Kitabı oku: «Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO», sayfa 4

Yazı tipi:

(4) Verarbeitung sensibler Daten zu Zwecken der öffentlichen Gesundheit

Eine Verarbeitung von Gesundheitsdaten kann gem. Art. 9 Abs. 2 lit. i DSGVO in Verbindung mit mitgliedstaatlichem Recht insbesondere dann legitim sein, wenn die Verarbeitung aus Gründen des öffentlichen Interesses zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung, bei Arzneimitteln und Medizinprodukten erforderlich ist. Insoweit zielt die Norm auf Gefahren- und Sicherheitsaspekte ab.163

Die DSGVO überlässt die Ausfüllung dieser Norm den Mitgliedstaaten, gibt aber vor, dass angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen betroffener Personen vorgesehen werden müssen, insbesondere Berufsgeheimnisse.164

(5) Archivzwecke, Forschungszwecke und statistische Zwecke als Rechtsgrundlage für die Verarbeitung sensibler Daten

In Art. 9 Abs. 2 lit. j DSGVO besteht eine Parallele zum Grundsatz in Art. 5. Abs. 1 lit. b DSGVO.165 Nach Art. 9 Abs. 2 lit. j DSGVO dürfen sensible personenbezogene Daten auf Grundlage mitgliedstaatlichen Rechts verarbeitet werden, wenn die Verarbeitung gem. Art. 89 Abs. 1 DSGVO erforderlich ist für wissenschaftliche oder historische Forschungszwecke, im öffentlichen Interesse liegende Archivzwecke oder für statistische Zwecke. Dabei fällt auf, dass zwar Art. 9 Abs. 2 lit. j DSGVO auf das mitgliedstaatliche Recht verweist, nicht aber Art. 89 Abs. 1 DSGVO. Die komplexe Formulierung kann so verstanden werden, dass zusätzlich zu den in Art. 89 Abs. 1 DSGVO genannten „Garantien für die Rechte und Freiheiten der betroffenen Person“ bei sensiblen Daten nach Art. 9 Abs. 2 lit. j DSGVO die Mitgliedstaaten den Rahmen für die Verarbeitung festlegen dürfen.166

(6) Bedingungen und Beschränkungen für die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten

Den Mitgliedstaaten wird es ermöglicht, unter Art. 9 Abs. 4 DSGVO zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten, „soweit die Verarbeitung genetischer, biometrischer oder Gesundheitsdaten betroffen ist“.167 Auf eine besondere „Betroffenheit“ der Verarbeitung kommt es aber wohl nicht an, da der englische Text schlicht den Begriff „processing“ verwendet, anstatt beispielsweise „concerned with processing“.168

Bezüglich biometrischer, genetischer Daten und Gesundheitsdaten bedeutet Art. 9 Abs. 4 DSGVO, dass die Erlaubnistatbestände des Art. 9 Abs. 2 DSGVO mitgliedstaatlich auch in Bereichen modifiziert werden können, in denen der jeweilige Tatbestand nicht ohnehin schon eine Öffnungsklausel vorsieht.169 Es stellt sich die Frage, ob unter diesem Tatbestand auch mitgliedstaatliche Erleichterungen beim Einholen einer Einwilligung eingeführt werden können.170 Da die Regelungen in Art. 9 DSGVO aber ohnehin zusätzliche Hürden für eine Datenverarbeitung nach Art. 6 DSGVO bedeuten, kann über Art. 9 DSGVO überzeugenderweise keine Absenkung des Schutzniveaus erfolgen.171

Die Vorschrift führt ferner dazu, dass es bezüglich dieser Daten nicht ausreichend ist, allein die Vorgaben der DSGVO im Blick zu behalten, da die Mitgliedstaaten in ihren nationalen Gesetzen spezielle Vorgaben beibehalten und einführen dürfen.172 Nichtsdestotrotz wird in Erwägungsgrund 53 Sätze 4 und 5 DSGVO vorgegeben, dass die weiteren Bedingungen einschließlich Beschränkungen nicht den freien Verkehr personenbezogener Daten innerhalb der Union beeinträchtigen sollten, falls die Bedingungen für grenzüberschreitende Verarbeitung der Daten gelten. Aus dem Erwägungsgrund ergibt sich daher, dass die Mitgliedstaaten dazu angehalten sind, gesundheitsdatenschutzrechtliche Alleingänge mit dem freien Datenverkehr in der Union in Einklang zu bringen.173 Die Öffnungsklausel wird in Teil C. dieser Arbeit näher untersucht.

cc) Öffnungsklauseln in Art. 89 DSGVO
(1) Ausnahmen von Betroffenenrechten bei Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken oder zu Archivzwecken

Im Kapitel über die Vorschriften für besondere Verarbeitungssituationen wird in Art. 89 DSGVO festgelegt, dass einerseits bei der Verarbeitung personenbezogener Daten für Archivzwecke, wissenschaftliche Forschungszwecke oder historische Forschungszwecke geeignete Garantien für die Rechte und Freiheiten der betroffenen Person, also gewisse Mindestanforderungen, bestehen müssen.174 Ferner wird in Art. 89 Abs. 2 DSGVO festgelegt, dass im Unionsrecht oder im mitgliedstaatliche Recht bei der Verarbeitung zu den vorgenannten Zwecken Ausnahmen von den Betroffenenrechten gem. Art. 15, 16, 18 und 21 DSGVO (bzw. bei Archivzwecken auch von Art. 20 DSGVO) vorgesehen werden dürfen.175 Die Öffnungsklauseln müssen, so Art. 89 Abs. 2 und Abs. 3 DSGVO, solche Fälle regeln, bei denen voraussichtlich die Geltendmachung der Rechte einer Verwirklichung der spezifischen Zwecke entgegenstehen würde und daher die Ausnahme zur Erfüllung der Zwecke notwendig ist.176

(2) Keine Ausnahme vom Recht auf Löschung oder für die Einwilligung

Eine Ausnahme für das Recht auf Löschung (Art. 17 DSGVO) oder von den Bedingungen der Einwilligung (insbesondere Art. 7 DSGVO) ist an dieser Stelle nicht ausdrücklich vorgesehen.177 Daraus – auch unter Berücksichtigung der Gesetzessystematik – lässt sich schließen, dass Mitgliedstaaten über Art. 89 DSGVO beispielsweise keine Ausnahme vom Widerrufsrecht bei der Einwilligung machen dürfen.178 Gleichwohl wird sich zeigen, dass im Rahmen der wissenschaftlichen Forschung insb. aufgrund von Ausnahmen in Art. 17 Abs. 3 DSGVO Ausnahmen von der Löschpflicht bestehen können.179

3. Ausgewählte Begriffsdefinitionen der DSGVO

Wie schon unter der DSRL wurden auch in der DSGVO Begriffe definiert. Die Anzahl an Definitionen wurde aber mehr als verdreifacht.180

a) Der Begriff der personenbezogenen Daten

Der Begriff des personenbezogenen Datums eröffnet gem. Art. 2 Abs. 1 DSGVO den sachlichen Anwendungsbereich der DSGVO und ist somit ein essentielles Kriterium.181 Personenbezogene Daten sind gem. Art. 4 Nr. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“. Diese Definition der personenbezogenen Daten enthält somit zusätzlich die Definition über die so genannte betroffene Person.182

Wann eine Person identifiziert oder identifizierbar ist und vor allem, für wen diese Identifizierbarkeit vorliegen muss, wird in der Definition – wie schon unter der DSRL183 – offengelassen.184 Um den Schutz der natürlichen Person zu gewährleisten, kann eine Identifikation nicht nur dann vorliegen, wenn Vor- und Nachname einer Person oder sonstige Merkmale der bürgerlichen Identität ermittelt werden können.185 Es muss ausreichend sein, dass eine Person „singularisiert“ und ohne Verwechselung wiedererkannt werden kann.186

In der Literatur wird ferner darüber diskutiert, aus wessen Perspektive die Identifizierung vorgenommen können werden muss.187 Es stellt sich die Frage, ob von einem absoluten Verständnis des Personenbezugs auszugehen ist,188 wonach auf die Möglichkeit aller Menschen zur Identifizierung abzustellen wäre (eine Anonymisierung wäre damit faktisch kaum möglich),189 oder ob auf ein relatives Verständnis des Personenzugs abzustellen ist, wonach auf Wissen und Möglichkeiten des Verantwortlichen abzustellen wäre, bzw. auf Dritte, die wahrscheinlich eine Identifizierung vornehmen könnten.190

Der Kommissionsentwurf zur DSGVO bezog in die Definition einen Zusatz mit ein (inhaltlich entsprach dieser dem Erwägungsgrund 26 DSRL), der vorsah, dass die Identifizierung der natürlichen Person mit Mitteln bestimmt wird, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach (im Englischen: „all means reasonably likely to be used“) einsetzen würde.191 Doch dieser Zusatz wurde in der Fassung des Rates wieder gestrichen.192 Er fand stattdessen wiederum Eingang in Erwägungsgrund 26 DSGVO. Der Zusatz hilft allerdings nicht dabei, eindeutig zu bestimmen, ob von einem relativen oder absoluten Verständnis auszugehen ist. Ein streng absoluter Ansatz lässt sich mit Rücksichtnahme auf den Erwägungsgrund, der auf ein allgemeines Ermessen und ein Wahrscheinlichkeitskriterium abstellt, also auf eine Verhältnismäßigkeitsprüfung hindeutet, nur schwer vertreten.193 Letztlich kommt es überzeugenderweise auf eine Einzelfallprüfung und den jeweiligen Kontext an, auf die technischen Mittel, eine Risikobetrachtung, rechtliche Möglichkeiten, Kosten und Aufwand.194

b) Der Begriff der Verarbeitung

Die DSGVO ist sachlich anwendbar, wenn personenbezogene Daten ganz oder teilweise automatisiert oder über ein Dateisystem verarbeitet werden.195 Der Begriff der Verarbeitung in Art. 4 Nr. 2 DSGVO wurde gegenüber der Vorgängerversion in Art. 2 lit. b DSRL kaum verändert und hat auch in der finalen Fassung der DSGVO gegenüber den Entwürfen im Gesetzgebungsverfahren keine wesentlichen Änderungen erfahren.196 Inhaltlich ist er beschreibend und zählt – weder abschließend noch trennscharf – verschiedene Formen der Verarbeitung auf.197 Eine Verarbeitung im datenschutzrechtlichen Sinne bedarf jedenfalls eines personenbezogenen Datums sowie eines Systems, durch welches – automatisiert oder nichtautomatisiert – ein Vorgang ausgeführt wird. Drittes Element der Verarbeitung ist nach Ansicht von Kirsten Bock, Mitglied der Ländervertretungen Deutschlands in Arbeitsgruppen des EDSA, ein Prozess.198

c) Der Begriff der genetischen Daten

Genetische Daten sind gem. Art. 4 Nr. 13 DSGVO „personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden“. Erwägungsgrund 34 der DSGVO enthält weitere Informationen dazu, wie die personenbezogenen Daten, die unter die Definition der genetischen Daten fallen, erhoben werden. Demnach sollen diese Daten aus Analysen einer biologischen Probe stammen, insbesondere durch Chromosomen, Desoxyribonukleinsäure (DNS)- oder Ribonukleinsäure (RNS)-Analyse oder durch Analyse eines anderen Elements, durch die gleichwertige Informationen erlangt werden können.199

Eine Definition genetischer Daten war in der DSRL nicht enthalten.200 Dies wurde auch mehrfach kritisiert, obwohl genetische Daten teilweise unter den Begriff der Gesundheitsdaten, die in Art. 8 DSRL ausdrücklich erwähnt (jedoch nicht definiert) waren, eingeordnet werden konnten.201 In Art. 9 DSGVO sind die genetischen Daten ausdrücklich auch vom Schutzbereich für besondere Kategorien personenbezogener Daten erfasst.202 Sofern genetische Daten Informationen über den Gesundheitszustand erhalten, sind diese jedenfalls auch unter Art. 4 Nr. 15 DSGVO (Gesundheitsdaten) zu subsumieren.203 Informationen über die Physiologie beziehen sich auf funktionelle Vorgänge im Organismus.204 Aus einer Genanalyse lassen sich Informationen entnehmen, die Rückschlüsse auf den körperlichen Zustand, zukünftige oder bestehende Erkrankungen, Verhaltensweisen und Prädispositionen zulassen.205 Aufgrund der Sensitivität der Informationen ergibt sich ein großes Missbrauchspotential, das nicht nur die untersuchte betroffene Person betrifft, sondern häufig auch Angehörige Dritte.206

d) Der Begriff der biometrischen Daten

In Art. 4 Nr. 14 DSGVO sind biometrische Daten definiert als „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“. Biometrische Daten sind nicht beliebig und vor allem nur mit einem erhöhten Aufwand, der erhebliche körperliche Eingriffe erfordern kann, veränderbar.207

Eine Einschränkung wird dahingehend gemacht, dass „spezielle technische Verfahren“ eingesetzt werden müssen.208 Die Beispiele der Verfahren zur Erstellung von Gesichtsbildern und Daktyloskopie deuten darauf hin, dass es um Vorgänge geht, die darauf abzielen, biometrische Merkmale festzustellen oder festzuhalten.209 In Erwägungsgrund 51 der DSGVO ist daher auch klargestellt, dass Fotos von natürlichen Personen nicht grundsätzlich als biometrische Daten einzustufen sind, sondern nur dann, wenn die Fotos mit speziellen technischen Verfahren verarbeitet werden, die eine eindeutige Identifizierung oder Authentifizierung ermöglichen.210

e) Der Begriff der Gesundheitsdaten

Gesundheitsdaten sind nach Art. 4 Nr. 15 DSGVO „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“. Wie oben beschrieben lassen sich auch genetische Daten regelmäßig den Gesundheitsdaten zuordnen.211 Damit Gesundheitsdaten vorliegen, müssen also zwei Bedingungen erfüllt sein: einerseits müssen sich personenbezogene Daten auf die körperliche oder geistige Gesundheit, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen (1), andererseits müssen ihnen Informationen über den Gesundheitszustand zu entnehmen sein (2). Da die beiden Definitionsbestandteile durch ein „und“ miteinander verbunden sind, müssen beide Bedingungen kumulativ vorliegen.212

aa) Bezug zur körperlichen oder geistigen Gesundheit

Nach dem ersten Kriterium müssen sich die personenbezogenen Daten auf die körperliche oder geistige Gesundheit beziehen. Wann eine Bezugnahme zur Gesundheit zu bejahen ist, ist durch Auslegung zu ermitteln.

(1) Weite Auslegung

Die Endfassung der Definition über Gesundheitsdaten ist etwas enger gefasst als der ursprüngliche Entwurf der EU-Kommission, der lediglich die erste Bedingung vorsah.213 Die Bestimmung ist dennoch weit auszulegen, da der Begriff der Gesundheitsdaten nicht an eine Krankheit anknüpft, sondern allgemein an einen Zustand über die Gesundheit.214 Der Gesetzeswortlaut erfasst außerdem ausdrücklich sowohl die physische als auch psychische Gesundheit einer Person. Nach Erwägungsgrund 35 der DSGVO umfassen Gesundheitsdaten Informationen über den „früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand“, und können somit einen erheblichen, gar existentiellen, Einfluss auf das Leben und Chancen einer betroffenen Person haben.215 Unklar ist aber, wie eng oder wie direkt die Beziehung zwischen personenbezogenem Datum und Information über den Gesundheitszustand sein muss, damit die Definition erfüllt ist.

(2) Unmittelbarer oder mittelbarer Bezug zur Gesundheit am Beispiel von Ortsdaten und Biobanken

Aus der Definition geht nicht eindeutig hervor, ob sich die personenbezogenen Daten unmittelbar auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen müssen, oder ob sich dies auch mittelbar ergeben kann, was die Einordnung von Daten als sensibel oder nichtsensibel erschwert.216 Die Unterscheidung ist m.E. allerdings essentiell, da der Begriff der Gesundheitsdaten mit ihr entweder sehr flexibel und offen wird oder eng bleibt und somit das Risiko beinhaltet, dass Schutzlücken für natürliche Personen entstehen.217 Dies soll an zwei Beispielen gezeigt werden.

Technisch ist es möglich, dass sich auch aus so genannten Metadaten, also beispielsweise Standortdaten (z.B. Ort, Datum, Dauer des Verweilens an einem Ort), die für sich genommen nicht sensibel sind, eine Aussage über den Gesundheitszustand einer natürlichen Person treffen lassen kann.218 Ein Beispiel sind auf Smartphones installierte Corona-Tracking-Apps, die den Standort ihrer User erfassen.219 Ein weiteres Beispiel hierfür könnte der regelmäßige Besuch einer Person in einer Praxis für Strahlentherapie über einen bestimmten Zeitraum hinweg sein. Bei einer ambulanten Behandlung eines Krebspatienten kann dieser zwischen ca. 30 Minuten bis zu mehreren Stunden bestrahlt werden.220 Eine Chemotherapie wird häufig in Behandlungszyklen durchgeführt, was bedeutet, dass eine Person im Rahmen der Therapie in regelmäßigen Abständen Medikamente erhält, die dann über einen bestimmten Zeitraum wirken sollen, bevor eine erneute Behandlung durchgeführt wird.221 Wenn sich also aus den Ortsdaten und Zeitangaben (z.B. über ein Navigationsgerät aufgezeichnet, ggf. verknüpft mit dem Kalender auf einem Smartphone oder festgehalten, weil (irgend-)eine Smartphone-App ständig Standortdaten abruft und speichert) feststellen lässt, dass sich eine natürliche Person über mehrere Monate hinweg in gewissen Zeitabständen an einem Ort befindet, an dem Strahlentherapie durchgeführt wird, so kann aus diesen Daten (eindeutig) hervorgehen, dass die natürliche Person an Krebs erkrankt ist und sich in Behandlung befindet. Die Daten beziehen sich also zumindest mittelbar auf die körperliche Gesundheit einer Person.222

Rückschlüsse lassen sich auch auf die geistige Gesundheit einer natürlichen Person ziehen, wenn diese regelmäßig (oder auch einmalig) eine Adresse aufsucht, an der Psychiater oder Psychologen niedergelassen sind. Im Kontext mit Fachpersonal, welches sich über öffentliche Eintragungen (Webseiten, Telefonbücher, Einträge/Tags in Kartenmaterial auf Smartphones) schnell finden lässt, ist dies auch kein rein theoretisches Konstrukt. In beiden Fällen – jeweils im Kontext einer Behandlung durch Fachpersonal – kann zumindest mittelbar auch das Beispiel der „Erbringung von Gesundheitsleistungen“ der Definition von Art. 4 Nr. 15 DSGVO bejaht werden.223

Nur, wenn der Bestandteil der Definition enger verstanden wird, wenn sich also die personenbezogenen Daten unmittelbar auf die körperliche oder geistige Gesundheit beziehen, ist bei Ortsdaten diese erste Bedingung der Definition nicht erfüllt. So könnte auch argumentiert werden, ein Standortdatum sage (ausschließlich) etwas über den Standort aus, also über den Aufenthaltsort einer natürlichen Person, hingegen nichts über die Gesundheit. Andererseits spricht der Wortlaut der Definition in Art. 4 Nr. 15 DSGVO von personenbezogenen Daten, die sich auf die geistige oder körperliche Gesundheit beziehen, d.h. eine Beziehung zwischen der Gesundheit und dem personenbezogenen Datum reicht aus, um das Kriterium zu erfüllen.224

Ähnlich stellt es sich in Forschungsprojekten dar. In Biobanken werden beispielsweise regelmäßig genetische Informationen, Gesundheitsdaten und lebensstilbezogene Informationen („Lifestyle Data“) zusammengeführt, um daran zu forschen, wie nichtgenetische Faktoren die Gene beeinflussen.225 In diesen Fällen können richtigerweise alle personenbezogenen Daten, die für die Forschungsprojekte erforderlich sind, einen unmittelbaren oder mittelbaren Bezug zur Gesundheit einer Person aufweisen. Nicht ausgeschlossen werden kann auch, dass sich erst aufgrund der Forschungsergebnisse der Bezug zur Gesundheit herstellen lässt. Ob überhaupt eine eindeutige Abgrenzung zwischen Daten, die unmittelbar einen Bezug zur Gesundheit zulassen, und mittelbaren Gesundheitsdaten möglich ist, ist zweifelhaft. Daher ist zu untersuchen, ob die zweite Bedingung, die die Definition aufstellt, also dass Gesundheitsinformationen aus den Daten hervorgehen sollen, zu mehr Klarheit führen kann.