Kitabı oku: «Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO»

Yazı tipi:

Die datenschutzrechtliche
Einwilligung im Gesundheitsbereich
unter der DSGVO
Unter besonderer Berücksichtigung der datenschutzrechtlichen
Vorgaben in Deutschland

Anna-Lena Hoffmann

Fachmedien Recht und Wirtschaft | dfv Mediengruppe | Frankfurt am Main

Dissertation

University of Rijeka, Faculty of Law

2021


Mentoren:Prof. Dr. Gerald G. Sander, Hochschule für öffentliche Verwaltung und Finanzen, Ludwigsburg
Assoc. Prof. Dr. Emilia Mišćenić, Universität Rijeka, Rechtswissenschaftliche Fakultät

Diese Dissertation wurde am 26.02.2021 an der rechtswissenschaftlichen Fakultät der Universität Rijeka vor dem Verteidigungsausschuss der Universität Rijeka verteidigt, bestehend aus:


1.Prof. Dr. Hannes Rösler (Universität Siegen)
2.Ass. Prof. Dr. Adrijana Martinovic (Universität Rijeka)
3.Prof. Dr. Damjan Mozina (Universität Ljubljana)

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

ISBN: 978-3-8005-1799-2


© 2021 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main

www.ruw.de

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: WIRmachenDRUCK GmbH, Backnang

Printed in Germany

Danksagung

Herzlich danken möchte ich meiner Doktormutter, Frau Assoc. Prof. Dr. Emilia Mišćenić, die mich während des Doktorarbeitsprogrammes in Rijeka und bei der Erstellung dieser Arbeit jederzeit unterstützt, motiviert, gefordert und gefördert hat und mir stets wertvolle Hilfestellungen gegeben hat.

Ferner danke ich meinem Doktorvater, Herr Prof. Dr. Gerald G. Sander, ohne den ich mich nicht für ein internationales Doktorarbeitsstudium beworben und somit mich prägende Erfahrungen und Bekanntschaften nicht gemacht hätte. Dankbar bin ich auch für die Unterstützung und Gespräche während des Verfassens meiner Arbeit und hilfreiches Feedback.

Hochachtung und meine Dankbarkeit möchte ich meiner ersten Doktormutter, Frau Prof. Dr. Nada Bodiroga-Vukobrat aussprechen, die den Fortgang meines Doktorstudiums leider nicht bis zum Abschluss begleiten konnte. Es war mir eine Ehre und Inspiration, sie kennengelernt zu haben.

Ewige Dankbarkeit gilt meiner Familie, meinen Eltern Eva-Maria und Bernd und meiner Schwester Helen, ohne deren Unterstützung – in jeder Hinsicht und Lebenslage – mein Doktorarbeitsprojekt niemals möglich gewesen wäre. Ihnen sei diese Arbeit gewidmet.

Ein ganz besonderer Dank gilt Felix, ohne den ich ein Promotionsstudium nicht angestrebt und trotz aller Begeisterung für das Thema und Freude am Schreiben nicht durchgestanden hätte. Für jederzeitige Unterstützung, Korrekturen und Anmerkungen gilt mein Dank auch Tobias.

Zuletzt bedanke ich mich bei meiner gewählten Familie, Fabienne und Janine, Thomas, David, Rike, Sophie, Laura, Delila und Clemens.

Stuttgart, im März 2021

Zusammenfassung

In diesem Werk werden Erfordernis und Anforderungen einer datenschutzrechtlichen wirksamen Einwilligung im Gesundheitsbereich unter der DSGVO untersucht. Die DSGVO versucht einen Spagat zwischen der Vereinheitlichung der datenschutzrechtlichen Vorschriften in allen Mitgliedstaaten auf Verordnungsniveau, aber mit einem generalistischen Ansatz bei der Formulierung der Artikel. Dies führt zwangsläufig zu Interpretationsschwierigkeiten und unklaren Regelungsreichweiten. Gerade in Bereichen der öffentlichen Gesundheit und in der privaten sowie öffentlichen Gesundheitsvorsorge und Behandlung, insbesondere bei der Verarbeitung Gesundheitsdaten und von genetischen Daten verbleiben bei den Mitgliedstaaten gestalterische Spielräume. Der Anwendungsvorrang des Unionsrechts im Verhältnis zu nationalem Recht bringt ein Nebeneinander von Normen, das Reibung erzeugen kann. Im Rahmen der neuen DSGVO-Gesetzgebung ist das Gefüge nicht leicht zu durchschauen.

Für die Verarbeitung von Gesundheitsdaten ist keinesfalls stets eine Einwilligung erforderlich. Wenn sie erforderlich wird – zum Beispiel bei der Gesundheitsdatenverarbeitung durch private Anbieter – sind die komplexen Anforderungen einzuhalten. Allein in der DSGVO finden sich mehr als zehn Kriterien für eine wirksame Einwilligung in die Verarbeitung von Gesundheitsdaten. Daneben stellt sich auf mitgliedstaatlicher Ebene die Frage, ob von der Öffnungsklausel in Art. 9 Abs. 4 DSGVO Gebrauch gemacht wurde. Ist dies zu bejahen muss festgestellt werden, welche zusätzlichen Bedingungen oder Beschränkungen gelten und inwiefern diese die europäischen Einwilligungskriterien beeinflussen.

Neben der Untersuchung der Einwilligungskriterien unter der DSGVO werden in dieser Arbeit besondere Gesetze im Gesundheitsdatenschutzrecht in Deutschland ins Auge gefasst. Dabei wird durchleuchtet, ob und inwiefern sich das nationale Recht in die Vorgaben der europäischen DSGVO einfügt.

Inhaltsverzeichnis

1  Deckblatt

2  Titel

3  Impressum

4  Danksagung

5  Zusammenfassung

6  Inhaltsverzeichnis

7  Einleitung A. Praktisches Problem und Ziel der Dissertation B. Struktur und Umfang der Dissertation C. Methodologie

8  Teil 1: Datenschutzrecht in der EU und in Deutschland A. Datenschutzrecht in der EU I. Die Entwicklung des Datenschutzrechts in der EU 1. Entwicklung und Ziele der Datenschutzrichtlinie 2. Artikel-29-Datenschutzgruppe 3. EuGH-Rechtsprechung im Datenschutzbereich II. Allgemeines zur DSGVO 1. Entwicklung und Ziele der DSGVO 2. Öffnungsklauseln als Besonderheit der DSGVO a) Obligatorische und Fakultative Öffnungsklauseln b) Allgemeine und spezifische Öffnungsklauseln c) Unterscheidung von Öffnungsklauseln anhand ihrer Funktionen d) Interpretationsansätze zu den europäischen Öffnungsklauseln aa) Autonome Interpretation von Öffnungsklauseln bb) Restriktive oder weite Interpretation e) Ausgewählte Öffnungsklauseln aa) Öffnungsklauseln in Art. 6 DSGVO (1) Verarbeitung zur Erfüllung rechtlicher Verpflichtungen oder zur Wahrnehmung öffentlicher Aufgaben (2) Ausnahme vom Grundsatz der Zweckbindung bb) Öffnungsklauseln in Art. 9 DSGVO (1) Grenzen der Einwilligung in die Verarbeitung sensibler Daten (2) Verarbeitung sensibler Daten im Arbeitsrecht, Recht der sozialen Sicherheit, Sozialschutz (3) Verarbeitung sensibler Daten zu Zwecken der<unk/>Gesundheitsvorsorge und Arbeitsmedizin (4) Verarbeitung sensibler Daten zu Zwecken der öffentlichen Gesundheit (5) Archivzwecke, Forschungszwecke und statistische Zwecke als Rechtsgrundlage für die Verarbeitung sensibler Daten (6) Bedingungen und Beschränkungen für die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten cc) Öffnungsklauseln in Art. 89 DSGVO (1) Ausnahmen von Betroffenenrechten bei Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken oder zu Archivzwecken (2) Keine Ausnahme vom Recht auf Löschung oder für die Einwilligung 3. Ausgewählte Begriffsdefinitionen der DSGVO a) Der Begriff der personenbezogenen Daten b) Der Begriff der Verarbeitung c) Der Begriff der genetischen Daten d) Der Begriff der biometrischen Daten e) Der Begriff der Gesundheitsdaten aa) Bezug zur körperlichen oder geistigen Gesundheit (1) Weite Auslegung (2) Unmittelbarer oder mittelbarer Bezug zur Gesundheit am Beispiel von Ortsdaten und Biobanken bb) Personenbezogene Daten, aus denen Gesundheitsinformationen hervorgehen (1) Weite Auslegung (2) Unmittelbares oder mittelbares Hervorgehen (3) Mangelnder Kontextbezug (4) Raum für mitgliedstaatliche Spezifizierungen cc) Vorteile einer weiten Auslegung von Gesundheitsdaten 4. Der übergeordnete Begriff der sensiblen Daten III. Zusammenfassung B. Datenschutzrecht in Deutschland I. Die Entwicklung des Datenschutzrechts in Deutschland 1. Die Entwicklung des Persönlichkeitsrechts in Deutschland 2. Relevanz des Grundrechts auf informationelle Selbstbestimmung nach Anwendbarkeit der DSGVO a) Beschluss des BVerfG zur Anwendbarkeit von Grundrechten im Mehrebenensystem – Recht auf Vergessen I b) Beschluss des BVerfG zur Anwendbarkeit von Grundrechten im Mehrebenensystem – Recht auf Vergessen II c) Informationelle Selbstbestimmung als Unionsgrundrecht 3. Das BDSG bis zum 25. Mai 2018 4. Die Umsetzung des neuen BDSG in Deutschland a) Entwürfe des Umsetzungsgesetzes b) Die Endfassung des Umsetzungsgesetzes c) Anpassung des Umsetzungsgesetzes 5. Definitionen und Begriffe im neuen BDSG a) Die Interpretation der Begriffe „öffentliche und nichtöffentliche Stellen“ aa) Der Begriff der öffentlichen Stelle bb) Der Begriff der nichtöffentlichen Stelle b) Die Interpretation der Begriffe zur Verarbeitung besonderer Kategorien personenbezogener Daten im BDSG aa) Der Begriff der Gesundheitsvorsorge bb) Der Begriff der medizinischen Diagnostik cc) Der Begriff der Vorsorge oder Behandlung im Gesundheits- oder Sozialbereich dd) Begriff der Verwaltung von Systemen im Gesundheits- oder Sozialbereich ee) Der Begriff des Gesundheitsberufs ff) Der Begriff der Geheimhaltungspflicht II. Zusammenfassung

9  Teil 2: Die datenschutzrechtliche Einwilligung in der EU und in Deutschland A. Der Begriff des Gesundheitsbereichs in der EU und in Deutschland I. Europäische Zuständigkeit für den Gesundheitsbereich II. Begriff des Gesundheitsbereichs in der DSGVO 1. Wortlaut a) Enge Auslegung des Begriffs b) Weite Auslegung des Begriffs 2. Auslegung anhand des Schutzzwecks 3. Gesundheitsbereich in der Forschung III. Gesundheitsbereiche in Deutschland 1. Bereiche der öffentlichen Gesundheit 2. Gesetzgebungszuständigkeiten des Bundes 3. Gesetzgebungszuständigkeiten der Länder 4. Privatwirtschaftlicher Gesundheitsbereich IV. Digitaler Gesundheitsbereich V. Zusammenfassung B. Die datenschutzrechtliche Einwilligung in der EU I. Einordnung der datenschutzrechtlichen Einwilligung nach dem Unionsrecht 1. Rechtsnatur der datenschutzrechtlichen Einwilligung 2. Die Einwilligung im Mehrebenensystem II. Die historische Entwicklung der Einwilligung in DSRL und DSGVO 1. Die Einwilligung in den Entwürfen und in der finalen Version der DSRL 2. Die Einwilligung in den Entwürfen und der finalen Version der DSGVO a) Die Definition der Einwilligung im Vorschlag der EU-Kommission b) Die Definition der Einwilligung in der ersten Lesung des Parlaments c) Die Definition der Einwilligung in der Allgemeinen Ausrichtung des Rates d) Die Definition der Einwilligung in der finalen Fassung der DSGVO III. Bestandteile und allgemeine Anforderungen an die Einwilligung 1. Die betroffene Person a) Die direkt betroffene Person als einwilligende Person b) Die mittelbar betroffene Person als einwilligende Person 2. Die Willensbekundung der Einwilligung a) Unmissverständlichkeit b) Erklärung oder eindeutig bestätigende Handlung des Einverständnisses 3. Die ausdrückliche Einwilligung a) Ausdrückliche Einwilligung im analogen Kontext b) Ausdrückliche Einwilligung im digitalen Kontext 4. Die Freiwilligkeit der Einwilligung a) Echte Wahlfreiheit b) Machtgefälle c) Negative Folgen d) Koppelungsverbot aa) Kopplungsverbot bei nicht sensiblen Daten bb) Koppelungsverbot bei Gesundheitsdaten e) Unsachgemäße Beeinflussung und Täuschung 5. Die Einwilligung für den bestimmten Fall a) Bedeutung des Wortlauts b) Anforderungen an die Bestimmtheit c) Das Kriterium der festgelegten Zwecke d) Ausnahmen für die wissenschaftliche Forschung 6. Die Erklärung der Einwilligung in informierter Weise a) Inhalt der Informiertheit aa) Objektive und subjektive Informiertheit bb) Mindestmaß an Informationen cc) Informiertheit und Informationspflichten b) Informiertheit in der Wissenschaft und Forschung c) Informiertheit im Gesundheitsbereich IV. Bedingungen und Modalitäten für die Einwilligung 1. Nachweisbarkeit der Einwilligung 2. Die Einwilligung im Rahmen einer schriftlichen Erklärung a) Das Kriterium der Betroffenheit anderer Sachverhalte b) Die Unterscheidbarkeit von anderen Sachverhalten aa) Verständliche und leicht zugängliche Form der Einwilligung bb) Die klare und einfache Sprache der Einwilligung 3. Die Widerrufbarkeit der Einwilligung a) Bedeutung des Widerrufs b) Modalitäten des Widerrufs c) Folgen nach einem Widerruf aa) Kumulatives Bestehen der Einwilligung mit anderen Rechtsgrundlagen bb) Weiterverarbeitung durch nachträglichen Wechsel auf eine andere Rechtsgrundlage nach Einwilligungswiderruf cc) Löschung der Daten nach einem erfolgten Widerruf 4. Zeitpunkt und Dauer der Einwilligung V. Zweckänderung bei der Einwilligung 1. Die (zusätzliche) Einwilligung bei einer Zweckänderung 2. Öffnungsklausel 3. Kompatibilitätstest a) Prüfkatalog für die Zweckkompatibilität b) Systematik c) Einwilligung und Kompatibilitätstest VI. Rechtsfolge bei Verstößen gegen Einwilligungsbedingungen 1. Bußgelder und Schadensersatz 2. Unverbindlichkeit oder Unwirksamkeit der Einwilligung VII. Klinische Studien und klinische Prüfungen im Gesundheitsbereich 1. Verhältnis der DSGVO zur Verordnung über klinische Prüfungen 2. Erforderlichkeit einer datenschutzrechtlichen Einwilligung bei klinischen Prüfungen 3. Unterscheidbarkeit der datenschutzrechtlichen Einwilligung von der Einwilligung in klinische Prüfungen 4. Freiwilligkeit der datenschutzrechtlichen Einwilligung bei klinischen Studien 5. Widerruf der Einwilligung im Rahmen von klinischen Prüfungen VIII. Zusammenfassung C. Die datenschutzrechtliche Einwilligung in Deutschland I. Auswirkungen der Öffnungsklausel für genetische Daten, biometrische Daten und Gesundheitsdaten auf die Einwilligung II. Besondere Regelung in Deutschland nach dem BDSG 1. Besonderheiten bei der Verarbeitung zu anderen Zwecken durch öffentliche Stellen 2. Einwilligung zur Veröffentlichung von Forschungsergebnissen III. Die Einwilligung in speziellen Bundesgesetzen im Gesundheitsbereich 1. Die Einwilligung für klinische Prüfungen a) Datenschutzrechtliche Einwilligung im AMG (bis zur Anwendbarkeit der Verordnung über klinische Prüfungen) b) Datenschutzrechtliche Einwilligung (ab der Anwendbarkeit der Verordnung über klinische Prüfungen) 2. Die Einwilligung im Sozialgesetzbuch a) Die Einwilligung im Zusammenhang mit der elektronische Gesundheitsakte b) Die Einwilligung im Zusammenhang mit der elektronischen Gesundheitskarte c) Die Einwilligung im Zusammenhang mit der elektronischen Patientenakte d) Die Einwilligung im Zusammenhang mit digitalen Gesundheitsanwendungen e) Bewertung 3. Die Einwilligung bei Medizinprodukten 4. Die Einwilligung im Infektionsschutzgesetz 5. Die Einwilligung für Gendiagnostik a) Die Einwilligung in § 8 GenDG b) Die Einwilligung in § 11 Abs. 3 GenDG c) Einwilligung durch eine Vertretungsperson d) Verarbeitungsverbote im GenDG e) Konsequenzen einer fehlenden Einwilligung f) Bewertung 6. Die Einwilligung bei Transfusionen a) Spendeentnahme b) Anwendung von Blutprodukten c) Rückverfolgung d) Koordiniertes Meldewesen e) Gesetzesbegründung zur Anpassung des TFG an die DSGVO f) Bewertung IV. Regelung der Einwilligung in Landesgesetzen im Gesundheitsbereich 1. Die Einwilligung im Landeskrankenhausgesetz in Baden-Württemberg 2. Die Einwilligung im Krebsregistergesetz in Baden-Württemberg V. Zusammenfassung

10  Teil 3: Bewertung, Vorschläge und Fazit A. Bewertung der aktuellen Rechtslage („Anwendungskaskade“) B. Vorschläge zur Verbesserung der Regelungen I. Definition von Gesundheitsdaten 1. Verarbeitungszweck 2. Verarbeitungskontext 3. Vorteile einer neuen Definition von Gesundheitsdaten II. Gewichtung der Kriterien einer wirksamen Einwilligung 1. Unverzichtbare Kriterien 2. Verzichtbare Kriterien C. Fazit und Ausblick

11  Abkürzungen

12  Bibliographie A. Kommentare, Bücher und Kapitel B. Doktorarbeiten und Diplomarbeiten C. Artikel/Aufsätze D. Gutachten, Studien, Deklarationen, Programme und Mitteilungen E. Sonstige Quellen I. Artikel-29-Datenschutzgruppe II. Europäischer Datenschutzausschuss (EDSA) III. Der Europäische Datenschutzbeauftragte IV. Rat der Europäischen Union und Europäischer Rat V. Europäische Kommission VI. Europäisches Parlament VII. Europäische Union VIII. Deutscher Bundestag IX. Deutscher Bundesrat X. Landtag von Baden-Württemberg XI. Heise Online XII. Pressemitteilung XIII. Blogs XIV. The New York Times XV. The Economist XVI. Ärzteblatt XVII. Sonstige Internetquellen

Einleitung

A. Praktisches Problem und Ziel der Dissertation

Die Arbeit beschäftigt sich mit der Frage, welche Anforderungen die Datenschutz-Grundverordnung (DSGVO)1 an die datenschutzrechtliche Einwilligung für die Verarbeitung personenbezogener Daten im Gesundheitsbereich stellt. Die DSGVO hat mit ihrer Anwendbarkeit im Mai 2018 die zu dem Zeitpunkt dreiundzwanzig Jahre alte Datenschutz-Richtlinie (DSRL)2 abgelöst und sollte das europäische Datenschutzrechtsregime modernisieren.

Die Corona-Pandemie 2020 hat gezeigt, wie stark sich unsere Gesundheitsversorgung digitalisieren lässt und wie enorm der Bedarf an Gesundheitsdaten, Standortdaten, Kontaktlisten und Krankheitsverlaufsinformationen ist, um eine Pandemie zu bewältigen.3 Gesundheitsdaten spielen für die medizinische Forschung eine wichtige Rolle, beispielsweise um mit großen Datenmengen Algorithmen zu trainieren, die Ärztinnen und Ärzte bei Diagnosen unterstützen können.4 Währenddessen bewegt sich unsere alternde Gesellschaft weg von der Behandlung von Erkrankungen und stärker in Richtung Erhalt der Gesundheit und Gesundheitsvorsorge.5 Dabei werden unter anderem Smartphones, Apps, Uhren, Cloud-Datenbanken und Algorithmen mit Vitaldaten gefüttert, um den eigenen Körper zu optimieren.6 Weil der Gesundheitsbereich stark durch das Recht der Mitgliedstaaten geprägt ist, ist eine ergänzende Untersuchung der Einwilligung im Gesundheitsbereich in Deutschland unerlässlich.

1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 4. Mai 2016, S. 1–88, in der konsolidierten Fassung vom 23. Mai 2018, ABl. L 127, S. 2 (DSGVO). 2 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ABl. L 281 vom 23.11.1995, S. 31–50 in der konsolidierten Fassung vom 31. Oktober 2003, ABl. L 284, S. 1–53 (DSRL). 3 Vgl. z.B. die Daten zum Coronavirus des Offenen Datenportals der EU, abrufbar unter https://data.europa.eu/euodp/de/data/dataset/covid-19-coronavirus-data (zuletzt abgerufen am 11.04.2021). Vgl. aber auch bereits Lux, Digital Health Summit: Daten sind die beste Medizin, Beitrag auf Heise Online am 30. November 2018, abrufbar unter https://heise.de/-4235934 (zuletzt abgerufen am 11.04.2021); Aidinlis, The EU GDPR in Times of Crisis: COVID-19 and the Noble Dream of Europeanisation, EuCML 2 020, S. 151–156. 4 Beitrag auf Zeit-Online, Wenn Computer Röntgenbilder auswerten, vom 25. September 2019, abrufbar unter https://www.zeit.de/wissen/2019-09/kuenstliche-intelligenz-medizin-diagnose-krankheiten-bilddiagnostik (zuletzt abgerufen am 11.04.2021). 5 Zeien, Die neuen Grundpfeiler des Gesundheitswesens, in: Baas (Hrsg.), Zukunft der Gesundheit, 2019, S. 29. 6 Puls, Nachhaltiger Erfolg durch Messung von Vitaldaten und der Wirksamkeit von Interventionen, in: Baas (Hrsg.), Zukunft der Gesundheit, S. 107ff.