87,99 €
Die Gesundheitsbranche befindet sich stärker denn je in einer Umbruchphase und wird seit dem Ausbruch der Corona-Pandemie zunehmend digitalisiert. Die massenhafte Verarbeitung von Gesundheitsdaten unter Einsatz von Künstlicher Intelligenz und Machine Learning verspricht viele Potentiale, birgt aber für die betroffenen Personen auch datenschutzrechtliche Risiken. Die Autorin befasst sich mit den datenschutzrechtlichen Einwilligungskriterien im Gesundheitsbereich, insbesondere im Rahmen von wissenschaftlicher Forschung und klinischen Studien unter Einbeziehung der rechtlichen Besonderheiten in Deutschland. Eine der Rechtsgrundlagen in der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung von Gesundheitsdaten ist die datenschutzrechtliche Einwilligung, deren Wirksamkeit an eine Vielzahl von komplexen Bedingungen geknüpft wird. Dies gilt nicht nur für die wirksame Einholung der Einwilligung, sondern auch für Handlungsmöglichkeiten nach einem Widerruf. Die Neuerungen im Datenschutzrecht sind geprägt von Interpretationsschwierigkeiten, unklaren Regelungsreichweiten und einer bislang überschaubaren Rechtsprechung. Darüber hinaus verbleiben den Mitgliedstaaten über sogenannte Öffnungsklauseln gestalterische Spielräume insbesondere für die Verarbeitung von Gesundheitsdaten, genetischen Daten und biometrischen Daten. Aus diesem Grund findet über die Einwilligungskriterien der DSGVO hinaus eine Betrachtung der datenschutzrechtlichen Einwilligung im nationalen Gesundheitsrecht, insbesondere im Arzneimittelgesetz, Sozialgesetzbuch V, Medizinproduktegesetz, Gendiagnostikgesetz und im Landeskrankenhausgesetz sowie Krebsregistergesetz in Baden-Württemberg statt.
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
Seitenzahl: 562
Anna-Lena Hoffmann
Fachmedien Recht und Wirtschaft | dfv Mediengruppe | Frankfurt am Main
Dissertation
University of Rijeka, Faculty of Law
2021
Mentoren:
Prof. Dr. Gerald G. Sander, Hochschule für öffentliche Verwaltung und Finanzen, Ludwigsburg
Assoc. Prof. Dr. Emilia Mišćenić, Universität Rijeka, Rechtswissenschaftliche Fakultät
Diese Dissertation wurde am 26.02.2021 an der rechtswissenschaftlichen Fakultät der Universität Rijeka vor dem Verteidigungsausschuss der Universität Rijeka verteidigt, bestehend aus:
1.
Prof. Dr. Hannes Rösler (Universität Siegen)
2.
Ass. Prof. Dr. Adrijana Martinovic (Universität Rijeka)
3.
Prof. Dr. Damjan Mozina (Universität Ljubljana)
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
ISBN: 978-3-8005-1799-2
© 2021 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main www.ruw.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Druck: WIRmachenDRUCK GmbH, Backnang
Printed in Germany
Herzlich danken möchte ich meiner Doktormutter, Frau Assoc. Prof. Dr. Emilia Mišćenić, die mich während des Doktorarbeitsprogrammes in Rijeka und bei der Erstellung dieser Arbeit jederzeit unterstützt, motiviert, gefordert und gefördert hat und mir stets wertvolle Hilfestellungen gegeben hat.
Ferner danke ich meinem Doktorvater, Herr Prof. Dr. Gerald G. Sander, ohne den ich mich nicht für ein internationales Doktorarbeitsstudium beworben und somit mich prägende Erfahrungen und Bekanntschaften nicht gemacht hätte. Dankbar bin ich auch für die Unterstützung und Gespräche während des Verfassens meiner Arbeit und hilfreiches Feedback.
Hochachtung und meine Dankbarkeit möchte ich meiner ersten Doktormutter, Frau Prof. Dr. Nada Bodiroga-Vukobrat aussprechen, die den Fortgang meines Doktorstudiums leider nicht bis zum Abschluss begleiten konnte. Es war mir eine Ehre und Inspiration, sie kennengelernt zu haben.
Ewige Dankbarkeit gilt meiner Familie, meinen Eltern Eva-Maria und Bernd und meiner Schwester Helen, ohne deren Unterstützung – in jeder Hinsicht und Lebenslage – mein Doktorarbeitsprojekt niemals möglich gewesen wäre. Ihnen sei diese Arbeit gewidmet.
Ein ganz besonderer Dank gilt Felix, ohne den ich ein Promotionsstudium nicht angestrebt und trotz aller Begeisterung für das Thema und Freude am Schreiben nicht durchgestanden hätte. Für jederzeitige Unterstützung, Korrekturen und Anmerkungen gilt mein Dank auch Tobias.
Zuletzt bedanke ich mich bei meiner gewählten Familie, Fabienne und Janine, Thomas, David, Rike, Sophie, Laura, Delila und Clemens.
Stuttgart, im März 2021
In diesem Werk werden Erfordernis und Anforderungen einer datenschutzrechtlichen wirksamen Einwilligung im Gesundheitsbereich unter der DSGVO untersucht. Die DSGVO versucht einen Spagat zwischen der Vereinheitlichung der datenschutzrechtlichen Vorschriften in allen Mitgliedstaaten auf Verordnungsniveau, aber mit einem generalistischen Ansatz bei der Formulierung der Artikel. Dies führt zwangsläufig zu Interpretationsschwierigkeiten und unklaren Regelungsreichweiten. Gerade in Bereichen der öffentlichen Gesundheit und in der privaten sowie öffentlichen Gesundheitsvorsorge und Behandlung, insbesondere bei der Verarbeitung Gesundheitsdaten und von genetischen Daten verbleiben bei den Mitgliedstaaten gestalterische Spielräume. Der Anwendungsvorrang des Unionsrechts im Verhältnis zu nationalem Recht bringt ein Nebeneinander von Normen, das Reibung erzeugen kann. Im Rahmen der neuen DSGVO-Gesetzgebung ist das Gefüge nicht leicht zu durchschauen.
Für die Verarbeitung von Gesundheitsdaten ist keinesfalls stets eine Einwilligung erforderlich. Wenn sie erforderlich wird – zum Beispiel bei der Gesundheitsdatenverarbeitung durch private Anbieter – sind die komplexen Anforderungen einzuhalten. Allein in der DSGVO finden sich mehr als zehn Kriterien für eine wirksame Einwilligung in die Verarbeitung von Gesundheitsdaten. Daneben stellt sich auf mitgliedstaatlicher Ebene die Frage, ob von der Öffnungsklausel in Art. 9 Abs. 4 DSGVO Gebrauch gemacht wurde. Ist dies zu bejahen muss festgestellt werden, welche zusätzlichen Bedingungen oder Beschränkungen gelten und inwiefern diese die europäischen Einwilligungskriterien beeinflussen.
Neben der Untersuchung der Einwilligungskriterien unter der DSGVO werden in dieser Arbeit besondere Gesetze im Gesundheitsdatenschutzrecht in Deutschland ins Auge gefasst. Dabei wird durchleuchtet, ob und inwiefern sich das nationale Recht in die Vorgaben der europäischen DSGVO einfügt.
Deckblatt
Titel
Impressum
Danksagung
Zusammenfassung
Inhaltsverzeichnis
Einleitung
A. Praktisches Problem und Ziel der Dissertation
B. Struktur und Umfang der Dissertation
C. Methodologie
Teil 1: Datenschutzrecht in der EU und in Deutschland
A. Datenschutzrecht in der EU
I. Die Entwicklung des Datenschutzrechts in der EU
1. Entwicklung und Ziele der Datenschutzrichtlinie
2. Artikel-29-Datenschutzgruppe
3. EuGH-Rechtsprechung im Datenschutzbereich
II. Allgemeines zur DSGVO
1. Entwicklung und Ziele der DSGVO
2. Öffnungsklauseln als Besonderheit der DSGVO
a) Obligatorische und Fakultative Öffnungsklauseln
b) Allgemeine und spezifische Öffnungsklauseln
c) Unterscheidung von Öffnungsklauseln anhand ihrer Funktionen
d) Interpretationsansätze zu den europäischen Öffnungsklauseln
aa) Autonome Interpretation von Öffnungsklauseln
bb) Restriktive oder weite Interpretation
e) Ausgewählte Öffnungsklauseln
aa) Öffnungsklauseln in Art. 6 DSGVO
(1) Verarbeitung zur Erfüllung rechtlicher Verpflichtungen oder zur Wahrnehmung öffentlicher Aufgaben
(2) Ausnahme vom Grundsatz der Zweckbindung
bb) Öffnungsklauseln in Art. 9 DSGVO
(1) Grenzen der Einwilligung in die Verarbeitung sensibler Daten
(2) Verarbeitung sensibler Daten im Arbeitsrecht, Recht der sozialen Sicherheit, Sozialschutz
(3) Verarbeitung sensibler Daten zu Zwecken der<unk/>Gesundheitsvorsorge und Arbeitsmedizin
(4) Verarbeitung sensibler Daten zu Zwecken der öffentlichen Gesundheit
(5) Archivzwecke, Forschungszwecke und statistische Zwecke als Rechtsgrundlage für die Verarbeitung sensibler Daten
(6) Bedingungen und Beschränkungen für die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten
cc) Öffnungsklauseln in Art. 89 DSGVO
(1) Ausnahmen von Betroffenenrechten bei Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken oder zu Archivzwecken
(2) Keine Ausnahme vom Recht auf Löschung oder für die Einwilligung
3. Ausgewählte Begriffsdefinitionen der DSGVO
a) Der Begriff der personenbezogenen Daten
b) Der Begriff der Verarbeitung
c) Der Begriff der genetischen Daten
d) Der Begriff der biometrischen Daten
e) Der Begriff der Gesundheitsdaten
aa) Bezug zur körperlichen oder geistigen Gesundheit
(1) Weite Auslegung
(2) Unmittelbarer oder mittelbarer Bezug zur Gesundheit am Beispiel von Ortsdaten und Biobanken
bb) Personenbezogene Daten, aus denen Gesundheitsinformationen hervorgehen
(1) Weite Auslegung
(2) Unmittelbares oder mittelbares Hervorgehen
(3) Mangelnder Kontextbezug
(4) Raum für mitgliedstaatliche Spezifizierungen
cc) Vorteile einer weiten Auslegung von Gesundheitsdaten
4. Der übergeordnete Begriff der sensiblen Daten
III. Zusammenfassung
B. Datenschutzrecht in Deutschland
I. Die Entwicklung des Datenschutzrechts in Deutschland
1. Die Entwicklung des Persönlichkeitsrechts in Deutschland
2. Relevanz des Grundrechts auf informationelle Selbstbestimmung nach Anwendbarkeit der DSGVO
a) Beschluss des BVerfG zur Anwendbarkeit von Grundrechten im Mehrebenensystem – Recht auf Vergessen I
b) Beschluss des BVerfG zur Anwendbarkeit von Grundrechten im Mehrebenensystem – Recht auf Vergessen II
c) Informationelle Selbstbestimmung als Unionsgrundrecht
3. Das BDSG bis zum 25. Mai 2018
4. Die Umsetzung des neuen BDSG in Deutschland
a) Entwürfe des Umsetzungsgesetzes
b) Die Endfassung des Umsetzungsgesetzes
c) Anpassung des Umsetzungsgesetzes
5. Definitionen und Begriffe im neuen BDSG
a) Die Interpretation der Begriffe „öffentliche und nichtöffentliche Stellen“
aa) Der Begriff der öffentlichen Stelle
bb) Der Begriff der nichtöffentlichen Stelle
b) Die Interpretation der Begriffe zur Verarbeitung besonderer Kategorien personenbezogener Daten im BDSG
aa) Der Begriff der Gesundheitsvorsorge
bb) Der Begriff der medizinischen Diagnostik
cc) Der Begriff der Vorsorge oder Behandlung im Gesundheits- oder Sozialbereich
dd) Begriff der Verwaltung von Systemen im Gesundheits- oder Sozialbereich
ee) Der Begriff des Gesundheitsberufs
ff) Der Begriff der Geheimhaltungspflicht
II. Zusammenfassung
Teil 2: Die datenschutzrechtliche Einwilligung in der EU und in Deutschland
A. Der Begriff des Gesundheitsbereichs in der EU und in Deutschland
I. Europäische Zuständigkeit für den Gesundheitsbereich
II. Begriff des Gesundheitsbereichs in der DSGVO
1. Wortlaut
a) Enge Auslegung des Begriffs
b) Weite Auslegung des Begriffs
2. Auslegung anhand des Schutzzwecks
3. Gesundheitsbereich in der Forschung
III. Gesundheitsbereiche in Deutschland
1. Bereiche der öffentlichen Gesundheit
2. Gesetzgebungszuständigkeiten des Bundes
3. Gesetzgebungszuständigkeiten der Länder
4. Privatwirtschaftlicher Gesundheitsbereich
IV. Digitaler Gesundheitsbereich
V. Zusammenfassung
B. Die datenschutzrechtliche Einwilligung in der EU
I. Einordnung der datenschutzrechtlichen Einwilligung nach dem Unionsrecht
1. Rechtsnatur der datenschutzrechtlichen Einwilligung
2. Die Einwilligung im Mehrebenensystem
II. Die historische Entwicklung der Einwilligung in DSRL und DSGVO
1. Die Einwilligung in den Entwürfen und in der finalen Version der DSRL
2. Die Einwilligung in den Entwürfen und der finalen Version der DSGVO
a) Die Definition der Einwilligung im Vorschlag der EU-Kommission
b) Die Definition der Einwilligung in der ersten Lesung des Parlaments
c) Die Definition der Einwilligung in der Allgemeinen Ausrichtung des Rates
d) Die Definition der Einwilligung in der finalen Fassung der DSGVO
III. Bestandteile und allgemeine Anforderungen an die Einwilligung
1. Die betroffene Person
a) Die direkt betroffene Person als einwilligende Person
b) Die mittelbar betroffene Person als einwilligende Person
2. Die Willensbekundung der Einwilligung
a) Unmissverständlichkeit
b) Erklärung oder eindeutig bestätigende Handlung des Einverständnisses
3. Die ausdrückliche Einwilligung
a) Ausdrückliche Einwilligung im analogen Kontext
b) Ausdrückliche Einwilligung im digitalen Kontext
4. Die Freiwilligkeit der Einwilligung
a) Echte Wahlfreiheit
b) Machtgefälle
c) Negative Folgen
d) Koppelungsverbot
aa) Kopplungsverbot bei nicht sensiblen Daten
bb) Koppelungsverbot bei Gesundheitsdaten
e) Unsachgemäße Beeinflussung und Täuschung
5. Die Einwilligung für den bestimmten Fall
a) Bedeutung des Wortlauts
b) Anforderungen an die Bestimmtheit
c) Das Kriterium der festgelegten Zwecke
d) Ausnahmen für die wissenschaftliche Forschung
6. Die Erklärung der Einwilligung in informierter Weise
a) Inhalt der Informiertheit
aa) Objektive und subjektive Informiertheit
bb) Mindestmaß an Informationen
cc) Informiertheit und Informationspflichten
b) Informiertheit in der Wissenschaft und Forschung
c) Informiertheit im Gesundheitsbereich
IV. Bedingungen und Modalitäten für die Einwilligung
1. Nachweisbarkeit der Einwilligung
2. Die Einwilligung im Rahmen einer schriftlichen Erklärung
a) Das Kriterium der Betroffenheit anderer Sachverhalte
b) Die Unterscheidbarkeit von anderen Sachverhalten
aa) Verständliche und leicht zugängliche Form der Einwilligung
bb) Die klare und einfache Sprache der Einwilligung
3. Die Widerrufbarkeit der Einwilligung
a) Bedeutung des Widerrufs
b) Modalitäten des Widerrufs
c) Folgen nach einem Widerruf
aa) Kumulatives Bestehen der Einwilligung mit anderen Rechtsgrundlagen
bb) Weiterverarbeitung durch nachträglichen Wechsel auf eine andere Rechtsgrundlage nach Einwilligungswiderruf
cc) Löschung der Daten nach einem erfolgten Widerruf
4. Zeitpunkt und Dauer der Einwilligung
V. Zweckänderung bei der Einwilligung
1. Die (zusätzliche) Einwilligung bei einer Zweckänderung
2. Öffnungsklausel
3. Kompatibilitätstest
a) Prüfkatalog für die Zweckkompatibilität
b) Systematik
c) Einwilligung und Kompatibilitätstest
VI. Rechtsfolge bei Verstößen gegen Einwilligungsbedingungen
1. Bußgelder und Schadensersatz
2. Unverbindlichkeit oder Unwirksamkeit der Einwilligung
VII. Klinische Studien und klinische Prüfungen im Gesundheitsbereich
1. Verhältnis der DSGVO zur Verordnung über klinische Prüfungen
2. Erforderlichkeit einer datenschutzrechtlichen Einwilligung bei klinischen Prüfungen
3. Unterscheidbarkeit der datenschutzrechtlichen Einwilligung von der Einwilligung in klinische Prüfungen
4. Freiwilligkeit der datenschutzrechtlichen Einwilligung bei klinischen Studien
5. Widerruf der Einwilligung im Rahmen von klinischen Prüfungen
VIII. Zusammenfassung
C. Die datenschutzrechtliche Einwilligung in Deutschland
I. Auswirkungen der Öffnungsklausel für genetische Daten, biometrische Daten und Gesundheitsdaten auf die Einwilligung
II. Besondere Regelung in Deutschland nach dem BDSG
1. Besonderheiten bei der Verarbeitung zu anderen Zwecken durch öffentliche Stellen
2. Einwilligung zur Veröffentlichung von Forschungsergebnissen
III. Die Einwilligung in speziellen Bundesgesetzen im Gesundheitsbereich
1. Die Einwilligung für klinische Prüfungen
a) Datenschutzrechtliche Einwilligung im AMG (bis zur Anwendbarkeit der Verordnung über klinische Prüfungen)
b) Datenschutzrechtliche Einwilligung (ab der Anwendbarkeit der Verordnung über klinische Prüfungen)
2. Die Einwilligung im Sozialgesetzbuch
a) Die Einwilligung im Zusammenhang mit der elektronische Gesundheitsakte
b) Die Einwilligung im Zusammenhang mit der elektronischen Gesundheitskarte
c) Die Einwilligung im Zusammenhang mit der elektronischen Patientenakte
d) Die Einwilligung im Zusammenhang mit digitalen Gesundheitsanwendungen
e) Bewertung
3. Die Einwilligung bei Medizinprodukten
4. Die Einwilligung im Infektionsschutzgesetz
5. Die Einwilligung für Gendiagnostik
a) Die Einwilligung in § 8 GenDG
b) Die Einwilligung in § 11 Abs. 3 GenDG
c) Einwilligung durch eine Vertretungsperson
d) Verarbeitungsverbote im GenDG
e) Konsequenzen einer fehlenden Einwilligung
f) Bewertung
6. Die Einwilligung bei Transfusionen
a) Spendeentnahme
b) Anwendung von Blutprodukten
c) Rückverfolgung
d) Koordiniertes Meldewesen
e) Gesetzesbegründung zur Anpassung des TFG an die DSGVO
f) Bewertung
IV. Regelung der Einwilligung in Landesgesetzen im Gesundheitsbereich
1. Die Einwilligung im Landeskrankenhausgesetz in Baden-Württemberg
2. Die Einwilligung im Krebsregistergesetz in Baden-Württemberg
V. Zusammenfassung
Teil 3: Bewertung, Vorschläge und Fazit
A. Bewertung der aktuellen Rechtslage („Anwendungskaskade“)
B. Vorschläge zur Verbesserung der Regelungen
I. Definition von Gesundheitsdaten
1. Verarbeitungszweck
2. Verarbeitungskontext
3. Vorteile einer neuen Definition von Gesundheitsdaten
II. Gewichtung der Kriterien einer wirksamen Einwilligung
1. Unverzichtbare Kriterien
2. Verzichtbare Kriterien
C. Fazit und Ausblick
Abkürzungen
Bibliographie
A. Kommentare, Bücher und Kapitel
B. Doktorarbeiten und Diplomarbeiten
C. Artikel/Aufsätze
D. Gutachten, Studien, Deklarationen, Programme und Mitteilungen
E. Sonstige Quellen
I. Artikel-29-Datenschutzgruppe
II. Europäischer Datenschutzausschuss (EDSA)
III. Der Europäische Datenschutzbeauftragte
IV. Rat der Europäischen Union und Europäischer Rat
V. Europäische Kommission
VI. Europäisches Parlament
VII. Europäische Union
VIII. Deutscher Bundestag
IX. Deutscher Bundesrat
X. Landtag von Baden-Württemberg
XI. Heise Online
XII. Pressemitteilung
XIII. Blogs
XIV. The New York Times
XV. The Economist
XVI. Ärzteblatt
XVII. Sonstige Internetquellen
Die Arbeit beschäftigt sich mit der Frage, welche Anforderungen die Datenschutz-Grundverordnung (DSGVO)1 an die datenschutzrechtliche Einwilligung für die Verarbeitung personenbezogener Daten im Gesundheitsbereich stellt. Die DSGVO hat mit ihrer Anwendbarkeit im Mai 2018 die zu dem Zeitpunkt dreiundzwanzig Jahre alte Datenschutz-Richtlinie (DSRL)2 abgelöst und sollte das europäische Datenschutzrechtsregime modernisieren.
Die Corona-Pandemie 2020 hat gezeigt, wie stark sich unsere Gesundheitsversorgung digitalisieren lässt und wie enorm der Bedarf an Gesundheitsdaten, Standortdaten, Kontaktlisten und Krankheitsverlaufsinformationen ist, um eine Pandemie zu bewältigen.3 Gesundheitsdaten spielen für die medizinische Forschung eine wichtige Rolle, beispielsweise um mit großen Datenmengen Algorithmen zu trainieren, die Ärztinnen und Ärzte bei Diagnosen unterstützen können.4 Währenddessen bewegt sich unsere alternde Gesellschaft weg von der Behandlung von Erkrankungen und stärker in Richtung Erhalt der Gesundheit und Gesundheitsvorsorge.5 Dabei werden unter anderem Smartphones, Apps, Uhren, Cloud-Datenbanken und Algorithmen mit Vitaldaten gefüttert, um den eigenen Körper zu optimieren.6 Weil der Gesundheitsbereich stark durch das Recht der Mitgliedstaaten geprägt ist, ist eine ergänzende Untersuchung der Einwilligung im Gesundheitsbereich in Deutschland unerlässlich.
1
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 4. Mai 2016, S. 1–88, in der konsolidierten Fassung vom 23. Mai 2018, ABl. L 127, S. 2 (DSGVO).
2
Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ABl. L 281 vom 23.11.1995, S. 31–50 in der konsolidierten Fassung vom 31. Oktober 2003, ABl. L 284, S. 1–53 (DSRL).
3
Vgl. z.B. die Daten zum Coronavirus des Offenen Datenportals der EU, abrufbar unter https://data.europa.eu/euodp/de/data/dataset/covid-19-coronavirus-data (zuletzt abgerufen am 11.04.2021). Vgl. aber auch bereits
Lux
, Digital Health Summit: Daten sind die beste Medizin, Beitrag auf Heise Online am 30. November 2018, abrufbar unter https://heise.de/-4235934 (zuletzt abgerufen am 11.04.2021);
Aidinlis
, The EU GDPR in Times of Crisis: COVID-19 and the Noble Dream of Europeanisation, EuCML 2 020, S. 151–156.
4
Beitrag auf Zeit-Online, Wenn Computer Röntgenbilder auswerten, vom 25. September 2019, abrufbar unter https://www.zeit.de/wissen/2019-09/kuenstliche-intelligenz-medizin-diagnose-krankheiten-bilddiagnostik (zuletzt abgerufen am 11.04.2021).
5
Zeien
, Die neuen Grundpfeiler des Gesundheitswesens, in: Baas (Hrsg.), Zukunft der Gesundheit, 2019, S. 29.
6
Puls,
Nachhaltiger Erfolg durch Messung von Vitaldaten und der Wirksamkeit von Interventionen, in: Baas (Hrsg.), Zukunft der Gesundheit, S. 107ff.
Im ersten Teil der Arbeit wird die Entwicklung des Datenschutzrechts auf europäischer und deutscher Ebene dargestellt. Dabei werden die Entwicklung der DSGVO, das Phänomen ihrer vielen Öffnungsklauseln sowie einige Begrifflichkeiten vertieft. Die deutsche Ebene zeichnet die Entwicklung des Datenschutzrechts in Deutschland und die Anpassung mitgliedstaatlichen Rechts an die DSGVO nach.
Der zweite Teil der Arbeit wird mit einer Auseinandersetzung mit den Zuständigkeiten für den Gesundheitsbereich auf Unionsebene sowie mit dem Gesundheitsbereich in der DSGVO und in Deutschland eingeleitet. Anschließend wird die Einwilligung im Mehrebenensystem, in ihrer Entwicklung in der DSRL und in der DSGVO analysiert. Dabei wird untersucht, ob sich die Voraussetzungen für eine wirksame Einwilligung unter der DSGVO im Gesundheitsbereich verschärft haben. Hierfür werden die einzelnen Bestandteile und Kriterien der Begriffsdefinition der Einwilligung mit Bezug zum Gesundheitsbereich begutachtet. Ferner werden die Bedingungen und Modalitäten einer Einwilligung untersucht, die die DSGVO neben den Kriterien aus der Begriffsdefinition festlegt. Im Anschluss daran werden Besonderheiten, wie etwa die Zweckänderung oder ein Wechsel von Rechtsgrundlagen, dargestellt. Den europäischen Teil abschließend wird in angemessener Kürze auf die Rechtsfolgen eingegangen, die bei einem Verstoß gegen Einwilligungskriterien oder -bedingungen drohen. Zuletzt wird auf Besonderheiten im Zusammenhang mit klinischen Prüfungen und Studien nach der Verordnung über klinische Prüfungen7 eingegangen.
Am Schluss des zweiten Teils wird die datenschutzrechtliche Einwilligung in Deutschland nach Anwendbarkeit der DSGVO untersucht. Dafür werden die Auswirkungen der Öffnungsklauseln auf das mitgliedstaatliche Recht, insbesondere für die Verarbeitung von Gesundheitsdaten, begutachtet. Dabei soll festgestellt werden, ob weiterhin eine Rechtszersplitterung besteht, die der Harmonisierung des Datenschutzrechts entgegensteht. Die Umsetzung der Öffnungsklauseln durch Deutschland wird beispielhaft im Bundesdatenschutzgesetz (BDSG),8 in Spezialgesetzen auf Bundesebene sowie auf landesrechtlicher Ebene analysiert.
Im dritten Teil werden die Ergebnisse bewertet und Verbesserungsvorschläge gemacht, um dem bestehenden Einwilligungsregime zu größerer Praxistauglichkeit zu verhelfen. Zuletzt folgen das Fazit und ein Ausblick.
7
Verordnung (EU) Nr. 536/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 über klinische Prüfungen mit Humanarzneimitteln und zur Aufhebung der Richtlinie 2001/20/EG Text von Bedeutung für den EWR, ABl. L 158 vom 27. Mai 2014, S. 1–76 in der konsolidierten Fassung vom 17. November 2016, ABl. L 311, S. 25–25. Die Verordnung ist im September 2020 nach wie vor nicht anwendbar und mit einer Anwendbarkeit ist nicht vor Dezember 2021 zu rechnen, vgl. hierzu Pressemitteilung der European Medicines Agency (EMA) vom 12. Juni 2020, Highlights of Management Board: June 2020 meeting, abrufbar unter https://www.ema.europa.eu/en/news/highlights-management-board-june-2020-meeting (zuletzt abgerufen am 11.04.2021).
8
Bundesdatenschutzgesetz vom 30. Juni 2017 (BGBl. I S. 2097), das durch Artikel 12 des Gesetzes vom 20. November 2019 (BGBl. I S. 1626) geändert worden ist (BDSG).
Die im juristischen Bereich bewährten Auslegungsmethoden bilden den theoretischen und methodologischen Rahmen der Untersuchung. Hierzu gehört die Gesetzesauslegung anhand der Genese, des Telos, der Systematik und der Grammatik der untersuchten Normen.9 Besonders zu beachten ist dabei, dass die DSGVO autonom auszulegen ist. Für die Auslegung der Regelungen der Verordnung ist daher die Herangehensweise des Europäischen Gerichtshofs (EuGH) maßgebend. Der EuGH stützt sich bei der Auslegung von Unionsrecht auf den Wortlaut, den Zusammenhang und die Ziele einer Unionsvorschrift.10 Darüber hinaus will der EuGH dem Unionsrecht größtmögliche Wirkung verleihen, sodass die effet utile-Rechtsprechung zu beachten ist.11 In der Arbeit werden teilweise die deutsche, englische und französische Sprachfassung der DSGVO miteinander verglichen, um sprachliche Unterschiede oder Gemeinsamkeiten festzustellen. Da die Verordnung in 24 Amtssprachen12 Geltung entfaltet und sprachliche Unterschiede unvermeidbar sind,13 kann diese vergleichende Methode aber nicht alleine für die Auslegung maßgebend sein.14
Im ersten Teil wird die historische Grundlage für die Entwicklung der DSGVO begutachtet, außerdem findet eine Auseinandersetzung mit Besonderheiten der DSGVO, den Öffnungsklauseln (teilw. auch „Spezifizierungsklauseln“15 genannt), statt. Für den Fortgang der Arbeit ist es ferner erforderlich, Entwicklung, Sinn und Zweck einiger Definitionen und Öffnungsklauseln in der DSGVO zu untersuchen.
Im zweiten Teil wird die Untersuchung hinsichtlich der Einwilligungstatbestände vertieft, insbesondere, welche Änderungen das Europarecht im Gesundheitsbereich erfahren hat und wie sich diese terminologisch und systemisch auf den Mitgliedstaat Deutschland ausgewirkt haben. Hierdurch wird der Weg geebnet, die datenschutzrechtliche Einwilligung in diesem Bereich nach den klassischen Auslegungsmethoden und teilweise vergleichend einzuordnen und auszulegen.
Ferner erfolgt eine Auseinandersetzung mit der die Thematik behandelnden Literatur und Rechtsprechung. Dabei ist festzustellen, dass es aufgrund des jungen Alters der DSGVO nur wenige höchstrichterliche Entscheidungen zur DSGVO allgemein und im Speziellen zur Einwilligung im Gesundheitsbereich gibt. Aus diesem Grund wird teilweise auf Entscheidungen des EuGH zur DSRL rekurriert, um Rückschlüsse auf mögliche Urteile unter Geltung der DSGVO zu ziehen. Im Übrigen werden Urteile und behördliche Entscheidungen aus anderen Mitgliedstaaten, die zur DSGVO bereits bekannt wurden, in die Untersuchung einbezogen.
9
Vgl.
Würdinger
, Das Ziel der Gesetzesauslegung – ein juristischer Klassiker und Kernstreit der Methodenlehre, JuS 2016, S. 1–6;
Bleckmann
, Zu den Methoden der Gesetzesauslegung in der Rechtsprechung des BVerfG, JuS 2002, S. 942–947.
10
EuGH, Urteil vom 25. Juli 2018, C-239/17,
Teglgaard und Fløjstrupgård
, ECLI:EU:C:2018:597, Rn. 35.
11
Vgl.
Potacs
, Effet utile als Auslegungsgrundsatz, EuR 2009, S. 465–488;
Niedobitek
, Europarecht, S. 49.
12
Vgl. Europäische Union, EU-Sprachen, abrufbar unter https://europa.eu/european-union/about-eu/eu-languages_de (zuletzt abgerufen am 11.04.2021).
13
Hierzu
Mišćenić
, Legal Translation vs. Legal Certainty in EU Law, in: Mišćenić/Raccah (Hrsg.), Legal risks in EU law: Interdisciplinary studies on legal risk management and better regulation in Europe, 2016, S. 88–105.
14
Die Amtssprachen sind somit zugleich „Inspirationsquelle“ und Herausforderung, vgl.
Niedobitek
, Europarecht, Grundlagen und Politiken der Union, 2. Aufl. 2020, S. 149; der EuGH hat in der Vergangenheit aber bereits alle (damaligen) Sprachfassungen miteinander verglichen, vgl. hierzu EuGH, Urteil vom 2. Oktober 1997, C-259/95,
Parlament/Rat
, ECLI:EU:C:1997:454, Rn 12; vgl. auch EuGH, Urteil vom 25. Juli 2018, C-239/17,
Teglgaard und Fløjstrupgård
, ECLI:EU:C:2018:597, Rn. 37, wonach „die in einer der Sprachfassungen einer Vorschrift des Unionsrechts verwendete Formulierung nicht als alleinige Grundlage für die Auslegung dieser Vorschrift herangezogen werden oder Vorrang vor den anderen sprachlichen Fassungen beanspruchen kann.“
15
Die EU-Kommission, Antwort auf Parlamentarische Anfragen vom 13. Juli 2018, P-003121/2018(ASW) (Bezugsdokument P-003121/2018), abrufbar unter http://www.europarl.europa.eu/doceo/document/P-8-2018-003121-ASW_DE.html (zuletzt abgerufen am 11.04.2021).
Der Schutz natürlicher Personen durch verbindliche Regelungen für die automatisierte Verarbeitung von personenbezogenen Daten beschäftigt die Europäische Union (EU) spätestens seit den siebziger Jahren des zwanzigsten Jahrhunderts.16 Doch die Wurzeln der datenschutzrechtlichen Entwicklung entstammen Protestbewegungen in den USA aufgrund der Computerisierung von Datenbanken in den 1960er Jahren.17 War es in der Vergangenheit umständlich bis unmöglich, aus verschiedenen Registern Daten über eine natürliche Person zusammenzutragen und ein Profil zu erstellen, sollte dies mit Hilfe des „National Data Centers“ in den Vereinigten Staaten mit nur einem Knopfdruck möglich werden.18
Auf dem europäischen Kontinent wurden ähnliche Themen nur wenige Jahre später diskutiert, als auch hier die Computerisierung von Datenbanken Einzug hielt.19 Der Begriff „data protection“ oder „Datenschutz“ existierte in dem Zusammenhang in den sechziger und zu Beginn der siebziger Jahre noch nicht. In den USA wurde von einem Eingriff in das Schutzgut „privacy“ gesprochen, welches bereits im Jahr 1890 in dem Aufsatz „The Right to Privacy“ von Samuel D. Warren und Louis D. Brandeis geprägt wurde.20
Eingeführt wurde der Begriff des Datenschutzes als Verlegenheitslösung, weil sich „privacy“ ins Deutsche nicht wortgleich ohne Bedeutungsverlust übersetzen ließ.21 Der deutsche Begriff „Datenschutz“ setzte sich durch und wurde internationalisiert,22 obwohl Schutzgut nicht primär die Daten sind, sondern natürliche Personen.23 Eine Abweichung der Terminologie war auch im Rahmen der Fortentwicklung des EU-Rechts und des nationalen Rechts nicht erkennbar und so ist der Begriff auch ein zentrales Element der DSGVO.
16
Simitis
, Die EU-Datenschutzrichtlinie – Stillstand oder Anreiz?, NJW 1997, S. 281.
17
Robertson
, Data Center Held Peril to Privacy, The New York Times 1966, S. 41, abrufbar unter https://nyti.ms/3uHKOKM (zuletzt abgerufen am 11.04.2021).
18
Packard
, Don’t Tell It To the Computer, The New York Times 1967, S. 235, 257–260.
19
Weinraub
, Computer Invasion Of Personal Privacy Worries Europeans, The New York Times 1971, S. 1;
Blume
, The Public Sector and the Forthcoming EU Data Protection Regulation, EDPL 2015, S. 32;
Danielsson
, Experiences with the Swedish Data Act and Special Regard to its Impact on Organizational Procedures and Technical Measures for Data Protection, in: Griesser (Hrsg.), Realization of Data Protection in Health Information Systems, 1977, S. 115ff.
20
Warren, Samuel D./Brandeis, Louis D
., HRL 1890, S. 193–220.
21
Ronellenfitsch
, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, 28. Aufl. 2019, BDSG 2003 [aK] – II. Historische Entwicklung, Rn. 5; der Ursprung des Begriffes ist unbekannt und lässt sich auf die Ursprünge des hessischen Datenschutzgesetzes im Jahr 1970 zurückführen, vgl.
Rüpke/v. Lewinski/Eckhardt
, Datenschutzrecht, 2018, § 2 Rn. 53.
22
Vgl.
Ronellenfitsch
, in: Wolff/Brink (Hrsg.), 28. Aufl. 2019, BDSG 2003 [aK] – II. Historische Entwicklung, Rn. 5: „data protection, protection des données, protección de datos, protezione dei dati, zaschtschyta danych, προστασία δεδομένων, προσωπικού χαρακτήρα; veri koruma, הגנה
על נתונים
“.
23
Gola/Hümmerich/Kerstan
, in: Gola/Hümmerich/Kerstan (Hrsg.), Datenschutzrecht, Teil I, 1977, S. 20: „Aufgabe des Datenschutzes ist es, den Bürger vor mißbräuchlicher Verarbeitung seiner personenbezogenen Daten – das sind Daten, die Auskunft über seine persönlichen oder sachlichen Verhältnisse geben – zu schützen. Nicht die Daten oder der Besitz an den Daten (Stichwort: Computerkriminalität) soll geschützt werden, sondern die Privatsphäre des Einzelnen und sein verfassungsrechtlich geschützter Anspruch (Art. 2 GG) auf eine unantastbare Sphäre privater Lebensgestaltung“.
Das Datenschutzrecht der EU wird in den Verträgen24 und in der Rechtsprechung des Europäischen Gerichtshofs (EuGH) auf verschiedene Weise gewürdigt. Art. 16 AEUV formuliert, dass jede Person ein Recht auf Schutz der sie betreffenden personenbezogenen Daten hat und ermächtigt zum Erlass von diesbezüglichem Sekundärrecht. Die Europäische Grundrechtecharta (GRCh)25, die den Verträgen im Rang gleichgestellt ist26, sieht in Art. 7 die Achtung des Privat- und Familienlebens vor, während Art. 8 ausdrücklich den Schutz personenbezogener Daten betrifft. Die Vorschriften werden durch Urteile EuGH ausgelegt und präzisiert.
Bis zum Erlass der DSRL im Jahr 1995 war es nicht gelungen, verbindliche europäische Vorgaben für die Datenschutzgesetzgebung zu verabschieden.27 Mit damals nur fünfzehn Mitgliedstaaten verabschiedete der Rat der EU die DSRL am 24. Juli 1995.28 Bis zur Anwendbarkeit der DSGVO im Jahr 2018 war die DSRL das maßgebende Harmonisierungsinstrument für den Datenschutz im europäischen Binnenmarkt.29 Der Überarbeitungsprozess, der letztlich in die DSGVO mündete, wurde allerdings schon im Jahr 2009 angestoßen.30
Die offizielle Debatte um die Regelungen für den Schutz von Personen aufgrund von computergesteuerter Datenverarbeitung begann in der EU zu Beginn der 1970er Jahre durch Anfragen aus dem Europäischen Parlament (EU-Parlament) an die Europäische Kommission (EU-Kommission).31 Das EU-Parlament forderte in seinen Entschließungen von der EU-Kommission eine „Richtlinie über die Freiheit des Einzelnen und die Datenverarbeitung“32, die das „höchste Schutzniveau für die Gemeinschaftsbürger“33 vorsieht. Dies stand im Widerspruch zu den Interessen der EU-Kommission, den gemeinsamen Markt mit möglichst wenig Beschränkungen zu verwirklichen.34 Immer mehr Mitgliedstaaten führten derweil in nationalen Alleingängen zwischen 1970 und 1988 Datenschutzgesetze ein, die inhaltlich im klaren Widerspruch zur Haltung der EU-Kommission standen.35 Fast zwei Jahrzehnte nach den Forderungen des EU-Parlaments, im Jahr 1990, sollte die EU-Kommission der Europäischen Gemeinschaft den ersten Entwurf für die DSRL vorlegen.36
Die DSRL sollte dazu dienen, das Recht der Mitgliedstaaten zu harmonisieren und dadurch einen freien Fluss der Daten ermöglichen.37 Inhaltlich war die Richtlinie kein Novum, sondern orientierte sich deutlich an den Prinzipien der Datenschutzkonvention des Europarates38 und der Europäischen Menschenrechtskonvention (EMRK) von 1950,39 die sich in den nationalen Gesetzen der Mitgliedstaaten wiederfanden.40 Die Datenschutzgesetze in Deutschland beeinflussten die DSRL ebenfalls.41 Gleichzeitig verkörperte die Richtlinie einen Spagat zwischen der Errichtung eines gemeinsamen Marktes und dem Schutz von natürlichen Personen.42 Sie stellt einen Meilenstein dar, der unter anderem einen Ausbau von Betroffenenrechten und Informationspflichten, unabhängige Kontrolle durch Datenschutzaufsichtsbehörden und eine strenge Zweckbindung der Verwendung von Daten vorsah.43
Die DSRL deckte die Verarbeitung personenbezogener Daten generisch ab und enthielt insbesondere keine spezifischen Vorgaben für die Verarbeitung von personenbezogenen Daten im medizinischen Bereich.44 Die besondere Rolle und das Schutzbedürfnis medizinischer Daten wurde nur dadurch gewürdigt, dass diese in Art. 8 DSRL einen besonderen Status enthielten, sofern sie unter Daten über die Gesundheit subsumiert werden konnten. Der Begriff der „Gesundheitsdaten“ wurde allerdings in der DSRL nicht legal definiert, auch die Erwägungsgründe liefern keine Hilfestellung zur Auslegung des Begriffs.
Eine Trennung zwischen öffentlichen und privaten Bereichen sah die Richtlinie nicht vor, wurde aber beispielsweise im Mitgliedstaat Deutschland weiterhin vorgenommen.45 Eine unterschiedliche Behandlung von Drittstaaten, also solchen, die nicht Mitglieder der Gemeinschaft waren, wurde aus der Richtlinie ebenfalls deutlich.46 Die Unterscheidung zwischen Mitgliedstaaten und Drittstaaten bedeutete, dass besondere Anforderungen gelten sollten, sobald personenbezogene Daten die Grenzen der Europäischen Gemeinschaft verlassen sollten.47 Die Überwachung der Einhaltung der Datenschutzgesetze wurde jeweils den Mitgliedstaaten überlassen, die hierfür unabhängige Kontrollstellen einrichten sollten.48 Diese sollten jedoch bei der Überwachung nicht alleine gelassen werden. So wurde ergänzend und beratend nach Art. 29 und 30 DSRL ein unabhängiges europäisches Gremium eingeführt, das die Aufgabe hatte, Durchführungsdefizite aufzudecken und zu adressieren, die EU-Kommission zu beraten und das Schutzniveau in nichteuropäischen Staaten zu bewerten.49 Dieses Gremium war die sogenannte „Artikel 29-Datenschutzgruppe“.50
Die Artikel-29-Datenschutzgruppe hat sich verschiedentlich zur Einwilligung, auch im medizinischen Kontext, geäußert.51 Damit hat sie Grundsteine für die Auslegung der Kriterien der Einwilligung gelegt. Die Datenschutzgruppe bestand gem. Art. 29 Abs. 2 DSRL aus je einem Vertreter der einzelnen Mitgliedstaaten, dem Europäischen Datenschutzbeauftragten und einem Vertreter der EU-Kommission. Die Stellungnahmen und Empfehlungen der Datenschutzgruppe waren nicht verbindlich.52
Die Stellungnahmen, Empfehlungen und Arbeitspapiere der Artikel-29-Datenschutzgruppe konnten jedoch einen wesentlichen Beitrag zur einheitlichen Anwendung der DSRL leisten.53
Seit Anwendbarkeit der DSGVO hat der Europäische Datenschutzausschuss (EDSA) als unabhängiges Organ der EU das Gremium als Nachfolger abgelöst54 und am 25. Mai 2018 gem. Art. 68 Abs. 1 DSGVO die Aufgabe übernommen, die einheitliche Anwendung der Datenschutzvorschriften zu fördern.55 Viele der Strukturen des EDSA ähneln denen des Vorgängerausschusses, allerdings haben einige Kompetenzerweiterungen stattgefunden.56 Obwohl der EDSA weiterhin ebenfalls hauptsächlich unverbindliche Stellungnahmen, Leitlinien und Empfehlungen ausarbeitet57, kann er nun in besonderen Situationen im Rahmen der sog. Streitbeilegung zwischen den europäischen Datenschutzaufsichtsbehörden verbindliche Beschlüsse erlassen.58
Eine der Entwicklungslinien im Europarecht ist die Rechtsprechung des EuGH.59 Das europäische Datenschutzrecht wird aufgrund seines jungen Alters allerdings von einer überschaubaren Menge an einschlägigen EuGH-Entscheidungen begleitet.60 Gleichwohl hat sich hat sich der Gerichtshof als „Bollwerk des Datenschutzes“61 positioniert; die Entscheidungen werden regelmäßig auch von den Tagesmedien aufgegriffen und sind von teilweise erheblicher Brisanz in der Praxis.62
Ein Bruchteil dieser Entscheidungen betrifft jedoch Gesundheitsdaten. Beispielsweise hat der EuGH im Fall Lindqvist63 im Jahr 2003 entschieden, dass der Begriff der Gesundheitsdaten weit auszulegen ist und
„dass er sich auf alle Informationen bezieht, die die Gesundheit einer Person unter allen Aspekten — körperlichen wie psychischen — betreffen.“64
Die weite Auslegung wurde später durch das Gericht (EuG) dahingehend präzisiert, dass aus einer Beschreibung über eine „persönliche Einschränkung“ die Offenlegung von Gesundheitsdaten oder medizinischen Daten nicht hervorgeht.65 Daraus ist zu schließen, dass zumindest eine gewisse hinreichende Konkretisierung bei Gesundheitsdaten erforderlich ist.
Solange keine Urteile im Bereich des Gesundheitsdatenschutzes ergehen, die die neuen Regelungen der DSGVO interpretieren, muss auf die allgemeinen Auslegungsgrundsätze, mit denen der EuGH regelmäßig arbeitet, zurückgegriffen werden. Der EuGH orientiert sich bei der Auslegung von EU-Recht am Wortlaut der Norm und interpretiert diesen bei Unsicherheiten systematisch und teleologisch.66 Die teleologische Auslegung wiederum orientierte sich bisher an dem Spannungsfeld der Ziele der DSRL, dem freien Datenfluss im Binnenmarkt und dem Schutz der Rechte von Betroffenen.67Bei widerstreitenden Interessen wurden die verschiedenen Grundrechtspositionen gegeneinander abgewogen.68
Die DSGVO trat nach einem politischen Prozess in Kraft, der fast zehn Jahre andauerte. Aus der DSRL mit 24 Artikeln und 72 Erwägungsgründen wurde eine Verordnung mit einem Umfang von 99 Artikeln und 173 Erwägungsgründen.69 Bereits vor ihrer Anwendbarkeit wurde sie die „größte Katastrophe des 21. Jahrhunderts“70 genannt oder als „Meilenstein und wichtiges Signal“71 bezeichnet.72 Ob sie sich als Jahrhundertwerk oder als gescheiterter Versuch herausstellt, bleibt abzuwarten, obwohl weder das eine noch das andere Extrem zu erwarten ist. Als Ergebnis von Kompromissen und Lobbyismus, liegt es doch – wie auch unter der DSRL – an den Mitgliedstaaten, die auf europäischer Ebene gemeinsam ausverhandelten, textgewordenen Vorsätze in die Praxis umzusetzen.
Bevor die DSGVO am 27. April 2016 in Kraft trat, war sie Gegenstand zahlreicher Verhandlungen und mehrerer Entwürfe. Das Streben nach einer umfassenden Überarbeitung des Rechtsrahmens für den Datenschutz lässt sich bis in das Jahr 2009 zurückverfolgen.73 Der Prozess zur Fortentwicklung der DSRL wurde bereits im Mai 2009 mit einer öffentlichen Konsultation durch die EU-Kommission eingeläutet.74 Es folgte unter anderem eine vergleichende Studie dazu, ob die DSRL weiterhin einen angemessenen Schutz personenbezogener Daten gewährleisten konnte, oder ob Änderungen erforderlich seien.75 Ziel war es, herauszufinden, ob die europäischen datenschutzrechtlichen Regelungen im Lichte der Digitalisierung, Technisierung und globalen Datenverarbeitungen einer Überarbeitung bedurften.76 Die Überarbeitung des Rechtsrahmens für Datenschutz war Teil des Stockholmer Programms für den Zeitraum 2010 bis 2014, das vom Europäischen Rat im Sommer 2009 gebilligt wurde.77
Die Untersuchungen der EU-Kommission mündeten Ende 2010 in die Mitteilung „Gesamtkonzept für den Datenschutz in der Europäischen Union“, in der Änderungsvorschläge der Datenschutzvorschriften angekündigt wurden.78 Nach Diskussionen und Studien zum Gesamtkonzept unterbreitete die EU-Kommission Ende 2012 ihren Vorschlag für eine neue Vorschrift, die „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“.79 Diese Verordnung sollte einen allgemeinen Rahmen für den Datenschutz in der EU schaffen.80 Gelingen sollte dies über das Instrument einer Verordnung, welche der Anwendung unterschiedlicher nationaler Datenschutzgesetze ein Ende setzen sollte.81 Die EU-Kommission verfolgte den Plan, das Gesetzgebungsverfahren hierfür bis Ende 2012 abzuschließen.82 Doch nie zuvor war ein Gesetzesvorhaben mit so vielen Änderungswünschen versehen und so breit debattiert.83 Das Verfahren nahm somit über vier Jahre Zeit in Anspruch, bis der Vorschlag der EU-Kommission in wesentlichen Punkten geändert wurde und die DSGVO in ihrer heutigen Fassung am 27. April 2016 angenommen wurde.84 Seit dem 25. Mai 2018 ist sie unmittelbar in allen Mitgliedstaaten anwendbar.85
Die Betitelung der DSGVO als Grundverordnung – wenn auch nur in der sog. „Kurzangabe des Gegenstands“86 – ist ein Novum. In der Datenbank der EU-Kommission ist keine vergleichbare Bezeichnung eines EU-Rechtsakts zu finden.87 Ursprünglich sollten zentrale Bestimmungen zwar dem Grunde nach in der Verordnung verankert werden, zusätzlich wollte die EU-Kommission jedoch über delegierte Rechts- und Durchführungsakte Konkretisierungen vornehmen.88 Die Bezeichnung als Grundverordnung ist angesichts der ca. 70 Öffnungsklauseln89 mit Spielräumen für nationale Gesetzgeber allerdings nach wie vor treffend und beschreibt die Verwässerung des typischen Verordnungscharakters.90
In ihrer Begründung führt die Europäische Kommission hierzu aus, dass die Verordnung zur Regelung des Datenschutzes in der EU am besten geeignet sei, da sie zur Rechtsvereinheitlichung beitrage, die Rechtssicherheit erhöhen und einen besseren Grundrechtsschutz bewirken werde.91 Hinsichtlich der Wahrung der Subsidiarität (vgl. Art. 5 Abs. 3 EUV) kam die EU-Kommission zum Ergebnis, dass die Mitgliedstaaten nicht allein in der Lage seien, die Ziele der Union zu verwirklichen.92
Die umfassende Rechteeinräumung im ursprünglichen Entwurf der EU-Kommission über delegierte Rechts- und Durchführungsakte führte hingegen zu Kritik mit Blick auf das Subsidiaritätsprinzip.93 Der deutsche Bundesrat erhob am 30. März 2012 eine Subsidiaritätsrüge, da er der Ansicht war, dass keine ausreichende Begründung für die Wahl der Verordnung vorliege.94 Auch die Bundesregierung wandte in ihrem zweiten Gesetzentwurf zur Anpassung des Datenschutzrechts an die DSGVO ein, dass in den Erwägungsgründen der DSGVO zwar das Ziel einer Vollharmonisierung enthalten sei, die DSGVO dieses Ziel jedoch nicht „vollumfänglich“ erreiche und stattessen einer Richtlinie gleiche.95
Die Fülle an Öffnungsklauseln ist zwar eine Besonderheit, die das Ringen um die Wahrung der Subsidiarität verdeutlicht.96 Allerdings gibt es ähnliche Aufforderungen zum legislativen Tätigwerden an die Mitgliedstaaten auch in anderen europäischen Verordnungen.97 Die Harmonisierungswirkung der DSGVO kann aber durch den Gestaltungsspielraum, den einige Öffnungsklauseln den Mitgliedstaaten bieten, beeinträchtigt werden.98 Zahlreiche Öffnungsklauseln, die in der DSGVO enthalten sind, erhielten einige Aufmerksamkeit sowohl von der Lehre als auch in der Praxis.99 In der rechtswissenschaftliche Lehre gibt es mehrere Versuche, Wirkung, Natur, Inhalt oder weitere Merkmale von Öffnungsklauseln zu systematisieren.100 Die treffendste Differenzierung ist die Unterscheidung zwischen fakultativen und obligatorischen Öffnungsklauseln.101
Die in der DSGVO enthaltenen Öffnungsklauseln sehen „Regelungsgebote oder -optionen“ vor.102 Obligatorische Öffnungsklauseln dienen dazu, die Regelungen und Wirkung einer Verordnung institutionell zu ermöglichen, bspw. durch Einrichtung von Behörden, Zuweisen von Zuständigkeiten oder Vorgaben zur Kooperation.103 Ein Beispiel für eine obligatorisch auszufüllende Öffnungsklausel ist Art. 54 DSGVO, wonach jeder Mitgliedstaat die erforderlichen Vorschriften einführen muss, um eine Aufsichtsbehörde zu errichten und ihr die notwendigen Ressourcen zuzuteilen.104 Andererseits sind fakultative Öffnungsklauseln nicht notwendigerweise durch die Mitgliedstaaten auszufüllen, da die Verordnung selbst schon eine Regelung vorgibt. Allerdings haben die Mitgliedstaaten die Möglichkeit, von der grundsätzlichen Vorgabe abzuweichen.105 So sieht bspw. Art. 8 Abs. 1 Satz 3 DSGVO vor, dass die Mitgliedstaaten von der Altersgrenze für Einwilligungen eines Kindes (sechzehn Jahre) durch eine Altersabsetzung abweichen dürfen.106
Eine weitere Ausdifferenzierung von Öffnungsklauseln lässt sich danach vornehmen, ob diese eine Mehrzahl an Abweichungsmöglichkeiten bietet, ohne dass eine Themenbeschränkung erfolgt (allgemeine Öffnungsklausel) oder ob die Öffnungsklausel nur einen sehr beschränkten Bereich betrifft, in dem inhaltlich geringfügige Unterschiede ermöglicht werden (spezifische Öffnungsklausel).107 Unter allgemeine Öffnungsklauseln können bspw. Art. 23 DSGVO oder Art. 85 DSGVO subsumiert werden, die Mitgliedstaaten erheblichen Freiraum in ihrer nationalen Ausgestaltung lassen.108 Eine spezifische Öffnungsklausel stellt auch Art. 87 DSGVO dar, wonach in dem speziellen Bereich von nationalen Kennziffern oder Kennzeichen eine konkretere Ausgestaltung durch Mitgliedstaaten erlaubt ist.109 Teilweise wird allerdings auch eine Aufteilung und Zuordnung von Öffnungsklauseln nach deren Gegenstand und Inhalt vorgeschlagen.110
Zusätzlich kann eine weitere Differenzierung von Öffnungsklauseln nach ihren Funktionen festgestellt werden, je nachdem, ob sie eine mitgliedstaatliche Konkretisierung, Ergänzung oder Modifikation zulassen.111 Hierbei finden Überschneidungen mit den oben genannten Kategorien statt. So kann bspw. das Festsetzen der Altersgrenze nach Art. 8 DSGVO eine mitgliedstaatliche Konkretisierung sein. Ähnlich können die mitgliedstaatlichen Rechtsvorschriften im Rahmen des Art. 88 DSGVO zum Beschäftigtendatenschutz gegenüber den generellen Vorgaben der DSGVO konkretisierend wirken, obwohl diese Konkretisierungen fakultativ sind.112 Ein weiteres Beispiel stellt Art. 9 Abs. 4 DSGVO dar, wonach die Mitgliedstaaten eine fakultative Ergänzung bzw. Modifikation bei der Verarbeitung von dort genannten besonders sensiblen Daten vornehmen können.113
Als Sekundärrechtsakt der EU ist die DSGVO im Einklang mit dem Unionsprimärrecht, also unter anderem im Lichte der Grundrechte und Grundfreiheiten auszulegen.114 Auch nationales Recht, das Gestaltungsspielräume der DSGVO ausgestaltet, ist im Einklang mit dem Unionsrecht umzusetzen und zu interpretieren.115 Im Rahmen der autonomen Interpretation von Öffnungsklauseln ist jeweils festzustellen, ob eine solche restriktiv oder weit auszulegen ist.
Abschließende Unionsrechtsakte nehmen den Mitgliedstaaten die Regelungszuständigkeit, soweit und sofern nicht der Unionsakt den Mitgliedstaaten ausdrücklich eine Reglungsoption, Ergänzungsmöglichkeit oder einen Ausgestaltungsspielraum einräumt und somit nationale Abweichungen rechtfertigt.116
Hinsichtlich der Öffnungsklauseln nimmt die EU – im Rahmen ihrer Kompetenzen – ihre Rechtssetzungsmacht aus Art. 16 Abs. 2 AEUV zurück, um in bestimmten Bereichen neben den Regelungen der DSGVO mitgliedstaatliche Regelungen im Datenschutz zuzulassen.117 Die Öffnungsklauseln bedeuten einen Kompromiss zwischen EU-Institutionen und zahlreichen unterschiedlichen Interessen von Mitgliedstaaten.118
Reichweite, Inhalt und Umfang der Öffnungsklauseln lassen sich nur aus dem Unionsrecht selbst ermitteln, nach welchem der EU Kompetenzen für sich und die Mitgliedstaaten zugeordnet sind.119 Öffnungsklauseln sind daher autonom zu interpretieren.120 In der Regel ist bei der Auslegung von Sekundärrecht vom Wortlaut auszugehen, der auch die Grenze der Wortlautauslegung darstellt.121 Die Methoden der grammatikalischen, historischen, systematischen und teleologischen Auslegung sind dabei zu berücksichtigen, außerdem erfolgt eine Gewichtung im konkreten Einzelfall.122
Ob Öffnungsklauseln restriktiv oder weit zu interpretieren sind, ist umstritten.123Müller unterscheidet danach, um welche Art von Öffnungsklausel es sich handelt.124 Verstärkungs- und Gestaltungsklauseln sind auf eine Verbesserung des hohen Datenschutzniveaus gerichtet; eine enge Auslegung würde diesem Ziel entgegenstehen und scheint daher nicht in jedem Fall sachgerecht.125
Für eine restriktive Auslegung spricht, dass die DSGVO das Ziel der datenschutzrechtlichen Vollharmonisierung mit Öffnungsklauseln kaum erreichen kann und im Verhältnis zu wachsenden nationalen Spielräumen immer weniger erreichen wird.126 Für eine restriktive Interpretation spricht ferner der Wortlaut des Erwägungsgrundes 8 der DSGVO, in dem ausdrücklich von „Präzisierungen oder Einschränkungen“ die Rede ist. Die Öffnungsklauseln sollen diesen Funktionen dienen, sodass die Annahme, dass sie keine Erweiterungen zulassen und restriktiv auszulegen sind, überzeugend ist.
Gegenargumente lassen sich aber auch unmittelbar der DSGVO entnehmen. So fordert die DSGVO über ihre Öffnungsklauseln die Mitgliedstaaten teilweise sogar dazu auf, Rechtsgrundlagen für eine rechtmäßige Verarbeitung zu schaffen – anstatt sie selbst vorzugeben.127 Dabei ist es aber fraglich, ob eine eigenständige Rechtsgrundlage statt als „präzisierende Erweiterung“ vielmehr als vollständige Erweiterung zu verstehen sein kann. Zumindest quantitativ betrachtet ist eine Rechtsgrundlage eine Form der Erweiterung. Ob auch inhaltlich eine Erweiterung vorliegt, muss jeweils eigenständig betrachtet werden.128
Die überzeugenderen Argumente sprechen dafür, dass die Weite einer Öffnungsklausel eigenständig beurteilt werden muss. Im Grunde ist aber jede Abweichung oder Ausnahme, die in der DSGVO vorgesehen ist, eng auszulegen.129
Die DSGVO sieht einige Öffnungsklauseln vor, die unter anderem speziell den Gesundheitsbereich in einzelnen Mitliedstaaten betreffen können.130 Hierzu gehören insbesondere Öffnungsklauseln in Art. 6, 9 und 89 DSGVO.
Nach Art. 6 Abs. 1 Satz 1 lit. c DSGVO kann eine Verarbeitung rechtmäßig sein, wenn der Verantwortliche sie zur Erfüllung einer rechtlichen Verpflichtung vornimmt. Nach Art. 6 Abs. 1 Satz 1 lit. e DSGVO ist eine Verarbeitung rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. In beiden Fällen kann die jeweilige Rechtsgrundlage nicht für sich stehen, sondern es bedarf des Rückgriffs auf eine mitgliedstaatliche Regelung, die die jeweilige Verarbeitungstätigkeit erforderlich macht.131
Für sich genommen bieten die Rechtsgrundlagen dem Wortlaut nach einen sehr großen Spielraum für die Mitgliedstaaten.132 Die Besonderheit des Datenschutzrechts, das als sog. Querschnittsmaterie alle Bereiche der Gesetzeslandschaft berührt, in der personenbezogene Daten eine Rolle spielen, wird dadurch berücksichtigt.133 Die beiden Vorschriften werden jedoch durch Art. 6 Abs. 3 DSGVO flankiert.134 Dort wird auch gefordert (vgl. Satz 2), dass der Zweck der Verarbeitung in der jeweiligen nationalen Rechtsgrundlage festgelegt sein muss. Im Gesundheitsbereich werden diese Öffnungsklauseln beispielsweise in typischen Behandlungssituationen relevant, allerdings auch im Bereich der Notfallmedizin und der öffentlichen Gesundheit (vgl. § 22 Abs. 1 Nr. 1 lit. b und lit. c BDSG).
Nach Art. 6 Abs. 4 DSGVO besteht die Möglichkeit, personenbezogene Daten, die zu einem bestimmten Zweck erhoben wurden, zu einem „anderen Zweck“ weiterzuverarbeiten.135 Voraussetzung ist, dass der Verantwortliche anhand eines Kriterienkatalogs (Art. 6. Abs. 4 lit. a–e DSGVO)136 prüft, ob die Verarbeitung zu dem neuen Zweck mit dem ursprünglichen Zweck zu vereinbaren ist.
In zwei geregelten Situationen muss dieser Kompatibilitätstest nicht durchgeführt werden, nämlich (1) wenn für die Zweckänderung eine Einwilligung eingeholt wurde137 oder (2) wenn die Zweckänderung auf einer Rechtsvorschrift der EU oder der Mitgliedstaaten beruht, „die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt“.138 Dies wird auch durch Erwägungsgrund 50 Satz 7 DSGVO bestätigt, wonach eine Weiterverarbeitung zu anderen Zwecken möglich ist, sofern eine Einwilligung hierfür vorliegt oder mit einer Rechtsvorschrift der Union oder der Mitgliedstaaten insbesondere wichtiger Ziele des allgemeinen öffentlichen Interesses verfolgt werden.139
Somit enthält Art. 6 Abs. 4 DSGVO eine Öffnungsklausel, die die Mitgliedstaaten ausgestalten dürfen, um zweckverändernde Weiterverarbeitungen zu ermöglichen.140 Deutschland hat von dieser Öffnungsklausel in § 23 BDSG für öffentliche Stellen und in § 24 BDSG für private Stellen Gebrauch gemacht.141 Sowohl § 23 als auch § 24 BDSG ordnen in ihren Absätzen 2 hinsichtlich besonderer Kategorien personenbezogener Daten (wortgleich) an, dass für eine Weiterverarbeitung dieser Daten jeweils die Voraussetzungen der Absätze 1 dieser Normen einzuhalten sind und dass zusätzlich jeweils ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO oder § 22 BDSG vorliegen muss.142 Auf die Möglichkeit einer Zweckveränderung bei Einwilligungen wird im Hauptteil näher eingegangen.143
In Art. 9 Abs. 2 lit. a DSGVO wird eine Rückausnahme definiert, die Mitgliedstaaten fakultativ ausgestalten können, um eine Datenverarbeitung aufgrund einer Einwilligung zu untersagen.144 In bestimmten, von den Mitgliedstaaten vorgegebenen Situationen kann daher selbst eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO nicht dazu führen, dass die Verarbeitung personenbezogener Daten rechtmäßig ist.145 Nach Rogosch, die die Rechtslage unter der DSRL untersucht hat, sollte der vollständige Ausschluss der Einwilligung für bestimmte Bereiche aus „verfassungs- und europarechtlichen Gründen“ nicht zulässig sein.146 Fraglich ist, ob in der Möglichkeit, die Einwilligung auszuschließen, auch eine Möglichkeit besteht, die inhaltlichen Anforderungen an die Einwilligung anzupassen.147 Der Wortlaut gibt es nicht ausdrücklich her.148 Systematisch gesehen werden die Anforderungen an die Einwilligung auch in Art. 4 Nr. 11 und Art. 7 DSGVO geregelt. Art. 9 Abs. 2 lit. a DSGVO enthält bloß ein zusätzliches Kriterium der Ausdrücklichkeit.149
Die Systematik und eine Zusammenschau mit Art. 9 Abs. 4 DSGVO – der eine weitergehende Modifikation zumindest vom Wortlaut her ermöglicht – lassen einerseits den Schluss zu, dass der europäische Gesetzgeber in Art. 9 Abs. 2 lit. a DSGVO keinen Modifikationsspielraum eröffnen wollte.150 Andererseits kann die Rückausnahme auch so verstanden werden, dass den Mitgliedstaaten ein weiter Regelungsspielraum für die Einwilligung bei sensiblen Daten gelassen werden sollte, welche sich aus einem Minus (a maiore ad minus) des insgesamt weitreichenden Gestaltungsspielraums ergibt.151 Die Systematik zu Art. 9 Abs. 4 DSGVO kann auch dahingehend verstanden werden, dass zumindest für die dort genannten sensiblen Daten mitgliedstaatliche Bedingungen und Beschränkungen eingeführt werden können.152 In dem Fall könnten auch für die Rückausnahme nach Art. 9 Abs. 2 Konkretisierungen zulässig sein.
Nach Art. 9 Abs. 2 lit. b DSGVO gilt das Verarbeitungsverbot für sensible Daten nicht, wenn die Verarbeitung für den Verantwortlichen erforderlich ist, um aus dem Arbeitsrecht oder Recht der sozialen Sicherheit und des Sozialschutzes erwachsende Rechte auszuüben und entsprechenden Pflichten nachzukommen. Diese Rechte und Pflichten müssen dem Recht der Mitgliedstaaten oder in einer Kollektivvereinbarung dem Recht der Mitgliedstaaten erwachsen.153 Der Gesundheitsbereich kann von dieser Öffnungsklausel sowohl in klassischen Verarbeitungssituationen mit Beschäftigtenkontext betroffen sein, beispielsweise, wenn Erkrankungen dokumentiert werden, als auch in innovativen Arbeitsumfeldern, wenn Beschäftigte die Möglichkeit haben, „Wearables“ (Computertechnologien, die am Körper getragen werden)154 einzusetzen, um ihre Körperwerte zu dokumentieren.155
Eine Verarbeitung ist nach Art. 9 Abs. 2 lit. h DSGVO unter anderem zulässig, wenn sie für die Behandlung im Gesundheitsbereich oder für die Verwaltung von Systemen und Diensten im Gesundheitsbereich auf der Grundlage des Unionsrechts oder eines mitgliedstaatlichen Rechts oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich ist.156 Mit dieser bereichsspezifischen Norm wird berücksichtigt, dass gerade im Gesundheitsbereich und bei der Behandlung von Individuen in erheblichem Ausmaß sensible personenbezogene Daten verarbeitet werden müssen.157 Die Vorschrift berücksichtigt dabei nicht nur Verarbeitungen zur Vorsorge, Behandlung und Nachsorge, sondern auch die infrastrukturelle Dimension der Verwaltung und Dienste im Gesundheitsbereich.158
Eine Maßnahme zum Schutz dieser sensiblen Daten wird unmittelbar über Art. 9 Abs. 3 DSGVO ergänzt, der direkt auf die in Art. 9 Abs. 2 lit. h DSGVO genannten Daten Bezug nimmt.159 Die Verarbeitung steht unter der personellen Einschränkung, dass Fachpersonal oder Personen unter der Verantwortung von Fachpersonal tätig werden, welche einem Berufsgeheimnis oder einer Geheimhaltungspflicht unterliegen.160
Nachdem es aufgrund von Art. 9 Abs. 4 DSGVO zulässig ist, die hinsichtlich genetischer, biometrischer Daten oder Gesundheitsdaten zusätzliche Bedingungen und Beschränkungen einzuführen, haben Mitgliedstaaten faktisch einen erheblichen Freiraum für eigene Regelungen im Bereich der Gesundheit.161 Dies deutet auch darauf hin, dass eine Vollharmonisierung im Bereich der besonderen Kategorien personenbezogener Daten gescheitert ist.162
Eine Verarbeitung von Gesundheitsdaten kann gem. Art. 9 Abs. 2 lit. i DSGVO in Verbindung mit mitgliedstaatlichem Recht insbesondere dann legitim sein, wenn die Verarbeitung aus Gründen des öffentlichen Interesses zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung, bei Arzneimitteln und Medizinprodukten erforderlich ist. Insoweit zielt die Norm auf Gefahren- und Sicherheitsaspekte ab.163
Die DSGVO überlässt die Ausfüllung dieser Norm den Mitgliedstaaten, gibt aber vor, dass angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen betroffener Personen vorgesehen werden müssen, insbesondere Berufsgeheimnisse.164
In Art. 9 Abs. 2 lit. j DSGVO besteht eine Parallele zum Grundsatz in Art. 5. Abs. 1 lit. b DSGVO.165 Nach Art. 9 Abs. 2 lit. j DSGVO dürfen sensible personenbezogene Daten auf Grundlage mitgliedstaatlichen Rechts verarbeitet werden, wenn die Verarbeitung gem. Art. 89 Abs. 1 DSGVO erforderlich ist für wissenschaftliche oder historische Forschungszwecke, im öffentlichen Interesse liegende Archivzwecke oder für statistische Zwecke. Dabei fällt auf, dass zwar Art. 9 Abs. 2 lit. j DSGVO auf das mitgliedstaatliche Recht verweist, nicht aber Art. 89 Abs. 1 DSGVO. Die komplexe Formulierung kann so verstanden werden, dass zusätzlich zu den in Art. 89 Abs. 1 DSGVO genannten „Garantien für die Rechte und Freiheiten der betroffenen Person“ bei sensiblen Daten nach Art. 9 Abs. 2 lit. j DSGVO die Mitgliedstaaten den Rahmen für die Verarbeitung festlegen dürfen.166
Den Mitgliedstaaten wird es ermöglicht, unter Art. 9 Abs. 4 DSGVO zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten, „soweit die Verarbeitung genetischer, biometrischer oder Gesundheitsdaten betroffen ist“.167 Auf eine besondere „Betroffenheit“ der Verarbeitung kommt es aber wohl nicht an, da der englische Text schlicht den Begriff „processing“ verwendet, anstatt beispielsweise „concerned with processing“.168
Bezüglich biometrischer, genetischer Daten und Gesundheitsdaten bedeutet Art. 9 Abs. 4 DSGVO, dass die Erlaubnistatbestände des Art. 9 Abs. 2 DSGVO mitgliedstaatlich auch in Bereichen modifiziert werden können, in denen der jeweilige Tatbestand nicht ohnehin schon eine Öffnungsklausel vorsieht.169 Es stellt sich die Frage, ob unter diesem Tatbestand auch mitgliedstaatliche Erleichterungen beim Einholen einer Einwilligung eingeführt werden können.170 Da die Regelungen in Art. 9 DSGVO aber ohnehin zusätzliche Hürden für eine Datenverarbeitung nach Art. 6 DSGVO bedeuten, kann über Art. 9 DSGVO überzeugenderweise keine Absenkung des Schutzniveaus erfolgen.171
Die Vorschrift führt ferner dazu, dass es bezüglich dieser Daten nicht ausreichend ist, allein die Vorgaben der DSGVO im Blick zu behalten, da die Mitgliedstaaten in ihren nationalen Gesetzen spezielle Vorgaben beibehalten und einführen dürfen.172 Nichtsdestotrotz wird in Erwägungsgrund 53 Sätze 4 und 5 DSGVO vorgegeben, dass die weiteren Bedingungen einschließlich Beschränkungen nicht den freien Verkehr personenbezogener Daten innerhalb der Union beeinträchtigen sollten, falls die Bedingungen für grenzüberschreitende Verarbeitung der Daten gelten. Aus dem Erwägungsgrund ergibt sich daher, dass die Mitgliedstaaten dazu angehalten sind, gesundheitsdatenschutzrechtliche Alleingänge mit dem freien Datenverkehr in der Union in Einklang zu bringen.173 Die Öffnungsklausel wird in Teil C. dieser Arbeit näher untersucht.
Im Kapitel über die Vorschriften für besondere Verarbeitungssituationen wird in Art. 89 DSGVO festgelegt, dass einerseits bei der Verarbeitung personenbezogener Daten für Archivzwecke, wissenschaftliche Forschungszwecke oder historische Forschungszwecke geeignete Garantien für die Rechte und Freiheiten der betroffenen Person, also gewisse Mindestanforderungen, bestehen müssen.174 Ferner wird in Art. 89 Abs. 2 DSGVO festgelegt, dass im Unionsrecht oder im mitgliedstaatliche Recht bei der Verarbeitung zu den vorgenannten Zwecken Ausnahmen von den Betroffenenrechten gem. Art. 15, 16, 18 und 21 DSGVO (bzw. bei Archivzwecken auch von Art. 20 DSGVO) vorgesehen werden dürfen.175 Die Öffnungsklauseln müssen, so Art. 89 Abs. 2 und Abs. 3 DSGVO, solche Fälle regeln, bei denen voraussichtlich die Geltendmachung der Rechte einer Verwirklichung der spezifischen Zwecke entgegenstehen würde und daher die Ausnahme zur Erfüllung der Zwecke notwendig ist.176
Eine Ausnahme für das Recht auf Löschung (Art. 17 DSGVO) oder von den Bedingungen der Einwilligung (insbesondere Art. 7 DSGVO) ist an dieser Stelle nicht ausdrücklich vorgesehen.177 Daraus – auch unter Berücksichtigung der Gesetzessystematik – lässt sich schließen, dass Mitgliedstaaten über Art. 89 DSGVO beispielsweise keine Ausnahme vom Widerrufsrecht bei der Einwilligung machen dürfen.178 Gleichwohl wird sich zeigen, dass im Rahmen der wissenschaftlichen Forschung insb. aufgrund von Ausnahmen in Art. 17 Abs. 3 DSGVO Ausnahmen von der Löschpflicht bestehen können.179
Wie schon unter der DSRL wurden auch in der DSGVO Begriffe definiert. Die Anzahl an Definitionen wurde aber mehr als verdreifacht.180
Der Begriff des personenbezogenen Datums eröffnet gem. Art. 2 Abs. 1 DSGVO den sachlichen Anwendungsbereich der DSGVO und ist somit ein essentielles Kriterium.181 Personenbezogene Daten sind gem. Art. 4 Nr. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“. Diese Definition der personenbezogenen Daten enthält somit zusätzlich die Definition über die so genannte betroffene Person.182
Wann eine Person identifiziert oder identifizierbar ist und vor allem, für wen diese Identifizierbarkeit vorliegen muss, wird in der Definition – wie schon unter der DSRL183 – offengelassen.184 Um den Schutz der natürlichen Person zu gewährleisten, kann eine Identifikation nicht nur dann vorliegen, wenn Vor- und Nachname einer Person oder sonstige Merkmale der bürgerlichen Identität ermittelt werden können.185 Es muss ausreichend sein, dass eine Person „singularisiert“ und ohne Verwechselung wiedererkannt werden kann.186
In der Literatur wird ferner darüber diskutiert, aus wessen Perspektive die Identifizierung vorgenommen können werden muss.187 Es stellt sich die Frage, ob von einem absoluten Verständnis des Personenbezugs auszugehen ist,188 wonach auf die Möglichkeit aller Menschen zur Identifizierung abzustellen wäre (eine Anonymisierung wäre damit faktisch kaum möglich),189 oder ob auf ein relatives Verständnis des Personenzugs abzustellen ist, wonach auf Wissen und Möglichkeiten des Verantwortlichen abzustellen wäre, bzw. auf Dritte, die wahrscheinlich eine Identifizierung vornehmen könnten.190
Der Kommissionsentwurf zur DSGVO bezog in die Definition einen Zusatz mit ein (inhaltlich entsprach dieser dem Erwägungsgrund 26 DSRL), der vorsah, dass die Identifizierung der natürlichen Person mit Mitteln bestimmt wird, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach (im Englischen: „all means reasonably likely to be used“) einsetzen würde.191 Doch dieser Zusatz wurde in der Fassung des Rates wieder gestrichen.192 Er fand stattdessen wiederum Eingang in Erwägungsgrund 26 DSGVO. Der Zusatz hilft allerdings nicht dabei, eindeutig zu bestimmen, ob von einem relativen oder absoluten Verständnis auszugehen ist. Ein streng absoluter Ansatz lässt sich mit Rücksichtnahme auf den Erwägungsgrund, der auf ein allgemeines Ermessen und ein Wahrscheinlichkeitskriterium abstellt, also auf eine Verhältnismäßigkeitsprüfung hindeutet, nur schwer vertreten.193 Letztlich kommt es überzeugenderweise auf eine Einzelfallprüfung und den jeweiligen Kontext an, auf die technischen Mittel, eine Risikobetrachtung, rechtliche Möglichkeiten, Kosten und Aufwand.194
Die DSGVO ist sachlich anwendbar, wenn personenbezogene Daten ganz oder teilweise automatisiert oder über ein Dateisystem verarbeitet werden.195 Der Begriff der Verarbeitung in Art. 4 Nr. 2 DSGVO wurde gegenüber der Vorgängerversion in Art. 2 lit. b DSRL kaum verändert und hat auch in der finalen Fassung der DSGVO gegenüber den Entwürfen im Gesetzgebungsverfahren keine wesentlichen Änderungen erfahren.196 Inhaltlich ist er beschreibend und zählt – weder abschließend noch trennscharf – verschiedene Formen der Verarbeitung auf.197 Eine Verarbeitung im datenschutzrechtlichen Sinne bedarf jedenfalls eines personenbezogenen Datums sowie eines Systems, durch welches – automatisiert oder nichtautomatisiert – ein Vorgang ausgeführt wird. Drittes Element der Verarbeitung ist nach Ansicht von Kirsten Bock, Mitglied der Ländervertretungen Deutschlands in Arbeitsgruppen des EDSA, ein Prozess.198
Genetische Daten sind gem. Art. 4 Nr. 13 DSGVO „personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden“. Erwägungsgrund 34 der DSGVO enthält weitere Informationen dazu, wie die personenbezogenen Daten, die unter die Definition der genetischen Daten fallen, erhoben werden. Demnach sollen diese Daten aus Analysen einer biologischen Probe stammen, insbesondere durch Chromosomen, Desoxyribonukleinsäure (DNS)- oder Ribonukleinsäure (RNS)-Analyse oder durch Analyse eines anderen Elements, durch die gleichwertige Informationen erlangt werden können.199
Eine Definition genetischer Daten war in der DSRL nicht enthalten.200 Dies wurde auch mehrfach kritisiert, obwohl genetische Daten teilweise unter den Begriff der Gesundheitsdaten, die in Art. 8 DSRL ausdrücklich erwähnt (jedoch nicht definiert) waren, eingeordnet werden konnten.201 In Art. 9 DSGVO sind die genetischen Daten ausdrücklich auch vom Schutzbereich für besondere Kategorien personenbezogener Daten erfasst.202 Sofern genetische Daten Informationen über den Gesundheitszustand erhalten, sind diese jedenfalls auch unter Art. 4 Nr. 15 DSGVO (Gesundheitsdaten) zu subsumieren.203 Informationen über die Physiologie beziehen sich auf funktionelle Vorgänge im Organismus.204 Aus einer Genanalyse lassen sich Informationen entnehmen, die Rückschlüsse auf den körperlichen Zustand, zukünftige oder bestehende Erkrankungen, Verhaltensweisen und Prädispositionen zulassen.205 Aufgrund der Sensitivität der Informationen ergibt sich ein großes Missbrauchspotential, das nicht nur die untersuchte betroffene Person betrifft, sondern häufig auch Angehörige Dritte.206
In Art. 4 Nr. 14 DSGVO sind biometrische Daten definiert als „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“. Biometrische Daten sind nicht beliebig und vor allem nur mit einem erhöhten Aufwand, der erhebliche körperliche Eingriffe erfordern kann, veränderbar.207
Eine Einschränkung wird dahingehend gemacht, dass „spezielle technische Verfahren“ eingesetzt werden müssen.208 Die Beispiele der Verfahren zur Erstellung von Gesichtsbildern und Daktyloskopie deuten darauf hin, dass es um Vorgänge geht, die darauf abzielen, biometrische Merkmale festzustellen oder festzuhalten.209 In Erwägungsgrund 51 der DSGVO ist daher auch klargestellt, dass Fotos von natürlichen Personen nicht grundsätzlich als biometrische Daten einzustufen sind, sondern nur dann, wenn die Fotos mit speziellen technischen Verfahren verarbeitet werden, die eine eindeutige Identifizierung oder Authentifizierung ermöglichen.210
Gesundheitsdaten sind nach Art. 4 Nr. 15 DSGVO „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“. Wie oben beschrieben lassen sich auch genetische Daten regelmäßig den Gesundheitsdaten zuordnen.211 Damit Gesundheitsdaten vorliegen, müssen also zwei Bedingungen erfüllt sein: einerseits müssen sich personenbezogene Daten auf die körperliche oder geistige Gesundheit, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen (1), andererseits müssen ihnen Informationen über den Gesundheitszustand zu entnehmen sein (2). Da die beiden Definitionsbestandteile durch ein „und“ miteinander verbunden sind, müssen beide Bedingungen kumulativ vorliegen.212
Nach dem ersten Kriterium müssen sich die personenbezogenen Daten auf die körperliche oder geistige Gesundheit beziehen. Wann eine Bezugnahme zur Gesundheit zu bejahen ist, ist durch Auslegung zu ermitteln.
Die Endfassung der Definition über Gesundheitsdaten ist etwas enger gefasst als der ursprüngliche Entwurf der EU-Kommission, der lediglich die erste Bedingung vorsah.213 Die Bestimmung ist dennoch weit auszulegen, da der Begriff der Gesundheitsdaten nicht an eine Krankheit anknüpft, sondern allgemein an einen Zustand über die Gesundheit.214 Der Gesetzeswortlaut erfasst außerdem ausdrücklich sowohl die physische als auch psychische Gesundheit einer Person. Nach Erwägungsgrund 35 der DSGVO umfassen Gesundheitsdaten Informationen über den „früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand“, und können somit einen erheblichen, gar existentiellen, Einfluss auf das Leben und Chancen einer betroffenen Person haben.215 Unklar ist aber, wie eng oder wie direkt die Beziehung zwischen personenbezogenem Datum und Information über den Gesundheitszustand sein muss, damit die Definition erfüllt ist.
Aus der Definition geht nicht eindeutig hervor, ob sich die personenbezogenen Daten unmittelbar auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen müssen, oder ob sich dies auch mittelbar ergeben kann, was die Einordnung von Daten als sensibel oder nichtsensibel erschwert.216 Die Unterscheidung ist m.E. allerdings essentiell, da der Begriff der Gesundheitsdaten mit ihr entweder sehr flexibel und offen wird oder eng bleibt und somit das Risiko beinhaltet, dass Schutzlücken für natürliche Personen entstehen.217 Dies soll an zwei Beispielen gezeigt werden.