DS-GVO/BDSG. David Klein
Daten war bislang in § 3 Nr. 9 BDSG a.F. enthalten, während die spezifischen Verarbeitungsbefugnisse in den §§ 13 Abs. 2, 14 Abs. 2 und 28 Abs. 6 bis 9 BDSG a.F. festgelegt waren.[30]
15
Soweit es sich bei Gesundheitsdaten zugleich um Sozialdaten i.S.v. § 67 SGB X handelt, enthalten die §§ 284 f. SGB V, 67a–f SGB X spezifische Vorgaben. Insofern wurden Gesundheitsdaten über § 3 Abs. 9 BDSG a.F. den besonders sensiblen Daten zugerechnet, das Schutzkonzept der Gesundheitsdaten folgte jedoch aus verschiedenen gesetzlichen Regelungen, etwa den Landeskrankenhausgesetzen (vgl. etwa § 24 LKG Berlin) sowie dem oben Genannten SGB V als spezifische Datenschutzvorschriften.[31]
16
Im ärztlichen Behandlungsverhältnis unterliegen Gesundheitsdaten der ärztlichen Schweigepflicht, so dass insbesondere § 203 StGB zu beachten ist.[32]
17
Sondervorschriften für die Verarbeitung von genetischen Daten enthält § 3 Nr. 11 GenDG.[33] Bei der Verarbeitung sensibler Daten, etwa im Rahmen klinischer Prüfungen, sind ferner die Vorschriften des Arzneimittelgesetzes (AMG), insbesondere § 40 Abs. 1 S. 3 Nr. 3 lit. b und c, Abs. 2a AMG als bereichsspezifisches Datenschutzrecht von besonderer Relevanz.[34] Einzelne der in Abs. 1 aufgezählten Datenkategorien unterfallen zugleich den dem Schutz vor Diskriminierung dienenden Regelungen des Allgemeinen Gleichbehandlungsgesetzes (AGG). Hinsichtlich des Konkurrenzverhältnisses bereichsspezifischen Datenschutzrechts zu den Vorschriften der DS-GVO und des BDSG ist insbesondere § 1 Abs. 1 S. 1 und 2 BDSG von besonderer Bedeutung. Danach gehen andere Rechtsvorschriften des Bundes über den Datenschutz dem BDSG grundsätzlich vor.
4. Systematik innerhalb der DS-GVO und Verhältnis zu anderen Vorschriften
18
Indem Art. 9 Teil des Kapitels II der DS-GVO ist und auf zahlreiche Datenkategorien Bezug nimmt, kommt der Vorschrift im System der DS-GVO grundsätzliche Bedeutung zu.
19
Dies ergibt sich bereits daraus, dass die Normen der Art. 6 Abs. 4 lit. c[35], 13 Abs. 2 lit. c[36], 17 Abs. 1 lit. b[37], Abs. 3 lit. c[38], 20 Abs. 1 lit. a[39], 22 Abs. 4[40], 27 Abs. 2 lit. a[41], 30 Abs. 5[42], 35 Abs. 3 lit. b[43], 37 Abs. 1 lit. c[44], 83 Abs. 5 lit. a[45] ausdrücklich auf Art. 9 Bezug nehmen.[46] Praktische Bedeutung erlangt Art. 9 insbesondere durch die Aufnahme in den Kriterienkatalog des Art. 83 Abs. 2 und 5 hinsichtlich der Bemessung der Bußgeldhöhe. Für das Verständnis der einzelnen Datenkategorien im Rahmen von Art. 9 sind daneben die Begriffsbestimmungen aus Art. 4 Nr. 13[47], 14[48] und 15[49] wesentlich.
20
Von Bedeutung ist in diesem Zusammenhang insbesondere das Verhältnis von Art. 9 und dessen Voraussetzungen zu Art. 6. Hierbei stellt sich zum einen die Frage, ob eine Verarbeitung sensibler Daten kumulativ die Voraussetzungen von Art. 6 und Art. 9 erfüllen muss oder ob eine Datenverarbeitung ausschließlich am Maßstab von Art. 9 zu messen ist. Zum anderen stellt sich die Frage des Verhältnisses von Art. 9 zu Art. 6 Abs. 4 und dessen begrenzter Weiterverarbeitungsbefugnis im Falle einer Zweckänderung.[50] Letztlich ist zu klären, ob die begrenzte Weiterverarbeitungsbefugnis aus Art. 6 Abs. 4 auch im Rahmen von Art. 9 Anwendung finden kann.[51] Auch die Bundesregierung sieht hierin Schwierigkeiten, welche durch ein unterschiedliches Verständnis der Verarbeitungstatbestände in den Mitgliedstaaten flankiert werden. Sie fordert insoweit eine genauere Anleitung insb. bezüglich der Frage nach der zweckändernden Weiterverbreitung von sensiblen Daten sowie der Frage, wie mit einem Widerruf einer ursprünglich erteilten Einwilligung umzugehen ist.
21
Im Verhältnis zu Art. 6 enthält Art. 9 erhöhte und restriktivere Zulässigkeitsvoraussetzungen an eine Datenverarbeitung. Folglich ließe sich Art. 9 als eigenes Regelungssystem verstehen, das einen Rückgriff auf Art. 6 sowie dessen Abs. 4 ausschließt. Zudem enthält Art. 9 auch keinen Verweis auf Art. 6 oder dessen Abs. 4, so dass die Voraussetzungen von Art. 9 nicht in unmittelbarem Bezug zu Art. 6 stehen.[52] Gleichwohl nennt Art. 6 Abs. 4 lit. c ausdrücklich die besonderen Kategorien personenbezogener Daten nach Art. 9 als Abwägungskriterium. ErwG 51 S. 5 stellt zudem klar, dass für die Beurteilung der Rechtmäßigkeit einer Verarbeitung zusätzlich zu den speziellen Anforderungen an eine Datenverarbeitung auch die allgemeinen Grundsätze und andere Bestimmungen der Verordnung gelten sollen, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung und nimmt damit zumindest indirekt auch Bezug auf Art. 6.[53] Insofern ist davon auszugehen, dass Art. 9 den Art. 6 nicht verdrängt, sondern sich die Rechtmäßigkeit einer Verarbeitung sensibler Daten aus einer Zusammenschau der Anforderungen aus Art. 6 und 9 ergibt.[54]
22
Gleichwohl ist zu beachten, dass im Sinne des risikobasierten Ansatzes der DS-GVO sowie unter teleologischen Aspekten aufgrund des hohen Schutzes sensibler Daten infolge der Eingriffsintensität erhöhte Eingriffsvoraussetzungen nach Art. 9 gelten und daher eine