Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO

B. Struktur und Umfang der Dissertation

Im ersten Teil der Arbeit wird die Entwicklung des Datenschutzrechts auf europäischer und deutscher Ebene dargestellt. Dabei werden die Entwicklung der DSGVO, das Phänomen ihrer vielen Öffnungsklauseln sowie einige Begrifflichkeiten vertieft. Die deutsche Ebene zeichnet die Entwicklung des Datenschutzrechts in Deutschland und die Anpassung mitgliedstaatlichen Rechts an die DSGVO nach.

Der zweite Teil der Arbeit wird mit einer Auseinandersetzung mit den Zuständigkeiten für den Gesundheitsbereich auf Unionsebene sowie mit dem Gesundheitsbereich in der DSGVO und in Deutschland eingeleitet. Anschließend wird die Einwilligung im Mehrebenensystem, in ihrer Entwicklung in der DSRL und in der DSGVO analysiert. Dabei wird untersucht, ob sich die Voraussetzungen für eine wirksame Einwilligung unter der DSGVO im Gesundheitsbereich verschärft haben. Hierfür werden die einzelnen Bestandteile und Kriterien der Begriffsdefinition der Einwilligung mit Bezug zum Gesundheitsbereich begutachtet. Ferner werden die Bedingungen und Modalitäten einer Einwilligung untersucht, die die DSGVO neben den Kriterien aus der Begriffsdefinition festlegt. Im Anschluss daran werden Besonderheiten, wie etwa die Zweckänderung oder ein Wechsel von Rechtsgrundlagen, dargestellt. Den europäischen Teil abschließend wird in angemessener Kürze auf die Rechtsfolgen eingegangen, die bei einem Verstoß gegen Einwilligungskriterien oder -bedingungen drohen. Zuletzt wird auf Besonderheiten im Zusammenhang mit klinischen Prüfungen und Studien nach der Verordnung über klinische Prüfungen7 eingegangen.

Am Schluss des zweiten Teils wird die datenschutzrechtliche Einwilligung in Deutschland nach Anwendbarkeit der DSGVO untersucht. Dafür werden die Auswirkungen der Öffnungsklauseln auf das mitgliedstaatliche Recht, insbesondere für die Verarbeitung von Gesundheitsdaten, begutachtet. Dabei soll festgestellt werden, ob weiterhin eine Rechtszersplitterung besteht, die der Harmonisierung des Datenschutzrechts entgegensteht. Die Umsetzung der Öffnungsklauseln durch Deutschland wird beispielhaft im Bundesdatenschutzgesetz (BDSG),8 in Spezialgesetzen auf Bundesebene sowie auf landesrechtlicher Ebene analysiert.

Im dritten Teil werden die Ergebnisse bewertet und Verbesserungsvorschläge gemacht, um dem bestehenden Einwilligungsregime zu größerer Praxistauglichkeit zu verhelfen. Zuletzt folgen das Fazit und ein Ausblick.

7 Verordnung (EU) Nr. 536/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 über klinische Prüfungen mit Humanarzneimitteln und zur Aufhebung der Richtlinie 2001/20/EG Text von Bedeutung für den EWR, ABl. L 158 vom 27. Mai 2014, S. 1–76 in der konsolidierten Fassung vom 17. November 2016, ABl. L 311, S. 25–25. Die Verordnung ist im September 2020 nach wie vor nicht anwendbar und mit einer Anwendbarkeit ist nicht vor Dezember 2021 zu rechnen, vgl. hierzu Pressemitteilung der European Medicines Agency (EMA) vom 12. Juni 2020, Highlights of Management Board: June 2020 meeting, abrufbar unter https://www.ema.europa.eu/en/news/highlights-management-board-june-2020-meeting (zuletzt abgerufen am 11.04.2021). 8 Bundesdatenschutzgesetz vom 30. Juni 2017 (BGBl. I S. 2097), das durch Artikel 12 des Gesetzes vom 20. November 2019 (BGBl. I S. 1626) geändert worden ist (BDSG).

C. Methodologie

Die im juristischen Bereich bewährten Auslegungsmethoden bilden den theoretischen und methodologischen Rahmen der Untersuchung. Hierzu gehört die Gesetzesauslegung anhand der Genese, des Telos, der Systematik und der Grammatik der untersuchten Normen.9 Besonders zu beachten ist dabei, dass die DSGVO autonom auszulegen ist. Für die Auslegung der Regelungen der Verordnung ist daher die Herangehensweise des Europäischen Gerichtshofs (EuGH) maßgebend. Der EuGH stützt sich bei der Auslegung von Unionsrecht auf den Wortlaut, den Zusammenhang und die Ziele einer Unionsvorschrift.10 Darüber hinaus will der EuGH dem Unionsrecht größtmögliche Wirkung verleihen, sodass die effet utile-Rechtsprechung zu beachten ist.11 In der Arbeit werden teilweise die deutsche, englische und französische Sprachfassung der DSGVO miteinander verglichen, um sprachliche Unterschiede oder Gemeinsamkeiten festzustellen. Da die Verordnung in 24 Amtssprachen12 Geltung entfaltet und sprachliche Unterschiede unvermeidbar sind,13 kann diese vergleichende Methode aber nicht alleine für die Auslegung maßgebend sein.14

Im ersten Teil wird die historische Grundlage für die Entwicklung der DSGVO begutachtet, außerdem findet eine Auseinandersetzung mit Besonderheiten der DSGVO, den Öffnungsklauseln (teilw. auch „Spezifizierungsklauseln“15 genannt), statt. Für den Fortgang der Arbeit ist es ferner erforderlich, Entwicklung, Sinn und Zweck einiger Definitionen und Öffnungsklauseln in der DSGVO zu untersuchen.

Im zweiten Teil wird die Untersuchung hinsichtlich der Einwilligungstatbestände vertieft, insbesondere, welche Änderungen das Europarecht im Gesundheitsbereich erfahren hat und wie sich diese terminologisch und systemisch auf den Mitgliedstaat Deutschland ausgewirkt haben. Hierdurch wird der Weg geebnet, die datenschutzrechtliche Einwilligung in diesem Bereich nach den klassischen Auslegungsmethoden und teilweise vergleichend einzuordnen und auszulegen.

Ferner erfolgt eine Auseinandersetzung mit der die Thematik behandelnden Literatur und Rechtsprechung. Dabei ist festzustellen, dass es aufgrund des jungen Alters der DSGVO nur wenige höchstrichterliche Entscheidungen zur DSGVO allgemein und im Speziellen zur Einwilligung im Gesundheitsbereich gibt. Aus diesem Grund wird teilweise auf Entscheidungen des EuGH zur DSRL rekurriert, um Rückschlüsse auf mögliche Urteile unter Geltung der DSGVO zu ziehen. Im Übrigen werden Urteile und behördliche Entscheidungen aus anderen Mitgliedstaaten, die zur DSGVO bereits bekannt wurden, in die Untersuchung einbezogen.

9 Vgl. Würdinger, Das Ziel der Gesetzesauslegung – ein juristischer Klassiker und Kernstreit der Methodenlehre, JuS 2016, S. 1–6; Bleckmann, Zu den Methoden der Gesetzesauslegung in der Rechtsprechung des BVerfG, JuS 2002, S. 942–947. 10 EuGH, Urteil vom 25. Juli 2018, C-239/17, Teglgaard und Fløjstrupgård, ECLI:EU:C:2018:597, Rn. 35. 11 Vgl. Potacs, Effet utile als Auslegungsgrundsatz, EuR 2009, S. 465–488; Niedobitek, Europarecht, S. 49. 12 Vgl. Europäische Union, EU-Sprachen, abrufbar unter https://europa.eu/european-union/about-eu/eu-languages_de (zuletzt abgerufen am 11.04.2021). 13 Hierzu Mišćenić, Legal Translation vs. Legal Certainty in EU Law, in: Mišćenić/Raccah (Hrsg.), Legal risks in EU law: Interdisciplinary studies on legal risk management and better regulation in Europe, 2016, S. 88–105. 14 Die Amtssprachen sind somit zugleich „Inspirationsquelle“ und Herausforderung, vgl. Niedobitek, Europarecht, Grundlagen und Politiken der Union, 2. Aufl. 2020, S. 149; der EuGH hat in der Vergangenheit aber bereits alle (damaligen) Sprachfassungen miteinander verglichen, vgl. hierzu EuGH, Urteil vom 2. Oktober 1997, C-259/95, Parlament/Rat, ECLI:EU:C:1997:454, Rn 12; vgl. auch EuGH, Urteil vom 25. Juli 2018, C-239/17, Teglgaard und Fløjstrupgård, ECLI:EU:C:2018:597, Rn. 37, wonach „die in einer der Sprachfassungen einer Vorschrift des Unionsrechts verwendete Formulierung nicht als alleinige Grundlage für die Auslegung dieser Vorschrift herangezogen werden oder Vorrang vor den anderen sprachlichen Fassungen beanspruchen kann.“ 15 Die EU-Kommission, Antwort auf Parlamentarische Anfragen vom 13. Juli 2018, P-003121/2018(ASW) (Bezugsdokument P-003121/2018), abrufbar unter http://www.europarl.europa.eu/doceo/document/P-8-2018-003121-ASW_DE.html (zuletzt abgerufen am 11.04.2021).

Teil 1: Datenschutzrecht in der EU und in Deutschland

Der Schutz natürlicher Personen durch verbindliche Regelungen für die automatisierte Verarbeitung von personenbezogenen Daten beschäftigt die Europäische Union (EU) spätestens seit den siebziger Jahren des zwanzigsten Jahrhunderts.16 Doch die Wurzeln der datenschutzrechtlichen Entwicklung entstammen Protestbewegungen in den USA aufgrund der Computerisierung von Datenbanken in den 1960er Jahren.17 War es in der Vergangenheit umständlich bis unmöglich, aus verschiedenen Registern Daten über eine natürliche Person zusammenzutragen und ein Profil zu erstellen, sollte dies mit Hilfe des „National Data Centers“ in den Vereinigten Staaten mit nur einem Knopfdruck möglich werden.18

Auf dem europäischen Kontinent wurden ähnliche Themen nur wenige Jahre später diskutiert, als auch hier die Computerisierung von Datenbanken Einzug hielt.19 Der Begriff „data protection“ oder „Datenschutz“ existierte in dem Zusammenhang in den sechziger und zu Beginn der siebziger Jahre noch nicht. In den USA wurde von einem Eingriff in das Schutzgut „privacy“ gesprochen, welches bereits im Jahr 1890 in dem Aufsatz „The Right to Privacy“ von Samuel D. Warren und Louis D. Brandeis geprägt wurde.20

Eingeführt wurde der Begriff des Datenschutzes als Verlegenheitslösung, weil sich „privacy“ ins Deutsche nicht wortgleich ohne Bedeutungsverlust übersetzen ließ.21 Der deutsche Begriff „Datenschutz“ setzte sich durch und wurde internationalisiert,22 obwohl Schutzgut nicht primär die Daten sind, sondern natürliche Personen.23 Eine Abweichung der Terminologie war auch im Rahmen der Fortentwicklung des EU-Rechts und des nationalen Rechts nicht erkennbar und so ist der Begriff auch ein zentrales Element der DSGVO.

16 Simitis, Die EU-Datenschutzrichtlinie – Stillstand oder Anreiz?, NJW 1997, S. 281. 17 Robertson, Data Center Held Peril to Privacy, The New York Times 1966, S. 41, abrufbar unter https://nyti.ms/3uHKOKM (zuletzt abgerufen am 11.04.2021). 18 Packard, Don’t Tell It To the Computer, The New York Times 1967, S. 235, 257–260. 19 Weinraub, Computer Invasion Of Personal Privacy Worries Europeans, The New York Times 1971, S. 1; Blume, The Public Sector and the Forthcoming EU Data Protection Regulation, EDPL 2015, S. 32; Danielsson, Experiences with the Swedish Data Act and Special Regard to its Impact on Organizational Procedures and Technical Measures for Data Protection, in: Griesser (Hrsg.), Realization of Data Protection in Health Information Systems, 1977, S. 115ff. 20 Warren, Samuel D./Brandeis, Louis D., HRL 1890, S. 193–220. 21 Ronellenfitsch, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, 28. Aufl. 2019, BDSG 2003 [aK] – II. Historische Entwicklung, Rn. 5; der Ursprung des Begriffes ist unbekannt und lässt sich auf die Ursprünge des hessischen Datenschutzgesetzes im Jahr 1970 zurückführen, vgl. Rüpke/v. Lewinski/Eckhardt, Datenschutzrecht, 2018, § 2 Rn. 53. 22 Vgl. Ronellenfitsch, in: Wolff/Brink (Hrsg.), 28. Aufl. 2019, BDSG 2003 [aK] – II. Historische Entwicklung, Rn. 5: „data protection, protection des données, protección de datos, protezione dei dati, zaschtschyta danych, προστασία δεδομένων, προσωπικού χαρακτήρα; veri koruma, הגנה על נתונים“. 23 Gola/Hümmerich/Kerstan, in: Gola/Hümmerich/Kerstan (Hrsg.), Datenschutzrecht, Teil I, 1977, S. 20: „Aufgabe des Datenschutzes ist es, den Bürger vor mißbräuchlicher Verarbeitung seiner personenbezogenen Daten – das sind Daten, die Auskunft über seine persönlichen oder sachlichen Verhältnisse geben – zu schützen. Nicht die Daten oder der Besitz an den Daten (Stichwort: Computerkriminalität) soll geschützt werden, sondern die Privatsphäre des Einzelnen und sein verfassungsrechtlich geschützter Anspruch (Art. 2 GG) auf eine unantastbare Sphäre privater Lebensgestaltung“.

A. Datenschutzrecht in der EU

Das Datenschutzrecht der EU wird in den Verträgen24 und in der Rechtsprechung des Europäischen Gerichtshofs (EuGH) auf verschiedene Weise gewürdigt. Art. 16 AEUV formuliert, dass jede Person ein Recht auf Schutz der sie betreffenden personenbezogenen Daten hat und ermächtigt zum Erlass von diesbezüglichem Sekundärrecht. Die Europäische Grundrechtecharta (GRCh)25, die den Verträgen im Rang gleichgestellt ist26, sieht in Art. 7 die Achtung des Privat- und Familienlebens vor, während Art. 8 ausdrücklich den Schutz personenbezogener Daten betrifft. Die Vorschriften werden durch Urteile EuGH ausgelegt und präzisiert.

Bis zum Erlass der DSRL im Jahr 1995 war es nicht gelungen, verbindliche europäische Vorgaben für die Datenschutzgesetzgebung zu verabschieden.27 Mit damals nur fünfzehn Mitgliedstaaten verabschiedete der Rat der EU die DSRL am 24. Juli 1995.28 Bis zur Anwendbarkeit der DSGVO im Jahr 2018 war die DSRL das maßgebende Harmonisierungsinstrument für den Datenschutz im europäischen Binnenmarkt.29 Der Überarbeitungsprozess, der letztlich in die DSGVO mündete, wurde allerdings schon im Jahr 2009 angestoßen.30

I. Die Entwicklung des Datenschutzrechts in der EU

Die offizielle Debatte um die Regelungen für den Schutz von Personen aufgrund von computergesteuerter Datenverarbeitung begann in der EU zu Beginn der 1970er Jahre durch Anfragen aus dem Europäischen Parlament (EU-Parlament) an die Europäische Kommission (EU-Kommission).31 Das EU-Parlament forderte in seinen Entschließungen von der EU-Kommission eine „Richtlinie über die Freiheit des Einzelnen und die Datenverarbeitung“32, die das „höchste Schutzniveau für die Gemeinschaftsbürger“33 vorsieht. Dies stand im Widerspruch zu den Interessen der EU-Kommission, den gemeinsamen Markt mit möglichst wenig Beschränkungen zu verwirklichen.34 Immer mehr Mitgliedstaaten führten derweil in nationalen Alleingängen zwischen 1970 und 1988 Datenschutzgesetze ein, die inhaltlich im klaren Widerspruch zur Haltung der EU-Kommission standen.35 Fast zwei Jahrzehnte nach den Forderungen des EU-Parlaments, im Jahr 1990, sollte die EU-Kommission der Europäischen Gemeinschaft den ersten Entwurf für die DSRL vorlegen.36

1. Entwicklung und Ziele der Datenschutzrichtlinie

Die DSRL sollte dazu dienen, das Recht der Mitgliedstaaten zu harmonisieren und dadurch einen freien Fluss der Daten ermöglichen.37 Inhaltlich war die Richtlinie kein Novum, sondern orientierte sich deutlich an den Prinzipien der Datenschutzkonvention des Europarates38 und der Europäischen Menschenrechtskonvention (EMRK) von 1950,39 die sich in den nationalen Gesetzen der Mitgliedstaaten wiederfanden.40 Die Datenschutzgesetze in Deutschland beeinflussten die DSRL ebenfalls.41 Gleichzeitig verkörperte die Richtlinie einen Spagat zwischen der Errichtung eines gemeinsamen Marktes und dem Schutz von natürlichen Personen.42 Sie stellt einen Meilenstein dar, der unter anderem einen Ausbau von Betroffenenrechten und Informationspflichten, unabhängige Kontrolle durch Datenschutzaufsichtsbehörden und eine strenge Zweckbindung der Verwendung von Daten vorsah.43

Die DSRL deckte die Verarbeitung personenbezogener Daten generisch ab und enthielt insbesondere keine spezifischen Vorgaben für die Verarbeitung von personenbezogenen Daten im medizinischen Bereich.44 Die besondere Rolle und das Schutzbedürfnis medizinischer Daten wurde nur dadurch gewürdigt, dass diese in Art. 8 DSRL einen besonderen Status enthielten, sofern sie unter Daten über die Gesundheit subsumiert werden konnten. Der Begriff der „Gesundheitsdaten“ wurde allerdings in der DSRL nicht legal definiert, auch die Erwägungsgründe liefern keine Hilfestellung zur Auslegung des Begriffs.

Eine Trennung zwischen öffentlichen und privaten Bereichen sah die Richtlinie nicht vor, wurde aber beispielsweise im Mitgliedstaat Deutschland weiterhin vorgenommen.45 Eine unterschiedliche Behandlung von Drittstaaten, also solchen, die nicht Mitglieder der Gemeinschaft waren, wurde aus der Richtlinie ebenfalls deutlich.46 Die Unterscheidung zwischen Mitgliedstaaten und Drittstaaten bedeutete, dass besondere Anforderungen gelten sollten, sobald personenbezogene Daten die Grenzen der Europäischen Gemeinschaft verlassen sollten.47 Die Überwachung der Einhaltung der Datenschutzgesetze wurde jeweils den Mitgliedstaaten überlassen, die hierfür unabhängige Kontrollstellen einrichten sollten.48 Diese sollten jedoch bei der Überwachung nicht alleine gelassen werden. So wurde ergänzend und beratend nach Art. 29 und 30 DSRL ein unabhängiges europäisches Gremium eingeführt, das die Aufgabe hatte, Durchführungsdefizite aufzudecken und zu adressieren, die EU-Kommission zu beraten und das Schutzniveau in nichteuropäischen Staaten zu bewerten.49 Dieses Gremium war die sogenannte „Artikel 29-Datenschutzgruppe“.50

2. Artikel-29-Datenschutzgruppe

Die Artikel-29-Datenschutzgruppe hat sich verschiedentlich zur Einwilligung, auch im medizinischen Kontext, geäußert.51 Damit hat sie Grundsteine für die Auslegung der Kriterien der Einwilligung gelegt. Die Datenschutzgruppe bestand gem. Art. 29 Abs. 2 DSRL aus je einem Vertreter der einzelnen Mitgliedstaaten, dem Europäischen Datenschutzbeauftragten und einem Vertreter der EU-Kommission. Die Stellungnahmen und Empfehlungen der Datenschutzgruppe waren nicht verbindlich.52

Die Stellungnahmen, Empfehlungen und Arbeitspapiere der Artikel-29-Datenschutzgruppe konnten jedoch einen wesentlichen Beitrag zur einheitlichen Anwendung der DSRL leisten.53

Seit Anwendbarkeit der DSGVO hat der Europäische Datenschutzausschuss (EDSA) als unabhängiges Organ der EU das Gremium als Nachfolger abgelöst54 und am 25. Mai 2018 gem. Art. 68 Abs. 1 DSGVO die Aufgabe übernommen, die einheitliche Anwendung der Datenschutzvorschriften zu fördern.55 Viele der Strukturen des EDSA ähneln denen des Vorgängerausschusses, allerdings haben einige Kompetenzerweiterungen stattgefunden.56 Obwohl der EDSA weiterhin ebenfalls hauptsächlich unverbindliche Stellungnahmen, Leitlinien und Empfehlungen ausarbeitet57, kann er nun in besonderen Situationen im Rahmen der sog. Streitbeilegung zwischen den europäischen Datenschutzaufsichtsbehörden verbindliche Beschlüsse erlassen.58

3. EuGH-Rechtsprechung im Datenschutzbereich

Eine der Entwicklungslinien im Europarecht ist die Rechtsprechung des EuGH.59 Das europäische Datenschutzrecht wird aufgrund seines jungen Alters allerdings von einer überschaubaren Menge an einschlägigen EuGH-Entscheidungen begleitet.60 Gleichwohl hat sich hat sich der Gerichtshof als „Bollwerk des Datenschutzes“61 positioniert; die Entscheidungen werden regelmäßig auch von den Tagesmedien aufgegriffen und sind von teilweise erheblicher Brisanz in der Praxis.62

Ein Bruchteil dieser Entscheidungen betrifft jedoch Gesundheitsdaten. Beispielsweise hat der EuGH im Fall Lindqvist63 im Jahr 2003 entschieden, dass der Begriff der Gesundheitsdaten weit auszulegen ist und

„dass er sich auf alle Informationen bezieht, die die Gesundheit einer Person unter allen Aspekten — körperlichen wie psychischen — betreffen.“64

Die weite Auslegung wurde später durch das Gericht (EuG) dahingehend präzisiert, dass aus einer Beschreibung über eine „persönliche Einschränkung“ die Offenlegung von Gesundheitsdaten oder medizinischen Daten nicht hervorgeht.65 Daraus ist zu schließen, dass zumindest eine gewisse hinreichende Konkretisierung bei Gesundheitsdaten erforderlich ist.

Solange keine Urteile im Bereich des Gesundheitsdatenschutzes ergehen, die die neuen Regelungen der DSGVO interpretieren, muss auf die allgemeinen Auslegungsgrundsätze, mit denen der EuGH regelmäßig arbeitet, zurückgegriffen werden. Der EuGH orientiert sich bei der Auslegung von EU-Recht am Wortlaut der Norm und interpretiert diesen bei Unsicherheiten systematisch und teleologisch.66 Die teleologische Auslegung wiederum orientierte sich bisher an dem Spannungsfeld der Ziele der DSRL, dem freien Datenfluss im Binnenmarkt und dem Schutz der Rechte von Betroffenen.67 Bei widerstreitenden Interessen wurden die verschiedenen Grundrechtspositionen gegeneinander abgewogen.68