E-Book, Deutsch, 1 Seiten, Format (B × H): 148 mm x 210 mm
Reihe: Datenschutzberater
Unter besonderer Berücksichtigung der datenschutzrechtlichen Vorgaben in Deutschland
E-Book, Deutsch, 1 Seiten, Format (B × H): 148 mm x 210 mm
Reihe: Datenschutzberater
ISBN: 978-3-8005-9435-1
Verlag: Fachmedien Recht und Wirtschaft in Deutscher Fachverlag GmbH
Format: EPUB
Kopierschutz: Wasserzeichen (»Systemvoraussetzungen)
Die Autorin befasst sich mit den datenschutzrechtlichen Einwilligungskriterien im Gesundheitsbereich, insbesondere im Rahmen von wissenschaftlicher Forschung und klinischen Studien unter Einbeziehung der rechtlichen Besonderheiten in Deutschland. Eine der Rechtsgrundlagen in der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung von Gesundheitsdaten ist die datenschutzrechtliche Einwilligung, deren Wirksamkeit an eine Vielzahl von komplexen Bedingungen geknüpft wird. Dies gilt nicht nur für die wirksame Einholung der Einwilligung, sondern auch für Handlungsmöglichkeiten nach einem Widerruf. Die Neuerungen im Datenschutzrecht sind geprägt von Interpretationsschwierigkeiten, unklaren Regelungsreichweiten und einer bislang überschaubaren Rechtsprechung. Darüber hinaus verbleiben den Mitgliedstaaten über sogenannte Öffnungsklauseln gestalterische Spielräume insbesondere für die Verarbeitung von Gesundheitsdaten, genetischen Daten und biometrischen Daten. Aus diesem Grund findet über die Einwilligungskriterien der DSGVO hinaus eine Betrachtung der datenschutzrechtlichen Einwilligung im nationalen Gesundheitsrecht, insbesondere im Arzneimittelgesetz, Sozialgesetzbuch V, Medizinproduktegesetz, Gendiagnostikgesetz und im Landeskrankenhausgesetz sowie Krebsregistergesetz in Baden-Württemberg statt.
Zielgruppe
Betriebliche Datenschutzbeauftragte, Unternehmensjuristen, externe Datenschutzexperten, Rechtsanwälte, Mitarbeiter in Compliance-Abteilungen, Geschäftsführer und Manager, in deren Verantwortungsbereich Datenschutz und IT fallen, Unternehmen, Vereine
Autoren/Hrsg.
Weitere Infos & Material
A. Datenschutzrecht in der EU
Das Datenschutzrecht der EU wird in den Verträgen24 und in der Rechtsprechung des Europäischen Gerichtshofs (EuGH) auf verschiedene Weise gewürdigt. Art. 16 AEUV formuliert, dass jede Person ein Recht auf Schutz der sie betreffenden personenbezogenen Daten hat und ermächtigt zum Erlass von diesbezüglichem Sekundärrecht. Die Europäische Grundrechtecharta (GRCh)25, die den Verträgen im Rang gleichgestellt ist26, sieht in Art. 7 die Achtung des Privat- und Familienlebens vor, während Art. 8 ausdrücklich den Schutz personenbezogener Daten betrifft. Die Vorschriften werden durch Urteile EuGH ausgelegt und präzisiert. Bis zum Erlass der DSRL im Jahr 1995 war es nicht gelungen, verbindliche europäische Vorgaben für die Datenschutzgesetzgebung zu verabschieden.27 Mit damals nur fünfzehn Mitgliedstaaten verabschiedete der Rat der EU die DSRL am 24. Juli 1995.28 Bis zur Anwendbarkeit der DSGVO im Jahr 2018 war die DSRL das maßgebende Harmonisierungsinstrument für den Datenschutz im europäischen Binnenmarkt.29 Der Überarbeitungsprozess, der letztlich in die DSGVO mündete, wurde allerdings schon im Jahr 2009 angestoßen.30 I. Die Entwicklung des Datenschutzrechts in der EU
Die offizielle Debatte um die Regelungen für den Schutz von Personen aufgrund von computergesteuerter Datenverarbeitung begann in der EU zu Beginn der 1970er Jahre durch Anfragen aus dem Europäischen Parlament (EU-Parlament) an die Europäische Kommission (EU-Kommission).31 Das EU-Parlament forderte in seinen Entschließungen von der EU-Kommission eine „Richtlinie über die Freiheit des Einzelnen und die Datenverarbeitung“32, die das „höchste Schutzniveau für die Gemeinschaftsbürger“33 vorsieht. Dies stand im Widerspruch zu den Interessen der EU-Kommission, den gemeinsamen Markt mit möglichst wenig Beschränkungen zu verwirklichen.34 Immer mehr Mitgliedstaaten führten derweil in nationalen Alleingängen zwischen 1970 und 1988 Datenschutzgesetze ein, die inhaltlich im klaren Widerspruch zur Haltung der EU-Kommission standen.35 Fast zwei Jahrzehnte nach den Forderungen des EU-Parlaments, im Jahr 1990, sollte die EU-Kommission der Europäischen Gemeinschaft den ersten Entwurf für die DSRL vorlegen.36 1. Entwicklung und Ziele der Datenschutzrichtlinie Die DSRL sollte dazu dienen, das Recht der Mitgliedstaaten zu harmonisieren und dadurch einen freien Fluss der Daten ermöglichen.37 Inhaltlich war die Richtlinie kein Novum, sondern orientierte sich deutlich an den Prinzipien der Datenschutzkonvention des Europarates38 und der Europäischen Menschenrechtskonvention (EMRK) von 1950,39 die sich in den nationalen Gesetzen der Mitgliedstaaten wiederfanden.40 Die Datenschutzgesetze in Deutschland beeinflussten die DSRL ebenfalls.41 Gleichzeitig verkörperte die Richtlinie einen Spagat zwischen der Errichtung eines gemeinsamen Marktes und dem Schutz von natürlichen Personen.42 Sie stellt einen Meilenstein dar, der unter anderem einen Ausbau von Betroffenenrechten und Informationspflichten, unabhängige Kontrolle durch Datenschutzaufsichtsbehörden und eine strenge Zweckbindung der Verwendung von Daten vorsah.43 Die DSRL deckte die Verarbeitung personenbezogener Daten generisch ab und enthielt insbesondere keine spezifischen Vorgaben für die Verarbeitung von personenbezogenen Daten im medizinischen Bereich.44 Die besondere Rolle und das Schutzbedürfnis medizinischer Daten wurde nur dadurch gewürdigt, dass diese in Art. 8 DSRL einen besonderen Status enthielten, sofern sie unter Daten über die Gesundheit subsumiert werden konnten. Der Begriff der „Gesundheitsdaten“ wurde allerdings in der DSRL nicht legal definiert, auch die Erwägungsgründe liefern keine Hilfestellung zur Auslegung des Begriffs. Eine Trennung zwischen öffentlichen und privaten Bereichen sah die Richtlinie nicht vor, wurde aber beispielsweise im Mitgliedstaat Deutschland weiterhin vorgenommen.45 Eine unterschiedliche Behandlung von Drittstaaten, also solchen, die nicht Mitglieder der Gemeinschaft waren, wurde aus der Richtlinie ebenfalls deutlich.46 Die Unterscheidung zwischen Mitgliedstaaten und Drittstaaten bedeutete, dass besondere Anforderungen gelten sollten, sobald personenbezogene Daten die Grenzen der Europäischen Gemeinschaft verlassen sollten.47 Die Überwachung der Einhaltung der Datenschutzgesetze wurde jeweils den Mitgliedstaaten überlassen, die hierfür unabhängige Kontrollstellen einrichten sollten.48 Diese sollten jedoch bei der Überwachung nicht alleine gelassen werden. So wurde ergänzend und beratend nach Art. 29 und 30 DSRL ein unabhängiges europäisches Gremium eingeführt, das die Aufgabe hatte, Durchführungsdefizite aufzudecken und zu adressieren, die EU-Kommission zu beraten und das Schutzniveau in nichteuropäischen Staaten zu bewerten.49 Dieses Gremium war die sogenannte „Artikel 29-Datenschutzgruppe“.50 2. Artikel-29-Datenschutzgruppe Die Artikel-29-Datenschutzgruppe hat sich verschiedentlich zur Einwilligung, auch im medizinischen Kontext, geäußert.51 Damit hat sie Grundsteine für die Auslegung der Kriterien der Einwilligung gelegt. Die Datenschutzgruppe bestand gem. Art. 29 Abs. 2 DSRL aus je einem Vertreter der einzelnen Mitgliedstaaten, dem Europäischen Datenschutzbeauftragten und einem Vertreter der EU-Kommission. Die Stellungnahmen und Empfehlungen der Datenschutzgruppe waren nicht verbindlich.52 Die Stellungnahmen, Empfehlungen und Arbeitspapiere der Artikel-29-Datenschutzgruppe konnten jedoch einen wesentlichen Beitrag zur einheitlichen Anwendung der DSRL leisten.53 Seit Anwendbarkeit der DSGVO hat der Europäische Datenschutzausschuss (EDSA) als unabhängiges Organ der EU das Gremium als Nachfolger abgelöst54 und am 25. Mai 2018 gem. Art. 68 Abs. 1 DSGVO die Aufgabe übernommen, die einheitliche Anwendung der Datenschutzvorschriften zu fördern.55 Viele der Strukturen des EDSA ähneln denen des Vorgängerausschusses, allerdings haben einige Kompetenzerweiterungen stattgefunden.56 Obwohl der EDSA weiterhin ebenfalls hauptsächlich unverbindliche Stellungnahmen, Leitlinien und Empfehlungen ausarbeitet57, kann er nun in besonderen Situationen im Rahmen der sog. Streitbeilegung zwischen den europäischen Datenschutzaufsichtsbehörden verbindliche Beschlüsse erlassen.58 3. EuGH-Rechtsprechung im Datenschutzbereich Eine der Entwicklungslinien im Europarecht ist die Rechtsprechung des EuGH.59 Das europäische Datenschutzrecht wird aufgrund seines jungen Alters allerdings von einer überschaubaren Menge an einschlägigen EuGH-Entscheidungen begleitet.60 Gleichwohl hat sich hat sich der Gerichtshof als „Bollwerk des Datenschutzes“61 positioniert; die Entscheidungen werden regelmäßig auch von den Tagesmedien aufgegriffen und sind von teilweise erheblicher Brisanz in der Praxis.62 Ein Bruchteil dieser Entscheidungen betrifft jedoch Gesundheitsdaten. Beispielsweise hat der EuGH im Fall Lindqvist63 im Jahr 2003 entschieden, dass der Begriff der Gesundheitsdaten weit auszulegen ist und „dass er sich auf alle Informationen bezieht, die die Gesundheit einer Person unter allen Aspekten — körperlichen wie psychischen — betreffen.“64 Die weite Auslegung wurde später durch das Gericht (EuG) dahingehend präzisiert, dass aus einer Beschreibung über eine „persönliche Einschränkung“ die Offenlegung von Gesundheitsdaten oder medizinischen Daten nicht hervorgeht.65 Daraus ist zu schließen, dass zumindest eine gewisse hinreichende Konkretisierung bei Gesundheitsdaten erforderlich ist. Solange keine Urteile im Bereich des Gesundheitsdatenschutzes ergehen, die die neuen Regelungen der DSGVO interpretieren, muss auf die allgemeinen Auslegungsgrundsätze, mit denen der EuGH regelmäßig arbeitet, zurückgegriffen werden. Der EuGH orientiert sich bei der Auslegung von EU-Recht am Wortlaut der Norm und interpretiert diesen bei Unsicherheiten systematisch und teleologisch.66 Die teleologische Auslegung wiederum orientierte sich bisher an dem Spannungsfeld der Ziele der DSRL, dem freien Datenfluss im Binnenmarkt und dem Schutz der Rechte von Betroffenen.67 Bei widerstreitenden Interessen wurden die verschiedenen Grundrechtspositionen gegeneinander abgewogen.68 II. Allgemeines zur DSGVO
Die DSGVO trat nach einem politischen Prozess in Kraft, der fast zehn Jahre andauerte. Aus der DSRL mit 24 Artikeln und 72 Erwägungsgründen wurde eine Verordnung mit einem Umfang von 99 Artikeln und 173 Erwägungsgründen.69 Bereits vor ihrer Anwendbarkeit wurde sie die „größte Katastrophe des 21. Jahrhunderts“70 genannt oder als „Meilenstein und wichtiges Signal“71 bezeichnet.72 Ob sie sich als Jahrhundertwerk oder als gescheiterter Versuch herausstellt, bleibt abzuwarten, obwohl weder das eine noch das andere Extrem zu erwarten ist. Als Ergebnis von Kompromissen und Lobbyismus, liegt es doch – wie auch unter der DSRL – an den Mitgliedstaaten, die auf europäischer Ebene gemeinsam ausverhandelten, textgewordenen Vorsätze in die Praxis umzusetzen. 1. Entwicklung und Ziele der DSGVO Bevor die DSGVO am 27. April 2016 in Kraft trat, war sie Gegenstand zahlreicher...
