Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO. Anna-Lena Hoffmann
Vgl. z.B. die Daten zum Coronavirus des Offenen Datenportals der EU, abrufbar unter https://data.europa.eu/euodp/de/data/dataset/covid-19-coronavirus-data (zuletzt abgerufen am 11.04.2021). Vgl. aber auch bereits Lux, Digital Health Summit: Daten sind die beste Medizin, Beitrag auf Heise Online am 30. November 2018, abrufbar unter https://heise.de/-4235934 (zuletzt abgerufen am 11.04.2021); Aidinlis, The EU GDPR in Times of Crisis: COVID-19 and the Noble Dream of Europeanisation, EuCML 2 020, S. 151–156. 4 Beitrag auf Zeit-Online, Wenn Computer Röntgenbilder auswerten, vom 25. September 2019, abrufbar unter https://www.zeit.de/wissen/2019-09/kuenstliche-intelligenz-medizin-diagnose-krankheiten-bilddiagnostik (zuletzt abgerufen am 11.04.2021). 5 Zeien, Die neuen Grundpfeiler des Gesundheitswesens, in: Baas (Hrsg.), Zukunft der Gesundheit, 2019, S. 29. 6 Puls, Nachhaltiger Erfolg durch Messung von Vitaldaten und der Wirksamkeit von Interventionen, in: Baas (Hrsg.), Zukunft der Gesundheit, S. 107ff.
B. Struktur und Umfang der Dissertation
Im ersten Teil der Arbeit wird die Entwicklung des Datenschutzrechts auf europäischer und deutscher Ebene dargestellt. Dabei werden die Entwicklung der DSGVO, das Phänomen ihrer vielen Öffnungsklauseln sowie einige Begrifflichkeiten vertieft. Die deutsche Ebene zeichnet die Entwicklung des Datenschutzrechts in Deutschland und die Anpassung mitgliedstaatlichen Rechts an die DSGVO nach.
Der zweite Teil der Arbeit wird mit einer Auseinandersetzung mit den Zuständigkeiten für den Gesundheitsbereich auf Unionsebene sowie mit dem Gesundheitsbereich in der DSGVO und in Deutschland eingeleitet. Anschließend wird die Einwilligung im Mehrebenensystem, in ihrer Entwicklung in der DSRL und in der DSGVO analysiert. Dabei wird untersucht, ob sich die Voraussetzungen für eine wirksame Einwilligung unter der DSGVO im Gesundheitsbereich verschärft haben. Hierfür werden die einzelnen Bestandteile und Kriterien der Begriffsdefinition der Einwilligung mit Bezug zum Gesundheitsbereich begutachtet. Ferner werden die Bedingungen und Modalitäten einer Einwilligung untersucht, die die DSGVO neben den Kriterien aus der Begriffsdefinition festlegt. Im Anschluss daran werden Besonderheiten, wie etwa die Zweckänderung oder ein Wechsel von Rechtsgrundlagen, dargestellt. Den europäischen Teil abschließend wird in angemessener Kürze auf die Rechtsfolgen eingegangen, die bei einem Verstoß gegen Einwilligungskriterien oder -bedingungen drohen. Zuletzt wird auf Besonderheiten im Zusammenhang mit klinischen Prüfungen und Studien nach der Verordnung über klinische Prüfungen7 eingegangen.
Am Schluss des zweiten Teils wird die datenschutzrechtliche Einwilligung in Deutschland nach Anwendbarkeit der DSGVO untersucht. Dafür werden die Auswirkungen der Öffnungsklauseln auf das mitgliedstaatliche Recht, insbesondere für die Verarbeitung von Gesundheitsdaten, begutachtet. Dabei soll festgestellt werden, ob weiterhin eine Rechtszersplitterung besteht, die der Harmonisierung des Datenschutzrechts entgegensteht. Die Umsetzung der Öffnungsklauseln durch Deutschland wird beispielhaft im Bundesdatenschutzgesetz (BDSG),8 in Spezialgesetzen auf Bundesebene sowie auf landesrechtlicher Ebene analysiert.
Im dritten Teil werden die Ergebnisse bewertet und Verbesserungsvorschläge gemacht, um dem bestehenden Einwilligungsregime zu größerer Praxistauglichkeit zu verhelfen. Zuletzt folgen das Fazit und ein Ausblick.
7 Verordnung (EU) Nr. 536/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 über klinische Prüfungen mit Humanarzneimitteln und zur Aufhebung der Richtlinie 2001/20/EG Text von Bedeutung für den EWR, ABl. L 158 vom 27. Mai 2014, S. 1–76 in der konsolidierten Fassung vom 17. November 2016, ABl. L 311, S. 25–25. Die Verordnung ist im September 2020 nach wie vor nicht anwendbar und mit einer Anwendbarkeit ist nicht vor Dezember 2021 zu rechnen, vgl. hierzu Pressemitteilung der European Medicines Agency (EMA) vom 12. Juni 2020, Highlights of Management Board: June 2020 meeting, abrufbar unter https://www.ema.europa.eu/en/news/highlights-management-board-june-2020-meeting (zuletzt abgerufen am 11.04.2021). 8 Bundesdatenschutzgesetz vom 30. Juni 2017 (BGBl. I S. 2097), das durch Artikel 12 des Gesetzes vom 20. November 2019 (BGBl. I S. 1626) geändert worden ist (BDSG).
C. Methodologie
Die im juristischen Bereich bewährten Auslegungsmethoden bilden den theoretischen und methodologischen Rahmen der Untersuchung. Hierzu gehört die Gesetzesauslegung anhand der Genese, des Telos, der Systematik und der Grammatik der untersuchten Normen.9 Besonders zu beachten ist dabei, dass die DSGVO autonom auszulegen ist. Für die Auslegung der Regelungen der Verordnung ist daher die Herangehensweise des Europäischen Gerichtshofs (EuGH) maßgebend. Der EuGH stützt sich bei der Auslegung von Unionsrecht auf den Wortlaut, den Zusammenhang und die Ziele einer Unionsvorschrift.10 Darüber hinaus will der EuGH dem Unionsrecht größtmögliche Wirkung verleihen, sodass die effet utile-Rechtsprechung zu beachten ist.11 In der Arbeit werden teilweise die deutsche, englische und französische Sprachfassung der DSGVO miteinander verglichen, um sprachliche Unterschiede oder Gemeinsamkeiten festzustellen. Da die Verordnung in 24 Amtssprachen12 Geltung entfaltet und sprachliche Unterschiede unvermeidbar sind,13 kann diese vergleichende Methode aber nicht alleine für die Auslegung maßgebend sein.14
Im ersten Teil wird die historische Grundlage für die Entwicklung der DSGVO begutachtet, außerdem findet eine Auseinandersetzung mit Besonderheiten der DSGVO, den Öffnungsklauseln (teilw. auch „Spezifizierungsklauseln“15 genannt), statt. Für den Fortgang der Arbeit ist es ferner erforderlich, Entwicklung, Sinn und Zweck einiger Definitionen und Öffnungsklauseln in der DSGVO zu untersuchen.
Im zweiten Teil wird die Untersuchung hinsichtlich der Einwilligungstatbestände vertieft, insbesondere, welche Änderungen das Europarecht im Gesundheitsbereich erfahren hat und wie sich diese terminologisch und systemisch auf den Mitgliedstaat Deutschland ausgewirkt haben. Hierdurch wird der Weg geebnet, die datenschutzrechtliche Einwilligung in diesem Bereich nach den klassischen Auslegungsmethoden und teilweise vergleichend einzuordnen und auszulegen.
Ferner erfolgt eine Auseinandersetzung mit der die Thematik behandelnden Literatur und Rechtsprechung. Dabei ist festzustellen, dass es aufgrund des jungen Alters der DSGVO nur wenige höchstrichterliche Entscheidungen zur DSGVO allgemein und im Speziellen zur Einwilligung im Gesundheitsbereich gibt. Aus diesem Grund wird teilweise auf Entscheidungen des EuGH zur DSRL rekurriert, um Rückschlüsse auf mögliche Urteile unter Geltung der DSGVO zu ziehen. Im Übrigen werden Urteile und behördliche Entscheidungen aus anderen Mitgliedstaaten, die zur DSGVO bereits bekannt wurden, in die Untersuchung einbezogen.
9 Vgl. Würdinger, Das Ziel der Gesetzesauslegung – ein juristischer Klassiker und Kernstreit der Methodenlehre, JuS 2016, S. 1–6; Bleckmann, Zu den Methoden der Gesetzesauslegung in der Rechtsprechung des BVerfG, JuS 2002, S. 942–947. 10 EuGH, Urteil vom 25. Juli 2018, C-239/17, Teglgaard und Fløjstrupgård, ECLI:EU:C:2018:597, Rn. 35. 11 Vgl. Potacs, Effet utile als Auslegungsgrundsatz, EuR 2009, S. 465–488; Niedobitek, Europarecht, S. 49. 12 Vgl. Europäische Union, EU-Sprachen, abrufbar unter https://europa.eu/european-union/about-eu/eu-languages_de (zuletzt abgerufen am 11.04.2021). 13 Hierzu Mišćenić, Legal Translation vs. Legal Certainty in EU Law, in: Mišćenić/Raccah (Hrsg.), Legal risks in EU law: Interdisciplinary studies on legal risk management and better regulation in Europe, 2016, S. 88–105. 14 Die Amtssprachen sind somit zugleich „Inspirationsquelle“ und Herausforderung, vgl. Niedobitek, Europarecht, Grundlagen und Politiken der Union, 2. Aufl. 2020, S. 149; der EuGH hat in der Vergangenheit aber bereits alle (damaligen) Sprachfassungen miteinander verglichen, vgl. hierzu EuGH, Urteil vom 2. Oktober 1997,