven Abstimmungsprozess hat die DSK den aktualisierten Mustertext und die Handreichung der MII mit Beschluss vom 15. April 2020 akzeptiert und festgestellt, dass gegen diesen keine datenschutzrechtlichen Bedenken bestünden.164 Dieser Mustertext sieht einen „Broad Consent“ vor, nach dem der Patient seine Zustimmung erteilen kann, dass seine Daten für viele medizinische Forschungszwecke auf verschiedenen Krankheitsgebieten verarbeitet werden können.165 Wörtlich heißt es dort: „Ihre Patientendaten sollen für die medizinische For schung zur Verfügung gestellt werden. Medizinische Forschung dient ausschließlich dazu, die Erkennung, Behandlung und Vorbeugung von Krankheiten zu ver 160
Händold, ZD-Aktuell 2021, 05016; BT-Drs. 19/18793, S. 132. BT-Drs. 19/18793, S. 132. 162 Bei der Medizininformatik-Initiative handelt es sich um ein Förderprojekt des Bundesministeriums für Bildung und Forschung mit dem Ziel, die Forschungsmöglichkeiten für Universitätskliniken und weitere Kooperationspartner durch den Austausch und die Nutzung von Daten aus der Krankenversorgung sowie klinischer und biomedizinischer Forschung über die Grenzen von Institutionen und Standorten hinweg zu verbessern, s. dazu https://www. medizininformatik-initiative.de/. 163 S. dazu MII, Stellungnahme der AG Consent zu patientenindividueller Datennutzungstransparenz und Dynamic Consent v. 28. März 2019, S. 1 abrufbar unter: https://www. medizininformatik-initiative.de/de/mustertext-zur-patienteneinwilligung. 164 DSK, Pressemitteilung v. 24. April 2020 „Datenschutzbehörden des Bundes und der Länder akzeptieren die Einwilligungsdokumente der Medizininformatik-Initiative“, abrufbar unter: https://www.datenschutzkonferenz-online.de/pressemitteilungen.html; DSK, Beschluss zu den Einwilligungsdokumenten der Medizininformatik-Initiative v. 15. April 2020, abrufbar unter: https://www.datenschutzkonferenz-online.de/beschluesse-dsk.html. 165 Der „Mustertext Patienteneinwilligung“, Stand 16. April 2020, Version 1.6d ist abrufbar unter: https://www.medizininformatik-initiative.de/de/mustertext-zur-patienteneinwilligung; kritisiert wird dieses Broad-Consent-Konzept der Medizininformatik-Initiative von Bernhardt / Ruhmann / Weichert, Plädoyer für ein medizinisches Forschungsgesetz, Stand 22. Februar 2021, S. 8, die dieses lediglich als eine „kurzfristig anwendbare Übergangslösung“ ansehen. 161
E. Zulässigkeit der Verarbeitung personenbezogener Daten
369
bessern; Ihre Patientendaten werden nicht für die Entwicklung biologischer Waffen oder diskriminierende Forschungsziele verwendet. Ebenso ist es nicht Ziel dieser Forschung, bei Ihnen eine Diagnose zu erstellen oder Ihre konkrete Behandlung zu beeinflussen.“166 Die allgemeine Bezugnahme auf die medizinische Forschung erfährt somit eine wichtige Begrenzung, indem Sonderkonstellationen, die sich andernfalls noch unter den Begriff der „Medizin“ fassen ließen, ausgeschlossen werden. Sodann wird im Folgenden weiter erläutert: „Ihre Patientendaten sollen im Sinne eines breiten Nutzens für die Allgemeinheit für viele verschiedene me dizinische Forschungszwecke verwendet werden. Zum jetzigen Zeitpunkt können dabei noch nicht alle zukünftigen medizinischen Forschungsinhalte beschrieben werden; diese können sich sowohl auf ganze Krankheitsgebiete […] als auch auf heute zum Teil noch unbekannte einzelne Krankheiten und Veränderungen in der Erbsubstanz beziehen.“167 b) Zusammenfassung und Stellungnahme Der Überblick über die derzeit in Literatur und Praxis vertretenen Standpunkte hat aufgezeigt, dass weiterhin Unsicherheiten bezüglich des rechtssicheren Umgangs mit dem als „Broad Consent“ bezeichneten Konzept einer breiten Einwilligung bestehen. Überwiegend wird dem EG 33 DSGVO zumindest als Auslegungshilfe eine wichtige Bedeutung zugemessen und anerkannt, dass der Unionsgesetzgeber damit der Tatsache Rechnung tragen wollte, dass der Zweck der Datenverarbeitung im Bereich der wissenschaftlichen Forschung oftmals nicht vollständig angegeben werden kann, da sich Forschungsfragen häufig erst im Verlauf eines Projektes sukzessive entwickeln. Kontrovers diskutiert wird vor allem, was unter den „bestimmten Bereichen der wissenschaftlichen Forschung“ zu verstehen ist. Weitgehende Einigkeit besteht dahingehend, dass jedenfalls zwischen einer Generaleinwilligung, bei der unspezifiziert in die Verarbeitung eingewilligt und die von der DSGVO nicht unterstützt wird, sog. Blanket Consent168, sowie einer breiten Einwilligung zu unterscheiden ist.169 Erforderlich ist es daher, den weiten Forschungsbereich thematisch zu umreißen und entsprechend zu beschreiben.170 Dabei lässt sich dem Wortlaut des EG 33 S. 2 DSGVO „bestimmte Bereiche 166
MII, Mustertext Patienteneinwilligung, Stand 16. April 2020, Version 1.6d, S. 1; Hervorhebung durch Verf. 167 MII, Mustertext Patienteneinwilligung, Stand 16. April 2020, Version 1.6d, S. 1; Hervorhebung durch Verf. 168 Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 25; Datenethikkommission, Gutachten der Datenethikkommission, Oktober 2019, S. 126. 169 Taupitz / Schreiber, Bundesgesundheitsbl. 2016, 304 (307); Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 25; vgl. Deutscher Ethikrat, Stellungnahme Big Data und Gesundheit, S. 136. 170 So Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 110; Weichert, ZD 2020, 18 (21).
370
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
wissenschaftlicher Forschung“ jedoch nicht entnehmen, dass eine Einwilligung in die Datenverarbeitung zu Forschungszwecken nur für bestimmte Krankheitsbilder oder Krankheitsgebiete erteilt werden kann. Vielmehr ist anzuerkennen, dass bei der Einwilligung in die Datenverarbeitung zu wissenschaftlichen Forschungszwecken die Anforderungen an die Bestimmtheit des Forschungszwecks abzusenken sind.171 Bei einheitlich zu behandelnden Verarbeitungsprozessen, wie zum Beispiel der generellen Freigabe für die medizinische Forschung, ist daher auch eine breite Einwilligung zulässig.172 Neben dem Wortlaut sprechen auch systematische Gründe für ein derartiges Verständnis. So kann eine einschränkende Auslegung der breiten Einwilligung den Widerspruch zwischen den geringeren Anforderungen an Zweckänderungen zu Forschungszwecken nach Art. 5 Abs. 1 lit. b Hs. 2 DSGVO und den Anforderungen an eine enge Bestimmung des Verarbeitungszwecks bei Einholung einer Einwilligung nicht auflösen.173 Während Art. 5 Abs. 1 lit. b Hs. 2 DSGVO die Zweckänderung für die wissenschaftliche Forschung unter erleichterten Bedingungen ermöglicht, wäre für die Einwilligung ein bestimmter Zweck festzulegen und bei Abweichungen von diesem Zweck stets eine erneute Einwilligung einzuholen. Der Vermutung der Vereinbarkeit in Art. 5 Abs. 1 lit. b Hs. 2 DSGVO entspricht es hingegen, dass Einwilligungen für Forschungszwecke abgegeben werden können, die zum Zeitpunkt der Erhebung der Daten noch nicht vollständig bestimmbar sind.174 Darüber hinaus stützen auch der Sinn und Zweck der Einwilligung diese Auslegung. Die Einwilligung soll der betroffenen Person die Möglichkeit geben, eine informierte Entscheidung über die Verwendung ihrer Daten zu treffen. Sie ist Ausfluss informationeller Selbstbestimmung, da sie der betroffenen Person die Möglichkeit belässt, über die Modalitäten und die Reichweite ihrer Einwilligung selbst zu bestimmen.175 Dementsprechend wird zutreffend davon ausgegangen, dass es ebenfalls Ausdruck der informationellen Selbstbestimmung sei, wenn die betroffene Person bewusst in Unsicherheit hinein Entscheidungen treffe, soweit sie nur hinreichend darüber aufgeklärt sei, dass sich die genauen Verarbeitungszwecke zum Zeitpunkt der Einwilligung noch nicht absehen ließen.176 Ist dem Einwilli-
171
Johannes, in: Roßnagel, Das neue Datenschutzrecht, § 7 Rn. 251; Roßnagel, ZD 2019, 157 (161); Geminn, DuD 2018, 640 (641); v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 96. 172 Weichert, Big Data im Gesundheitsbereich, S. 126. 173 Diesen Widerspruch zeigt auch Achenbach, PhamR 2020, 9 (17) am Beispiel des Transfers pseudonymisierter Daten aus klinischen Studien im Rahmen von Transaktionen pharmazeutischer Unternehmen auf. 174 Johannes, in: Roßnagel, Das neue Datenschutzrecht, § 7 Rn. 251; ders., in: Roßnagel, DSGVO, § 4 Rn. 65. 175 Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 19; Schulz, in: Gola, DSGVO, Art. 7 DSGVO Rn. 3. 176 Taupitz / Schreiber, Bundesgesundheitsbl. 2016, 304 (307); Taupitz, MedR 2012, 423 (427); Kersten, in: Spickhoff / Kossak / Kvit, Aktuelle Fragen des Medizinrechts, S. 110.
E. Zulässigkeit der Verarbeitung personenbezogener Daten
371
genden diese Ungewissheit bewusst, ist seine Einwilligung auch im Falle der Ungewissheit über die Einzelheiten der später durchzuführenden Forschungsvorhaben als autonom zu bewerten.177 Hinzu kommt, dass der betroffenen Person bei einer breiten Einwilligung, die sich auf die medizinische Forschung bezieht, durchaus bewusst ist, welchen Bereich ihre Einwilligung legitimiert.178 Das Selbstbestimmungsrecht der betroffenen Person steht der Einführung eines „Broad Consent“ für die medizinische Forschung somit nicht entgegen. Nach zutreffender Ansicht ist ein „Broad Consent“ im Hinblick auf die Verarbeitung personenbezogener Daten zu Zwecken der medizinischen Forschung unter der Rechtslage der DSGVO folglich zulässig.179 Auf diese Weise kann die Einwilligungserklärung für bestimmte Forschungsbereiche, wie etwa die medizinische Forschung, abgegeben werden, ohne dass später für jede Verarbeitung der Daten zu anderen Forschungszwecken gesonderte Einwilligungen eingeholt werden müssten.180 Gleichzeitig sind bestimmte Anforderungen zu berücksichtigen, um das Recht auf informationelle Selbstbestimmung zu wahren. Der EG 33 S. 2 DSGVO gibt diesbezüglich vor, dass die breite Einwilligung nur unter Einhaltung anerkannter ethischer Standards der wissenschaftlichen Forschung zulässig ist. Für den Bereich der medizinischen Forschung sind solche ethischen Standards insbesondere in der Deklaration von Helsinki181 und Taipeh182 kodifiziert. Daneben können sich ethische Standards auch aus Leitlinien zur Sicherung guter wissenschaftlicher Praxis oder Vorgaben in den Berufsordnungen ergeben.183 Durch die Einhaltung der anerkannten ethischen Standards sollen die Risiken einer weit gefassten Einwilligungserklärung in diesem Bereich aufgefangen werden.184 Ferner wird gefordert, dass die Unbestimmtheit der Einwilligung durch technisch-organisatorische Maßnahmen zum Schutz der betroffenen Person kompensiert wird.185 In diesem Zusammenhang werden Maßnahmen zur Information der betroffenen Person diskutiert. Dazu kann etwa die Bestellung einer einfach zu erreichenden
177
Herbst, RphZ 2019, 271 (280). Taupitz / Schreiber, Bundesgesundheitsbl. 2016, 304 (307). 179 Herbst, RphZ 2019, 271 (278). 180 Roßnagel, ZD 2019, 157 (160). 181 Weltärztebund, Deklaration von Helsinki – Ethische Grundsätze für die medizi nische Forschung am Menschen, 2013, abrufbar unter: https://www.bundesaerztekammer. de/fileadmin/user_upload/downloads/pdf-Ordner/International/Deklaration_von_Helsinki_ 2013_20190905.pdf. 182 Weltärztebund, Declaration of Taipei on Ethical Considerations regarding Health Databases and Biobank, revised by the 67th General Assembly, Taipei, Taiwan, October 2016, abrufbar unter: https://www.wma.net/what-we-do/medical-ethics/declaration-of-taipei/. 183 BT-Drs. 18/12611, S. 104. 184 Golla, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 23 Rn. 22; Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 7 DSGVO Rn. 75. 185 Buchner / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 7 DSGVO Rn. 64; Weichert, ZD 2020, 18 (21). 178
372
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
Kontaktperson oder die Einrichtung einer Internetpräsenz zählen, die es ermöglicht, sich laufend über die aktuelle Forschungstätigkeit zu informieren.186 So verweist der „Mustertext Patienteneinwilligung“ der MII etwa auf eine Internetseite, über die jedes Forschungsprojekt, dessen Antrag auf Datennutzung im Rahmen der Medizininformatik-Initiative bewilligt wurde, eingesehen werden kann. Zudem besteht die Möglichkeit, sich für einen E-Mail-Verteiler zu registrieren, der über neue Forschungsvorhaben informiert.187 Unabhängig davon muss die Aufklärung verdeutlichen, dass die späteren Forschungsprojekte zum Zeitpunkt der Abgabe der Einwilligung noch unbekannt sind und sich die Einwilligung etwa auf die Erforschung gänzlich neuer Diagnose- oder Behandlungsmethoden erstrecken kann.188 Daneben ist es wichtig, darauf hinzuweisen, dass der Zweck der künftigen Forschung nicht darin liegt, der betroffenen Person einen individuellen Nutzen in Bezug auf ihre Gesundheit zu bieten.189 2. Alternative Einwilligungsmodelle In die Diskussion um die Zulässigkeit des „Broad Consent“ werden daneben teils auch weitere Einwilligungsmodelle eingebracht. Dies gilt etwa für das Konzept der gestuften Einwilligung, nach dem der betroffenen Person eine Wahlmöglichkeit zugestanden wird, nur in ein konkretes Forschungsvorhaben, in Teilbereiche dieses Forschungsvorhabens oder in erst in der Zukunft zu definierende Forschungsvorhaben einzuwilligen.190 Daneben wird auch die Möglichkeit einer dynamischen Einwilligung diskutiert, wobei jedoch kein einheitliches Verständnis dieses Einwilligungsmodells besteht.191 So wird diese teilweise dahingehend verstanden, dass nach Ablauf eines gewissen Zeitraums, vor allem aber wenn neue Forschungszwecke feststehen, erneut Einwilligungserklärungen von den Teilnehmenden eingeholt werden sollen.192 Andere knüpfen an dieses Einwilligungsmodell eine begleitende dauerhafte Information der Teilnehmer hinsichtlich der Forschungstätigkeit.193
186
DSK, Beschluss zur Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ v. 3. April 2019, S. 2; Eichler, in: BeckOK Datenschutzrecht, Art. 89 DSGVO Rn. 2.2; Herbst, RphZ 2019, 271 (285 f.). 187 MII, „Mustertext Patienteneinwilligung“, Stand 16. April 2020, Version 1.6d, S. 3. 188 Herbst, DuD 2016, 371 (373); ders., RphZ 2019, 271 (280); v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 98; Dierks / Roßnagel, Sekundärnutzung von Sozialund Gesundheitsdaten, S. 112. 189 Herbst, DuD 2016, 371 (373). 190 Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 25; Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 78.1; Taeger, in: Taeger / Gabel, DSGVO BDSG, Art. 7 DSGVO Rn. 127. 191 v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 99 f. 192 Eichler, in: BeckOK Datenschutzrecht, Art. 89 DSGVO Rn. 2.2; Datenethikkommission, Gutachten der Datenethikkommission, Oktober 2019, S. 126. 193 Raum, in: Ehmann / Selmayr, DSGVO, Art. 89 DSGVO Rn. 36; Caspar, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 89 DSGVO Rn. 41.
E. Zulässigkeit der Verarbeitung personenbezogener Daten
373
Insbesondere das Konzept der gestuften Einwilligung bedarf vor dem Hintergrund des EG 33 S. 3 DSGVO, nach dem der betroffenen Person Gelegenheit gegeben werden sollte, „ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teile von Forschungsprojekten“ zu erteilen, einer näheren Betrachtung. Dieser Satz wird teilweise so verstanden, dass die Möglichkeit eines „Broad Consent“ unter der Bedingung stehe, dass der betroffenen Person i. S. e. gestuften Einwilligung die Möglichkeit eingeräumt werde, die Einwilligung auf einzelne Forschungsvorhaben zu beschränken.194 Diesbezüglich ist jedoch zu berücksichtigen, dass die Formulierung als „Soll-Vorschrift“ verdeutlicht, dass es sich keinesfalls um ein zwingendes Element handelt,195 sodass diese Bestimmung schwerlich als Bedingung qualifiziert werden kann. Vielmehr handelt es sich dabei um ein optionales Korrektiv. So hat auch die DSK in ihrem Beschluss vom 3. April 2019 die Prüfung, ob das Arbeiten mit einem „Dynamic Consent“ möglich ist, als eine zusätzliche Sicherungsmaßnahmen zur Vertrauensbildung eingeordnet.196 Was die Möglichkeit einer dynamischen Einwilligung i. S. e. nachträglichen Informationspflicht zur schrittweisen Konkretisierung der Folgeforschungsfragen betrifft, so ist festzuhalten, dass eine solche Pflicht gerade im Widerspruch zu der Idee des „Broad Consent“ steht, der es verhindern soll, dass der Verantwortliche für jedes Vorhaben erneut Kontakt zu der betroffenen Person herstellen und eine Einwilligung einholen muss.197 Hinzu kommt, dass den Forschern, soweit sie nur über pseudonymisierte Daten verfügen, eine Zuordnung zu einer bestimmten Person nicht ohne Weiteres möglich wäre. Der Kontakt zur betroffenen Person könnte dann nur hergestellt werden, wenn ein Datentreuhänder involviert würde.198
194
Fleischer, Rechtliche Aspekte der Systemmedizin, S. 285; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 527. 195 v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 99. 196 DSK, Beschluss zur Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ v. 3. April 2019, S. 2. 197 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 110. 198 Hänold, ZD-Aktuell 2020, 06954; auch Weichert / Krawczak, GMS Medizinische Informatik, Biometrie und Epidemiologie 2019, Vol. 15(1), S. 4 weisen darauf hin, dass das Vorgehen im Rahmen eines „Dynamic Consent“ praktisch oft nicht umsetzbar sei; dahingehend auch Herbst, RphZ 2019, 271 (286); in ähnlicher Weise bezeichnet auch das Forum Gesundheits forschung die notwendige De-Pseudonymisierung für die Rekontaktierung als datenschutzrechtliche Unwägbarkeit, Forum Gesundheitsforschung, Strategiepapier „Nutzbarmachung digitaler Daten für KI- und datengetriebene Gesundheitsforschung“, S. 29, abrufbar unter: https://www.gesundheitsforschung-bmbf.de/de/forum-gesundheitsforschung-5787.php.
374
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
II. Einwilligungsunabhängige Datenverarbeitung zu Forschungszwecken Neben der Möglichkeit, die Datenverarbeitung zu Forschungszwecken auf eine Einwilligung zu stützen, sieht das Datenschutzrecht an verschiedenen Stellen auch gesetzliche Rechtsgrundlagen für eine Datenverarbeitung zu Forschungszwecken vor. Nachfolgend soll daher zunächst untersucht werden, welchen rechtlichen Rahmen die DSGVO für die einwilligungsunabhängige Datenverarbeitung zu Forschungszwecken vorgibt, um sodann die Anpassung der Erlaubnistatbestände auf Bundes- und Landesebene sowie in den bereichsspezifischen Gesetzen näher zu betrachten. 1. Normativer Ausgangspunkt: Art. 9 Abs. 2 lit. j DSGVO Den normativen Ausgangspunkt für die einwilligungsunabhängige Verarbeitung besonderer Kategorien personenbezogener Daten zu Forschungszwecken bildet unter der Rechtslage der DSGVO die Vorschrift des Art. 9 Abs. 2 lit. j DSGVO. Diese sieht eine Ausnahme vom Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO für die Datenverarbeitung zu wissenschaftlichen Forschungszwecken vor.199 Art. 9 Abs. 2 lit. j DSGVO spannt dabei als Öffnungsklausel lediglich den rechtlichen Rahmen für die nationalen Vorschriften zur Datenverarbeitung in der Forschung auf, kann aus sich selbst heraus die entsprechende Datenverarbeitung jedoch nicht legitimieren.200 Sie entfaltet keine normative Wirkung, sondern bedarf vielmehr einer Grundlage im Unionsrecht bzw. im Recht der Mitgliedstaaten.201 Die Öffnungsklausel setzt voraus, dass das Recht der Mitgliedstaaten in angemessenem Verhältnis zu dem verfolgten Forschungsziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt sowie angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht. Diese Anforderungen verfolgen insgesamt das Ziel, einen Interessenausgleich zwischen der Notwendigkeit der Verarbeitung und dem Grundrechts- und Interessenschutz der betroffenen Person herzustellen.202 Unter Berücksichtigung dieser materiellen Vorgaben können die nationalen Gesetzgeber Erlaubnistatbestände für die Datenverarbeitung zu Forschungszwecken sowohl für die erstmalige Erhebung der Daten als auch für die Sekundärnutzung bereits vorhandener Daten schaffen oder beibehalten.203 199
Geminn, DuD 2018, 640 (642). Schneider, in: Krauskopf, Soziale Krankenversicherung, § 287 SGB V Rn. 26; Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 21; Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 91; Weichert, ZD 2020, 18 (18). 201 Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 91. 202 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 132. 203 Fleischer, Rechtliche Aspekte der Systemmedizin, S. 297; Jülicher, Medizininformationsrecht, S. 222; Hornung / Hofmann, ZD-Beil. 2017, 1 (12). 200
E. Zulässigkeit der Verarbeitung personenbezogener Daten
375
2. Systematik des nationalen Datenschutzrechts im Bereich der medizinischen Forschung In dem vorgehend dargestellten Rahmen ermöglicht Art. 9 Abs. 2 lit. j DSGVO den Mitgliedstaaten die Schaffung bzw. Beibehaltung von gesetzlichen Rechtsgrundlagen für die wissenschaftliche Forschung. Daher ist im Forschungsbereich auch nach dem Inkrafttreten der DSGVO weiterhin der nationale Rechtsrahmen zu beachten. Die auf Basis dieser Öffnungsklausel einschlägigen nationalen Vorschriften finden sich aufgrund der in Deutschland zwischen Bund und Ländern verteilten Gesetzgebungskompetenzen auf unterschiedlichen Gesetzesebenen.204 Bevor daher im Folgenden auf die Vereinbarkeit des nationalen Rechts mit den Vorgaben der DSGVO eingegangen wird, soll zunächst die Regelungsstruktur des nationalen Rechts betrachtet werden, um einen Überblick zu ermöglichen, für welche jeweilige Forschungseinrichtung die nachfolgenden Ausführungen von Bedeutung sind. a) Staatliches Datenschutzrecht aa) Regelungsstruktur des staatlichen Datenschutzrechts im Forschungsbereich Grundsätzlich ist auf nationaler Ebene zwischen Vorschriften auf Bundes- und Landesebene sowie jeweils zwischen allgemeinen und bereichsspezifischen Datenschutzregelungen zu differenzieren.205 Für die Frage, ob allgemeines Bundes- oder Landesdatenschutzrecht Anwendung findet, ist maßgeblich, ob es sich bei der mit der Datenverarbeitung befassten Stelle um eine öffentliche Stelle des Landes oder eine sonstige Stelle handelt. Das BDSG n. F. gilt gemäß § 1 Abs. 1 S. 2 BDSG n. F. zum einen für alle nichtöffentlichen Stellen i. S. d. § 2 Abs. 4 BDSG n. F., worunter alle Forschungseinrichtungen in privater Trägerschaft fallen.206 Zum anderen gilt das BDSG n. F. gemäß § 1 Abs. 1 S. 1 Nr. 1 BDSG n. F. für alle öffentlichen Stellen des Bundes und damit für Forschungsinstitute in Trägerschaft des Bundes.207 Die von den Ländern betriebenen Forschungseinrichtungen fallen hingegen nicht 204
Hänold, ZD-Aktuell 2020, 07046. Ausführlich zur Regelungsstruktur des nationalen Datenschutzrechts im Bereich des Gesundheitswesens schon unter Kap. 1 C. II., (S. 56 ff.). 206 Das BDSG n. F. gilt somit für Einrichtungen in privater Trägerschaft und sonstige privatrechtlich geführte Forschungseinrichtungen, wie die Frauenhofer-Institute, die Forschungszentren der Helmholtz-Gemeinschaft oder die Max-Planck-Institute, Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 100; Desoi / Jandt, DuD 2012, 895 (896); Pöttgen, Medizinische Forschung und Datenschutz, S. 70. 207 Daher ist das BDSG n. F. neben Krankenhäusern in Trägerschaft des Bundes etwa auch für das Robert-Koch-Institut als öffentliche Stelle des Bundes anwendbar, Pöttgen, Medizi nische Forschung und Datenschutz, S. 70. 205
376
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
in den Anwendungsbereich des BDSG n. F., da die jeweiligen Landesdatenschutzgesetze für diesen Bereich gemäß § 1 Abs. 1 S. 1 Nr. 2 BDSG n. F. vorrangig sind. Das BDSG n. F. und die LDSG sind allerdings gegenüber datenschutzrechtlichen Spezialvorschriften jeweils nur subsidiär anwendbar. Dies folgt auf Bundesebene aus § 1 Abs. 2 S. 1 BDSG n. F., die LDSG sehen entsprechende Subsidiaritätsklauseln vor.208 Auf Bundesebene finden sich bereichsspezifische Regelungen zum Forschungsdatenschutz etwa im SGB V hinsichtlich der Verarbeitung von Sozialdaten durch die gesetzlichen Krankenversicherungen oder im Arzneimittelgesetz und Medizinprodukterecht-Durchführungsgesetz hinsichtlich der Datenverarbeitung in klinischen Prüfungen.209 Neben diesen speziellen Bereichen findet die medizinische Forschung in Deutschland überwiegend an den Krankenhäusern statt.210 Vorgaben für die Verarbeitung personenbezogener Daten zu Zwecken der wissenschaftlichen Forschung in den Krankenhäusern finden sich speziell in den bereichsspezifischen Krankenhausgesetzen der Länder. Diese gelten, wie eingangs dargestellt, für Krankenhäuser in Trägerschaft der Länder sowie für Kranken häuser in privater Trägerschaft.211 In der Praxis haben diese Krankenhäuser daher zunächst zu prüfen, ob der in Frage stehende Verarbeitungsvorgang im jeweiligen Landeskrankenhausgesetz geregelt ist.212 Enthält das jeweilige Landeskrankenhausgesetz keine oder zumindest keine abschließenden Spezialregelungen für die Verarbeitung von Daten zu Forschungszwecken, so ist für Krankenhäuser in öffentlicher Trägerschaft eines Landes auf das jeweilige Landesdatenschutzgesetz und für Krankenhäuser in privater Trägerschaft auf das BDSG n. F. zurückzugreifen.213 Dies wird zunächst in Niedersachsen relevant, da das niedersächsische Krankenhausgesetz keine eigenen datenschutzrechtlichen Regelungen enthält. Daneben sehen die Landeskrankenhausgesetze in Hessen und Baden-Württemberg zwar Regelungen zum Datenschutz vor, enthalten jedoch keine bereichsspezifischen Vorschriften zum Forschungsdatenschutz. In Baden-Württemberg regelt § 43 Abs. 3 LKHG BW ausdrücklich, dass das LKHG BW für die Datenverarbeitung zu Zwecken der wissenschaftlichen Forschung keine Anwendung findet.214
208
S. etwa § 2 Abs. 6 LDSG SH oder § 2 Abs. 3 ThürDSG. Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 37; BT-Drs. 18/11325, S. 100. 210 Karaalp, Der Schutz von Patientendaten, S. 71; Pöttgen, Medizinische Forschung und Datenschutz, S. 64; Jülicher, Medizininformationsrecht, S. 210; Desoi / Jandt, DuD 2012, 895 (896). 211 S. dazu unter Kap. 1 C. II., (S. 56 ff.). 212 Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 53. 213 Sosna, Daten- und Geheimnisschutz, S. 32; Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Rn. 177; Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 39. 214 Als Ausnahme von diesem Grundsatz gilt § 46 Abs. 1 S. 1 lit. 2a LKHG BW jedoch für die Übermittlung von Patientendaten an Stellen außerhalb des Krankenhauses zur Durchführung medizinischer Forschungsvorhaben des Krankenhauses. 209
E. Zulässigkeit der Verarbeitung personenbezogener Daten
377
Die übrigen Bundesländer sehen in ihren Landeskrankenhausgesetzen spezielle Forschungsklauseln vor. Diese gehen den Landesdatenschutzgesetzen als leges speciales vor, soweit tatsächlich eine Konfliktlage existiert.215 Es bedarf daher eines ergänzenden Rückgriffs auf das allgemeine Landesdatenschutzgesetz, wenn nicht alle Verarbeitungsphasen von den jeweiligen Normen abgedeckt sind.216 Für Krankenhäuser in Trägerschaft einer öffentlichen Einrichtung des Landes ist daher zu prüfen, ob das Landeskrankenhausgesetz den Sachverhalt vollständig regelt oder die Regelungen des jeweiligen Landesdatenschutzgesetzes ergänzend heranzuziehen sind.217 Diesbezüglich ist zu berücksichtigen, dass die Forschungsklauseln der Krankenhausgesetze der Länder in Bezug auf ihren Regelungsumfang erheblich variieren.218 Die Bundesländer Berlin, Rheinland-Pfalz und Thüringen219 regeln in ihren jeweiligen Forschungsklauseln der Landeskrankenhausgesetze alle relevanten Verarbeitungsphasen, sodass ein Rückgriff auf die allgemeinen Datenschutzgesetze nicht erforderlich ist. Die verbleibenden Bundesländer sehen in ihren Landeskrankenhausgesetzen hingegen nur partielle Regelungen für die unterschiedlichen Verarbeitungsphasen vor, sodass für Krankenhäuser in öffentlicher Trägerschaft der Länder ergänzend die allgemeinen Landesdatenschutzgesetze zur Anwendung kommen. bb) Einordnung öffentlicher Forschungseinrichtungen als Wettbewerbseinrichtungen? In den Fällen, in denen es eines Rückgriffs auf das allgemeine Landesdatenschutzgesetz bedarf, gilt es zu beachten, dass die einzelnen Landesdatenschutzgesetze Wettbewerbsklauseln enthalten, nach denen öffentliche Stellen der Länder, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, als nichtöffentliche Stellen gelten.220 Die öffentlichen Forschungseinrichtungen der Länder würden im Falle der Einordnung als eine solche Wettbewerbseinrichtung folglich den Vorschriften des BDSG n. F. für nichtöffentliche Stellen unterliegen. Die Frage, ob öffentliche Krankenhäuser der Länder, die Daten zu Forschungszwecken verarbeiten, als solche am Wettbewerb teilnehmen, wird allerdings unterschiedlich bewertet. 215
Sosna, Daten- und Geheimnisschutz, S. 44. So differenziert zur Rechtslage unter der DSRL auch Karaalp, Der Schutz von Patientendaten, S. 84 ff. 217 Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 53. 218 Karaalp, Der Schutz von Patientendaten, S. 72; dazu ausführlich sogleich unter Kap. 7 E. II. 3. b), (S. 389 ff.). 219 Der Begriff der Verarbeitung in § 27 Abs. 4 ThürKHG, § 37 Abs. 1 LKG Rh.-Pf. sowie § 25 Abs. 1 LKG Berlin ist i. S. d. Art. 4 Nr. 2 DSGVO weit zu verstehen und erfasst daher auch die Datenerhebung zu Forschungszwecken, so auch Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 53. 220 S. etwa § 1 Abs. 4 NDSG, § 2 Abs. 4 LDSG Rh.-Pf. sowie § 2 Abs. 4 und 5 LDSG SH. 216
378
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
Dabei ist bereits im Grundsatz ungeklärt, ob die öffentliche Stelle insgesamt am Wettbewerb teilnehmen muss oder vielmehr eine differenzierte Betrachtung für unterschiedliche Tätigkeitsbereiche der Einrichtung geboten ist. So wird teilweise die Ansicht vertreten, dass hinsichtlich der Einordnung als öffentliches Wirtschaftsunternehmen auf das Krankenhaus als Ganzes abzustellen sei, da die Behandlung von Patienten und die Verarbeitung der Daten dieser Patienten zu Forschungszwecken in einem engen Zusammenhang stehe.221 Andere sprechen sich gegen eine einheitliche institutionelle Betrachtung und für eine „funktionelle Differenzierung nach verschiedenen Tätigkeiten“222 aus. Demnach bezieht sich die Wettbewerbssituation der Krankenhäuser nur auf die Bereiche, die tatsächlich Wettbewerbsleistungen erbringen. Wenn sich ein öffentlich-rechtliches Unternehmen nur mit einem Teil seiner Aktivitäten am Wettbewerb beteiligt, so würde folglich auch nur dieser Teil als nichtöffentliche Stelle gelten. Nach dem Wortlaut in den Landesdatenschutzgesetzen unterliegen öffentliche Stellen den Regelungen des BDSG n. F. nur, „soweit“ sie am Wettbewerb teilnehmen.223 In diesem Sinne verdeutlicht bereits der Wortlaut der einzelnen Regelungen, dass es maßgeblich darauf ankommt, ob der jeweilige Tätigkeitsbereich des Krankenhauses am Wettbewerb teilnimmt. Das Argument von Pöttgen, dass es nicht darauf ankomme, für welche Tätigkeit die Datenverarbeitung erfolge, sondern lediglich darauf, ob sie generell von einem Wettbewerbsunternehmen ausgeübt werde,224 ist mit dem Gesetzeswortlaut daher schwerlich vereinbar.225 Beteiligt sich eine öffentliche Einrichtung nur mit einem Teil ihrer Aktivitäten am Wettbewerb, so gilt daher auch nur dieser Teil als nichtöffentliche Stelle.226 Daher stellt sich weiter die Frage, ob Krankenhäuser auch im Rahmen ihrer Forschungstätigkeit als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Auch dies wird unterschiedlich beurteilt. Überwiegend wird angenommen, dass öffentliche Krankenhäuser der Länder, die Daten für Forschungszwecke verarbeiten, in dieser Funktion nicht als öffentliche Unternehmen am Wettbewerb teilnehmen.227 Dies wird in Bezug auf die Forschung an den Universitätskliniken
221
Pöttgen, Medizinische Forschung und Datenschutz, S. 65 f.; Karaalp, Der Schutz von Patientendaten, S. 75 f. 222 Schneider, Sekundärnutzung klinischer Daten, S. 91. 223 § 2 Abs. 6 LDSG BW, § 2 Abs. 2 HDSIG, § 1 Abs. 4 NDSG, § 2 Abs. 5 LDSG SH. 224 Pöttgen, Medizinische Forschung und Datenschutz, S. 66. 225 Schneider, Sekundärnutzung klinischer Daten, S. 91 Fn. 277. 226 Schulz, in: Gola / Heckmann, BDSG, § 2 BDSG Rn. 27; Arning / Rothkegel, in: Taeger / Gabel, DSGVO BDSG, § 2 BDSG Rn. 96 zwar für die parallele Norm im BDSG n. F., die jedoch ebenfalls den Wortlaut „soweit“ verwendet; Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 39; a. A. Karaalp, Der Schutz von Patientendaten, S. 74 ff., der eine Einteilung anhand der Funktionsabschnitte eines Krankenhauses entgegen dem Wortlaut ablehnt. 227 Bizer, Forschungsfreiheit und Informationelle Selbstbestimmung, S. 353; Münch, Autonome Systeme im Krankenhaus, S. 92; Polenz, in: Taeger / Pohle, Computerrechts-Handbuch,
E. Zulässigkeit der Verarbeitung personenbezogener Daten
379
regelmäßig damit begründet, dass die Forschungstätigkeit nicht der regulären wirtschaftlichen Tätigkeit der Klinik, sondern vielmehr dem staatlichen Forschungsauftrag zuzuordnen sei.228 Demnach wäre die Datenverarbeitung zu Forschungszwecken durch öffentliche Krankenhäuser in Trägerschaft eines Landes nicht vom Anwendungsbereich der LDSG ausgenommen, sodass auch für den Bereich der wissenschaftlichen Forschung die Regelungen für öffentliche Stellen zur Anwendung kämen. In der neueren Literatur wird demgegenüber zum Teil die Auffassung vertreten, dass Krankenhäuser in Trägerschaft der Länder auch im Forschungsbereich im Wettbewerb mit anderen Krankenhäusern stehen, da sie mit diesen um die meisten Forschungsgelder und die valideren Forschungsergebnisse konkurrieren.229 Ob es sich bei dem Wettbewerb um öffentliche Forschungsmittel allerdings um einen Wettbewerb im Sinne der Wettbewerbsklauseln in den Landesdatenschutzgesetzen handelt, darf bezweifelt werden. Denn Voraussetzung für eine Teilnahme am Wettbewerb ist zumindest ein Agieren am Markt.230 Im Rahmen des Wettbewerbs um öffentliche Gelder zur Durchführung medizinischer Forschungsvorhaben konkurrieren die Krankenhäuser hingegen um den Zugang zu diesen öffentlichen Forschungsgeldern, die gerade nicht nach den üblichen Kriterien am Markt vergeben werden.231 Etwas anderes kann allenfalls bei kommerziell betriebenen klinischen Prüfungen von Arzneimitteln oder Medizinprodukten gelten. Zusammenfassend lässt sich somit festhalten, dass die Forschungstätigkeit öffentlicher Forschungseinrichtungen der Länder mangels Agierens am Markt überwiegend kein Wettbewerbshandeln darstellt, sodass diese Einrichtungen vorwiegend den Vorgaben des jeweiligen Landesdatenschutzgesetzes unterliegen. Dies deckt sich mit der Einschätzung des niedersächsischen Landesgesetzgebers, der im Rahmen der Anpassung des Landesrechts an die DSGVO explizit davon ausgegangen ist, dass Krankenhäuser in öffentlich-rechtlicher Trägerschaft zwar grundsätzlich ein typisches Beispiel für öffentliche Wettbewerbsunternehmen darstellen, dies jedoch nicht „im Bereich von Forschung und Lehre“232 gelte. Ähnliches findet sich auch in den Gesetzesmaterialien zum LDSG SH, in denen Universitätkliniken Teil 13: Materielles allgemeines Datenschutzrecht Rn. 7; Jäschke / Hacks, in: Jäschke, Datenschutz im Gesundheitswesen, S. 8; so auch Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 20 ff.; Fleischer, Rechtliche Aspekte der Systemmedizin, S. 238 Fn. 1092, die diesbezüglich allerdings zwischen der Primär- und Sekundärnutzung der Daten unterscheiden, die Forschungsklauseln des LDSG könnten danach nur Anwendung finden, wenn die Patientendaten bereits zu Forschungszwecken erhoben wurden. 228 Münch, Autonome Systeme im Krankenhaus, S. 92; Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 22. 229 Schneider, Sekundärnutzung klinischer Daten, S. 91, 136; Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 39, 93. 230 Schulz, in: Gola / Heckmann, BDSG, § 2 BDSG Rn. 27. 231 S. dazu Jansen, MedR 2008, 185 (185 ff.); a. A. Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 39. 232 LT-Drs. 18/548, S. 38.
380
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
zwar als Beispiel für Wettbewerbseinrichtungen angeführt werden, dies aber ausdrücklich nur „im Rahmen der Patientenversorgung“233 gelte. b) Kirchliches Datenschutzrecht Da etwa ein Viertel aller Krankenhäuser in Deutschland in kirchlicher Trägerschaft steht,234 kommt auch den kirchlichen Datenschutzregelungen für den Forschungsbereich eine große Bedeutung zu. Mit der Regelung in Art. 91 DSGVO haben die Kirchen die ausdrückliche Kompetenz erhalten, eigene datenschutzrechtliche Gestaltungsmöglichkeiten wahrzunehmen. Wie beschrieben, haben sowohl die katholische als auch die evangelische Kirche eigene Datenschutzregelungen erlassen, um den Einklang mit der DSGVO herzustellen.235 Das Verhältnis dieser Regelungen zum staatlichen Datenschutzrecht ist jedoch umstritten. Art. 137 Abs. 3 S. 1 WRV gewährt das Selbstbestimmungsrecht der Kirchen „innerhalb der Schranken des für alle geltenden Gesetzes“. Von der Definition der Schranke dieses Gesetzes hängt es somit ab, in welchem Umfang die Kirchen ihren eigenen Gesetzen oder dem staatlichen Recht unterliegen.236 Vor dem Hintergrund der durch die Rechtsprechung geprägten Bereichslehre,237 nach der der Innenbereich des kirchlichen Wirkens dem staatlichen Gesetz unzugänglich ist, wird diskutiert, ob die Forschung mit Patientendaten als religiöser Kernbereich zu betrachten ist und entsprechend der Anwendungsbereich des kirchlichen Datenschutzrechts auch für die Datenverarbeitung zu Forschungszwecken in kirchlichen Krankenhäusern gilt oder ob für diese Tätigkeit vielmehr die staatlichen Datenschutzregelungen Anwendung finden.238 Diese Abgrenzung wird insbesondere dann relevant, wenn die Landeskrankenhausgesetze einiger Länder erklären, dass sie für alle Krankenhäuser und mithin auch für kirchliche Krankenhäuser gelten.239 Zu den eigenen kirchlichen Angelegenheiten zählt dabei das, was materiell, 233
LT-Drs. 19/429, S. 130. Dies entspricht 550 Krankenhäusern, https://christliche-krankenhaeuser.de/#/wer-wirsind. 235 S. dazu unter Kap. 1 C. I. 4. c), (S. 54 f.). 236 Korioth, in: Maunz / Dürig, GG-Kommentar, Art. 137 WRV Rn. 44. 237 BVerfGE 18, 385 (387); E 42, 312 (334 f.). 238 Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 80 ff., 88; dazu ausführlich Karaalp, Der Schutz von Patientendaten, S. 77 ff.; Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 283 f.; Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 12; Bizer, Forschungsfreiheit und Informationelle Selbstbestimmung, S. 357 f.; Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 115 ff.; ders., in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 209 f.; Sosna, Daten- und Geheimnisschutz, S. 50 ff. 239 So in Art. 2 BayKrG, § 2 S. 1 LKG Berlin, § 3 Abs. 3 LKHG M-V, 3 Abs. 2 LKHG Rh.-Pf., § 2 Abs. 2 SächsKHG, § 3 Abs. 1 ThürKHG; Karaalp, Der Schutz von Patientendaten, S. 77; Seifert, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 91 DSGVO Rn. 3; ausführlich dazu Preuß, ZD 2015, 217 (218 ff.). 234
E. Zulässigkeit der Verarbeitung personenbezogener Daten
381
der Natur der Sache oder Zweckbeziehung nach als eigene Angelegenheit einer Religionsgesellschaft anzusehen ist.240 Nach Ansicht des BVerfG gehört zumindest die kirchlich getragene Krankenpflege zur inneren Angelegenheit der Kirchen.241 Je weiter sich der Sachverhalt von diesem innerkirchlichen Kernbereich entfernt, desto stärker wird der Anwendungsanspruch des staatlichen Rechts.242 Im Forschungskontext wird dieser Bereich so weit verlassen, dass die Normen des staatlichen Datenschutzrechts Anwendung finden müssen.243 Da die Forschungstätigkeit keine innere Angelegenheit der Religionsgemeinschaften darstellt, wird ihr verfassungsrechtlich gewährtes Selbstverwaltungsrecht durch die Anwendung der staatlichen Gesetze nicht eingeschränkt.244 Daher sind die kirchlichen Einrichtungen im Forschungsbereich gemäß Art. 140 GG i. V. m. Art. 137 Abs. 3 S. 1 WRV an das für alle geltende Gesetz gebunden.245 Räumen die Landeskrankenhausgesetze einzelner Bundesländer den Kirchen hingegen explizit die Befugnis ein, eigene Regelungen zu erlassen,246 so sind diese kirchlichen Vorschriften anwendbar.247 Auch in den Ländern, die keine staat lichen bereichsspezifischen Forschungsklauseln vorsehen, sind die kirchlichen Forschungsklauseln anzuwenden.248 c) Zwischenergebnis An den vorstehenden Ausführungen ist deutlich geworden, dass die Anwendungsbereiche der einzelnen im Rahmen der europäischen Vorgaben weiterhin zu beachtenden nationalen Datenschutzgesetze im Forschungsbereich sehr unübersichtlich sind.249 Je nach Trägerschaft und Bundesland der jeweiligen Einrichtung sind demnach unterschiedliche gesetzliche Vorgaben zu beachten. Nach der Bestimmung des im Einzelfall jeweils einschlägigen Rechtsrahmens kann sodann untersucht werden, welche Voraussetzungen die nationalen Regelungen für die 240
BVerfGE 18, 385 (387). BVerfGE 53, 366 (393); a. A. Sondervotum Rottmann, BVerfGE 53, 366 (410 f.). 242 Sosna, Daten- und Geheimnisschutz, S. 66. 243 Sosna, Daten- und Geheimnisschutz, S. 66; Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 83, 115; Schneider, Sekundärnutzung klinischer Daten, S. 81. 244 Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 115. 245 Karaalp, Der Schutz von Patientendaten, S. 79; Bizer, Forschungsfreiheit und Informationelle Selbstbestimmung, S. 357 f.; Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 26, 283 f. 246 So etwa in § 43 Abs. 2 LKHG BW, § 7 Abs. 4 HmbKHG, § 2 Abs. 3 GDSG NW und § 2 Abs. 2 SKHG. 247 Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, S. 284; Karaalp, Der Schutz von Patientendaten, S. 79 f.; Sosna, Daten- und Geheimnisschutz, S. 67. 248 Karaalp, Der Schutz von Patientendaten, S. 80. 249 Fleischer, Rechtliche Aspekte der Sytemmedizin, S. 238 Fn. 1092. 241
382
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
Datenverarbeitung zu Forschungszwecken im Einzelnen aufstellen und ob diese den Anforderungen der DSGVO genügen. 3. Nationale Forschungsklauseln Die im Rahmen des Art. 9 Abs. 2 lit. j DSGVO anwendbaren nationalen Forschungsklauseln finden sich auf Bundesebene in § 27 BDSG n. F. sowie auf Landesebene in den Landesdatenschutz- und Landeskrankenhausgesetzen. In der Praxis wurde aufgrund der mit den divergierenden Vorgaben verbundenen Rechtsunsicherheit bislang überwiegend auf die Einwilligung zurückgegriffen. Vor diesem Hintergrund sollen nachfolgend die Voraussetzungen der einzelnen Forschungsklauseln dargestellt werden, um sodann beurteilen zu können, inwieweit die an die DSGVO angepassten Forschungsklauseln den Vorgaben der DSGVO genügen und welches Potential diese für die wissenschaftliche Forschung insgesamt entfalten. a) Art. 9 Abs. 2 lit. j DSGVO i. V. m. § 27 BDSG n. F. Art. 9 Abs. 2 lit. j DSGVO eröffnet den nationalen Gesetzgebern einen Gestaltungsspielraum, um im nationalen Recht Ausnahmetatbestände für die Verarbeitung besonderer Kategorien personenbezogener Daten zu wissenschaftlichen Forschungszwecken zu schaffen.250 Mit § 27 BDSG n. F. hat der deutsche Gesetzgeber von diesem in Art. 9 Abs. 2 lit. j DSGVO angelegten Gestaltungsspielraum Gebrauch gemacht. Nach § 27 Abs. 1 S. 1 BDSG n. F. ist die Verarbeitung besonderer Kategorien personenbezogener Daten auch ohne Einwilligung für wissenschaftliche Forschungszwecke auf Basis einer Interessenabwägung zulässig. Der Zweck der wissenschaftlichen Forschung i. S. d. § 27 Abs. 1 S. 1 BDSG n. F. ist dabei wie auch in der DSGVO weit auszulegen, um die nötige Konsistenz zwischen DSGVO und BDSG n. F. zu wahren.251 Auch das BDSG a. F. sah bereits auf mehrere Normen verteilte Regelungen zur Erhebung, Speicherung, Veränderung und Nutzung personenbezogener Daten zu wissenschaftlichen Zwecken vor.252 Dabei war hinsichtlich der einschlägigen Rechtsgrundlage nicht nur zwischen den verschiedenen Verarbeitungsphasen zu differenzieren, sondern auch danach zu unterscheiden, ob es sich bei der Forschungseinrichtung um eine öffentliche oder nichtöffentliche Stelle handelt.253 § 27 BDSG n. F. greift zahlreiche Elemente der Vorgängernormen auf und führt 250
Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 4; Kingreen / Kühling, Rechtsfragen der Datennutzung, S. 27. 251 Krohm, in: Gola / Heckmann, BDSG, § 27 BDSG Rn. 13. 252 Zum Beispiel § 13 Abs. 2 Nr. 8 BDSG a. F. (Datenerhebung im öffentlichen Bereich), § 14 Abs. 2 Nr. 9 BDSG a. F. (Datennutzung im öffentlichen Bereich), § 28 Abs. 6 Nr. 4 BDSG a. F. (Datenerhebung und -nutzung im nichtöffentlichen Bereich). 253 Pöttgen, Medizinische Forschung und Datenschutz, S. 129.
E. Zulässigkeit der Verarbeitung personenbezogener Daten
383
diese gewissermaßen zusammen.254 So gilt dieser für die öffentliche und private Forschung durch öffentliche und nichtöffentliche Stellen.255 Zudem umfasst der in § 27 Abs. 1 S. 1 BDSG n. F. verwendete Begriff der Verarbeitung nun sämtliche Verarbeitungsphasen.256 § 25 BDSG n. F., der eine eigene Rechtsgrundlage für die Datenübermittlung personenbezogener Daten durch öffentliche Stellen vorsieht, findet insoweit neben § 27 Abs. 1 S. 1 BDSG n. F. keine Anwendung.257 Ausweislich der Gesetzesbegründung gilt die Rechtsgrundlage des § 27 Abs. 1 S. 1 BDSG n. F. auch für die zweckändernde Weiterverarbeitung besonderer Kategorien personenbezogener Daten.258 Als Begründung führt diese an, dass sich der Verantwortliche bei der Weiterverarbeitung besonderer Kategorien personenbezogener Daten als Rechtsgrundlage erneut auf die Rechtsgrundlage stützen könne, die bereits für die Erstverarbeitung galt. Zu Recht wird diese Darstellung als „zumindest missverständlich“259 bezeichnet.260 Wie bereits dargelegt, benötigt jede zweckändernde Weiterverarbeitung eine eigenständige Rechtsgrundlage, die der Gesetzgeber mit § 27 Abs. 1 S. 1 BDSG n. F. geschaffen hat.261 Die §§ 23 und 24 BDSG n. F., die Regelungen für die Verarbeitung personenbezogener Daten durch öffentliche und nichtöffentliche Stellen zu anderen Zwecken vorsehen, finden insoweit neben § 27 Abs. 1 S. 1 BDSG n. F. keine Anwendung.262 aa) Rechtsnatur des § 27 Abs. 1 S. 1 BDSG n. F. Die genaue Rechtsnatur des § 27 Abs. 1 S. 1 BDSG n. F. ist noch ungeklärt.263 So gehen manche Stimmen in der Literatur davon aus, dass die Norm lediglich beschreibe, unter welchen Voraussetzungen das in Art. 9 Abs. 1 DSGVO vorgesehene grundsätzliche Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten ausnahmsweise nicht gelte und daher neben § 27 Abs. 1 S. 1 BDSG n. F. zusätzlich eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO erforderlich sei.264 Auch 254
Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 3. BT-Drs. 18/11325, S. 99. 256 Insbesondere differenziert dieser, anders als nach altem Recht, auch nicht zwischen der Datenverarbeitung zu eigenen Geschäftszwecken und der Übermittlung an Dritte zu Forschungszwecken, Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 18. 257 BR-Drs. 110/17, S. 99. 258 BR-Drs. 110/17, S. 99; s. auch Greve, NVwZ 2017, 737 (739). 259 Weichert, in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, § 27 BDSG Rn. 13. 260 Kritik an den Ausführungen in der Gesetzesbegründung auch bei Fleischer, Rechtliche Aspekte der Systemmedizin, S. 303. 261 Weichert, in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, § 27 BDSG Rn. 13; ausführlich dazu unter Kap. 7 C. I., (S. 352 ff.). 262 BR-Drs. 110/17, S. 99. 263 Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 5. 264 Louven, in: Taeger / Gabel, DSGVO BDSG, § 27 BDSG Rn. 4; Krohm, in: Gola / Heckmann, BDSG, § 27 BDSG Rn. 8; Korge, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 9 DSGVO Rn. 50. 255
384
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
der deutsche Gesetzgeber vertritt ausweislich der Gesetzesbegründung die Ansicht, dass das Vorliegen einer gesonderten Rechtsgrundlage notwendig sei und verweist beispielhaft auf Art. 6 Abs. 1 lit. f DSGVO.265 Dem wird zu Recht widersprochen. Zunächst ist der Wortlaut der Norm als Erlaubnistatbestand gefasst und die Vorschrift enthält alle notwendigen Tatbestandsmerkmale einer datenschutzrechtlichen Rechtsgrundlage.266 Zudem gestattet die Öffnungsklausel des Art. 9 Abs. 2 lit. j DSGVO es den Mitgliedstaaten gerade, einen eigenen Erlaubnistatbestand für die Datenverarbeitung zu Forschungszwecken im nationalen Recht zu schaffen.267 Daneben könnte Art. 6 Abs. 1 DSGVO selbst die Verarbeitung von Gesundheitsdaten als besondere Kategorien personenbezogener Daten nicht legitimieren.268 Die Vorschrift des § 27 BDSG n. F. ist somit richtigerweise als eigenständige Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu Forschungszwecken zu betrachten. bb) Interessenabwägung § 27 Abs. 1 S. 1 BDSG n. F. verlangt, dass das Interesse des Verantwortlichen an der Datenverarbeitung das Interesse der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegt.269 Es ist mithin eine einzelfallorientierte Abwägung der Interessen des Verantwortlichen mit denen der betroffenen Person durchzuführen, wobei u. a. die Bedeutung des Forschungszwecks für das Gemeinwohl und die Tiefe des Eingriffs in die Grundrechte der betroffenen Person von Bedeutung sind.270 Dabei ist zu berücksichtigen, dass der nationale Gesetzgeber den Interessen der betroffenen Person einen relativen Vorrang gegenüber den Forschungsinteressen eingeräumt hat.271 Ein einfaches Überwiegen der Interessen des Verantwortlichen genügt daher nicht, um die Datenverarbeitung zu legitimieren, vielmehr muss das Interesse an der Datenverarbeitung erheblich überwiegen.272 Grundsätzlich wird dabei angenommen, dass Fortschritte in der medizinischen Forschung im Rahmen der Abwägung besonders zu gewichten sind.273 Je bedeutender das Forschungsprojekt für die Allgemeinheit ist, desto eher kann somit von 265
BT-Drs. 18/11325, S. 99. Johannes / Richter, DuD 2017, 300 (302); Arning, in: Moos / Schefzig / A rning, Die neue Datenschutz-Grundverordnung, Kap. 17 Fn. 310. 267 Greve, in: Auernhammer, DSGVO BDSG, § 27 BDSG Rn. 8; Johannes / Richter, DuD 2017, 300 (302); Buchner / Tinnefeld, in: Kühling / Buchner, DSGVO BDSG, § 27 BDSG Rn. 8. 268 Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 90. 269 Pauly, in: Paal / Pauly, DSGVO BDSG, § 27 BDSG Rn. 8. 270 Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 31; Roßnagel, ZD 2019, 157 (161); Achenbach, PharmR 2020, 9 (18). 271 Pauly, in: Paal / Pauly, DSGVO BDSG, § 27 BDSG Rn. 8. 272 Krohm, in: Gola / Heckmann, BDSG, § 27 BDSG Rn. 23. 273 Krohm, in: Gola / Heckmann, BDSG, § 27 BDSG Rn. 24; Buchner / Tinnefeld, in: Kühling / Buchner, DSGVO BDSG, § 27 BDSG Rn. 12. 266
E. Zulässigkeit der Verarbeitung personenbezogener Daten
385
einem erheblichen Überwiegen des Forschungsinteresses ausgegangen werden.274 Ferner sind im Rahmen der Abwägung auch die Umstände der Datenverarbeitung zu würdigen, sodass für das Überwiegen der Interessen des Verantwortlichen etwa angeführt werden kann, dass die Daten lediglich pseudonymisiert verarbeitet werden.275 Dies bedeutet allerdings nicht, dass die pseudonymisierte Datenverarbeitung im Rahmen medizinischer Forschungsprojekte stets zulässig ist, vielmehr sind die Rechte der betroffenen Person ebenfalls stark zu gewichten. Dies gilt insbesondere, da § 27 BDSG n. F. die Verarbeitung von schützenswerten besonderen Kategorien personenbezogener Daten betrifft.276 Letztlich ist daher eine Interessenabwägung anhand des konkreten Einzelfalls vorzunehmen, die sich an den aufgeführten Maßstäben orientieren kann. Insgesamt ist das in dieser Forschungsklausel aufgestellte allgemeine Abwägungskriterium praktisch schwer greifbar, wird nur selten ein eindeutiges Ergebnis vorgeben können und ist daher mit erheblichen Rechtsunsicherheiten verbunden.277 Dies gilt insbesondere, zumal sich bisher noch keine konkreten Kriterien herausgebildet haben, welche Voraussetzungen an das „erhebliche Überwiegen“ des Interesses des Verantwortlichen an der Datenverarbeitung zu stellen sind.278 Verantwortliche Forschungseinrichtungen werden sich daher im Einzelfall fragen müssen, wann die Erheblichkeitsschwelle tatsächlich überschritten ist.279 In diesem Zusammenhang hatte der Bundesrat bereits im Gesetzgebungsverfahren auf eine mögliche Praxisuntauglichkeit hingewiesen und daher empfohlen, den Begriff „erheblich“ zu streichen.280 Die Bundesregierung hat den Vorschlag des Bundesrats allerdings mit dem Hinweis abgelehnt, dass die beabsichtigte Regelung dem bis dahin geltenden Recht entspreche.281 Doch nicht nur in Bezug auf die Praxistauglichkeit des Erheblichkeitskriteriums sind Bedenken angebracht. Daneben stellt sich vor allem auch die Frage, ob das Erheblichkeitskriterium mit den Wertungen der DSGVO zu vereinbaren ist. Da die Vorgaben des Art. 9 Abs. 2 lit. j DSGVO insgesamt weniger streng sind als diejenigen in den Forschungsklauseln des bisherigen BDSG a. F., wird es zum Teil begrüßt, dass der Gesetzgeber in § 27 BDSG n. F. zumindest am Erfordernis des erheblichen Überwiegens festgehalten habe.282 So erlaubten die bisherigen 274
Werkmeister / Schwaab, CR 2019, 85 (89). Krohm, in: Gola / Heckmann, BDSG, § 27 BDSG Rn. 26. 276 Krohm, in: Gola / Heckmann, BDSG, § 27 BDSG Rn. 25. 277 So schon Pigeot / Buchner, DuD 2014, 816 (817) allgemein zur Abwägung im Rahmen von Forschungstatbeständen; dahingehend auch BÄK, Ausschuss-Drs. 19(14)165(14), S. 19. 278 Achenbach, PharmR 2020, 9 (18); Datenethikkommission, Gutachten der Datenethikkommission, Oktober 2019, S. 125. 279 Krohm, in: Gola / Heckmann, BDSG, § 27 BDSG Rn. 28. 280 BR-Drs. 110/1/17 (neu), S. 34; BR-Drs. 110/17 (B), S. 26; Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 34. 281 BT-Drs. 18/11655, S. 31. 282 Jülicher, Medizininformationsrecht, S. 224. 275
386
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
Forschungsklauseln auf Bundesebene die Verarbeitung personenbezogener Daten nur, soweit der Forschungszweck auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden konnte und gaben somit einen besonders strengen Erforderlichkeitsmaßstab vor.283 Jedoch ist in diesem Zusammenhang zu berücksichtigen, dass nicht das BDSG a. F. den Maßstab für die Neuregelung des BDSG n. F. vorgibt, sondern dieses sich vielmehr an den Vorgaben der DSGVO zu orientieren hat. Die DSGVO sieht für die Datenverarbeitung zu Forschungszwecken weitreichende Privilegierungen vor, denen auch im nationalen Recht durch großzügigere Regelungen zur wissenschaftlichen Forschung Rechnung zu tragen war.284 Vor diesem Hintergrund ist fraglich, ob das Erfordernis des erheblichen Überwiegens des Forschungsinteresses mit der von der DSGVO verfolgten Privilegierung der wissenschaftlichen Forschung vereinbar ist.285 Die Öffnungsklausel des Art. 9 Abs. 2 lit. j DSGVO setzt jedenfalls kein erhebliches Überwiegen der Interessen des Verantwortlichen voraus,286 sondern geht im Grundsatz von einer Gleichwertigkeit der Schutz- und Forschungsinteressen aus.287 Daher wird es überwiegend kritisch betrachtet, dass der nationale Gesetzgeber mit dem Kriterium der Erheblichkeit die auf europäischer Ebene vorgesehene privilegierte Verarbeitung zu Forschungszwecken einschränkt.288 Die Anforderung, dass die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen müssen, spiegelt die weitreichenden Privilegierungen der DSGVO nicht wider, sie stellt allenfalls eine Annäherung an die DSGVO im Vergleich zu den Maßstäben der Forschungsklauseln im bisherigen BDSG a. F. dar.289 Angesichts der weiten Öffnungsklauseln in der DSGVO und dem damit verbleibenden mitgliedstaatlichen Gestaltungsspielraum ist dies jedoch nicht als Verstoß gegen die Vorgaben der DSGVO zu werten.290 So gestattet es Art. 9 Abs. 4 DSGVO dem nationalen Gesetzgeber, Bedingungen oder Beschränkungen für die Verarbeitung von Gesundheitsdaten einzuführen oder auf 283 Johannes / Richter, DuD 2017, 300 (302); Johannes, in: Roßnagel, Das neue Datenschutzrecht, § 7 Rn. 269; Raum, in: Ehmann / Selmayr, DSGVO, Art. 89 DSGVO Rn. 55; s. dazu etwa § 28 Abs. 2 Nr. 3 BDSG a. F. 284 Bieresborn, in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 49 f. 285 Dies verneinend Weichert, ZD 2020, 18 (22); ders., in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, § 27 BDSG Rn. 13a; a. A. noch ders., DuD 2017, 538 (542), der annahm, dass die Privilegierung der Forschung aus Art. 9 Abs. 2 lit. j DSGVO in § 27 Abs. 1 BDSG n. F. auf nationaler Ebene ohne inhaltliche Eingrenzung oder Konkretisierung als ausdrückliche Befugnisregelung wiederholt werde. 286 BR-Drs. 110/1/17 (neu), S. 34; BR-Drs. 110/17 (B), S. 26; Krohm, in: Gola / Heckmann, BDSG, § 27 BDSG Rn. 27. 287 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 179. 288 Krohm, in: Gola / Heckmann, BDSG, § 27 BDSG Rn. 28; Weichert, ZD 2020, 18 (22); ders., in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, § 27 BDSG Rn. 13a. 289 Fleischer, Rechtliche Aspekte der Systemmedizin, S. 310 f. 290 Bernhardt / Ruhmann / Weichert, Die Forschungsklauseln im neuen Datenschutzrecht, S. 9.
E. Zulässigkeit der Verarbeitung personenbezogener Daten
387
rechtzuerhalten, was auch eine nationale Entscheidungsbefugnis hinsichtlich der Gewichtung der Schutz- und Forschungsinteressen beinhaltet.291 Zudem verbleibt im Rahmen der in § 27 Abs. 1 S. 1 BDSG n. F. vorgeschriebenen Interessenabwägung Raum für eine DSGVO-konforme Auslegung.292 cc) Angemessene und spezifische Maßnahmen und Garantien Zudem hat der Verantwortliche nach § 27 Abs. 1 S. 2 BDSG n. F. angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Abs. 2 S. 2 BDSG n. F. vorzusehen. Dieses Erfordernis setzt die Forderung nach angemessenen und spezifischen Maßnahmen für die Grundrechte und Interessen der betroffenen Person aus Art. 9 Abs. 2 lit. j DSGVO um.293 § 22 Abs. 2 S. 2 BDSG n. F. listet zehn nicht abschließende technische und organisatorische Maßnahmen auf, wie beispielsweise die Pseudonymisierung personenbezogener Daten. Ob der Verweis auf § 22 Abs. 2 S. 2 BDSG n. F. der Aufgabe des nationalen Gesetzgebers genügt, im Rahmen von Art. 9 Abs. 2 lit. j DSGVO verbindliche Maßnahmen als Ausgleich für die privilegierte Verarbeitung besonderer Datenkategorien zu Forschungszwecken festzulegen, wird teilweise bezweifelt. So wird angeführt, dass die Schutzmaßnahmen nicht vom Gesetzgeber selbst bestimmt wurden, sondern in der Norm vielmehr dem Verantwortlichen auferlegt werden.294 Überdies seien die Maßnahmen des § 22 Abs. 2 S. 2 BDSG n. F. selbst nicht verbindlich, vielmehr liste dieser lediglich Beispiele für verschiedene Maßnahmen auf.295 Jedoch finden sich in der DSGVO selbst derartige offene Formulierungen in Bezug auf Garantien für die Datenverarbeitung zu Forschungszwecken, wie etwa in Art. 89 Abs. 1 S. 3 DSGVO, sodass anzunehmen ist, dass der Verweis in § 27 Abs. 1 S. 2 BDSG n. F. den Anforderungen der DSGVO an angemessene und spezifische Maßnahmen als Ausgleich für die privilegierte Verarbeitung besonderer Datenkategorien genügt.296
291
Fleischer, Rechtliche Aspekte der Systemmedizin, S. 302; auch Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 DSGVO Fn. 200 nimmt an, dass das Erfordernis eines „erhebliche[n] Überwiegens“ angesichts der Vorgaben in Art. 9 Abs. 4 DSGVO noch zulässig sein dürfte. 292 Bernhardt / Ruhmann / Weichert, Die Forschungsklauseln im neuen Datenschutzrecht, S. 9; Weichert, ZD 2020, 18 (22). 293 BT-Drs. 18/11325, S. 99; Johannes / Richter, DuD 2017, 300 (302). 294 Fleischer, Rechtliche Aspekte der Systemmedizin, S. 311; Golla, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 23 Rn. 32; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1354. 295 Johannes / Richter, DuD 2017, 300 (303). 296 So auch Krohm, in: Gola / Heckmann, BDSG, § 27 BDSG Rn. 31; Greve, in: Auernhammer, DSGVO BDSG, § 27 BDSG Rn. 16; Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 35.
388
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
dd) Anonymisierungs- und Trennungsgebot Ergänzend zu den Maßnahmen nach § 22 Abs. 2 BDSG n. F. sieht § 27 Abs. 3 S. 1 BDSG n. F. vor, dass personenbezogene Daten zu anonymisieren sind, sobald dies nach dem jeweiligen Forschungszweck möglich ist. Eine Anonymisierung kann etwa dann mit dem Forschungszweck unvereinbar sein, wenn Langzeitstudien es erforderlich machen, neue Daten mit bereits vorhandenen Daten über ein Zuordnungskriterium zu verknüpfen oder betroffene Personen fortlaufend zu kontaktieren.297 Von einer Anonymisierung kann gemäß § 27 Abs. 3 S. 1 Hs. 2 BDSG n. F. zudem abgesehen werden, wenn berechtigte Interessen der betroffenen Person einer Anonymisierung entgegenstehen. Im medizinischen Bereich sind derartige Betroffeneninteressen etwa denkbar, wenn die an einer Studie beteiligten Patienten im Rahmen ihrer Behandlung unmittelbar von den Forschungsergebnissen profitieren möchten und somit eine Reidentifikation erforderlich ist.298 Kommt eine Anonymisierung nach den Maßgaben des § 27 Abs. 3 S. 1 BDSG n. F. nicht in Betracht, so sind die Daten nach § 27 Abs. 3 S. 2 BDSG n. F. zu pseudonymisieren.299 Der Zusatz in § 27 Abs. 3 S. 1 Hs. 2 BDSG n. F., nach dem von einer Anonymisierung abgesehen werden kann, wenn berechtigte Interessen der betroffenen Person entgegenstehen, wird in der Literatur vor dem Hintergrund der Vorgaben in Art. 89 Abs. 1 S. 4 DSGVO überwiegend kritisch betrachtet. Zwar fordere Art. 89 Abs. 1 DSGVO, auf den sich Art. 9 Abs. 2 lit. j DSGVO bezieht, ebenfalls die Anonymisierung von Forschungsdaten, jedoch ohne eine Einschränkung wegen berechtigter Interessen der betroffenen Person vorzusehen.300 Der Zusatz in § 27 Abs. 3 S. 1 Hs. 2 BDSG n. F. sei somit nicht ganz widerspruchsfrei in Bezug auf Art. 89 Abs. 1 S. 4 DSGVO.301 Da die DSGVO die Anonymisierungspflicht unter strengeren Voraussetzungen entfallen lässt als das BDSG n. F., ist § 27 Abs. 3 S. 1 BDSG n. F. eng auszulegen. Von einer Anonymisierung kann daher nur abgesehen werden, wenn dies zur Erreichung des Forschungszwecks zwingend erforderlich ist.302
297
Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 38; Krohm, in: Gola / Heckmann, BDSG, § 27 BDSG Rn. 41; Herbst, DuD 2016, 371 (374). 298 Johannes / Richter, DuD 2017, 300 (304); Krohm, in: Gola / Heckmann, BDSG, § 27 BDSG Rn. 42; Golla, in: Specht / Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 23 Rn. 52. 299 Krohm, in: Gola / Heckmann, BDSG, § 27 BDSG Rn. 40; Pauly, in: Paal / Pauly, DSGVO BDSG, § 27 BDSG Rn. 19. 300 Johannes / Richter, DuD 2017, 300 (304); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 129; Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 41. 301 BR-Drs. 110/17 (B), S. 27; BR-Drs. 110/1/17 (neu), S. 35 f.; Johannes / Richter, DuD 2017, 300 (304); a. A. BT-Drs. 18/11655, S. 31. 302 Johannes / Richter, DuD 2017, 300 (304).
E. Zulässigkeit der Verarbeitung personenbezogener Daten
389
b) Art. 9 Abs. 2 lit. j DSGVO i. V. m. den Landesforschungsklauseln Spezielle Vorschriften, die die Verarbeitung zu Zwecken wissenschaftlicher Forschung regeln, finden sich nicht nur auf Bundesebene, sondern daneben insbesondere auch auf Landesebene in den Landesdatenschutz- und Landeskrankenhausgesetzen der einzelnen Bundesländer. Auch diese müssen sich im Rahmen des Art. 9 Abs. 2 lit. j DSGVO halten, sodass die Landesgesetzgeber aufgefordert waren, eine Anpassung dieser Normen auf Landesebene vorzunehmen. Im Folgenden soll ein Vergleich der Forschungsklauseln in den Landesdatenschutz- und Landeskrankenhausgesetzen vorgenommen werden, um die landesspezifischen Gemeinsamkeiten und Unterschiede zwischen den Forschungsklauseln herauszustellen und anhand dessen beurteilen zu können, ob die Regelungen den Anforderungen von Art. 9 Abs. 2 lit. j DSGVO genügen. Die Forschungsklauseln in den Landesgesetzen folgen dabei zwar einer ähnlichen Grundstruktur, sie sehen insgesamt jedoch keine homogenen Voraussetzungen in Bezug auf ihren Regelungsumfang und -gehalt vor. aa) Zweckbestimmung Unterschiede ergeben sich zunächst bei der Festlegung des Forschungszwecks.303 So stellen insbesondere die Landesdatenschutzgesetze in ihren Forschungsklauseln unterschiedliche Anforderungen an die Breite des zulässigen Forschungszwecks. Einige Gesetze erlauben allgemein die Verarbeitung „für wissenschaftliche Forschungszwecke“,304 während andere eine Festlegung auf ein „bestimmtes Forschungsvorhaben“ vorschreiben.305 Daneben lassen sich die Regelungen in den Forschungsklauseln der übrigen Länder nicht eindeutig diesen Kategorien zuordnen, da sie zum einen generell auf „wissenschaftliche Forschungszwecke“ abstellen und zum anderen eine Festlegung auf ein „Forschungsvorhaben“ vorsehen.306 Bei der Beschränkung auf ein bestimmtes Forschungsvorhaben ist die Datenverarbeitung nur innerhalb desselben, vorher konkret bestimmten Forschungsprojekts erlaubt.307 Sollen die Daten sodann im Rahmen eines anderen Forschungsvorhabens verarbeitet werden, muss erneut eine Einwilligung eingeholt werden oder
303
Bernhardt / Ruhmann / Weichert, Die Forschungsklauseln im neuen Datenschutzrecht, S. 5. § 13 Abs. 1 LDSG BW, Art. 25 Abs. 1 BayDSG, § 13 Abs. 1 BremDSGVOAG, § 24 Abs. 1 S. 1 HDSIG, § 17 Abs. 1 DSG NRW, § 22 Abs. 1 LDSG Rh.-Pf., § 13 Abs. 1 S. 1 LDSG SH. 305 § 25 Abs. 1 BbgDSG, § 11 Abs. 1 S. 1 HmbDSG, § 9 Abs. 1 S. 1 DSG M-V, § 13 Abs. 1 S. 1 NDSG, § 23 Abs. 1 S. 1 SDSG. 306 § 17 Abs. 1 S. 1 BlnDSG, § 12 Abs. 1 SächsDSDG, § 27 Abs. 4 S. 1 DSAG LSA, § 16 Abs. 2 Nr. 3 ThürDSG, s. dazu v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 104. 307 Karaalp, Der Schutz von Patientendaten, S. 178; LT-Drs. 21/11638, S. 23. 304
390
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
eine Forschungsklausel einschlägig sein. Bei einem weiter gefassten Zweckrahmen können die Daten hingegen bei Vorliegen der übrigen Voraussetzungen auch für die Untersuchung sich erst später ergebender Fragestellungen verarbeitet werden.308 Die DSGVO selbst stellt in Art. 9 Abs. 2 lit. j DSGVO allgemein auf „wissenschaftliche […] Forschungszwecke“ ab. Die in einigen Forschungsklauseln vorgesehene abstrakte Zweckbestimmtheit entspricht somit den Vorgaben der DSGVO. Eine Beschränkung auf ein „bestimmtes Forschungsvorhaben“, welche in einigen Forschungsklauseln festgelegt ist, wird von der DSGVO hingegen nicht gefordert. Durch diese strenge Anforderung an die Bestimmtheit des Forschungszwecks erfährt die in der DSGVO angelegte Privilegierung der wissenschaftlichen Forschung mithin erhebliche Einschränkungen. Auch diesbezüglich gilt aber, dass die weitreichende Öffnungsklausel den nationalen Gesetzgebern einen Spielraum belässt, spezifische Anforderungen für die Verarbeitung personenbezogener Daten für Forschungszwecke zu regeln. Für die Forschungsklauseln, die hinsichtlich der zulässigen Breite des Forschungszweckes unbestimmt sind, sollten vor diesem Hintergrund jedenfalls keine zu strengen Anforderungen an die Zweckbestimmheit gestellt werden. Eine explizite Vorgabe für eine strenge Zweckbindung, nach der für wissenschaftliche Forschungszwecken erhobene Daten nur für diese Zwecke verarbeitet werden dürfen, enthalten hingegen nur wenige Gesetze.309 Eine Zweckbindung auf konkrete Forschungsvorhaben ist damit jedoch nicht verbunden, vielmehr bleibt eine Datenverarbeitung zu anderen wissenschaftlichen Forschungsvorhaben davon unberührt.310 bb) Erhebung und Weiterverarbeitung von Patientendaten zu Forschungszwecken Wer mit Gesundheitsdaten forschen will, kann diese entweder zu diesem Zweck bei Probanden erheben oder auf vorhandene Informationsquellen, wie etwa Datensätze aus der Behandlung in Krankenhäusern, zurückgreifen.311 In der Regel enthalten die Landeskrankenhausgesetze keine Vorschriften für die Erhebung von Daten zu Forschungszwecken, sondern beschränken sich auf Regelungen für die Verarbeitung von bereits zu Behandlungszwecken aufgezeichneten Patientendaten.312 Zum Teil sehen die Forschungsklauseln aber auch Regelungen 308
LT-Drs. 17/5703, S. 70 f. Art. 25 Abs. 1 BayDSG, § 28 Abs. 1 ThürDSG, so auch Bernhardt / Ruhmann / Weichert, Die Forschungsklauseln im neuen Datenschutzrecht, S. 6. 310 LT-Drs. 6/4943, S. 115. 311 Jülicher, Medizininformationsrecht, S. 215; Pöttgen, Medizinische Forschung und Datenschutz, S. 22. 312 So etwa in § 14 Abs. 1 SKHG, § 34 Abs. 1 S. 1 SächsKHG sowie § 17 Abs. 1 KHG LSA. 309
E. Zulässigkeit der Verarbeitung personenbezogener Daten
391
für die Verarbeitung personenbezogener Daten zu Forschungszwecken insgesamt vor, wobei dann von dem Oberbegriff der „Verarbeitung“ i. S. d. Art. 4 Nr. 2 DSGVO auch das Erheben umfasst ist.313 Ist dies nicht der Fall, so ist für Krankenhäuser in Trägerschaft der Länder auf die Landesdatenschutzgesetze und für Krankenhäuser in privater Trägerschaft auf das BDSG n. F. zurückzugreifen. Auch die LDSG enthalten in der Regel keine expliziten Vorschriften, die die Erhebung personenbezogener Daten für Forschungszwecke regeln, jedoch ist von dem Begriff der „Verarbeitung“ in den jeweiligen Forschungsklauseln nach der Begriffsdefinition in Art. 4 Nr. 2 DSGVO ebenfalls das Erheben der Daten zu Forschungszwecken erfasst.314 Daher unterliegt die Erhebung personenbezogener Daten zu Forschungszwecken und die Verarbeitung bereits vorhandener Daten im Wesentlichen den gleichen Voraussetzungen, sodass für einen Vergleich der inhaltlichen Vorgaben in den jeweiligen Forschungsklauseln eine gemeinsame Untersuchung erfolgen kann. Auch für die Verarbeitung von primär zu Behandlungszwecken erhobenen Daten zu Forschungszwecken, ist, wie dargestellt, eine eigenständige Rechtsgrundlage erforderlich.315 Alle Forschungsklauseln in den Landesdatenschutz- und Landeskrankenhausgesetzen sehen gesetzliche Regelungen vor, die eine solche Zweckänderung legitimieren.316 Ganz unterschiedlich geregelt ist dabei jedoch, welche Prüfung bei einer Zweckänderung zur Weiterverarbeitung vorgenommen werden muss.317 Die Mehrzahl der Landeskrankenhausgesetze ermöglicht zunächst die Verarbeitung von Patientendaten im Rahmen der sog. Eigenforschung. Eine solche wird durchgeführt, wenn der behandelnde Arzt die Daten der von ihm behandelten oder mitbehandelten Patienten selbst zu Forschungszwecken verarbeitet.318 Teilweise bezieht sich die Datenverarbeitung zu Forschungzwecken im Rahmen der Eigenforschung dabei nicht nur auf den Krankenhausarzt in seiner jeweiligen Fachabteilung, sondern wird auf das ganze Krankenhaus ausgeweitet.319 Die 313
Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 53, so etwa in § 25 Abs. 1 LKG Berlin oder § 37 Abs. 1 LKHG Rh.-Pf. 314 Dies gilt etwa für § 13 Abs. 1 S. 1 LDSG BW, § 25 Abs. 1 S. 1 BbgDSG, § 13 Abs. 1 BremDSGVOAG, § 11 Abs. 1 S. 1 HmbDSG, § 24 Abs. 1 S. 1 HDSIG, § 9 Abs. 1 DSG M-V, § 13 Abs. 1 S. 1 NDSG, § 22 Abs. 1 LDSG Rh.-Pf., § 23 Abs. 1 S. 1 SDSG, § 27 Abs. 4 DSAG LSA, § 12 Abs. 1 SächsDSDG, § 13 Abs. 1 LDSG SH, § 16 Abs. 2 Nr. 3 ThürDSG. 315 S. dazu Kap. 7 C. I. 2., (S. 356 ff.). 316 Eine Ausnahme stellt insoweit wohl der neue § 38 LKHG SH dar, der die Verarbeitung von Patientendaten zu Forschungszwecken nur gestattet, soweit der Patient in die Datenverarbeitung für die Zwecke der wissenschaftlichen Forschung eingewilligt hat. 317 Bernhardt / Ruhmann / Weichert, Die Forschungsklauseln im neuen Datenschutzrecht, S. 5. 318 Bizer, Forschungsfreiheit und Informationelle Selbstbestimmung, S. 266; Jülicher, Medizininformationsrecht, S. 223; GMDS / GDD, Datenschutzrechtliche Anforderungen an die medizinische Forschung unter Berücksichtigung der DSGVO, S. 22. 319 So in Art. 27 Abs. 4 S. 1 BayKrG, § 12 Abs. 1 S. 1 HmbKHG, § 34 Abs. 1 S. 2 SächsKHG, § 17 Abs. 1 S. 3 KHG LSA.
392
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
einzelnen Zulässigkeitsvoraussetzungen variieren dabei deutlich.320 So wird die Verarbeitung für eigene wissenschaftliche Forschungsvorhaben zum Teil an keine weiteren Voraussetzungen geknüpft,321 während andere Forschungsklauseln die Verarbeitung erlauben, wenn schutzwürdige Belange der Patienten nicht beeinträchtigt werden.322 Daneben wird teilweise gefordert, dass das berechtigte Inte resse an der Durchführung des Forschungsvorhabens das Geheimhaltungsinteresse des Patienten erheblich überwiegt.323 Zudem sehen einzelne Landeskrankenhausgesetze, vor allem aber die Landesdatenschutzgesetze, spezielle Vorschriften für die externe Forschung vor. Diese betrifft, je nachdem wie weit der Begriff der Eigenforschung verstanden wird, beispielsweise die Verwendung durch eine andere Betriebseinheit des Krankenhauses oder ein externes Forschungsinstitut.324 Zumeist wird in diesen Forschungsklauseln verlangt, dass das öffentliche Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person an einem Ausschluss der Verarbeitung „erheblich“ überwiegt.325 Teilweise genügt es hingegen, wenn die Verarbeitungsinteressen gegenüber den Betroffeneninteressen lediglich „überwiegen“.326 Daneben ist in einigen Forschungsklauseln alternativ vorgesehen, dass die Verarbeitung zulässig ist, wenn „die schutzwürdigen Interessen der betroffenen Person nicht beeinträchtigt werden“.327 Festzuhalten bleibt, dass die Abwägungsklauseln unterschiedliche Maßstäbe für die Abwägung aufstellen. Wird in der Forschungsklausel auf das Erheblichkeitserfordernis verzichtet, so wird die verfassungsrechtlich geschützte Forschungsfreiheit betont.328 Fordern diese hingegen ein erhebliches Überwiegen der Forschungsinteressen oder stellen darüber hinaus zusätzliche strengere Anforderungen auf, so entspricht dies nicht der mit der DSGVO intendierten Forschungsprivilegierung. Ebenso wie bei der Güterabwägung im Rahmen des § 27 Abs. 1 S. 1 BDSG n. F.
320
S. dazu Art. 27 Abs. 4 S. 1 BayKrG, § 25 Abs. 1 Nr. 1 LKG Berlin, § 12 Abs. 1 S. 1 HmbKHG, § 6 Abs. 2 S. 1 GDSG NW, § 14 Abs. 1 S. 1 SKHG, § 34 Abs. 1 S. 1 SächsKHG, § 17 Abs. 1 KHG LSA, § 27a Abs. 2 S. 1 ThürKHG. 321 Art. 27 Abs. 4 S. 1 BayKrG, § 12 Abs. 1 S. 1 HmbKHG, § 34 Abs. 3 S. 1 Nr. 2 SächsKHG. 322 § 25 Abs. 1 Nr. 1 LKG Berlin mit dem Zusatz, dass eine gewerbliche Nutzung ausgeschlossen sein muss, § 39 Abs. 1 S. 2 Nr. 2 BremKrhG, § 14 Abs. 1 Nr. 2 SKHG, § 17 Abs. 1 S. 1 Nr. 2 KHG LSA, § 27a Abs. 2 Nr. 1 ThürKHG. 323 So in § 17 Abs. 1 S. 1 Nr. 3 KHG LSA und § 39 Abs. 1 S. 2 Nr. 3 BremKrhG. 324 Karaalp, Der Schutz von Patientendaten, S. 187. 325 Art. 6 Abs. 2 Nr. 3c BayDSG, § 17 Abs. 1 S. 1 BlnDSG, § 13 Abs. 1 BremDSGVOAG, § 11 Abs. 1 S. 2 HmbDSG, § 9 Abs. 1 DSG M-V, § 22 Abs. 1 LDSG Rh.-Pf., § 23 Abs. 1 S. 1 SDSG, § 27 Abs. 4 S. 1 DSAG LSA, § 16 Abs. 2 Nr. 3 ThürDSG; § 25 Abs. 1 Nr. 3 LKG Berlin. 326 § 13 Abs. 1 S. 1 LDSG BW, § 25 Abs. 1 BbgDSG, § 24 Abs. 1 S. 1 HDSIG, § 13 Abs. 1 S. 1 NDSG, § 12 Abs. 1 SächsDSDG, § 13 Abs. 1 S. 1 Nr. 2 LDSG SH; § 12 Abs. 1 S. 2 Hmb KHG. 327 § 25 Abs. 1 S. 1 BbgDSG, § 11 Abs. 1 S. 1 HmbDSG, § 9 Abs. 1 S. 1 DSG M-V, § 13 Abs. 1 Nr. 1 LDSG SH; § 25 Abs. 1 Nr. 2 LKG Berlin, § 37 Abs. 1 Nr. 1 LKG Rh.-Pf. 328 Karaalp, Der Schutz von Patientendaten, S. 157.
E. Zulässigkeit der Verarbeitung personenbezogener Daten
393
gilt jedoch, dass im Rahmen der Abwägung Raum für eine DSGVO-konforme Auslegung verbleibt.329 Daneben kombinieren die meisten Forschungsklauseln die Abwägung mit dem zusätzlichen Erfordernis, dass „der Zweck nicht auf andere Weise“330 oder „nur mit unverhältnismäßigem Aufwand“331 erreicht werden kann. Dadurch wird der allgemeine datenschutzrechtliche Erforderlichkeitsgrundsatz zusätzlichen Voraussetzungen unterworfen und somit insgesamt verschärft,332 wobei die Berücksichtigung des unverhältnismäßigen Aufwands im Vergleich die weniger restriktiven Anforderungen aufstellt und mithin den der Privilegierung der DSGVO eher entsprechenden Erforderlichkeitsmaßstab darstellt. Überdies wird das Erforderlichkeitskriterium teilweise so gedeutet, dass der einwilligungsbasierten Verarbeitung der Vorrang gegenüber den gesetzlichen Rechtsgrundlagen einzuräumen sei.333 Ein Rückgriff auf die Forschungsklauseln käme nach dieser Ansicht nur in Betracht, wenn die Einwilligung der betroffenen Person faktisch nicht oder nur mit unverhältnismäßigem Aufwand eingeholt werden kann. Die Annahme einer Subsidiarität der gesetzlichen Grundlagen gegenüber der Einwilligung steht jedoch nicht im Einklang mit der Grundkonzeption der DSGVO, nach der die verschiedenen Rechtsgrundlagen gleichrangig nebeneinanderstehen.334 Zudem ist auch der Wortlaut der einzelnen Datenschutzgesetze diesbezüglich nicht eindeutig.335 Teilweise stellen die Forschungsklauseln darauf ab, ob „die Verarbeitung zu diesen Zwecken erforderlich ist“ und beziehen die Erforderlichkeit demnach eindeutig nur auf die Verarbeitung der Daten.336 Bezugspunkt der Erforderlichkeit ist in diesen Fällen nicht die Wahl der Rechtsgrundlage, sondern die Verarbeitung der Daten an sich, sodass sich die Frage der Subsidiarität der gesetzlichen Rechtsgrundlagen in diesem Fall nicht stellt. Die übrigen Datenschutzgesetze, die darauf abstellen, dass „der Zweck nicht auf andere Weise“ erreicht werden kann, ließen sich als Subsidiarität der gesetzlichen Grundlagen gegenüber der Einwilligung verstehen. Die Lesart eines Vorrangs der Einwilligung 329
Bernhardt / Ruhmann / Weichert, Die Forschungsklauseln im neuen Datenschutzrecht, S. 9. § 17 Abs. 1 S. 1 BlnDSG, § 25 Abs. 1 S. 1 BbgDSG, § 11 Abs. 1 S. 2 HmbDSG, § 9 Abs. 1 S. 1 DSG M-V. 331 § 22 Abs. 1 LDSG Rh.-Pf., § 12 Abs. 1 SächsDSDG, § 13 Abs. 1 S. 1 Nr. 2 LDSG SH. 332 Karaalp, Der Schutz von Patientendaten, S. 159. 333 Jülicher, Medizininformationsrecht, S. 223 f.; Lippert, GesR 2018, 613 (618 f.); Taupitz, in: FS Hart, 603 (622 f.); zur alten Rechtslage Karaalp, Der Schutz von Patientendaten, S. 160; Bizer, Forschungsfreiheit und Informationelle Selbstbestimmung, S. 190 f., 252 f.; Torbohm, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 349 f. 334 v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 105; im Allgemeinen zur Gleichrangigkeit von Einwilligung und sonstigen Rechtsgrundlagen Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 19; Reimer, in: Sydow, DSGVO, Art. 6 DSGVO Rn. 8; Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 10; dazu bereits ausführlich unter Kap. 2 A. IV., (S. 152 ff.). 335 v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 105 f. 336 So in § 13 Abs. 1 BremDSGVOAG, § 24 Abs. 1 S. 1 HDSIG, § 17 Abs. 1 DSG NRW. 330
394
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
ist jedoch keinesfalls zwingend. Vielmehr kann sich das Erforderlichkeitskriterium auch allein auf das Erfordernis der Verarbeitung der Daten in personenbezogener Form beziehen. Nicht erforderlich wäre eine Verarbeitung personenbezogener Daten demnach insbesondere dann, wenn das Forschungsvorhaben von Anfang an auch mit anonymisierten Daten durchgeführt werden könnte.337 Ein solches Verständnis des Erforderlichkeitskriteriums ist auch deshalb überzeugend, weil die Forschungsklauseln die einwilligungsunabhängige Datenverarbeitung gerade ermöglichen sollen. Dieser Bestrebung würde es zuwiderlaufen, vorrangig die Einholung einer Einwilligung zu verlangen und die Datenverarbeitung damit letztlich wiederum von der Entscheidung der betroffenen Person abhängig zu machen.338 Bezugspunkt des Erforderlichkeitskriteriums ist somit nicht die Wahl der Rechtsgrundlage, sondern die Erforderlichkeit der Verarbeitung von Daten in personenbezogener Form. Ein Rückgriff auf die Forschungsklauseln kommt daher auch in Betracht, wenn die Einwilligung der betroffenen Person eingeholt werden könnte. cc) Datenübermittlung Zudem sehen einige Gesetze Sonderregelungen zur Übermittlung von Forschungsdaten vor. Die Voraussetzungen dafür sind in den jeweiligen Gesetzen jedoch sehr unterschiedlich ausgestaltet. So wird zum Teil verlangt, dass das Interesse der Allgemeinheit an der Durchführung des Forschungsvorhabens erheblich überwiegt, die Einholung der Einwilligung nicht zugemutet werden kann und die schutzwürdigen Belange des Patienten nicht beeinträchtigt werden.339 Einige Landesdatenschutzgesetze schreiben zudem vor, dass der Empfänger sich vertraglich dazu verpflichten muss, die Forschungsregelungen einzuhalten, denen der Absender unterliegt.340 Andere Vorschriften sehen für die Übermittlung keine eigenen Voraussetzungen vor, sondern verweisen stattdessen auf die Anforderungen für die übrige Verarbeitung zu Forschungszwecken.341 Insgesamt erschweren
337
Buchner / Tinnefeld, in: Kühling / Buchner, DSGVO BDSG, § 27 BDSG Rn. 10a; Pöttgen, Medizinische Forschung und Datenschutz, S. 138; Karaalp, Der Schutz von Patientendaten, S. 159. 338 v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 106. 339 § 14 Abs. 2 S. 2 SKHG, § 34 Abs. 3 SächsKHG, so auch § 17 Abs. 2 S. 3 KHG LSA nach dem es jedoch zusätzlich noch der Zustimmung der zuständigen Behörde bedarf, ähnlich auch § 39 Abs. 2 S. 2 und 3 BremKrhG. 340 § 9 Abs. 4 DSG M-V, § 13 Abs. 4 NDSG, § 23 Abs. 2 SDSG, § 12 Abs. 3 SächsDSDG, § 13 Abs. 3 LDSG SH, § 28 Abs. 2 ThürDSG; so auch Bernhardt / Ruhmann / Weichert, Die Forschungsklauseln im neuen Datenschutzrecht, S. 6. 341 § 37 Abs. 4 LKHG M-V, § 27a Abs. 3 ThürKHG, ebenso § 37 Abs. 3 LKG Rh.-Pf., der jedoch zusätzlich vorschreibt, dass der Zweck nicht auf andere Weise erreicht werden kann; § 11 Abs. 4 HmbDSG, auch § 25 Abs. 1 BbgDSG sieht für die Datenverarbeitung und Übermittlung zu Forschungszwecken die gleichen Voraussetzungen vor.
E. Zulässigkeit der Verarbeitung personenbezogener Daten
395
die unterschiedlichen Anforderungen an die Datenübermittlung insbesondere die Übermittlung von Daten zwischen verschiedenen Verbundpartnern im Rahmen von länderübergreifenden Verbundprojekten.342 dd) Anonymisierungs- bzw. Pseudonymisierungsgebot Gemeinsam ist den gesetzlichen Regelungen die bevorzugte Verarbeitung von anonymisierten bzw. pseudonymisierten Daten. So sind die personenbezogenen Daten in allen Ländern zu anonymisieren, „sobald dies nach dem Forschungszweck möglich ist“.343 Die Regelungsbefugnis folgt aus Art. 89 Abs. 1 DSGVO, wonach die Verarbeitung personenbezogener Daten zu Forschungszwecken geeigneten Garantien zum Schutz der betroffenen Person unterliegt. Teilweise wird die Anonymisierungspflicht eingeschränkt, wenn berechtigte Interessen der betroffenen Person entgegenstehen.344 Diesbezüglich gilt das oben zu § 27 Abs. 3 S. 1 Hs. 2 BDSG n. F. Gesagte entsprechend.345 Lässt der Forschungszweck es nicht zu, die Daten zu anonymisieren, wird eine Pseudonymisierung vorgeschrieben, sobald der Forschungszweck dies erlaubt.346
342
Bernhardt / Ruhmann / Weichert, Die Forschungsklauseln im neuen Datenschutzrecht, S. 6. § 13 Abs. 2 LDSG BW, Art. 25 Abs. 2 S. 1 BayDSG, § 17 Abs. 2 S. 1 BlnDSG, § 25 Abs. 2 S. 1 BbgDSG, § 13 Abs. 2 S. 2 BremDSGVOAG, § 11 Abs. 2 S. 1 HmbDSG, § 24 Abs. 3 S. 1 HDSIG, § 9 Abs. 2 S. 1 DSG M-V, § 13 Abs. 2 S. 1 NDSG, § 17 Abs. 2 S. 2 DSG NRW, § 22 Abs. 4 S. 1 LDSG Rh.-Pf., § 23 Abs. 1 S. 2 SDSG, § 12 Abs. 2 S. 2 Hs. 2 SächsDSDG, § 27 Abs. 1 S. 1 DSAG LSA, § 13 Abs. 2 S. 1 LDSG SH, § 28 Abs. 3 S. 1 ThürDSG; in den Landeskrankenhausgesetzen werden ähnliche Formulierungen verwendet, s. § 39 Abs. 4 S. 2 BremKrhG, § 12 Abs. 3 S. 4 HmbKHG, § 37 Abs. 3 S. 1 LKHG M-V, § 6 Abs. 4 S. 2 Hs. 2 GDSG NW, § 37 Abs. 4 LKG Rh.-Pf., § 14 Abs. 8 SKHG, § 34 Abs. 4 S. 1 SächsKHG, § 17 Abs. 4 S. 2 KHG LSA, § 38 Abs. 2 LKHG SH, § 27 Abs. 4 S. 5 u. § 27a Abs. 2 S. 2 ThürKHG. 344 § 17 Abs. 2 S. 1 Hs. 2 BlnDSG, § 11 Abs. 2 S. 1 Hs. 2 HmbDSG, § 24 Abs. 3 S. 1 Hs. 2 HDSIG, § 17 Abs. 2 S. 2 Hs. 2 DSG NRW, § 13 Abs. 2 S. 1 Hs. 2 LDSG SH. 345 S. dazu unter Kap. 7 E. II. 3. a) dd), (S. 388). 346 § 13 Abs. 2 S. 2 LDSG BW, Art. 25 Abs. 2 S. 2 BayDSG, § 17 Abs. 2 S. 2 BlnDSG, § 25 Abs. 2 S. 2 BbgDSG, § 13 Abs. 2 S. 3 BremDSGVOAG, § 11 Abs. 2 S. 2 HmbDSG, § 24 Abs. 3 S. 2 HDSIG, § 9 Abs. 2 S. 2 DSG M-V, § 13 Abs. 2 S. 2 NDSG, § 17 Abs. 2 S. 3 DSG NRW, § 22 Abs. 4 S. 2 LDSG Rh.-Pf., § 23 Abs. 1 S. 3 SDSG, § 12 Abs. 2 S. 2 Hs. 1 SächsDSDG, § 27 Abs. 1 S. 2 DSAG LSA, § 13 Abs. 2 S. 2 LDSG SH, § 28 Abs. 3 S. 2 ThürDSG; ebenso in den Landeskrankenhausgesetzen, s. dazu § 25 Abs. 2 S. 2 LKG Berlin, § 39 Abs. 4 S. 3 BremKrhG, § 12 Abs. 3 S. 2 HmbKHG, § 37 Abs. 3 S. 2 LKHG M-V, § 6 Abs. 4 S. 1 GDSG NW, § 37 Abs. 4 LKG Rh.-Pf., § 34 Abs. 4 S. 2 SächsKHG, § 17 Abs. 4 S. 3 KHG LSA, § 38 Abs. 3 LKHG SH, § 27 Abs. 4 S. 6 ThürKHG. 343
396
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
c) Kirchliche Datenschutzvorschriften für die Datenverarbeitung zu Forschungszwecken Überdies kann auch das Datenschutzrecht der Religionsgemeinschaften anzuwenden sein, wenn Krankenhäuser in kirchlicher Trägerschaft Forschungsvorhaben betreiben.347 Dieses kommt, wie dargestellt, in denjenigen Ländern zur Anwendung, in denen sich die bereichspezifischen Landeskrankenhausgesetze entweder für unanwendbar erklären oder keine bereichsspezifischen Forschungsklauseln vorhanden sind.348 Das im Rahmen des Art. 91 DSGVO angepasste KDG und das DSG-EKD sehen für die Datenverarbeitung zu Zwecken wissenschaftlicher Forschung jeweils eigene Regelungen vor.349 Daneben existieren auch im kirchlichen Bereich spezialgesetzliche Regelungen, die den allgemeinen kirchlichen Regelungen gemäß § 2 Abs. 2 KDG bzw. § 2 Abs. 6 DSG-EKD jeweils vorgehen.350 Die kirchlichen Datenschutzvorschriften führen somit zu einer weiteren Fragmentierung der einschlägigen Rechtsgrundlagen im Forschungsbereich.351 Inhaltlich sind die Regelungen des kirchlichen Datenschutzrechts stark an die Vorgaben des staatlichen Datenschutzrechts angelehnt, sodass die bisherigen Ausführungen im Wesentlichen entsprechend gelten. Exemplarisch sei auf die „Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern in der Diözese Osnabrück“352 verwiesen, welche in § 7 eine Regelung zum Forschungsdatenschutz enthält.353 Während § 7 Abs. 1 die Datenverarbeitung zu Zwecken der Eigenforschung regelt, sieht § 7 Abs. 2 S. 1 Regelungen für die Verarbeitung von Patientendaten durch Dritte zum Zweck einer bestimmten wissenschaftlichen Forschung ohne Einwilligung vor. Dies ist nur zulässig, wenn der Zweck nicht auf andere Weise erfüllt werden kann und das berechtigte Interesse erheblich überwiegt oder es nicht zumutbar ist, die Einwilligung einzuholen und schutzwürdige Belange nicht beeinträchtigt werden. Andernfalls kommt eine Übermittlung von Patientendaten an Dritte und deren Verarbeitung gemäß § 7 Abs. 2 S. 2 nur bei einer Einwilligung des Patienten in Betracht. Die Erhebung von Daten zu Forschungszwecken ohne Einwilligung 347
Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 9. 348 S. dazu unter Kap. 7 E. II. 2. b), (S. 380 f.). 349 § 6 Abs. 6 KDG regelt die Zweckänderung besonderer Kategorien personenbezogener Daten zu Forschungszwecken, Art. 11 Abs. 2 lit. j KDG sieht eine Öffnungsklauseln für die Verarbeitung besonderer Kategorien personenbezogener Daten zu wissenschaftlichen Forschungszwecken vor, die § 54 KDG ausfüllt. § 50 DSG-EKD regelt die Datenverarbeitung für Zwecke wissenschaftlicher Forschung und § 7 Abs. 1 Nr. 9 DSG-EKD die Zweckänderung. 350 Münch, Autonome Systeme im Krankenhaus, S. 97. 351 Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 80. 352 Veröffentlicht im Kirchlichen Amtsblatt für die Diözese Osnabrück, Band 48, Nr. 7, S. 41 ff. 353 Andere Diözesen sehen gleichlautende Vorschriften vor, so etwa § 9 der „Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern und Einrichtungen im Erzbistum Köln – PatDSO –“.
E. Zulässigkeit der Verarbeitung personenbezogener Daten
397
wird nicht geregelt, sodass diesbezüglich auf § 11 Abs. 2 lit. j KDG zurückzugreifen ist. Dieser stellt eine Öffnungsklausel für wissenschaftliche Forschungszwecke dar, sodass letztlich § 27 BDSG n. F. Anwendung findet. 4. Entwicklungstendenzen im nationalen Recht Die bisherige Untersuchung hat gezeigt, dass die datenschutzrechtlichen Regelungen im Forschungsbereich ein unübersichtliches und uneinheitliches Regelungsgeflecht darstellen.354 Der rechtliche Rahmen für die Verarbeitung von Gesundheitsdaten zu Forschungszwecken ist auf nationaler Ebene insgesamt stark fragmentiert.355 So unterliegt sowohl die Erhebung personenbezogener Daten zu Forschungszwecken als auch die Verarbeitung bereits vorhandener Daten teils inhaltlich voneinander abweichender Vorgaben.356 Dies führt insbesondere bei länderübergreifenden Forschungsprojekten dazu, dass potentiell 16 divergierende und sich zum Teil widersprechende Datenschutzregelungen der Länder sowie daneben bereichsspezifische Forschungsklauseln anwendbar sind.357 Die Vielzahl an Regelungen mit unterschiedlichen Voraussetzungen erschwert die Bestimmung des im Einzelfall jeweils anwendbaren Rechts deutlich.358 Zu Recht wird daher darauf hingewiesen, dass die zum Teil divergierenden Datenschutzregelungen für Forschende äußerst undurchsichtig seien und die Einhaltung der Gesetze zum „Glückspiel“359 werde.360 Dieser Flickenteppich an datenschutzrechtlichen Regelungen führt in der Praxis dazu, dass die gesetzlichen Forschungsklauseln aufgrund der Komplexität und der damit einhergehenden Rechtsunsicherheit nicht genutzt werden.361 Dies belegt etwa die Medizininformatik-Initiative, in dessen Rahmen sich Universitätsklinika und weitere Forschungspartner an über 40 Standorten im Bundesgebiet in Abstimmung mit der DSK auf ein ausschließlich einwilligungsbasiertes Vorgehen geeinigt haben.362 Dies geschah ausdrücklich vor dem Hintergrund, dass die existierenden gesetzlichen Erlaubnistatbestände für einen Datenaustausch zwischen Forschungseinrichtungen unzureichend seien.363 Sind die rechtlichen Vorgaben unklar, so rückt mithin die Einwilligung als alternativer Erlaubnistatbestand in
354
Buchner / Schwichtenberg, GuP 2016, 218 (222). Weichert, Big Data im Gesundheitsbereich, S. 189. 356 Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 65. 357 Weichert, MedR 2019, 622 (624). 358 Bernhardt / Ruhmann / Weichert, Die Forschungsklauseln im neuen Datenschutzrecht, S. 8. 359 Bernhardt / Ruhmann / Weichert, Die Forschungsklauseln im neuen Datenschutzrecht, S. 8. 360 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 177. 361 Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 9a. 362 MII, Mustertext zur Patienteneinwilligung, abrufbar unter: https://www.medizininformatikinitiative.de/de/mustertext-zur-patienteneinwilligung. 363 So der Vorsitzende der AG Consent der Medizininformatik-Initiative Zenker, zit. bei Hä nold, ZD-Aktuell 2021, 05016. 355
398
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
das Zentrum.364 Dieses Vorgehen bringt ihre eigenen Nachteile mit sich, so vor allem die Widerruflichkeit der Einwilligungen, die praktisch zu einer jederzeitigen Veränderbarkeit des nutzbaren Datenbestands führen kann.365 Die Hoffnung, dass die aufgezeigte Situation aufgrund einheitlicher Vorgaben in der DSGVO im Zuge der Anpassungsgesetzgebung beseitigt werden würde, musste der Erkenntnis weichen, dass die weiten Öffnungsklauseln der DSGVO für den Bereich der wissenschaftlichen Forschung keine Harmonisierung mit sich bringen, sondern den Mitgliedstaaten vielmehr auch im Forschungsbereich weitreichende Gestaltungsspielräume eröffnen.366 Zwar hätte die DSGVO Anlass gegeben, das bestehende „Regelungswirrwarr“367 zu vereinheitlichen, jedoch hat der Gesetzgeber es dabei belassen, die Regelungen lediglich formal an die DSGVO anzupassen.368 So enthalten die nationalen Regelungen häufig restriktivere zusätzliche Vorgaben für die Datenverarbeitung zu Forschungszwecken, wie etwa das Erfordernis eines erheblichen Überwiegens des Interesses an der Durchführung des Forschungsvorhabens.369 Die durch die DSGVO intendierte Privilegierung der wissenschaftlichen Forschung erfährt durch die uneinheitlichen landesrechtlichen Regelungen starke Einschränkungen.370 Aufgrund der Weite der Öffnungsklausel für die Datenverarbeitung zu Forschungszwecken in der DSGVO stellt die gegenwärtige rechtliche Regulierung im Forschungsbereich zwar keinen Verstoß gegen EU-Recht dar, jedoch bleibt teilweise wenig von der in der DSGVO vorgesehenen Forschungsprivilegierung übrig.371 Die derzeit in Deutschland geltenden Forschungsregelungen stehen deshalb nicht nur wegen ihrer Uneinheitlichkeit, sondern insbesondere auch wegen ihrer ungenügenden Umsetzung der DSGVO in der Kritik.372 Wertungswidersprüche des nationalen Rechts mit den Vorgaben der DSGVO könnten am ehesten über eine einheitliche bundesweite Regulierung aufgehoben werden.373 Hinsichtlich der konkreten Ausgestaltung von bundesweit einheitlichen Regelungen für Forschungsvorhaben bestehen unterschiedliche Auffassungen. 364
Pigeot / Buchner, DuD 2014, 816 (817). Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 9a; Martini / Hohmann, NJW 2020, 3573 (3576). 366 Weichert, in: Stiftung Datenschutz, Big Data und E-Health, S. 189 f.; Weichert / Krawczak, GMS Medizinische Informatik, Biometrie und Epidemiologie 2019, Vol 15(1), S. 4 f.; vgl. Buchner / Schwichtenberg, GuP 2016, 218 (222). 367 Weichert, ZD 2020, 18 (23); so schon Hanisch, BayVBl. 1983, 234 (241). 368 Weichert, MedR 2019, 622 (624); ders., ZD 2020, 18 (22). 369 Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 9. 370 Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 9; Weichert, ZD 2020, 18 (22). 371 Bernhardt / Ruhmann / Weichert, Die Forschungsklauseln im neuen Datenschutzrecht, S. 9. 372 Weichert, ZD 2020, 18 (18 ff.); Hänold, ZD-Aktuell 2020, 07046. 373 Weichert, ZD 2020, 18 (23); ders. weist auch darauf hin, dass die in Art. 89 DSGVO geforderten Garantien nur über eine einheitliche bundesweite Regulierung realisiert werden können, Weichert, Stellungnahme Entwurf Niedersachsen, S. 3, abrufbar unter: https://www. netzwerk-datenschutzexpertise.de/dokument/anpassung-landesdatenschutzgesetze. 365
E. Zulässigkeit der Verarbeitung personenbezogener Daten
399
a) Bisherige Vorschläge für die Ausgestaltung bundesweit einheitlicher Forschungsregelungen Krawczak und Weichert haben zur Harmonisierung der Regelungen auf Bundesund Landesebene den Abschluss eines Bund-Länder-Staatsvertrags zur medizinischen Forschung vorgeschlagen.374 Dieser soll bundesweit einheitliche Regelungen zu den materiell-rechtlichen und prozeduralen Voraussetzungen für die Zulässigkeit medizinischer Forschungsvorhaben aufstellen, sodass die verstreuten und teilweise widersprüchlichen Regelungen auf Bundes- und Landesebene entfallen könnten.375 Die bislang fehlende Umsetzung des Vorschlags zum Abschluss eines solchen Bund-Länder-Staatsvertrags ist wohl darauf zurückzuführen, dass die Umsetzung realpolitisch „wenig praktikabel“376 ist. Insbesondere wäre die Zustimmung der 16 Landesparlamente erforderlich,377 was einen erheblichen „Koordinations- und Abstimmungsaufwand“378 erfordern würde. Die Umsetzung ist daher zumindest kurzfristig nicht zu realisieren und verbleibt vermutlich auch dauerhaft unwahrscheinlich. Daneben wurde in verschiedenen Zusammenhängen bereits die Implementierung einer Regelung auf Bundesebene in Erwägung gezogen. So wurde etwa die Einführung einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei länderübergreifenden Forschungsvorhaben auf Bundesebene vorgeschlagen, um auf diese Weise eine Harmonisierung der Rechtsgrundlagen im Forschungsbereich zu erzielen.379 Zudem wurde jüngst angeregt, auf Bundesebene ein „Medizinisches Forschungsgesetz“ auszuarbeiten, welches sämtliche bereichsspezifische Forschungsklauseln ersetzt und die Forschungsklauseln des allgemeinen Datenschutzrechts als Spezialgesetz verdrängt.380 Als problematisch erweist sich in diesem Zusammenhang stets das Bestehen einer Gesetzgebungskompetenz des Bun 374 Krawczak / Weichert, Vorschlag einer modernen Dateninfrastruktur für die medizinische Forschung in Deutschland, 2017; Weichert / Krawczak, GMS Medizinische Informatik, Biometrie und Epidemiologie 2019, Vol. 15(1), S. 5; diesen Vorschlag hat Weichert auch im Zusammenhang mit der Forderung nach der Beseitigung von Wertungswidersprüchen des nationalen Rechts mit der DSGVO wiederholt, Weichert, ZD 2020, 18 (23); Krawczak / Weichert, DANA 2017, 193 (193 ff.); Weichert, Big Data im Gesundheitsbereich, S. 204; Weichert, DuD 2014, 831 (838); Weichert, in: Stiftung Datenschutz, Big Data und E-Health, S. 191; ähnlich GMDS / GDD, Positionspapier zur Neugestaltung der datenschutzrechtlichen Regelungen, S. 5, die vorschlagen, dass der Bundesgesetzgeber im Einvernehmen mit den Landesgesetzgebern eine Rahmengesetzgebung erlassen könne, an welcher sich die Landesgesetzgeber orientieren. 375 Weichert / Krawczak, GMS Medizinische Informatik, Biometrie und Epidemiologie 2019, Vol. 15(1), S. 6. 376 Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 89. 377 Bethge, in: Schmidt-Bleibtreu / K lein / Bethge, BVerfGG, § 35 BVerfGG Rn. 52. 378 Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 89. 379 Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 112 ff. 380 Bernhardt / Ruhmann / Weichert, Plädoyer für ein medizinisches Forschungsgesetz, Stand 22. Februar 2021, S. 8.
400
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
des für den Forschungsbereich.381 Vor diesem Hintergrund wird teils die Schaffung eines einheitlichen konkurrierenden Gesetzgebungstitels für den Bund im Bereich des Datenschutzrechts vorgeschlagen, um sodann ein einheitliches Bundesgesetz erlassen zu können.382 Auch eine solche Grundgesetzänderung dürfte kurz- bis mittelfristig allerdings nicht realisierbar sein.383 b) Einheitliche Anwendbarkeit der bundesrechtlichen Forschungsklausel nach § 287a S. 1 SGB V Die nachdrückliche Kritik an den disparaten Forschungsklauseln im deutschen Datenschutzrecht hat jüngst auch die politische Wahrnehmungsebene erreicht.384 So wurde im Zuge der Pandemiegesetzgebung durch Artikel 5 Nr. 2 des Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite v. 27. März 2020385 ein neuer § 287a in das SGB V eingefügt. Gemäß § 287a S. 1 SGB V werden länderübergreifende Forschungsvorhaben der Versorgungsoder Gesundheitsforschung, an denen öffentliche oder nichtöffentliche Stellen des Bundes oder der Länder aus zwei oder mehr Bundesländern als Verantwortliche beteiligt sind, datenschutzrechtlich dem § 27 BDSG n. F. unterstellt.386 § 287a S. 1 SGB V soll somit eine einheitliche Anwendung des § 27 BDSG n. F. für bundeslandübergreifende Forschungsvorhaben bewirken. Damit adressiert der Gesetz geber die sich in diesem Zusammenhang teilweise ergebenden Kollisionen der jeweils einschlägigen Landesdatenschutzgesetze und Landeskrankenhausgesetze.387 Der Gesetzgeber stützt sich dabei auf die Öffnungsklauseln des Art. 9 Abs. 2 lit. i und j DSGVO.388 381 Kühling / Sackmann / Schildbach, Sozialdatenschutzrechtl. Weiterentwicklungsbedarf im SGB V und X für Big Data, S. 112 f.; Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 90 ff.; in Betracht gezogen wird in erster Linie der Kompetenztitel in Art. 74 Abs. 1 Nr. 13 GG zur Förderung der wissenschaftlichen Forschung, s. dazu v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 122 f. 382 Kingreen / Kühling, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 468 ff.; Küh ling / Sackmann / Schildbach, Sozialdatenschutzrechtl. Weiterentwicklungsbedarf im SGB V und X für Big Data, S. 113; Kircher, Der Schutz personenbezogener Gesundheitsdaten, S. 252; Bernhardt / Ruhmann / Weichert, Plädoyer für ein medizinisches Forschungsgesetz, Stand 22. Februar 2021, S. 6 f. 383 Bernhardt / Ruhmann / Weichert, Plädoyer für ein medizinisches Forschungsgesetz, Stand 22. Februar 2021, S. 7. 384 Zur Kritik der deutschen Forschungsregulierung insgesamt und auch dazu, dass die Kritik die politische Wahrnehmungsebene zum Stand Oktober 2018 noch nicht erreicht habe Bernhardt / Ruhmann / Weichert, Die Forschungsklauseln im deutschen Datenschutzrecht, S. 3; auch die Datenethikkommission hat jüngst empfohlen, dass die Rechtsgrundlagen zur Datenverarbeitung für Forschungszwecke weiter synchronisiert werden sollten, Gutachten der Datenethikkommission, Oktober 2019, S. 125. 385 BGBl. 2020 Teil I Nr. 14 v. 27. März 2020, S. 587. 386 Scholz, in: BeckOK Sozialrecht, § 287a SGB V Rn. 3. 387 BT-Drs. 19/18111, S. 26. 388 BT-Drs. 19/18111, S. 26; Scholz, in: BeckOK Sozialrecht, § 287a SGB V Rn. 2.
E. Zulässigkeit der Verarbeitung personenbezogener Daten
401
Die konkrete Ausgestaltung der Regelung ist in der Fachöffentlichkeit auf teils deutliche Kritik gestoßen. So wurde der Gesetzgeber etwa seitens der Bundesärzte kammer aufgefordert, „die Regelung einer kritischen Würdigung“389 zu unterziehen. Zudem kritisierte der BfDI, dass die im SGB V verortete Vorschrift systematisch am falschen Ort geregelt sei, da die in der Norm angesprochenen Vorhaben der Versorgungs- und Gesundheitsforschung in der Regel nicht die Forschung mit Sozialdaten beträfen.390 Wenn die Vorschrift sich insgesamt auf alle gesundheitsbezogenen Forschungsvorhaben beziehen soll, wäre eine Verortung im allgemeinen Datenschutzrecht tatsächlich passgenauer gewesen. Ob der Standort der Regelung im SGB V allerdings im Umkehrschluss die teils vertretene Annahme rechtfertigt, dass die Vorschrift nur für gesetzlich Krankenversicherte und nur bezogen auf Sozialdaten gelte,391 ist fraglich. Denn zunächst bezieht sich § 287a SGB V, anders als die übrigen forschungsspezifischen Datenverarbeitungsregelungen im Sozialgesetzbuch, nicht allein auf Sozialdaten i. S. d. § 67 Abs. 2 S. 1 SGB X, sondern nimmt im Gegenteil gerade keine Beschränkung auf bestimmte Datenkategorien vor. Überdies verdeutlicht auch die Gesetzesbegründung, dass der Gesetzgeber keine dahingehende Beschränkung des Anwendungsbereichs beabsichtigte. Ausweislich der Gesetzesbegründung besteht die mit der Einführung der Norm verbundene Intention des Gesetzgebers vor allem darin, durch die einheitliche Anwendung der datenschutzrechtlichen Vorschriften eine Vereinfachung länderübergreifender Forschungsvorhaben zu erzielen.392 Dieser Intention würde es zuwiderlaufen, die Norm so zu deuten, dass sie nur den GKV-Bereich abdeckt, da dies gerade die bundesweit einheitliche Anwendung datenschutzrechtlicher Vorschriften im Forschungsbereich verhindern würde. Denn dann müssten innerhalb eines länderübergreifenden Forschungsvorhabens weiterhin unterschiedliche Regelungen für die gesetzlich krankenversicherten und die übrigen betroffenen Personen beachtet werden.393 Trotz der systematischen Verortung im SGB V beschränkt sich der Anwendungsbereich der Vorschrift somit nicht allein auf Sozialdaten oder gesetzlich Krankenversicherte. Um etwaigen Unklarheiten diesbezüglich vorzubeugen, hätte sich allerdings eine Verortung der Regelung im allgemeinen Datenschutzrecht, etwa in § 27 BDSG n. F., angeboten.394
389
BÄK, Ausschuss-Drs. 19(14)165(14), S. 19. BfDI, Stellungnahme zum Entwurf eines Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite v. 23. März 2020, S. 3, abrufbar unter: https:// www.bfdi.bund.de/DE/Infothek/Transparenz/_functions/Stellungnahmen_table.html. 391 So Weichert, zit. bei Gesundheitsausschuss des Bundestages, Protokoll Nr. 19/93 der 93. Sitzung v. 27. Mai 2020, S. 23; auch Scholz, in: BeckOK Sozialrecht, § 287a SGB V Rn. 4 sowie BÄK, Ausschuss-Drs. 19(14)165(14), S. 19 bezweifeln, ob die Regelung aufgrund ihrer Verortung im SGB V einheitlich alle Patienten erfasse. 392 BT-Drs. 19/18111, S. 26. 393 BÄK, Ausschuss-Drs. 19(14)165(14), S. 19. 394 So hatte auch das zugrundeliegende Rechtsgutachten die Verortung der Norm in einem neuen Absatz 5 des § 27 BDSG n. F. vorgeschlagen, Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 113. 390
402
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
Somit finden auf länderübergreifende Vorhaben der Versorgungs- und Gesundheitsforschung künftig einheitlich die Vorgaben des § 27 BDSG n. F. Anwendung. Die bisher einschlägigen Forschungsklauseln in den Landesdatenschutzgesetzen und Landeskrankenhausgesetzen werden insoweit verdrängt.395 Im Rahmen länderübergreifender Forschungsvorhaben ist es daher im Hinblick auf die einschlägigen Forschungsklauseln unerheblich, in wessen Trägerschaft die beteiligten Forschungseinrichtungen stehen oder in welchem Bundesland sie angesiedelt sind.396 Dies gilt auch für an den Forschungsvorhaben beteiligte Krankenhäuser in kirchlicher Trägerschaft, da auf diese außerhalb ihrer karitativen Tätigkeit und mithin im Forschungsbereich grundsätzlich das staatliche Recht Anwendung findet.397 Auch die ratio der Norm, die darin besteht, den datenschutzrechtlichen Flickenteppich im Forschungsbereich durch eine einheitliche Anwendung des § 27 BDSG n. F. aufzulösen, legt die Anwendung des § 287a SGB V auf alle beteiligten Forschungseinrichtungen und mithin auch auf kirchliche Einrichtungen nahe.398 Dabei gilt es allerdings zu berücksichtigen, dass § 287a S. 1 SGB V ausdrücklich nur auf die Forschungsklausel in § 27 BDSG n. F. und nicht auch auf die übrigen Vorschriften des BDSG n. F. verweist, sodass im Übrigen, etwa im Hinblick auf die Betroffenenrechte, weiterhin diejenigen Vorschriften Anwendung finden, denen die jeweilige Forschungseinrichtung nach der allgemeinen Systematik des nationalen Datenschutzrechts unterliegt.399 Auch die bereichsspezifischen Datenschutzregelungen für die Forschung mit Patientendaten im Arzneimittel-, Medizinprodukte- und Sozialrecht bleiben unberührt.400 Insgesamt ist die einheitliche Anwendung der bundesrechtlichen Forschungsklausel im BDSG n. F. auf länderübergreifende Forschungsvorhaben als Fortschritt im bisher unübersichtlichen Regelungsgeflecht aus allgemeinen und bereichsspezifischen Vorgaben auf Bundes- sowie Landesebene zu werten.401 Gleichzeitig verbleiben die gegen § 27 BDSG n. F. vorgebrachten Bedenken. Dieser sieht sich berechtigterweise der Kritik ausgesetzt, dass er die auf europäischer Ebene vorgesehene Privilegierung der Verarbeitung zu wissenschaftlichen Forschungszwecken durch das Erfordernis des erheblichen Überwiegens des Forschungsinteresses ein 395
Scholz, in: BeckOK Sozialrecht, § 287a SGB V Rn. 3. Scholz, in: BeckOK Sozialrecht, § 287a SGB V Rn. 4. 397 S. dazu unter Kap. 7 E. II. 2. b), (S. 380 f.). 398 Um die Anwendung des § 287a SGB V auf Krankenhäuser in kirchlicher Trägerschaft eindeutig festzulegen, hätte es sich angeboten, eine dahingehende Regelung in das Gesetz aufzunehmen; so hatte es auch das zugrundeliegende Rechtgutachten vorgesehen, Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 114 f. 399 S. zu den Betroffenenrechten im Forschungskontext Kap. 7 H., (S. 456 ff.). 400 Scholz, in: BeckOK Sozialrecht, § 287a SGB V Rn. 3; BT-Drs. 19/18111, S. 26; ausführlich zu diesen spezialgesetzlichen Datenschutzregelungen nachfolgend unter Kap. 7 F. und G. 401 Auch das Forum Gesundheitsforschung bezeichnet den neuen § 287a SGB V in ihrem Strategiepapier „Nutzbarmachung digitaler Daten für KI- und datengetriebene Gesundheitsforschung“, S. 8 als eine „wesentliche Erleichterung für (bundes-)länderübergreifende Vorhaben der Versorgungs-und Gesundheitsforschung“, abrufbar unter: https://www. gesundheitsforschung-bmbf.de/de/forum-gesundheitsforschung-5787.php. 396
F. Spezialgesetzliche Regeln für die Datenverarbeitung
403
schränke.402 Teils lassen die nun verdrängten Forschungsklauseln in den Landesdatenschutzgesetzen demgegenüber ein einfaches Überwiegen der Forschungsinteressen genügen.403 Wenn diese Forschungsklauseln allerdings aufgrund der unübersichtlichen Rechtslage in der Praxis ohnehin nicht zur Anwendung kommen, kann auch die darin vorgesehene Privilegierung der Forschung nicht zum Zuge kommen, sodass die Verdrängung dieser landesrechtlichen Vorschriften sich insoweit nicht negativ auswirkt.
F. Spezialgesetzliche Regeln für die Datenverarbeitung zu medizinischen Forschungszwecken im Arzneimittelund Medizinprodukterecht sowie im Transplantationsgesetz Die datenschutzrechtlichen Voraussetzungen der medizinischen Forschung sind daneben teilweise Gegenstand spezialgesetzlicher Regelungen auf Bundesebene. Dies gilt etwa für die Verarbeitung personenbezogener Daten im Rahmen klinischer Prüfungen. In diesem Bereich stellen sich insbesondere Fragen zum Zusammenspiel der bereichsspezifischen nationalen Vorschriften mit den Vorgaben der DSGVO. Hinzu kommt, dass die Bereiche der klinischen Prüfung jüngst ebenfalls durch europäisches Recht überformt wurden, sodass sich weitere Abgrenzungsfragen ergeben.
I. Klinische Prüfung von Arzneimitteln In klinischen Prüfungen werden Arzneimittel auf ihre Wirksamkeit und Unbedenklichkeit am Menschen untersucht.404 Es wird also geprüft, ob ein neuer Wirkstoff den gewünschten Nutzen für die Verbesserung der Versorgung hat und ob ein angemessenes Verhältnis von Nutzen und Risiken besteht.405 Dazu beauftragen Pharmaunternehmen als sog. Sponsoren in der Regel Kliniken als Prüfzentren mit der Durchführung klinischer Studien unter der Leitung eines Prüfarztes. Damit die Wirksamkeit und Unbedenklichkeit neuer Medikamente in klinischen Prüfungen erprobt werden kann,406 ist die Verarbeitung von Gesundheitsdaten der Prüfungsteilnehmer erforderlich.407 So erheben der Prüfarzt und sein Studienteam die Daten 402 Krohm, in: Gola / Heckmann, BDSG, § 27 BDSG Rn. 28; Weichert, ZD 2020, 18 (22); ders., in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, § 27 BDSG Rn. 13a. 403 So in § 13 Abs. 1 S. 1 LDSG BW, § 25 Abs. 1 BbgDSG, § 24 Abs. 1 S. 1 HDSIG, § 13 Abs. 1 S. 1 NDSG, § 12 Abs. 1 SächsDSDG und § 13 Abs. 1 S. 1 Nr. 2 LDSG SH. 404 Lippert, MedR 2016, 773 (773). 405 Wissenschaftsrat, Empfehlungen zu klinischen Studien, S. 5. 406 Bischoff, PharmR 2019, 265 (265). 407 Wachenhausen, in: Kügel / Müller / Hoffmann, Arzneimittelgesetz, § 40 AMG Rn. 90; Schiemann / Peters / Zumdick, A&R 2019, 147 (148); Bischoff / Wiencke, ZD 2019, 8 (8); Bischoff, PharmR 2020, 309 (309).
404
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
zunächst in der Klinik bei den Studienteilnehmern,408 die sodann in pseudonymisierter Form an den Sponsor oder eine von diesem beauftragte Stelle zum Zwecke der wissenschaftlichen Auswertung übermittelt werden.409 1. Datenschutzrechtliche Verantwortlichkeit im Rahmen klinischer Prüfungen Die Frage der datenschutzrechtlichen Verantwortlichkeit der verschiedenen Akteure im Rahmen klinischer Prüfungen wird kontrovers diskutiert. Überwiegend wird dabei angenommen, dass der Sponsor und das Prüfzentrum datenschutzrechtlich als gemeinsam Verantwortliche i. S. d. Art. 26 DSGVO einzuordnen seien.410 Nach anderer Auffassung seien Prüfzentren und Sponsor nicht stets als gemeinsam Verantwortliche zu qualifizieren, vielmehr sei eine individuelle Einordnung je nach Studienkonstellation vorzunehmen.411 Wiederum andere gehen davon aus, dass die Prüfzentren in der Regel als Auftragsverarbeiter einzuordnen seien.412 Für die Einordnung der datenschutzrechtlichen Verantwortlichkeit im Rahmen klinischer Prüfungen ist zwischen den durch die Prüfzentren erhobenen personenbezogenen Originaldaten, sog. Klardaten, und den an die Sponsoren übermittelten pseudonymisierten Datensätzen zu differenzieren.413 Einigkeit besteht zunächst darüber, dass der Sponsor in Bezug auf die pseudonymisierten Studiendaten als Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO einzuordnen ist.414 Er entscheidet, welche Daten für die Studie relevant sind und verarbeitet die an ihn übermittelten Daten zum Zwecke der wissenschaftlichen Auswertung, konkret zum Nachweis
408
Achenbach, PharmR 2020, 9 (10). Schiemann / Peters / Z umdick, A&R 2019, 147 (148). 410 DSK, Kurzpapier Nr. 16 „Gemeinsam für die Verarbeitung Verantwortliche“, Stand 19. März 2018, S. 4; auch der Arbeitskreis medizinischer Ethik-Kommissionen geht in seiner Handreichung zum Wirksamwerden der DSGVO v. 25. Juni 2018 auf S. 4 grundsätzlich vom Vorliegen einer gemeinsamen Verantwortlichkeit i. S. d. Art. 26 DSGVO aus; Schiemann / Peters / Z umdick, A&R 2019, 147 (153 f.); Bischoff / Wiencke, ZD 2019, 8 (8 f.). 411 Hiller, PharmR 2020, 589 (594); auch die Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169 v. 16. Februar 2010, S. 37 geht davon aus, dass in Fällen, in denen der Auftraggeber über die Zwecke und die wesentlichen Elemente der Mittel entscheide und die Forscher nur einen sehr engen Handlungsspielraum haben, Auftraggeber und Studienzentren nicht stets als gemeinsam Verantwortliche anzusehen seien; dahingehend jüngst auch EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, S. 21 f. 412 Schütze / Spyra, in: GMDS, Art. 26 DS-GVO: Gemeinsam Verantwortliche, S. 7, Stand: 17. Juni 2018, abrufbar unter: https://gesundheitsdatenschutz.org/html/gemeinsam_verant wortlich.php, die annehmen, dass die Prüfer in der Regel auf Weisung arbeiten, da ihnen die Zwecke der Verarbeitung vom Sponsor vorgegeben werden, sodass bei diesen eine Auftragsverarbeitung vorliege. 413 Hiller, PharmR 2020, 589 (593); Schiemann / Peters / Z umdick, A&R 2019, 147 (147 ff.). 414 Hiller, PharmR 2020, 589 (593); Schiemann / Peters / Z umdick, A&R 2019, 147 (151). 409
F. Spezialgesetzliche Regeln für die Datenverarbeitung
405
der Wirksamkeit und Unbedenklichkeit des Arzneimittels.415 Folglich entscheidet der Sponsor über die Mittel und Zwecke der Verarbeitung dieser pseudonymisierten Studiendaten.416 Einigkeit besteht zudem weitestgehend auch darüber, dass das Prüfzentrum datenschutzrechtlich für die im Rahmen der klinischen Prüfung erhobenen Klardaten verantwortlich ist.417 Der Sponsor hat auf die Erhebung dieser Daten grundsätzlich keinen direkten Einfluss und darf in diese in der Regel auch keine Einsicht nehmen, sodass eine Mitverantwortung des Sponsors für diese Daten ausscheiden muss.418 In den Fällen, in denen das Prüfzentrum nur einen sehr engen Handlungsspielraum hinsichtlich der Durchführung der Studie hat, kommt allerdings auch eine Auftragsverarbeitung in Betracht.419 Bei Arzneimittelprüfungen wird diese Konstellation jedoch eine seltene Ausnahme sein,420 sodass in Bezug auf die Klardaten regelmäßig von einer datenschutzrechtlichen (Allein-)Verantwortlichkeit des Prüfzentrums auszugehen ist. Unklarheit besteht sodann vor allem darüber, ob das Prüfzentrum hinsichtlich des pseudonymisierten Datensatzes als mit dem Sponsor gemeinsam Verantwortlicher i. S. v. Art. 26 DSGVO anzusehen ist oder ob zwischen diesen in Bezug auf den pseudonymisierten Datensatz eine Auftragsverarbeitung i. S. d. Art. 28 DSGVO vorliegt. Ob der Sponsor und das Prüfzentrum für die Datenverarbeitung im Rahmen der klinischen Prüfung i. S. d. Art. 26 DSGVO gemeinsam verantwortlich sind, hängt davon ab, ob das Prüfzentrum hinsichtlich des pseudonymisierten Datensatzes über die Zwecke und Mittel der Datenverarbeitung mitentscheidet. In der Rechtssache Wirtschaftsakademie Schleswig-Holstein hat es der EuGH für die Annahme einer gemeinsamen Verantwortlichkeit bereits ausreichen lassen, dass der Website-Betreiber es Facebook durch den Betrieb der Fanpage ermöglicht habe, Cookies auf den Endgeräten der Benutzer zu platzieren und mithilfe dieser Cookies personenbezogene Daten bei den Besuchern der Fanpage zu erheben.421 Dies gelte in besonderer Weise hinsichtlich der Daten derjenigen Fanpage-Besucher, die über kein eigenes Facebook-Benutzerkonto verfügten, da Facebook auf die Daten dieser Personen allein aufgrund des Betreibens der Fanpage zugreifen könne.422 In gleicher Weise könnte auch vorliegend argumentiert werden, dass die Prüfzentren in Bezug auf die pseudonymisierten Daten als (Mit-)Verantwortliche einzuordnen
415
Schiemann / Peters / Z umdick, A&R 2019, 147 (153); Hiller, PharmR 2020, 589 (593). Hiller, PharmR 2020, 589 (593); Schiemann / Peters / Z umdick, A&R 2019, 147 (151). 417 Schiemann / Peters / Z umdick, A&R 2019, 147 (151 f.); Hiller, PharmR 2020, 589 (593). 418 Schiemann / Peters / Z umdick, A&R 2019, 147 (148). 419 Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169 v. 16. Februar 2010, S. 37. 420 Arbeitskreis medizinischer Ethik-Kommissionen, Handreichung zum Wirksamwerden der DSGVO v. 25. Juni 2018, S. 4; Schiemann / Peters / Z umdick, A&R 2019, 147 (152). 421 EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (358) Rn. 35 – Wirtschaftsakademie Schleswig-Holstein. 422 EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (359) Rn. 41 – Wirtschaftsakademie Schleswig-Holstein. 416
406
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
sind, da sie dem Sponsor mit den pseudonymisierten Datensätzen eine Datenquelle eröffnen, auf die dieser ohne das Prüfzentrum keinen Zugriff hätte.423 Allerdings hat der EuGH seine bisherige Rechtsprechung in der Entscheidung Fashion ID dahingehend präzisiert, dass nicht bereits jede Art der Mitwirkung bei der Datenverarbeitung für die Annahme einer gemeinsamen Verantwortlichkeit genüge.424 In klassischen klinischen Prüfungen scheint der Einfluss des Prüfzentrums auf die Verarbeitung des pseudonymisierten Datensatzes jedoch ohnehin über ein bloßes Ermöglichen der Datenverarbeitung hinauszugehen. So kommt es insbesondere im Fall der Ausübung von Betroffenenrechten essentiell auf die Mitwirkung des Prüfzentrums an.425 Da der Sponsor die Daten nur in pseudonym isierter Form verarbeitet, kann sich die betroffene Person zwecks Geltendmachung ihrer Betroffenenrechte nicht direkt an ihn wenden, vielmehr muss sie ihre Rechte über das Prüfzentrum geltend machen, welches die Identität der betroffenen Person kennt. Das Prüfzentrum hat sodann die Umsetzung der Betroffenenrechte in Bezug auf die pseudonymisierten Datensätze zu veranlassen. Zudem ist allein das Prüfzentrum in der Lage die Pseudonymisierung der Daten aufzuheben, um gegebenenfalls eine Identifizierung der Studienteilnehmer zu ermöglichen.426 Dies verdeutlicht, dass die Daten mit der Übermittlung an den Sponsor nicht etwa dem Einflussbereich des Prüfzentrums entzogen werden, sondern die tatsächlichen Aufgaben und Verantwortlichkeiten des Prüfzentrums und des Sponsors in Bezug auf die pseudonymisierten Datensätze vielmehr eng miteinander verflochten sind.427 Daher sind Prüfzentrum und Sponsor hinsichtlich des pseudonymisierten Datensatzes regelmäßig als gemeinsam Verantwortliche i. S. d. Art. 26 DSGVO einzustufen. Sie müssen folglich gemäß Art. 26 Abs. 1 S. 2 DSGVO eine Vereinbarung treffen, in der sie transparent festlegen, welche datenschutzrechtlichen Pflichten in gemeinsamer Verantwortung erfüllt werden. Die wesentlichen Inhalte dieser Vereinbarung sind den betroffenen Personen sodann zur Verfügung zu stellen. Das Vorliegen einer gemeinsamen Verantwortlichkeit i. S. d. Art. 26 DSGVO ändert jedoch nichts daran, dass eine Rechtsgrundlage für die einzelnen Verarbeitungsvorgänge einschließlich der Datenübermittlungen zwischen den gemeinsam Verantwortlichen erforderlich ist.428 Sponsoren und Prüfzentren sollten aber nicht vorschnell vom Vorliegen einer gemeinsamen Verantwortlichkeit ausgehen, vielmehr bedarf es stets einer Prüfung des Einzelfalls unter Einbeziehung der tatsächlichen Ausgestaltung der klinischen Prüfung. Ebenso hat auch der EuGH in seinen Entscheidungen mehrfach betont, dass die Beurteilung, ob jemand als datenschutzrechtlich Verantwortlicher zu qua 423
Hiller, PharmR 2020, 589 (593). EuGH, Urt. v. 29. Juli 2019 – C-40/17, ZD 2019, 455 (456 f.) Rn. 74, 80 – Fashion ID. 425 Schiemann / Peters / Zumdick, A&R 2019, 147 (153); zu den Betroffenenrechten im Rahmen klinischer Prüfungen s. Kap. 7 H. V. 2., (S. 465 ff.). 426 Schiemann / Peters / Z umdick, A&R 2019, 147 (153). 427 Schiemann / Peters / Z umdick, A&R 2019, 147 (153). 428 Bischoff / Wiencke, ZD 2019, 8 (9); s. dazu ausführlich unter Kap. 2 B. IV., (S. 187 ff.). 424
F. Spezialgesetzliche Regeln für die Datenverarbeitung
407
lifizieren sei, stets eine Frage des Einzelfalls sei.429 Je nach den Umständen des Einzelfalls mag es auch Fälle geben, in denen das Prüfzentrum als Auftragsverarbeiter einzuordnen ist.430 2. Zulässigkeit der Datenverarbeitung im Rahmen klinischer Prüfungen von Arzneimitteln Die datenschutzrechtlichen Vorgaben für die erforderlichen Datenverarbeitungen im Rahmen klinischer Prüfungen waren bislang im Arzneimittelgesetz (AMG)431 geregelt. Zwar ist die Verordnung über klinische Prüfungen mit Humanarzneimitteln (VO (EU) 536/2014)432 bereits am 16. Juni 2014 in Kraft getreten, sie gilt gemäß Art. 99 Abs. 2 VO(EU) 536/2014 aber erst ab sechs Monaten nach der Veröffentlichung der Mitteilung gemäß Art. 82 Abs. 3, also der Mitteilung seitens der Kommission über die Funktionsfähigkeit des EU-Portals und der EU-Datenbank im Amtsblatt der Europäischen Union. Am 31. Juli 2021 hat die Kommission den Beschluss über die Übereinstimmung des EU-Portals und der EU-Datenbank für klinische Prüfungen mit Humanarzneimitteln mit den Anforderungen gemäß Artikel 82 Absatz 2 der Verordnung (EU) Nr. 536/2014433 im Amtsblatt der Europäischen Union veröffentlicht. Die VO(EU) 536/2014 gilt somit seit dem 1. Februar 2022. Mit dem Geltungsbeginn der VO(EU) 536/2014 richten sich die rechtlichen Vorgaben für die Durchführung klinischer Prüfungen von Arzneimitteln nun nach dieser Verordnung. Die Verordnung findet in den Mitgliedstaaten grundsätzlich unmittelbare Anwendung, ohne dass es einer Umsetzung in nationales Recht bedarf.434 Mit dem Geltungsbeginn der Verordnung stellt sich aufgrund des Anwendungsvorrangs gemäß Art. 288 Abs. 2 AEUV daher die Frage des Schicksals der im bisherigen AMG enthaltenen bereichsspezifischen Datenschutzbestimmungen. Diesbezüglich belässt die VO (EU) 536/2014 in Art. 93 einen nationalen Regelungsspielraum für datenschutzrechtliche Regelungen.435 Von dieser Möglichkeit hat der 429
EuGH, Urt. v. 5. Juni 2018 – C-210/16, ZD 2018, 357 (359) Rn. 43 – Wirtschaftsakademie Schleswig-Holstein; EuGH, Urt. v. 29. Juli 2019 – C-40/17, ZD 2019, 455 (456) Rn. 70 – Fashion ID. 430 So ordnet Hiller, PharmR 2020, 589 (594 f.) die Prüfzentren hinsichtlich des pseudonymisierten Datensatzes zumindest bei bestimmten klinischen Prüfungen als Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO ein. 431 Gesetz über den Verkehr mit Arzneimitteln (Arzneimittelgesetz – AMG) v. 12. Dezember 2005, BGBl. 2005 Teil I Nr. 73 v. 15. Dezember 2005, S. 3394. 432 Verordnung (EU) Nr. 536/2014 des europäischen Parlaments und des Rates vom 16. April 2014 über klinische Prüfungen mit Humanarzneimitteln und zur Aufhebung der Richtlinie 2001/20/EG, ABl. EU 2014 L 158, S. 1. 433 Beschluss (EU) 2021/1240 v. 13. Juli 2021, ABl. EU 2021 L 275, S 1. 434 Listl-Noerr, in: Spickhoff, Medizinrecht, § 40 AMG Rn. 3. 435 BT-Drs. 18/8034, S. 47.
408
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
Gesetzgeber mit einem nationalen Anpassungsgesetz (4. AMG-ÄndG)436 Gebrauch gemacht, welches das bisherige AMG in einem zweistufigen Prozess an die VO (EU) 536/2014 angepasst hat. Folglich stellen sich Fragen hinsichtlich des Zusammenwirkens der DSGVO mit dem an die Verordnung (EU) 536/2014 angepassten AMG n. F. und dessen Datenschutzbestimmungen. Da auch die VO (EU) 536/2014 selbst spezielle datenschutzrechtliche Vorschriften enthält, stellt sich ebenfalls die Frage des Zusammenspiels der DSGVO und der VO (EU) 536/2014. Am 23. Januar 2019 hat der EDSA zu dieser Frage eine Leitlinie zum Zusammenspiel der DSGVO und der VO (EU) 536/2014 über klinische Prüfungen veröffentlicht.437 Diese Leitlinie geht auf eine Beratungsanfrage der Generaldirektion Gesundheit und Lebensmittelsicherheit der Kommission vom 8. Oktober 2018 zurück, mit der der EDSA gemäß Art. 70 DSGVO um Stellungnahme zu einem Fragenkatalog438 zum Zusammenspiel der DSGVO und der VO (EU) 536/2014 gebeten wurde. Die Leitlinie des EDSA bietet hinsichtlich des Zusammenspiels der Verordnung über klinische Prüfungen mit der DSGVO eine „erste solide Grundlage“439. a) Zusammenwirken von DSGVO und AMG n. F. Wie beschrieben, hängt die Durchführung klinischer Prüfungen entscheidend von der Verarbeitung besonderer Kategorien personenbezogener Daten ab.440 Damit sowohl die Erhebung der personenbezogenen Klardaten durch das Prüfzentrum als auch deren Übermittlung sowie die weitere Verarbeitung durch den Sponsor rechtmäßig ist, bedarf es einer Rechtsgrundlage, die die Verarbeitung erlaubt.441 Unmittelbar aus der DSGVO ergibt sich die Möglichkeit der Verarbeitung auf Grundlage einer Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO.442 Diese muss grundsätzlich den in der DSGVO aufgestellten Wirksamkeitsanforderungen entsprechen. Daneben normiert § 40b Abs. 6 AMG n. F. zusätzliche Anforderungen für die datenschutzrechtliche Einwilligung.
436
Viertes Gesetz zur Änderung arzneimittelrechtlicher und anderer Vorschriften v. 20. Dezember 2016, BGBl. 2016 Teil I Nr. 63 v. 23. Dezember 2016, S. 3048, zuletzt geändert durch Artikel 4 des Gesetzes zum Erlass eines Tierarzneimittelgesetzes und zur Anpassung arzneimittelrechtlicher und anderer Vorschriften v. 27. September 2021, BGBl. 2021 Teil I Nr. 70 v. 4. Oktober 2021, S. 4530. 437 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung. 438 European Commission, Question and Answers on the interplay between the Clinical Trials Regulation and the General Data Protection Regulation. 439 Bischoff, PharmR 2019, 265 (272). 440 Bischoff / Wiencke, ZD 2019, 8 (8). 441 Schiemann / Peters / Z umdick, A&R 2019, 147 (149). 442 Bieresborn, NZS 2017, 926 (926).
F. Spezialgesetzliche Regeln für die Datenverarbeitung
409
Die im Artikel 2 des 4. AMG-ÄndG enthaltenen datenschutzrechtlichen Regelungen sollten gemäß Artikel 13 Abs. 2 des 4. AMG-ÄndG ursprünglich ebenfalls sechs Monate nach der Veröffentlichung der Mitteilung der Kommission über die Funktionsfähigkeit des EU-Portals und der Datenbank nach Art. 82 der VO (EU) 536/2014 und mithin am 31. Januar 2022 in Kraft treten. Durch Artikel 4 des Gesetzes vom 27. September 2021443 wurde Artikel 13 Abs. 2 des 4. AMG-ÄndG dahingehend angepasst, dass der Artikel 2 des 4. AMG-ÄndG bereits am 27. Januar 2022 in Kraft tritt. Mit dem Inkrafttreten des Artikels 2 des 4. AMG-ÄndG bleiben die bisherigen datenschutzrechtlichen Regelungen des § 40 Abs. 1 S. 3 Nr. 3 lit. c, Abs. 2a AMG a. F. weitestgehend in dem neuen § 40b Abs. 6 AMG aufrechterhalten.444 aa) Konkretisierung der Einwilligungsanforderungen im AMG n. F. (1) Formanforderungen Nach § 40b Abs. 6 S. 1 AMG n. F. muss die betroffene Person entweder schriftlich oder elektronisch in die Verarbeitung von personenbezogenen Daten, insbesondere von Gesundheitsdaten, einwilligen. Dahingehend wurde § 40b Abs. 6 S. 1 AMG n. F. durch Art. 19 des 2. DSAnpUG-EU angepasst, der zuvor nur die Möglichkeit der schriftlichen Einwilligung vorsah. In gleicher Weise konnte die Einwilligung in die Verarbeitung personenbezogener Daten im Rahmen klinischer Prüfungen nach § 40 Abs. 1 S. 3 Nr. 3 lit. c AMG a. F. schriftlich oder elektronisch erteilt werden. Dahingehend wurde § 40 AMG a. F., der zuvor ebenfalls allein die schriftliche Einwilligung vorsah, durch Art. 18 des 2. DSAnpUG-EU an die Vorgaben der DSGVO angepasst. Die Ergänzung des Schriftformerfordernisses um die elektronische Form war erforderlich, da die DSGVO keine bestimmte Form für die Einwilligung vorsieht und somit nicht mehr allein die Schriftlichkeit der Einwilligung vorgeschrieben werden konnte.445 Auf der Grundlage von Art. 9 Abs. 4 DSGVO war es jedoch grundsätzlich zulässig, generell Formerfordernisse für die Einwilligung von Gesundheitsdaten festzulegen.446 Vor diesem Hinter 443
Gesetz zum Erlass eines Tierarzneimittelgesetzes und zur Anpassung arzneimittelrechtlicher und anderer Vorschriften v. 27. September 2021, BGBl. 2021 Teil I Nr. 70 v. 4. Oktober 2021, S. 4530. 444 BT-Drs. 18/8034, S. 47; Rehmann, in: Rehmann, Arzneimittelgesetz, § 40b AMG Rn. 7; Schreiber, Die medizinische Forschung, S. 246; Nickel / Seibel / Frech / Sudhop, Bundesgesundheitsbl. 2017, 804 (808 f.); Listl-Noerr, in: Spickhoff, Medizinrecht, § 40 AMG Rn. 14. 445 So für die Zulassung der elektronischen Form im SGB X Bieresborn, NZS 2017, 926 (930). 446 So BT-Drs. 19/4674, S. 401 zu § 67b Abs. 2 S. 2 SGB X, der ebenfalls vorsieht, dass die Einwilligung schriftlich oder elektronisch zu erfolgen hat. Gleiches gilt für die Formanforderungen an die Einwilligung im AMG n. F. Die Gesetzesbegründung zum 2. DSAnpUG-EU selbst erläutert zur Änderung des Arzneimittelgesetzes und zur Änderung des 4. AMG-ÄndG lediglich, dass das Schriftformerfordernis für die Einwilligung in die Datenverarbeitung im Sinne einer fortschreitenden Digitalisierung um die elektronische Form ergänzt wurde, BTDrs. 19/4674, S. 229, 231.
410
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
grund ist es zu begrüßen, dass auch § 40b Abs. 6 S. 1 AMG n. F. die Möglichkeit der Einwilligung in schriftlicher oder elektronischer Form eröffnet. (2) Informiertheit Daneben muss die betroffene Person ihre Einwilligung gemäß Art. 4 Nr. 11 DSGVO in informierter Weise erteilen. Dazu sollte die betroffene Person gemäß EG 42 S. 4 DSGVO zumindest wissen, wer der Verantwortliche ist und für welche Zwecke die Daten verarbeitet werden. Diese Anforderungen konkretisiert § 40b Abs. 6 S. 3 AMG n. F. Die der betroffenen Person im Rahmen der Aufklärung zur Verfügung zu stellenden Informationen entsprechen dabei im Wesentlichen denen unter der Rechtslage des § 40 Abs. 2a S. 2 AMG a.F mitzuteilenden Informationen. Danach war gemäß § 40 Abs. 2a S. 2 Nr. 1 lit. b AMG a. F. insbesondere auf die Datenübermittlungen an den Sponsor oder die Zulassungsbehörde einzugehen.447 Neu geregelt worden ist nun, dass die betroffene Person gemäß § 40b Abs. 6 S. 3 Nr. 1 lit. e und f AMG n. F. darüber zu informieren ist, dass ihre Daten im Fall mutmaßlicher unerwarteter schwerer Nebenwirkungen oder Ereignisse pseudonymisiert an das EU-Portal oder die Datenbank übermittelt werden.448 Die mitzuteilenden Informationen sind folglich bezüglich des Datenschutzes zu erweitern.449 Da die DSGVO keine ausdrückliche Regelung dazu enthält, welche Informationen der Einwilligende im Rahmen der Einwilligung erhalten soll, erscheinen solch konkretisierende Regelungen zulässig.450 (3) Widerruflichkeit Ebenso wie § 40 Abs. 2a S. 2 Nr. 2 und 3 AMG a. F. adressiert auch § 40b Abs. 6 S. 3 Nr. 2 AMG n. F. die Widerruflichkeit der Einwilligung in die Datenverarbeitung und stimmt insoweit mit den Vorgaben des Art. 7 Abs. 3 S. 1 DSGVO überein.451 Daneben bestimmt Art. 7 Abs. 3 S. 2 DSGVO, dass die Rechtmäßigkeit 447
Bischoff / Wiencke, ZD 2019, 8 (11); Bischoff, PharmR 2019, 265 (268); zu den Anforderungen im Einzelnen Ethik-Kommission des Landes Berlin, Arbeitshilfe Probanden-/ Patienteninformation und Einwilligungserklärung zur Datenverarbeitung, Stand 17. Februar 2021, abrufbar unter: https://www.berlin.de/lageso/gesundheit/ethik-kommission/klinischepruefung-von-arzneimitteln/. 448 Bischoff, PharmR 2019, 265 (271). 449 Dienemann, PharmR 2016, 1 (3). 450 So Bieresborn, in: Schütze, SGB X, § 67b SGB X Rn. 49 zu den ähnlichen Vorgaben des § 67b Abs. 2 S. 2 SGB X; BT-Drs. 18/12611, S. 104. 451 Da § 40 Abs. 2a S. 2 Nr. 2 AMG a. F. vor der Anpassung an die Vorgaben der DSGVO die Unwiderruflichkeit der datenschutzrechtlichen Einwilligung statuierte und damit gegen die Vorgaben des Art. 7 Abs. 3 S. 1 DSGVO verstieß, wurde das AMG a. F. durch das 2. DSAnpUG-EU entsprechend an Art. 7 Abs. 3 S. 1 DSGVO angepasst, BR-Drs. 430/18, S. 273; BT-Drs. 19/4674, S. 229; Bischoff, PharmR 2019, 265 (268).
F. Spezialgesetzliche Regeln für die Datenverarbeitung
411
der bereits erfolgten Verarbeitung von einem Widerruf der Einwilligung nicht berührt wird. Allerdings muss der Verantwortliche die betreffende Verarbeitung beenden und die auf Grundlage der widerrufenen Einwilligung verarbeiteten Daten gemäß Art. 17 Abs. 1 lit. b DSGVO löschen, soweit keine anderweitigen Rechtsgrundlagen zur weiteren Verarbeitung berechtigen. In diesem Sinne bestimmt § 40b Abs. 6 S. 3 Nr. 2 AMG n. F., dass die gespeicherten Daten im Fall des Widerrufs unter bestimmten Voraussetzungen weiterhin verarbeitet werden dürfen. Für die Datenverarbeitung zu wissenschaftlichen Forschungszwecken ist insbesondere § 40b Abs. 6 S. 3 Nr. 2 lit. a AMG n. F. von Bedeutung, nach dem die gespeicherten Daten weiterhin verarbeitet werden dürfen, soweit dies erforderlich ist, um die Wirkungen des zu prüfenden Arzneimittels festzustellen. Diese Vorschrift kann die weitere Verarbeitung der bis zum Widerruf erhobenen Daten allerdings nur legitimieren, soweit die Vorschrift nicht den Vorgaben der DSGVO widerspricht.452 Für diese Regelung ist mithin eine Öffnungsklausel in der DSGVO erforderlich.453 Da Art. 9 Abs. 2 lit. j DSGVO vorsieht, dass die Verarbeitung besonderer Kategorien personenbezogener Daten auf Grundlage mitgliedstaatlicher Vorschriften zulässig ist, wenn sie für wissenschaftliche Forschungszwecke erforderlich ist, kann § 40b Abs. 6 S. 3 Nr. 2 lit. a AMG n. F. auf diese Öffnungsklausel gestützt werden.454 Nach dem Widerruf der datenschutzrechtlichen Einwilligung kann die weitere Verarbeitung mithin durch § 40b Abs. 6 S. 3 Nr. 2 lit. a AMG n. F. legitimiert werden.455 Gemäß Art. 7 Abs. 3 S. 3 DSGVO ist die betroffene Person über ihr Widerrufsrecht zu belehren und darüber zu informieren, dass der Widerruf nur ex nunc-Wirkung entfaltet.456 bb) Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen klinischer Prüfungen Aus der Anpassung des AMG a. F. und des 4. AMG-ÄndG durch das 2. DSAnp UG-EU sowie der Festlegung spezifischer Anforderungen für die datenschutzrechtliche Einwilligung im Zuge des 4. AMG-ÄndG wird deutlich, dass der deutsche Gesetzgeber am Erfordernis einer datenschutzrechtlichen Einwilligung für die Datenverarbeitung im Rahmen klinischer Prüfungen nach Art. 9 Abs. 2 lit. a DSGVO festhalten wollte, wenngleich der europäische Gesetzgeber mit Art. 9 Abs. 2 lit. j DSGVO eine gesetzliche Erlaubnis zur Verarbeitung besonderer Kategorien personenbezogener Daten zu Forschungszwecken geschaffen hat.457 Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen der klinischen Prüfung ist damit nach geltendem Recht die Einwilligung 452
So zum AMG a. F. Bischoff / Wiencke, ZD 2019, 8 (10). Bischoff / Wiencke, ZD 2019, 8 (10). 454 So zur entsprechenden Regelung im AMG a. F. Bischoff / Wiencke, ZD 2019, 8 (11). 455 So zur entsprechenden Regelung im AMG a. F. Bischoff / Wiencke, ZD 2019, 8 (13). 456 Bischoff, PharmR 2019, 265 (268). 457 Bischoff, PharmR 2019, 265 (267). 453
412
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
der betroffenen Person gemäß Art. 9 Abs. 2 lit. a DSGVO i. V. m. § 40b Abs. 6 AMG n. F.458 Diese datenschutzrechtliche Einwilligung ist neben der Einwilligung in die Teilnahme an der klinischen Prüfung nach Art. 29 VO (EU) 536/2014 i. V. m. § 40b Abs. 1 bis 5 AMG n. F. einzuholen.459 b) Verhältnis der DSGVO zur VO (EU) 536/2014 In seinen Leitlinien zum Verhältnis der DSGVO und der VO (EU) 536/2014 stellt der EDSA einleitend klar, dass „beide Rechtsvorschriften gleichzeitig anwendbar sind und die Verordnung über klinische Prüfungen einen sektorspezi fischen Rechtsakt darstellt, der spezielle datenschutzrechtliche Vorschriften, aber keine allgemeinen Abweichungen von der DSGVO enthält“460. Damit wird verdeutlicht, dass die DSGVO und die VO (EU) 536/2014 in keinem hierarchischen Verhältnis zueinander stehen, sondern unterschiedliche Zwecke verfolgen und daher parallel Anwendung finden.461 Dies wird normativ damit belegt, dass die VO (EU) 536/2014 in Art. 93 Abs. 1 darauf verweise, dass bei der Verarbeitung personenbezogener Daten die Datenschutz-Richtlinie anzuwenden sei, was gemäß Art. 94 Abs. 2 S. 1 DSGVO nun als Verweis auf die DSGVO zu verstehen ist. Vor diesem Hintergrund soll die Stellungnahme des EDSA nachfolgend erörtert und das Zusammenspiel zwischen der DSGVO und der Verordnung über klinische Prüfungen beleuchtet werden. Der EDSA geht in seiner Stellungnahme insbesondere auf die Frage der geeigneten Rechtsgrundlage für die Verarbeitung personen bezogener Daten ein und differenziert dabei zwischen den Rechtsgrundlagen für die Primär- und Sekundärnutzung klinischer Daten. aa) Rechtsgrundlage für die Primärnutzung klinischer Daten Als Primärnutzung der Daten versteht der EDSA alle Verarbeitungsvorgänge im Zusammenhang mit einem bestimmten Prüfplan während dessen gesamter Dauer, also von Beginn der Prüfung bis hin zur anschließenden Löschung der 458 So zur alten Rechtslage Dierks, Rechtsgutachten Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, S. 71; Achenbach, PharmR 2020, 9 (13). 459 Schiemann / Peters / Z umdick, A&R 2019, 147 (149). 460 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 4; so auch European Commission, Question and Answerson the interplay between the Clinical Trials Regulation and the General Data Protection Regulation, S. 3. 461 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 3; Bischoff, PharmR 2019, 265 (266); a. A. Lippert, GesR 2018, 613 (621) der annimmt, dass wenn die VO (EU) 536/2014 angewendet werden müsse, die darin enthaltenen datenschutzrechtlichen Vorschriften Vorrang vor der DSGVO hätten, da die VO (EU) 536/2014 eine ranggleiche bereichsspezifische Regelung darstelle.
F. Spezialgesetzliche Regeln für die Datenverarbeitung
413
Daten.462 Damit weicht der EDSA ausdrücklich von dem Konzept der Primärnutzung in der Stellungnahme 03/2013 der Art. 29-Datenschutzgruppe ab, nach der nur die Erfassung der Daten als Primärnutzung anzusehen ist und alle daran anknüpfenden Vorgänge als Weiterverarbeitung gelten.463 Um die Datenverarbeitung für die Primärzwecke zu legitimieren, bedarf es einer geeigneten Rechtsgrundlage, auf die der EDSA im Einzelnen eingeht.464 (1) Datenverarbeitung auf der Grundlage einer Einwilligung Zunächst prüft der EDSA, ob die der Forschungstätigkeit dienenden Verarbeitungsvorgänge auf eine ausdrückliche Einwilligung der betroffenen Person gestützt werden können. In diesem Zusammenhang stellt er fest, dass die Bestimmungen in Art. 28 Abs. 2 VO (EU) 536/2014 zur Einwilligung nach Aufklärung nicht als Instrument zur Einhaltung der Datenschutzvorschriften zu verstehen seien.465 Daher zieht der EDSA die datenschutzrechtliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO in Erwägung. Im Zusammenhang mit klinischen Prüfungen sei dabei insbesondere die in Art. 4 Nr. 11 DSGVO vorgeschriebene Freiwilligkeit der Einwilligung problematisch.466 Diesbezüglich geht der EDSA zunächst darauf ein, dass es abhängig von den Umständen der klinischen Prüfung zu einem Ungleichgewicht in der Machtverteilung zwischen dem Sponsor bzw. Prüfer und den Teilnehmern kommen könne.467 Ein solches Ungleichgewicht sei insbesondere anzunehmen, wenn der Teilnehmer einen schlechten Gesundheitszustand aufweise, einer wirtschaftlich oder sozial benachteiligten Gruppe angehöre oder sich in einer institutionellen oder hierarchischen Abhängigkeit befinde.468 Dies betrifft nach Ansicht des EDSA die meisten Fälle klinischer Prüfungen.469 Daraus schließt der EDSA sodann, dass die Einwilligung im Regelfall keine geeignete Rechtsgrundlage für
462 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 4. 463 Art. 29-Datenschutzgruppe, Opinion 03/2013 on purpose limitation adopted on 2 April 2013, WP 203, S. 21. 464 Dabei unterscheidet der EDSA zwischen den ausschließlich im Zusammenhang mit Forschungstätigkeiten stehenden und den dem Gesundheitsschutz dienenden Verarbeitungsvorgängen. Im Vorliegenden soll ausschließlich auf die im Zusammenhang mit Forschungstätigkeiten stehenden Verarbeitungsvorgänge eingegangen werden. 465 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 6. 466 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 6 f. 467 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 7. 468 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 7. 469 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 7.
414
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
die Datenverarbeitung im Rahmen klinischer Prüfungen darstellen könne, da jedes klare Ungleichgewicht in der Machtverteilung zwischen dem Teilnehmer und dem Sponsor bzw. Prüfer bedeute, dass die Einwilligung nicht freiwillig im Sinne der DSGVO erteilt wurde.470 Diese Erwägungen können jedoch nicht überzeugen.471 Zunächst ist es bereits zweifelhaft, dass in den meisten klinischen Prüfungen tatsächlich ein Ungleichgewicht zwischen Prüfer und Teilnehmer vorliegt. Vielmehr wird hier auf die Umstände des Einzelfalls unter Einbeziehung der tatsächlichen Ausgestaltung der klinischen Prüfung abzustellen sein. Zwar führt der EDSA geeignete Kriterien für diese Einzelfallprüfung an, diese lassen bei genauerer Betrachtung aber nicht den Schluss zu, dass „die Einwilligung in den meisten Fällen nicht die geeignete Rechtsgrundlage“472 darstelle. Wenn der EDSA etwa darauf verweist, dass der Gesundheitszustand des Teilnehmers ein Kriterium für die Beurteilung des Vorliegens eines Ungleichgewichts in der Machtverteilung sei, so kann sich dies wohl nur auf Patientenstudien und nicht auf gesunde Probanden in Probandenstudien beziehen. Gleiches dürfte bezüglich des Kriteriums der institutionellen Abhängigkeit gelten. Auch bei der Einwilligung durch Patienten wird es darauf ankommen, wie die Aufklärung über die Freiwilligkeit der Einwilligung im Einzelnen ausgestaltet ist. Wenn der Patient ausdrücklich darüber aufgeklärt wird, dass die Erteilung oder Nichterteilung der Einwilligung keinen Einfluss auf seine medizinische Behandlung hat, ist die Möglichkeit einer freiwilligen Einwilligung im Grundsatz gegeben. Daneben entspricht insbesondere auch der Schluss des EDSA, dass jedes Ungleichgewicht in der Machtverteilung die Freiwilligkeit der Einwilligung ausschließe, nicht den Vorgaben der DSGVO. Nach EG 43 DSGVO soll die Einwilligung keine gültige Rechtsgrundlage darstellen, wenn zwischen dem Verantwortlichen und der betroffenen Person ein klares Ungleichgewicht besteht und es „in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde“. Die finale Fassung der DSGVO enthält gerade nicht mehr die ursprünglich in Art. 7 Abs. 4 DSGVO-E vorgesehene Regelung, nach der eine wirksame Einwilligung stets ausgeschlossen sein sollte, wenn zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen „ein erhebliches Ungleichgewicht“ besteht.473 Demnach kann allein aus dem Vorliegen eines Ungleichgewichts nicht ohne Weiteres auf einen Mangel an Freiwilligkeit geschlossen werden, vielmehr ist im Einzelfall zu prüfen, ob sich die ungleiche Machtverteilung auf die Einwilligung auswirkt.474 Sollte eine Einwilligung als Rechtsgrundlage nach den dargstellten Grundsätzen in Betracht kommen, ist zu berücksichtigen, dass der Widerruf der datenschutz 470 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 7. 471 Kritisch auch Achenbach, PharmR 2020, 9 (13) Fn. 19. 472 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 7. 473 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 48. 474 Kühling / Martini, EuZW 2016, 448 (451).
F. Spezialgesetzliche Regeln für die Datenverarbeitung
415
rechtlichen Einwilligung von dem Widerruf der Einwilligung in die Teilnahme an der klinischen Prüfung nach Art. 28 Abs. 3 der Verordnung über klinische Prüfungen zu unterscheiden ist.475 Nach Art. 7 Abs. 3 S. 1 DSGVO hat die betroffene Person das Recht, ihre Einwilligung in die Verarbeitung der Daten jederzeit ohne Angabe von Gründen zu widerrufen. Der Verantwortliche muss die Verarbeitung beenden und die Daten löschen, sofern gemäß Art. 17 Abs. 1 lit. b DSGVO keine andere Rechtsgrundlage für die weitere Verarbeitung vorhanden ist.476 Eine solche Rechtsgrundlage stellt der neue § 40b Abs. 6 S. 3 Nr. 2 lit. a AMG n. F. dar, nach dem die gespeicherten Daten im Fall eines Widerrufs weiterhin verarbeitet werden dürfen, soweit dies erforderlich ist, um die Wirkungen des zu prüfenden Arzneimittels festzustellen. (2) Einwilligungsunabhängige Datenverarbeitung Wenn es am Erfordernis der Freiwilligkeit fehlt und daher die Einwilligung nicht rechtmäßig erteilt werden kann, sind alternativ gesetzliche Erlaubnistatbestände in Erwägung zu ziehen. Für die Verarbeitung besonderer Kategorien personen bezogener Daten zu Forschungszwecken im Rahmen klinischer Prüfungen kommen nach Ansicht des EDSA Art. 9 Abs. 2 lit. i DSGVO oder Art. 9 Abs. 2 lit. j DSGVO jeweils i. V. m. dem nationalen Recht in Betracht.477 Hinsichtlich des nationalen Rechts gilt, dass die bereichsspezifischen Datenschutzregelungen im AMG n. F. den allgemeinen Vorschriften des BDSG n. F. gemäß § 1 Abs. 2 S. 1 BDSG n. F. vorgehen. Demnach wäre Art. 9 Abs. 2 lit. j DSGVO i. V. m. § 40b Abs. 6 S. 1 AMG n. F. die einschlägige Rechtsgrundlage für die Primärnutzung klinischer Daten. Höchst problematisch ist in diesem Zusammenhang jedoch, dass § 40b Abs. 6 S. 1 AMG n. F. seinerseits auf eine Einwilligung in die Verarbeitung von Gesundheitsdaten abstellt, deren Wirksamkeit der EDSA im Rahmen klinischer Prüfungen gerade bezweifelt. Um diesen Widerspruch aufzulösen, wäre zunächst ein Rückgriff auf die bundesrechtliche Forschungsklausel in § 27 BDSG n. F. denkbar. Allerdings ist das BDSG n. F. gemäß § 1 Abs. 2 S. 2 BDSG n. F. als Auffanggesetz nur einschlägig, soweit die bereichsspezifischen Regelungen einen datenschutzrechtlichen Sachverhalt nicht oder nicht abschließend regeln.478 Demnach ist auch der Erlaubnistatbestand für die Datenverarbeitung zu Forschungszwecken in § 27 Abs. 1 BDSG n. F. nur anwendbar, soweit er nicht durch bereichsspezifische Vor 475
EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 7; European Commission, Question and Answers on the interplay between the Clinical Trials Regulation and the General Data Protection Regulation, S. 7. 476 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 7 f. 477 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 9. 478 Ernst, in: Paal / Pauly, DSGVO BDSG, § 1 BDSG Rn. 7 f.
416
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
schriften verdrängt wird. Die Gesetzesbegründung zu § 27 BDSG n. F. verweist in diesem Zusammenhang insbesondere auf medizinrechtliche Gesetze, wie etwa das AMG.479 § 40b Abs. 6 AMG n. F. enthält selbst bereichsspezifische Datenschutzregelungen, wie etwa das gesetzliche Erfordernis einer Einwilligung in die Datenverarbeitung, sodass es sich insoweit um eine abschließende Regelung handelt und ein Rückgriff auf § 27 BDSG n. F. gesperrt ist. Die subsidiär geltenden Bestimmungen des BDSG n. F. werden folglich durch das in § 40b Abs. 6 S. 1 AMG n. F. spezialgesetzlich geregelte Einwilligungserfordernis verdrängt. Im deutschen Recht bleibt es im Rahmen klinischer Prüfungen daher trotz der Bestrebungen auf europäischer Ebene, die Datenverarbeitung im Rahmen klinischer Prüfungen auf gesetzliche Erlaubnistatbestände zu stützen, bei dem gesetzlichen Erfordernis einer datenschutzrechtlichen Einwilligung. bb) Rechtsgrundlage für die Sekundärnutzung klinischer Daten In seinen Leitlinien befasst sich der EDSA zudem mit Art. 28 Abs. 2 VO (EU) 536/2014 und dessen Auswirkungen auf die Verarbeitung personenbezogener Daten außerhalb des Prüfprotokolls im Rahmen der DSGVO. In Art. 28 Abs. 2 VO (EU) 536/2014 werde die Frage der Sekundärnutzung mit besonderem Schwerpunkt auf die Einwillgung behandelt. Dabei gehe es ausschließlich um Situationen, in denen der Sponsor die Daten des Teilnehmers zwar außerhalb des Prüfplans, jedoch ausschließlich zu wissenschaftlichen Zwecken verarbeiten möchte.480 Der Verordnung über klinische Prüfungen zufolge sollte die Einwilligung in diese Verarbeitung zu dem Zeitpunkt eingeholt werden, an dem um die Einwilligung in die Teilnahme an der klinischen Prüfung ersucht wird.481 Da die Einwilligung gemäß Art. 28 Abs. 2 VO (EU) 536/2014 und die datenschutzrechtliche Einwilligung jedoch voneinander zu unterscheiden seien, seien auch die in Art. 28 VO (EU) 536/2014 aufgestellten Grundsätze zur Sekundärnutzung nicht Maßstab für die datenschutzrechtliche Einwilligung.482 In diesem Zusammenhang erklärt die Europäische Kommission ausdrücklich, dass für die Verarbeitung der erhobenen personenbezogenen Daten zu anderen wissenschaftlichen Zwecken als den im Prüfplan ursprünglich genannten Zwecken eine gesonderte Rechtsgrundlage erforderlich sei.483 Die Rechtsgrundlage könne sich dabei von der Rechtsgrund 479
BT-Drs. 18/11325, S. 100. EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 9. 481 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 9. 482 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 9; Bischoff, PharmR 2019, 265 (270). 483 European Commission, Questions and Answers on the interplay between the Clinical Trials Regulation and the General Data Protection Regulation, S. 7 f. 480
F. Spezialgesetzliche Regeln für die Datenverarbeitung
417
lage für die primäre Verarbeitung unterscheiden, dies müsse aber nicht der Fall sein.484 Unter Berufung auf EG 50 DSGVO ist der EDSA hingegen der Ansicht, dass der für die Datenverarbeitung Verantwortliche auch zur Weiterverarbeitung in der Lage sein könne, ohne eine gesonderte Rechtsgrundlage zu benötigen. Einschränkend wird aber darauf verwiesen, dass die Voraussetzungen der Vermutung der Vereinbarkeit aufgrund ihrer Komplexität künftig besondere Aufmerksamkeit seites des EDSA erforderten.485 Auch an dieser Stelle offenbaren sich mithin die Unsicherheiten im Umgang mit der zweckändernden Weiterverarbeitung zu Forschungszwecken. Wie bereits dargelegt, sprechen die besseren Gründe für das Erfordernis einer gesonderten Rechtsgrundlage für die zweckändernde Weiterverarbeitung zu Forschungszwecken.486 Wenn eine Einwilligung als Rechtsgrundlage für die Verarbeitung personen bezogener Daten zu Sekundärzwecken herangezogen werden soll, ist es nach Ansicht der Kommission erforderlich, dass der Sponsor unter Angabe der spezifischen Sekundärzwecke erneut eine gesonderte Einwilligung für die Verarbeitung der Daten zu diesen Sekundärzwecken bei der betroffenen Person einhole.487 Dies könne entweder zu Beginn der klinischen Prüfung geschehen oder auch im Anschluss an diese, falls sich die Absicht, die Daten zu wissenschaftlichen Zwecken außerhalb des Prüfplans zu verarbeiten, erst nach Abschluss der klinischen Prüfung ergebe.488 Auch im Hinblick auf diese Einwilligung wird es dann jedoch nach Ansicht des EDSA regelmäßig an der Freiwilligkeit der Einwilligung fehlen. Sollte die Freiwilligkeit der Einwilligung hingegen gegeben sein, hängt die Frage, ob die Einholung einer gesonderten Einwilligung für die Verarbeitung zu Sekundärzwecken erforderlich ist, davon ab, wie spezifisch der Zweck des Forschungsvorhabens ursprünglich angegeben wurde und damit von der zulässigen Breite der Einwilligung. Erstreckt sich diese auch auf die Datenverarbeitung zu wissenschaftlichen Zwecken außerhalb des Prüfplans, ist die erneute Einholung einer gesonderten Einwilligung entbehrlich. In diesem Sinne soll es der „Broad Consent“ gerade verhindern, dass der Verantwortliche für jede Forschungsfolgefrage erneut Kontakt zur betroffenen Person aufnehmen muss.489 Wie bereits erörtert, sprechen gute Gründe dafür, dass die Einwilligung auch für bestimmte Bereiche der wissenschaftlichen Forschung, wie zum Beispiel der klinischen Forschung, erteilt werden kann und die Daten somit in diesem Rahmen auch ohne erneute Einwilligung für
484 European Commission, Questions and Answers on the interplay between the Clinical Trials Regulation and the General Data Protection Regulation, S. 8. 485 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 9. 486 Dazu ausführlich unter Kap. 7 C. I. 2., (S. 356 ff.). 487 European Commission, Question and Answers on the interplay between the Clinical Trials Regulation and the General Data Protection Regulation, S. 8 f. 488 European Commission, Question and Answers on the interplay between the Clinical Trials Regulation and the General Data Protection Regulation, S. 9. 489 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 110.
418
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
weitergehende Forschungszwecke verarbeitet werden dürfen, sofern gleichzeitig anerkannte ethische Standards eingehalten werden.490 c) Zwischenfazit Das Auffinden der einschlägigen datenschutzrechtlichen Vorschriften im Bereich klinischer Prüfungen von Arzneimitteln erfordert den Blick in unterschiedliche Gesetzeswerke auf verschiedenen Ebenen.491 Insbesondere das Zusammenspiel der DSGVO mit der VO (EU) 536/2014 ist mit einigen Rechtsunsicherheiten verbunden. Diesbezüglich kann die Stellungnahme des EDSA zwar erste richtungsweisende Hilfestellungen bieten, sie wirft jedoch gleichzeitig neue Rechtsfragen auf. Insbesondere ist fraglich, wie es sich auswirkt, dass das gesetzliche Erfordernis einer datenschutzrechtlichen Einwilligung im AMG n. F. verankert ist, während die Einwilligung nach den Vorstellungen des EDSA mangels Freiwilligkeit im Regelfall als nicht wirksam angesehen werden kann. Diese Unstimmigkeiten könnten aufgelöst werden, indem auf Art. 9 Abs. 2 lit. j DSGVO i. V. m. § 27 BDSG n. F. zurückgegriffen wird, der die Datenverarbeitung zu Forschungszwecken unter bestimmten Voraussetzungen auch ohne Einwilligung der betroffenen Person ermöglicht. Jedoch verhindert das im AMG n. F. verankerte gesetzliche Erfordernis einer datenschutzrechtlichen Einwilligung richtigerweise die Möglichkeit des Rückgriffs auf Art. 9 Abs. 2 lit. j DSGVO i. V. m. § 27 BDSG n. F., sodass im deutschen Recht weiterhin die Einwilligung der betroffenen Person die einschlägige Rechtsgrundlage für die Datenverarbeitung im Rahmen klinischer Prüfungen darstellt.492 Vor diesem Hintergrund würde es sich anbieten, dass der deutsche Gesetzgeber eine bereichsspezifische Rechtsgrundlage in das AMG n. F. aufnimmt, welche die spezifischen Anforderungen an die Datenverarbeitung im Rahmen klinischer Prüfungen abbildet. Die Öffnungsklausel des Art. 9 Abs. 2 lit. j DSGVO lässt dafür jedenfalls Raum. Dahingehende Bestrebungen sind allerdings nicht in Sicht.
II. Klinische Prüfung mit Medizinprodukten Auch mit der Teilnahme an einer klinischen Prüfung mit Medizinprodukten ist notwendigerweise die Verarbeitung von personenbezogenen Daten, insbesondere von Gesundheitsdaten, verbunden.493 Datenschutzrechtlich ist die Verarbeitung dieser besonderen Kategorien personenbezogener Daten nur dann zulässig, wenn eine Rechtsvorschrift die Verarbeitung erlaubt oder die betroffene Person ihre ausdrückliche Einwilligung hierzu erteilt hat. Im Bereich der klinischen Prüfung mit Medizinprodukten sind dabei bereichsspezifische Regelungen zu beachten. 490
Dazu ausführlich unter Kap. 7 E. I. 1., (S. 364 ff.). Bischoff, PharmR 2019, 265 (272). 492 S. dazu auch Kap. 7 F. I. 2. b) aa) (2), (S. 415 f.). 493 BT-Drs. 19/15620, S. 129. 491
F. Spezialgesetzliche Regeln für die Datenverarbeitung
419
1. Rechtslage nach dem Geltungsbeginn der EU-Medizinprodukteverordnung Bereits am 5. Mai 2017 wurde die EU-Medizinprodukteverordnung 2017/745 (Medical Device Regulation – MDR)494 veröffentlicht, welche gemäß Art. 123 Abs. 1 MDR 20 Tage nach der Veröffentlichung in Kraft getreten ist. Der überwiegende Teil der Verordnung hat gemäß Art. 123 Abs. 2 MDR jedoch erst nach einer angemessenen Übergangsfrist Geltung erhalten. Als Geltungsbeginn war ursprünglich der 26. Mai 2020 festgelegt, am 17. April 2020 hat das Europäische Parlament jedoch beschlossen, den Geltungsbeginn der EU-Medizinprodukteverordnung um ein Jahr auf den 26. Mai 2021 zu verschieben.495 Mit dem Geltungsbeginn der MDR wurden die Richtlinien 90/385/EWG und 93/42/EWG sowie das darauf beruhende nationale Recht, vor allem also das Medizinproduktegesetz (MPG)496, abgelöst.497 Zwar gilt die Verordnung unmittelbar in allen Mitgliedstaaten, da die MDR jedoch viele Öffnungsklauseln vorsieht, ist das nationale Recht auch weiterhin von Bedeutung.498 Das nationale Anpassungsgesetz, das Medizinprodukte-EU-Anpassungsgesetz (MPEU-AnpG)499, welches als Kernstück in Artikel 1 das Medizinprodukterecht-Durchführungsgesetz (MPDG) enthält, sollte ursprünglich gemäß Artikel 17 MPEU-AnpG ebenfalls überwiegend am 26. Mai 2020 in Kraft treten. Aufgrund der Verschiebung des Geltungsbeginns der MDR wurde der Zeitpunkt des Inkrafttretens des MPEU-AnpG durch Artikel 15 des Zweiten Bevölkerungsschutzgesetzes500 ebenfalls überwiegend um ein Jahr auf den 26. Mai 2021 verschoben. Gleichzeitig ist das MPG gemäß Art. 17 Abs. 1 S. 3 MPEU-AnpG außer Kraft getreten.
494
Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates v. 5. April 2017 über Medizinprodukte, zur Änderung der Richtlinie 2001/83/EG, der Verordnung (EG) Nr. 178/2002 und der Verordnung (EG) Nr. 1223/2009 und zur Aufhebung der Richtlinien 90/385/EWG und 93/42/EWG des Rates, ABl. EU 2017 L 117, S. 1. 495 Verordnung (EU) 2020/561 des Europäischen Parlaments und des Rates v. 23. April 2020 zur Änderung der Verordnung (EU) 2017/745 über Medizinprodukte hinsichtlich des Geltungsbeginns einiger ihrer Bestimmungen, ABl. EU 2020 L 130, S. 18. 496 Gesetz über Medizinprodukte v. 7. August 2002, BGBl. 2002 Teil I Nr. 58 v. 20. August 2002, S. 3146. 497 Schreiber, Die medizinische Forschung, S. 251; Graf, PharmR 2016, 486 (487, 489). 498 Graf, PharmR 2016, 486 (487); Schreiber, Die medizinischen Forschung, S. 251 f. 499 Gesetz zur Anpassung des Medizinprodukterechts an die Verordnung (EU) 2017/745 und die Verordnung (EU) 2017/746 (Medizinprodukte-EU-Anpassungsgesetz – MPEUAnpG) v. 28. April 2020, BGBl. 2020 Teil I Nr. 23 v. 22. Mai 2020, S. 960. 500 Zweites Gesetz zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite v. 19. Mai 2020, BGBl. 2020 Teil I Nr. 23 v. 22. Mai 2020, S. 1018.
420
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
2. Zulässigkeit der Datenverarbeitung im Rahmen klinischer Prüfungen mit Medizinprodukten unter der MDR Seit dem Geltungsbeginn der MDR und dem gleichzeitigen Inkrafttreten des MPEU-AnpG am 26. Mai 2021 ergeben sich die datenschutzrechtlichen Regelungen aus dem Zusammenspiel der MDR mit dem nationalen Anpassungsgesetz und der DSGVO. Die Rechtsgrundlage für die Datenverarbeitung stellt nun Art. 9 Abs. 2 lit. a DSGVO i. V. m. § 29 S. 1 MPDG dar. Gemäß § 29 S. 1 MPDG muss der Prüfungsteilnehmer ausdrücklich schriftlich oder elektronisch in die mit der Teilnahme an der klinischen Prüfung verbundene Verarbeitung von personenbezogenen Daten, insbesondere von Gesundheitsdaten, einwilligen. Gemäß Art. 9 Abs. 4 DSGVO ist es zulässig, solche speziellen Formvorgaben für die Einwilligung im nationalen Recht vorzusehen.501 Zudem spezifiziert § 29 S. 2 MPDG, worüber der Prüfungsteilnehmer im Einzelnen aufzuklären ist, um informiert einwilligen zu können. Die dort festgelegten Vorgaben gleichen im Wesentlichen den Anforderungen, die im AMG a. F. bzw. AMG n. F. aufgestellt werden.502 Damit werden die Anforderungen an eine Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO spezifiziert. Art. 62 Abs. 5 S. 2 MDR stellt zudem klar, dass der Widerruf der Einwilligung nach Aufklärung keine Auswirkungen auf Tätigkeiten hat, die auf der Grundlage der Einwilligung nach Aufklärung bereits vor deren Widerruf durchgeführt wurden oder auf die Verwendung der auf dieser Grundlage erhobenen Daten. Dies gilt allerdings ausdrücklich „unbeschadet der Richtlinie 95/46/EG“, was gemäß Art. 94 Abs. 2 S. 1 DSGVO als Verweis auf die DSGVO zu verstehen ist. Die gleichlautende Vorschrift in der Verordnung über klinische Prüfungen mit Arzneimitteln deutet der EDSA daher so, dass der Widerruf der Einwilligung nach Aufklärung über klinische Prüfungen nicht mit dem Widerruf einer Einwilligung gemäß der DSGVO verwechselt werden dürfe. Folglich müsse der Verantwortliche die betreffende Verarbeitung nach den Vorgaben der DSGVO im Falle des Widerrufs der Einwilligung beenden, sofern keine anderweitige Rechtsgrundlage zur Rechtfertigung der weiteren Verarbeitung bestehe.503 Denn die auf Grundlage der widerrufenen Einwilligung verarbeiteten Daten sind mit Ausübung des Widerrufsrechts gemäß Art. 17 Abs. 1 lit. b DSGVO zu löschen, sofern keine anderweitige, mit den Vorgaben der DSGVO zu vereinbarende Rechtsgrundlage zur Rechtfertigung der weiteren Verarbeitung besteht.504 Dies muss angesichts des gleichlautenden Wortlauts auch für die Rechtslage unter der MDR gelten. Die Gesetzesbegründung zum 501 In gleicher Weise musste die Einwilligung nach § 20 Abs. 2 S. 1 Nr. 2 MPG schriftlich oder elektronisch erteilt werden. Die elektronische Form wurde mit Artikel 83 des 2. DSAnp UG-EU eingeführt. 502 S. dazu Kap. 7 F. I. 2. a) aa) (2), (S. 410). 503 EDSA, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, S. 7 f. 504 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 91.
F. Spezialgesetzliche Regeln für die Datenverarbeitung
421
MPEU-AnpG weist daher zutreffend darauf hin, dass sich die Rechtmäßigkeit zur weiteren Verarbeitung der bis zum Widerruf der Einwilligung erhobenen personenbezogenen Daten aus anderen Vorschriften der DSGVO ergeben könne.505 Im Falle der Verarbeitung von Gesundheitsdaten komme Art. 9 Abs. 2 lit. j DSGVO in Betracht, wenn auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats eine Verarbeitung für wissenschaftliche Zwecke unter Abwägung der Grundrechte und Interessen der betroffenen Person erforderlich sei.506 Deshalb sei der Prüfungsteilnehmer aufzuklären, dass die bis zum Widerruf der Einwilligung erhobenen Daten weiterverarbeitet werden dürfen, soweit dies erforderlich sei, um die Ziele der klinischen Prüfung zu verwirklichen oder nicht ernsthaft zu gefährden.507 Die entsprechende Rechtsgrundlage für die weitere Verarbeitung der bis zum Widerruf verarbeiteten Daten stellt Art. 9 Abs. 2 lit. j DSGVO i. V. m. § 29 S. 2 Nr. 2 MPDG dar. Demnach dürfen die bis zum Zeitpunkt des Widerrufs gespeicherten Daten auch im Falle des Widerrufs der datenschutzrechtlichen Einwilligung weiterhin verarbeitet werden, soweit dies erforderlich ist, um entweder Ziele der klinischen Prüfung zu verwirklichen oder nicht ernsthaft zu beeinträchtigen oder sicherzustellen, dass schutzwürdige Interessen der Prüfungsteilnehmer nicht beeinträchtigt werden.508 Die vorgesehene Erlaubnis der weiteren Verarbeitung, um die Ziele der klinischen Prüfung und mithin der wissenschaftlichen Forschung zu verwirklichen oder nicht ernsthaft zu beeinträchtigen, ist von der Öffnungsklausel des Art. 9 Abs. 2 lit. j DSGVO gedeckt.
III. Datenverarbeitung zu Forschungszwecken nach dem Transplantationsgesetz Die wissenschaftliche Auswertung der im Rahmen der Organ- oder Gewebe übertragung erhobenen Daten ist für die Weiterentwicklung der Transplantationsmedizin unerlässlich.509 Ausweislich der Gesetzesbegründung wird die forschungsbedingte Nutzung menschlicher Organe, Gewebe und Zellen, sofern diese nicht in klinischen Versuchen im oder am menschlichen Körper eingesetzt werden, jedoch nicht vom Anwendungsbereich des Transplantationsgesetzes (TPG)510 erfasst.511 505
BT-Drs. 19/15620, S. 131. BT-Drs. 19/15620, S. 131. 507 BT-Drs. 19/15620, S. 131. 508 In gleicher Weise sah auch der im Rahmen des 2. DSAnpUG-EU in das MPG eingefügte § 20 Abs. 2 S. 2 vor, dass die bis zum Zeitpunkt des Widerrufs der Einwilligung in die Teilnahme an einer klinischen Prüfung gespeicherten Daten weiterhin verarbeitet werden dürfen, soweit die weitere Verarbeitung dieser Daten erforderlich ist, um die Ziele der klinischen Prüfung zu verwirklichen bzw. nicht ernsthaft zu beeinträchtigen oder um schutzwürdige Inte ressen der betroffenen Person zu wahren. 509 BT-Drs. 17/7376, S. 25. 510 Gesetz zur Errichtung eines Transplantationsregisters und zur Änderung weiterer Gesetze v. 11. Oktober 2016, BGBl. 2016 Teil I Nr. 48 v. 14. Oktober 2016, S. 2233. 511 BT-Drs. 16/3146, S. 23. 506
422
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
Dem entspricht es, dass die Verarbeitung von nach § 7 Abs. 1 TPG erhobenen personenbezogenen Daten gemäß § 14 Abs. 2 S. 3 TPG grundsätzlich zweckgebunden ist, sodass die Daten für andere als im TPG genannte Zwecke nicht verarbeitet werden dürfen.512 Davon hat der Gesetzgber jedoch in § 14 Abs. 2a TPG513 sowie § 15g TPG514 Ausnahmen zugunsten der wissenschaftlichen Forschung statuiert. Aufgrund des weiten Regelungsspielraums in Art. 9 Abs. 2 lit. j DSGVO konnte der Gesetzgeber diese Vorschriften zwar grundsätzlich beibehalten, allerdings bedurfte es einer Anpassung an die entsprechenden Vorgaben der DSGVO.515 Vor diesem Hintergrund soll im Folgenden untersucht werden, inwieweit die in den Vorschriften aufgestellten Anforderungen den Vorgaben des Art. 9 Abs. 2 lit. j und des Art. 89 Abs. 1 DSGVO im Hinblick auf die Verarbeitung von Patientendaten zu Forschungszwecken genügen. 1. Datenschutzrechtliche Voraussetzungen für die Forschung mit transplantationsmedizinischen Daten § 14 Abs. 2a TPG regelt die Voraussetzungen für die Forschung mit transplantationsmedizinischen Daten und ermöglicht es somit, dass diese Daten der Forschung zugänglich gemacht werden können.516 Zunächst regelt § 14 Abs. 2a S. 1 TPG die Eigenforschung. Danach dürfen Ärzte und anderes wissenschaftliches Personal personenbezogene Daten, die im Rahmen der Organ- oder Gewebeübertragung erhoben oder an diese übermittelt worden sind, für eigene wissenschaftliche Forschungsvorhaben verarbeiten. Weitere Bedingungen werden an die Datenverarbeitung zu Zwecken der Eigenforschung nicht geknüpft. Zulässig soll auch nach dem Ersetzen des Begriffs „verwenden“ durch das Wort „verarbeiten“ weiterhin nur die Verarbeitung von personenbezogenen Daten sein, die von der jeweiligen Institution517 im Rahmen der Organ- oder Gewebeübertragung bereits erhoben oder an diese übermittelt worden sind.518 Die Erhebung weiterer Daten, beispielsweise durch einen Austausch zwischen den jeweiligen Institutionen, der nach dem TPG nicht vorgesehen ist, sei hingegen nicht zulässig.519 512
BT-Drs. 19/4674, S. 240. Eingefügt durch das Gesetz zur Änderung des Transplantationsgesetzes v. 21. Juli 2012, BGBl. 2012 Teil I Nr. 35 v. 25. Juli 2012, S. 1601. 514 Eingefügt durch das Gesetz zur Errichtung eines Transplantationsregisters und zur Änderung weiterer Gesetze v. 11. Oktober 2016, BGBl. 2016 Teil I Nr. 48 v. 14. Oktober 2016, S. 2233. 515 Dies wird daran deutlich, dass die im 2. DSAnpUG-EU vorgesehenen Änderungen des TPG redaktioneller Natur sind. 516 BT-Drs. 17/7376 S. 25; BT-Drs. 19/4674, S. 241. 517 Als solche Institutionen werden das Entnahmekrankenhaus, das Transplantationszen trum, die Koordinierungsstelle und die Vermittlungsstelle benannt. 518 BT-Drs. 19/4674, S. 242. 519 BT-Drs. 19/4674, S. 242. 513
F. Spezialgesetzliche Regeln für die Datenverarbeitung
423
Damit stellt die Gesetzesbegründung klar, dass die Verwendung des weiten Verarbeitungsbegriffs i. S. d. Art. 4 Nr. 2 DSGVO anstatt des Begriffs „verwenden“ nicht zu einer Ausdehnung des Regelungsinhaltes führt.520 Die Norm regelt somit die Sekundärnutzung transplantationsmedizinischer Daten zu Eigenforschungszwecken. Da mit dieser Weiterverarbeitung eine Zweckänderung in Bezug auf den Erhebungszweck einhergeht, ist stets eine gesonderte Rechtsgrundlage, wie vorliegend § 14 Abs. 2a S. 1 TPG, erforderlich.521 Diese Daten dürfen sodann von den in der Vorschrift benannten Institutionen gemäß § 14 Abs. 2a S. 2 TPG für ein bestimmtes Forschungsvorhaben an Dritte übermittelt und von diesen verarbeitet werden, wenn sie zuvor anonymisiert wurden oder die betroffene Person eingewilligt hat. Wenn die Anonymisierung dem Forschungszweck entgegensteht und die Einwilligung nicht mit verhältnismäßigem Aufwand eingeholt werden kann, dürfen die Daten zudem auch übermittelt werden, wenn das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schützenswerten Interessen der betroffenen Person überwiegt und der Forschungszweck nicht auf andere Weise erreicht werden kann. Diese Anforderungen hat der Gesetzgeber im Zuge der Anpassung an die Vorgaben der DSGVO unter Verweis auf vergleichbare Forschungsklauseln im nationalen Datenschutzrecht beibehalten.522 Dabei ist zumindest die Vereinbarkeit der Subsidiarität der gesetzlichen Rechtsgrundlage gegenüber der Einwilligung mit der DSGVO fraglich, da die DSGVO im Grundsatz von einer Gleichrangigkeit von Einwilligung und gesetzlichen Rechtsgrundlagen ausgeht.523 Allein daraus ergibt sich jedoch zumindest für die Verarbeitung von Gesundheitsdaten kein zwingender Änderungsbedarf. Art. 9 Abs. 4 DSGVO gestattet es dem nationalen Gesetzgeber derartige Beschränkungen für die Verarbeitung von Gesundheitsdaten einzuführen oder aufrechtzuerhalten.524 Zudem sind die personenbezogenen Daten gemäß § 14 Abs. 2a S. 3 TPG, soweit es nach dem Forschungszweck möglich ist, zu anonymisieren oder, solange dies noch nicht möglich ist, zu pseudonymisieren.525 Dies entspricht der Vorgabe des Art. 89 Abs. 1 S. 1 DSGVO, nach dem die Verarbeitung zu Forschungszwecken geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person unterliegt. Zu diesen Maßnahmen gehören nach Art. 89 Abs. 1 S. 3 und 4 DSGVO auch die Pseudonymisierung und Anonymisierung der Daten, soweit es möglich ist, die Forschungszwecke auf diese Weise zu erfüllen.
520
BT-Drs. 19/4674, S. 242. S. dazu ausführlich unter Kap. 7 C. I. 2., (S. 356 ff.). 522 BT-Drs. 19/4674, S. 241. 523 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 19; ausführlich dazu unter Kap. 2 A. IV., (S. 152 ff.). 524 Fleischer, Rechtliche Aspekte der Systemmedizin, S. 302. 525 BT-Drs. 19/4674, S. 241 f. 521
424
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
2. Datenübermittlung durch die Transplantationsregisterstelle zu Forschungszwecken § 14 Abs. 2a S. 2 TPG erlaubt die Datenübermittlung dezentral durch Ärzte und anderes wissenschaftliches Personal, das am Organ- und Gewebespendeprozess beteiligt ist. Daneben besteht eine Transplantationsregisterstelle als zentrale Datenstelle, bei der transplantationsmedizinische Daten in einem bundesweiten Transplantationsregister zusammengeführt werden.526 Der Zweck dieses Transplantationsregisters besteht gemäß § 15a TPG u. a. auch darin, die Datengrundlage für die transplantationsmedizinische Forschung zu verbessern. Dementsprechend ist es gemäß § 15b Abs. 2 S. 2 Nr. 3 TPG Aufgabe der Transplantationsregisterstelle, Daten zu Forschungszwecken an Dritte zu übermitteln. § 15g TPG regelt die Voraussetzungen für die Datenübermittlung durch die Transplantationsregisterstelle zu Forschungszwecken.527 Nach § 15g Abs. 2 S. 1 TPG kann die Transplantationsregisterstelle pseudonymierte Daten für ein bestimmtes Forschungsvorhaben an Dritte übermitteln, soweit die betroffene Person ausdrücklich eingewilligt hat und der Forschungszweck die Verarbeitung pseudonymisierter Daten erfordert. Eine Einwilligung ist gemäß § 15g Abs. 2 S. 2 TPG jedoch nicht erforderlich, wenn diese nur mit unverhältnismäßigem Aufwand eingeholt werden kann, das öffentliche Interesse an der Durchführung des Forschungsvorhabens die Interessen der Betroffenen überwiegt und der Forschungszweck nicht auf andere Weise erreicht werden kann. Es gelten mithin die gleichen Voraussetzungen wie im Rahmen der Übermittlung nach § 14 Abs. 2a S. 2 TPG an Dritte. Zu einer Erhebung anderer, nicht von der Transplantationsregisterstelle übermittelten Daten sind die Dritten auf der Grundlage von § 15g Abs. 2 TPG auch nach der Ersetzung des Begriffs der „Verwendung“ durch den weiten Verarbeitungsbegriff i. S. d. Art. 4 Nr. 2 DSGVO nicht berechtigt.528 Daneben sind die Daten gemäß § 15 g Abs. 2 S. 5 TPG von den Dritten zu anonym isieren, sobald dies nach dem Forschungszweck möglich ist. Dies steht im Einklang mit den in Art. 89 Abs. 1 DSGVO vorgesehenen geeigneten Garantien in Bezug auf die Verarbeitung zu wissenschaftlichen Forschungszwecken. Nach § 15h Abs. 2 TPG haben Dritte die ihnen übermittelten Daten zu löschen, sobald deren Verarbeitung für den Forschungszweck nicht mehr erforderlich ist, spätestens jedoch nach 20 Jahren. Diese Vorgabe entspricht der Begrenzung der Privilegierung der Speicherdauer nach Art. 5 Abs. 1 lit. e Hs. 2 DSGVO durch Art. 89 Abs. 1 S. 4 DSGVO, nach dem in allen Fällen, in denen eine Identifizierung der betroffenen Personen zur Erreichung der Zwecke nicht mehr erforderlich ist, auf eine Verarbeitung personenbezogener Daten verzichtet werden soll.529 Der 526
BT-Drs. 18/8209, S. 1 f. BT-Drs. 19/4674, S. 245. 528 BT-Drs. 19/4674, S. 245. 529 Eichler, in: BeckOK Datenschutzrecht, Art. 89 DSGVO Rn. 15. 527
G. Forschung mit Sozialdaten unter der DSGVO
425
Verantwortliche muss folglich prüfen, ob für den verfolgten Forschungszweck die Verarbeitung personenbezogener Daten erforderlich ist oder ob vielmehr auch die Verarbeitung anonymisierter Daten genügt.530 Die in den §§ 14 Abs. 2a und 15g Abs. 2 TPG für die Forschung mit transplantationsmedizinischen Daten aufgestellten Anforderungen genügen mithin den Vorgaben des Art. 9 Abs. 2 lit. j und des Art. 89 Abs. 1 DSGVO. Auch an dieser Stelle wird aber deutlich, dass der Gesetzgeber es dabei belassen hat, die entsprechenden Regelungen lediglich formal an die Vorgaben der DSGVO anzupassen, anstatt diese mit der Wertung der DSGVO, die Forschung grundsätzlich zu privilegieren, in Einklang zu bringen. Ausweislich der Gesetzesbegründung hat sich der Gesetzgeber ausdrücklich an den datenschutzrechtlichen Anforderungen für die Verarbeitung von Patientendaten zu Forschungszwecken unter der Rechtslage vor dem Geltungsbeginn der DSGVO orientiert.531 Die Wertung der DSGVO ist daher zumindest im Rahmen der Abwägungsklauseln zu berücksichtigen.
G. Forschung mit Sozialdaten unter der DSGVO Auch die umfangreichen Datenmengen der gesetzlichen Krankenversicherungen bergen ein erhebliches Potential, neue Erkenntnisgewinne hervorzubringen.532 So kann die Auswertung sog. Routinedaten, die etwa aus dem Verwaltungshandeln oder Abrechnungsgeschehen der Krankenversicherungen hervorgehen, einen wichtigen Beitrag zur Verbesserung der Versorgung der Versicherten sowie zu einer besseren Planung und Steuerung des Gesundheitssystems leisten.533 Das Sozialgesetzbuch stellt eigene Vorgaben für die Datenverarbeitung zu wissenschaftlichen Forschungszwecken auf, die im Folgenden auf ihre Vereinbarkeit mit den Vorgaben der DSGVO untersucht werden.
I. Überblick über die forschungsspezifischen Regelungen im SGB und ihre Systematik Sowohl das SGB X als auch das SGB V enthalten bereichsspezifische Regelungen für die Datenverarbeitung zu Forschungszwecken. Dabei gilt § 287 SGB V für die Forschung durch die Krankenkassen selbst (interne Forschung) und § 75 SGB X für die Datenübermittlung zu Forschungszwecken an Dritte (externe Forschung). Darüber hinaus wurden mit den im Zuge des Digitale-Versorgung- Gesetzes reformierten Vorschriften zur Datentransparenz in den §§ 303a ff. SGB V 530
Schantz, in: BeckOK Datenschutzrecht, Art. 5 DSGVO Rn. 34. BT-Drs. 19/4674, S. 241. 532 Spindler, MedR 2016, 691 (691). 533 Staffeldt, G+S 2020, 59 (59); GMDS / GDD, Datenschutzrechtliche Anforderungen an die medizinische Forschung unter Berücksichtigung der DSGVO, S. 56. 531
426
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
sowie mit den im Zuge des Patientendaten-Schutz-Gesetzes eingeführten Vorgaben zur Verarbeitung von Daten der elektronischen Patientenakte zu Forschungszwecken in § 363 SGB V weitere Möglichkeiten zur Verarbeitung von Sozial- und Leistungsdaten zu Forschungszwecken implementiert. § 75 SGB X legt die Voraussetzungen für die Zulässigkeit einer Übermittlung von Sozialdaten für Zwecke der wissenschaftlichen Forschung im Sozialleistungsbereich fest.534 Während mit § 75 Abs. 1 SGB X die Voraussetzungen für die Zulässigkeit einer Übermittlung für ein bestimmtes Forschungsvorhaben geregelt werden, ermöglicht § 75 Abs. 2 SGB X den Forschern, denen bereits entsprechende Sozialdaten übermittelt wurden, die Antragstellung zur Verlängerung der Frist zur Verarbeitung der Sozialdaten sowie zur Übermittlung weiterer Sozialdaten, soweit ein inhaltlicher Zusammenhang mit dem ursprünglichen Vorhaben besteht.535 Über die Möglichkeit des Absatzes 2 hinausgehend eröffnet der Absatz 4a die Möglichkeit, bereits mit der Beantragung eines bestimmten Forschungsvorhabens nach Absatz 1 die Verarbeitung auch für noch nicht bestimmte, aber inhaltlich zusammenhängende Forschungsvorhaben des gleichen Forschungsbereichs zu beantragen. Demgegenüber erweitert § 287 SGB V die nach § 284 Abs. 3 SGB V zulässigen Zwecke der Datenverarbeitung durch Krankenkassen auf interne Forschungsvorhaben und regelt damit die datenschutzrechtliche Befugnis der Krankenkassen, die bereits zulässigerweise erhobenen und gespeicherten Datenbestände für eigene Forschungsvorhaben auszuwerten sowie über die Fristen des § 304 SGB V hinaus aufzubewahren. Damit ergänzt die Vorschrift den § 75 SGB X, welcher nur auf die Übermittlung von Sozialdaten zur Forschung durch externe Dritte anwendbar ist.536 Mit dem Digitale-Versorgung-Gesetz hat der deutsche Gesetzgeber zudem die Vorschriften zur Datentransparenz in den §§ 303a ff. SGB V novelliert. Insbesondere wurde die bisherige Datenaufbereitungsstelle zu einem Forschungsdatenzentrum weiterentwickelt, bei dem sämtliche Abrechnungsdaten der gesetzlichen Krankenversicherung zusammenfließen und sodann auf Antrag der Forschung zugänglich gemacht werden. Daneben regelt der im Zuge des Patientendaten-Schutz-Gesetzes in das SGB V eingefügte § 363 SGB V die Verarbeitung von Daten der elektronischen Patientenakte zu Forschungszwecken. Dies kann zum einen als sog. Datenfreigabe an das Forschungsdatenzentrum (§ 363 Abs. 1 bis 7 SGB V) und zum anderen unmittelbar an den Forschenden auf Basis einer informierten Einwilligung (§ 363 Abs. 8 SGB V) erfolgen.
534
Herbst, in: KassKomm Sozialversicherungsrecht, § 75 SGB X Rn. 26. Herbst, in: KassKomm Sozialversicherungsrecht, § 75 SGB X Rn. 27 f. 536 Schneider, in: Krauskopf, Soziale Krankenversicherung, § 287 SGB V Rn. 2. 535
G. Forschung mit Sozialdaten unter der DSGVO
427
II. Rechtsgrundlagen für die Verarbeitung von Sozialdaten zu Forschungszwecken 1. Gesetzliche Rechtsgrundlage für die Datenverarbeitung zum Zweck der internen Forschung § 287 SGB V bezieht sich auf die Auswertung vorhandener Datenbestände für interne Forschungsvorhaben der Krankenkassen. Unter den Voraussetzungen des § 287 SGB V dürfen die Krankenkassen die nach § 284 Abs. 1 SGB V rechtmäßig erhobenen und gespeicherten Daten für interne Forschungsvorhaben auswerten oder über die sich aus § 304 SGB V ergebenden Fristen hinaus aufbewahren.537 Als mögliche Forschungszwecke benennt die Vorschrift u. a. die Gewinnung epidemiologischer Erkenntnisse, ist hierauf jedoch nicht beschränkt.538 Zum Schutz des Rechts auf informationelle Selbstbestimmung wird die Datenverarbeitung in diesem Rahmen zugleich an einige Bedingungen geknüpft.539 So sind auswertbare Daten i. S. d. Vorschrift nur leistungserbringerbeziehbare und fallbeziehbare Daten, nicht aber versichertenbeziehbare Daten, die Rückschlüsse auf den jeweiligen Versicherten zulassen würden.540 Zudem gilt § 287 Abs. 1 SGB V nur für zeitlich befristete und im Umfang begrenzte Forschungsvorhaben und steht unter der Bedingung der vorherigen Erlaubnis der zuständigen Aufsichtsbehörde.541 Überdies schreibt § 287 Abs. 2 SGB V vor, dass die Sozialdaten zur Verarbeitung zu Forschungszwecken zu anonymisieren sind. Problematisiert wird in diesem Zusammenhang insbesondere, dass die Auswertung der Daten im Rahmen des Forschungsvorhabens durch diejenige Krankenkasse erfolgt, die dieselben Daten zuvor mit Personenbezug erhoben hat.542 Vor diesem Hintergrund wird überwiegend die Auffassung vertreten, dass die Krankenkassen die Auswertung der Daten zu Forschungszwecken auf bereits abgeschlossene Fälle beschränken müssten, da es sich erst um anonyme Sozialdaten handele, wenn das zurechenbare Wissen bei der Krankenkasse selbst nicht mehr vorhanden sei.543 Nach anderer Ansicht wird ein modifiziertes Verständnis der Anonymisierung vertreten, nach dem es bereits 537
Schneider, in: Krauskopf, Soziale Krankenversicherung, § 287 SGB V Rn. 3; Michels, in: Becker / K ingreen, SGB V, § 287 SGB V Rn. 2. 538 Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 287 SGB V Rn. 4; Scholz, in: BeckOK Datenschutzrecht, § 287 SGB V Rn. 2. 539 Fischinger / Monsch, in: Spickhoff, Medizinrecht, § 287 SGB V Rn. 1; Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 287 SGB V Rn. 6. 540 Fischinger / Monsch, in: Spickhoff, Medizinrecht, § 287 SGB V Rn. 2; Spindler, MedR 2016, 691 (698). 541 Spindler, MedR 2016, 691 (698). 542 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 29. 543 Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 287 SGB V Rn. 8; Schneider, in: Krauskopf, Soziale Krankenversicherung, § 287 SGB V Rn. 20; Schulz, in: BeckOK Sozialrecht, § 287 SGB V Rn. 3.1; Fischinger, in: Spickhoff, Medizinrecht, § 287 SGB V Rn. 3; Schäfer, in: Berchtold / Huster / Rehborn, Gesundheitsrecht, § 287 SGB V Rn. 6; Spindler, MedR 2016, 691 (698).
428
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
genüge, wenn die Verschlüsselungskennziffern den jeweiligen Personen, die das Forschungsvorhaben selbst durchführen, nicht zur Verfügung gestellt würden.544 Die Daten seien dann aus Sicht dieser Person als anonymisiert zu betrachten.545 Zu klären ist daher, was unter einer Anonymisierung i. S. d. § 287 Abs. 2 SGB V zu verstehen ist. Das SGB selbst definiert den Begriff des „Anonymisierens“ nicht. Da dieser Begriff auch nicht im Normtext der DSGVO, sondern nur in EG 26 DSGVO erwähnt wird, wäre eine Legaldefinition im SGB zwar europarechtlich zulässig gewesen, jedoch hat sich der Gesetzgeber dazu entschlossen, auf eine Definition zu verzichten und die Auslegung den Rechtsanwendern zu überlassen.546 Der EG 26 DSGVO stellt somit auch im Rahmen des SGB eine wichtige Auslegungshilfe dar, sodass bei der Auslegung des Begriffs eine Anlehnung an den europäischen Rechtsrahmen geboten ist.547 Gemäß EG 26 S. 5 DSGVO bilden anonyme Daten die Kehrseite der personenbezogenen Daten, sodass die in der DSGVO festgelegten Kriterien für die Bestimmung personenbezogener Daten in umgekehrter Weise zur Anwendung gelangen können.548 Demnach sind Daten auch bereits dann als anonym zu qualifizieren, wenn nur ein geringes Restrisiko der Reidentifikation verbleibt, sog. faktische Anonymität.549 Diesen Anforderungen genügt es jedoch nicht, wenn dem Datenverarbeiter eine realistische Möglichkeit verbleibt, die Zuordnung der Daten vorzunehmen. Eine solche realistische Zuordnungsmöglichkeit besteht auch für den Fall, dass die Aufbewahrung der Zuordnungsregel und die Datenverarbeitung lediglich in unterschiedlichen Abteilungen des Verantwortlichen organisatorisch voneinander getrennt sind.550 Denn für die Beurteilung der Möglichkeit einer Reidentifikation ist das Wissen des gesamten Verantwortlichen maßgeblich und nicht nur das Wissen einzelner Mitarbeiter.551 Wie bereits dargestellt, liegt in einem solchen Fall eine risikomindernde Pseudonymisierung, jedoch keine Anonymisierung vor.552 Dem entspricht es, dass EG 29 S. 1 DSGVO vorsieht, dass Pseudonymisierungsmaßnahmen bei demselben Verantworlichen möglich sein sollen, wenn die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer betroffenen Person zugeordnet werden können, gesondert aufbewahrt werden. Auch wenn das in diesem Zusammenhang vertretene modifizierte Verständnis der Anonymisierung dem praktischen Bedürfnis entspricht, aktuelle Datenbestände auswerten zu dürfen, so ist die Vorgabe der 544
Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 30 ff. m. w. N. Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 30 f. 546 Bieresborn, NZS 2017, 887 (890); Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 287 SGB V Rn. 7. 547 Kühling / Schildbach, NZS 2020, 41 (45); ausführlich zu anonymen Daten unter Kap. 1 D. I. 2., (S. 82 ff.). 548 Roßnagel, ZD 2018, 243 (247). 549 Kühling / Schildbach, NZS 2020, 41 (45). 550 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 176; Roßnagel, ZD 2018, 243 (245). 551 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 29. 552 S. dazu unter Kap. 1 D. I. 3., (S. 85 ff.). 545
G. Forschung mit Sozialdaten unter der DSGVO
429
Anonymisierung in § 287 Abs. 2 SGB V insoweit eindeutig, dass eine Pseudo nymisierung i. S. d. Art. 4 Nr. 5 DSGVO nicht genügt. Daher können im Rahmen des § 287 SGB V nur abgeschlossene Vorgänge erforscht werden. Insgesamt ist die Reichweite dieser Rechtsgrundlage durch die Bedingung der vorherigen Erlaubnis der Aufsichtsbehörde, der zeitlichen Befristung sowie der strengen Anonymisierungspflicht recht begrenzt. Eine zum Teil darüber hinausgehende Verarbeitung personenbezogener Daten zu Forschungszwecken gestattet § 67c Abs. 2 Nr. 2 SGB X, nach dem rechtmäßig gespeicherte Sozialdaten verarbeitet werden dürfen, wenn dies zur Durchführung eines bestimmten Vorhabens der wissenschaftlichen Forschung erforderlich ist. In der Literatur wird überwiegend davon ausgegangen, dass § 287 SGB V als lex specialis zu § 67c Abs. 2 Nr. 2 SGB X zu betrachten sei und eine parallele Anwendbarkeit des § 67c SGB X mithin ausscheide.553 Vor dem Hintergrund der in der DSGVO angelegten Privilegierung der wissenschaftlichen Forschung bestünden aus europarechtlicher Sicht allerdings keine Bedenken, die Bestimmungen in § 287 SGB V unter Berücksichtigung der Vorgaben in Art. 89 Abs. 1 DSGVO zugunsten der medizinischen Forschung zu lockern und etwa einen Rückgriff auf die allgemeinen Vorgaben zur Zulässigkeit der Verarbeitung personenbezogener Daten zu Forschungszwecken im SGB X zuzulassen.554 Jedoch hat sich der Gesetzgeber im Rahmen der Anpassung an die DSGVO dagegen entschieden und den § 287 SGB V unverändert gelassen. Zwar sieht die DSGVO die in § 287 SGB V festgelegten Einschränkungen für Forschungszwecke selbst nicht vor, sie lässt sie andererseits aber aufgrund der weiten Öffnungsklausel des Art. 9 Abs. 2 lit. j DSGVO zu.555 Da es der Vorschrift nach um die Auswertung ohnehin vorhandender Datenbestände zu Forschungszwecken geht, die ursprünglich zu einem anderen Zweck erhoben wurden, kommt die Verarbeitung der Daten zu Forschungszwecken in diesem Rahmen einer Zweckänderung gleich.556 Gemäß Art. 5 Abs. 1 lit. b Hs. 2 DSGVO gilt die Weiterverarbeitung rechtmäßig erhobener Daten für wissenschaftliche Forschungszwecke nicht als unvereinbar mit den ursprünglichen Zwecken. Wie bereits erläutert, bedeutet diese Privilegierung jedoch keine Freistellung von dem Bedürfnis einer Rechtsgrundlage für die zweckändernde Weiterverarbeitung
553
Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 287 SGB V Rn. 2; Schneider, in: Krauskopf, Soziale Krankenversicherung, § 287 SGB V Rn. 24; i. E. auch Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 36; a. A. Schafft, in: Voit, Herausforderungen und Perspektiven des Pharmarechts, S. 66. 554 Spindler, MedR 2016, 691 (698); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 35 f. 555 Spindler, MedR 2016, 691 (698); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 35; Schifferdecker, in: KassKomm Sozialversicherungsrecht, § 287 SGB V Rn. 2. 556 Torbohm, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 361; Lücking, in: Sodan, Handbuch des Krankenversicherungsrechts, § 41 Rn. 32; Schneider, in: Krauskopf, Soziale Krankenversicherung, § 287 SGB V Rn. 27.
430
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
zu Forschungszwecken.557 Art. 9 Abs. 2 lit. j DSGVO i. V. m. § 287 SGB V stellt gerade eine solche Rechtsgrundlage für die Auswertung bereits vorhandener Datenbestände dar.558 Wenn die tatbestandlichen Voraussetzungen dieser Regelung zur zweckändernden Verarbeitung nicht vorliegen, kann auch nicht ergänzend auf den Kompatibilitätstest in Art. 6 Abs. 4 Hs. 2 DSGVO zurückgegriffen werden, da diesem nicht die Funktion eines Erlaubnistatbestandes zukommt.559 2. Gesetzliche Rechtsgrundlage für die Datenübermittlung zum Zweck der externen Forschung § 67b Abs. 1 S. 3 SGB X normiert, dass eine Übermittlung von Gesundheitsdaten abweichend von Art. 9 Abs. 2 lit. j DSGVO zu Forschungszwecken nur zulässig ist, soweit eine gesetzliche Übermittlungsbefugnis nach den §§ 68 bis 77 SGB X vorliegt. In diesem Sinne regelt § 75 SGB X als Sondernorm zu § 69 SGB X die Zulässigkeit der Übermittlung von Sozialdaten zu Forschungszwecken.560 Dieser gilt somit für die Datenübermittlung durch Stellen nach § 35 SGB I zu Forschungszwecken an Dritte. Das SGB X gilt für gesetzliche Krankenkassen allerdings nur, soweit sich aus dem SGB V nichts Abweichendes ergibt, § 37 Abs. 1 S. 1 SGB I. Zur Datenübermittlung für die externe Forschung enthält das SGB V jedoch keine abweichenden Regelungen, sodass auch Krankenkassen auf § 75 SGB X zurückgreifen können.561 Da die Forschung Bedeutung für die „gesamtgesellschaftliche Entwicklung“ habe, hat der Gesetzgeber im Zuge der Anpassung der Vorschriften des SGB X an die DSGVO im § 75 SGB X einige Änderungen vorgenommen, die den Bedarf der wissenschaftlichen Forschung berücksichtigen.562 Das Ziel dieser Regelungen besteht darin, einen angemessenen Ausgleich zwischen den Bedürfnissen der Forschung und dem Interesse der betroffenen Personen an dem Schutz ihrer sensiblen persönlichen Daten, wie etwa Gesundheitsdaten, herzustellen.563 a) Übermittlung von Sozialdaten für ein bestimmtes Forschungsvorhaben Gemäß § 75 Abs. 1 S. 1 SGB X ist die Übermittlung von Sozialdaten zulässig, soweit diese für ein bestimmtes Vorhaben der wissenschaftlichen Forschung im Sozialleistungsbereich erforderlich ist und die Übermittlung die schutzwürdigen 557
S. dazu Kap. 7 C. I. 2., (S. 356 ff.). Schneider, in: Krauskopf, Soziale Krankenversicherung, § 287 SGB V Rn. 27. 559 Bieresborn, NZS 2017, 926 (929); ders., in: Schütze, SGB X, § 67c SGB X Rn. 15 ff.; Freund / Shagdar, SGb 2018, 195 (203); ausführlich dazu unter Kap. 3 B. I. 1. b)., (S. 211 ff.). 560 Bieresborn, in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 50 f.; ders., in: Schütze, SGB X, § 75 SGB X Rn. 5. 561 Schneider, in: Krauskopf, Soziale Krankenversicherung, § 287 SGB V Rn. 22. 562 BT-Drs. 18/12611, S. 108. 563 BT Drs. 18/12611, S. 108. 558
G. Forschung mit Sozialdaten unter der DSGVO
431
Interessen der betroffenen Person entweder gar nicht beeinträchtigt oder aber das öffentliche Interesse an der Forschung erheblich überwiegt. Als zulässiges bestimmtes Forschungsvorhaben kommt demnach ein Forschungsvorhaben im Sozialleistungsbereich in Betracht. Dem Sozialleistungsbereich ist jede Tätigkeit der Leistungsträger zuzuordnen, die sich auf die Verwirklichung der sozialen Rechte nach § 2 Abs. 1 S. 1 SGB I i. V. m. den §§ 3 bis 10 SGB I bezieht.564 Es muss demnach ein erkennbarer Bezug zu den Inhalten, Trägern oder Strukturen des Systems der sozialen Sicherung vorliegen.565 Dabei ist es jedoch nicht erforderlich, dass sich das Forschungsvorhaben ausschließlich auf das Gebiet des Leistungsrechts bezieht, vielmehr ist bereits ein Bezug zum Gesamtbereich des Sozialgesetzbuchs ausreichend.566 Daher können auch Forschungsvorhaben mit volkswirtschaft lichem, soziologischem oder medizinischem Schwerpunkt unter den Bereich der wissenschaftlichen Forschung im Sozialleistungsbereich fallen, sofern etwaige Erkenntnisse mit gewisser Wahrscheinlichkeit auch im Sozialleistungsbereich von Bedeutung sein können.567 Zudem schreibt die Vorschrift vor, dass durch die Übermittlung der Sozialdaten keine schutzwürdigen Interessen der betroffenen Person beeinträchtigt werden dürfen. Die Bestimmung der schutzwürdigen Inte ressen erfolgt dabei unter Berücksichtigung des Grades der Sensibilität der Daten sowie der möglichen Folgen einer Übermittlung.568 Mithin ist eine Prüfung im spezifischen Einzelfall erforderlich.569 Selbst wenn die schutzwürdigen Belange der betroffenen Person beeinträchtigt werden, kann eine Übermittlung dennoch stattfinden, wenn das öffentliche Interesse an der Übermittlung die Interessen der betroffenen Person erheblich überwiegt.570 Ein solches Überwiegen des öffentlichen Interesses an der Forschung gegenüber dem Geheimhaltungsinteresse der betroffenen Person kann etwa angenommen werden, wenn das Forschungsvorhaben ohne die Übermittlung der Daten unmöglich wäre oder davon auszugehen ist, dass die Ergebnisse der Forschung einen erheblichen Nutzen für die Allgemeinheit hervorbringen.571
564
Herbst, in: KassKomm Sozialversicherungsrecht, § 75 SGB X Rn. 41; Krause, in: Schlegel / Voelzke, JurisPK-SGB X, § 75 SGB X Rn. 36. 565 Krause, in: Schlegel / Voelzke, JurisPK-SGB X, § 75 SGB X Rn. 36. 566 Herbst, in: KassKomm Sozialversicherungsrecht, § 75 SGB X Rn. 41. 567 Krause, in: Schlegel / Voelzke, JurisPK-SGB X, § 75 SGB X Rn. 36; Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 58; Herbst, in: KassKomm Sozialversicherungsrecht, § 75 SGB X Rn. 41 möchte demgegenüber audrücklich nur eine „naheliegende“ Wahrscheinlichkeit genügen lassen. Wo in der Praxis die Grenze zu einer „gewissen“ Wahrscheinlichkeit zu ziehen ist, wird sich jedoch schwer rechtssicher bestimmen lassen. 568 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 60. 569 Herbst, in: KassKomm Sozialversicherungsrecht, § 75 SGB X Rn. 55, 57. 570 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 60; Herbst, in: KassKomm Sozialversicherungsrecht, § 75 SGB X Rn. 62. 571 Herbst, in: KassKomm Sozialversicherungsrecht, § 75 SGB X Rn. 62; Krause, in: Schlegel / Voelzke, JurisPK-SGB X, § 75 SGB X Rn. 54; Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 60.
432
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
§ 75 Abs. 1 S. 2 SGB X gestattet eine Übermittlung ohne Einwilligung der betroffenen Person jedoch nur, soweit das Einholen einer Einwilligung unzumutbar ist. Im Grundsatz ist eine Übermittlung ohne Einwilligung der betroffenen Person daher unzulässig.572 Eine Unzumutbarkeit der Einholung der Einwilligung kann sich etwa ergeben, wenn der Zweck der Forschung durch das Einholen der Einwilligung gefährdet würde oder der Aufenthaltsort der betroffenen Person unbekannt ist und eine Kontaktaufnahme daher unmöglich erscheint.573 Dabei sind auch hier die grundlegenden Anforderungen an die Wirksamkeit der Einwilligung nach der DSGVO zu beachten, wobei bei der Gestaltung der Einwilligung aufgrund des Abhängigkeitsverhältnisses zwischen Leistungsträger und betroffener Person ein besonderes Augenmerk auf die Freiwilligkeit der Einwilligung zu richten ist.574 Zudem schließt die Beschränkung des Anwendungsbereichs des § 75 Abs. 1 SGB X auf bestimmte Vorhaben der Forschung die Übermittlung für nicht näher bestimmte Forschungszwecke zunächst aus.575 Im Hinblick auf die Zweckbestimmung ist das Vorhaben daher konkret zu benennen und soweit möglich zu beschreiben.576 b) Übermittlung von Sozialdaten für Folgeforschungsvorhaben Mit § 75 Abs. 2 SGB X wurde eine neue Regelung für Folgeforschungsvorhaben eingeführt, nach der Forschungseinrichtungen, denen bereits Sozialdaten für ein bestimmtes Vorhaben übermittelt wurden, weitere Sozialdaten übermittelt werden können oder die Frist zur Verarbeitung verlängert werden kann, wenn sich eine weitere Forschungsfrage ergibt, die in einem inhaltlichen Zusammenhang mit dem ursprünglichen Forschungsvorhaben steht. Ein solcher inhaltlicher Zusammenhang besteht insbesondere dann, wenn das Folgeforschungsvorhaben das ursprüngliche Vorhaben hinsichtlich einzelner Elemente abändert, ohne den Charakter des ursprünglichen Vorhabens zu verändern.577 Dies kann beispielsweise der Fall sein, wenn bei der Erforschung von bestimmten Krankheitsbildern weitere Erkrankungen einbezogen werden sollen.578 Mit dieser Regelung wird eine Ausnahme 572
Herbst, in: KassKomm Sozialversicherungsrecht, § 75 SGB X Rn. 66. Krause, in: Schlegel / Voelzke, JurisPK-SGB X, § 75 SGB X Rn. 63; Herbst, in: KassKomm Sozialversicherungsrecht, § 75 SGB X Rn. 71. 574 Herbst, in: KassKomm Sozialversicherungsrecht, § 75 SGB X Rn. 69; Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 61, 68. 575 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 57. 576 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 61; für Einwilligungen in die Übermittlung zu Forschungszwecken besteht daneben gemäß § 67b Abs. 3 S. 1 SGB X jedoch auch die Möglichkeit eines „Broad Consent“, s. dazu Kap. 7 G. II. 3., (S. 437 ff.). 577 BT-Drs. 18/12611, S. 109; Weichert sieht in der Zweckbeschränkung auf Forschungsprojekte, die zum ursprünglichen Vorhaben „in einem inhaltlichen Zusammenhang“ stehen, einen Verstoß gegen die Forschungsprivilegierung für die Sekundärnutzung nach Art. 5 Abs. 1 lit. b DSGVO, Weichert, MedR 2020, 529 (544). 578 BT-Drs. 18/12611, S. 109. 573
G. Forschung mit Sozialdaten unter der DSGVO
433
von dem nach § 75 Abs. 1 SGB X erforderlichen Bestehen eines bestimmten Forschungsvorhabens vorgesehen.579 c) Übermittlung von Sozialdaten für inhaltlich zusammenhängende Forschungsvorhaben des gleichen Forschungsbereichs Nach § 75 Abs. 4a S. 1 SGB X kann bereits mit der Beantragung eines bestimmten Forschungsvorhabens nach § 75 Abs. 1 SGB X die Verarbeitung für noch nicht bestimmte Forschungsvorhaben beantragt werden, sofern die unbestimmten Forschungsvorhaben inhaltlich mit dem ursprünglichen Forschungsvorhaben zusammenhängen.580 Damit soll die in § 75 Abs. 2 SGB X vorgesehene Möglichkeit der Beantragung von Folgeforschungsvorhaben reduziert werden, da diese aufgrund der erforderlichen einzelnen Antragsverfahren als zu aufwändig betrachtet wird.581 Die Regelung greift die in EG 33 DSGVO getroffene Wertung auf, dass der Verarbeitungsweck im Falle der Verarbeitung personenbezogener Daten für wissenschaftliche Forschungszwecke zum Zeitpunkt der Erhebung oftmals nicht vollständig angegeben werden kann.582 Durch ein erweitertes Zweckbindungsverständnis soll es ermöglicht werden, dass sich der Antrag auf Übermittlung von Sozialdaten für ein bestimmtes Forschungsvorhaben nach § 75 Abs. 1 S. 1 SGB X auch auf inhaltlich zusammenhängende Forschungsvorhaben des gleichen Forschungsbereichs erstrecken kann. Dabei können die einzelnen Forschungsvorhaben zwar unterschiedlich sein, sie dürfen jedoch den Bezug zum Forschungsbereich insgesamt nicht verlieren. So können sich bei der Untersuchung von unerwünschten Arzneimittelwirkungen mit Hilfe von Sozialdaten der Krankenkassen die einzelnen Forschungsvorhaben etwa bezüglich des untersuchten Arzneimittels oder der betrachteten unerwünschten Nebenwirkungen unterscheiden.583 Zur weiteren Vereinfachung werden in § 75 Abs. 4a S. 5 SGB X Erleichterungen für die grundsätzlich erforderliche Genehmigung der zuständigen Behörde vorgesehen, indem mit dem Forschungsvorhaben acht Wochen nach Eingang der Anzeige bei der Behörde begonnen werden darf, sofern die Behörde vor Ablauf dieser Frist kein gesondertes Genehmigungsverfahren für erforderlich erklärt.584
579
Raum, in: Ehmann / Selmayr, DSGVO, Art. 89 DSGVO Rn. 61. Herbst, in: KassKomm Sozialversicherungsrecht, § 75 SGB X Rn. 31. 581 BT-Drs. 18/12611, S. 110; Westphal, in: BeckOK Sozialrecht, § 75 SGB X Rn. 15. 582 BT-Drs. 18/12611, S. 110; Westphal, in: BeckOK Sozialrecht, § 75 SGB X Rn. 16; Bieres born, in: Schütze, SGB X, § 75 SGB X Rn. 27. 583 Westphal, in: BeckOK Sozialrecht, § 75 SGB X Rn. 16; Bieresborn, in: Schütze, SGB X, § 75 SGB X Rn. 29. 584 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 57. 580
434
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
d) Maßnahmen zur Wahrung der Interessen der betroffenen Person bei der Übermittlung besonderer Kategorien personenbezogener Daten Nach § 75 Abs. 3 S. 1 SGB X hat der Empfänger, soweit diesem besondere Kategorien personenbezogener Daten übermittelt werden, bei der Verarbeitung angemessene und spezifische Maßnahmen nach § 22 Abs. 2 S. 2 BDSG n. F. vorzusehen. Ergänzend bestimmt § 75 Abs. 3 S. 2 SGB X im Hinblick auf besondere Kategorien personenbezogener Daten, dass diese durch den Empfänger zu anonymisieren sind, sobald dies nach dem Forschungszweck möglich ist. Damit wird insgesamt den Anforderungen Rechnung getragen, die sich aus Art. 9 Abs. 2 lit. j i. V. m. Art. 89 Abs. 1 DSGVO ergeben.585 e) Besonderheiten bei der Übermittlung an nichtöffentliche Stellen Der neue § 75 Abs. 4 S. 3 SGB X sieht als zusätzliche Voraussetzung für die Zulässigkeit der Übermittlung personenbezogener Daten an nichtöffentliche Stellen vor, dass diese sich gegenüber der Genehmigungsbehörde verpflichten, die übermittelten Sozialdaten nur für den vorgesehenen Zweck zu verarbeiten.586 Hintergrund ist der Meinungsstreit um die Auslegung von Art. 6 Abs. 4 DSGVO und die damit verbundene Frage, ob dieser dem Verantwortlichen die Befugnis verleiht, bei Beachtung der dortigen Vorgaben aus eigener Macht Daten zweckändernd zu verarbeiten.587 Insbesondere bei der Verarbeitung zu Forschungszwecken wären die Voraussetzungen des Art. 6 Abs. 4 Hs. 2 DSGVO stets gegeben, da Art. 5 Abs. 1 lit. b Hs. 2 DSGVO eine zweckändernde Weiterverarbeitung für wissenschaftliche Forschungszwecke generell nicht für unvereinbar mit den ursprünglichen Zwecken erklärt.588 Würde man sodann der Ansicht folgen, dass die zweckändernde Weiterverarbeitung von Sozialdaten zu wissenschaftlichen Forschungzwecken nach Art. 5 Abs. 1 lit. b Hs. 2 DSGVO darüber hinaus keiner eigenständigen Rechtsgrundlage bedürfte, so wäre eine Weiterverarbeitung der Daten zu Forschungszwecken ohne Weiteres möglich. Dies würde aber § 78 Abs. 1 S. 1 SGB X widersprechen, nach dem die übermittelten Daten durch den Empfänger nur zu dem Zweck verarbeitet werden dürfen, zu dem sie ihm befugt übermittelt worden sind. Um einer europarechtlichen Aufweichung des Zweckbindungsgrundsatzes nach § 78 SGB X entgegenzuwirken, wurde daher die Abgabe zur Erklärung einer Selbstverpflichtung als zusätzliche Voraussetzung für die Zulässigkeit der Übermittlung von personenbezogenen Daten an nichtöffentliche Stellen in § 75 Abs. 4 S. 3 SGB X aufge-
585
Bieresborn, in: Schütze, SGB X, § 75 SGB X Rn. 18. Freund / Shagdar, SGb 2018, 195 (204); Bieresborn, in: Schütze, SGB X, § 75 SGB X Rn. 22. 587 Bieresborn, in: Schütze, SGB X, § 78 SGB X Rn. 7. 588 Bieresborn, in: Schütze, SGB X, § 75 SGB X Rn. 22; Freund / Shagdar, SGb 2018, 195 (204). 586
G. Forschung mit Sozialdaten unter der DSGVO
435
nommen.589 Die Übermittlung von Sozialdaten an eine nichtöffentliche Stelle ist daher nur zulässig, wenn diese sich gegenüber der Genehmigungsbehörde dazu verpflichtet hat, die Daten nur für den bei der Übermittlung vorgesehenen Zweck zu verarbeiten.590 Mit § 75 Abs. 4 S. 3 SGB X wird den nichtöffentlichen Stellen somit eine Verpflichtungserklärung abverlangt, dass sie die Zweckbindung beachten.591 Eine zweckändernde Weiterverarbeitung außerhalb des § 78 SGB X unter Berufung auf Art. 6 Abs. 4 DSGVO soll dadurch verhindert werden.592 f) Verlängerte Speicherungsmöglichkeit § 75 Abs. 4 S. 6 SGB X sieht darüber hinaus eine verlängerte Speicherungsmöglichkeit der verarbeiteten Daten von bis zu zehn Jahren vor, um eine Nachprüfung der Forschungsergebnisse zu ermöglichen. Dies setzt die Wertung des Art. 5 Abs. 1 lit. e Hs. 2 DSGVO zur Privilegierung der Speicherbegrenzung bezüglich der Datenverarbeitung zu wissenschaftlichen Forschungszwecken um und begegnet daher keinen datenschutzrechtlichen Bedenken.593 Der Wortlaut verknüpft die verlängerten Aufbewahrungsmöglichkeiten zu Zwecken der Nachprüfung der Forschungsergebnisse darüber hinaus jedoch auch mit den neuen Möglichkeiten des § 75 Abs. 2 SGB X für die Folgeforschung, sodass mit den weiterhin gespeicherten Daten neue Forschungsvorhaben unter vereinfachten Bedingungen durchgeführt werden könnten.594 Dies wird aus datenschutzrechtlicher Sicht zum Teil kritisch betrachtet, da Daten damit unabhängig von einem konkreten Forschungszweck der Forschung überlassen werden könnten.595 Jedoch gilt dies zunächst nach § 75 Abs. 2 SGB X einschränkend nur für inhaltlich zusammenhängende Forschungsvorhaben. Zudem erlaubt Art. 5 Abs. 1 lit. e Hs. 2 DSGVO gerade eine längere Speicherdauer für die Datenverarbeitung zu wissenschaftlichen Forschungszwecken, sodass die Vorschrift diesem Gedanken Rechnung trägt. Da Art. 5 Abs. 1 lit. e Hs. 2 DSGVO aber keine unbegrenzte Speicherung auf Vorrat gestattet,596 werden die Daten nicht in jedem Fall für zehn Jahre gespeichert werden dürfen. Dies schreibt § 75 Abs. 4 S. 6 SGB X allerdings auch nicht vor, sondern legt vielmehr eine Höchstfrist von bis zu zehn Jahren für die Speicherung fest.
589
Freund / Shagdar, SGb 2018, 195 (204); Bieresborn, in: Schütze, SGB X, § 75 SGB X Rn. 22; ders., NZS 2017, 926 (929 f.). 590 Freund / Shagdar, SGb 2018, 195 (204); Herbst, in: KassKomm Sozialversicherungsrecht, § 75 SGB X Rn. 105; kritisch dazu Reimer, in: Sydow, DSGVO, Art. 5 DSGVO Rn. 26 a. E. 591 Westphal, in: BeckOK Sozialrecht, § 78 SGB X Rn. 7. 592 Martin, in: KassKomm Sozialversicherungsrecht, § 78 SGB X Rn. 6; Bieresborn, NZS 2017, 926 (929 f.). 593 BfDI, 27. Tätigkeitsbericht 2017–2018, S. 56; BT-Drs. 18/12611, 110.; Bieresborn, in: Schütze, SGB X, § 75 SGB X Rn. 26. 594 Raum, in: Ehmann / Selmayr, DSGVO BDSG, Art. 89 DSGVO Rn. 62. 595 BT-Drs. 19/9800, S. 57; BfDI, 27. Tätigkeitsbericht 2017–2018, S. 57. 596 Geminn, DuD 2018, 640 (641).
436
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
g) Verhältnis zur ärztlichen Schweigepflicht Weiter ist zu berücksichtigen, dass die in § 76 SGB X normierte Einschränkung der Übermittlungsbefugnis für besonders schutzwürdige Sozialdaten, nach der die Übermittlung nur unter den Voraussetzungen zulässig ist, unter denen die übermittelnde Person selbst übermittlungsbefugt wäre, auch in diesem Rahmen gilt.597 Im Forschungsbereich kann diese Einschränkung beispielsweise von Bedeutung sein, wenn die Krankenkasse Sozialdaten zu Forschungszwecken übermittelt, die sie zum Zwecke der Abrechnung von einem Arzt erhalten hat.598 Eine Befugnis zur Offenbarung i. S. v. § 203 StGB kann einem Arzt vor allem zustehen, wenn die betroffene Person eine Schweigepflichtsentbindung erteilt hat oder eine gesetzliche Offenbarungspflicht bzw. -befugnis besteht. Wie eingangs erläutert, stehen Datenschutz und ärztliche Schweigepflicht grundsätzlich parallel nebeneinander, sodass ein datenschutzrechtlicher Zulässigkeitstatbestand nicht stets zugleich auch eine strafrechtliche Befugnis zur Offenbarung i. S. d. § 203 StGB darstellt.599 Im Einzelfall kann eine datenschutzrechtliche Norm allein dann als Offenbarungsbefugnis gelten, wenn sich dies aus dem Wortlaut der betreffenden Norm eindeutig ergibt.600 Dies wird teilweise für die Forschungsklauseln der Landeskrankenhausgesetze angenommen, ist dann jedoch je nach einschlägigem Landesrecht im Einzelnen zu prüfen.601 Jedenfalls stellt allein das Überwiegen des öffentlichen Interesses gemäß § 75 Abs. 1 S. 1 SGB X keine gesetzliche Offenbarungsbefugnis i. S. d. § 76 SGB X dar.602 In der Regel wird eine gesetzliche Krankenkasse aufgrund der verlängerten ärztlichen Schweigepflicht daher eine Schweigepflichtsentbindung der betroffenen Person benötigen, um etwa personenbezogene Abrechnungsdaten der Ärzte zu Forschungszwecken an Dritte übermitteln zu können.603 Diese muss aber nicht den hohen Anforderungen an eine datenschutzrechtliche Einwilligung genügen.604 Ein strafbares Offenbaren i. S. d. § 203 StGB kann allerdings unter Umständen ausscheiden, wenn die Daten pseudonymisiert übermittelt werden. Denn ein tatbestandliches Offenbaren liegt nicht vor, wenn die Individualisierung der betrof 597 Bieresborn, in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 52; Schneider, in: Krauskopf, Soziale Krankenversicherung, § 287 SGB V Rn. 23; Herbst, in: KassKomm Sozialversicherungsrecht, § 75 SGB X Rn. 12. 598 Torbohm, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 361. 599 S. dazu unter Kap. 1 C. II. 4., (S. 68 ff.). 600 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 63; Dochow, MedR 2019, 279 (286). 601 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 63; Jülicher, Medizininformationsrecht, S. 228; Schneider, Sekundärnutzung klinischer Daten, S. 309 f.; Pöttgen, Medizinische Forschung und Datenschutz, S. 223. 602 Bieresborn, in: Forgó / Helfrich / Schneider, Betrieblicher Datenschutz, S. 1164 Rn. 84; ders., in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 52. 603 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 63. 604 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 63; Bieresborn, in: Schütze, SGB X, § 76 SGB X Rn. 7; Dochow, MedR 2019, 279 (286) m. w. N.
G. Forschung mit Sozialdaten unter der DSGVO
437
fenen Person für den Empfänger des Geheimnisses nicht möglich ist.605 Auf Reidentifikationsmöglichkeiten soll es dabei, anders als nach dem vorzugswürdigen vermittelnden Ansatz im datenschutzrechtlichen Kontext, nur ankommen, wenn der Datenempfänger selbst über das erforderliche Zusatzwissen verfügt.606 Ist eine Reidentifizierung des Versicherten für den Empfänger der Daten auf diese Weise nicht möglich, ist mithin bereits das Vorliegen eines tatbestandlichen Offenbarens zu verneinen. 3. Einwilligungsbasierte Verarbeitung von Sozialdaten zu Forschungszwecken Auch im Bereich der gesetzlichen Krankenversicherung kommt als Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten zu Forschungszwecken die Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO in Betracht.607 Anknüpfend an die bereits dargelegten allgemeinen Grundsätze zur Einwilligung im Bereich der gesetzlichen Krankenversicherung ergeben sich in Bezug auf die Wirksamkeit der Einwilligung in die Verarbeitung personenbezogener Daten zu Forschungszwecken besondere Fragestellungen.608 Auch für die Erteilung der Einwilligung im Bereich der wissenschaftlichen Forschung gelten zunächst die Grundsätze des § 67b Abs. 2 SGB X.609 So schreibt § 67b Abs. 2 S. 2 SGB X vor, dass die Einwilligung in die Verarbeitung von Gesundheitsdaten schriftlich oder elektronisch zu erfolgen hat. Die Formvorgaben des § 67b Abs. 2 S. 2 SGB X gelten allerdings nur, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Nach dem durch das 2. DSAnpUG-EU neu eingefügten § 67b Abs. 3 S. 2 SGB X liegt ein solch besonderer Umstand im Bereich der wissenschaftlichen Forschung vor, wenn der Forschungszweck durch das Einholen einer schriftlichen oder elektronischen Einwilligung erheblich beeinträchtigt würde. Ist dies der Fall, kann die Einwilligung folglich formlos eingeholt werden.610 In diesem Fall sind die Gründe, aus denen sich die erhebliche Beeinträchtigung ergibt, gemäß § 67b Abs. 3 S. 3 SGB X schriftlich festzuhalten. Diese zusätzlichen 605
Cierniak / Niehaus, in: MüKo-StGB, § 203 StGB Rn. 51; Dochow, MedR 2019, 279 (285); ders., GuP 2020, 229 (235) Fn. 35; Cornelius, MedR 2017, 15 (18); Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 64; v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 115. 606 Dochow, MedR 2019, 279 (285); a. A. Fischer, in: Fischer, StGB, § 203 StGB Rn. 33 der die Möglichkeit der Identifikation der betroffenen Person für mindestens einen Dritten als ausreichend ansieht. 607 Bieresborn, in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 50; Freund / Shagdar, SGb 2018, 195 (204); zur Einwilligung im Bereich der GKV im Allgemeinen s. unter Kap. 3 A. III. 3., (S. 202 ff.). 608 Vgl. Spindler, MedR 2016, 691 (696). 609 Bieresborn, in: Schütze, SGB X, § 67b SGB X Rn. 60. 610 BT-Drs. 19/4674, S. 401 f.; Bieresborn, in: Schütze, SGB X, § 67b SGB X Rn. 62; Cormann, in: KassKomm Sozialversicherungsrecht, § 67b SGB X Rn. 15a.
438
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
Bedingungen für die Verarbeitung von Gesundheitsdaten lassen sich auf Art. 9 Abs. 4 DSGVO stützen.611 Des Weiteren kann eine Einwilligung in die Verarbeitung zu Forschungs zwecken neben bestimmten Forschungsvorhaben gemäß § 67b Abs. 3 S. 1 SGB X auch für bestimmte Bereiche der wissenschaftlichen Forschung erteilt werden.612 Damit wurden die Überlegungen des EG 33 DSGVO aufgegriffen und die Erteilung einer Einwilligung für bestimmte Bereiche der wissenschaftlichen Forschung ermöglicht.613 Die Einführung der Möglichkeit einer breiten Einwilligungserklärung ist mithin das Ergebnis der Privilegierung der wissenschaftlichen Forschung in der DSGVO.614 Damit stellt sich an dieser Stelle in gleicher Weise die Frage, was unter der Formulierung „bestimmte Bereiche der wissenschaftlichen Forschung“ zu verstehen ist. In der Gesetzesbegründung verdeutlicht der Gesetzgeber dies bezüglich, dass der in der Einwilligung zu nennende Bereich der Forschung nicht zu allgemein gefasst und thematisch eingegrenzt werden sollte, um dem Grundsatz der informierten Einwilligung Rechnung zu tragen.615 Daher wird teilweise die Auffassung vertreten, dass eine pauschale Einwilligung in die Verarbeitung von Sozialdaten für die Gesundheitsforschung zu allgemein gefasst sei.616 Wie eng der Forschungsbereich im Einzelnen gefasst werden muss, geht aus der Gesetzes begründung jedoch nicht hervor.617 Daher gilt grundsätzlich das zur Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ bereits Gesagte entsprechend.618 Der Gesetzgeber weist in diesem Zusammenhang darauf hin, dass die betroffenen Personen über das Vorgehen zu informieren und darauf hinzuweisen sind, dass die Forschungsfragen erst schrittweise konkretisiert werden.619 Es verbleibt jedoch die Frage nach dem Zusammenhang zu den Vorgaben für die Übermittlung von Sozialdaten an externe Dritte in § 75 SGB X. Insbesondere ist fraglich, ob die Beschränkungen des § 75 SGB X auf ein bestimmtes Vorhaben der wissenschaftlichen Forschung (Abs. 1) oder zumindest auf inhaltlich zusammenhängende Forschungsvorhaben des gleichen Forschungsbereichs (Abs. 4a) im Rahmen der Datenübermittlung auf Grundlage einer Einwilligung zusätzlich Beachtung finden müssen. So wird teilweise die Ansicht vertreten, dass eine der Einwilligung entsprechende Datenübermittlung seitens der Krankenkassen nicht stets allein auf Grundlage dieser Einwilligung zulässig sei, sondern vielmehr 611
BT-Drs. 19/4674, S. 401 f. Hoffmann, NZS 2017, 807 (809). 613 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 47, 109; Bieres born, in: Schütze, SGB X, § 67b SGB X Rn. 60; ders., in: Spiecker / Wallrabenstein, Gesundheitsversorgung in Zeiten der DSGVO, S. 50. 614 Westphal, in: BeckOK Sozialrecht, § 67b SGB X Rn. 25; Cormann, in: KassKomm Sozialversicherungsrecht, § 67b SGB X Rn. 15. 615 BT-Drs. 18/12611, S. 104. 616 Kühnl / Rohrer / Schneider, DuD 2018, 735 (737) Fn. 16. 617 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 110. 618 S. hierzu unter Kap. 7 E. I. 1., (S. 364 ff.). 619 BT-Drs. 18/12611, S. 104; Westphal, in: BeckOK Sozialrecht, § 67b SGB X Rn. 25. 612
G. Forschung mit Sozialdaten unter der DSGVO
439
im Einzelfall zu prüfen sei, ob die Übermittlung daneben auch nach den Vorgaben des § 75 SGB X zulässig sei.620 Die zusätzliche Anwendung der engen Vorgaben des § 75 SGB X im Rahmen einer Datenübermittlung auf Grundlage einer Einwilligung würde die Möglichkeit eines „Broad Consent“ jedoch erheblich einschränken. Dies steht im Widerspruch zu der Entscheidung des Gesetzgebers, eine Regelung in § 67b SGB X aufzunehmen, nach der die Einwilligung in die Verarbeitung zu Forschungszwecken gemäß § 67b Abs. 3 S. 1 SGB X auch für bestimmte Bereiche der wissenschaftlichen Forschung erteilt werden kann. Folglich ist anzunehmen, dass § 75 SGB X und § 67b SGB X unabhängig voneinander zur Anwendung gelangen und die Datenübermittlung auf alleiniger Grundlage einer Einwilligung eine alternative Möglichkeit zur Datenverarbeitung auf Grundlage des Art. 9 Abs. 2 lit. j i. V. m. § 75 SGB X darstellt. Die Übermittlung der Daten an eine externe Einrichtung zu Zwecken der wissenschaftlichen Forschung kann daher alternativ auf Grundlage einer Einwilligung der betroffenen Person erfolgen.621 Diese Einwilligung unterliegt nicht den Einschränkungen des § 75 SGB X, sondern allein den grundlegenden Anforderungen an das Vorliegen einer wirksamen Einwilligung aus der DSGVO sowie den in § 67b Abs. 2 und 3 SGB X enthaltenen konkretisierenden Einwilligungsanforderungen.622
III. Neufassung der Vorschriften zur Datentransparenz im SGB V durch das Digitale-Versorgung-Gesetz 1. Einführung Mit dem Ende 2019 in Kraft getretenen Digitale-Versorgung-Gesetz wurden nicht nur Regelungen für die Einbindung digitaler Gesundheitsanwendungen in die GKV-Regelversorgung in das SGB V integriert,623 sondern daneben als ein zentraler Bestandteil des Gesetzes auch die Vorschriften zur Datentransparenz in den §§ 303a ff. SGB V reformiert. Diese sehen vor, dass große Datenmengen aus der gesetzlichen Krankenversicherung unter bestimmten Voraussetzungen verschiedenen Nutzungsberechtigten u. a. auch zu Forschungszwecken zur Verfügung 620 Dies hat der Vorsitzende der DSK für die in dem Medizininformatik-Initiative „Mustertext Patienteneinwilligung“ vorgesehene Übertragung und wissenschaftliche Nutzung von Krankenkassendaten ausdrücklich klargestellt, DSK, Schreiben des DSK-Vorsitzes v. 21. April 2020, S. 1, abrufbar über S. 2 der Pressemitteilung der DSK v. 24. April 2020, abrufbar unter: https://www.datenschutzkonferenz-online.de/pressemitteilungen.html. 621 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 61, 68. 622 A. A. wohl Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 110, die annehmen, dass sich im Bereich des Sozialdatenschutzrechts in Bezug auf die zulässige Breite der Einwilligung eine Begrenzung des Forschungsbereichs aus dem Erfordernis des inhaltlichen Zusammenhangs mit dem Ausgangsvorhaben nach § 75 Abs. 2 und 4a SGB X ergebe. 623 S. dazu unter Kap. 6, (S. 317 ff.).
440
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
gestellt werden. Die Reform der Vorschriften wurde dabei insbesondere mit dem Ziel verfolgt, die Nutzbarkeit der im Rahmen der Patientenversorgung anfallenden Gesundheitsdaten für Forschungszwecke zu erhöhen.624 Insbesondere eine direkte Übermittlung der Daten vom GKV-Spitzenverband an das Forschungsdatenzen trum, anstatt wie bisher über das Bundesversicherungsamt, soll dafür sorgen, dass wesentlich aktuellere Daten für die Aufbereitung durch das Forschungsdatenzen trum zur Verfügung stehen und der Datenumfang unabhängig vom Risikostrukturausgleichsverfahren festgelegt werden kann.625 Auf diese Weise soll der Zugang zu Sozialdaten insgesamt verbessert werden, „um eine breite wissenschaftliche Nutzung unter Wahrung des Sozialdatenschutzes zu ermöglichen“626. Die geplante Reform der Vorschriften sorgte nach Bekanntwerden des Gesetzesvorhabens für eine öffentlich geführte Debatte rund um Fragen des Datenschutzes.627 Diskutiert wurde insbesondere die Pseudonymisierung der Daten sowie die nicht im Gesetz vorgesehene Einwilligungsmöglichkeit der Versicherten für die Datenübermittlung.628 Auch von offizieller Seite, wie dem Bundsrat629 oder der Opposition630, wurde Kritik an der zentralen Speicherung und Weitergabe der sensiblen Daten von rund 73 Millionen GKV-Versicherten geübt. Vor diesem Hintergrund stellt sich die Frage, ob datenschutzrechtliche Bedenken in Anbetracht der durch die DSGVO eröffneten Spielräume berechtigt sind. Dazu soll im Folgenden zunächst der im Gesetz vorgesehene Ablauf der Datenverarbeitung dargestellt werden, um die reformierten Vorschriften sodann in den durch die DSGVO vorgegebenen Rahmen einzuordnen. 2. Das gesetzliche Verfahren der Datentransparenz Um das Verhältnis der DSGVO zu den novellierten Vorschriften zur Datentransparenz in den §§ 303a ff. SGB V im Einzelnen beurteilen zu können, ist es zunächst erforderlich, die im Gesetz vorgesehenen Abläufe zu verdeutlichen. Dafür ist im Gesetz der nachfolgende Ablauf vorgesehen: Gemäß § 303b Abs. 1 S. 1 SGB V 624
BT-Drs. 19/13438, S. 2. BT-Drs. 19/13438, S. 72. 626 BT-Drs. 19/13438, S. 37. 627 Szent-Ivanyi, Redaktionsnetzwerk Deutschland v. 2. November 2019 „Spahn will Millionen Versichertendaten für die Forschung freigeben“, abrufbar unter: https://www.rnd.de/ politik/spahn-will-millionen-versicherten-daten-fur-forschung-freigeben-CCHPRBEQUFGH BH5O2AKOTHTLOM.html; Staffeldt, G+S 2020, 59 (62). 628 Staffeldt, G+S 2020, 59 (62). 629 BR-Drs. 360/19, S. 9 ff. 630 Heckmann, Deutschlandfunk v. 4. November 2019 „Grünen-Politikerin beklagt Mängel beim Datenschutz“, abrufbar unter: https://www.deutschlandfunk.de/digitale-versorgunggesetz-gruenen-politikerin-beklagt.694.de.html?dram:article_id=462548; Ludwig, Süddeutsche Zeitung v. 13. November 2019 „Die Abgeordneten fordern mehr Datenschutz“, abrufbar unter: https://www.sueddeutsche.de/wirtschaft/spahn-gesundheitsdaten-forschung-1.4678418. 625
G. Forschung mit Sozialdaten unter der DSGVO
441
übermitteln die gesetzlichen Krankenkassen zunächst die bei ihnen vorliegenden Abrechnungsdaten wie Angaben zu Alter, Geschlecht und Wohnort oder Angaben zum Versicherungsverhältnis aller Versicherten „in Verbindung mit einem Versichertenpseudonym, das eine kassenübergreifende eindeutige Identifizierung im Berichtszeitraum erlaubt“, sog. Lieferpseudonym, an den Spitzenverband Bund der Krankenkassen.631 Zudem werden auch pseudonymisierte Kosten- und Leistungsdaten übermittelt, welche u. a. Daten aus der Abrechnung der ambulanten Versorgung nach §§ 295, 295a SGB V oder der Krankenhausbehandlung nach § 301 SGB V umfassen. Der GKV-Spitzenverband stellt die Daten sodann zum einen ohne das Lieferpseudonym, jedoch versehen mit einer Arbeitsnummer, als pseudonymisierte Einzeldatensätze dem Forschungsdatenzentrum zur Verfügung und übermittelt zum anderen eine Liste mit den Lieferpseudonymen einschließlich der Arbeitsnummern an die Vertrauensstelle, § 303b Abs. 3 S. 1 SGB V. Die Vertrauensstelle überführt die ihr übermittelten Lieferpseudonyme sodann in periodenübergreifende Pseudonyme. Dies bedeutet, dass ein Pseudonymisierungsverfahren angewendet wird, bei dem jedem Versicherten ein dauerhaft eindeutiges Pseudonym zugeordnet wird, damit für jeden Versicherten auch im Falle des Wechsels der Krankenkasse oder des Leistungserbringers nachvollzogen werden kann, welche Leistungen er jeweils in Anspruch genommen hat.632 Das Verfahren zur Pseudonymisierung ist dabei gemäß § 303c Abs. 2 S. 2 SGB V so zu gestalten, dass weder bei der Vertrauensstelle noch bei dem Forschungsdatenzentrum oder den nutzungsberechtigten Stellen eine Identifikation des Versicherten möglich ist.633 Diese periodenübergreifenden Pseudonyme übermittelt die Vertrauensstelle zusammen mit den dazugehörigen Arbeitsnummern an das Forschungsdatenzentrum, wo sie anhand der Arbeitsnummern den entsprechenden Datensätzen zugeordnet werden können. Nach der Übermittlung löscht die Vertrauensstelle die den Pseudonymen zugrunde liegenden Lieferpseudonyme und Arbeitsnummern, § 303c Abs. 3 S. 2 SGB V. Damit soll eine Identifikation des Versicherten durch Rückgriff auf die Datenbestände bei der Vertrauensstelle verhindert werden.634 Das Forschungsdatenzentrum erhält somit die mit einer Arbeitsnummer gekennzeichneten Abrechnungsdaten vom GKV-Spitzenverband sowie die perma nenten Pseudonyme zusammen mit den zugehörigen Arbeitsnummern von der
631 Nach dem Gesetzentwurf sollten die Daten zunächst als Klardaten übertragen werden, dies wurde aber aufgrund vorgebrachter Bedenken mit Änderungsantrag v. 6. November 2019 entsprechend angepasst. Die Personenidentifizierbarkeit ist grundsätzlich erforderlich, damit der GKV-Spitzenverband die Daten auf Vollständigkeit und Plausibilität überprüfen kann, BT-Drs. 19/13438, S. 72. 632 v. Dewitz, in: BeckOK Sozialrecht, § 303c SGB V Rn. 7; Michels, in: Becker / K ingreen, SGB V, § 303c SGB V Rn. 4. 633 Michels, in: Becker / K ingreen, SGB V, § 303c SGB V Rn. 4. 634 Michels, in: Becker / K ingreen, SGB V, § 303c SGB V Rn. 5; Weichert, MedR 2020, 539 (541).
442
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
Vertrauensstelle. Die Aufgabe des Forschungsdatenzentrums besteht gemäß § 303d Abs. 1 Nr. 1 SGB V sodann darin, den Datensatz mit den entsprechenden periodenübergreifenden Pseudonymen zu verknüpfen und zur Verarbeitung durch die Stellen aufzubereiten.635 Das Forschungsdatenzentrum übermittelt die Daten in einem nächsten Schritt an die in § 303e Abs. 1 Nrn. 1 bis 18 SGB V abschließend aufgeführten Nutzungsberechtigten, wie beispielsweise Universitätskliniken sowie öffentlich geförderte außeruniversitäre Forschungseinrichtungen636 und sonstige Einrichtungen mit der Aufgabe unabhängiger wissenschaftlicher Forschung. Damit ist auch Institutionen, die nicht Verantwortliche i. S. d. § 35 SGB I i. V. m. § 67 Abs. 4 SGB X sind, der Zugang zu Sozialdaten eröffnet.637 Die Daten dürfen sodann für abschließend in § 303e Abs. 2 SGB V aufgelistete Zwecke, wie etwa die Forschung im Bereich von Längsschnittanalysen, Analysen von Behandlungs abläufen oder Analysen des Versorgungsgeschehens, verarbeitet werden. In der Regel werden die Daten nach § 303e Abs. 3 S. 3 SGB V anonymisiert an die Nutzungsberechtigten übermittelt, jedoch können gemäß § 303e Abs. 4 SGB V auch pseudonymisierte Einzeldatensätze bereitgestellt werden, wenn der Antragsteller nachvollziehbar darlegt, dass die Nutzung pseudonymisierter Einzeldatensätze für den Nutzungszweck erforderlich ist. Diese pseudonymisierten Einzeldatensätze dürfen gemäß § 303e Abs. 4 S. 2 Nr. 1 und S. 3 SGB V aber nur solchen Personen bereitgestellt werden, die entweder einer Geheimhaltungspflicht nach § 203 StGB unterliegen oder zur Geheimhaltung verpflichtet wurden. Zudem sollen diese Daten nach der Gesetzesbegründung nicht an die nutzungsberechtigten Stellen übermittelt werden, vielmehr soll stattdessen ein Zugriff an einem Gastarbeitsplatz in den Räumen des Forschungsdatenzentrums oder über einen gesicherten Fernzugriff ermöglicht werden.638 Datenschutzrechtlich liegt eine Übermittlung als Unterfall der Offenlegung i. S. d. Art. 4 Nr. 2 DSGVO jedoch bereits dann vor, wenn die Daten in den Verfügungsbereich eines anderen Verantwortlichen übergehen, sodass mit dem Abruf der Einzeldatensätze bereits eine Übermittlung gegeben ist.639
635 Dafür ist das Verfahren zur Verwendung der Arbeitsnummern so zu gestalten, dass die mit diesen Nummern versehenen Datensätze den von der Vertrauensstelle übermittelten Pseudonymen zugeordnet werden können, BT-Drs. 19/13438, S. 72. 636 Diese außeruniversitären Forschungseinrichtungen wurden neu in den Katalog der nutzungsberechtigten Stellen eingefügt und umfassen die Einrichtungen der Frauenhofer Gesellschaft, der Helmholtz Gesellschaft, der Leibniz Gesellschaft sowie der Max-Planck-Gesellschaft, BT-Drs. 19/13438, S. 74. 637 Torbohm, in: Kingreen / Kühling, Gesundheitsdatenschutzrecht, S. 363 f. 638 BT-Drs. 19/13438, S. 74. 639 Weichert, MedR 2020, 539 (544); ders., in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, Art. 4 DSGVO Rn. 45.
G. Forschung mit Sozialdaten unter der DSGVO
443
3. Bewertung unter der Rechtslage der DSGVO Die im Zuge der jüngsten Entwicklungen reformierten sozialdatenschutzrechtlichen Vorschriften in den §§ 303a ff. SGB V werfen Fragen nach dem Verhältnis zu der unmittelbar geltenden DSGVO auf. Insgesamt regeln die Vorschriften zur Datenstransparenz, wie dargestellt, mehrere Verarbeitungsvorgänge, die im Folgenden im Einzelnen betrachtet werden sollen. Weniger problematisch ist dabei zunächst die rechtliche Einordnung der Übermittlung der pseudonymisierten Daten von den Krankenkassen an den Spitzenverband und von dort an das Forschungsdatenzentrum sowie die Vertrauensstelle. Die Pseudonymisierung führt in diesem Fall nicht dazu, dass die Daten ihren Personenbezug verlieren, vielmehr bleiben sie weiterhin personenbezogene Daten i. S. d. Art. 4 Nr. 1 DSGVO und unterfallen daher den für diese Daten geltenden Regelungen.640 Bei den jeweiligen Datenverarbeitungsvorgängen handelt es sich um Datenverarbeitungen i. S. v. Art. 4 Nr. 2 DSGVO, die einer Rechtsgrundlage bedürfen. Für diese Übermittlungen stellt § 303b Abs. 1 und 3 SGB V die gesetzlichen Übermittlungsbefugnisse dar, die sich auf Art. 9 Abs. 2 lit. h bis j DSGVO i. V. m. Art. 9 Abs. 4 DSGVO stützen lassen.641 Einer Einwilligung der betroffenen Personen, also der Versicherten und der Leistungserbringer, bedarf es folglich nicht.642 Gleiches gilt für die Befugnis zur Verarbeitung von personenbezogenen Daten, insbesondere von Gesundheitsdaten, gemäß § 303c Abs. 1 und 3 SGB V durch die Vertrauensstelle.643 Im Hinblick auf die Übermittlung der Daten durch das Forschungsdatenzentrum an die nutzungsberechtigten Stellen gemäß § 303e SGB V und die entsprechende Verarbeitung der Daten durch diese Stellen ist hingegen zu differenzieren.644 Diesbezüglich ist danach zu unterscheiden, ob das Forschungsdatenzentrum den nutzungsberechtigten Stellen anonyme Daten i. S. v. § 303e Abs. 3 S. 3 SGB V oder ausnahmsweise pseudonymisierte Einzeldatensätze i. S. v. § 303e Abs. 4 SGB V zur Verfügung stellt. Werden die Daten in anonymisierter Form übermittelt, ist der sachliche Anwendungsbereich der DSGVO bereits gemäß Art. 2 Abs. 1 DSGVO nicht eröffnet, sodass sich die Frage des Verhältnisses der nationalen Vorschriften in den §§ 303a ff. SGB zur DSGVO nicht stellt. Hinsichtlich der Frage des Personenbezugs der nach den Vorgaben des § 303e Abs. 4 SGB V zur Verfügung gestellten pseudonymisierten Einzeldatensätze ist je-
640
v. Dewitz, in: BeckOK Sozialrecht, § 303b SGB V Rn. 5. BT-Drs. 19/13438, S. 72. 642 v. Dewitz, in: BeckOK Sozialrecht, § 303b SGB V Rn. 3a; Schwartmann / Mühlenbeck / Wybitul, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG, Art. 89 DSGVO Rn. 34. 643 BT-Drs. 19/13438, S. 73. 644 Kühling / Schildbach, NZS 2020, 41 (43). 641
444
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
doch eine differenzierte Betrachtung geboten.645 Nach § 303c Abs. 2 S. 2 SGB V ist das durch die Vetrauensstelle zu verwendende Verfahren zur Pseudonymisierung so zu gestalten ist, dass aus dem Pseudonym nicht auf die Identität des Versicherten geschlossen werden kann. Dies ist so zu verstehen, dass eine Reidentifizierung des Versicherten durch das Forschungsdatenzentrum und die Nutzungsberechtigten mit an Sicherheit grenzender Wahrscheinlichkeit ausgeschlossen sein muss.646 Nachdem diese Pseudonyme durch die Vertrauensstelle an das Forschungsdatenzentrum übermittelt wurden, löscht die Vertrauensstelle zudem gemäß § 303c Abs. 3 S. 2 SGB V die den Pseudonymen zugrunde liegenden Lieferpseudonyme und Arbeitsnummern, um eine Identifikation des Versicherten durch Rückgriff auf die Datenbestände bei der Vertrauensstelle zu verhindern.647 Ergänzend sieht der Gesetzgeber in § 303e Abs. 5 S. 4 SGB V ein strafbewehrtes Re-Identifizierungsverbot für die Nutzungsberechtigten vor.648 Wenn der nutzungsberechtigten Stelle demnach insgesamt keine realistische Möglichkeit zur Reidentifizierung verbleibt, ist nach dem vorzugswürdigen vermittelnden Ansatz des Personenbezugsbegriffs von faktisch anonymen Daten auszugehen.649 Es stehen gemäß EG 26 S. 3 DSGVO dann keine Mittel zur Verfügung, die nach allgemeinem Ermessen wahrscheinlich zur Herstellung des Personenbezugs genutzt werden können. In diesem Fall würde es sich bei den im Gesetz als pseudonymisierte Einzeldatensätze bezeichneten Daten nach der Konzeption der DSGVO um anonymisierte Daten handeln, auf die diese keine Anwendung findet. Daneben sind jedoch auch Konstellationen denkbar, in denen sich eine berechtigte Stelle Zugang zu den Daten verschaffen und daher einen Bezug zu einer Person rekonstruieren könnte.650 Dies gilt etwa im Falle eines Forschers, der an einem Universitätsklinikum pseudonymisierte Einzeldatensätze, die ihm vom Forschungsdatenzentrum zur Verfügung gestellt wurden, für Forschungszwecke verarbeitet und zugleich über Zugriffsmöglichkeiten auf die Patientendokumentationen seiner oder anderer Abteilungen verfügt.651 Mit dem entsprechenden Vorwissen zu einigen Merkmalen eines Versicherten besteht somit möglicherweise ein Reidentifikationspotential.652 Bei der Beurteilung der Identifizierungswahr 645 Kühling / Schildbach, NZS 2020, 41 (43); a. A. wohl Weichert, MedR 2020, 539 (543), der die Einzeldatensätze insgesamt als „pseudonym und damit personenbezogen“ einordnet. 646 v. Dewitz, in: BeckOK Sozialrecht, § 303c SGB V Rn. 8; Michels, in: Becker / K ingreen, SGB V, § 303c SGB V Rn. 4. 647 Michels, in: Becker / Kingreen, SGB V, § 303c SGB V Rn. 5; Weichert, MedR 2020, 539 (541). 648 Martini / Hohmann, NJW 2020, 3573 (3574). 649 Dazu ausführlich unter Kap. 1 D. I., (S. 72 ff.); von einer „normativen Auflösung des Personenbezugs“ sprechen in diesem Zusammenhang auch Martini / Hohmann, NJW 2020, 3573 (3574). 650 Kühling / Schildbach, NZS 2020, 41 (45). 651 Kühling / Schildbach, NZS 2020, 41 (45); Dochow, Telematik im Gesundheitswesen, S. 773. 652 Kühling / Schildbach, NZS 2020, 41 (44); Kühling / Sackmann / Schildbach, Sozialdatenschutzrechtl. Weiterentwicklungsbedarf im SGB V und X für Big Data, S. 63; auch der Bundesrat ging im Gesetzgebungsverfahren von einer „Gefahr der Reidentifizierung“ bei pseudonymisierten Daten nach § 303e Abs. 4 SGB V aus, BR-Drs. 360/19 (B), S. 10.
G. Forschung mit Sozialdaten unter der DSGVO
445
scheinlichkeit ist grundsätzlich ein objektiver Maßstab anzulegen,653 liegen jedoch subjektive Faktoren vor, sind diese ebenfalls zu berücksichtigen.654 So ist in diesem Zusammenhang auch zu hinterfragen, welches Interesse des Forschers an der Reidentifikation besteht. Diesbezüglich ist grundsätzlich davon auszugehen, dass der Forscher kein Interesse hat, die ihm übermittelten Daten bestimmten Personen zuzuordnen, da für ihn nur die Behandlungsverläufe an sich von Bedeutung sind.655 Zumindest für den größten Teil der Daten wird das Reidentifikationsrisiko daher hinreichend ausgeschlossen sein, sodass es sich um faktisch anonyme Daten handelt.656 Hinsichtlich der Übermittlung der pseudonymisierten Einzeldatensätze an die nutzungsberechtigten Stellen ist somit festzuhalten, dass es sich bei diesen im Regelfall um anonymisierte Daten handelt, für die mithin kein datenschutzrechtlicher Zulässigkeitstatbestand erforderlich ist. Im Fall der Forschung mit Daten, die durch das Forschungsdatenzentrum zur Verfügung gestellt wurden, dürfte eine Verknüpfung der Daten mit relevantem Zusatzwissen oft im theoretischen Bereich verbleiben. Die Wahrscheinlichkeit der Zuordnung zu einer betroffenen Person ist angesichts des Verhältnisses von Nutzen und Aufwand für den Datenverarbeiter gering.657 Jedoch sind auch Fallkonstellationen denkbar, in denen eine Verknüpfung wahrscheinlicher erscheint. Insbesondere ist die Warscheinlichkeit der Reidentifizierung bei seltenen Erkrankungen besonders kritisch zu prüfen.658 Es ist somit eine Beurteilung im Einzelfall erforderlich.659 Ist aus der Sicht der nutzungsberechtigten Stelle vom Vorliegen personenbezogener Daten auszugehen, ist für die Datenverarbeitung ein datenschutzrechtlicher Zulässigkeitstatbestand im Rahmen der Öffnungsklauseln der DSGVO erforderlich. Einen solchen Zulässigkeitstatbestand könnte § 303e Abs. 1 SGB V darstellen, der die Verarbeitungsbefugnis zugunsten des Forschungsdatenzentrums und der nutzungsberechtigten Institutionen enthält.660 Welcher Fall des Art. 9 Abs. 2 DSGVO für die Verarbeitung besonderer Kategorien personenbezogener Daten im Einzelnen einschlägig ist, richtet sich nach dem Verarbeitungszweck der Daten. Werden die Daten von den Nutzungsberechtigten nach § 303e Abs. 2 Nr. 4 SGB V zum Zwecke der Forschung verarbeitet, ist dies von Art. 9 Abs. 2 lit. j DSGVO
653
So auch EG 26 S. 3 DSGVO. Klar / Kühling, in: Kühling / Buchner, DSGVO BDSG, Art. 4 Nr. 1 DSGVO Rn. 23; a. A. Weichert, Big Data im Gesundheitsbereich, S. 141 nach dem ein subjetiver Faktor, wie das Interesse der Stelle, nicht erheblich ist. 655 Kühling / Sackmann / Schildbach, Sozialdatenschutzrechtl. Weiterentwicklungsbedarf im SGB V und X für Big Data, S. 64. 656 Kühling / Sackmann / Schildbach, Sozialdatenschutzrechtl. Weiterentwicklungsbedarf im SGB V und X für Big Data, S. 65; Kühling / Schildbach, NZS 2020, 41 (45). 657 Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 166. 658 v. Dewitz, in: BeckOK Datenschutzrecht, § 303c SGB V Rn. 8. 659 Kühling / Schildbach, NZS 2020, 41 (45). 660 v. Dewitz, in: BeckOK Datenschutzrecht, § 303e SGB V Rn. 3. 654
446
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
gedeckt.661 Im Übrigen dürfen die Nutzungsberechtigten die Daten gemäß § 303e Abs. 2 Nr. 2 SGB V etwa auch zur Fortentwicklung des Gesundheitswesens, wie der Verbesserung der Qualität der Versorgung, analysieren. Dies ist von der Öffnungsklausel des Art. 9 Abs. 2 lit. h DSGVO umfasst.662 Die §§ 303a ff. SGB V liegen somit im von den Öffnungsklauseln der DSGVO vorgegebenen Rahmen.663 Vor diesem Hintergrund ist die Debatte um die Reformierung der Datentransparenzvorschriften in den §§ 303a ff. SGB V aus datenschutzrechtlicher Sicht „kaum nachvollziehbar“664. 4. Verhältnis der Datentransparenzvorschriften zu den sonstigen Forschungsregelungen im SGB Da die Krankenkassen sowohl in den §§ 303a ff. SGB V als auch in den übrigen forschungsspezifischen Regelungen des SGB, wie etwa in § 287 SGB V sowie § 75 SGB X, Befugnisse zur Datenverarbeitung erhalten, stellt sich die Frage des Verhältnisses dieser Vorschriften zueinander. Dieses Verhältnis ist weitgehend unklar, da der Bundesgesetzgeber dazu bisher keine Stellung bezogen hat.665 Zunächst stellt sich die Frage des Verhältnisses der forschungsspezifischen Regelungen innerhalb des SGB V, folglich zwischen den §§ 303a ff. SGB V und § 287 SGB V. Sowohl § 303e Abs. 2 Nr. 4 SGB V als auch § 287 SGB V gestatten es den Krankenkassen, Daten für Zwecke der Forschung auszuwerten. Allerdings schränkt § 287 SGB V die Befugnisse der Krankenkassen im Vergleich zu den Regelungen in den §§ 303a ff. SGB V erheblich ein. Während § 303e Abs. 2 Nr. 4 SGB V die Verarbeitung generell zu Zwecken der Forschung erlaubt, beschränkt § 287 SGB V die Verarbeitung auf zeitlich befristete und im Umfang begrenzte Forschungsvorhaben.666 Dies legt die Frage nahe, ob durch die Beschränkung in § 287 SGB V auch die Datenverarbeitungsbefugnisse der Krankenkassen im Rahmen der Datentransparenz eingeschränkt werden. Der lex specialis Grundsatz hilft diesbezüglich nicht weiter, da die Vorschriften in unterschiedlichen Fragen jeweils spezieller sind.667 Jedoch erscheint es schlüssig, den lex posterior Grundsatz heranzuziehen, nach dem die später erlassenen Vorschriften zur Datentransparenz dem zuvor erlassenen § 287 SGB V vorgehen. Denn bei Anwendung der Einschränkungen des § 287 SGB V verbliebe den Vorschriften zur Datentransparenz im Hin 661
Kühling / Schildbach, NZS 2020, 41 (45). Kühling / Schildbach, NZS 2020, 41 (45). 663 Kühling / Schildbach, NZS 2020, 41 (45); schon Spindler, MedR 2016, 691 (699) hat in seinem Aufsatz resümiert, dass Deutschland im Bereich des § 303e SGB V aus europarechtlicher Sicht nicht daran gehindert wäre, die Bestimmungen zugunsten der medizinischen Forschung unter Berücksichtigung der Vorgaben des Art. 89 DSGVO zu lockern. 664 Kühling, DuD 2020, 182 (188). 665 Weichert, MedR 2020, 539 (544). 666 Weichert, MedR 2020, 539 (544). 667 Weichert, MedR 2020, 539 (544). 662
G. Forschung mit Sozialdaten unter der DSGVO
447
blick auf die Forschung durch Krankenkassen wenig eigenständige Bedeutung. Hinsichtlich der im Rahmen der Datentransparenz übermittelten Daten unterliegen die Krankenkassen somit nicht den Einschränkungen des § 287 SGB V.668 Ebenfalls unklar ist das Verhältnis der Regelungen über die Datentransparenz zu der forschungsspezifischen Regelung in § 75 SGB X.669 Während § 75 SGB X die Datenübermittlung an Dritte auf den Zweck der „wissenschaftlichen Forschung im Sozialleistungsbereich“ beschränkt, gestattet § 303b Abs. 1 S. 1 SGB V den Krankenkassen die Übermittlung der dort aufgeführten Kosten- und Leistungsdaten für die in § 303e Abs. 2 SGB V genannten Zwecke. § 303e Abs. 2 Nr. 4 SGB V gestattet dabei die Datenverarbeitung generell zum Zweck der „Forschung“. Dies wirft die Frage auf, ob dieser generelle Zweck durch die Zweckbeschränkung in § 75 SGB X eingeschränkt wird.670 Auch diesbezüglich muss gelten, dass § 75 SGB X im Rahmen des Systems der Datentransparenz nicht zur Anwendung kommt, da die den Krankenkassen im Rahmen der Datentransparenz zugestandenen Befugnisse andernfalls erheblich eingeschränkt würden.671 Dass dies vom Gesetzgeber intendiert war, ist nicht ersichtlich. Vielmehr hat er die Nutzungsmöglichkeit zu Forschungszwecken in § 303e Abs. 2 Nr. 4 SGB V bewusst offener gefasst als bisher.672 Diesen Bestrebungen würde es zuwiderlaufen, die Beschränkungen des § 75 SGB X auch im Rahmen der Datentransparenz anzuwenden. Daneben dürfen die Krankenkassen in ihrer Funktion als Nutzungsberechtigte i. S. d. § 303e Abs. 1 Nr. 3 SGB V die ihnen zugänglich gemachten Daten nach § 303e Abs. 5 S. 1 Nr. 2 SGB V grundsätzlich nicht an Dritte weitergeben, soweit dies nicht ausdrücklich vom Forschungsdatenzentrum genehmigt wurde, sodass insofern keine inhaltliche Überschneidung zu § 75 SGB X besteht und sich die Frage des Konkurrenzverhältnisses zumindest in diesem Fall nicht stellt.
IV. Verarbeitung von Daten der elektronischen Patientenakte zu Forschungszwecken Auch die mit der elektronischen Patientenakte in großem Umfang angestrebte elektronische Verarbeitung von Behandlungsdaten bietet erhebliche Chancen für die medizinische Forschung.673 Daher besteht ein großes Interesse daran, die Daten aus der ePA für Forschungszwecke zu verarbeiten.
668
So auch Scholz, in: BeckOK Sozialrecht, § 287 SGB V Rn. 3.1. Weichert, MedR 2020, 539 (544). 670 Weichert, MedR 2020, 539 (544). 671 Schulz, SGb 2020, 536 (541) bezeichnet die gesetzlichen Erlaubnisnormen in § 303e SGB V als lex specialis zu den Vorgaben des § 75 SGB X. 672 BT-Drs. 19/13438, S. 74. 673 Hornung, in: Anzinger / Hamacher / Katzenbeisser, Schutz genetischer, medizinischer und sozialer Daten, S. 67. 669
448
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
Bisher war die Verarbeitung von Daten der ePA zu Forschungszwecken jedoch rechtlich nicht zulässig. Zum einen schränkte § 291a Abs. 4 S. 1 SGB V a. F. den Zugriff von Heilberuflern auf die Daten der als Anwendung der elektronischen Gesundheitskarte nach § 291a Abs. 3 S. 1 Nr. 4 SGB V a. F. ausgestalteten ePA dahingehend ein, dass dieser Zugriff nur erfolgen durfte, soweit dies zur Ver sorgung der Versicherten erforderlich war. Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken war somit nicht erfasst.674 Zum anderen schloss § 291a Abs. 8 SGB V a. F. die Möglichkeit der Einwilligung des Versicherten in den Zugriff auf die mittels der elektronischen Gesundheitskarte gespeicherten Behandlungsdaten zu Zwecken jenseits der Versorgung und mithin für Forschungszwecke aus.675 Um die Forschung mit Daten aus der elektronischen Patientenakte zu ermöglichen, sollte ursprünglich zunächst bereits im Zuge des DVG ein neuer § 291h Abs. 7 in das SGB V integriert werden, durch den es den Versicherten ermöglicht werden sollte, Daten ihrer elektronischen Patientenakte für Zwecke der medizinischen Forschung zur Verfügung zu stellen. Damit sollte eine Ausnahme von der in § 291a Abs. 4 und 8 SGB V a. F. grundsätzlich geregelten Begrenzung der Verwendung der Daten für Zwecke der Versorgung geschaffen werden.676 Nach Kritik des Bundesministeriums der Justiz aufgrund von erheblichem Änderungsund Ergänzungsbedarf im Bereich des Datenschutzes mussten diese Pläne jedoch zunächst aufgegeben werden.677 Mit dem im Zuge des PDSG in das SGB V eingefügten § 363 SGB V wurde nun eine „Rechtsgrundlage für die Verarbeitung von Daten aus der elektronischen Patientenakte zu Forschungszwecken“678 geschaffen. Diese soll dazu beitragen, eine solide Datengrundlage für die Forschung zu generieren, anhand derer medizi nische Zusammenhänge untersucht werden können, die sodann der medizinischen Versorgung der Versicherten zugutekommen.679 Ab der dritten Umsetzungsstufe der ePA, spätestens ab dem 1. Januar 2023, müssen die Versicherten gemäß § 342 Abs. 2 Nr. 4 SGB V die in der ePA gespeicherten Daten zu Forschungszwecken zur Verfügung stellen können. Für die Freigabe der Daten aus der elektronischen Patientenakte zu Forschungszwecken sieht § 363 SGB V zwei Wege vor.680 Zum einen können die Daten auf Grundlage einer gesetzlichen Rechtsgrundlage mit 674
Arning, Die elektronische Gesundheitskarte, S. 406 f. Hornung / Roßnagel, in: Schneider, Sekundärnutzung klinischer Daten, S. 380; Hornung, in: Anzinger / Hamacher / Katzenbeisser, Schutz genetischer, medizinischer und sozialer Daten, S. 67 f.; a. A. Arning, Die elektronische Gesundheitskarte, S. 411, 420. 676 BMG, Referentenentwurf zum DVG v. 15. Mai 2019, S. 79. 677 Zit. bei Ludwig, Süddeutsche Zeitung v. 13. November 2019 „Die Abgeordneten fordern mehr Datenschutz“, abrufbar unter: https://www.sueddeutsche.de/wirtschaft/spahngesundheitsdaten-forschung-1.4678418. 678 BT-Drs. 19/18793, S. 130. 679 BT-Drs. 19/18793, S. 130. 680 Dochow, MedR 2021, 115 (118). 675
G. Forschung mit Sozialdaten unter der DSGVO
449
einem „Opt-in-Verfahren“ an das Forschungsdatenzentrum freigegeben werden (§ 363 Abs. 1 bis 7 SGB V) und zum anderen kann die Freigabe unmittelbar an den Forschenden auf alleiniger Basis einer informierten Einwilligung erfolgen (§ 363 Abs. 8 SGB V). 1. Datenfreigabe im Rahmen des Datentransparenzverfahrens § 363 Abs. 1 bis Abs. 7 SGB V ermöglicht es den Versicherten, die Daten aus ihrer elektronischen Patientenakte zur Verarbeitung durch das Forschungsdatenzentrum und die Vertrauensstelle freizugeben, sodass die Daten anschließend für Forschungszwecke verarbeitet werden können.681 Dazu können die Versicherten die Daten ihrer elektronischen Patientenakte nach § 363 Abs. 1 SGB V freiwillig für bestimmte Forschungszwecke freigeben. Die Forschungszwecke sind unter Verweis auf § 303e Abs. 2 Nr. 2, 4, 5 und 7 SGB V abschließend aufgeführt und umfassen die Verbesserung der Qualität der Versorgung, die Forschung, insbesondere für Längsschnittanalysen über längere Zeiträume, die Analysen von Behandlungsabläufen oder Analysen des Versorgungsgeschehens, die Unterstützung politischer Entscheidungsprozesse zur Weiterentwicklung der gesetzlichen Krankenversicherung sowie die Wahrnehmung von Aufgaben der Gesundheitsberichterstattung. Gemäß § 363 Abs. 3 SGB V werden die in der ePA gespeicherten Daten zu diesen Zwecken in pseudonymisierter Form zusammen mit der Arbeitsnummer an das Forschungsdatenzentrum nach § 303d SGB V übermittelt, während das Lieferpseudonym zu den freigegebenen Daten und die entsprechende Arbeitsnummer an die Vertrauensstelle nach § 303c SGB V übermittelt werden. Die auf diesem Wege übermittelten Daten stehen dem Forschungsdatenzentrum somit zusätzlich zu den im Wege des Datentransparenzverfahrens nach den §§ 303a ff. SGB V übermittelten Daten zur Weiterleitung an die abschließend aufgelisteten Stellen zur Verfügung.682 Der Kreis der antragsberechtigten Einrichtungen wird dabei auf die Nutzungsberechtigten nach § 303e Abs. 1 Nr. 6 bis 8, 10 sowie 13 bis 16 SGB V beschränkt.683 Demnach sind die Krankenkassen selbst nicht berechtigt, Daten aus der ePA zu Forschungszwecken zu verarbeiten. Gegenüber der Datenverarbeitung im Datentransparenzverfahren nach den §§ 303a ff. SGB V werden somit vor allem der Kreis der Antragsberechtigten und die zulässigen Forschungszwecke begrenzt. Daneben gelten grundsätzlich die gleichen Verarbeitungsbedingungen wie für die Routinedaten der gesetzlichen Krankenversicherung im System der Datentrans-
681
BT-Drs. 19/18973, S. 130; Bretthauer / Appenzeller / Birnstill, DuD 2021, 173 (177). Vergleicht man die in § 341 Abs. 2 SGB V aufgeführten Inhalte der elektronischen Patientenakte und die in § 303b Abs. 1 SGB V aufgeführten Daten, die die Krankenkassen im Rahmen des Datentransparenzverfahrens übermitteln, dürfte es sich bei den aus der ePA übermittelten Daten um eine deutlich größere Menge an Gesundheitsdaten handeln, Dochow, MedR 2021, 115 (118); a. A. Lippert, GesR 2020, 639 (641). 683 BT-Drs. 19/18793, S. 131. 682
450
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
parenz.684 Damit wird die Datenfreigabe organisatorisch und technisch an das in den §§ 303a ff. SGB V geregelte Datentransparenzverfahren angebunden.685 Hinsichtlich der Anwendbarkeit des Datenschutzrechts auf die Nutzungsberechtigten ergeben sich damit wieder die zuvor erläuterten Fragestellungen.686 Die Einwilligung wird in § 363 Abs. 5 SGB V weiteren Anforderungen hinsichtlich der Information der betroffenen Person unterstellt. Demnach ist die betroffene Person u. a. über die Empfänger der Daten, die Zwecke der Datenverarbeitung sowie die Widerrufsmöglichkeiten zu informieren. § 363 Abs. 6 S. 1 SGB V sieht zudem vor, dass die Daten, die bereits an das Forschungsdatenzentrum übermittelt wurden, im Fall des Widerrufs gelöscht werden. Allerdings können die bis zum Widerruf der Einwilligung übermittelten und bereits für konkrete Forschungsvorhaben verwendeten Daten gemäß § 363 Abs. 6 S. 3 SGB V weiterhin für diese Forschungsvorhaben verarbeitet werden. Dies steht mit den Vorgaben der DSGVO im Einklang. In Bezug auf die rechtliche Wirkung des Widerrufs regelt Art. 7 Abs. 3 S. 2 DSGVO, dass der Widerruf die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Dem Verantwortlichen obliegt jedoch nach Art. 17 Abs. 1 lit. b DSGVO die Pflicht, die Verarbeitungstätigkeiten zu beenden und die auf der Grundlage der widerrufenen Einwilligung verarbeiteten Daten zu löschen. Diese Pflicht wird allerdings dadurch erheblich eingeschränkt, dass eine Verarbeitung weiterhin zulässig ist, soweit sie auf eine anderweitige Rechtsgrundlage gestützt werden kann.687 § 363 Abs. 6 S. 3 SGB V stellt eine solche Rechtsgrundlage für die weitere Verarbeitung der bis zum Widerr uf erhobenen Daten dar. Dies gilt allerdings nur insoweit, als die Norm nicht den Vorgaben der DSGVO widerspricht. Auch insoweit ist folglich eine Öffnungsklausel erforderlich.688 Art. 9 Abs. 2 lit. j DSGVO sieht vor, dass die Verarbeitung besonderer Kategorien personenbezogener Daten auf Grundlage unionsrechtlicher oder mitgliedstaatlicher Vorschriften, die angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorsehen, zulässig ist, soweit die Verarbeitung für wissenschaftliche Forschungszwecke erforderlich ist.689 § 363 Abs. 6 S. 3 SGB V, der sich auf die Verarbeitung von Daten der elektronischen Patientenakte zu Forschungszwecken bezieht, lässt sich auf diese Öffnungsklausel stützen.690 Neben den Vorgaben in Bezug auf die weitere Verarbeitung nach einem Widerruf der Einwilligung wird in § 363 Abs. 6 S. 5 SGB V auch festgelegt, dass der Widerruf der Einwilligung, genauso wie die Einwilligung selbst, über die Be-
684
Staffeldt, G+S 2020, 59 (63). BT-Drs. 19/18793, S. 131; s. zum Prozess der Datenverarbeitung im Rahmen des Datentransparenzverfahrens Kap. 7 G. III. 2., (S. 440 ff.). 686 S. dazu ausführlich unter Kap. 7 G. III. 3., (S. 443 ff.). 687 Stemmer, in: BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 91. 688 Bischoff / Wiencke, ZD 2019, 8 (10) in Bezug auf § 40 Abs. 2a S. 2 Nr. 3 AMG a. F. 689 Bischoff / Wiencke, ZD 2019, 8 (11). 690 BT-Drs. 19/18793, S. 132; a. A. Dochow, MedR 2021, 115 (121) der stattdessen Art. 17 Abs. 3 lit. d DSGVO i. V. m. Art. 89 Abs. 1 DSGVO anwenden möchte. 685
G. Forschung mit Sozialdaten unter der DSGVO
451
nutzeroberfläche eines geeigneten Endgeräts erfolgen kann.691 Damit wird der Anforderung des Art. 7 Abs. 3 S. 4 DSGVO Rechnung getragen, nach dem der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung erfolgen muss. Überdies ist in § 363 Abs. 7 Nr. 1 SGB V vorgesehen, dass das Bundesministerium für Gesundheit durch Rechtsverordnung das Nähere zu den angemessenen und spezifischen Maßnahmen zur Wahrung der Interessen der betroffenen Person im Sinne von Art. 9 Abs. 2 lit. i und j i. V. m. Art. 89 DSGVO regelt. Da die Festlegung dieser Maßnahmen zur Wahrung der Interessen der betroffenen Person zur „Kernaufgabe des Gesetzgebers“692 im Rahmen des Art. 9 Abs. 2 lit. j sowie Art. 89 Abs. 1 DSGVO gehört, wird zu Recht bezweifelt, dass diese Aufgabe der Exekutive überantwortet werden kann.693 Dabei ist aber zu berücksichtigen, dass die Vorschrift des § 363 SGB V bereits selbst auf gesetzlicher Ebene gewisse Schutzmaßnahmen zur Wahrung der Interessen der betroffenen Person vorsieht. So werden etwa mit der Anbindung an das in den §§ 303a ff. SGB V geregelte Datentransparenzverfahren zusätzliche geeignete Garantien geschaffen, wie etwa die Pseudonymisierung über die Vertrauensstelle gemäß § 303c Abs. 1 SGB V. Daneben können die Versicherten den Umfang der Datenfreigabe gemäß § 363 Abs. 2 S. 3 SGB V frei wählen und diesen auf bestimmte Daten beschränken. Als problematisch erweist sich insbesondere die gesetzliche Ausgestaltung in Form einer Kombination aus Einwilligung und gesetzlicher Rechtsgrundlage. Nach § 363 Abs. 2 S. 1 SGB V bedarf die Übermittlung der freigegebenen Daten als Verarbeitungsbedingung einer informierten Einwilligung des Versicherten. Fraglich ist, ob die Rechtsgrundlage für die Datenverarbeitung in diesem Fall die Einwilligung als solche ist oder ob es sich vielmehr um eine gesetzliche Forschungsklausel handelt, die lediglich mit der Einholung einer Einwilligung verknüpft wird. Sofern sich die Literatur bereits mit dieser Frage beschäftigt hat, geht sie davon aus, dass die datenschutzrechtliche Legitimation für die Verarbeitung der Daten aus der ePA zu Forschungszwecken nach dem Wortlaut des § 363 Abs. 1 und 2 SGB V allein aus der Einwilligung des Versicherten folge.694 Demgegenüber soll die informierte Einwilligung des Versicherten ausweislich der Gesetzesbegründung lediglich eine „zusätzliche Verarbeitungsbedingung“695 im Rahmen einer gesetzlichen Grundlage darstellen. Rechtsgrundlage für die Datenverarbeitung soll somit nicht die Einwilligung als solche sein, vielmehr soll es sich um eine gesetzliche Verarbeitungsbefugnis handeln, die mit der Einholung einer Einwilligung kombiniert wird.696 In Bezug auf die besonderen Kategorien personenbezogener 691
BT-Drs. 19/18793, S. 132. Dochow, MedR 2021, 115 (119). 693 Netzwerk Datenschutzexpertise, Ausschuss-Drs. 19(14)165(1), S. 7; Dochow, MedR 2021, 115 (119). 694 Kircher, GuP 2021, 1 (8); Dochow, MedR 2021, 115 (121). 695 BT-Drs. 19/18793, S. 131. 696 So wird die Gesetzesbegründung auch von Kircher, GuP 2021, 1 (8) Fn. 56 sowie Dochow, MedR 2021, 115 (119) interpretiert; a. A. Lippert, GesR 2020, 639 (641). 692
452
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
Daten wird diese Verarbeitungsbefugnis breit angelegt auf die Öffnungsklauseln in Art. 9 Abs. 2 lit. i und j, Abs. 4 sowie Art. 89 Abs. 1 DSGVO gestützt.697 Als Begründung für die Wahl einer solchen Rechtskonstruktion wird auf die Leitlinie der Art. 29-Datenschutzgruppe zur Einwilligung698 verwiesen, nach der die Einwilligung eine zusätzliche Garantie zur Wahrung der Rechte der betroffenen Personen darstelle.699 In dieser Leitlinie bezieht sich die Art. 29-Datenschutzgruppe jedoch gerade nicht auf die datenschutzrechtliche Einwilligung, sondern auf die Einwilligung in die Teilnahme an klinischen Prüfungen, die ausdrücklich von der Einwilligung in die Verarbeitung personenbezogener Daten zu unterscheiden ist.700 Dieser Verweis kann somit nicht überzeugen. Zudem unterscheidet die DSGVO, wie in Art. 8 Abs. 2 S. 1 GRCh vorgesehen, eindeutig zwischen der Einwilligung einerseits und der gesetzlichen Rechtsgrundlage andererseits.701 Einwilligung und gesetzliche Erlaubnistatbestände stehen demnach gleichrangig nebeneinander.702 Dies spricht dagegen, die Einwilligung lediglich als zusätzliche Verarbeitungs bedingung im Rahmen eines gesetzlichen Erlaubnistatbestands anzusehen. Inwiefern es rechtlich zulässig ist, verschiedene Rechtsgrundlagen kombiniert heranzuziehen, wurde unabhängig von der Forschung mit Daten aus der elektronischen Patientenakte bereits im Zusammenhang mit der „Datenspende“ für die medizi nische Forschung diskutiert. Vorgeschlagen wurde in diesem Zusammenhang etwa die Schaffung eines „gesetzlichen Zulässigkeitstatbestands mit Zustimmungsvorbehalt“703 oder die Implementierung einer „Zustimmungslösung“704 in Form der Verknüpfung einer gesetzlichen Forschungsklausel mit einer untechnischen Zustimmung.705 Diese Modelle unterscheiden sich jedoch von der vorliegend gewählten Konstruktion dadurch, dass die gesetzliche Datenverarbeitungsgrundlage nicht mit einer Einwilligung kombiniert, sondern vielmehr lediglich mit einer Zustimmung verknüpft wird. Auch derartige Rechtskonstruktionen werden aber überwiegend kritisch betrachtet.706 Unabhängig von der rechtlichen Zulässigkeit einer solchen Rechtskonstruktion, verdeutlicht die vorliegend in § 363 SGB V gewählte Ausgestaltung der Vorschrift, dass die datenschutzrechtliche Legitimation allein 697
BT-Drs. 19/18793, S. 131. Art. 29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679, WP 250 rev. 01 v. 10. April 2018, S. 33. 699 BT-Drs. 19/18793, S. 131. 700 So auch Dochow, MedR 2021, 115 (119). 701 Dochow, MedR 2021, 115 (119); Kircher, in: Becker / K ingreen, SGB V, § 68b SGB V Rn. 4. 702 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 DSGVO Rn. 19; Schulz, in: Gola, DSGVO, Art. 6 DSGVO Rn. 10; ausführlich dazu bereits unter Kap. 2 A. IV., (S. 152 ff.). 703 Sackmann, PinG 2019, 277 (279). 704 v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 109 f. 705 Auch Kircher, in: Becker / K ingreen, SGB V, § 68b SGB V Rn. 4 sowie Kircher, GuP 2021, 1 (8) Fn. 56 sieht eine gesetzliche Grundlage, die ein aktives Mitwirken der betroffenen Person als Tatbestandsmerkmal voraussetze, als rechtlich zulässig an. 706 v. Ulmenstein, PinG 2020, 47 (52) Fn. 58; v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 110. 698
G. Forschung mit Sozialdaten unter der DSGVO
453
aus der Einwilligung folgen soll. Bedarf die Verarbeitung der personenbezogenen Daten ausdrücklich einer informierten Einwilligung des Versicherten, wie vorliegend in § 363 Abs. 2 S. 1 SGB V vorgeschrieben, so bringt der Gesetzgeber damit zum Ausdruck, dass er gerade keine gesetzliche Verarbeitungsgrundlage begründen wollte.707 Nach dem eindeutigen Wortlaut handelt sich somit um eine Einwilligung zugunsten der gesetzlich vorstrukturierten Verarbeitung im Rahmen des Datentransparenzverfahrens.708 Grundsätzlich ist es möglich, dass auf nationaler Ebene gesetzliche Vorgaben für den notwendigen Inhalt und die Ausgestaltung einer Einwilligung vorgesehen werden,709 die sich dann an Art. 9 Abs. 4 DSGVO messen lassen müssen. Das Problem liegt vorliegend vielmehr darin, dass zum Zeitpunkt der Erteilung der Einwilligung noch nicht genau absehbar ist, durch welche Forschungseinrichtungen und vor allem für welche konkreten Forschungszwecke die jeweiligen Daten aus der ePA verarbeitet werden.710 Vor diesem Hintergrund wird bezweifelt, dass die in der Vorschrift vorgesehene Einwilligung die rechtlichen Voraussetzungen für eine wirksame Einwilligung nach den Vorgaben der DSGVO erfüllt.711 Insbesondere werden Zweifel an der Bestimmtheit der Einwilligung vorgebracht.712 Ob die vorliegende Konstruktion in der Gesamtbetrachtung allerdings einem „Blanket Consent“ gleichkommt,713 ist zweifelhaft, da § 363 Abs. 1 SGB V die zulässigen Verarbeitungszwecke abschließend aufführt und sie zudem im Vergleich zu den Verarbeitungszwecken im Datentransparenzverfahren begrenzt. Um die verbleibende Offenheit der Zweckbestimmung zu bewältigen, käme die Implementierung eines Broad-Consent-Modells in Betracht, nach dem Abstriche hinsichtlich der Bestimmtheit der Einwilligung im Bereich der wissenschaftlichen Forschung unter bestimmten Voraussetzungen zulässig sind. Der „Broad Consent“ ist zwar rechtlich nicht unumstritten, richtigerweise aber unter gewissen Voraussetzungen zulässig.714 Allerdings ist der „Broad Consent“ auf die wissenschaftliche Forschung begrenzt, während die unter Verweis auf § 303e Abs. 2 Nr. 2, 4, 5 und 7 SGB V abschließend aufgeführten Verarbeitungszwecke nicht allein die wissenschaftliche Forschung betreffen.715 Die Möglichkeit eines solchen Broad-Consent-Modells wird vom Gesetzgeber im Zusammenhang mit der Datenfreigabe im Rahmen des 707
So Kircher, in: Becker / K ingreen, SGB V, § 68b SGB V Rn. 4 in Bezug auf § 68b SGB V. Kircher, GuP 2021, 1 (8); Dochow, MedR 2021, 115 (121). 709 Kircher, in: Becker / K ingreen, SGB V, § 68b SGB V Rn. 4. 710 Netzwerk Datenschutzexpertise, Ausschuss-Drs. 19(14)165(1), S. 3; Dochow, MedR 2021, 115 (120). 711 Netzwerk Datenschutzexpertise, Ausschuss-Drs. 19(14)165(1), S. 3; demgegenüber weist die Gesetzesbegründung pauschal darauf hin, dass die Einwilligung den Anforderungen an die Bestimmtheit entspreche, BT-Drs. 19/18793, S. 131. 712 Dochow, MedR 2021, 115 (120). 713 So Dochow, MedR 2021, 115 (120). 714 S. dazu ausführlich in Kap. 7 E. I. 1., (S. 364 ff.). 715 Dochow, MedR 2021, 115 (118); Netzwerk Datenschutzexpertise, Ausschuss-Drs. 19(14)165(1), S. 4. 708
454
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
Datentransparenzverfahrens jedenfalls auch nicht in Erwägung gezogen.716 Dies ist aber wohl darauf zurückzuführen, dass der Gesetzgeber die Einwilligung vorliegend nicht als Rechtsgrundlage, sondern lediglich als Verarbeitsbedingung im Rahmen einer gesetzlichen Rechtsgrundlage versteht, sodass sich die Frage der Implementierung eines „Broad Consent“ in dieser Form nicht stellte. Vor dem Hintergrund der gegen die Einwilligung vorgebrachten Wirksamkeitsbedenken und der sich daraus ergebenden Rechtsunsicherheit, würde es sich anbieten, ein Widerspruchsmodell in Form einer gesetzlichen Datenverarbeitungsgrundlage in Kombination mit einer Widerspruchsmöglichkeit zu implementieren, die auch in der allgemeinen Diskussion um die Datenspende im Forschungsbereich bereits vorgeschlagen und als vorzugswürdig angesehen wurde.717 Sollte dies umgesetzt werden, wäre § 363 SGB V nicht die erste Vorschrift, aus der das Einwilligungserfordernis nachträglich gestrichen wird. So wurde das Einwilligungserfordernis mit dem Inkrafttreten des PDSG jüngst aus der Vorschrift des erst mit dem DVG in das SGB V eingefügten § 68b SGB V gestrichen.718 Dieser sah vor der Änderung durch das PDSG in seinem Abs. 1 S. 4 und Abs. 3 S. 1 in ähnlicher Weise eine Verarbeitungsbefugnis in Kombination mit einer Einwilligung in die Verarbeitung personenbezogener Daten vor. Als Begründung für die Streichung des Einwilligungserfordernisses wurde vom Gesetzgeber vorgetragen, dass sich die Einwilligung nicht als praktikabel erwiesen habe.719 Eine ähnliche Entwicklung ist auch in Bezug auf die Datenfreigabe im Rahmen des Datentransparenzverfahrens vorstellbar. Zumindest ist aber zu fordern, dass für alle Beteiligten klar erkennbar sein sollte, auf welche Rechtsgrundlage sich die Verarbeitung stützt.720 Nach der vorliegend gewählten Ausgestaltung ist zu erwarten, dass die betroffenen Personen darüber im Unklaren bleiben.721 Noch ist Zeit, um derartige Klarstellungen vorzunehmen, bis den Versicherten spätestens ab dem 1. Januar 2023 die Möglichkeit eröffnet werden muss, ihre in der ePA gespeicherten Daten zu Forschungszwecken zur Verfügung stellen zu können.
716
Anders ist dies in § 363 Abs. 8 SGB V. Krawczak et al., in: Strech et al., BMG Gutachten „Datenspende“, S. 132. 718 Dochow, MedR 2021, 13 (21); BfDI, Keynote „Datenspenden“, Lebenretten? Datenschutz und Digitalisierung auf dem Prüfstand, S. 7, abrufbar unter: https://www.bfdi.bund.de/DE/ Infothek/Reden_Gastbeitraege/reden_interviews-node.html. 719 BT-Drs. 19/20708, S. 164; Scholz, in: BeckOK Sozialrecht, § 68b SGB V Rn. 2a; Dochow, MedR 2021, 13 (21). 720 Vgl. v. Kielmansegg, in: Strech et al., BMG Gutachten „Datenspende“, S. 110; Dochow, MedR 2021, 115 (121). 721 Auch Dochow, MedR 2021, 115 (121) nimmt an, dass das Rechtskonstrukt „eine gewisse Intransparenz“ aufweise. 717
G. Forschung mit Sozialdaten unter der DSGVO
455
2. Datenfreigabe auf der Grundlage einer informierten Einwilligung Unabhängig von der Datenfreigabe im Rahmen des Datentransparenzverfahrens können die Versicherten die Daten der ePA gemäß § 363 Abs. 8 SGB V auch mittels ausdrücklicher Einwilligung für die Verarbeitung zu wissenschaftlichen Forschungszwecken zur Verfügung stellen.722 Bei dieser Regelung handelt es sich jedoch nicht um eine eigenständige Befugnisnorm zur Verarbeitung personenbezogener Daten.723 Die Verarbeitungsgrundlage stellt vielmehr die in der DSGVO unmittelbar und abschließend geregelte Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO dar. In der Gesetzesbegründung heißt es diesbezüglich, dass die Vorschrift lediglich klarstelle, dass die Einwilligung in die Verarbeitung von Daten der elektronischen Patientenakte zu Forschungszwecken gemäß Art. 9 Abs. 2 lit. a DSGVO nicht unter das Diskriminierungsverbot des § 335 Abs. 2 SGB V falle.724 Korrespondierend dazu erläutert die Gesetzesbegründung zu § 335 SGB V, dass die Verarbeitung von Daten der elektronischen Patientenakte zu Forschungszwecken nach § 363 SGB V als „Ausnahmetatbestand vom Diskriminierungsverbot“725 aufgenommen wurde. Natürlich ist eine Diskriminierung auch im Bereich der Forschung weiterhin nicht erlaubt, Versicherte dürfen also gemäß § 335 Abs. 3 SGB V nicht bevorzugt oder benachteiligt werden, weil sie einen Zugriff auf die Daten in ihrer ePA zu Forschungszwecken verweigert haben. Gemeint ist damit vielmehr, dass es nun möglich ist, zu Forschungszwecken von der bisher strengen Zweckbindung an Versorgungszwecke nach § 291a Abs. 8 SGB V abzuweichen.726 Die Einwilligung kann dabei für ein bestimmtes Forschungsvorhaben oder für bestimmte Bereiche der wissenschaftlichen Forschung erteilt werden. Damit werden die Überlegungen des EG 33 DSGVO umgesetzt.727 Als Beispiel für einen bestimmten Bereich der wissenschaftlichen Forschung benennt die Gesetzesbegründung die medizinische Forschung und spricht sich somit für die grundsätzliche Zulässigkeit weit gefasster Einwilligungen im medizinischen Bereich aus.728 In diesem Zusammenhang wird insbesondere problematisiert, dass in der Vorschrift keine Vorgaben für zusätzliche Sicherungsmaßnahmen vorgesehen seien.729 Diesbezüglich gilt aber, dass sich die Vorgabe der Einhaltung ethischer Standards der wissenschaftlichen Forschung unmittelbar aus EG 33 S. 2 DSGVO selbst ergibt, auch wenn der Gesetzgeber diese Anforderungen nicht in die Vor-
722
Bretthauer / Appenzeller / Birnstill, DuD 2021, 173 (177). BT-Drs. 19/18793, S. 132. 724 BT-Drs. 19/18793, S. 132. 725 BT-Drs. 19/18793, S. 108. 726 Dochow, MedR 2020, 979 (991). 727 BT-Drs. 19/18793, S. 132. 728 BT-Drs. 19/18793, S. 132; Hänold, ZD-Aktuell 2021, 05016. 729 BR-Drs. 164/20 (B), S. 24; BfDI, Stellungnahme zum Gesetzentwurf des PDSG v. 3. April 2020, S. 15, abrufbar unter: https://www.bfdi.bund.de/DE/Infothek/Transparenz/_functions/ Stellungnahmen_table.html. 723
456
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
schrift des § 363 Abs. 8 SGB V aufgenommen hat.730 Die konkrete Ausgestaltung dieser Datenfreigabemöglichkeit ist allerdings noch offen.731 Gemäß § 354 Abs. 2 Nr. 5 SGB V hatte die Gematik bis zum 30. Juni 2021 die erforderlichen Fest legungen für die Zurverfügungstellung und Übermittlung der in der elektronischen Patientenakte gespeicherten Daten für die Verarbeitung zu Forschungszwecken zu treffen. Am 30. Juni 2021 hat die Gematik ein Konzeptpapier zur Verarbeitung von Daten der elektronischen Patientenakte zu Forschungszwecken zur Abstimmung freigegeben.732 Demnach soll der Ausbau der Möglichkeiten zur Datenübermittlung aufgrund einer Einwilligung in zwei Stufen erfolgen. In der ersten Stufe sieht das Konzeptpapier eine Forschungsdatennutzung durch die an die Telematik infrastruktur angeschlossenen Leistungserbringer vor.733 In der Stufe zwei soll es der wissenschaftlichen Forschung ab dem 1. Januar 2025 sodann möglich sein, Anträge zur Nutzung von Gesundheitsdaten aus der elektronischen Patientenakte zu stellen.734 Die geplante Ausgestaltung ist bislang überwiegend auf Kritik gestoßen.735
H. Einschränkung der Betroffenenrechte für die Forschung Grundsätzlich gelten die in Kapitel 4 dieser Arbeit ausführlich besprochenenen Betroffenenrechte in gleicher Weise im Rahmen der wissenschaftlichen Forschung mit personenbezogenen Daten. Es ergeben sich jedoch einige Besonderheiten, auf die im Folgenden eingegangen werden soll. Angesichts der häufigen Sekundärnutzung von Daten im Forschungsbereich ist zunächst die in Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO normierte Verpflichtung des Verantwortlichen von Bedeutung, nach der dieser die betroffenen Personen zusätzlich zu den sonstigen Informationspflichten über die Weiterverarbeitung ihrer personenbezogenen Daten für einen anderen Zweck als den, für den sie ursprünglich erhoben wurden, aufzuklären hat. Daneben unterliegen datenverarbeitende Stellen bei der Verarbeitung personenbezogener Daten zu Forschungszwecken weniger strengen Anforderungen im Hinblick auf die Betroffenenrechte. So sieht die DSGVO für die Verarbeitung zu Forschungszwecken zum Teil selbst Einschränkungen der Betroffenenrechte vor und enthält daneben in Art. 89 Abs. 2 DSGVO eine Öffnungsklausel, nach der im mitgliedstaatlichen Recht im Hinblick auf die Verarbeitung personenbezogener
730
Vgl. Dierks / Roßnagel, Sekundärnutzung von Sozial- und Gesundheitsdaten, S. 112. Dochow, MedR 2021, 115 (123); Bretthauer / Appenzeller / Birnstill, DuD 2021, 173 (178). 732 Gematik, Konzeptpapier, Stand 30. Juni 2021, Version 1. 0. 0 CC, abrufbar unter: https:// fachportal.gematik.de/. 733 Gematik, Konzeptpapier, Stand 30. Juni 2021, Version 1. 0. 0 CC, S. 6 ff. 734 Gematik, Konzeptpapier, Stand 30. Juni 2021, Version 1. 0. 0 CC, S. 8 f. 735 BDI, Gemeinsame Pressemitteilung v. 13. Juli 2021 „Forschungskompatible ePA: Potenziale bleiben ungenutzt!“, abrufbar unter: https://bdi.eu/artikel/news/potenziale-bleiben-un genutzt/. 731
H. Einschränkung der Betroffenenrechte für die Forschung
457
Daten zu Forschungszwecken Ausnahmen von den Betroffenenrechten vorgesehen werden können.736
I. Einschränkung durch Vorgaben in der DSGVO 1. Einschränkung der Informationspflichten Nach Art. 14 Abs. 5 lit. b DSGVO ist der Verantwortliche im Falle der Verarbeitung für wissenschaftliche Forschungszwecke von den Informationspflichten nach Art. 14 Abs. 1 bis 4 DSGVO befreit, wenn die Erfüllung der Informationspflicht sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Nach Ansicht der Art. 29-Datenschutzgruppe werden in der Praxis jedoch nur äußerst selten Situationen auftreten, in denen der Verantwortliche die Unmöglichkeit darlegen könne.737 Wenn der Verantwortliche hingegen geltend machen möchte, dass die Bereitstellung der Informationen mit einem unverhältnismäßigen Aufwand verbunden ist, hat er zunächst den ihm für die Bereitstellung der Informationen an die betroffene Person entstehenden Aufwand gegen die Auswirkungen auf und die Folgen für die betroffene Person abzuwägen.738 Als Anhaltspunkte können dabei nach EG 62 S. 3 DSGVO die Zahl der betroffenen Person, das Alter der Daten oder geeignete Garantien in Betracht gezogen werden.739 So kann etwa eine große Anzahl betroffener Personen, für die keine Kontaktinformationen zur Verfügung stehen, als unverhältnismäßiger Aufwand für die Bereitstellung der Informationen angesehen werden.740 Für den Fall, dass der Verantwortliche von den Informationspflichten befreit ist, gibt Art. 14 Abs. 5 lit. b DSGVO vor, dass der Verantwortliche als Ausgleich geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person zu ergreifen hat. 2. Entfall des Rechts auf Löschung Gemäß Art. 17 Abs. 3 lit. d DSGVO entfällt das Recht auf Löschung, soweit die Verarbeitung personenbezogener Daten für Forschungszwecke erforderlich ist und das Recht die Verwirklichung der Ziele der Forschung unmöglich machen oder
736
Pauly, in: Paal / Pauly, DSGVO BDSG, Art. 89 DSGVO Rn. 13. Art. 29-Datenschutzgruppe, Leitlinien für Transparenz gemäß der Verordnung 2016/679, WP 260 rev. 01 v. 11. April 2018, S. 34. 738 Art. 29-Datenschutzgruppe, Leitlinien für Transparenz gemäß der Verordnung 2016/679, WP 260 rev. 01 v. 11. April 2018, S. 36. 739 Johannes, in: Roßnagel, Das neue Datenschutzrecht, § 7 Rn. 252, Fn. 271 stellt insgesamt auf organisatorische und wirtschaftliche Aspekte ab. 740 EDPB, Guidelines 03/2020 on the processing of data concerning health for the purpose of scientific research in the context of the Covid-19 outbreak v. 21. April 2020, S. 8. 737
458
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
ernsthaft beeinträchtigen würde.741 Dies kann insbesondere angenommen werden, wenn im Falle der Löschung der Daten eine bestimmte Erkenntnis nicht gewonnen oder Untersuchungen nicht durchgeführt werden könnten.742 Als Beispiel wird hier die epidemiologische Forschung angeführt, sofern diese den Lebenslauf von einzelnen Personen oder sogar von mehreren Generationen in den Blick nimmt, um bestimmte Krankheiten zu erforschen.743 Mit der Vorgabe, dass die Beeinträchtigung „ernsthaft“ sein muss, wird zudem zum Ausdruck gebracht, dass eine geringfügige Beeinträchtigung jedenfalls nicht genügt.744 Wenn sich die Verarbeitung ursprünglich auf eine Einwilligung stützte und die betroffene Person diese widerruft, entfällt der Löschungsanspruch bereits gemäß Art. 17 Abs. 1 lit. b DSGVO, wenn für die Verarbeitung eine anderweitige Rechtsgrundlage einschlägig ist, etwa wenn über Art. 9 Abs. 2 lit. j DSGVO auf eine nationale Forschungsklausel zurückgegriffen werden kann. Der verbleibende Anwendungsbereich des Art. 17 Abs. 3 lit. d DSGVO betrifft demnach die Fälle außerhalb des Anwendungsbereichs des Art. 17 Abs. 1 lit. b DSGVO, in denen die betroffene Person ihre Einwilligung nicht widerrufen hat oder die Datenverarbeitung von vornherein auf eine gesetzliche Grundlage gestützt wurde. 3. Forschungsbezogenes Widerspruchsrecht Auch das Widerspruchsrecht der betroffenen Person gegen die Verarbeitung zu wissenschaftlichen Forschungszwecken aus Art. 21 Abs. 6 DSGVO ist an enge Voraussetzungen geknüpft. So besteht dieses nur, wenn Gründe vorliegen, die sich aus der besonderen Situation der betroffenen Person ergeben. Dies stellt eine hohe Hürde dar, da an die Begründung einer besonderen Situation ein strenger Maßstab anzulegen ist.745 Insbesondere genügen rein subjektive Befindlichkeiten nicht.746 Denkbar ist beispielsweise die Begründung, dass bereits Datenschutzverletzungen erfolgt sind und dies verbunden ist mit der Befürchtung, dass solche zukünftig erneut auftreten werden.747 Bringt die betroffene Person solche Gründe vor, besteht 741
Mit diesem Artikel korrespondiert der EG 65 S. 5 DSGVO a. E. Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 17 DSGVO Rn. 82. 743 Buchner / Tinnefeld, in: Kühling / Buchner, DSGVO BDSG, § 27 BDSG Rn. 20; SchlösserRost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 45. 744 Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 17 DSGVO Rn. 82. 745 Schulz, in: Gola, DSGVO, Art. 21 DSGVO Rn. 9; Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 21 DSGVO Rn. 15; Martini, in: Paal / Pauly, DSGVO BDSG, Art. 21 DSGVO Rn. 55; Helfrich, in: Sydow, DSGVO, Art. 21 DSGVO Rn. 61; Kamann / Braun, in: Ehmann / Selmayr, DSGVO, Art. 21 DSGVO Rn. 20; a. A. Johannes, in: Roßnagel, Das neue Datenschutzrecht, § 7 Rn. 255. 746 Kamann / Braun, in: Ehmann / Selmayr, DSGVO, Art. 21 DSGVO Rn. 20. 747 GMDS / GDD, Datenschutzrechtliche Anforderungen an die medizinische Forschung unter Berücksichtigung der DSGVO, S. 40; Däubler, in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, Art. 21 DSGVO Rn. 10. 742
H. Einschränkung der Betroffenenrechte für die Forschung
459
ferner kein Widerspruchsrecht, wenn die Verarbeitung gemäß Art. 21 Abs. 6 Hs. 2 DSGVO zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist.748 Für solche Forschungsvorhaben, die zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich sind, bedeutet dies eine Privilegierung der Datenverarbeitung zu Forschungszwecken gegenüber dem allgemeinen Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO, bei dem auf Seiten des Verantwortlichen zwingende schutzwürdige Gründe für die Verarbeitung nachzuweisen sind.749 Dabei ist im Grundsatz davon auszugehen, dass die Verarbeitung zu Forschungs zwecken häufig im öffentlichen Interesse liegt, da ein Wissenszugewinn grundsätzlich im Interesse der Gesellschaft ist.750 Jedoch genügt es nicht, dass allein eine im öffentlichen Interesse liegende Aufgabe besteht, vielmehr muss die Verarbeitung zur Erfüllung dieser Aufgabe auch erforderlich sein und darf folglich etwa nicht durch eine Anonymisierung der Daten zu verwirklichen sein.751 Der Verantwortliche hat im Zusammenhang mit dem forschungsbezogenen Widerspruchsrecht somit glaubhaft zu machen, dass die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist, nicht notwendig ist hingegen, dass zwingende schutzwürdige Gründe für die Verarbeitung bestehen.752
II. Einschränkung durch Regelungen auf Bundesebene Auf Grundlage der Öffnungsklausel des Art. 89 Abs. 2 DSGVO können die Mitgliedstaaten Ausnahmen von den Betroffenenrechten nach Art. 15, 16, 18 und 21 DSGVO vorsehen, soweit personenbezogene Daten zu wissenschaftlichen Forschungszwecken verarbeitet werden. Voraussetzung ist, dass die Betroffenenrechte die Verwirklichung des Forschungszwecks unmöglich machen oder ernsthaft beeinträchtigen und die Ausnahmen von den Betroffenenrechten für die Erfüllung dieser Zwecke notwendig sind. In diesem Sinne sieht § 27 Abs. 2 S. 1 BDSG n. F. eine umfassende Beschränkung der Betroffenenrechte nach Art. 15, 16, 18 und 21 DSGVO vor, soweit die Betroffenenrechte voraussichtlich die Verwirklichung der Forschungszwecke unmöglich machen oder erheblich beeinträchtigen würden und 748
Johannes / Richter, DuD 2017, 300 (301). Kramer, in: Auernhammer, DSGVO BDSG, Art. 21 DSGVO Rn. 42; Forgó, in: BeckOK Datenschutzrecht, Art. 21 DSGVO Rn. 31; Golla / Hofmann / Bäcker, DuD 2018, 89 (96). 750 Voigt / von dem Bussche, EU-Datenschutz-Grundverordnung, S. 238; Caspar, in: Simits / Hornung / Spiecker, Datenschutzrecht, Art. 21 DSGVO Rn. 39; a. A. Platzer, NZS 2020, 289 (293) nach dem angesichts der Bedeutung des gefährdeten individuellen Rechtsguts außerordentlich hohe Anforderungen zu stellen seien. 751 Martini, in: Paal / Pauly, DSGVO BDSG, Art. 21 DSGVO Rn. 60; Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 21 DSGVO Rn. 54. 752 Teilweise wird jedoch auch in diesem Zusammenhang eine Abwägung zwischen dem öffentlichen Interesse und dem Interesse der betroffenen Person an der Verhinderung der weiteren Verarbeitung verlangt, Däubler, in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG, Art. 21 DSGVO Rn. 22; Kamann / Braun, in: Ehmann / Selmayr DSGVO, Art. 21 DSGVO Rn. 65; wie hier Forgó, in: BeckOK Datenschutzrecht, Art. 21 DSGVO Rn. 31. 749
460
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
die Beschränkung für die Erfüllung der Forschungszwecke erforderlich ist.753 Die Einschränkungen dieser Betroffenenrechte wird in der Gesetzesbegründung damit begründet, dass die Verwirklichung des Forschungszwecks ohne Einschränkung der Betroffenenrechte etwa durch die zuständige Ethikkommission zum Schutz der betroffenen Person untersagt werden könnte.754 Diese Begründung wird zutreffenderweise als „weder verständlich noch überzeugend“755 bezeichnet, da die Betroffenenrechte gerade dem Schutz der betroffenen Person dienen und dies der Zielrichtung der Ethikkommissionen entspricht, die betroffenen Personen zu schützen.756 Somit ist nicht ersichtlich, warum die zuständige Ethikkommission das Forschungsprojekt aufgrund einer fehlenden Einschränkung der Betroffenenrechte ablehnen sollte. Zur Beantwortung der Frage, ob die Erfüllung eines Betroffenenrechts die Verwirklichung des Forschungs- oder Statistikzwecks unmöglich macht oder ernsthaft beeinträchtigt, ist seitens des Verantwortlichen eine Prognoseentscheidung vorzunehmen.757 Als unmöglich gilt die Verwirklichung des Forschungszwecks dabei, wenn keine praktisch umsetzbare Möglichkeit besteht, den Forschungszweck ohne Beschränkung der Betroffenenrechte zu erreichen.758 Zu Recht wird davon ausgegangen, dass kaum Konstellationen denkbar sind, in denen Datenverarbeitungen zu wissenschaftlichen Forschungszwecken ohne eine Ausnahme von den Betroffenenrechten unmöglich wären.759 Möglich erscheint es hingegen, dass eine ernsthafte Beeinträchtigung droht.760 Eine solche ist anzunehmen, wenn der Forschungszweck bei Erfüllung der Betroffenenrechte nur in erheblich geringerem Umfang erreicht werden könnte als dies im Falle der Beschränkung der Betroffenenrechte der Fall wäre.761 Die Regelung des § 27 Abs. 2 S. 1 BDSG n. F. wird überwiegend kritisch betrachtet, da sie die Formulierung des Art. 89 Abs. 2 DSGVO fast wörtlich wiederhole, ohne genauer zu spezifizieren, inwiefern die Betroffenenrechte im Einzelnen eingeschränkt werden können.762 Damit habe der nationale Gesetzgeber der datenverarbeitenden Stelle in sehr weitem Umfang die Möglichkeit eröffnet, die Betrof 753
Greve, in: Auernhammer, DSGVO BDSG, § 27 BDSG Rn. 19; Krohm, in: Gola / Heckmann, BDSG, § 27 BDSG Rn. 6, 36. 754 BT-Drs. 18/11325, S. 99. 755 Johannes / Richter, DuD 2017, 300 (303). 756 Raum, in: Ehmann / Selmayr, DSGVO, Art. 89 DSGVO Rn. 57. 757 Pauly, in: Paal / Pauly, DSGVO BDSG, § 27 BDSG Rn. 11; Caspar, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 89 DSGVO Rn. 64; Krohm, in: Gola / Heckmann, BDSG, § 27 BDSG Rn. 37. 758 Pauly, in: Paal / Pauly, DSGVO BDSG, § 27 BDSG Rn. 11. 759 Pötters, in: Gola, DSGVO, Art. 89 DSGVO Rn. 24. 760 Pötters, in: Gola, DSGVO, Art. 89 DSGVO Rn. 24. 761 Pauly, in: Paal / Pauly, DSGVO BDSG, § 27 BDSG Rn. 11. 762 Buchner / Tinnefeld, in: Kühling / Buchner, DSGVO BDSG, § 27 BDSG Rn. 19; Johannes / Richter, DuD 2017, 300 (303); Johannes, in: Roßnagel, Das neue Datenschutzrecht, § 7 Rn. 271; Fleischer, Rechtliche Aspekte der Systemmedizin, S. 311.
H. Einschränkung der Betroffenenrechte für die Forschung
461
fenenrechte einzuschränken und mithin den Spielraum der DSGVO im Hinblick auf die Betroffenenrechte völlig einseitig zu Ungunsten der betroffenen Personen ausgeschöpft, anstatt differenzierte Regelungen zu schaffen.763 Sicherlich wäre es zu begrüßen, wenn der Gesetzgeber konkreter vorgegeben hätte, unter welchen Bedingungen eine Einschränkung des jeweiligen Betroffenenrechts stattfinden darf.764 Jedoch hat der Verordnungsgesetzgeber den Mitgliedstaaten gerade einen Abweichungsspielraum für die nun in § 27 Abs. 2 BDSG n. F. aufgeführten Fälle eingeräumt, sodass der Bundesgesetzgeber die Rechte der betroffenen Person unter Nutzung des ihm eingeräumten Gestaltungsspielraumes eingeschränkt hat. Die Einschränkung der Betroffenenrechte steht daher in Einklang mit der Öffnungsklausel des Art. 89 Abs. 2 DSGVO.765 Darüber hinaus sieht § 27 Abs. 2 S. 2 BDSG n. F. in Bezug auf das Auskunftsrecht eine Ausnahme vor, wenn die Daten für die Zwecke der Forschung erforderlich sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde.766 Auch diese Regelung trifft in Anbetracht ihrer weitgehenden Einschränkung des Rechts auf informationelle Selbstbestimmung überwiegend auf Kritik.767 So ist bereits unklar, ob diese Ausnahmeregelung den Anforderungen einer Öffnungsklausel der DSGVO genügt. Nach den Vorgaben des Art. 89 Abs. 2 DSGVO können die Betroffenenrechte jedenfalls nur eingeschränkt werden, wenn diese Rechte voraussichtlich die Verwirklichung des Forschungszwecks unmöglich machen oder ernsthaft beeinträchtigen. Ein unverhältnismäßiger Aufwand stehe der Erfüllung der Zwecke aber nicht entgegen und könne die Einschränkung von Betroffenenrechten daher nicht rechtfertigen.768 Zudem bestehen auch Zweifel, ob die Auskunftserteilung überhaupt einen unverhältnismäßigen Aufwand erfordern könne. Die Gesetzesbegründung nennt als Beispiel für einen solchen unverhältnismäßigen Aufwand ein Forschungsvorhaben, das mit großen Datenmengen arbeitet.769 Dies wird jedoch überwiegend kritisch bewertet, da gerade bei Forschungsvorhaben mit 763
Johannes / Richter, DuD 2017, 300 (303). Fleischer, Rechtliche Aspekte der Systemmedizin, S. 311. 765 Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 42. 766 Werkmeister / Schwaab, CR 2019, 85 (88). 767 Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 43; Roßnagel, DuD 2017, 277 (281). 768 LfDI M-V, Stellungnahme des LfDI M-V zum DSAnpUG-EU v. 25. Januar 2017, S. 7; Schlösser-Rost, in: BeckOK Datenschutzrecht, § 27 BDSG Rn. 43; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1357; Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 15 DSGVO Rn. 36; BR-Drs. 110/1/17, S. 35, der unter Verweis auf das Fehlen eines vergleichbaren Ausschlussgrundes für das Auskunftsrecht in Art. 23 und Art. 89 Abs. 2 DSGVO hinsichtlich § 27 Abs. 2 S. 2 BDSG n. F. eine Überschreitung der mitgliedstaatlichen Gesetzgebungskompetenz kritisiert; a. A. BT-Drs. 18/11325, S. 99 der davon ausgeht, dass die Einschränkung auf der Öffnungsklausel des Art. 23 Abs. 1 lit. i DSGVO beruhe; a. A. Johannes / Richter, DuD 2017, 300 (303) die annehmen, dass die Vorschrift zwar nicht den Anforderungen des Art. 23 Abs. 2 DSGVO genüge, stattdessen aber auf Art. 89 Abs. 2 DSGVO gestützt werden könne. 769 BT-Drs. 18/11325, S. 99 f. 764
462
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
großen Datenmengen von einem gesteigerten Interesse der betroffenen Person an Transparenz auszugehen sei.770 Daher ist dieser Ausnahmetatbestand grundsätzlich eng auszulegen, sodass allenfalls übermäßige Anstrengungen seitens des Verantwortlichen, wie beispielsweise exorbitante Personalaufwände, eine Ausnahme vom Auskunftsrecht rechtfertigen können. Allein hohe finanzielle Aufwendungen genügen den Anforderungen indes nicht.771
III. Einschränkung durch Regelungen auf Landesebene Auch die meisten Landesdatenschutzgesetze haben von der Öffnungsklausel in Art. 89 Abs. 2 DSGVO zur Einschränkung der Betroffenenrechte Gebrauch gemacht.772 Die Einschränkung der Betroffenenrechte bei der Datenverarbeitung zu wissenschaftlichen Forschungszwecken wird dabei in den Landesdatenschutzgesetzen überwiegend wortgleich zu § 27 Abs. 2 BDSG n. F. geregelt,773 sodass sich im Wesentlichen die gleichen Fragestellungen ergeben.774 In den Landeskrankenhausgesetzen sind, soweit ersichtlich, keine speziellen Einschränkungen der Betroffenenenrechte für die Verarbeitung von Daten zu Forschungszwecken vorgesehen.
IV. Einschränkung durch Regelungen in den kirchlichen Datenschutzgesetzen In den Bundesländern, in denen die staatlichen Gesetze die kirchlichen Krankenhäuser explizit aus ihrem Anwendungsbereich ausnehmen und den kirchlichen Vorschriften mithin Vorrang gewähren, sind im Rahmen der Datenverarbeitung zu Forschungszwecken in kirchlichen Krankenhäusern auch die dort geregelten Einschränkungen der Betroffenenrechte zu beachten.775 Gleiches gilt in Bundesländern, die selbst keine staatlichen bereichsspezifischen Datenschutzregelungen für den Bereich der wissenschaftlichen Forschung vorsehen. 770
Eichler, in: BeckOK Datenschutzrecht, Art. 89 DSGVO Rn. 21; BR-Drs. 110/1/17, S. 34 f. Caspar, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 89 DSGVO Rn. 64. 772 Bernhardt / Ruhmann / Weichert, Die Forschungsklauseln im neuen Datenschutzrecht, S. 7. 773 § 13 Abs. 4 LDSG BW, § 17 Abs. 4 BlnDSG, § 13 Abs. 3 BremDSGVOAG, § 24 Abs. 2 HDSIG, § 9 Abs. 5 DSG M-V und § 13 Abs. 5 NDSG haben den Wortlaut des § 27 Abs. 2 BDSG n. F. vollständig übernommen; nur den § 27 Abs. 2 S. 1 BDSG n. F. haben § 25 Abs. 5 BbgDSG, § 11 Abs. 5 HmbDSG und § 17 Abs. 5 DSG NRW übernommen; § 23 Abs. 4 SDSG, § 13 Abs. 5 LDSG SH und § 28 Abs. 5 ThürDSG sind wie § 27 Abs. 2 S. 1 BDSG n. F. ausgestaltet, aber ohne den Zusatz, dass die Beschränkung für die Erfüllung der Forschungszwecke notwendig sein muss. 774 S. dazu Kap. 7 H. II., (S. 459 ff.). 775 So in § 43 Abs. 2 LKHG BW, § 7 Abs. 4 HmbKHG, § 2 Abs. 3 GDSG NW und § 2 Abs. 2 SKHG. 771
H. Einschränkung der Betroffenenrechte für die Forschung
463
Die entsprechenden Vorschriften im KDG sehen diesbezüglich der DSGVO nachempfundene Einschränkungen der Betroffenenrechte vor. So können die Informationspflichten, das Recht auf Löschung und das Widerspruchsrecht unter denselben Bedingungen eingeschränkt werden, wie dies die DSGVO für die Verarbeitung von Daten zu Forschungszwecken vorsieht.776 Auch § 21 Abs. 3 Nr. 4 DSG-EKD regelt für Krankenhäuser in Trägerschaft der evangelischen Kirche eine Ausnahme zum Recht auf Löschung unter den gleichen Voraussetzungen wie in der DSGVO. Für die Voraussetzungen gilt im Einzelnen somit das zur Einschränkung der Betroffenenrechte für die Verarbeitung zu Forschungszwecken durch die DSGVO Gesagte.
V. Betroffenenrechte in besonderen Verarbeitungssituationen 1. Betroffenenrechte im System der Datentransparenzvorschriften Im Gesetzgebungsverfahren zum DVG wurde insbesondere die fehlende Widerspruchsmöglichkeit der Versicherten gegen die Verarbeitung der eigenen Daten durch das Datenforschungszentrum kritisiert.777 In der Tat räumt das DVG den gesetzlich Versicherten keine Möglichkeit ein, mittels Widerspruchs die Weiter gabe ihrer Daten zu verhindern. Eine Möglichkeit, der Datenverarbeitung zu Forschungszwecken zu widersprechen, ergibt sich jedoch unmittelbar aus Art. 21 Abs. 6 DSGVO, sodass es Versicherten grundsätzlich offensteht, der Verarbeitung ihrer Daten im System der Datentransparenz zu widersprechen.778 Die Wiederholung des europarechtlich garantierten Widerspruchsrechts aus der DSGVO im nationalen DVG wäre vor dem Hintergrund des europarechtlichen Normwiederholungsgverbots sogar kritisch zu betrachten. Das Widerspruchsrecht nach Art. 21 Abs. 6 DSGVO besteht allerdings nur, wenn Gründe vorliegen, die sich aus der besonderen Situation der betroffenen Person ergeben. Wie bereits dargelegt, ist an die Begründung einer solchen besonderen Situation ein strenger Maßstab anzulegen.779 Das Widerspruchsrecht soll atypischen Konstellationen besonders schutzwürdiger persönlicher Interessen Rechnung tragen.780 Eine solche atypische Situation kann etwa bestehen, wenn eine Persönlichkeit des öffentlichen Lebens 776
S. dazu § 16 Abs. 4 lit. b KDG, § 19 Abs. 3 lit. d KDG und § 23 Abs. 5 KDG. Heckmann, Deutschlandfunk v. 4. November 2019 „Grünen-Politikerin beklagt Mängel beim Datenschutz“, abrufbar unter: https://www.deutschlandfunk.de/digitale-versorgunggesetz-gruenen-politikerin-beklagt.694.de.html?dram:article_id=462548. 778 Bieresborn, in: Schütze, SGB X, Vorbemerkungen zu §§ 67–85a SGB X Rn. 94. 779 Schulz, in: Gola, DSGVO, Art. 21 DSGVO Rn. 9; Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 21 DSGVO Rn. 15; Martini, in: Paal / Pauly, DSGVO BDSG, Art. 21 DSGVO Rn. 55; Helfrich, in: Sydow, DSGVO, Art. 21 DSGVO Rn. 61; Kamann / Braun, in: Ehmann / Selmayr, DSGVO, Art. 21 DSGVO Rn. 20; a. A. Johannes, in: Roßnagel, Das neue Datenschutzrecht, § 7 Rn. 255; s. dazu bereits unter Kap. 7 H. I. 3., (S. 458 f.). 780 Martini, in: Paal / Pauly, DSGVO BDSG, Art. 21 DSGVO Rn. 30; Herbst, in: Kühling / Buchner, DSGVO BDSG, Art. 21 DSGVO Rn. 15. 777
464
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
berechtigten Anlass zu der Annahme hat, dass eine Verarbeitung, etwa aufgrund Datenmissbrauchs, Informationen über ihren Gesundheitszustand an die Öffentlichkeit bringen könnte.781 Selbst, wenn die betroffene Person solche Gründe vorbringt, besteht ferner kein Widerspruchsrecht, wenn die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist. Auch wenn im Bereich der öffentlichen Forschung zumeist ein öffentliches Interesse zu bejahen sein wird, kann das Vorliegen eines solchen öffentlichen Interesses an der Datenverarbeitung zu Forschungszwecken im Rahmen der Datentransparenz nicht pauschal angenommen werden. Vielmehr ist im Einzelfall danach zu differenzieren, für welche der in § 303e Abs. 2 SGB V abschließend aufgeführten Zwecke die Daten durch welche nutzungsberechtigten Stellen verarbeitet werden. Zudem muss die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich sein. Dies ist etwa der Fall, wenn die Aufgabe ohne die Verarbeitung mit anderen Mitteln, wie etwa anonymisierten Daten, nicht in gleicher Weise gewahrt werden würde.782 Nach Art. 89 Abs. 2 DSGVO können darüber hinaus weitere Einschränkungen der Betroffenenrechte im nationalen Recht vorgesehen werden. In diesem Sinne ist das Recht auf Widerspruch nach Art. 21 Abs. 1 DSGVO gemäß § 84 Abs. 5 SGB X ausgeschlossen, soweit die Verarbeitung auf zwingenden öffentlichen Interessen beruht oder eine Rechtsvorschrift zur Verarbeitung von Sozialdaten verpflichtet. Letzteres ist mit den gesetzlichen Vorgaben zur Datentransparenz zwar grundsätzlich gegeben, jedoch bezieht sich der Ausschluss des Widerspruchsrechts nach dem eindeutigen Wortlaut der Norm nur auf das Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO und hat folglich keine Auswirkungen auf das selbstständig daneben bestehende forschungsbezogene Widerspruchsrecht nach Art. 21 Abs. 6 DSGVO.783 Festzuhalten ist somit, dass gesetzlich Versicherte der Weitergabe ihrer Abrechnungsdaten an die verschiedenen Forschungsinstitutionen grundsätzlich widersprechen können. Durch die Einschränkungen des Widerspruchsrechts auf europäischer Ebene wird allerdings deutlich, dass nur wenige Konstellationen verbleiben, in denen die betroffenen Personen ihr Widerspruchsrecht tatsächlich geltend machen können.784 Dies ist jedoch eine Wertung, die der europäische Gesetzgeber vor dem Hintergrund getroffen hat, dass die Widerspruchsmöglichkeit die Repräsentanz von wissenschaftlichen Auswertungen beeinträchtigen kann.785 Dem deutschen Gesetzgeber stand hingegen die Möglichkeit offen, auf Grundlage des Art. 89 Abs. 2 DSGVO im DVG weitere Ausnahmen von dem Widerspruchsrecht nach Art. 21 DSGVO vorzusehen. Dieser Spielraum besteht jedoch nicht 781
Martini, in: Paal / Pauly, DSGVO BDSG, Art. 21 DSGVO Rn. 30. Kamann / Braun, in: Ehmann / Selmayr, DSGVO, Art. 21 DSGVO Rn. 65. 783 A. A. wohl Weichert, MedR 2020, 539 (542 f.), der den § 84 Abs. 5 SGB X in diesem Zusammenhang anwendet. 784 BfDI, Schriftliche Fassung des Vortrags „Datenschutz in der Medizinforschung – Chancen und Risiken“ v. 27. Februar 2020, S. 10 f. 785 Weichert, MedR 2020, 539 (543). 782
H. Einschränkung der Betroffenenrechte für die Forschung
465
vorbehaltlos, sondern greift vielmehr erst dann, wenn das Widerspruchsrecht die Verabeitung zu wissenschaftlichen Forschungszwecken voraussichtlich unmöglich macht oder ernsthaft beeinträchtigt und die Ausnahme erforderlich ist, um die wissenschaftlichen Forschungszwecke zu erreichen.786 In diesem Rahmen hätte eine differenzierte Widerspruchsregelung getroffen werden können, die speziell die Besonderheiten der Datenverarbeitung im System der Datentransparenz berücksichtigt. Dies ist aufgrund der fakultativen Natur der Öffnungsklausel des Art. 89 Abs. 2 DSGVO jedoch keinesfalls zwingend. Daneben sind die überwiegend mit anonymen Daten arbeitenden nutzungs berechtigten Stellen regelmäßig keinen Betroffenenrechten ausgesetzt.787 Zudem ist das durch die Vetrauensstelle zu verwendende Verfahren zur Pseudonymisierung gemäß § 303c Abs. 2 S. 2 SGB V so zu gestalten, dass aus dem Pseudonym nicht auf die Identität des Versicherten geschlossen werden kann und mithin eine Reidentifizierung des Versicherten auch durch das Forschungsdatenzentrum mit an Sicherheit grenzender Wahrscheinlichkeit ausgeschlossen ist.788 Sollte es sich ausnahmsweise um personenbezogene Daten handeln, kommt hinzu, dass das Forschungsdatenzentrum selbst keine versichertenbezogenen Auskünfte geben kann, da ihm eine Zuordnung der Datensätze zu den einzelnen Versicherten nicht möglich ist.789 Für einen solchen Fall sieht Art. 11 Abs. 2 DSGVO vor, dass die Betroffenenrechte keine Anwendung finden, es sei denn, die betroffene Person stellt zusätzliche Informationen zur Verfügung, die die Identifizierung ermöglichen.790 Dies können vorliegend etwa individuelle Verschreibungs- oder Behandlungsdaten sein, die eine Zuordnung zu der betroffenen Person ermöglichen.791 2. Betroffenenrechte im Rahmen klinischer Prüfungen Auch im Rahmen klinischer Prüfungen ist der betroffenen Person eine Datenschutzinformation zur Verfügung zu stellen, die den Anforderungen des Art. 13 und 14 DSGVO entspricht.792 Diese umfasst u. a. die Kontaktdaten des Verant 786
Martini, in: Paal / Pauly, DSGVO BDSG, Art. 21 DSGVO Rn. 62. Kühling / Sackmann / Schildbach, Sozialdatenschutzrechtl. Weiterentwicklungsbedarf im SGB V und X für Big Data, S. 70. 788 v. Dewitz, in: BeckOK Sozialrecht, § 303c SGB V Rn. 8; Michels, in: Becker / K ingreen, SGB V, § 303c SGB V Rn. 4. 789 Kühling / Sackmann / Schildbach, Sozialdatenschutzrechtl. Weiterentwicklungsbedarf im SGB V und X für Big Data, S. 70. 790 Kühling / Sackmann / Schildbach, Sozialdatenschutzrechtl. Weiterentwicklungsbedarf im SGB V und X für Big Data, S. 70; a. A. Weichert, MedR 2020, 539 (543) nach dem Art. 11 DSGVO auf den Fall der Datentransparenz nicht anwendbar sei, da die Regelung nicht für eine gesetzlich angeordnete pseudonyme Datenspeicherung gelte; Netzwerk Datenschutzexpertise, Ausschuss-Drs. 19(14)165(1), S. 7. 791 Weichert, MedR 2020, 539 (543). 792 Bischoff, PharmR 2019, 265 (271). 787
466
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
wortlichen, die Zwecke und Rechtsgrundlagen der Datenverarbeitung, die Betroffenenrechte sowie das Beschwerderecht gegenüber der Aufsichtsbehörde. Im Rahmen klinischer Prüfungen erweist sich insbesondere die Mitteilung der Kontaktdaten des Sponsors als problematisch. Da der Sponsor und der Prüfarzt, wie bereits dargestellt, regelmäßig als gemeinsam für die Verarbeitung Verantwort liche i. S. d. Art. 26 DSGVO anzusehen sind, sind der betroffenen Person deren jeweilige Kontaktinformationen zur Verfügung zu stellen.793 Wenn ein Teilnehmer sodann zwecks Geltendmachung seiner Betroffenenrechte Kontakt mit dem Sponsor aufnimmt, besteht die Gefahr, dass der Sponsor anhand der pseudonymisierten Studiendaten gesundheitsbezogene Informationen des Teilnehmers zuordnen kann.794 Dies würde jedoch der Vorgabe des § 40b Abs. 6 S. 3 Nr. 1 lit. b AMG n. F. widersprechen, nach dem die erhobenen Daten vor Übermittlungsvorgängen an den Sponsor zu pseudonymisieren sind.795 Zudem widerspricht dies auch dem wissenschaftlichen Prinzip der Verblindung, nach dem die mit der Auswertung der Studie betrauten Personen nicht über die individuelle Behandlungszuteilung des Patienten zu informieren sind, damit ihr Verhalten nicht durch dieses Wissen beeinflusst wird.796 Zwar können der Sponsor und das Prüfzentrum als gemeinsam Verantwortliche im Innenverhältnis Zuständigkeiten für die Erfüllung der Betroffenenrechte festlegen, jedoch kann die betroffene Person ihre Datenschutzrechte unabhängig von der zwischen den Verantwortlichen getroffenen Vereinbarung gemäß Art. 26 Abs. 3 DSGVO gegenüber jedem einzelnen Verantwortlichen geltend machen.797 Alle gemeinsam Verantwortlichen müssen mithin in der Lage sein, die Rechte der betroffenen Personen zu erfüllen.798 Diese Regelung schützt somit nicht davor, dass die betroffene Person sich im Rahmen der Geltendmachung ihrer Betroffenenrechte an den Sponsor wendet und dieser daraufhin in die Lage versetzt wird, die Daten der Studie mit den Daten der Studienteilnehmer zu verknüpfen. Jedoch gestattet Art. 14 Abs. 5 lit. b DSGVO das Absehen von einer umfassenden Information der betroffenen Person in Fällen der Datenverarbeitung zu Forschungs zwecken, wenn die Verwirklichung der Ziele des Forschungsvorhabens durch die Erteilung der Informationen unmöglich gemacht oder ernsthaft beeinträchigt würde. Allerdings bezieht sicht dieser Ausnahmetatbestand lediglich auf die Informationspflicht nach Art. 14 DSGVO, sodass der Verantwortliche sich nicht darauf 793
Arbeitskreis medizinischer Ethik-Kommissionen, Handreichung zum Wirksamwerden der DSGVO v. 25. Juni 2018, S. 2; s. zur Einordnung der datenschutzrechtlichen Verantwortlichkeit im Rahmen klinischer Prüfungen Kap. 7 F. I. 1., (S. 404 ff.). 794 Delacroix, A&R 2019, 8 (10). 795 Bischoff / Wienke, ZD 2019, 8 (12). 796 https://www.dimdi.de/dynamic/de/glossar/glossareintrag/Verblindung/. 797 Hornung, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 26 DSGVO Rn. 28; Piltz, in: Gola, DSGVO, Art. 26 DSGVO Rn. 23. 798 Conrad / Treeger, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 34 Rn. 337.
I. Fazit Kapitel 7
467
berufen kann, wenn die personenbezogenen Daten, wie bei klinischen Prüfungen die Regel, direkt bei der betroffenen Person erhoben wurden. Dieser Problematik kann dadurch begegnet werden, dass bei der Gestaltung der mitzuteilenden Informationen ein Hinweis aufgenommen wird, dass die betroffene Person sich zwecks Geltendmachung ihrer Betroffenenrechte an das Prüfzentrum wenden soll, da Anfragen in der Regel ohnehin nur durch das Prüfzentrum zuverlässig beantwortet werden können. Da der Sponsor die Identität der Studienteilnehmer nicht kennt, könnte er die Vollständigkeit der erhobenen Daten einzelner Teilnehmer in der Regel ohnehin nicht verifizieren und müsste den Teilnehmer an das Prüfzentrum verweisen.799 Eine dahingehende Regelung sieht etwa auch der Mustertext des Arbeitskreises medizinischer Ethik-Kommissionen zur Information und Einwilligung bei einer optionalen zusätzlichen Probensammlung anlässlich einer AMG-Studie vor.800 Dort werden im Punkt 12 zwar das Prüfzentrum und die zuständige Stelle des Sponsors angeführt, jedoch verbunden mit der Bitte, dass der Proband sich für die Ausübung der Betroffenenrechte im Regelfall an das Prüfzentrum wenden möge, da nur dieses zuordnen könne, welche Daten zu dem jeweiligen Probanden gehören. Daneben schränkt Art. 17 Abs. 3 lit. b DSGVO das Recht auf Löschung ein, wenn die Daten zur Erfüllung einer rechtlichen Verpflichtung benötigt werden. In diesem Sinne müssen Prüfer und Sponsor den Inhalt ihrer Master File, die die wesentlichen Dokumente über die klinische Prüfung enthält, gemäß Art. 58 UAbs. 1 VO (EU) 536/2014 nach Beendigung der klinischen Prüfung für mindestens 25 Jahre aufbewahren.801 Ebenso muss die Dokumentation, etwa der klinische Prüfplan oder das Handbuch des Prüfers, gemäß Anhang XV Kapitel III Abschnitt 3 der MDR mindestens über einen Zeitraum von zehn Jahren nach Beendigung der klinischen Prüfung mit dem betreffenden Produkt gespeichert werden. Die Löschung der Daten ist daher erst nach Ablauf dieser Fristen vorzunehmen.
I. Fazit Kapitel 7 Um den gesellschaftlich und politisch erwünschten Forschungsinteressen Rechnung zu tragen, privilegiert die DSGVO die Verarbeitung personenbezogener Daten zum Zwecke der wissenschaftlichen Forschung an unterschiedlichen Stellen.802 Damit die DSGVO den Interessen der betroffenen Personen trotz dieser Forschungsprivilegierungen gerecht wird, stellt sie gleichzeitig Anforderungen für 799
Delacroix, A&R 2019, 8 (10); Schiemann / Peters / Z umdick, A&R 2019, 147 (151). Der Mustertext ist abrufbar unter: https://www.akek.de/arzneimittelgesetz-amg/. 801 Listl-Noerr, in: Spickhoff, Medizinrecht, § 40 AMG Rn. 3. 802 GMDS / GDD, Datenschutzrechtliche Anforderungen an die medizinische Forschung unter Berücksichtigung der DSGVO, S. 5; Weichert, ZD 2020, 18 (21); s. dazu Kap. 7 A., (S. 347 ff.). 800
468
Kap. 7: Datenschutz in der medizinischen Forschung unter der DSGVO
den Schutz der betroffenen Personen auf.803 Die DSGVO behandelt den Grundkonflikt zwischen der Forschungsfreiheit und der informationellen Selbstbestimmung mithin, indem sie über Garantien und Privilegierungen einen Ausgleich zwischen den gegenläufigen Interessen ermöglicht.804 Sie geht daher im Grundsatz von einer Gleichwertigkeit der Schutz- und der Forschungsinteressen aus.805 Der nationale Gesetzgeber war vor diesem Hintergrund dazu aufgefordert, die nationalen forschungsspezifischen Datenschutzbestimmungen im Rahmen der Öffnungsklauseln an diese Wertung der DSGVO anzupassen. Die Umsetzung dieser europarechtlichen Vorgaben ist im deutschen Recht jedoch bisher nicht erfolgt, vielmehr hat der Gesetzgeber die Forschungsklauseln lediglich formell an die DSGVO angepasst.806 Daher findet sich die Wertung der DSGVO, die Forschung im Grundsatz zu privilegieren, im deutschen Datenschutzrecht häufig nicht wieder.807 Darüber hinaus war der Anpassungsprozess an die Vorgaben der DSGVO vor allem auch mit der Hoffnung verbunden, dass der Gesetzgeber einheitliche Forschungsregelungen etabliert, statt sich auf die Anpassung einer Vielzahl von Forschungsklauseln im allgemeinen und bereichsspezifischen Bundes- sowie Landesrecht zu beschränken.808 Ausdrücklich wurde dazu aufgefordert, die durch die Einführung der DSGVO erforderliche Anpassung der Gesundheitsdatenschutz gesetzgebung auf Bundes- und Landesebene dazu zu nutzen, die Gesetzgebung des Gesundheitsdatenschutzes von Bund und Ländern zu harmonisieren.809 Dies ist im Rahmen der Anpassung des nationalen Datenschutzrechts an die DSGVO zwar nicht geschehen, jedoch hat sich der Gesetzgeber der Problematik nun in Form des neuen § 287a SGB V angenommen, der mit dem Verweis auf § 27 BDSG n. F. für eine Vereinheitlichung der datenschutzrechtlichen Rahmenbedingungen im Forschungsbereich sorgt.810 Allerdings ist § 27 BDSG n. F. restriktiver als die ihm zugrundeliegende Öffnungsklausel des Art. 9 Abs. 2 lit. j DSGVO, da er im Gegensatz zu dieser ein erhebliches Überwiegen des Forschungsinteresses fordert. Die Kritik an der ungenügenden Umsetzung der DSGVO kann folglich auch durch die neue Regelung in § 287a S. 1 SGB V nicht gänzlich ausgeräumt werden. Die einheitliche Anwendung der bundesrechtlichen Forschungsklausel hat jedoch den Weg 803
Roßnagel, ZD 2019, 157 (159). Roßnagel, ZD 2019, 157 (164). 805 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 179; Fleischer, Rechtliche Aspekte der Systemmedizin, S. 310. 806 Weichert, ZD 2020, 18 (22); Bernhardt / Ruhmann / Weichert, Die Forschungsklauseln im neuen Datenschutzrecht, S. 3; Bernhardt / Ruhmann / Weichert, Plädoyer für ein medizinisches Forschungsgesetz, Stand 22. Februar 2021, S. 4. 807 Weichert, ZD 2020, 18 (22); Bernhardt / Ruhmann / Weichert, Die Forschungsklauseln im neuen Datenschutzrecht, S. 9, s. dazu etwa Kap. 7 E. II. 3. a) bb), (S. 384 ff.). 808 Weichert, in: Stiftung Datenschutz, Big Data und E-Health, S. 190; Krawczak / ders., DANA 2017, 193 (193). 809 GMDS / GDD, Positionspapier zur Neugestaltung der datenschutzrechtlichen Regelungen, S. 3. 810 S. dazu ausführlich unter Kap. 7 E. II. 4. b), (S. 400 ff.). 804
I. Fazit Kapitel 7
469
für die Datenverarbeitung im Rahmen länderübergreifender Gesundheitsforschung auf Grundlage gesetzlicher Rechtsgrundlagen geebnet. Damit wird der Privilegierung der Forschung i. S. d. DSGVO zumindest partiell Rechnung getragen – auch wenn § 27 BDSG n. F. zum Teil strengere Verarbeitungsvoraussetzungen vorsieht als sie die DSGVO vorgibt. Um Wertungswidersprüche des nationalen Rechts mit den Vorgaben der DSGVO gänzlich zu beseitigen, bedürfte es jedoch weiterer gesetzgeberischer Maßnahmen.811
811
Weichert, ZD 2020, 18 (23).
Schlussbetrachtungen A. Zusammenfassung der zentralen Erkenntnisse der Untersuchung Mit der DSGVO hat der europäische Gesetzgeber das Datenschutzrecht auf eine gänzlich neue Grundlage in Gestalt einer unmittelbar geltenden Verordnung gestellt. Diese Reform des europäischen Datenschutzrechts war gerade auch im Kontext des Gesundheitsdatenschutzes mit der Hoffnung auf eine Vereinheitlichung des Datenschutzrechts verbunden.1 Allerdings hat der deutsche Gesetzgeber die ihm eingeräumten Gestaltungsspielräume zum Anlass genommen, das nationale Recht überwiegend formal an die Vorgaben der DSGVO anzupassen.2 Der neue Rechtsrahmen des Datenschutzrechts wird folglich weiterhin von einer komplexen Parallelität von unionalen und nationalen Vorschriften bestimmt.3 Das Datenschutzrecht ist im Bereich des Gesundheitswesens daher auch unter der Rechtslage der DSGVO durch zahlreiche allgemeine und bereichsspezifische Regelungen auf Bundes- und Landesebene sowie kirchenrechtliche Spezialbestimmungen geprägt.
I. Zulässigkeit der Datenverarbeitung im Gesundheitswesen unter der DSGVO4 Datenschutzrechtlich bedarf jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage, entweder in Form einer wirksamen Einwilligung oder eines sonstigen gesetzlichen Zulässigkeitstatbestandes. Im System der DSGVO sind diese Rechtsgrundlagen abschließend in Art. 6 und Art. 9 DSGVO aufgeführt. Für die Rechtmäßigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten, wie etwa der für das Gesundheitswesen zentralen Gesundheitsdaten, sind allein die Vorgaben des Art. 9 DSGVO maßgeblich.5 Dieser sieht in Art. 9 Abs. 1 DSGVO ein grundsätzliches Verarbeitungsverbot vor, während Art. 9 Abs. 2 DSGVO Aus 1
So etwa die Forderung der GMDS und GDD die Gesetzgebung des Gesundheitsdatenschutzes von Bund und Ländern zu harmonisieren, GMDS / GDD, Positionspapier zur Neu gestaltung der datenschutzrechtlichen Regelungen, S. 3; auch Kingreen / Kühling, JZ 2015, 213 (220) hofften, dass die DSGVO Anlass für eine „Entschlackung des nationalen Datenschutzrechts“ im Gesundheitswesen sein würde; Alich / Voskamp, BvD-News 2017, 24 (26). 2 Weichert, MedR 2019, 622 (624). 3 Garbe, in: Ratzel / Luxenburger, Handbuch Medizinrecht, 24. Kap. Rn. 1. 4 S. dazu Kap. 2, (S. 97 ff.). 5 S. ausführlich zum Verhältnis von Art. 9 und Art. 6 DSGVO unter Kap. 2 A. II. 1., (S. 100 ff.).
A. Zusammenfassung der zentralen Erkenntnisse der Untersuchung
471
nahmen von diesem Verbot statuiert, die teilweise unmittelbar aus der Verordnung gelten oder aber einer näheren Ausgestaltung durch den nationalen Gesetzgeber bedürfen. Gerade im Gesundheitswesen eröffnet die DSGVO den nationalen Gesetzgebern über ihre weit gefassten Öffnungsklauseln umfangreiche Ausgestaltungsspielräume für eine nationale Regulierung des Datenschutzes. Zur Ausfüllung der für das Gesundheitswesen besonders wichtigen Öffnungsklauseln in Art. 9 Abs. 2 lit. b, h und i DSGVO übernimmt § 22 Abs. 1 Nr. 1 BDSG n. F. überwiegend den Wortlaut der entsprechenden Bestimmungen der DSGVO, sodass oftmals die Frage nach dem eigenständigen Anwendungsbereich der Vorschrift verbleibt. Das allgemeine Datenschutzrecht in Form des BDSG n. F. wird jedoch durch die spezielleren bereichsspezifischen Regelungen verdrängt, die gerade im Bereich des Gesundheitswesens in großem Umfang existieren. Dadurch ergibt sich ein für den Rechtsanwender nur schwer zu durchschauendes „Geflecht aus europäischen und nationalen Vorgaben“6. Im Rahmen der Untersuchung der für die Datenverarbeitung im Gesundheitswesen einschlägigen gesetzlichen Rechtsgrundlagen wurde deutlich, dass sich die Datenverarbeitung im Gesundheitswesen überwiegend auf gesetzliche Erlaubnistatbestände stützen kann. In den übrigen Fällen bedarf es einer Einwilligung der betroffenen Person gemäß Art. 9 Abs. 2 lit. a DSGVO, die insbesondere freiwillig erteilt werden muss.7 Zwar wird die Freiwilligkeit aufgrund des Ungleichgewichts im Arzt-Patienten-Verhältnis zurecht kritisch betrachtet, keineswegs kann die Freiwilligkeit der Einwilligung im Gesundheitswesen aber kategorisch ausgeschlossen werden, vielmehr sind EG 43 S. 1 DSGVO zufolge die konkreten Umstände des Einzelfalls zu berücksichtigen.8 Neben der Untersuchung der einzelnen Wirksamkeitsvoraussetzungen stellte sich in diesem Zusammenhang vor allem die Frage der kumulativen Anwendbarkeit der Erlaubnistatbestände. Diesbezüglich ist festzuhalten, dass die Datenverarbeitung kumulativ auf die Einwilligung und einen gesetzlichen Erlaubnistatbestand gestützt werden kann, wenn für beide Rechtsgrundlagen die erforderlichen Informationspflichten erfüllt worden sind.9 Da anlässlich der Patientenbehandlung oft weitere Personen oder Stellen in die Datenverarbeitung eingebunden werden, war im Übrigen auch die datenschutzrechtliche Zulässigkeit dieser Konstellationen zu bewerten. Diesbezüglich gilt zunächst, dass die Datenweitergabe innerhalb des Verantwortlichen keine rechtfertigungsbedürftige Datenübermittlung i. S. d. DSGVO darstellt. Anders ist dies hinsichtlich der Weitergabe von Daten an eine Person oder Stelle außerhalb des Verantwort lichen zu beurteilen, die stets einer datenschutzrechtlichen Rechtsgrundlage bedarf. Diese Übermittlung von Gesundheitsdaten, etwa zum Zwecke der Mit-, Weiter 6
Albers / Veit, in: BeckOK Datenschutzrecht, Art. 9 DSGVO Rn. 105. S. zu den Wirksamkeitsvoraussetzungen der datenschutzrechtlichen Einwilligung im Einzelnen unter Kap. 2 A. III. 1., (S. 131 ff.). 8 S. ausführlich zur Freiwilligkeit der Einwilligung unter Kap. 2 A. III. 1. a), (S. 131 ff.). 9 S. ausführlich zum Verhältnis der Erlaubnistatbestände zueinander unter Kap. 2 A. IV., (S. 152 ff.). 7
472
Schlussbetrachtungen
oder Nachbehandlung, lässt sich jedoch durch Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG n. F. legitimieren.10 Hingegen ist die Auftragsverarbeitung unter der Rechtslage der DSGVO privilegiert, sodass für diese keine gesonderte datenschutzrechtliche Rechtsgrundlage erforderlich ist. Daran ändert auch die Tatsache nichts, dass der Auftragsverarbeiter als „Nichtdritter“ i. S. d. Art. 4 Nr. 10 DSGVO per Definition nicht von dem Verarbeitungsbegriff des Art. 4 Nr. 2 DSGVO ausgenommen ist, wie dies noch nach § 3 Abs. 4 S. 2 Nr. 3 BDSG a. F. der Fall war.11 Sind die Akteure hingegen als gemeinsam Verantwortliche i. S. d. Art. 26 DSGVO einzuordnen, benötigt jeder Beteiligte eine eigene Rechtsgrundlage.12
II. Sozialdatenschutz unter der DSGVO13 Die Anpassung des für das Gesundheitswesen zentralen Sozialdatenschutzrechts an die Vorgaben der DSGVO beschränkt sich im Wesentlichen auf begriffliche und redaktionelle Anpassungen. Diese Anpassungen waren zwar teilweise notwendig, sie können für sich genommen jedoch dem Vorwurf der Unübersichtlichkeit, der vor allem im Kontext des Gesundheitsrechts an die Strukturen des bisherigen Datenschutzrechts gerichtet wurde,14 nicht angemessen begegnen.15 Der durch die DSGVO initiierte Anpassungsprozess hätte Anlass für eine grundlegende Novellierung des Sozialdatenschutzrechts geboten, die vom deutschen Gesetzgeber bisher jedoch nicht in Erwägung gezogen wurde. Während eine Revision der Strukturen des Sozialdatenschutzrechts folglich dringend geboten wäre, hat sich der Gesetzgeber mit dem PDSG jüngst zunächst der – nicht weniger erforderlichen – Neustrukturierung der Regelungen zur Telematikinfrastruktur und ihrer Anwendungen angenommen.16 Der Gesetzgeber versteht den durch die Digitalisierung erforderlichen Wandel in den Strukturen des Gesundheitswesens dabei ausdrücklich als dynamischen Prozess, der eine sukzessive Weiterentwicklung des gesetzlichen Rahmens erfordert.17 Im Zuge dessen ist es dem Gesetzgeber gelungen, die Vorschriften zur Telematikinfrastruktur an die datenschutzrechtlichen Vorgaben der DSGVO anzupassen und in Bezug auf die elektronische Patientenakte einen Kompromiss zwischen zeitnaher Verfügbarkeit einerseits sowie der Gewährleistung der Datenhoheit des Versicherten andererseits zu finden.18 10
S. ausführlich zur Zulässigkeit der Datenübertragung zwischen zwei getrennt Verantwortlichen unter Kap. 2 B. II., (S. 162 ff.). 11 S. ausführlich zur Privilegierung der Auftragsverarbeitung unter der DSGVO unter Kap. 2 B. III. 1., (S. 168 ff.). 12 S. dazu Kap. 2 B. IV., (S. 187 ff.). 13 S. dazu Kap. 3, (S. 194 ff.). 14 Kingreen / Kühling, JZ 2015, 213 (215 ff.). 15 Albers / Veit, in: BeckOK Datenschutzrecht, § 23 BDSG Rn. 44. 16 S. dazu ausführlich unter Kap. 3 C., (S. 224 ff.). 17 BT-Drs. 19/18793, S. 1. 18 Kircher, GuP 2021, 1 (11).
A. Zusammenfassung der zentralen Erkenntnisse der Untersuchung
473
III. Betroffenenrechte im Gesundheitswesen unter der DSGVO19 Die in den Art. 13 ff. DSGVO geregelten Betroffenenrechte haben durch die DSGVO eine deutliche Aufwertung erfahren. Dies kommt auch in EG 11 der DSGVO zum Ausdruck, nach dem ein unionsweiter wirksamer Schutz personenbezogener Daten die Stärkung und präzise Festlegung der Betroffenenrechte voraussetzt. Deutlich umfassender als zuvor treffen den Verantwortlichen nun Informationspflichten, zudem bestehen Auskunftsrechte, Berichtigungs- und Löschungsansprüche der betroffenen Personen sowie das neu mit der DSGVO eingeführte Recht auf Datenübertragbarkeit. Allerdings gelten diese Betroffenenrechte nicht uneingeschränkt, vielmehr gibt die DSGVO neben den verordnungsunmittelbaren Einschränkungen der Betroffenenrechte über die Öffnungsklausel des Art. 23 DSGVO auch den nationalen Gesetzgebern in einem bestimmten Rahmen die Möglichkeit, die Reichweite der Betroffenenrechte durch nationale Regelungen einzuschränken.20 Dies führt gerade im Gesundheitswesen mit seiner Vielzahl an bereichsspezifischen Regelungen auf unterschiedlichen Ebenen zu einem unübersichtlichen Regel-Ausnahme-Verhältnis.
IV. Datenschutzorganisation im Gesundheitswesen21 Nicht zuletzt, da die Missachtung der Pflicht zur Benennung eines Datenschutzbeauftragten sowie der Durchführung einer Datenschutz-Folgenabschätzung empfindliche Geldbußen nach sich ziehen kann,22 stehen Einrichtungen im Gesundheitswesen vor der Frage, ob für sie die Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung oder die Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Die Durchführung einer Datenschutz-Folgenabschätzung wird für Einrichtungen im Gesundheitswesen insbesondere erforderlich sein, wenn eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten vorliegt.23 Dies ist im Gesundheitswesen vor allem anzunehmen, wenn die Verarbeitung das übliche Maß der in einer durchschnittlichen Einzelarztpraxis verarbeiteten Anzahl an Daten deutlich übersteigt. Als Referenzwert kann dies 19
S. dazu Kap. 4, (S. 249 ff.). Bäcker, in: Kühling / Buchner, DSGVO BDSG, Art. 23 DSGVO Rn. 1; Gola, in: Gola, DSGVO, Art. 23 DSGVO Rn. 1; Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 23 DSGVO Rn. 1. 21 S. dazu Kap. 5, (S. 295 ff.). 22 Gemäß Art. 83 Abs. 4 lit. a DSGVO droht bei einem Verstoß gegen die Pflicht zur Benennung eines Datenschutzbeauftragten die Verhängung einer Geldbuße von bis zu 10. 000. 000 Euro oder im Fall eines Unternehmens von bis zu zwei Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. 23 S. ausführlich zur Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung unter Kap. 5 A. I., (S. 297 ff.). 20
474
Schlussbetrachtungen
bezüglich auf die durchschnittlichen Behandlungsfallzahlen des jeweiligen Facharztbereichs pro Quartal abgestellt werden. Daneben listet auch die DSK in ihrer verbindlichen sog. Positivliste Verarbeitungstätigkeiten auf, die für das Gesundheitswesen von Bedeutung sind.24 Demnach ist eine Datenschutz-Folgenabschätzung im Gesundheitswesen insbesondere bei der Verarbeitung von genetischen Daten schutzbedürftiger Betroffener zur Früherkennung von Erbkrankheiten sowie bei dem Einsatz von Telemedizin-Lösungen für die Verarbeitung von Gesundheitsdaten durchzuführen. Einen klaren Schwellenwert für die Bennennung eines Datenschutzbeauftragten gibt hingegen § 38 Abs. 1 S. 1 BDSG n. F. vor, nach dem die Bestellung eines Datenschutzbeauftragten verpflichtend ist, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Nachdem diese Grenze im Zuge des 2. DSAnpUG-EU von zehn auf zwanzig Personen angehoben wurde, wird diese Vorgabe nur für größere Einrichtungen im Gesundheitswesen, wie etwa Krankenhäuser, von Bedeutung sein. Daneben ist nach Art. 37 Abs. 1 lit. c DSGVO ein Datenschutzbeauftragter zu bestimmen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung sensibler Daten nach Art. 9 DSGVO besteht. Jedoch ist selbst eine umfangreiche Verarbeitung von Gesundheitsdaten grundsätzlich nicht zu der Kerntätigkeit von Ärzten zu zählen, da diese nicht die eigentliche Haupttätigkeit des Arztes darstellt.25 Für Einrichtungen im Gesundheitswesen kommt daher eine Benennungspflicht nach Art. 37 Abs. 1 lit. c DSGVO nicht in Betracht. Der Verantwortliche ist des Weiteren unabhängig von der Beschäftigtenanzahl zur Bestellung eines Datenschutzbeauftragten verpflichtet, wenn er eine Verarbeitung durchführt, die einer DatenschutzFolgenabschätzung nach Art. 35 DSGVO unterliegt.
V. Datenschutzrechtliche Anforderungen bei dem Einsatz von Gesundheits-Applikationen26 Die Einbindung von Gesundheits-Applikationen in die Versorgung im Gesundheitswesen ist vor dem Hintergrund des am 19. Dezember 2019 in Kraft getretenen Digitale-Versorgung-Gesetz in den Fokus gerückt. Mit § 33a SGB V wurde eine Vorschrift eingeführt, nach der gesetzlich Versicherte unter gewissen Voraussetzungen einen Anspruch auf die Versorgung mit digitalen Gesundheitsanwendungen erhalten. Bereits die Frage, wer für die Datenverarbeitung im Rahmen digitaler Gesundheitsanwendungen im datenschutzrechtlichen Sinne verantwortlich ist, ist im Grundsatz ungeklärt. Richtigerweise wird die Begründung gemeinsamer Verantwortlichkeiten abzulehnen und der Hersteller der DiGA als datenschutz 24
DSK, Muss-Liste, Version 1.1 vom 17. Oktober 2018, abrufbar unter: https://www. datenschutzkonferenz-online.de/anwendungshinweise.html. 25 S. dazu Kap. 5 B. I. 1., (S. 308 ff.). 26 S. dazu Kap. 6, (S. 317 ff.).
A. Zusammenfassung der zentralen Erkenntnisse der Untersuchung
475
rechtlich Verantwortlicher einzustufen sein.27 Hier wäre allerdings eine gesetzliche Ausgestaltung der Verantwortlichkeit zu begrüßen. Die zu beachtenden datenschutzrechtlichen Vorgaben ergeben sich im Übrigen aus einem komplexen Normgeflecht aus Bestimmungen der DSGVO, des SGB V sowie der DiGAV. In Letzterer werden unter Nutzung der Spielräume des Art. 9 Abs. 4 DSGVO die nach der DSGVO zulässigen Erlaubnistatbestände und Verarbeitungszwecke eingeschränkt. Erhebliche Auswirkungen hat vor allem § 4 Abs. 3 DiGAV, nach dem die Verarbeitung von personenbezogenen Daten in einem Drittstaat nur erfolgen darf, sofern ein Angemessenheitsbeschluss der Kommission gemäß Art. 45 Abs. 3 DSGVO vorliegt.28 Mit Urteil vom 16. Juli 2020 hat der EuGH den Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA, das sog. EU-US-Privacy Shield, für ungültig erklärt.29 Datenübermittlungen in die USA sind daher für DiGA-Hersteller bis auf Weiteres nicht möglich.
VI. Datenschutz in der medizinischen Forschung unter der DSGVO30 Als „Rohstoff medizinischer Forschung“31 bilden Gesundheitsdaten die Grund lage für die Erforschung neuer Methoden der Diagnose und Therapie.32 Die DSGVO legt den – grundsätzlich forschungsfreundlichen – rechtlichen Rahmen für die Verarbeitung dieser Daten zu Forschungszwecken fest. Als Ausgangspunkt eröffnet sie dabei zwei Zugangswege zu Patientendaten für die medizinische Forschung. Es kommt entweder eine Datenverarbeitung auf der Grundlage einer Einwilligung oder auf der Grundlage eines gesetzlichen Erlaubnistatbestandes in Betracht. Für die Datenverarbeitung in der medizinischen Forschung wird bislang üblicherweise auf die Einwilligung als Rechtsgrundlage für die Datenverarbeitung zurückgegriffen. Dem Problem, dass sich im Forschungsbereich bei Erhebung der Daten oft nicht festlegen lässt, für welche konkreten Forschungsfragen diese Daten später verarbeitet werden sollen, begegnet die DSGVO mit dem in EG 33 DSGVO angelegten „Broad Consent“. Damit sollen die betroffenen Personen die Gelegenheit erhalten, unter Einhaltung anerkannter ethischer Standards in die Datenverarbeitung für bestimmte Bereiche der wissenschaftlichen Forschung einzuwilligen. Der „Broad Consent“ ist rechtlich nicht unumstritten, unter Einhaltung bestimmter Voraussetzungen aber richtigerweise zulässig.33 In diesem Sinne hat auch die 27
S. ausführlich zur Einordnung der datenschutzrechtlichen Verantwortlichkeit für DiGA unter Kap. 6 B. II., (S. 323 ff.). 28 S. ausführlich dazu unter Kap. 6 B. III. 1. b) bb), (S. 334). 29 EuGH, Urt. v. 16. Juli 2020 – C-311/18, NJW 2020, 2613 (2613 ff.) – Schrems II. 30 S. dazu Kap. 7, (S. 347 ff.). 31 Bernhardt / Ruhmann / Weichert, Plädoyer für ein medizinisches Forschungsgesetz, Stand 22. Februar 2021, S. 3. 32 Weichert, MedR 2019, 622 (623). 33 S. ausführlich dazu unter Kap. 7 E. I. 1., (S. 364 ff.).
476
Schlussbetrachtungen
DSK den „Mustertext Patienteneinwilligung“ der MII mit Beschluss vom 15. April 2020 akzeptiert und damit anerkannt, dass die Einwilligung in die Verarbeitung personenbezogener Daten zu medizinischen Forschungszwecken unter bestimmten Voraussetzungen als „Broad Consent“ ausgestaltet sein kann. Ungeachtet der rechtlichen Zulässigkeit eines solchen Einwilligungsmodells bringt die Einwilligung allerdings ihre eigenen Unwägbarkeiten mit sich. Neben Herausforderungen im Zusammenhang mit der praktischen Umsetzung der informierten Einwilligung betrifft dies insbesondere auch die jederzeitige Widerrufsmöglichkeit der Einwilligung, mit deren Ausübung die Grundlage dafür entfällt, dass der Forscher die Daten weiterhin verarbeiten darf. Vor diesem Hintergrund geraten die Rechtsgrundlagen für die einwilligungsunabhängige Datenverarbeitung in den Blick.34 Den normativen Ausgangspunkt bildet im System der DSGVO Art. 9 Abs. 2 lit. j DSGVO, der die Verarbeitung von Gesundheitsdaten zu Forschungszwecken unter bestimmten Voraussetzungen ohne Einwilligung ermöglicht. Diese Öffnungsklausel gibt jedoch lediglich den recht lichen Rahmen für die Datenverarbeitung zu Zwecken wissenschaftlicher Forschung vor und überlässt den nationalen Gesetzgebern die weitere Ausgestaltung. Regelungen zur Datenverarbeitung zu wissenschaftlichen Forschungszwecken sind auf nationaler Ebene zahlreich vorhanden. So existieren neben der Forschungsklausel in § 27 BDSG n. F. auch in den 16 Landesdatenschutzgesetzen eigene Regelungen zur Datenverarbeitung zu Forschungszwecken. Daneben enthalten auch die Landeskrankenhausgesetze größtenteils Sonderregelungen für den Forschungsbereich. Zudem finden sich spezialgesetzliche Regelungen für den Forschungsdatenschutz etwa im Sozial-, Arzneimittel- sowie Medizinprodukterecht. Eine Herausforderung stellen auf der Ebene des nationalen Rechts vor allem die disparaten Forschungsklauseln mit ihren teilweise restriktiven Tatbestandsmerkmalen dar, die von der DSGVO, konkret von Art. 9 Abs. 2 lit. j und Art. 89 Abs. 1 DSGVO, in dieser Form nicht gefordert werden. Die Kritik an den nationalen Forschungsklauseln bezieht sich daher richtigerweise nicht nur auf deren Unübersichtlichkeit, sondern insbesondere auch auf die ungenügende Umsetzung der Vorgaben der DSGVO.35 Das Jahr 2020 war im Hinblick auf die datenschutzrechtlichen Rahmenbedingungen für die medizinische Forschung insofern ein „Schlüsseljahr“36, als es wichtige Änderungen zur Vereinheitlichung und Weiterentwicklung der datenschutzrechtlichen Vorgaben angestoßen hat. Diese Neuerungen vermögen die datenschutzrechtlichen Bedenken jedoch nur partiell auszuräumen. Dies betrifft vor allem den im Zuge der Pandemiegesetzgebung in Kraft getretenen § 287a SGB V, der vorsieht, dass bei länderübergreifenden Vorhaben der Versorgungs 34
S. ausführlich dazu unter Kap. 7 E. II., (S. 374 ff.). Weichert, ZD 2020, 18 (18 ff.); Bernhardt / Ruhmann / Weichert, Plädoyer für ein medizinisches Forschungsgesetz, Stand 22. Februar 2021, S. 3 f.; Hänold, ZD-Aktuell 2020, 07046. 36 Forum Gesundheitsforschung, Strategiepapier „Nutzbarmachung digitaler Daten für KIund datengetriebene Gesundheitsforschung“, S. 32. 35
B. Fazit
477
und Gesundheitsforschung einheitlich die bundesrechtliche Forschungsklausel in § 27 BDSG n. F. zur Anwendung gelangt. Die damit verfolgte Intention des Gesetzgebers, die stark fragmentierten Forschungsklauseln im deutschen Datenschutzrecht zumindest teilweise zu vereinheitlichen, ist grundsätzlich zu begrüßen. Jedoch kann § 287a SGB V der berechtigten Kritik, dass § 27 BDSG n. F. die auf europäischer Ebene vorgesehene Privilegierung der Datenverarbeitung zu Forschungszwecken teilweise einschränke, durch den Verweis auf eben diese Forschungsklausel nicht angemessen begegnen.37 Vor diesem Hintergrund sollte eine weitere Vereinheitlichung der Forschungsklauseln auf Bundes- und Landesebene angestrebt werden, um die Vorgaben der DSGVO angemessen umzusetzen. Eine weitere wesentliche Neuerung betrifft daneben auch die Forschung mit den Daten der elektronischen Patientenakte. Das am 20. Oktober 2020 in Kraft getretene Patientendaten-Schutz-Gesetz hat mit § 363 SGB V eine Vorschrift eingeführt, die es den Versicherten ermöglicht, die in der ePA gespeicherten Daten freiwillig für Forschungszwecke zur Verfügung zu stellen. Dies kann als sog. Datenfreigabe an das Forschungsdatenzentrum (§ 363 Abs. 1 bis 7 SGB V) oder unmittelbar an den Forschenden auf Basis einer informierten Einwilligung (§ 363 Abs. 8 SGB V) erfolgen. Auch wenn sich die konkrete Ausgestaltung dieser Datenfreigabeoptionen noch in der Umsetzungsphase befindet, ist bereits absehbar, dass die Kombination aus Einwilligung und gesetzlicher Rechtsgrundlage zu Unsicherheiten über die Rechtsgrundlage für die Sekundärnutzung der in der ePA gespeicherten Daten zu Forschungszwecken führt. Richtigerweise folgt die datenschutzrechtliche Legitimation aus der Einwilligung des Versicherten.38
B. Fazit Die europäische Datenschutzreform hat nicht zu einer konzeptionellen Neuausrichtung des Datenschutzes im Gesundheitswesen geführt, vielmehr wurde das Zusammenspiel im Mehrebenensystem der Normen auf unionaler und nationaler Ebene neu strukturiert. Bedingt durch den Rechtsformenwechsel haben sich dabei in erster Linie der datenschutzrechtliche Rahmen sowie die systematischen Anknüpfungspunkte verändert. Auch die europarechtlich determinierten Bereiche stellen materiell-rechtlich keine Revolution dar, sondern konzentrieren sich auf die Fortentwicklung des europäischen Datenschutzrechts.39 Zutreffend wird das neue europäische Datenschutzrecht daher als „Evolution statt Revolution“40 bezeichnet. 37
S. ausführlich zu § 287a S. 1 SGB V unter Kap. 7 E. II. 4. b), (S. 400 ff.). Kircher, GuP 2021, 1 (8); Dochow, MedR 2021, 115 (121); s. dazu unter Kap. 7 G. IV., (S. 447 ff.). 39 Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 60; Kühling / Sack mann, NVwZ 2018, 681 (681). 40 Kühling / Martini, EuZW 2016, 446 (450); so auch Spyra, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht, § 23 Rn. 5, 9. 38
478
Schlussbetrachtungen
Nicht nur, aber insbesondere auch für den Bereich des Datenschutzes im Gesundheitswesen sieht sich die DSGVO daher der Kritik ausgesetzt, dass sie nicht zu einem systematischen und einheitlichen Neubeginn des Datenschutzrechts geführt habe, sondern vielmehr „ein vielfältiges und kompliziertes Nebeneinander von Unionsverordnung und weiterhin anwendbarem nationalen Recht“41 geschaffen habe.42 Die Einschätzung von Veil aus dem Jahre 2018, dass die DSGVO die Fachwelt wegen ihrer Auslegungsoffenheit bei gleichzeitiger Präskriptivität über Jahre hinweg intensiv beschäftigen wird,43 hat sich für das Gesundheitswesen daher in besonderem Maße bewahrheitet. Dies gilt im Bereich des Gesundheitswesens insbesondere vor dem Hintergrund der zahlreichen und weit gefassten Öffnungsklauseln, denen teils eine „desintegrierende Wirkung“44 zugeschrieben wird. Auch wenn diese Kritik nicht unberechtigt erscheint, ist jedenfalls zu berücksichtigen, dass die Öffnungsklauseln in der DSGVO das Ergebnis einer schwierigen Konsensfindung während der Verhandlungen der Verordnung sowie Ausdruck des Bestehens der Mitgliedstaaten auf gewisse nationale Gestaltungsspielräume im Rahmen eines harmonisierten EU-weiten Standards sind.45 Überlegungen, die Anzahl der Öffnungsklauseln in der DSGVO zu reduzieren,46 um auf diese Weise eine Vereinheitlichung des Datenschutzes im Gesundheitswesen zu erzielen, erscheinen vor diesem Hintergrund jedenfalls kurz- bis mittelfristig wenig realistisch.47 Insgesamt scheint nach Konsultationen von über zwei Jahren in der Europäischen Kommission sowie anschließenden vier Jahren Verhandlung im Rat und Europäischen Parlament, bis die DSGVO schließlich am 14. April 2016 verabschiedet wurde, nun nicht die Zeit für grundlegende Reformüberlegungen auf europäischer Ebene zu sein.48 Dies geht auch aus dem Evaluationsbericht der Europäischen Kommission zur DSGVO hervor, nach dem es derzeit verfrüht wäre, endgültige Schlussfolgerungen in Bezug auf die Anwendung der DSGVO zu ziehen.49 Auch wenn mit einem korrigierenden Eingreifen des europäischen Gesetzgebers demnach vorerst nicht zu rechnen ist, besteht für den deutschen Gesetzgeber auf nationaler Ebene weiterhin die Möglichkeit, die gesetzlichen Spielräume der DSGVO zu nutzen, um das nationale Gesundheitsdatenschutzrecht im Rahmen 41
Roßnagel, in: Roßnagel, DSGVO, § 5 Rn. 1. Kühling, MedR 2019, 611 (622); Weichert, MedR 2019, 622 (624). 43 Veil, ZD 2018, 9 (9). 44 Kühling, MedR 2019, 611 (621); von einer Fragmentierung des europäischen Gesundheitsdatenschutzrechts aufgrund der hohen Zahl an Öffnungsklauseln in der DSGVO gehen auch Martini / Hohmann, NJW 2020, 3573 (3578) aus. 45 Albrecht / Janson, CR 2016, 500 (501). 46 Kühling, MedR 2019, 611 (622) für den Bereich des Gesundheitwesens; ders., DuD 2020, 182 (188); ders. / Sackmann, NVwZ 2018, 681 (683); ders. / Raab, in: Kühling / Buchner, DSGVO BDSG, Einführung Rn. 98c, 101; Martini / Hohmann, NJW 2020, 3578 (3578). 47 So Kühling selbst in Kühling, MedR 2019, 611 (622); ders., DuD 2020, 182 (188). 48 Nach der Begründung zum Ratsentwurf waren die Überarbeitungen der Datenschutzbestimmungen das Ergebnis umfassender Konsultationen, die über zwei Jahre andauerten, Europäische Kommission, Verordnungsentwurf v. 25. Januar 2012, COM(2012) 11 final, S. 2. 49 Europäische Kommission, COM(2020) 264 final v. 24. Juni 2020, S. 5. 42
B. Fazit
479
der Öffnungsklauseln neu zu strukturieren und mithin zu einer Reduktion der Komplexität beizutragen. Vorschläge dafür, wie dies rechtlich ausgestaltet werden könnte, sind in der Literatur bereits zur Diskussion gestellt worden. So wäre etwa die Schaffung einer Rahmenregelung auf Bundesebene, an der sich die Länder im Bereich ihrer Gesetzgebungskompetenz orientieren könnten oder von den Ländern gemeinsam entworfene Mustergesetze denkbar.50 Ernsthafte dahingehende Ambitionen sind derzeit allerdings nicht ersichtlich. Dies gilt insbesondere, da der nun weitestgehend abgeschlossene Anpassungsprozess des nationalen Datenschutzrechts an die unionsrechtlichen Vorgaben der DSGVO letztlich als Versuch des Gesetzgebers zu werten ist, die bisherige Rechtslage soweit wie möglich aufrechtzuerhalten.51 Vor diesem Hintergrund bleibt die Hoffnung, dass der nationale Gesetzgeber die DSGVO zu einem späteren Zeitpunkt zum Anlass nehmen wird, das nationale Datenschutzrecht im Gesundheitswesen in einen einheitlicheren Rechtsrahmen zu überführen.52 Die den Mitgliedstaaten eröffneten Gestaltungsspielräume sollten auch weiterhin als Chance für eine Neustrukturierung verstanden und als solche genutzt werden. Derzeit scheint die Tendenz, zumindest was die Regelungen zum bereichsspezifischen Sozialdatenschutz betrifft, allerdings dahin zu gehen, weitere Ausdifferenzierungen auf nationaler Ebene vorzunehmen. Der Datenschutz im Gesundheitswesen bleibt damit auch unter der DSGVO vorerst und bis auf Weiteres „undurchsichtig und kompliziert“53.
50 Alich / Voskamp, BvD-News 2017, 24 (26); auch die Bundesärztekammer hatte vorgeschlagen, ein konsistentes Gesundheitsdatenschutzgesetz zu schaffen, Bundesärztekammer, Stellungnahme zum Gesetzesentwurf der Bundesregierung zum DSAnpUG-EU v. 21. März 2017, S. 3, 13, abrufbar unter: https://www.bundesaerztekammer.de/politik/stellungnahmen gesetzgebung/. 51 Kühnl / Rohrer / Schneider, DuD 2018, 735 (737). 52 Buchner / Schwichtenberg, GuP 2016, 218 (224). 53 Weichert, in: Kühling / Buchner, DSGVO BDSG, Art. 9 DSGVO Rn. 171.
Literaturverzeichnis Achenbach, Sigrid: Transfer pseudonymisierter Daten aus klinischen Studien im Rahmen von Transaktionen pharmazeutischer Unternehmen im Anwendungsbereich der DSGV, PharmR 2020, S. 9–20. Albrecht, Jan Philipp: Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, Überblick und Hintergründe zum finalen Text für die Datenschutz-Grundverordnung der EU nach der Einigung im Trilog, CR 2016, S. 88–98. Albrecht, Jan Philipp / Janson, Nils J.: Datenschutz und Meinungsfreiheit nach der Datenschutzgrundverordnung, Warum die EU-Mitgliedstaaten beim Ausfüllen der DSGVOÖffnungsklauseln an europäische Grundrechte gebunden sind – am Beispiel von Art. 85 DSGVO, CR 2016, S. 500–509. Albrecht, Jan Philipp / Jotzo, Florian: Das neue Datenschutzrecht der EU, Grundlagen, Gesetzgebungsverfahren, Synopse, Baden-Baden 2017. Albrecht, Urs-Vito (Hrsg.): Chancen und Risiken von Gesundheits-Apps (CHARISMHA), Hannover 2016. Alich, Stefan / Voskamp, Friederike: Auswirkungen der DS-GVO auf den Gesundheitsdatenschutz in Deutschland, BvD-News 2017, S. 24–26. Appenzeller, Arno / Bretthauer, Sebastian / Birnstill, Pascal: Datensouveranität für Patienten im Gesundheitswesen, Eine Chance für die medizinische Forschung und den Datenschutz, DuD 2021, S. 173–179. Arning, Marian Alexander: Die elektronische Gesundheitskarte und die Verteilung von Informationen im deutschen Gesundheitswesen, Rechtliche Gestaltung und rechtliche Absicherung, Wiesbaden 2015. Arning, Marian: Forderung nach klarer gesetzlicher Regelung für private Abrechnungsstellen, MMR-Aktuell 2010, 301110. Auer-Reinsdorff, Astrid / Conrad, Isabell (Hrsg.): Handbuch IT- und Datenschutzrecht, 3. Aufl., München 2019 (zitiert: Bearbeiter, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht). Bales, Stefan / v. Schwanenflügel, Matthias: Die elektronische Gesundheitskarte, Rechtliche Fragen und zukünftige Herausforderungen, NJW 2012, S. 2475–2479. Bauer, Christoph / Eickmeier, Frank / Eckard, Michael: E-Health: Datenschutz und Datensicher heit, Herausforderungen und Lösungen im IoT-Zeitalter, Wiesbaden 2017. Bayer, Thomas: Ärztliche Dokumentationspflicht und Einsichtsrecht in Patientenakten, Eine Untersuchung zu den §§ 630f und 630g BGB mit Bezügen zum nationalen sowie europä ischen Datenschutzrecht, Berlin / Heidelberg 2018.
Literaturverzeichnis
481
Bechtolf, Hans / Vogt, Niklas: Datenschutz in der Blockchain – Eine Frage der Technik, Technologische Hürden und konzeptionelle Chancen, ZD 2018, S. 66–71. Becker, Ulrich / Hatje, Armin / Schoo, Johann / Schwarze, Jürgen (Hrsg.): Schwarze, EU-Kommentar, 4. Aufl., Baden-Baden 2019 (zitiert: Bearbeiter, in: Schwarze, EU-Kommentar). Becker, Ulrich / Kingreen, Thorsten (Hrsg.): SGB V, Gesetzliche Krankenversicherung, Kommentar, 7. Aufl., München 2020 (zitiert: Bearbeiter, in: Becker / K ingreen, SGB V). Benecke, Alexander / Wagner, Julian: Öffnungsklauseln in der Datenschutz-Grundverordnung und das deutsche BDSG – Grenzen und Gestaltungsspielräume für ein nationales Datenschutzrecht, DVBl. 2016, S. 600–608. Berchtold, Josef / Huster, Stefan / Rehborn, Martin (Hrsg.): Gesundheitsrecht, SGB V, SGB XI, 2. Aufl., Baden-Baden 2018 (zitiert: Bearbeiter, in: Berchtold / Huster / Rehborn, Gesundheitsrecht). Bergt, Matthias: Die Bestimmbarkeit als Grundproblem des Datenschutzrechts, Überblick über den Theorienstreit und Lösungsvorschlag, ZD 2015, S. 365–371. Bernhardt, Ute / Ruhmann, Ingo / Weichert, Thilo: Die Forschungsklauseln im neuen Datenschutzrecht, Weshalb wir in Deutschland einheitliche Regelungen benötigen, Stand 18. 10. 2018. Bernhardt, Ute / Ruhmann, Ingo / Weichert, Thilo: Plädoyer für ein medizinisches Forschungsgesetz zwecks Beseitigung von Forschungshindernissen und Schutzdefiziten, Stand 22. 02. 2021. Bierekoven, Christiane: Anmerkung zum Urteil des EuGH v. 16. 5. 2017 – VI ZR 135/13, NJW 2017, S. 2419–2420. Bierekoven, Christiane: Datenschutzrechtliche Zulässigkeit von Gesundheits-Apps, Einordnung, Definition und Anforderungen an Gesundheits- und Lifestyle-Apps, ITRB 2015, S. 114–120. Bieresborn, Dirk: Der Schutz von Gesundheitsdaten als Sozialdaten nach Inkrafttreten der DS-GVO-Anpassungsgesetze, S. 23–74, in: Spiecker genannt Döhmann, Indra / Wallraben stein, Astrid (Hrsg.), Gesundheitsversorgung in Zeiten der Datenschutz-Grundverordnung, Berlin 2019. Bieresborn, Dirk: Sozialdatenschutz nach Inkrafttreten der EU-Datenschutzgrundverordnung – Anpassungen des nationalen Sozialdatenschutzes an das europäische Recht, NZS 2017, S. 887–891. Bieresborn, Dirk: Sozialdatenschutz nach Inkrafttreten der EU-Datenschutzgrundverordnung – Verarbeiten von Sozialdaten, Reichweite von Einwilligungen, grenzüberschreitende Datenübermittlung und Auftragsverarbeitung, NZS 2017, S. 926–933. Bischoff, Claudia: Datenschutz im Rahmen klinischer Prüfungen – das Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung, PharmR 2019, S. 265–272. Bischoff, Claudia: Pseudonymisierung und Anonymisierung von personenbezogenen Forschungsdaten im Rahmen klinischer Prüfungen von Arzneimitteln (Teil I) – Gesetzliche Anforderungen –, PharmR 2020, S. 309–315.
482
Literaturverzeichnis
Bischoff, Claudia / Drechsler, Julian: Pseudonymisierung und Anonymisierung im Rahmen klinischer Prüfungen von Arzneimitteln (Teil II) – Schutzziele, Techniken und Handlungsempfehlungen –, PharmR 2020, S. 389–396. Bischoff, Claudia / Wiencke, Julia: Datenschutzrechtliche Voraussetzungen klinischer Prüfungen, Das Verhältnis von AMG und DS-GVO, ZD 2019, S. 8–13. Bizer, Johann: Forschungsfreiheit und Informationelle Selbstbestimmung, Gesetzliche Forschungsregelungen zwischen grundrechtlicher Förderungspflicht und grundrechtlichem Abwehrrecht, Baden-Baden 1992. Bleckmann, Dominik: Anforderungen der Datenschutz-Grundverordnung an Labore, Sind Labore Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung?, DuD 2019, S. 137–142. Blobel, Bernd / Koeppe, David: Handbuch Datenschutz und Datensicherheit im Gesundheitsund Sozialwesen, Frechen 2016. Böllhoff, Cornelius / Ziegenhorn, Gero / Schulz-Große, Stefanie / Thiery, Samira Helena: Vereinbarkeit der Regelungen zur elektronischen Patientenakte (ePA) nach dem Patienten-Datenschutz-Gesetz (PDSG) mit europäischem Datenschutzrecht, Rechtsgutachten im Auftrag des health innovation hub, Berlin, November 2020. Bördner, Jonas: Digitalisierung im Gesundheitswesen – eine haftungsrechtliche Betrachtung, GuP 2019, S. 131–136. Bork, Ulrich / Weitz, Jürgen / Penter, Volker: Viele Potentiale noch nicht ausgeschöpft, DÄBl. 2018, Heft 3, S. A62–A66. Botta, Jonas: Datenschutz bei E-Learning-Plattformen, Rechtliche Herausforderung digitaler Hochschulbildung am Beispiel der Massive Open Online Courses (MOOC), BadenBaden 2020. Braun, Julian: Die Versorgung mit digitalen Gesundheitsanwendungen nach den Regelungen des Digitale-Versorgung-Gesetzes, GesR 2019, S. 757–771. Braun, Julian: E-Health-Services als Satzungsleistungen von nicht zugelassenen Leistungserbringern i. S. d. § 11 Abs. 6 SGB V, NZS 2018, S. 894–896. Brauneck, Jens: DSGVO: Neue Anwendbarkeit durch neue Definition personenbezogener Daten?, EuZW 2019, S. 680–688. Bräutigam, Peter (Hrsg.): IT-Outsourcing und Cloud-Computing, Eine Darstellung aus rechtlicher, technischer, wirtschaftlicher und vertraglicher Sicht, 4. Aufl., Berlin 2019. Brink, Stefan / Eckhardt, Jens: Wann ist ein Datum ein personenbezogenes Datum? Anwendungsbereich des Datenschutzrechts, ZD 2015, S. 205–212. Brink, Stefan / Wolff, Heinrich Amadeus (Hrsg.): Beck’scher Online-Kommentar Datenschutzrecht, 28. Edition, Stand 01. 05. 2018, München, 36. Edition, Stand 01. 05. 2021, München, (zitiert: Bearbeiter, in: BeckOK Datenschutzrecht). Brönneke, Jan Benedikt / Kipker, Dennis-Kenji: Fitness-Apps in Bonusprogrammen gesetzlicher Krankenkassen, Sozial- und datenschutzrechtliche Anforderungen, GesR 2015, S. 211–216.
Literaturverzeichnis
483
Brüggemann, Sebastian: Anmerkung zum Urteil des EuGH v. 5. 6. 2018 – C-210/16, CR 2018, S. 581–582. Buchholtz, Gabriele: Grundrechte und Datenschutz im Dialog zwischen Karlsruhe und Luxemburg, DÖV 2017, S. 837–845. Buchner, Benedikt: Datenschutz und Datensicherheit in der digitalisierten Medizin, Zugleich ein Beitrag zum eHealth-Gesetz, MedR 2016, S. 660–664. Buchner, Benedikt: Die Vertraulichkeit der Arzt-Patienten-Beziehung – Doppelt geschützt hält besser?, S. 49–62, in: Katzenmeier, Christian (Hrsg.), Festschrift für Dieter Hart, Berlin 2020. Buchner, Benedikt: Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DSGVO, DuD 2016, S. 155–161. Buchner, Benedikt: Outsourcing in der Arztpraxis – zwischen Datenschutz und Schweigepflicht, MedR 2013, S. 337–342. Buchner, Benedikt: Von der Wiege bis zur Bahre? – Datenschutz im Familienrecht unter der DSGVO, FamRZ 2019, S. 665–671. Buchner, Benedikt (Hrsg.): Datenschutz im Gesundheitswesen, Remagen 2019. Buchner, Benedikt / Kipker, Dennis-Kenji: Datenschutz und Forschungsfreiheit, S. 507–515, in: Lenk, Christian / Duttge, Gunnar / Fangerau, Heiner (Hrsg.), Handbuch Ethik und Recht der Forschung am Menschen, Berlin / Heidelberg 2014. Buchner, Benedikt / Kühling, Jürgen: Die Einwilligung in der Datenschutzordnung 2018, DuD 2017, S. 544–548. Buchner, Benedikt / Pigeot, Iris: Epidemiologie und Datenschutz, DuD 2014, S. 816–820. Buchner, Benedikt / Schwichtenberg, Simon: Gesundheitsdatenschutz unter der DatenschutzGrundverordnung, GuP 2016, S. 218–224. Callies, Christian / Ruffert, Matthias (Hrsg.): EUV / A EUV, Das Verfassungsrecht der Europä ischen Union mit Europäischer Grundrechtecharta, Kommentar, 5. Aufl., München 2016 (zitiert: Bearbeiter, in: Callies / Ruffert, EUV AEUV). Clausen, Tilman / Krafczyk, Wolfgang: Beck’sche Online Formulare Medizinrecht, 29. Edition, München 2021 (zitiert: Bearbeiter, in: Clausen / K rafczyk, BeckOF Medizinrecht). Clausen, Tilman / Schroeder-Printzen, Jörn (Hrsg.): Münchener Anwaltshandbuch Medizinrecht, 3. Aufl., München 2020 (zitiert: Bearbeiter, in: Clausen / Schroeder-Printzen, Münchener Anwaltshandbuch Medizinrecht). Coester-Waltjen, Dagmar: Reichweite und Grenzen der Patientenautonomie von Jungen und Alten – Ein Vergleich, MedR 2012, S. 553–560. Cornelius, Kai: Das Non-Legal-Outsourcing für Berufsgeheimnisträger, Straf- und berufsrechtliche sowie strafprozessuale Konsequenzen der neuesten Gesetzesnovelle, NJW 2017, S. 3751–3754. Cornelius, Kai: Die Bereitstellung humaner Alt-Bioproben durch eine Biobank zu Zwecken der medizinischen Genomforschung, MedR 2017, S. 15–20.
484
Literaturverzeichnis
Cornelius, Kai / Spitz, Markus: Auskunfts- und Einsichtnahmerechte von Patienten im digitalisierten Gesundheitswesen, GesR 2019, S. 69–76. Culik, Nicolai / Döpke, Christian: Zweckbindungsgrundsatz gegen unkontrollierten Einsatz von Big Data-Anwendungen, Analyse möglicher Auswirkungen der DS-GVO, ZD 2017, S. 226–230. Dammann, Ulrich: Die Anwendung des neuen Bundesdatenschutzgesetzes auf die öffentlichrechtlichen Religionsgesellschaften, NVwZ 1992, S. 1147–1151. Dammann, Ulrich: Erfolge und Defizite der EU-Datenschutzgrundverordnung, Erwarteter Fortschritt, Schwächen und überraschende Innovationen, ZD 2016, S. 307–314. Däubler, Wolfgang / Wedde, Peter / Weichert, Thilo / Sommer, Imke (Hrsg.): EU-DSGVO und BDSG Kompaktkommentar, 2. Aufl., Frankfurt a. M. 2020 (zitiert: Bearbeiter, in: Däubler / Wedde / Weichert / Sommer, DSGVO BDSG). Deister, Sören: Anspruch der Krankenkassen auf Übermittlung von Abrechnungsdaten der KZ(Ä)V bei Zahlung der Gesamtvergütung nach Kopfpauschalen, NZS 2019, S. 37. Delacroix, Olivier: Der Sponsor klinischer Prüfungen zwischen Informationspflicht und Vertraulichkeit, A&R 2019, S. 8–11. von der Groeben, Hans / Schwarze, Jürgen / Hatje, Armin (Hrsg.): Europäisches Unionsrecht, Vertrag über die Europäische Union, Vertrag über die Arbeitsweise der Europäischen Union, Charta der Grundrechte der Europäischen Union, 7. Aufl., Baden-Baden 2015 (zitiert: Bearbeiter, in: v. der Groeben / Schwarze / Hatje, Europäisches Unionsrecht). Desoi, Monika / Jandt, Silke: Zulässige Erhebung von Daten zu Forschungszwecken, Besonderheiten bei der Erforschung intelligenter Videosysteme, DuD 2012, S. 895–901. Di Bella, Marco: Der Wandel kommt! Die Telematik geht in die nächste Runde, RDG 2020, S. 166–168. Dienemann, Susanna: Ein erster Schritt – Der Referentenentwurf des BMG, Anpassungen des Arzneimittelgesetzes an die EU-Verordnung 536/2014, PharmR 2016, S. 1–7. Dierks, Christian: Rechtsgutachten Lösungsvorschläge für ein neues Gesundheitsforschungsdatenschutzrecht in Bund und Ländern, 15. 09. 2019. Dierks, Christian / Kluckert, Sebastian: Unionsrechtliche „Antworten“ zur Frage des anwendbaren nationalen Rechts bei grenzüberschreitenden E-Health-Dienstleistungen, NZS 2017, S. 687–692. Dierks, Christian / Roßnagel, Alexander: Sekundärnutzung von Sozial- und Gesundheitsdaten – Rechtliche Rahmenbedingungen, Berlin 2019. Dochow, Carsten: Das Patienten-Datenschutz-Gesetz (Teil 1): Die elektronische Gesundheitskarte und Telematikinfrastruktur, MedR 2020, S. 979–993. Dochow, Carsten: Das Patienten-Datenschutz-Gesetz (Teil 2): Die elektronische Patientenakte und erweiterte Datenverarbeitungsbefugnisse der Krankenkassen, MedR 2021, S. 13–24. Dochow, Carsten: Das Patienten-Datenschutz-Gesetz (Teil 3): Die Datenspende, MedR 2021, S. 115–124.
Literaturverzeichnis
485
Dochow, Carsten: Datenschutz und Schweigepflicht: Hürden bei der Weitergabe von Patientendaten an Private Verrechnungsstellen, MedR 2020, S. 348–359. Dochow, Carsten: Gesundheitsdatenschutz gemäß der EU-Datenschutzgrundverordnung, GesR 2016, S. 401–409. Dochow, Carsten: Grundlagen und normativer Rahmen der Telematik im Gesundheitswesen, Zugleich eine Betrachtung des Systems der Schutzebenen des Gesundheitsdaten- und Patientengeheimnisschutzrechts, Baden-Baden 2017. Dochow, Carsten: Neuregelungen im Rahmen der ärztlichen Schweigepflicht – Eine Relativierung des Patientengeheimnisschutzes?, GesR 2018, 137–152. Dochow, Carsten: Notwendigkeit der Datenschutz-Folgenabschätzung und Benennung eines Datenschutzbeauftragten in der Arztpraxis?, PinG 2018, S. 51–61. Dochow, Carsten: Telemedizin und Datenschutz, MedR 2019, S. 636–648. Dochow, Carsten: Ungültigkeit des EU-U. S. Privacy Shield und hohe Anforderungen bei der Verwendung von Standarddatenschutzklauseln – Auswirkungen im Gesundheitsbereich insbesondere für Gesundheits-Apps, GuP 2020, S. 229–236. Dochow, Carsten: Unterscheidung und Verhältnis von Gesundheitsdatenschutz und ärztlicher Schweigepflicht (Teil 1), MedR 2019, S. 279–287. Dochow, Carsten: Unterscheidung und Verhältnis von Gesundheitsdatenschutz und ärztlicher Schweigepflicht (Teil 2), MedR 2019, S. 363–368. Dochow, Carsten / Dörfer, Bert-Sebastian / Halbe, Bernd / Hübner, Marlis / Ippach, Jan / Schröder, Jürgen / Schütz, Joachim / Strüve, Jakob: Datenschutz in der ärztlichen Praxis, Leitfaden zur DS-GVO und zum BDSG mit Praxistipps, Musterdokumenten und Checklisten, Köln 2019. Dochow, Carsten / Kreitz, Svenja: Die elektronische Gesundheitskarte als Werkzeug für eine patientengerechte Realisierung der „Digitalisierung im Gesundheitswesen“, ZfmE 2018, S. 147–165. Dovas, Maria-Urania: Joint Controllership – Möglichkeiten oder Risiken der Datennutzung? Regelung der gemeinsamen datenschutzrechtlichen Verantwortlichkeit in der DS-GVO, ZD 2016, S. 512–517. Dregelies, Max: Wohin laufen meine Daten?, Datenschutz bei Sportuhren und Fitnesstrackern, VuR 2017, S. 256–262. Dreier, Horst (Hrsg.): Grundgesetz, Kommentar, Bd. 2: Artikel 20–82, 3. Aufl., Tübingen 2015, Bd. 3: Artikel 83–146, 3. Aufl., Tübingen 2018, (zitiert: Bearbeiter, in: Dreier, GGKommentar). Eckhardt, Jens: Anwendungsbereich des Datenschutzrechts – Geklärt durch den EuGH? Der europarechtliche Grundsatz des Personenbezugs, CR 2016, S. 786–790. Eckhardt, Jens: DS-GVO: Anforderungen an die Auftragsverarbeitung als Instrument zur Einbindung Externer, CCZ 2017, S. 111–117. Ehmann, Eugen: Externe Dienstleister und ärztliche Schweigepflicht – so wird es nichts werden!, ZD 2017, S. 201–202.
486
Literaturverzeichnis
Ehmann, Eugen / Selmayr, Martin (Hrsg.): Datenschutz-Grundverordnung, Kommentar, 2. Aufl., München 2018 (zitiert: Bearbeiter, in: Ehmann / Selmayr, DSGVO). Engeler, Malte: Das überschätzte Kopplungsverbot, Die Bedeutung des Art. 7 Abs. 4 DS-GVO in Vertragsverhältnissen, ZD 2018, S. 55–62. Engeler, Malte / Quiel, Philipp: Recht auf Kopie und Auskunftsanspruch im Datenschutzrecht, NJW 2019, S. 2201–2206. Engelmann, Klaus: (Ver-)Kauf von Forderungen (Factoring) aus medizinischen Behandlungen, insbesondere in der gesetzlichen Krankenversicherung, GesR 2009, S. 449–459. Erbguth, Jörn: Datenschutzkonforme Verwendung von Hashwerten auf Blockchains, Wann sind kryptografische Hashwerte von personenbezogenen Daten selbst wieder personen bezogene Daten?, MMR 2019, S. 654–660. Erbguth, Wilfried: Ambulante spezialfachärztliche Versorgung (ASV) nach § 116b SGB V in der Praxis – Zu den Rechtsfragen in Thesenform, KrV 2019, S. 1–4. Ernst, Stefan: Die Einwilligung nach der Datenschutzgrundverordnung, Anmerkungen zur Definition nach Art. 4 Nr. 11 DS-GVO, ZD 2017, S. 110–114. Ernst, Stefan: Die Widerruflichkeit der datenschutzrechtlichen Einwilligung, Folgen fehlender Belehrung und Einschränkungen, ZD 2020, S. 383–385. Eßer, Martin / Kramer, Philipp / v. Lewinski, Kai (Hrsg.): Auernhammer, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz und Nebengesetze, Kommentar, 7. Aufl., Hürth 2020 (zitiert: Bearbeiter, in: Auernhammer, DSGVO BDSG). Ettig, Diana: Betreiber einer Facebook-Fanpage für Datenschutz mitverantwortlich, GRURPrax 2018, S. 358. Fechtner, Sonja / Haßdenteufel, Stefan: Die Novelle des § 203 StGB und weiterer berufsrechtlicher Normen, Hoffnungsschimmer oder neue Ungewissheit für Berufsgeheimnisträger, CR 2017, S. 355–364. Fischer, Thomas (Hrsg.): Strafgesetzbuch mit Nebengesetzen, 68. Aufl., München 2021 (zitiert: Bearbeiter, in: Fischer, StGB). Fleischer, Henrike: Rechtliche Aspekte der Systemmedizin, Der Umgang mit Gesundheitsdaten und -informationen in der Big Data-basierten Medizin unter besonderer Berücksichtigung des Gendiagnostikgesetzes, Berlin 2018. Foerster, Max: Grundzüge des Factorings, JuS 2020, S. 203–208. Forgó, Nikolaus / Helfrich, Marcus / Schneider, Jochen (Hrsg.): Betrieblicher Datenschutz, Rechtshandbuch, 3. Aufl., München 2019 (zitiert: Bearbeiter, in: Forgó / Helfrich / Schneider, Betrieblicher Datenschutz). Frank, Lorenz: Das System der Betroffenenrechte nach der Datenschutz-Grundverordnung (DS-GVO), RDV 2016, S. 111–119. Freiherr von Ulmenstein, Ulrich: Datensouveranität durch repräsentative Rechtswahrnehmung, Begriffliche Prägung und normative Gestaltung sogenannter „Datentreuhänder“, DuD 2020, S. 528–534.
Literaturverzeichnis
487
Freiherr von Ulmenstein, Ulrich: Spende personenbezogener Daten, Zu ihrer Zulässigkeit unter der DSGVO, PinG 2020, S. 47–52. Frenz, Walter / Götzkes, Vera: Europäische Gesundheitspolitik nach Lissabon, MedR 2010, S. 613–618. Freund, Renate / Shagdar, Ariunzaya: Sozialdatenschutz – europäisch? Sozialdatenschutzrecht im Lichte der Datenschutz-Grundverordnung – (Teil I), SGb 2018, S. 195–205. Freund, Renate / Shagdar, Ariunzaya: Sozialdatenschutz – europäisch? Sozialdatenschutzrecht im Lichte der Datenschutz-Grundverordnung – (Teil II), SGb 2018, S. 267–279. Freye, Merle / Kipker, Dennis-Kenji / Ezekiel, Rindstone B. / Mwamlangala, Doreen F.: Strength ening protection of personal data in the health sector: a comparative analysis of the Tanzanian and German eHealth system, DuD 2020, S. 393–397. Friedewald, Michael / Bieker, Felix / Obersteller, Hannah / Nebel, Maxi / Martin, Nicholas / Rost, Martin / Hansen, Marit: White Paper Datenschutz-Folgenabschätzung, Ein Werkzeug für einen besseren Datenschutz, 3. Aufl., Karlsruhe 2017. Friedewald, Michael / Martin, Nicholas / Schiering, Ina: Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, Ein Handbuch für die Praxis, Stuttgart 2020. Funke, Michael: Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht unter besonderer Berücksichtigung der Datenschutz-Grundverordnung, Baden-Baden 2017. Gallwas, Hans-Ullrich: Biobanken aus grundrechtlicher Sicht, MedR 2019, S. 360–362. Garstka, H.: Datenschutz bei Telemedizin, Der Hautarzt 2019, S. 343–345. Gaßner, Maximilian / Strömer, Jens M.: Mobile Health Applications Haftungsrechtlicher Standard und das Laissez-faire des Gesetzgebers, VersR 2015, S. 1219–1228. Geminn, Christian L.: Wissenschaftliche Forschung und Datenschutz, Neuerungen durch die Datenschutz-Grundverordnung, DuD 2018, S. 640–646. Geminn, Christian L.: Die Forschungstätigkeit des Arztes im Spannungsfeld zur Schweigepflicht, RDV 2019, S. 116–122. Gierschmann, Sibylle: Gemeinsame Verantwortlichkeit in der Praxis, Systematische Vorgehensweise zur Bewertung und Festlegung, ZD 2020, S. 69–73. Gierschmann, Sibylle: Gestaltungsmöglichkeiten bei Verwendung von personenbezogenen Daten in der Werbung, Auslegung des Art. 6 Abs. 1 lit. f DS-GVO und Lösungsvorschläge, MMR 2018, S. 7–12. Gierschmann, Sibylle / Schlender, Katharina / Stentzel, Rainer / Veil, Winfried (Hrsg.): Kommentar Datenschutz-Grundverordnung, Köln 2018 (zitiert: Bearbeiter, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO). Giesen, Thomas / Schnoor, Christian: Datenschutzrechtliches Gutachten, Datenschutzrechtliche Anforderungen an die Verarbeitung und Nutzung anonymisierter Daten für andere Zwecke nach § 300 Abs. 2 Satz 2, 2. Halbsatz SGB V durch Apotheken-Rechenzentren, 2013.
488
Literaturverzeichnis
Gläß, Valerie / Drepper, Johannes: in: FZI Forschungszentrum Informatik, Zweckbindung und „Informed Consent“ für wissenschaftliche Forschungsvorhaben, S. 23–26. Gola, Peter: Spezifika bei der Benennung behördlicher Datenschutzbeauftragter, Kumulative, stellvertretende, gemeinsame, Teilzeit- und befristete Benennungen und Mitbestimmung, ZD 2019, S. 383–390. Gola, Peter (Hrsg.): Datenschutz-Grundverordnung, Kommentar, 2. Aufl., München 2018 (zitiert: Bearbeiter, in: Gola, DSGVO). Gola, Peter / Heckmann, Dirk (Hrsg.): Bundesdatenschutzgesetz, Kommentar, 13. Aufl., München 2019 (zitiert: Bearbeiter, in: Gola / Heckmann, BDSG). Gola, Peter / Klug, Christoph: Neuregelungen zur Bestellung betrieblicher Datenschutzbeauftragter, NJW 2007, S. 118–122. Gola, Peter / Schomerus, Rudolf (Hrsg.): Bundesdatenschutzgesetz, Kommentar, 12. Aufl., München 2015 (zitiert: Bearbeiter, in: Gola / Schomerus, BDSG a. F.). Gola, Peter / Schulz, Sebastian: DS-GVO – Neue Vorgaben für den Datenschutz bei Kindern? Überlegungen zur einwilligungsbasierten Verarbeitung von personenbezogenen Daten Minderjähriger, ZD 2013, S. 475–481. Golla, Sebastian J. / Hofmann, Henning / Bäcker, Matthias: Connecting the Dots, Sozialwissenschaftliche Forschung in Sozialen Online-Medien im Lichte von DS-GVO und BDSGneu, DuD 2018, S. 89–100. Grabitz, Eberhard / Hilf, Meinhard / Nettesheim, Martin (Hrsg.): Das Recht der Europäischen Union, EUV / A EUV, Loseblatt-Ausgabe, 73. Ergänzungslieferung, München Mai 2021 (zitiert: Bearbeiter, in: Grabitz / Hilf / Nettesheim, Das Recht der EU). Graf, Angela: Revision des europäischen Rechtsrahmens für Medizinprodukte, Sachstand, Regelungsinhalte und zu erwartende Fragen bei der Umsetzung – Teil 1, PharmR 2016, S. 486–490. Gregor-Haack, Johanna: Erstattung von Health-Apps durch die gesetzliche Krankenversicherung, Bundesgesundheitsbl. 2018, S. 328–333. Greve, Holger: Das neue Bundesdatenschutzgesetz, NVwZ 2017, S. 737–744. Gsell, Beate / Krüger, Wolfgang / L orenz, Stephan / Reymann, Christoph (Hrsg.): beck-online Großkommentar zum Zivilrecht, München 2020 (zitiert: Bearbeiter, in: BeckOGK). Haag, Ina: Löschung von Patientendaten gemäß DS-GVO – ändert sich etwas?, Das Krankenhaus 2018, S. 216–221. Hanisch, Rudolf: Datenschutz im Krankenhaus – Zuständigkeitsprobleme und Abgrenzungsfragen, BayVBl. 1983, S. 234–241. Hanloser, Stefan: Anmerkung zum Urteil des EuGH v. 29. 7. 2019 – C-40/17, ZD 2019, S. 458– 460. Hänold, Stefanie: 9. Nationales Biobanken-Symposium 2020 – Neue Entwicklungen zum „Broad Consent“ in der medizinischen Forschung, ZD-Aktuell 2021, 05016.
Literaturverzeichnis
489
Hänold, Stefanie: BfArM-Symposium zu Medizin-Apps: Experten warnen vor Datenschutzrisiken, ZD-Aktuell 2015, 04649. Hänold, Stefanie: Die Zulässigkeit eines „broad consent“ in der medizinischen Forschung – a never ending story?, ZD-Aktuell 2020, 06954. Hänold, Stefanie: KI-Forschung in der Medizin benötigt eine Reform datenschutzrechtlicher Regelungen, ZD-Aktuell 2020, 07046. Hansen, Hauke / Struwe, Dario: Speicherung von IP-Adressen zur Abwehr von Cyberattacken zulässig, GRUR-Prax 2016, S. 503. Haratsch, Andreas / Koenig, Christian / Pechstein, Matthias: Europarecht, 12. Aufl., Tübingen 2020. Härting, Niko: Datenschutz-Grundverordnung, Anwendungsbereich, Verbotsprinzip, Einwilligung, ITRB 2016, S. 36–40. Härting, Niko / G össling, Patrick: Gemeinsame Verantwortlichkeit bei einer Facebook- Fanpage, NJW 2018, S. 2523–2526. Hartung, Jürgen / Steinweg, Helge: Vereinbarungen mit Dienstleistern nach dem neuen § 203 StGB und der DSGVO, Abdeckung der gesetzlichen Anforderungen bei der Vertrags gestaltung, PinG 2018, S. 21–25. Hau, Wolfgang / Poseck, Roman (Hrsg.): Beck’scher Online-Kommentar BGB, 58. Edition, Stand 01. 05. 2021, München (zitiert: Bearbeiter, in: BeckOK BGB). Hauck, Karl / Noftz, Wolfgang (Begr.): Sozialgesetzbuch X: Verwaltungsverfahren, Schutz der Sozialdaten, Zusammenarbeit der Leistungsträger und ihre Beziehung zu Dritten, Loseblatt-Ausgabe, Stand November 2020, Berlin (zitiert: Bearbeiter, in: Hauck / Noftz, SGB X). Hauser, Andrea: EU-Datenschutz-Grundverordnung – Auswirkungen auf Krankenhäuser, Das Krankenhaus 2016, S. 690–693. Hauser, Andrea: Recht auf Einsichtnahme versus Recht auf Auskunft?, Das Krankenhaus 2018, S. 1202–1205. Hauser, Andrea / Haag, Ina: Datenschutz im Krankenhaus, mit allen Neuerungen durch die DSGVO, 5. Aufl., Düsseldorf 2019. Heberlein, Johanna: Datenschutz im Social Web, Materiell-rechtliche Aspekte der Verarbeitung personenbezogener Daten durch Private in sozialen Netzwerken, Baden-Baden 2017. Heckelmann, Martin / Schödel, Christine: App auf Rezept – Software als Hilfs- und Pflegehilfsmittel, NZS 2018, S. 926–929. Heckmann, Dirk (Hrsg.): Juris-PK Internetrecht, Telemediengesetz, E-Commerce, E-Government, 6. Aufl., Saarbrücken 2019 (zitiert: Bearbeiter, in: Heckmann, JurisPK-Internetrecht). Heimhalt, Diana / Rehmann, Wolfgang A.: Gesundheits- und Patienteninformationen via Apps, MPR 2014, S. 197–205. Herbst, Tobias: Autonomie und broad consent in der medizinischen Forschung, RphZ 2019, S. 271–287.
490
Literaturverzeichnis
Herbst, Tobias: Rechtliche und ethische Probleme des Umgangs mit Proben und Daten bei großen Biobanken, DuD 2016, S. 371–375. Herbst, Tobias: Was sind personenbezogene Daten?, NVwZ 2016, S. 902–906. Hiller, Karolin: Datenschutz in klinischen Prüfungen, PharmR 2020, S. 589–595. Hoeren, Thomas: Kirchlicher Datenschutz nach der Datenschutzgrundverordnung, Eine Vergleichsstudie zum Datenschutzrecht der evangelischen und der katholischen Kirche, NVwZ 2018, S. 373–375. Hofer, Pascal / Sachs, Gunnar / Sonnenschein, Edwin: Zur (teilweisen) Europarechtswidrigkeit und Unvereinbarkeit der Digitale Gesundheitsanwendungen-Verordnung (DiGAV) mit der Datenschutz-Grundverordnung (DSGVO), Warum Drittlandsübermittlungen personen bezogener Daten im Rahmen digitaler Gesundheitsanwendungen auch ohne Angemessenheitsbeschluss in Betracht kommen, MPR 2020, S. 227–231. Hoffmann, Birgit: Einwilligung der betroffenen Person als Legitimationsgrundlage eines datenverarbeitenden Vorgangs im Sozialrecht nach dem Inkrafttreten der DSGVO, NZS 2017, S. 807–812. Hoffmann, Jan Martin: Unionsgrundrechte als verfassungsrechtlicher Prüfungsmaßstab, NVwZ 2020, S. 33–37. Hofmann, Johanna M.: Anforderungen aus DS-GVO und NIS-RL an das Cloud Computing, ZD-Aktuell 2017, 05488. Hofmann, Johanna M. / Johannes, Paul, C.: DSGVO: Anleitung zur autonomen Auslegung des Personenbezugs, Begriffsklärung der entscheidenden Frage des sachlichen Anwendungsbereichs, ZD 2017, S. 221–226. Hoidn, Dominik / Roßnagel, Alexander: Anpassung des Sozialdatenschutzes, Spielräume im Rahmen der europäischen Datenschutzreform, DuD 2018, S. 487–491. von Holleben, Kevin Max / Knaut, Johannes: Die Zukunft der Auftragsverarbeitung – Privilegierung, Haftung, Sanktionen und Datenübermittlung mit Auslandsbezug unter der DSGVO, CR 2017, S. 299–306. Hornung, Gerrit: Datenschutz durch oder gegen die elektronische Gesundheitskarte? Zu den Herausfordrungen und Ambivalenzen eines Großprojekts, S. 51–73, in: Anzinger, Heribert M. / Hamacher, Kay / Katzenbeisser Stefan (Hrsg.), Schutz genetischer, medizinischer und sozialer Daten als multidisziplinäre Aufgabe, Heidelberg 2013. Hornung, Gerrit: Eine Datenschutz-Grundverordnung für Europa? Licht und Schatten im Kommissionsentwurf vom 25. 1. 2012, ZD 2012, S. 99–106. Hornung, Gerrit / Hofmann, Kai: Die Auswirkungen der europäischen Datenschutzreform auf die Markt- und Meinungsforschung, ZD-Beil. 2017, S. 1–15. Hornung, Gerrit / Roßnagel, Alexander: Die Nutzung der elektronischen Gesundheitskarte und der Krankenversichertennummer im Forschungskontext, in: Schneider, Uwe K., Sekundärnutzung klinischer Daten – Rechtliche Rahmenbedingungen, Berlin 2015. Hornung, Gerrit / Städtler, Stephan: Europas Wolken, Die Auswirkungen des Entwurfs für eine Datenschutz-Grundverordnung auf das Cloud Computing, CR 2012, S. 638–645.
Literaturverzeichnis
491
Hornung, Gerrit / Wagner, Bernd: Anonymisierung als datenschutzrelevante Verarbeitung? Rechtliche Anforderungen und Grenzen für die Anonymisierung personenbezogener Daten, ZD 2020, S. 223–228. Huster, Stefan / Kaltenborn, Markus (Hrsg.): Krankenhausrecht, Praxishandbuch zum Recht des Krankenhauswesens, 2. Aufl., München 2017. Jandt, Silke: Smart Health, Wird die DSGVO den dynamischen Herausforderungen gerecht?, DuD 2016, S. 571–574. Jandt, Silke / Hohmann, Carolin: Fitness- und Gesundheits-Apps – Neues Schutzkonzept für Gesundheitsdaten, K&R 2015, S. 694–700. Jandt, Silke / Roßnagel, Alexander: Factoring von Forderungen aus Behandlungsverträgen der Krankenhäuser, Datenschutzrechtlich zulässig?, MedR 2013, S. 17–23. Jandt, Silke / Steidle, Roland (Hrsg.): Datenschutz im Internet, Rechtshandbuch zu DSGVO und BDSG, Baden-Baden 2018. Jansen, Christoph: Rechtliche Anforderungen an die Kriterien für leistungsorientierte Vergabe von Mitteln für Forschung und Lehre an den medizinischen Fakultäten, MedR 2008, S. 185–190. Jarass, Hans D. (Hrsg.): Charta der Grundrechte der Europäischen Union, unter Einbeziehung der vom EuGH entwickelten Grundrechte, der Grundrechtsregelungen der Verträge und der EMRK, Kommentar, 4. Aufl., München 2021 (zitiert: Bearbeiter, in: Jarass, GRCh). Jäschke, Thomas (Hrsg.): Datenschutz und Informationssicherheit im Gesundheitswesen, Grundlagen, Konzepte, Umsetzung, 2. Aufl., Berlin 2018. Jaspers, Andreas: Die EU-Datenschutz-Grundverordnung, Auswirkungen der EU-Datenschutz-Grundverordnung auf die Datenschutzorganisation des Unternehmens, DuD 2012, S. 571–575. Jaspers, Andreas / Jacquemain, Tobias: Datenschutz-Grundverordnung – Praxiserfahrungen und Evaluation, Aus der Sicht von Datenschutzbeauftragten, DuD 2020, S. 297–301. Joachim, Katharina: Besonders schutzbedürftige Personengruppen Einordnung gruppenspezifischer Schutzbedürftigkeit in der DS-GVO, ZD 2017, S. 414–418. Joecks, Wolfgang / Miebach, Klaus (Hrsg.): Münchener Kommentar zum StGB, Bd. 4: §§ 185– 262, 3. Aufl., München 2017 (zitiert: Bearbeiter, in: MüKo-StGB). Johannes, Paul C. / Richter, Philipp: Privilegierte Verarbeitung im BDSG-E, Regeln für Archivierung, Forschung und Statistik, DuD 2017, S. 300–305. Jotzo, Florian: Anmerkung zu einer Entscheidung des EuGH, Urteil vom 05. 06. 2018 (C210/16) – Zur Verantwortlichkeit der Betreiber von Facebook-Fanpages für die Nutzungsdatenverarbeitung, JZ 2018, S. 1159–1162. Jukić, Anton / Christian, Rahn: Digitale Gesundheitsanwendungen: Zulassungsfragen und Datenschutz, GesR 2020, 749–756. Jülicher, Tim: Medizininformationsrecht, Baden-Baden 2018.
492
Literaturverzeichnis
Jülicher, Tim / Röttgen, Charlotte / v. Schönfeld, Max: Das Recht auf Datenübertragbarkeit, Ein datenschutzrechtliches Novum, ZD 2016, S. 358–362. Jung, Alexander / Hansch, Guido: Die Verantwortlichkeit in der DS-GVO und ihre prak tischen Auswirkungen, Hinweis zur Umsetzung im Konzern- oder Unternehmensumfeld, ZD 2019, S. 143–148. Kaboré, Mariam / Kinast, Karsten: Übermittlung von Gesundheitsdaten zwischen Krankenkassen und privaten Versicherungsunternehmen, Mögliche Rechtsgrundlagen bei der Abwicklung von Regressansprüchen, ZD 2019, S. 441–445. Kaeding, Nadja / Schwenke, Laura: Medizinische Behandlung Minderjähriger – Anforderungen an die Einwilligung, MedR 2016, S. 935–940. Karaalp, Remzi N.: Der Schutz von Patientendaten für die medizinische Forschung in Krankenhäusern, Eine rechtsvergleichende Untersuchung der Regelungen in Deutschland und Frankreich, Wiesbaden 2017. Karg, Moritz: Anonymität, Pseudonyme und Personenbezug revisited?, DuD 2015, S. 520–526. Karpenstein, Ulrich / Kottmann, Matthias: Vom Gegen- zum Mitspieler – Das BVerfG und die Unionsgrundrechte, EuZW 2020, S. 185–189. Kartheuser, Ingemar / Nabulsi, Selma: Abgrenzungsfragen bei gemeinsam Verantwortlichen, Kritische Analyse der Voraussetzungen nach Art. 26 DS-GVO, MMR 2018, S. 717–721. Katzenmeier, Christian: Big Data, E-Health, M-Health, KI und Robotik in der Medizin, Digitalisierung des Gesundheitswesens – Herausforderung des Rechts, MedR 2019, S. 259–271. Katzenmeier, Christian: Der Behandlungsvertrag – Neuer Vertragstypus im BGB, NJW 2013, S. 817–823. Kazemi, Robert: Die Datenschutzgrundverordnung in der medizinrechtlichen Praxis – Was ändert sich 2018?, S. 283–296, in: Katzenmeier, Christian / Ratzel, Rudolf (Hrsg.), Festschrift für Franz-Josef Dahm, Glück auf! Medizinrecht gestalten, Berlin 2017. Kemmer, Carolin / Vivikens, Sabrina: Die digitale Gesundheitsanwendung auf dem Weg in die Erstattungsfähigkeit – Fast Track-Verfahren mit Hürden, MPR 2020, S. 80–88. Kenji-Kipker, Dennis: 2. DSAnpUG-EU und die Talfahrt des deutschen Datenschutzrechts, DuD 2019, S. 371–372. Kensy, Steven: Das zivilrechtliche Einsichtsrecht in Krankenunterlagen nach der Neuregelung, MedR 2013, S. 767–772. Kern, Bernd-Rüdiger / Rehborn, Martin (Hrsg.): Handbuch des Arztrechts, 5. Aufl., München 2019. Kersten, Jens: Biobanken, Zum Augsburg-Münchner-Entwurf eines Biobankgesetzes, S. 103– 118, in: Spickhoff, Andreas / Kossak, Volodymyr / Kvit, Natalia (Hrsg.): Aktuelle Fragen des Medizinrechts, Ein Ost-West-Vergleich, Berlin 2018. Kettinger, Alexander: Datenschutzrechtliche Befugnisse einer gesetzlichen Krankenkasse in Abgrenzung zum Medizinischen Dienst der Krankenversicherung, DuD 2014, S. 826–830.
Literaturverzeichnis
493
Kieck, Annika / Pohl, Dirk: Zum Anwendungsbereich des europäischen Datenschutzrechts, Am Beispiel des Personenstands- und Meldewesens, DuD 2017, S. 567–571. Kindhäuser, Urs / Neumann, Ulfrid / Paeffgen, Hans-Ullrich (Hrsg.): Strafgesetzbuch, 5. Aufl., Baden-Baden 2017 (zitiert: Bearbeiter, in: NK-StGB). Kingreen, Thorsten / Kühling, Jürgen: Gesundheitsdatenschutzrecht, Baden-Baden 2015. Kingreen, Thorsten / Kühling, Jürgen: Rechtsfragen der externen Nutzung von Datensätzen aus der Leistungserbringung durch Vertragsärzte und Krankenhäuser, September 2017. Kingreen, Thorsten / Kühling, Jürgen: Weniger Schutz durch mehr Recht: Der überspannte Parlamentsvorbehalt im Datenschutzrecht – Eine Problemskizze am Beispiel des Gesundheitsdatenschutzrechts –, JZ 2015, S. 213–221. Kircher, Philipp: Das Patientendaten-Schutz-Gesetz (PDSG) und die elektronische Patientenakte (ePA) – Regelungsüberblick und Vereinbarkeit mit der DSGVO, GuP 2021, S. 1–11. Kircher, Philipp: Der Schutz personenbezogener Gesundheitsdaten im Gesundheitswesen, Baden-Baden, 2016. Klein, David: Anmerkung zum Urteil des EuGH v. 5. 6. 2018 – C-210/16, IWRZ 2018, S. 226. Kloepfer, Albrecht: Datenschutz – Ein Luxus für Gesunde?, S. 331–335, in: Matusiewicz, David / Pittelkau, Christian / Elmer, Arno: Die Digitale Transformation im Gesundheits wesen, Transformation, Innovation, Disruption, Berlin 2017. Kluckert, Sebastian: Die Aufnahme digitaler Gesundheitsanwendungen in die Regelversorgung der GKV nach dem Digitale-Versorgung-Gesetz, Unter besonderer Berücksichtigung der Bedeutung der evidenzbasierten Medizin, SGb 2020, S. 197–203. Klug, Christoph: Der Datenschutzbeauftragte in der EU, Maßgaben der Datenschutzgrundverordnung, ZD 2016, S. 315–319. Knickrehm, Sabine / Kreikebohm, Ralf / Waltermann, Raimund (Hrsg.): Kommentar zum Sozialrecht, 7. Aufl., München 2021 (zitiert: Bearbeiter, in: Knickrehm / K reikebohm / Walter mann, Kommentar zum Sozialrecht). Knöppler, Karsten / Bottling, Holger / Caumanns, Jörg / Hartge, Florian / Morgenstern, KaiUwe / Eggers, Thies: Digitalisierung in der Gesundheitsversorgung – vom Hype zur produktiven Anwendung, G+S 2020, S. 38–47. Kollmar, Frederike: Umfang und Reichweite gemeinsamer Verantwortlichkeit im Datenschutz, NVwZ 2019, S. 1740–1743. Körner, Anne / L eitherer, Stephan / Mutschler, Bernd / Rolfs, Christian (Hrsg.): Kasseler Kommentar Sozialversicherungsrecht, Loseblatt-Ausgabe, 113. Ergänzungslieferung, München März 2021, 115. Ergänzungslieferung, München Juli 2021, (zitiert: Bearbeiter, in: KassKomm Sozialversicherungsrecht). Krahmer, Utz (Hrsg.): Sozialdatenschutzrecht, Persönlichkeitsschutz nach SGB I, SGB X, DSGVO, Handkommentar, 4. Aufl., Baden-Baden 2020 (zitiert: Bearbeiter, in: Krahmer, Sozialdatenschutzrecht).
494
Literaturverzeichnis
Krahmer, Utz / Trenk-Hinterberger, Peter (Hrsg.): Sozialgesetzbuch I, Allgemeiner Teil, Lehrund Praxiskommentar, 4. Aufl., Baden-Baden 2020 (zitiert: Bearbeiter, in: Krahmer / Trenk-Hinterberger, SGB I). Kraus, Michael: Neuregelung von § 203 StGB, Endlich Rechtssicherheit für Outsourcing bei Berufsgeheimnisträgern?, PinG 2018, S. 16–20. Krawczak, Michael / Weichert, Thilo: Medizinforscher und Datenschützer fordern Bund- Länder-Staatsvertrag, DANA 2017, S. 193–201. Krawczak, Michael / Weichert, Thilo: Vorschlag einer modernen Dateninfrastruktur für die medizinische Forschung in Deutschland, GMS Medizinische Informatik, Biometrie und Epidemiologie, 2019, Vol. 15 (1), S. 1–8. Kremer, Sascha: Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung? Analyse der tatsächlichen Lebenssachverhalte zur Abgrenzung zwischen gemeinsamer Verantwortlichkeit und Auftragsverarbeitung, CR 2019, S. 225–234. Krohm, Niklas / Müller-Peltzer, Philipp: Auswirkungen des Kopplungsverbots auf die Praxistauglichkeit der Einwilligung, Das Aus für das Modell „Service gegen Daten“?, ZD 2017, S. 551–556. Kroschwald, Steffen / Wicker, Magda: Kanzleien und Praxen in der Cloud – Strafbarkeit nach § 203 StGB, CR 2012, S. 758–764. Krügel, Tina: Das personenbezogene Datum nach der DS-GVO, Mehr Klarheit und Rechtssicherheit?, ZD 2017, S. 455–460. Krüger-Brand, Heike E.: Datenschutz-Grundverordnung: Recht auf Datenübertragbarkeit, DÄBl. 2018, Heft 8, S. A330–A331. Krüger-Brand, Heike E.: Elektronische Patientenakte: Kein „Alles-oder-nichts“ Prinzip, DÄBl. 2020, Heft 7, S. A300. Krüger-Brand, Heike E.: Gesundheitsdatenschutz, Die Komplexität nimmt zu, DÄBl. 2019, Heft 15, S. A725–A728. Krusche, Jan: Kumulation von Rechtsgrundlagen zur Datenverarbeitung, Verhältnis der Einwilligung zu anderen Erlaubnistatbeständen, ZD 2020, S. 232–237. Kügel, Wilfried, J. / Müller, Rolf-Georg / Hoffmann, Hans-Peter (Hrsg.): Arzneimittelgesetz, Kommentar, 2. Aufl., München 2016 (zitiert: Bearbeiter, in: Kügel / Müller / Hoffmann, Arzneimittelgesetz). Kühl, Kristian / Heger, Martin (Hrsg.): Strafgesetzbuch, Kommentar, 29. Aufl., München 2018 (zitiert: Bearbeiter, in: Lackner / Kühl, StGB). Kuhla, Wolfgang: Gesetzgebungskompetenzen im Krankenhausrecht – Erörterung im Hinblick auf aktuelle Beispiele aus der Praxis – NSZ 2014, S. 361–367. Kühling, Jürgen: Datenschutz im Gesundheitswesen, MedR 2019, S. 611–622. Kühling, Jürgen: Gesundheitsdatenschutzrecht im Zeitalter von „Big Data“, Zeit für eine Neukonzeption nach den Vorschlägen des Ethikrates zur Sicherung einer „Datensouveränität“?, DuD 2020, S. 182–188.
Literaturverzeichnis
495
Kühling, Jürgen: Neues Bundesdatenschutzgesetz – Anpassungsbedarf bei Unternehmen, NJW 2017, S. 1985–1990. Kühling, Jürgen / Buchner, Benedikt (Hrsg.): Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Kommentar, 3. Aufl., München 2020 (zitiert: Bearbeiter, in: Kühling / Buchner, DSGVO BDSG). Kühling, Jürgen / Klar, Manuel: Anmerkung zum Urteil des EuGH v. 19. 10. 2016 – C-582/14, ZD 2017, S. 27–29. Kühling, Jürgen / Klar, Manuel: Datenschutz bei E-Health – Zeit für grundlegende Reformen, DuD 2013, S. 791–795. Kühling, Jürgen / Klar, Manuel: Unsicherheitsfaktor Datenschutzrecht – Das Beispiel des Personenbezugs und der Anonymität, NJW 2013, S. 3611–3617. Kühling, Jürgen / Klar, Manuel / Sackmann, Florian: Datenschutzrecht, 4. Aufl., Heidelberg 2018. Kühling, Jürgen / Martini, Mario: Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht?, EuZW 2016, S. 448–454. Kühling, Jürgen / Martini, Mario / Heberlein, Johanna / Kühl, Benjamin / Nink, David / Weinzierl, Quirin / Wenzel, Michael: Die Datenschutz-Grundverordnung und das nationale Recht, Erste Überlegungen zum innerstaatlichen Regelungsbedarf, Münster 2016. Kühling, Jürgen / Sackmann, Florian: Datenschutzordnung 2018 – nach der Reform ist vor der Reform?!, NVwZ 2018, S. 681–686. Kühling, Jürgen / Sackmann, Florian / Schildbach, Roman: Rechtsgutachten über den sozialdatenschutzrechtlichen Weiterentwicklungsbedarf im SGB V und X im Hinblick auf BigData-Anwendungen, Stand: 4. September 2019. Kühling, Jürgen / Schildbach, Roman: Corona-Apps – Daten- und Grundrechtsschutz in Krisenzeiten, NJW 2020, S. 1545–1550. Kühling, Jürgen / Schildbach, Roman: Die Reform der Datentransparenzvorschriften im SGB V, NZS 2020, S. 41–50. Kühling, Jürgen / Seidel, Christian: Abrechnung von Gesundheitsleistungen durch Private nach dem ASNEF-Urteil des EuGH – „Novemberrevolution“ im Datenschutz?!, GesR 2012, S. 402–409. Kuhls, Katharina / Starnecker, Tobias: E-Health-Gesetz: Schreitet die Digitalisierung des Gesundheitswesens voran? (Teil 3) – Stellungnahme zum Gesetzentwurf der Bundesregierung eines Gesetzes für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen, JurisPR-ITR 20/2015, Anm. 2. Kuhn, Anna Kristina / Heinz, Marie-Isabell: Digitalisierung in der Medizin im Spannungsfeld zwischen technischen und legislativen Möglichkeiten und rechtlichen Grenzen, GesR 2018, S. 691–698. Kühnl, Christina / Rohrer, Kerstin / Schneider, Nick Kai: Ein europäischer Gesundheitsdatenschutz – Eine Utopie trotz EU-Datenschutz-Grundverordnung?, DuD 2018, S. 735–740. Küll, Carolin: Datenschutz bei vernetzten Produkten und beim digitalen Marketing im Gesundheitsbereich, Internet der Dinge, Social Media, Mobile Apps, A&R 2019, S. 51–60.
496
Literaturverzeichnis
Kunkel, Peter-Christian: Sozialdatenschutz nach EU-Datenschutzgrundverordnung und Anpassungsgesetz, ZFSH SGB 2017, S. 443–450. Langkeit, Jochen: Umfang und Grenzen der ärztlichen Schweigepflicht gemäß § 203 I Nr. 1 StGB, NStZ 1994, S. 6–9. Laue, Philip / Kremer, Sascha: Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl., Baden-Baden 2019. Laufs, Adolf / Katzenmeier, Christian / Lipp, Volker: Arztrecht, 8. Aufl., München 2021. Leopold, Anders: Informationspflichten nach der DS-GVO im sozialgerichtlichen Verfahren, NZS 2018, S. 357–362. Leupold, Andreas / Wiebe, Andreas / Glossner, Silke: IT-Recht, Recht, Wirtschaft und Technik der digitalen Transformation, 4. Aufl., München 2021 (zitiert: Bearbeiter, in: Leupold / Wiebe / Glossner, Münchener Anwaltshandbuch IT-Recht). von Lewinski, Kai: Europäisierung des Datenschutzrechts, Umsetzungsspielraum des deutschen Gesetzgebers und Entscheidungskomptenz des BVerfG, DuD 2012, S. 564–570. Lezzi, Lukas / Oberlin, Jutta Sonja: Gemeinsam Verantwortliche in der konzerninternen Datenverarbeitung, Eine praxisorientierte Darstellung möglicher Konstellationen, ZD 2018, S. 398–404. Lippert, Hans-Dieter: Biomedizinische Forschung unter den Regeln der Verordnung (EU) 2016/679 – Datenschutzgrundverordnung (DS-GVO), GesR 2018, S. 613–622. Lippert, Hans-Dieter: Die klinische Prüfung mit Arzneimitteln in Deutschland nach neuem Recht, MedR 2016, S. 773–778. Lippert, Hans-Dieter: Forschung mit Daten von Versicherten aus der gesetzlichen Krankenversicherung? Zugleich Besprechung des Beschlusses des BVerfG vom 19. 3. 2020 – 1 BvQ 1/20, GesR 2020, S. 639–642. Lodzig: Medizinische Forschung – Änderungen unter der DS-GVO?, ZD-Aktuell 2012, 02990. Lugani, Katharina: Einwilligung in Schwangerschaftsabbruch durch Minderjährige, NJW 2020, S. 1330–1332. Lurtz, Helmut / Schindler, Stephan: Anmerkung zum Urteil des EuGH v. 29. 7. 2019 – C-40/17, VuR 2019, S. 471–475. Lurtz, Helmut / Schomberg, Sabrina: Pflicht zur Benennung eines Datenschutzbeauftragten, ZD-Aktuell 2019, 06732. von Mangoldt, Hermann / Klein, Friedrich / Starck, Christian (Begr.): Kommentar zum Grundgesetz, Bd. 2: Art. 20–82, 7. Aufl., München 2018 (zitiert: Bearbeiter, in: v. Mangoldt / Klein / Starck, GG-Kommentar). Mantz, Reto / Spittka, Jan: Anmerkung zum Urteil des EuGH v. 19. 10. 2016 – C-582/14, NJW 2016, S. 3582–3583. Marburger, Horst: Auswirkungen der geplanten EU-Datenschutzverordnung auf die gesetz liche Krankenversicherung, WzS 2012, S. 304–307.
Literaturverzeichnis
497
Marnau, Ninja: Anonymisierung, Pseudonymisierung und Transparenz für Big Data, Technische Herausforderungen und Regelungen in der Datenschutz-Grundverordnung, DuD 2016, S. 428–433. Marosi, Johannes / Matthé, Luisa: Anmerkung zum Urteil des EuGH v. 5. 6. 2018 – C-210/16, ZD 2018, S. 361–363. Marsch, Nikolaus: Das europäische Datenschutzgrundrecht, Grundlagen, Dimensionen, Verflechtungen, Tübingen 2018. Martin, Nicholas / Mester, Britta Alexandra / Schiering, Ina / Friedewald, Michael / Hallinan, Dara: Datenschutz-Folgenabschätzung, Ein notwendiges „Übel“ des Datenschutzes?, DuD 2020, S. 149–153. Martin, Nicholas / Schiering, Ina / Friedewald, Michael: Methoden der Datenschutz-Folgen abschätzung, Welche Unterschiede weisen die verschiedenen methodischen Ansätze auf?, DuD 2020, S. 154–160. Martini, Mario / Botta, Jonas: Undurchsichtige Datentransfers – gläserne Studierende, datenschutzrechtliche Schranken der Datenübermittlung in die USA am Beispiel von Massive Open Online Courses, MOOCs, VerwArch 2019, S. 235–279. Martini, Mario / Hohmann, Matthias: Der gläserne Patient: Dystopie oder Zukunftsrealität? Perspektiven datengetriebener Gesundheitsforschung unter der DSGVO und dem DigitaleVersorgung-Gesetz, NJW 2020, S. 3573–3578. Matejek, Michael / Mäusezahl, Steffen: Gewöhnliche vs. sensible personenbezogene Daten, Abgrenzung und Verarbeitungsrahmen von Daten gemäß Art. 9 DS-GVO, ZD 2019, S. 551–556. Mathes, Hanna / Krohm, Niclas: Der Schutz von Gesundheitsdaten im Gefüge rechtlicher Auslegungsspielräume auf nationaler und europäischer Ebene, PinG 2015, S. 49–54. Maunz, Theodor (Begr.): Bundesverfassungsgerichtsgesetz, Kommentar, Loseblatt-Ausgabe, 61. Ergänzungslieferung, München Juli 2021 (zitiert: Bearbeiter, in: Schmidt-Bleibtreu / Klein / Bethge, BVerfGG). Maunz, Theodor / Dürig, Günter (Begr.): Grundgesetz, Kommentar, Bd. 1: Art. 1–5, LoseblattAusgabe, 95. Ergänzungslieferung, München Juli 2021, Bd. 5: Art. 68–87, Loseblatt-Ausgabe, 95. Ergänzungslieferung, München Juli 2021, Bd. 7: Art. 107–146, Loseblatt-Ausgabe, 95. Ergänzungslieferung, München Juli 2021, (zitiert: Bearbeiter, in: Maunz / Dürig, GG-Kommentar). Maurer, Hartmut / Waldhoff, Christian: Allgemeines Verwaltungsrecht, 20. Aufl., München 2020. Maus, Christian: Anmerkung zu BSG, Urt. v. 27. 6. 2018 – B 6 KA 27/17 R (Schleswig- Holsteinisches LSG), MedR 2019, S. 410–411. Meier, André: Der rechtliche Schutz patientenbezogener Gesundheitsdaten, Karlsruhe 2003. Menzel, Hans-Joachim: Datenschutzrechtliche Einwilligungen, Plädoyer für eine Rückkehr zur Selbstbestimmung, DuD 2008, S. 400–408. Mester, Britta Alexandra: Joint Control, Gemeinsame Verantwortlichkeit im Sinne der Datenschutz-Grundverordnung, DuD 2019, S. 167.
498
Literaturverzeichnis
Meyer, Jürgen / Hölscheidt, Sven (Hrsg.): Charta der Grundrechte der Europäischen Union, 5. Aufl., München 2019 (zitiert: Bearbeiter, in: Meyer / Hölscheidt, GRCh). Michl, Walther: Das Verhältnis zwischen Art. 7 und Art. 8 GRCh – zur Bestimmung der Grundlage des Datenschutzgrundrechts im EU-Recht, DuD 2017, S. 347–353. Michl, Walther: Die Neuausrichtung des Bundesverfassungsgerichts in der digitalisierten Grundrechtelandschaft, JURA 2020, S. 479–490. Monreal, Manfred: Weiterverarbeitung nach einer Zweckänderung in der DS-GVO, Chancen nicht nur für das europäische Verständnis des Zweckbindungsgrundsatzes, ZD 2016, S. 507–512. Moos, Flemming / Rothkegel, Tobias: Anmerkung zum Urteil des EuGH v. 19. 10. 2016 – C-582/14, MMR 2016, S. 845–847. Moos, Flemming / Rothkegel, Tobias: Anmerkung zum Urteil des EuGH v. 29. 7. 2019 – C-40/17, MMR 2019, S. 584–587. Moos, Flemming / Rothkegel, Tobias: Anmerkung zum Urteil des EuGH v. 5. 6. 2018 – C-210/16, MMR 2018, S. 596–600. Moos, Flemming / Schefzig, Jens / Arning, Marian (Hrsg.): Die neue Datenschutz-Grundverordnung, Berlin 2018 (zitiert: Bearbeiter, in: Moos / Schefzig / A rning, Die neue DatenschutzGrundverordnung). Mrozynski, Peter (Hrsg.): SGB I Allgemeiner Teil, Kommentar, 6. Aufl., München 2019 (zitiert: Bearbeiter, in: Mrozynski, SGB I). Müller, Marian: Die Öffnungsklauseln der Datenschutzgrundverordnung, Ein Beitrag zur europäischen Handlungsformenlehre, Münster 2018. Münch, Florian: Autonome Systeme im Krankenhaus, Datenschutzrechtlicher Rahmen und strafrechtliche Grenzen, Baden-Baden 2017. Nebendahl, Mathias: Selbstbestimmungsrecht und rechtfertigende Einwilligung des Minderjährigen bei medizinischen Eingriffen, MedR 2009, S. 197–205. Nguyen, Alexander: Die Subsidiaritätsrüge des Deutschen Bundesrates gegen den Vorschlag der EU-Kommission für eine Datenschutz-Grundverordnung, ZEuS 2012, S. 277–300. Nickel, Lars / Seibel, Yvonne / Frech, Marion / Sudhop, Thomas: Änderungen des Arzneimittelgesetzes durch die EU-Verordnung zu klinischen Prüfungen, Bundesgesundheitsbl. 2017, S. 804–811. Niklas, Thomas / Faas, Thomas: Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung, NZA 2017, S. 1091–1097. Nink, Judith / Pohle, Jan: Die Bestimmbarkeit des Personenbezugs, Von der IP-Adresse zum Anwendungsbereich der Datenschutzgesetze, MMR 2015, S. 563–567. Ortner, Roderic / Daubenbüchel, Felix: Medizinprodukte 4.0 – Haftung, Datenschutz, IT- Sicherheit, NJW 2016, S. 2918–2924. Otto, Dirk / Rüdlin, Mark: Standardisierung von Patienteneinwilligungen im Krankenhaus, Vorschlag zum einfacheren und effizienteren Umgang mit Einwilligungserklärungen zur Datenverarbeitung, ZD 2017, S. 519–524.
Literaturverzeichnis
499
Paal, Boris P. / Kumkar, Lea Katharina: Datenübermittlungen nach dem Unwirksamwerden des EU-US-Privacy Shield, Bestandsaufnahme und Handlungsempfehlungen nach der EuGHEntscheidung „Schrems II“, MMR 2020, S. 733–739. Paal, Boris P. / Pauly, Daniel A. (Hrsg.): Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Kommentar, 3. Aufl., München 2021 (zitiert: Bearbeiter, in: Paal / Pauly, DSGVO BDSG). Pahlen-Brandt, Ingrid: Datenschutz braucht scharfe Instrumente, Beitrag zur Diskussion um „personenbezogene Daten“, DuD 2008, S. 34–40. Pahlen-Brandt, Ingrid: Zur Personenbezogenheit von IP-Adressen, Zugleich eine Replik auf Eckhardt, K&R 2007, 602 ff., K&R 2008, S. 288–291. Palandt, Otto (Begr.): Bürgerliches Gesetzbuch mit Nebengesetzen, 80. Aufl., München 2021 (zitiert: Bearbeiter, in: Palandt). Paul, Jörg-Alexander / Gendelev, Boris: Outsourcing von Krankenhausinformationssystemen, Praxishinweise zur rechtskonformen Umsetzung, ZD 2012, 315–321. Pfeifer, Markus: Auswirkungen der EU-Datenschutz-Grundverordnung auf öffentliche Stellen, GewArch 2014, S. 142–146. Piltz, Carlo: Die Datenschutz-Grundverordnung, Teil 1: Anwendungsbereich, Definitionen und Grundlagen der Datenverarbeitung, K&R 2016, S. 557–567. Piltz, Carlo: Die Datenschutz-Grundverordnung, Teil 3: Rechte und Pflichten des Verantwortlichen und Auftragsverarbeiters, K&R 2016, S. 709–717. Plagemann, Hermann (Hrsg.): Münchener Anwaltshandbuch Sozialrecht, 5. Aufl., München 2018 (zitiert: Bearbeiter, in: Plagemann, Münchener Anwaltshandbuch Sozialrecht). Plath, Kai-Uwe (Hrsg.): DSGVO / BDSG, Kommentar zu DSGVO, BDSG und den Datenschutzbestimmungen von TMG und TKG, 3. Aufl., Köln 2018 (zitiert: Bearbeiter, in: Plath, DSGVO BDSG). Platzer, Helmut: Das Vorhaben einer Forschungsdatenbank nach dem Digitale Versorgung Gesetz (DVG) – fragwürdig und risikoreich, NZS 2020, S. 289–295. Pöttgen, Nicole: Medizinische Forschung und Datenschutz, Frankfurt a. M. / New York 2008. Preuß, Tamina: Das Datenschutzrecht der Religionsgesellschaften, Eine Untersuchung de lege lata und de lege ferenda nach Inkrafttreten der DS-GVO, ZD 2015, S. 217–225. Prütting, Jens / Friedrich, Kilian: Reformbedarf des § 630g BGB, MedR 2021, S. 523–529. Prütting, Jens / Friedrich, Kilian / Winter, Wiebke / Wolk, Tom: Digitalisierung im Gesundheitswesen, Aktuelle Themen, GesR 2020, S. 756–763. Prütting, Jens / Wolk, Tom: Software unter dem Regime der europäischen Medizinprodukteverordnung (2017/745/EU) – Ein massives Innovationshemmnis! –, MedR 2020, S. 359–365. Purohit, Anne-Maria / Geibel, Peter / Meyer, Ingo / Beenkens, Fernao: Die elektronische Patientenakte nach § 341 SGB V, Bedeutung und Umsetzungshinweise für die Krankenhäuser, Das Krankenhaus 2020, S. 1084–1088.
500
Literaturverzeichnis
Rammos, Thanos: Die datenschutzrechtliche Zulässigkeit von Broad Consent für Forschungszwecke nach der Datenschutz-Grundverordnung, A&R 2017, S. 243–248. Ratzel, Rudolf / Luxenburger, Bernd: Handbuch Medizinrecht, 4. Aufl., Heidelberg 2021. Rehmann, Wolfgang A. (Hrsg.): Arzneimittelgesetz, Kommentar, 5. Aufl., München 2020 (zitiert: Bearbeiter, in: Rehmann, Arzneimittelgesetz). Rehmann, Wolfgang A. / Heimhalt, Diana: Rechtliche Aspekte von Health-Apps, A&R 2014, S. 250–256. Reich, Christoph: Überblick über Betroffenenrechte nach der Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz (neu), VuR 2018, S. 293–297. Reimer, Sebastian / Artmann, Jörg / Stroetmann, Karl A.: Rechtliche Aspekte der Nutzung von elektronischen Gesundheitsdaten, Europäischer Rahmen und nationale Erfahrungen, DuD 2013, S. 154–159. Reiter, Elin: Der Schutz des informationellen Selbstbestimmungsrechts des Versicherungsnehmers, Unter besonderer Berücksichtigung personenbezogener Gesundheitsdaten, Berlin 2019. Richter, Heiko: Anmerkung zum Urteil des EuGH v. 19. 10. 2016 – C-582/14, EuZW 2016, S. 912–914. Richter, Philipp: Big Data, Statistik und die Datenschutz-Grundverordnung, DuD 2016, S. 581–586. Richter, Philipp: Datenschutz zwecklos? – Das Prinzip der Zweckbindung im Ratsentwurf der DSGVO, DuD 2015, S. 735–740. Robrahn, Rasmus / Bremert, Benjamin: Interessenskonflikte im Datenschutzrecht, Rechtfertigung der Verarbeitung personenbezogener Daten über eine Abwägung nach Art. 6 Abs. 1 lit. f DS-GVO, ZD 2018, S. 291–297. Rogosch, Patricia Maria: Die Einwilligung im Sozialdatenschutzrecht, Baden-Baden 2013. Rolfs, Christian / Giesen, Richard / Kreikebohm, Ralf / Meßling, Miriam / Udsching, Peter (Hrsg.): Beck’scher Online-Kommentar Sozialrecht, 58. Edition, Stand 01. 09. 2020, München, 61. Edition, Stand 01. 06. 2021, München, (zitiert: Bearbeiter, in: BeckOK Sozialrecht). Roßnagel, Alexander (Hrsg.): Das neue Datenschutzrecht, Europäische Datenschutz-Grundverordnung und deutsche Datenschutzgesetze, Baden-Baden 2018. Roßnagel, Alexander: Datenschutz in der Forschung, Die neuen Datenschutzregelungen in der Forschungspraxis von Hochschulen, ZD 2019, 157–164. Roßnagel, Alexander: Datenschutzfragen des Cloud Computing, S. 19–52, in: Roßnagel, Alexander (Hrsg.), Wolken über dem Rechtsstaat? Recht und Technik des Cloud Computing in Verwaltung und Wirtschaft, Baden-Baden 2015. Roßnagel, Alexander: Datenschutzgrundsätze – Unverbindliches Programm oder verbindliches Recht? Bedeutung der Grundsätze für die datenschutzrechtliche Praxis, ZD 2018, S. 339–344.
Literaturverzeichnis
501
Roßnagel, Alexander: Der Datenschutz von Kindern in der DS-GVO, Vorschläge für die Evaluierung und Fortentwicklung, ZD 2020, S. 88–92. Roßnagel, Alexander (Hrsg.): Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, Baden-Baden 2017. Roßnagel, Alexander: Gesetzgebung im Rahmen der Datenschutz-Grundverordnung, Aufgaben und Spielräume des deutschen Gesetzgebers?, DuD 2017, S. 277–281. Roßnagel, Alexander (Hrsg.): Handbuch Datenschutzrecht, Die neuen Grundlagen für Wirtschaft und Verwaltung, München 2003. Roßnagel, Alexander: Kein „Verbotsprinzip“ und kein „Verbot mit Erlaubnisvorbehalt“ im Datenschutzrecht, Zur Dogmatik der Datenverarbeitung als Grundrechtseingriff, NJW 2019, S. 1–5. Roßnagel, Alexander: Pseudonymisierung personenbezogener Daten, Ein zentrales Instrument im Datenschutz nach der DS-GVO, ZD 2018, S. 243–247. Roßnagel, Alexander / Kroschwald, Steffen: Was wird aus der Datenschutzgrundverordnung? Die Entschließung des Europäischen Parlaments über ein Verhandlungsdokument, ZD 2014, S. 495–500. Roßnagel, Alexander / Nebel, Maxi / Richter, Philipp: Was bleibt vom europäischen Datenschutzrecht? Überlegungen zum Ratsentwurf der DSGVO, ZD 2015, S. 455–460. Rübsamen, Katrin: Rechtliche Rahmenbedingungen für mobileHealth, MedR 2015, S. 485–491. Ruppert, Felix: Der neue strafrechtliche Geheimnisschutz – Der Weg in die Zukunft des ITOutsourcings?, K&R 2017, S. 609–613. Sachs, Michael (Hrsg.): Grundgesetz, Kommentar, 9. Aufl., München 2021 (zitiert: Bearbei ter, in: Sachs, GG-Kommentar). Säcker, Franz Jürgen / Rixecker, Roland / Oetker, Hartmut / Limpberg, Bettina (Hrsg.): Münchener Kommentar zum Bürgerlichen Gesetzbuch, Bd. 5: Schuldrecht – Besonderer Teil II, §§ 535–630h, 8. Aufl., München 2020, Bd. 10: Familienrecht II, §§ 1589–1921, SGB VIII, 8. Aufl., München 2020, (zitiert: Bearbeiter, in: MüKo-BGB). Sackmann, Florian: Datenspende als gesetzlicher Zulässigkeitstatbestand mit Zustimmungsvorbehalt, Erste Überlegungen zur Konzeption einer gesetzlichen Regelung zur Freigabe von Gesundheitsdaten für Zwecke der medizinischen Forschung, PinG 2019, S. 277–279. Samardzik, Darko / Becker, Thomas: Die Grenzen des Datenschutzes – Der beschränkte Schutz durch Freiwilligkeit und Einwilligung bei Corona-Apps, EuZW 2020, S. 646–654. Sattler, Andreas: Gemeinsame Verantwortlichkeit – getrennte Pflichten, Zugleich Besprechung von EuGH „Fashion ID / Verbraucherzentrale NRW“, GRUR 2019, S. 1023–1026. Schaar, Katrin: Anpassung von Einwilligungserklärungen für wissenschaftliche Forschungsprojekte, Die informierte Einwilligung nach der DS-GVO und den Ethikrichtlinien, ZD 2017, S. 213–220.
502
Literaturverzeichnis
Schaar, Katrin: Die informierte Einwilligung als Voraussetzung für die (Nach-)nutzung von Forschungsdaten, Beitrag zur Standardisierung von Einwilligungserklärungen im Forschungsbereich unter Einbeziehung der Vorgaben der DS-GVO und Ethikvorgaben, Rat SWD Working Paper Series Nr. 264, Juni 2017. Schaar, Katrin: DSGVO: Geänderte Vorgaben für die Wissenschaft, Was sind die neuen Rahmenbedingungen und welche Fragen bleiben offen?, ZD 2016, S. 224–226. Schaffland, Hans-Jürgen / Wiltfang, Noeme (Begr.): Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Kommentar, Loseblatt-Ausgabe, Ergänzungslieferung 08/2020, Berlin 2017 (zitiert: Bearbeiter, in: Schaffland / Wiltfang, DSGVO BDSG). Schafft, Thomas: Perspektiven kooperativer Versorgungsforschung, S. 61–77, in: Voit, Wolfgang (Hrsg.), Herausforderungen und Perspektiven des Pharmarechts, Blick nach Europa – AMNOG – Datenschutz & Compliance, 16. Symposium von Wissenschaft und Praxis, Baden-Baden 2014. Schantz, Peter: Die Datenschutzgrundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, S. 1841–1847. Schantz, Peter / Wolff, Heinrich Amadeus: Das neue Datenschutzrecht, Datenschutz-Grundverordnung und Bundesdatenschutzgesetz in der Praxis, München 2017. Schiemann, Cornelia / Peters, Jens / Z umdick, Ulf: Die Einordnung datenschutzrechtlicher Verantwortlichkeiten am Beispiel der klinischen Prüfung, A&R 2019, S. 147–155. Schild, Hans-Hermann / Tinnefeld, Marie-Theres: Datenschutz in der Union – Gelungene oder missglückte Gesetzentwürfe?, DuD 2012, S. 312–317. Schlegel, Rainer / Voelzke, Thomas (Hrsg.): juris PraxisKommentar SGB, Sozialgesetzbuch Fünftes Buch (SGB V), Gesetzliche Krankenversicherung, 4. Aufl., Saarbrücken 2020 (zitiert: Bearbeiter, in: Schlegel / Voelzke, JurisPK-SGB V). Schlegel, Rainer / Voelzke, Thomas (Hrsg.): juris PraxisKommentar SGB, Sozialgesetzbuch Zehntes Buch (SGB X), Sozialverwaltungsverfahren und Sozialdatenschutz, 2. Aufl., Saarbrücken 2017 (zitiert: Bearbeiter, in: Schlegel / Voelzke, JurisPK-SGB X). Schmid, Gregor / Kahl, Thomas: Verarbeitung „sensibler“ Daten durch Cloud-Anbieter in Drittstaaten, Auftragsdatenverarbeitung nach geltendem Recht und DS-GVO, ZD 2017, S. 54–57. Schmidt, Bernd / Freund, Bernhardt: Perspektiven der Auftragsverarbeitung, Wegfall der Privilegierung mit der DS-GVO?, ZD 2017, S. 14–18. Schmitz, Barbara / v. Dall’Armi, Jonas: Auftragsdatenverarbeitung in der DS-GVO – das Ende der Privilegierung?, Wie Daten künftig von Dienstleistern verarbeitet werden müssen, ZD 2016, S. 427–432. Schmitz, Barbara / v. Dall’Armi, Jonas: Datenschutz-Folgenabschätzung – verstehen und anwenden, Wichtiges Instrument zur Umsetzung von Privacy by Design, ZD 2017, S. 57–64. Schneider, Jana / Schindler, Stephan: Videoüberwachung als Verarbeitung personenbezogener Daten, Datenschutzrechtliche Anforderungen beim Erheben von Videodaten, ZD 2018, S. 463–469.
Literaturverzeichnis
503
Schneider, Jochen: Datenschutz nach der EU-Datenschutz-Grundverordnung, 2. Aufl., München 2019. Schneider, Uwe K.: Sekundärnutzung klinischer Daten – Rechtliche Rahmenbedingungen, Berlin 2015. Schneider, Uwe Klaus: Einrichtungsübergreifende elektronische Patientenakten, zwischen Datenschutz und Gesundheitsschutz, Wiesbaden 2016. Schönke, Adolf / Schröder, Horst (Begr.): Strafgesetzbuch, Kommentar, 30. Aufl., München 2019 (zitiert: Bearbeiter, in: Schönke / Schröder, StGB). Schrahe, Dominik / Städter, Thomas: Gesundheits-Apps auf Rezept und Forschung mit Gesundheitsdaten, Kritische Würdigung des DVG und des PDSG aus Sicht des Datenschutzes und der IT-Sicherheit, DuD 2020, S. 713–717. Schreiber, Kristina / Gottwald, Bernadette: Gesundheits-App auf Rezept, Die neue Datenschutzprüfung im Digitale-Versorgung-Gesetz, ZD 2020, S. 385–391. Schreiber, Marie: Die medizinische Forschung mit abgetrennten Körpersubstanzen Minderjähriger, Berlin 2019. Schröder, Jürgen: Datenschutzrechtliche Fragen aus Sicht der KBV, MedR 2019, S. 631–636. Schuler, Karin / Weichert, Thilo: Die Datenverarbeitung des Betriebsarztes, Hinweise zum datenschutzgerechten Umgang mit Patientendaten durch Betriebsärzte und betriebsärzt liche Dienste, Version 1.0, Stand 22. 09. 2020. Schulz, Sebastian: Die Evaluation der DSGVO, Anregungen aus dem Maschinenraum, DuD 2020, S. 302–306. Schulz, Tim F.: Das Digitale-Versorgung-Gesetz, Digitale Gesundheitsanwendungen und Innovationsförderung oder Persönlichkeitsrechtsverletzungen?, SGb 2020, S. 536–543. Schütz, Joachim / Schmitz, Sonja / Ippach, Jan: Die elektronische Patientenakte – Anforderungen aus Sicht des Datenschutzes, RDV 2019, S. 224–231. Schütze, Bernd: Die Datenschutz-Grundverordnung aus Sicht der Gesundheitsversorgung, DANA 2017, S. 188–192. Schütze, Bernd (Hrsg.): SGB X, Sozialverwaltungsverfahren und Sozialdatenschutz, Kommentar, 8. Aufl., München 2014 (zitiert: Bearbeiter, in: v. Wulffen / Schütze, SGB X), 9. Aufl., München 2020 (zitiert: Bearbeiter, in: Schütze, SGB X). Schütze, Bernd / Spyra, Gerald: DS-GVO – Was ändert sich im Gesundheitswesen?, RDV 2016, S. 285–294. Schwartmann, Rolf / Jaspers, Andreas / Thüsing, Gregor / Kugelmann, Dieter (Hrsg.), Heidelberger Kommentar, Datenschutzgrundverordnung, Bundesdatenschutzgesetz, 2. Aufl., Heidelberg 2020 (zitiert: Bearbeiter, in: Schwartmann / Jaspers / T hüsing / Kugelmann, DSGVO BDSG). Schweinoch, Martin / Peintinger, Stefan: Anonymisierung im Datenschutz – terra incognita? Die Chancen und Risiken, den DSGVO-Vorgaben zu entkommen, CR 2020, S. 643–649. Schwichtenberg, Simon: Datenschutz in drei Stufen, Ein Auslegungsmodell am Beispiel des vernetzten Automobils, Wiesbaden 2018.
504
Literaturverzeichnis
Seiler, David: Überblick zur Datenverarbeitung im medizinischen Bereich unter der DSGVO, Unter Berücksichtigung der Novellierung des § 203 StGB, PinG 2018, S. 43–48. Selk, Robert: EU-DS-GVO: Neue Anforderungen an die Einwilligung?, DANA 2016, S. 59–62. Simitis, Spiros (Hrsg.): Bundesdatenschutzgesetz, 8. Aufl., Baden-Baden 2014 (zitiert: Be arbeiter, in: Simitis, BDSG a. F.). Simitis, Spiros / Hornung, Gerrit / Spiecker genannt Döhmann, Indra (Hrsg.): Datenschutzrecht, DSGVO mit BDSG, Kommentar, Baden-Baden 2019 (zitiert: Bearbeiter, in: Simitis / Hornung / Spiecker, Datenschutzrecht). Sodan, Helge (Hrsg.): Handbuch des Krankenversicherungsrechts, 3. Aufl., München 2018. Sosna, Sven: Daten- und Geheimnisschutz bei Outsourcing-Projekten im Krankenhaus bereich, Baden-Baden 2015. Specht, Louisa / Mantz, Reto (Hrsg.): Handbuch Europäisches und deutsches Datenschutzrecht: Bereichsspezifischer Datenschutz in Privatwirtschaft und öffentlichem Sektor, München 2019. Specht-Riemenschneider, Louisa / Schneider, Ruben: Die gemeinsame Verantwortlichkeit im Datenschutzrecht, Rechtsfragen des Art. 26 DS-GVO am Beispiel „Facebook-Fanpages“, MMR 2019, S. 503–509. Spickhoff, Andreas: Einwilligung und Geschäftsfähigkeit von Minderjährigen im Kontext medizinischer Behandlungen, FamRZ 2018, S. 412–425. Spickhoff, Andreas (Hrsg.): Medizinrecht, 3. Aufl., München 2018. Spiecker genannt Döhmann, Indra: Gesundheitsversorgung im Zeitalter der DS-GVO – eine Einführung, S. 11–21, in: Spiecker genannt Döhmann, Indra / Wallrabenstein, Astrid (Hrsg.), Gesundheitsversorgung in Zeiten der Datenschutz-Grundverordnung, Berlin 2019. Spiecker genannt Döhmann, Indra / Bretthauer, Sebastian (Hrsg.): Dokumentation zum Datenschutz mit Informationsfreiheitsrecht, Bd. 3, Loseblatt-Ausgabe, 82. Ergänzungslieferung, Baden-Baden 2021 (zitiert: Bearbeiter, in: Spiecker / Bretthauer, Dokumentation zum Datenschutz). Spiecker genannt Döhmann, Indra / Eisenbarth, Markus: Kommt das „Volkszählungsurteil“ nun durch den EuGH? Der Europäische Datenschutz nach Inkrafttreten des Vertrags von Lissabon, JZ 2011, S. 169–177. Spiecker genannt Döhmann, Indra / Wallrabenstein, Astrid: Vorwort, S. 6–7, in: Spiecker genannt Döhmann, Indra / Wallrabenstein, Astrid (Hrsg.): Gesundheitsversorgung in Zeiten der Datenschutz-Grundverordnung, Berlin 2019. Spies, Axel: EU: EDSA zum territorialen Anwendungsbereich der DS-GVO, ZD-Aktuell 2018, 06396. Spindler, Gerald: Big Data und Forschung mit Gesundheitsdaten in der gesetzlichen Krankenversicherung, MedR 2016, S. 691–699. Spindler, Gerald / Schuster, Fabian (Hrsg.): Recht der elektronischen Medien, Kommentar, 4. Aufl., München 2019 (zitiert: Bearbeiter, in: Spindler / Schuster, Recht der elektronischen Medien).
Literaturverzeichnis
505
Spranger, Tade Matthias: Die datenschutzrechtliche Einwilligung im Gesundheitskontext: zum Umgang mit genetischen, biometrischen und Gesundheitsdaten, MedR 2017, S. 864–866. Spranger, Tade Matthias: Sind das Arzneimittel- und das Medizinprodukterecht Referenz gebiete für eine europäische Harmonisierung des Medizinrechts?, MedR 2014, S. 733–736. Spranger, Tade Matthias / Schulz, Tobias: Auswirkungen der Datenschutz-Grundverordnung auf die pharmazeutische Forschung, PharmR 2017, S. 128–131. Spyra, Gerald: Die Arztpraxis – Datenschutz und Datensicherheit nach der neuen Datenschutzgrundverordnung, Landsberg am Lech 2019. Staffeldt, Thomas: Mehr Daten für bessere Gesundheit, G+S 2020, S. 59–63. Steinrötter, Björn: Datenschutzrechtliche Implikationen beim Einsatz von Pflegerobotern, Frühzeitig eingeholte Einwilligungen als Schlüssel für zulässige Geriatronik-Anwendungen, ZD 2020, S. 336–340. Stober, Rolf / Kluth, Winfried: Verwaltungsrecht I, 13. Aufl., München 2017. Stoklas, Jonathan: Das Patientendaten-Schutz-Gesetz – Mehr Rechte für Patienten, ZD- Aktuell 2020, 07308. Strech, Daniel / Graf von Kielmansegg, Sebastian / Z enker, Sven / Krawczak, Michael / Semler, Sebastian C.: Wissenschaftliches Gutachten „Datenspende“ – Bedarf für die Forschung, ethische Bewertung, rechtliche, informationstechnologische und organisatorische Rahmenbedingungen, Version 1.1, Berlin 30. 03. 2020. Streinz, Rudolf (Hrsg.): EUV / A EUV, Vertrag über die Europäische Union, Vertrag über die Arbeitsweise der Europäischen Union, Charta der Grundrechte der Europäischen Union, 3. Aufl., München 2018 (zitiert: Bearbeiter, in: Streinz, EUV AEUV). Streinz, Rudolf / Michl, Walther: Die Drittwirkung des europäischen Datenschutzgrundrechts (Art. 8 GRCh) im deutschen Privatrecht, EuZW 2011, S. 384–388. Strubel, Michael: Anwendungsbereich des Rechts auf Datenübertragbarkeit, Auslegung des Art. 20 DS-GVO unter Berücksichtigung der Guidelines der Art. 29-Datenschutzgruppe, ZD 2017, S. 355–361. Stück, Volker: Anmerkung zum Urteil des EuGH v. 19. 10. 2016 – C-582/14, CCZ 2017, S. 230. Stürner, Rolf (Hrsg.): Jauernig, Bürgerliches Gesetzbuch mit Rom-I-, Rom-II-VO, EuUnthVO / HUntProt und EuErbVO, Kommentar, 18. Aufl., München 2021 (zitiert: Bearbeiter, in: Jauernig, BGB). Syckor, Jens / Strufe, Thorsten / L auber-Rönsberg, Anne: Die Datenschutz-Folgenabschätzung: Ausnahme oder Regelfall? Wann muss eine Datenschutz-Folgenabschätzung durchgeführt werden?, ZD 2019, S. 390–394. Sydow, Gernot (Hrsg.): Bundesdatenschutzgesetz, Handkommentar, Baden-Baden 2020 (zitiert: Bearbeiter, in: Sydow, BDSG). Sydow, Gernot (Hrsg.): Europäische Datenschutzgrundverordnung, Handkommentar, 2. Aufl., Baden-Baden 2018 (zitiert: Bearbeiter, in: Sydow, DSGVO).
506
Literaturverzeichnis
Sydow, Gernot (Hrsg.): Kirchliches Datenschutzrecht, Datenschutzbestimmungen der katho lischen Kirche, Handkommentar, Baden-Baden 2021 (zitiert: Bearbeiter, in: Sydow, Kirchliches Datenschutzrecht). Taeger, Jürgen: Scoring in Deutschland nach der EU-Datenschutzgrundverordnung, ZRP 2016, S. 72–75. Taeger, Jürgen / Gabel, Detlev (Hrsg.): DSGVO BDSG, Kommentar, 3. Aufl., Frankfurt a. M. 2019 (zitiert: Bearbeiter, in: Taeger / Gabel, DSGVO BDSG). Taeger, Jürgen / Pohle, Jan (Hrsg.): Computerrechts-Handbuch, Informationstechnologie in der Rechts- und Wirtschaftspraxis, Loseblatt-Ausgabe, 36. Ergänzungslieferung, München Februar 2021 (zitiert: Bearbeiter, in: Taeger / Pohle, Computerrechts-Handbuch). Taupitz, Jochen: Biobanken: Forschungsprivilegien im Datenschutzrecht, S. 603–625, in: Katzenmeier, Christian (Hrsg.), Festschrift für Dieter Hart, Berlin 2020. Taupitz, Jochen: Der Entwurf einer europäischen Datenschutz-Grundverordnung – Gefahren für die medizinische Forschung, MedR 2012, S. 423–428. Taupitz, Jochen / Schreiber, Marie: Biobanken – zwischen Forschungs- und Spenderinteressen, Bundesgesundheitsbl. 2016, S. 304–310. Thüsing, Gregor / Flink, Maike: Das gesetzliche Verbot der Korrektur unrichtiger Diagnosedaten – Zur Verfassungskonformität des § 303 Abs. 4 SGB V –, MedR 2020, S. 650–663. Thüsing, Gregor / Rombey, Sebastian: Forschung im Gesundheitswesen: Anforderungen an einen passgenauen Datenschutz, NZS 2019, S. 201–205. Thüsing, Gregor / Schmidt, Maximilian / Forst, Gerrit: Das Schriftformerfordernis der Einwilligung nach § 4a BDSG im Pendelblick zu Art. 7 DS-GVO, RDV 2017, S. 116–122. Thym, Daniel: Die Reichweite der EU-Grundrechte-Charta – Zu viel Grundrechtsschutz?, NVwZ 2013, S. 889–896. Tinnefeld, Marie-Theres: Das Verhältnis von DSGVO und nationalen kirchlichen Sonderregelungen, Anforderungen an das kirchliche Selbstbestimmungsrecht, ZD 2020, S. 145–148. Tinnefeld, Marie-Theres / Buchner, Benedikt / Petri, Thomas / Hof, Hans-Joachim: Einführung in das Datenschutzrecht, Datenschutz und Informationsfreiheit in europäischer Sicht, 7. Aufl., Berlin 2019. Tinnefeld, Marie-Theres / Conrad, Isabell: Die selbstbestimmte Einwilligung im europäischen Recht, Voraussetzungen und Probleme, ZD 2018, S. 391–398. Uecker, Philip: Die Einwilligung im Datenschutzrecht und ihre Alternativen, Mögliche Lösungen für Unternehmen und Vereine, ZD 2019, S. 248–251. Vedder, Karin: Datenschutz in Arztpraxen, Erfahrungsbericht einer Aufsichtsbehörde, DuD 2014, S. 821–825. Veil, Winfried: Accountability – Wie weit reicht die Rechenschaftspflicht der DS-GVO?, ZD 2018, S. 9–16. Veil, Winfried: Die Datenschutz-Grundverordnung: des Kaisers neue Kleider, Der gefährliche Irrweg des alten wie des neuen Datenschutzrechts, NVwZ 2018, S. 686–696.
Literaturverzeichnis
507
Veil, Winfried: Einwilligung oder berechtigtes Interesse? – Datenverarbeitung zwischen Skylla und Charybdis, NJW 2018, S. 3337–3344. Voigt, Paul: Anforderungen an Drittlandstransfers – ungeklärte Fragen, CR 2020, S. 315–320. Voigt, Paul / von dem Bussche, Axel: EU-Datenschutz-Grundverordnung, Praktikerhandbuch unter vollständiger Berücksichtigung des deutschen Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU, Berlin 2018. Wabnitz, Heinz-Bernd / Janovsky, Thomas / Schmitt, Lothar (Hrsg.): Handbuch Wirtschaftsund Steuerstrafrecht, 5. Aufl., München 2020. Wagner, Bernd: Disruption der Verantwortlichkeit, Private Nutzer als datenschutzrechtliche Verantwortliche im Internet of Things, ZD 2018, S. 307–312. Wagner, Edgar: Der Entwurf einer Datenschutz-Grundverordnung der Europäischen Kommission, DuD 2012, S. 676–678. Wagner, Regine / Knittel, Stefan (Hrsg.): Soziale Krankenversicherung, Pflegeversicherung, Kommentar, Loseblatt-Ausgabe, 111. Ergänzungslieferung, München Mai 2021 (zitiert: Bearbeiter, in: Krauskopf, Soziale Krankenversicherung). Waldkirch, Conrad: Die Verarbeitung von Gesundheitsdaten durch Versicherer, VersR 2020, S. 1141–1155. Walter, Ute / Strobl, Dominik: Erweiterte Auskunfts- und Einsichtnahmerechte in Patientenakten, Zur Bedeutung der DSGVO für § 630g BGB, MedR 2018, S. 472–477. Weichert, Thilo: „Datentransparenz“ und Datenschutz, MedR 2020, S. 539–546. Weichert, Thilo: Big Data im Gesundheitsbereich, Abida Assessing Big Data, 2018. Weichert, Thilo: Big Data, Gesundheit und der Datenschutz, DuD 2014, S. 831–838. Weichert, Thilo: Die DSGVO, ein – ganz guter – Anfang, DuD 2020, S. 293–296. Weichert, Thilo: Die Europäische Datenschutz-Grundverordnung – ein Überblick, DANA 2016, S. 48–56. Weichert, Thilo: Die Forschungsprivilegierung in der DSGVO, Gesetzlicher Änderungsbedarf bei der Verarbeitung personenbezogener Daten für Forschungszwecke, ZD 2020, S. 18–24. Weichert, Thilo: Gesundheitsdatenschutz in vernetzten Zeiten, Bundesgesundheitsbl. 2018, S. 285–290. Weichert, Thilo: Praktische Anwendungsprobleme im Gesundheitsdatenschutz, MedR 2019, S. 622–625. Weichert, Thilo: Sensitive Daten „revisited“, DuD 2017, S. 538–543. Weichert, Thilo: Verfassungswidrige Beschränkung der Datenschutzkontrolle bei Berufs geheimnisträgern, DANA 2017, S. 76–79. Weik, Ramona: Die Datenkopie nach Artikel 15 Abs. 3 DS-GVO, Selbstständiger Anspruch oder Bestandteil der Auskunft?, DuD 2020, S. 98–103. Wendehorst, Christiane / Graf von Westphalen, Friedrich: Das Verhältnis zwischen Datenschutz-Grundverordnung und AGB-Recht, NJW 2016, S. 3745–3750.
508
Literaturverzeichnis
Werkmeister, Christoph / Schwaab, Michael: Auswirkungen und Reichweite des datenschutzrechtlichen Forschungsprivilegs, CR 2019, S. 85–90. Werry, Susanne / Knoblich, Sarah: Die neue europäische Datenschutz-Grundverordnung – Inhalte und akuter Handlungsbedarf für Pharma- und Medizinprodukteunternehmen, MPR 2017, S. 1–11. Weyd, Jens: Digitalisierung in der Gesetzlichen Krankenversicherung, Ein Überblick über das Digitale-Versorgung-Gesetz, MedR 2020, S. 183–192. Wien, Philipp: Wie bekommen wir innovative digitale Medizinprodukte in die Patientenversorgung?, G+S 2018, S. 90–91. Wiencke, Albrecht / Sauerborn, Jürgen: EDV-gestützte Patientendokumentation und Datenschutz in der Arztpraxis, MedR 2000, S. 517–519. Winter, Christian / Battis, Verena / Halvani, Oren: Herausforderung für die Anonymisierung von Daten, Technische Defizite, konzeptuelle Lücken und rechtliche Fragen bei der Anonymisierung von Daten, ZD 2019, S. 489–493. Wobbe, Maureen: Datenschutz im Gesundheitswesen, Fragestellungen aus Sicht der Krankenkassen, MedR 2019, S. 625–630. Wolf, Andreas: Die Fernbehandlung nach dem 121. Deutschen Ärztetag im Lichte der Europäischen Datenschutzgrundverordnung, GuP 2018, S. 129–131. Wollenschläger, Ferdinand / Schmidl, Annika: Kompetentielle Grundfragen des Krankenhausstrukturgesetzes: das neue Qualitätsziel in der Krankenhausplanung, GesR 2016, S. 542–550. Wolter, Jürgen (Hrsg.): Systematischer Kommentar zum Strafgesetzbuch, Bd. 4: §§ 174–241a StGB, 9. Aufl., Köln 2017 (zitiert: Bearbeiter, in: SK-StGB). Wronka, Georg: Datenschutzrechtliche Aspekte des „neuen“ § 203 StGB, RDV 2017, S. 129–131. Wybitul, Tim / Brahms, Isabelle: Welche Reichweite hat das Recht auf Auskunft und auf eine Kopie nach Art. 15 I DS-GVO? Zugleich eine Analyse des Urteils des LAG Baden-Württemberg vom 20. 12. 2018, NZA 2019, S. 672–677. Wybitul, Tim / Ströbel, Lukas / Ruess, Marian: Übermittlung personenbezogener Daten in Drittländer, Überblick und Checkliste für die Prüfung nach der DS-GVO, ZD 2017, S. 503–509. von Zezschwitz, Friederike: Neue regulatorische Herausforderungen für Anbieter von Gesundheits-Apps, MedR 2020, S. 196–201. Ziebarth, Lennart / Elsaß, Lennart: Neue Maßstäbe für die Rechtmäßigkeit von Personenbildnissen in der Unternehmenskommunikation, ZUM 2018, S. 578–585. Ziegenhorn, Gero: Anmerkung zum Urteil des EuGH v. 19. 10. 2016 – C-582/14, NVwZ 2017, S. 216–218. Ziegenhorn, Gero / von Heckel, Katharina: Datenverarbeitung durch Private nach der europä ischen Datenschutzreform, Auswirkungen der Datenschutz-Grundverordnung auf die materielle Rechtmäßigkeit der Verarbeitung personenbezogener Daten, NVwZ 2016, S. 1585–1591.
Literaturverzeichnis
509
Ziegler, Hans-Berndt / Ziegler, Anne: Schluss mit „immer-so“?, Beweisrechtlicher Wert ärztlicher Übung in Aufklärungsgesprächen, GesR 2019, S. 205–211. Ziegler, Ole: Aktuelle datenschutzrechtliche Fragen der Anwendung von IT im Gesundheitswesen unter Berücksichtigung der EU-Datenschutzgrundverordnung, ZMGR 2016, 211–222. Ziegler, Ole: Rechtswidrigkeit der Pflicht, personenbezogene Daten im Rahmen des Projekts „emDoc“ zu dokumentieren, GuP 2017, S. 237–238. Zikesch, Philipp / Sörup, Thorsten: Der Auskunftsanspruch nach Art. 15 DS-GVO, Reichweite und Begrenzung, ZD 2019, S. 239–245. Zirfas, Julia: Smart Health rechtsverträglich gestaltet, Ubiquitous Computing in der Gesundheitspflege und -vorsorge, Wiesbaden 2017.
Dokumente von Institutionen sowie von nationalen Aufsichtsbehörden Arbeitskreis medizinischer Ethik-Kommissionen in der Bundesrepublik Deutschland e. V.: Wirksamwerden der DSGVO – Handreichung für Ethik-Kommissionen für die Beratung bzw. Bewertung von Studien, Stand 25. 06. 2018. Artikel-29-Datenschutzgruppe: Leitlinien für Transparenz gemäß der Verordnung 2016/679, WP 260 rev. 01, angenommen am 29. November 2017, zuletzt überarbeitet und angenommen am 11. April 2018. Artikel-29-Datenschutzgruppe: Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“), WP 243 rev. 01, angenommen am 13. Dezember 2016, zuletzt überarbeitet und angenommen am 5. April 2017. Artikel-29-Datenschutzgruppe: Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679, WP 250 rev. 01, angenommen am 28. November 2017, zuletzt überarbeitet und angenommen am 10. April 2018. Artikel-29-Datenschutzgruppe: Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev. 01, angenommen am 13. Dezember 2016, zuletzt überarbeitet und angenommen am 5. April 2017. Artikel-29-Datenschutzgruppe: Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“, WP 248 Rev. 01, angenommen am 4. April 2017, zuletzt überarbeitet und angenommen am 4. Oktober 2017. Artikel-29-Datenschutzgruppe: Letter to Mr. Timmers, Annex – Health data in apps and devices, Brüssel, 5. Februar 2015. Artikel-29-Datenschutzgruppe: Opinion 03/2013 on purpose limitation, WP 203, adopted on 2 April 2013. Artikel-29-Datenschutzgruppe: Stellungnahme 01/2012 zu den Reformvorschlägen im Bereich des Datenschutzes, WP 191, angenommen am 23. März 2012. Artikel-29-Datenschutzgruppe: Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, angenommen am 16. Februar 2010. Artikel-29-Datenschutzgruppe: Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, WP 136, angenommen am 20. Juni 2007. Artikel-29-Datenschutzgruppe: Stellungnahme 5/2014 zu Anonymisierungstechniken, WP 216, angenommen am 10. April 2014. Berliner Beauftragte für den Datenschutz und die Informationsfreiheit: Datenschutz und Informationsfreiheit, Jahresbericht 2017, Dezember 2017.
Dokumente von Institutionen sowie von nationalen Aufsichtsbehörden
511
BfArM: Das Fast Track Verfahren für digitale Gesundheitsanwendungen (DiGA) nach § 139e SGB V, Ein Leitfaden für Hersteller, Leistungserbringer und Anwender, Version 2.2, Stand 23. Oktober 2020. BMWi: Orientierungshilfe zum Gesundheitsdatenschutz, Stand November 2018. Bundesverband der Deutschen Industrie e. V.: Gemeinsame Pressemitteilung vom 13. 07. 2021, Forschungskompatible ePA: Potenziale bleiben ungenutzt! Bundesverband Gesundheits-IT e. V. / Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. / Deutsche Krankenhausgesellschaft e. V.: DatenschutzFolgenabschätzung gemäß Art. 35 DS-GVO, Version 2.0, Stand 17. September 2019. Bundesverband Gesundheits-IT e. V. / Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. / Gesellschaft für Datenschutz und Datensicherheit e. V.: Leitfaden für die Erstellung von Löschkonzepten im Gesundheitswesen, Version 1.0, Stand 20. Juni 2019. Council of the European Union: Preparation of the Council position on the evaluation and review of the General Data Protection Regulation (GDPR) – Comments from Member States v. 9. Oktober 2019, Rev. 1. Das Bayerische Landesamt für Datenschutzaufsicht: 7. Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht für die Jahre 2015 und 2016, März 2017. Das Bayerische Landesamt für Datenschutzaufsicht: 8. Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht für die Jahre 2017 und 2018, März 2019. Datenethikkommission: Gutachten der Datenethikkommission der Bundesregierung, Berlin 2019. Datenschutzkonferenz: Beschluss der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ im Erwägungsgrund 33 der DS-GVO, 3. April 2019. Datenschutzkonferenz: Beschluss der Konferenz der unabhängigen Datenschutzaufsichts behörden des Bundes und der Länder zur Ablehnung der Behandlung durch Ärztinnen und Ärzte bei Weigerung der Patientin oder des Patienten, die Kenntnisnahme der Informationen nach Art. 13 DSGVO durch Unterschrift zu bestätigen, Düsseldorf, 5. September 2018. Datenschutzkonferenz: Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder zur Datenschutzbeauftragten-Bestellpflicht nach Artikel 37 Abs. 1 lit. C, Datenschutz-Grundverordnung bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs, Düsseldorf, 26. April 2018. Datenschutzkonferenz: Beschluss der Konferenz der unabhängigen Datenschutzaufsichts behörden des Bundes und der Länder zur datenschutzrechtlichen Verantwortlichkeit innerhalb der Telematik-Infrastruktur, 12. 09. 2019. Datenschutzkonferenz: Entschließung der 91. Konferenz der unabhängigen Datenschutz behörden des Bundes und der Länder, Wearables und Gesundheits-Apps – Sensible Gesundheitsdaten effektiv schützen!, Schwerin, 6./7. April 2016. Datenschutzkonferenz: Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Einsatz externer Dienstleister durch Berufsgeheimnisträger rechtssicher und datenschutzkonform gestalten!, Hannover, 15. 03. 2017.
512
Dokumente von Institutionen sowie von nationalen Aufsichtsbehörden
Datenschutzkonferenz: Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Patientendaten-Schutz-Gesetz: Ohne Nachbesserungen beim Datenschutz für die Versicherten europarechtswidrig!, 01. 09. 2020. Datenschutzkonferenz: Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Anwendung der DS-GVO, November 2019. Datenschutzkonferenz: Kurzpapier Nr. 10 „Informationspflichten bei Dritt- und Direkterhebung“, Stand 16. 01. 2018. Datenschutzkonferenz: Kurzpapier Nr. 12 „Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern“, Stand 16. 01. 2018. Datenschutzkonferenz: Kurzpapier Nr. 13 „Auftragsverarbeitung“, Art. 28 DS-GVO, Stand 16. 01. 2018. Datenschutzkonferenz: Kurzpapier Nr. 16 „Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVO“, Stand 19. 03. 2018. Datenschutzkonferenz: Kurzpapier Nr. 17 „Besondere Kategorien personenbezogener Daten“, Stand 27. 03. 2018. Datenschutzkonferenz: Kurzpapier Nr. 20 „Einwilligung nach der DSGVO“, Stand 22. 02. 2019. Datenschutzkonferenz: Kurzpapier Nr. 5 „Datenschutz-Folgenabschätzung nach Art. 35 DSGVO“, Stand 17. 12. 2018. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: 27. Tätigkeitsbericht, Tätigkeitsbericht 2017 und 2018 zum Datenschutz, Mai 2019. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: Sozialdatenschutz, Die Bürger und ihre Daten im Netz der sozialen Sicherheit, Stand April 2020. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: Tätigkeitsbericht Datenschutz 2018, 27. Tätigkeitsbericht 2018, Hamburg 2019. Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V.: Arbeitshilfe zur Pseudonymisierung / A nonymisierung, Stand 29. Juni 2018. Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. / Gesellschaft für Datenschutz und Datensicherheit e. V.: Die datenschutzrechtliche Einwilligung: Freund (nicht nur) des Forschers, Version 2.0, Stand 30. April 2021. Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. / Gesellschaft für Datenschutz und Datensicherheit e. V.: Datenschutzrechtliche Anforderungen an die medizinische Forschung unter Berücksichtigung der EU-DatenschutzGrundverordnung, Stand 16. Mai 2017. Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. / Gesellschaft für Datenschutz und Datensicherheit e. V.: Positionspapier zur Neugestaltung der datenschutzrechtlichen Regelungen bzgl. der Verarbeitung von personenbezogenen Daten in der Versorgung, Qualitätssicherung und Forschung im Gesundheitswesen, Stand 16. Juli 2016. Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V.: Hinweise / Stellungnahme zum „Recht auf Datenübertragbarkeit“ gemäß Art. 20 DS-GVO, Stand 04. Dezember 2016.
Dokumente von Institutionen sowie von nationalen Aufsichtsbehörden
513
Deutscher Ethikrat: Big Data und Gesundheit – Datensouveränität als informationelle Freiheitsgestaltung, Stellungnahme, Berlin 2018. Düsseldorfer Kreis: Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter, Stand 16. Juni 2014. Europäischer Datenschutzausschuss: Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, angenommen am 4. Mai 2020. Europäischer Datenschutzausschuss: Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der DatenschutzGrundverordnung (DSGVO) (Artikel 70 Absatz 1 Buchstabe b), angenommen am 23. Januar 2019. European Commission, Directorate-General for Health and Food Safety: Question and A nswers on the interplay between the Clinical Trials Regulation and the General Data Protection Regulation. European Data Protection Board: Guidelines 03/2020 on the processing of data concerning health for the purpose of scientific research in the context of the COVID-19 outbreak, Version 1.1, adopted on 21 April 2020. European Data Protection Board: Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 1.0, adopted on 02 September 2020. European Data Protection Supervisor: A Preliminary Opinion on data protection and scientific research, 6 January 2020. Forum Privatheit: Policy Paper Evaluation der Datenschutz-Grundverordnung, 1. Aufl., November 2019. Gematik: Konzeptpapier Verarbeitung von Daten der elektronischen Patientenakte zu Forschungszwecken nach § 363 Abs. 8 SGB V, Version 1. 0. 0 CC, Stand 30. 06. 2021. Stiftung Datenschutz (Hrsg.): Big Data und E-Health, Berlin 2017. Unanbhängiges Landeszentrum für Datenschutz Schleswig-Holstein: Tätigkeitsbericht 2019, Stand 31. 03. 2019. Wissenschaftsrat: Empfehlungen zu klinischen Studien, Hannover 2018.
Sachverzeichnis Abrechnungsdaten 117, 182, 215, 218, 291, 426, 436, 441, 464 Abrechnungsstelle 104, 129, 132, 179, 180, 183, 206–208, 219, 220 Alleinverantwortlicher 178, 182, 188, 190 Alleinverantwortlichkeit 233, 235, 236 Alles-Oder-Nichts-Prinzip 241, 247 Allgemeines Persönlichkeitsrecht 38, 72, 347 Anamnese 32, 103, 161 Angemessenheitsbeschluss 334–336, 345, 475 Anonymisierung 82–85, 300, 301, 350, 361, 388, 423, 427, 428, 459 Anwendungsvorrang 45, 47, 51, 52, 195, 202, 265, 268, 270, 407 Apotheker 112, 219 Arbeitsmedizin 103, 104, 117 Art. 29-Datenschutzgruppe 303, 321, 413, 457 Ärztekammer 106, 265, 268, 280 – Bundesärztekammer 256, 277, 308, 401, 479 – Landesärztekammer 68, 106, 299, 303, 311 Arzt-Patienten-Verhältnis 33, 131, 134, 152, 172, 257, 266, 471 Aufbewahrungsfristen 271, 272, 275, 271, 276, 280, 281, 282, 309 Aufsichtsbehörde 297, 300, 301, 305, 306, 313, 316, 336, 425, 427, 466 Auftragsverarbeiter 85, 106, 167–171, 173– 177, 186, 247, 253, 254, 312, 314, 332– 334, 404, 407, 472 Auftragsverarbeitung 111, 167, 168–180, 182, 186, 187, 222, 253, 333, 334, 404, 405, 472 Auskunftsrecht 249, 262–266, 268, 270– 274, 279, 461, 462, 473 Auswertungsabsicht 91, 93
Befunddaten 32, 90, 238, 287 Behandlungsfallzahl 308–310, 474 Behandlungsvertrag 112, 113, 115, 117, 132, 118, 141, 166, 184, 275, 286 Beratungsbefugnisse 305 Bereichslehre 66, 380 Bereitstellung 122, 158, 185, 261, 287, 457 Berufsausübungsgemeinschaft 159, 299, 310 Berufsgeheimnis 69, 105, 106, 110, 112, 200, 262, 302, 306 Bestimmtheitserfordernis 137 Bestimmtheitsgebot 214 Bestimmtheitsgrundsatz 137 Betreuer 146, 148 Blanket Consent 369, 453 Bonusprogramm 341–343 Broad Consent 364–369, 371–373, 417, 432, 439, 453, 454, 475, 476 Bund-Länder-Staatsvertrag 399 Cloud-Anbieter 333, 334, 337, 338 Co-Konsens 145 Datenschutzbeauftragter 90, 295, 296, 307, 308, 312–316, 473, 474 Datenschutz-Folgenabschätzung 90, 295, 296–298, 300–305, 307, 308, 314–316, 473, 474 Datenschutzorganisation 36, 295, 473 Datenspende 452, 454 Datentransparenz 209, 273, 425, 426, 439, 440, 446, 447, 463, 464, 465 Datenverkehr, freier 39, 42 Dauerschuldverhältnisse 114 Deklaration von Helsinki 371 Deklaration von Taipeh 371 Diagnose 32, 90, 161, 179, 217, 227, 238, 239, 242, 264, 288–291, 293, 311, 317, 319, 332, 369, 372, 475 Diagnosedaten 287, 291, 292, 293
Sachverzeichnis Dienste der Informationsgesellschaft 142, 143, 146 DiGA-Verzeichnis 319, 326 Digitale-Gesundheitsanwendungen-Verordnung 287 Digitale-Versorgung-Gesetz 238, 282, 318, 343, 425, 426, 439, 474 Direkterhebung 252 Diskriminierungsverbot 455 Drittstaat 333, 334, 337, 338, 475 Durchführungsrechtsakt 30, 336 Dynamic Consent 368, 373 Eigenforschung 391, 392, 396, 422 Eingriffsverwaltung 204 Einsichtsrecht 264, 265 Einwilligungsfähigkeit 125, 141, 142, 143, 144, 145, 146 Einwilligungsfestigkeit 150 Einzelarztpraxis 299, 473 Einzelpraxis 159 Empfänger 94, 158, 160, 161, 164, 169, 170, 190, 216, 253, 254, 261, 263, 333, 334, 394, 434, 437, 450 Entscheidungsspielraum 168, 180, 186 Erforderlichkeit 71, 90, 132, 181, 183, 199, 246, 297, 303, 306–308, 358, 393, 394 Erheblichkeitsschwelle 385 Erlaubnisprinzip 98 Ethikkommission 460 EU-Portal 407, 409, 410 Europäische Union 29, 39, 43 EU-US-Privacy Shield 336, 345, 375 Evaluationsbericht 478 Facharztbereich 308, 309, 474 Fachpersonal 105, 106, 108, 111, 112, 116, 119, 124, 200 Factoring 182 Flucht in die Privilegierung 362 Folgeforschungsvorhaben 432, 433 Formanforderung 139, 140, 151, 409 Forschungsdatenzentrum 426, 440–445, 447, 449, 450, 465, 477 Forschungsfreiheit 347–349, 392, 469 Forschungsplan 366, 367 Freiwilligkeit 131–135, 152, 172, 184, 202, 204, 244, 245, 413–415, 417, 418, 432, 471
515
Frühwarnmechanismus 297 Funktionsübertragung 167, 168 Geheimhaltungsinteresse 260, 392, 431 Geheimhaltungspflicht 69, 70, 105, 107–109, 112, 118, 119, 166, 168, 177, 200, 306, 332, 442 Gehilfe 107, 108, 161, 175, 240 Geldbuße 152, 307, 473 Geltungsvorrang 45 Gematik 226, 230, 232, 233–237, 239, 456 Gesamtvertrag 216 Gesetzgebungskompetenz 42, 60–63, 65, 375, 399, 479 Gesetzmäßigkeit der Verwaltung 202 Gestaltungsspielraum 30, 44, 46, 48, 49, 50, 196, 315, 382, 386, 398, 461, 470, 478, 479 Gesundheit, öffentliche 41, 121, 122, 123, 237, 259, 278, 279, 292, 352 Gesundheitsanwendungen, digitale 130, 287, 288, 320, 322, 323, 326, 330, 331, 335, 337, 340, 344, 345 Gesundheits-Apps 317–320, 333, 342, 343, 344 Gesundheitsdatenschutzgesetz 64, 115, 224, 479 Gesundheitskarte, elektronische 225–228, 232, 283, 284, 285, 448 Gesundheitstelematik 225 Gesundheitsversorgung 34, 36, 61, 102, 103, 105, 122, 124, 130, 231, 237, 239, 288, 292, 317, 318, 320, 344, 364 Granularität 244, 245, 248 Grundrechtstradition, europäische 50 Grundsatz der Datenminimierung 247, 275, 360 Grundsatz der Datenrichtigkeit 289 Grundsatz der Speicherbegrenzung 275, 359 Hersteller 232, 319, 320, 324–326, 328–333, 335–338, 340, 344, 345, 474, 475 Holschuld 269 Honorarforderung 181, 185, 207 Identifizierbarkeit 74, 76, 77, 80–82 Identifizierungsaufwand 76, 77
516
Sachverzeichnis
Infektionsschutzgesetz 64, 124, 193 Informationshoheit 241 Informationspflicht 136, 155–157, 191, 249, 251–253, 255–263, 373, 456, 457, 463, 466, 471, 473 Interessenabwägung 278, 357, 382, 384, 385, 387 IT-Dienstleister 33, 111, 113, 117, 175, 230, 232 Joint-Control-Vereinbarung 187 Kassenärztliche Vereinigung 117, 186, 209, 210, 214, 216, 217, 218, 220, 254 Kerntätigkeit 308, 310–312, 314–316, 474 Klinikgesellschaft 159 Klinikkonzern 159 Kommissionsentwurf 30, 169 Kompatibilitätstest 213, 214, 354, 355, 430 Kompetenzgrundlage 39, 40, 42, 43 Konnektor 228, 231 Konsultation 305, 478 Konzernprivileg 159 Kopplungsverbot 132, 133 Kostenerstattungsprinzip 332, 340 Kostentragungspflicht 267, 268 Labor 74, 186, 187 Laborarzt 186 Leistungsdaten 209, 216, 217, 218, 426, 441, 447 Leistungserbringer 68, 114, 163, 206–211, 216–220, 222–233, 235, 236, 238–244, 246, 288, 289, 291, 329, 332, 340, 443, 456 Leistungsträger 194, 201, 230, 232, 254, 261, 431, 432 Leistungsverwaltung 204 Lieferpseudonym 441, 444, 449 Marktortprinzip 337 Medikationsplan, elektronischer 227, 231, 232 Medizininformatik-Initiative 368, 372, 397, 439 Medizinisches Versorgungszentrum 159, 282, 316
Medizinprodukt 90, 122, 124, 319, 379, 402, 418, 419, 420 Medizinprodukteverordnung 419 Mehrebenensystem 31, 35, 41, 52, 196, 197, 477 Minderjährige 114, 142–146, 271 Mitverantwortlichkeit 233, 234, 247 Nachweispflicht 140 Normwiederholungsverbot 50–52, 131, 192, 283 Offenbaren 161, 165, 175, 180, 185, 436, 437 Offenbarungsbefugnis 70, 165, 166, 436 Offenlegung 158, 168, 169–171, 182, 257, 287, 442 Parametrierung 327, 328 Patientenakte 35, 119, 168, 224, 227, 229, 231, 232, 238, 239–245, 247, 264–270, 275, 277, 288, 291, 306, 368, 426, 447–450, 452, 455, 456, 472, 477 Patientendatensatz 309 Patientengeheimnis 165, 166, 176, 185, 217, 306 Patientenstammdaten 287 Person, mitwirkende 107–111, 168, 175, 176, 180, 181, 185, 314 Personenbezug 35, 72–75, 77–79, 81–83, 86, 88, 359, 362, 427, 443 Pharmaunternehmen 403 Positivliste 300, 301, 316, 474 Praxisgemeinschaft 299, 310, 316 Praxisinhaber 104, 111, 313, 314 Primärnutzung 412, 413, 415 Primärrecht 43 Privatautonomie 113 Privilegierung 168–173, 175, 190, 307, 334, 349, 350–352, 354, 359, 360–362, 368, 386, 390, 393, 398, 402, 403, 424, 429, 435, 438, 459, 469, 477 Privilegierung der Auftragsverarbeitung 168, 170–173, 175, 334 Privilegierungswirkung 169, 333, 334 Prüfplan 412, 416, 417, 467 Prüfung, klinische 352, 403, 407, 408, 412, 415, 416, 418, 420, 467
Sachverzeichnis Prüfzentrum 404–408, 466, 467 Pseudonymisierung 85–88, 119, 173, 237, 302, 350, 361, 387, 395, 406, 423, 428, 429, 440, 441, 443, 444, 451, 465 Qualitätssicherung 122, 124, 212, 222, 342 Querschnittsmaterie 42 Rechenschaftspflicht 256, 304 Rechenzentrum 220, 222, 332, 337 Recht auf Berichtigung 249, 289, 290, 291 Recht auf Datenübertragbarkeit 249, 285, 286, 287, 288, 473 Recht auf Einschränkung 281 Recht auf informationelle Selbstbestimmung 38, 72, 113, 115, 147, 246, 306, 347–349, 371 Recht auf Löschung 148, 274, 275, 278, 280, 281, 283, 457, 463, 467 Recht auf Vergessenwerden 249 Rechtsformenwechsel 477 Rechtsstaatsprinzip 214 Regelungsspielraum 31, 47, 98, 121, 224, 407, 422 Regelversorgung 217, 218, 291, 318, 319, 326, 439 Reidentifizierung 83, 84, 86, 437, 444, 445, 465 Religionsgemeinschaften 54, 66–68, 381, 396 Rezept 219 Risikobewertung 298, 301–303 Risikostrukturausgleich 291–293 Routinedaten 425, 449 Sachleistungsprinzip 332, 340 Satzung 280 Schickschuld 269 Schrems II 336, 345, 375 Schriftform 129, 140 – Schriftformerfordernis 128, 140, 409 Schweigepflicht, ärztliche 68, 106, 109, 161, 164, 176, 180, 182, 436 Schweigepflichtsentbindung 436 Schwellwertanalyse 302, 307 Sekundärnutzung 352, 357, 358, 374, 412, 416, 423, 456, 477 Selbstverwaltungsrecht 66, 381
517
Selektivverträge 207 Sozialdaten 63, 105, 106, 194, 196, 197, 199–201, 203, 210–212, 214, 216, 218, 224, 229, 240, 241, 261, 273, 282, 284, 335, 343, 376, 401, 425–427, 429–442, 464 Sozialgeheimnis 106, 194 Sozialleistungsbereich 204, 226, 430, 431, 447 Sozialversicherungsträger 106 Sperrwirkung 61, 101, 155, 198 Sponsor 403–406, 408, 410, 413, 414, 416, 417, 466, 467 Standarddatenschutzklausel 334, 345 Standardvertragsklauseln 174 Stelle, nichtöffentliche 39, 40, 57–62, 65, 67, 99, 116, 183, 308, 377, 378, 382, 383, 400, 434, 435 Stelle, öffentliche 39, 40, 57, 58–60, 64, 65, 67, 99, 116, 202, 204, 214, 308, 377–379, 383 Stellvertretung 146–148 Subsidiaritätsgrundsatz 43, 70 Telematikinfrastruktur 35, 224–231, 233– 235, 237, 238, 248, 288, 345, 456, 472 Textform 140 Theorie des absoluten Personenbezugs 74 Theorie des relativen Personenbezugs 74 Therapie 32, 104, 161, 311, 319, 348, 475 Trägerschaft, kirchliche 54, 66, 380, 396, 402 Trägerschaft, private 58, 60–62, 65, 116, 375, 376, 391 Transparenzgebot 141, 149 Transparenzprinzip 135 Transplantationsmedizin 421 Transplantationsregister 421, 422, 424 Trennungsgebot 141, 388 Trennungsthese 49 Ungleichgewicht 131, 134, 152, 204, 413, 414, 471 Untersuchungsbefugnisse 305, 306 Up-Coding 293 Verantwortlichkeit, gemeinsame 187–189, 230, 324, 325, 328
518
Sachverzeichnis
Verarbeitungsbedingung 449, 451, 452 Verarbeitungsbegriff 95, 162, 169, 171, 211, 424, 472 Verarbeitungszweck 103, 110, 116, 117, 137, 138, 183, 216, 222, 223, 245, 247, 251, 263, 265, 304, 329, 364, 370, 445, 453, 475 Verblindung 466 Verbot mit Erlaubnisvorbehalt 97, 98 Vereinbarkeitsprüfung 354 Verrechnungsstelle 106, 135, 179, 180–185, 189, 254 Verschlüsselung 173, 231, 361 Verschwiegenheitspflicht 70, 176, 259, 271 Versichertendaten 216, 345 Versichertenstammdatenmanagement 228, 231 Versorgungsdaten 282 Versorgungsforschung 364 Vertragsarzt 60, 216, 163 Vertrauensstelle 441–444, 449, 451 Verwendungskontext 91, 95 Verwendungszusammenhang 93, 94 Vorsorgevollmacht 147 Wahlfreiheit 131, 245 Website 78, 261, 328, 336, 405 Weisung 174, 180, 186
Weisungsgebundenheit 167 Wettbewerbsklausel 377, 379 Wettbewerbsunternehmen 58, 59, 378, 379 Widerruf 114, 148, 149, 154–156, 411, 414, 415, 420, 421, 450, 451 Widerrufsbelehrung 149 Widerrufsrecht 136, 148, 149, 254, 411, 420 Widerspruchsmodell 454 Widerspruchsrecht 201, 249, 458, 459, 463, 464, 465 Wirtschaftlichkeitsprüfung 222 Zugriffsberechtigung 243, 244, 247 Zugriffsfreigabe 240, 248 Zusatzwissen 75, 78, 80, 81, 83, 86, 87, 437, 445 Zustimmung 146, 163, 164, 177, 264, 311, 356, 368, 394, 399, 452 Zustimmungslösung 452 Zweckänderung 214, 353, 370, 391, 396, 423, 429 Zweckänderungsvorschrift 212 Zweckbindung 122, 211, 214, 349, 352, 353, 354, 357, 390, 435, 355 – Zweckbindungsgrundsatz 137, 352, 354, 355, 364, 434 Zwei-Schranken-Prinzip 69