Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO. Anna-Lena Hoffmann
einer Person hervorgehen.243 Nicht zu unterschätzen ist dabei aber auch die Tatsache, dass die medizinischen Anwendungen und darauf basierenden Datenverarbeitungen nicht nur der DSGVO, sondern auch nationalen Bereichsgesetzen unterfallen können.
(4) Raum für mitgliedstaatliche Spezifizierungen
In Art. 9 Abs. 4 DSGVO ist eine Öffnungsklausel vorgesehen, die den Mitgliedstaaten u.a. hinsichtlich Gesundheitsdaten nationale Alleingänge ermöglicht.244 Je weiter der Begriff der Gesundheitsdaten gefasst wird, desto weiter wird m.E. auch der Spielraum für nationale Gesetzgebung. Dies spricht dafür, dass der Begriff der Gesundheitsdaten nicht ausufern darf. Gleichzeitig besteht – ggf. bis zu einer Entscheidung durch den EuGH – das Risiko, dass in den Mitgliedstaaten der Begriff der Gesundheitsdaten bzw. die Weite des Begriffs unterschiedlichen Interpretationen unterliegt und mittelbare Gesundheitsdaten in einem Mitgliedstaat deutlich stärkeren rechtlichen Vorgaben unterworfen werden als in anderen Mitgliedstaaten. Aus einer systematischen Sicht wäre daher eine engere Auslegung des Begriffs der Gesundheitsdaten dem Ziel des einheitlichen Schutzniveaus in den europäischen Mitgliedstaaten zuträglich.245 Andererseits dient eine weitere Auslegung dem Schutz betroffener Personen.
cc) Vorteile einer weiten Auslegung von Gesundheitsdaten
Aus Sicht des Schutzes natürlicher Personen bietet eine weite Auslegung des Begriffes den größtmöglichen Schutz, da Verantwortliche bei der Datenverarbeitung an den strengen Art. 9 DSGVO und ggf. andere nationale Schutzvorgaben gebunden sind.246 Die DSGVO verfolgt gleichzeitig mehrere Ziele und Schutzzwecke, die auch miteinander im Widerspruch stehen können.247 Eine eindeutige Abgrenzung, die generell und unabhängig vom jeweiligen Verarbeitungskontext ist, ist m.E. nicht möglich. Bei personenbezogenen Daten, die sich mittelbar den Gesundheitsdaten zuordnen lassen, wird m.E. jeweils einzelfallabhängig eine Abwägung insbesondere der Verarbeitungszwecke und der Risiken für Grundrechte und Freiheiten betroffener Personen erforderlich sein.
4. Der übergeordnete Begriff der sensiblen Daten
Im Text der DSGVO kommt der Begriff „sensible Daten“ nicht vor. Er wird aber in mehreren Erwägungsgründen erwähnt.248 In Erwägungsgrund 10 DSGVO heißt es: „Diese Verordnung bietet den Mitgliedstaaten zudem einen Spielraum für die Spezifizierung ihrer Vorschriften, auch für die Verarbeitung besonderer Kategorien von personenbezogenen Daten (im Folgenden „sensible Daten“). „Besondere Kategorien personenbezogener Daten“, darunter fallen auch Gesundheitsdaten, sind daher zunächst definiert als „sensible Daten“.249 Dieser Begriff wird nachfolgend allerdings nicht ein einziges Mal wiederverwendet.
In Erwägungsgrund 51 Satz 1 der DSGVO wird von personenbezogene Daten gesprochen, „die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind“, wobei nicht klar wird, ob damit die Daten gemeint sind, die schon in Erwägungsgrund 10 der DSGVO genannt wurden, oder ob der Anwendungsbereich größer ist.250 Kontext und Inhalt des Erwägungsgrundes lassen darauf schließen, dass auch hier die besonderen Kategorien personenbezogener Daten gemeint sind, da hierauf Bezug genommen wird. In Erwägungsgrund 91 der DSGVO werden im Kontext der Datenschutz-Folgenabschätzung ebenfalls die sensiblen Daten angesprochen („aufgrund ihrer Sensibilität“). Letztlich wird durch den Begriff das besondere Schutzbedürfnis dieser Datenkategorien verstärkt und in einem Sammelbegriff zentriert, ein Mehrwert oder eine andere Bedeutung wird nicht gewonnen. Dass die DSGVO andere personenbezogene Daten als die besonderen Kategorien personenbezogener Daten aufnehmen wollte, um ein offenes abgestuftes Konzept von Sensibilitäten zu kreieren, lässt sich nicht herauslesen.251
III. Zusammenfassung
Die DSGVO versucht einen Spagat zwischen der Vereinheitlichung der datenschutzrechtlichen Vorschriften in allen Mitgliedstaaten auf Verordnungsniveau und einem generalistischen Ansatz bei der Formulierung der Normen. Dies führt zwangsläufig zu Interpretationsschwierigkeiten und unklaren Regelungsreichweiten der Normierungen, insbesondere auch der Öffnungsklauseln, in der DSGVO. Gerade in Bereichen der öffentlichen Gesundheit und privaten sowie öffentlichen Gesundheitsvorsorge und Behandlung, bei genetischen und Gesundheitsdaten verbleiben bei den Mitgliedstaaten gestalterische Spielräume. Ein Blick über die DSGVO hinaus in das nationale mitgliedstaatliche Recht bleibt somit bei der Verarbeitung von Gesundheitsdaten unerlässlich.
Für die Verarbeitung von Gesundheitsdaten ist aber keinesfalls stets eine Einwilligung erforderlich. So wurde bereits ersichtlich, dass es eine Vielzahl an möglichen Rechtsgrundlagen (vertraglich und gesetzlich) für die Verarbeitung besonders sensibler Daten gibt. Ob Öffnungsklauseln sich sogar auf die Vorgaben für die datenschutzrechtliche Einwilligung (Art. 9 Abs. 2 und Abs. 4 DSGVO) im Gesundheitsbereich auswirken, wird im Hauptteil genauer untersucht.
24 Vertrag über die Europäische Union (konsolidierte Fassung) (EUV), ABl. Nr. C 202 vom 7.6.2016, S. 13–388; Vertrag über die Arbeitsweise der Europäischen Union (konsolidierte Fassung) (AEUV), ABl. C 202 vom 7.6.2016, S. 1–388. 25 Charta der Grundrechte der Europäischen Union (GRCh), ABl. C 202 vom 7.6.2016, S. 391–407. 26 Art. 3 Abs. 6 EUV. 27 Simitis, Datenschutz – Rückschritt oder Neubeginn?, NJW 1998, S. 2474. 28 Cannataci/Misfud Bonnici, Medical data protection in Europe: New rules vs. actual trends, Law & Information Technology Research Unit 1995, S. 302. 29 Schantz, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, 35. Aufl. 2021, Art. 1 Rn. 8. 30 Schantz/Wolff, Das neue Datenschutzrecht, 2017, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 8. 31 Evans, European Data Protection Law, The American Journal of Comparative Law 1981, S. 574; Simitis, NJW 1997, S. 281. 32 EU-Parlament, Entschließung über den Schutz der Rechte des Einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der automatischen Datenverarbeitung, ABl. C 60 vom 13. März 1975, S. 48. 33 EU-Parlament, Entschließung zum Schutz der Rechte des einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der Datenverarbeitung, ABl. C 140 vom 5. Juni 1979, S. 34 und EU-Parlament, Entschließung zum Schutz der Rechte des einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der Datenverarbeitung, ABl. C 87 vom 5. April 1982, S. 39. 34 Simitis, NJW 1997, S. 282. 35 Simitis, NJW 1997, S. 281; Simitis/Hornung/Spieker gen. Döhmann, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Einleitung, Rn. 133; vgl. auch Simitis, NJW 1997, S. 281, wonach die Kommission Ausnahmevorschriften und Sonderregelungen im Bereich des Datenschutzes als Markteinschränkung empfand. 36 EU-Kommission, Vorschlag für eine Richtlinie des Rates zum Schutz von Personen bei der Verarbeitung personenbezogener Daten, KOM/90/314 ENDG – SYN 287, ABl. C 277 vom 5.11.1990, S. 3–12. 37 Erwägungsgründe (ErwG) 7, 8, 9 DSRL; hierzu auch Bradford, The Brussels Effect, How the European Union Rules the World, 2020, S. 136. 38 Europarat, Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28. Januar 1981, Vertrag-Nr. 108. 39 Europarat, Europäische Konvention zum Schutze der Menschenrechte und Grundfreiheiten vom 4.