Praxishandbuch DSGVO. Tobias Rothkegel
Vorgaben für die Verarbeitung besonderer Kategorien personenbezogener Daten in diesem Zusammenhang erlassen.274 Demnach dürfen derartige Daten verarbeitet werden, wenn dies aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist und soweit die Interessen des Verantwortlichen an der Datenverarbeitung [...] die Interessen der betroffenen Person überwiegen.
188
Als Anwendungsbeispiele für diese Norm nennt der Gesetzgeber in seiner Gesetzesbegründung z.B. die Zusammenarbeit zwischen nichtöffentlichen und öffentlichen Stellen bei der Terrorismusbekämpfung, die Verarbeitung solcher Daten im Rahmen von Präventions- und Deradikalisierungsprogrammen im Bereich des religiös motivierten Extremismus sowie im Fall von Pandemien und im Katastrophenschutz.275 Ggf. dürfen diese Daten dann gem. § 24 Abs. 2 BDSG auch an die Sicherheitsbehörden weitergeleitet werden.276 Die geschäftsmäßige Verarbeitung von besonderen Kategorien personenbezogener Daten durch einen Verantwortlichen im Rahmen eigener gewerblicher Geschäftsmodelle könne hingegen nicht auf § 22 Abs. 1 Nr. 1 lit. d BDSG gestützt werden.277 Möchte ein Verantwortlicher eine Datenverarbeitung auf diese Norm stützen, muss er zudem nach Maßgabe von § 22 Abs. 2 BDSG angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorsehen.278
ff) Verarbeitung für die Gesundheitsversorgung (Art. 9 Abs. 2 lit. h DSGVO)279
189
Die relativ schwer verständliche Vorschrift des Art. 9 Abs. 2 lit. h DSGVO beinhaltet zwei voneinander zu unterscheidende Bestandteile: 1. eine direkte „gesetzliche“ Ausnahme vom Verarbeitungsverbot besonderer Kategorien personenbezogener Daten bzw. – je nachdem welcher Ansicht man folgt (siehe Rn. 170ff.) – eine Erlaubnis zur Verarbeitung solcher Daten sowie 2. eine Öffnungsklausel.
190
Die Öffnungsklausel gestattet es der EU und den EU-Mitgliedstaaten, die Verarbeitung besonderer Kategorien personenbezogener Daten zu erlauben bzw. Ausnahmen vom Verarbeitungsverbot gem. Art. 9 Abs. 1 DSGVO vorzusehen (je nachdem, welcher Ansicht gefolgt wird), soweit dies für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich ist.
191
Der zweite Bestandteil von Art. 9 Abs. 2 lit. h DSGVO – die direkte „gesetzliche“ Ausnahme bzw. Erlaubnis – sieht hingegen eine Ausnahme vom Verarbeitungsverbot nach Art. 9 Abs. 1 DSGVO vor bzw. gestattet die Verarbeitung besonderer Kategorien personenbezogener Daten, ohne dass es einer ergänzenden nationalen Vorschrift bedarf, wenn die Verarbeitung aufgrund eines Vertrages mit dem Angehörigen eines Gesundheitsberufes erforderlich ist.280 Umstritten ist in diesem Zusammenhang allerdings, ob Art. 9 Abs. 2 lit. h DSGVO darüber hinaus zusätzlich auch noch verlangt, dass die Datenverarbeitung (aufgrund eines Vertrages mit dem Angehörigen eines Gesundheitsberufes) zu einem in der Vorschrift genannten Zweck erfolgt (Gesundheitsvorsorge, Arbeitsmedizin, Beurteilung der Arbeitsfähigkeit des Beschäftigten, medizinische Diagnostik etc.).281 In diesem Fall würde der Vertrag als „Verarbeitungsgrundlage“ quasi neben die Vorschriften der Mitgliedstaaten bzw. der EU treten,282 die diese auf Basis der in Art. 9 Abs. 2 lit. h DSGVO enthaltenen Öffnungsklausel erlassen haben.283 Auch wenn nach hier vertretener Ansicht gute Argumente für ein solches „zusätzliches Erfordernis“ sprechen – insbesondere vor dem Hintergrund des Sinn und Zwecks dieser (Ausnahme-)Vorschrift sowie der Systematik der Norm –, wird dieser Streit in der Praxis wohl kaum eine Rolle spielen, da die Datenverarbeitung auf Basis eines solchen Vertrages wohl fast immer zu einem der in Art. 9 Abs. 2 lit. h DSGVO genannten Zwecke erfolgt. Im Anwendungsbereich des BDSG tritt die Bedeutung noch weiter zurück, da § 22 Abs. 1 Nr. 1 lit. b BDSG – zumindest nach dem Willen des Gesetzgebers – insoweit klarstellt, dass nur ein Behandlungsvertrag gem. § 630a ff. BGB zwischen einem Patienten und einem Angehörigen eines Gesundheitsberufs als Grundlage für die Datenverarbeitung taugt.284
192
In beiden Fällen – also unabhängig davon, ob die Daten auf Grundlage der Öffnungsklausel i.V.m. der jeweiligen nationalen/europarechtlichen Vorschrift oder auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO direkt verarbeitet werden – darf die Verarbeitung gem. Art. 9 Abs. 2 lit. h DSGVO nur durch die in Art. 9 Abs. 3 DSGVO genannten Personen, insbesondere Berufsgeheimnisträger, erfolgen.285
Nationale Regelungen in Deutschland
§ 22 Abs. 1 Nr. 1 lit. b BDSG: Verarbeitung „sensibler“ Daten im Kontext der Gesundheitsversorgung
193
Der deutsche Gesetzgeber hat vor diesem Hintergrund in § 22 Abs. 1 Nr. 1 lit. b BDSG spezielle Vorgaben für die Verarbeitung besonderer Kategorien personenbezogener Daten in diesem Zusammenhang erlassen.286 Demnach dürfen derartige Daten verarbeitet werden, wenn dies „zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung287 verarbeitet werden“. Möchte ein Verantwortlicher eine Datenverarbeitung auf diese Norm stützen, muss er nach Maßgabe von § 22 Abs. 2 BDSG angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorsehen.288 § 22 Abs. 1 Nr. 1 lit. b BDSG und § 22 Abs. 2 BDSG werden ausführlich in Kap. 17 Rn. 276ff. erläutert.
Praxishinweis
Der bundesdeutsche Gesetzgeber hat in § 22 Abs. 1 Nr. 1 lit b BDSG nicht nur die in Art. 9 Abs. 2 lit. h DSGVO enthaltene Öffnungsklausel ausgefüllt, sondern auch den zweiten Bestandteil von Art. 9 Abs. 2 lit. h DSGVO übernommen und geregelt, der die Verarbeitung besonderer Kategorien personenbezogener Daten eigentlich direkt und ohne eine ergänzende nationale Vorschrift erlaubt (wohl i.V.m. Art. 6 Abs. 1 DSGVO).289 Dabei hat er die Anforderungen weiter verschärft und in § 22 Abs. 2 BDSG festgelegt, dass bei der Verarbeitung besonderer Kategorien personenbezogener Daten auf Basis von § 22 Abs. 1 BDSG und damit auch von § 22 Abs. 1 Nr. 1 lit. b BDSG angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen sind.290 Die Ermächtigung hierzu folgt nach hier vertretener Ansicht nicht aus Art. 9 Abs. 2 lit. h DSGVO, da die für einige Verarbeitungszwecke in Art. 9 Abs. 2 lit. h DSGVO durchaus enthaltene Öffnungsklausel dem nationalen Gesetzgeber nach hiesigem Verständnis insoweit keine Regelungsbefugnis zuweist und im Hinblick auf den zweiten Bestandteil von Art. 9 Abs. 2 lit. h DSGVO – die direkte „gesetzliche“Ausnahme bzw. Erlaubnis – schon gar keine Öffnungsklausel in der Vorschrift enthalten ist. Auch aus Art. 9 Abs. 3 DSGVO kann nach hier vertretener Ansicht wohl keine entsprechende Ermächtigung abgeleitet werden.291
Der bundesdeutsche Gesetzgeber scheint diese zusätzliche Anforderung dann wohl auch auf die in Art. 9 Abs. 4 DSGVO enthaltene Öffnungsklausel zu stützen, nach der die EU-Mitgliedstaaten für die Verarbeitung von Gesundheitsdaten sowie von genetischen und biometrischen Daten zusätzliche Bedingungen und Einschränkungen vorsehen können.292 Zwar werden auf Basis von § 22 Abs. 1 Nr. 1 lit. b BDSG in der Regel nur solche Daten verarbeitet. Sollten im Ausnahmefall allerdings auch andere besondere Kategorien personenbezogener Daten verarbeitet werden, kann diese Öffnungsklausel keine Einschränkungen gegenüber Art. 9 Abs. 2 lit. h DSGVO rechtfertigen. Somit wäre § 22 Abs. 1 Nr. 1 lit. b, Abs. 2 BDSG entsprechend europarechtskonform auszulegen bzw. europarechtswidrig, wenn andere Kategorien personenbezogener Daten verarbeitet werden sollen.
Des Weiteren regelt