DA+

Aufsatz : DS-GVO – Was ändert sich im Gesundheitswesen? : aus der RDV 6/2016, Seite 285 bis 295

Lesezeit 35 Min.

Im Amtsblatt der Europäischen Union wurde am 4. Mai die europäische Datenschutz-Grundverordnung (DS-GVO) veröffentlicht[1], die dann am 24. Mai 2016 in Kraft trat. Ab dem 25. Mai 2018 gilt die DS-GVO in allen Mitgliedstaaten gemäß Art. 288 Abs. 2 AEUV [2] in all Ihren Teilen unmittelbar als verbindliche Datenschutz-Norm, welche ein höheres Gewicht als das Recht der Mitgliedstaaten besitzt[3]. Die DS-GVO regelt viele datenschutzrelevante Sachverhalte nur grundsätzlich und überlässt dem nationalen Gesetzgeber in nationalen Öffnungsklauseln eine Vielzahl von Regelungsmöglichkeiten.

Die DS-GVO übernimmt im Kern die aus der Richtlinie 95/46/EG („Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“) bekannten datenschutzrechtlichen Grundprinzipien. So finden sich die althergebrachten Grundsätze der „Datenvermeidung und Datensparsamkeit“, der „Zweckbindung“, des „Verbots mit Erlaubnisvorbehalts“ und der „Transparenz“ auch im neuen Regelungskonzept der DSGVO wieder. Aus diesem Grund liegt der Schluss nahe, dass sich mit den Regelungen der DS-GVO im Vergleich zu den heute existierenden rechtlichen Vorschriften im Prinzip wenig ändert. Doch betrachtet man die Regelungen der DSGVO genauer, findet sich im Vergleich zum heutigen Recht eine Vielzahl von Neuerungen und Änderungen. Viele von ihnen haben zur Konsequenz, dass bestehende Prozessabläufe im Gesundheitswesen geändert oder angepasst werden müssen, was wiederum mit einem nicht zu unterschätzenden Aufwand verbunden ist.

I. Begriffsbestimmungen

Die DS-GVO übernimmt weitestgehend die vorhandenen Begriffsbestimmungen aus der Richtlinie 95/46/EG. Da Deutschland die Richtlinie jedoch niemals vollständig umsetzte, finden sich in der DS-GVO eine Vielzahl von bisher unbekannten bzw. so bisher nicht verwendeten Begrifflichkeiten. U.a. werden jetzt unter dem Begriff „Verarbeitung“ alle Vorgänge subsumiert, die mit personenbezogenen oder personenbeziehbaren Daten vollzogen werden können, egal ob automatisiert oder nicht.

Unter den Begriffsbestimmungen in Art. 4 DS-GVO finden sich jedoch auch bisher nicht bekannte Begriffsbestimmungen, welche von besonderem Interesse für das Gesundheitswesen sind. Dazu gehören insbesondere die im Folgenden dargestellten:

  • Zunächst findet sich bei der Definition der uns bekannten „verantwortlichen Stelle“ ein Unterschied. Das BDSG definiert „verantwortliche Stelle“ singulär, was zur Folge hat, dass in Deutschland immer genau eine juristische oder natürliche Person verantwortlich für die Verarbeitung von Daten ist. In Art. 4 Nr. 7 DS-GVO wird jedoch „Verantwortlicher“ als „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ beschrieben. So lässt sich eine „gemeinsame“ Verantwortlichkeit sehr gut z.B. im Rahmen der gemeinsamen Patientenbehandlung in einem Medizinischen Versorgungszentrum (MVZ) nutzen, bei der häufig Ärzte aus Krankenhaus und MVZ den Patienten gemeinsam behandeln. Ferner liegt die Annahme einer gemeinsamen datenschutzrechtlichen Verantwortlichkeit und damit verbundenen gemeinsamen Datenverarbeitung bei einer gemeinschaftlichen Patientenbehandlung durch mehrere Krankenhäuser, die z.B. gemeinsam ein onkologisches Organzentrum bilden, nahe.

Datenschutzrechtlich wurde hier in Deutschland zur Legitimation der Datenverarbeitung häufig mit einer Einwilligung gearbeitet. Bei dieser Lösung stellt die z.T. fragliche Freiwilligkeit bei der Patienteneinwilligung eine gewisse Rechtsunsicherheit dar. Aufgrund der in der DS-GVO explizit enthaltenen Möglichkeit zur gemeinsamen Verantwortlichkeit besteht nunmehr die Möglichkeit, die Verantwortung für die Patientenverarbeitung nicht nur aus medizinischer Sicht gemeinsam zu tragen, sondern auch die datenschutzrechtliche Verantwortung entsprechend den tatsächlichen Verhältnissen aufzuteilen, und dies ohne die Notwendigkeit, eine zusätzliche Einwilligung des Patienten einzuholen.

  • Die DS-GVO definiert „Gesundheitsdaten“ (Art. 4 Nr. 15) wie auch „genetische Daten“ (Art. 4 Nr. 13). Durch die nun vorliegende gesetzliche Definition dieser besonderen Datenkategorien dürfte dieses unserem Gesundheitssystem, resp. deren patientenversorgende Stellen, eine höhere Rechtssicherheit geben. Dieses insbesondere deshalb, weil die Verantwortlichen nun besser einschätzen können, wann die erhöhten Anforderungen bzgl. der Verarbeitung der speziellen Kategorien von Daten gemäß Art. 9 DS-GVO gelten.

II. Rechtsgrundlagen für die Verarbeitung

Mit Art. 9 „Verarbeitung besonderer Kategorien personenbezogener Daten“ findet sich in der DS-GVO nun ein eigener Artikel, der regelt, unter welchen Umständen „besondere Daten“, zu denen auch Gesundheitsdaten oder genetische Daten zählen, verarbeitet werden dürfen. Art. 9 DS-GVO ist eine Ausformung des Verbots mit Erlaubnisvorbehalt. So enthält Art. 9 Abs. 1 das generelle Verbot zur Verarbeitung besonderer Kategorien personenbezogener Daten. Dieses generelle Verbot wird jedoch durch die Erlaubnistatbestände in Art. 9 Abs. 2 DS-GVO wieder relativiert.

Dadurch, dass Art. 9 DS-GVO die Datenverarbeitung besonderer Kategorien personenbezogener Daten abschließend regelt, sind die in Art. 6 aufgeführten Erlaubnistatbestände somit auf die Verarbeitung von Daten, die dieser Kategorie unterfallen, nicht anwendbar.

Der erste Legitimationsgrund der DS-GVO ist in Art. 9 Abs. 2 lit. a aufgeführt und betrifft die in Art. 4 Ziff. 11 DSGVO definierte Einwilligung. Damit bleibt das Konstrukt der Legitimation der Verarbeitung von Gesundheitsdaten durch die Einwilligung im medizinischen Umfeld auch weiterhin erhalten. Ohne dieses Konstrukt könnten viele Aufgaben im Gesundheitswesen, insbesondere in der medizinischen Forschung, nicht wahrgenommen werden. Art. 7 DS-GVO stellt die Anforderungen auf, die eine wirksame Einwilligung erfüllen muss, um als Legitimation zur Verarbeitung dieser Daten gelten zu können.

Auch wenn die Anforderungen von Art. 7 DS-GVO weitestgehend unserem heutigem Recht entsprechen, so finden sich bei näherem Hinsehen auch Neuerungen. So verlangt bspw. Art. 7 Abs. 3 S. 2 DS-GVO, dass der Betroffene vor Abgabe seiner Einwilligung davon in Kenntnis gesetzt werden muss, dass der Widerruf seiner Einwilligung die Rechtmäßigkeit einer bis zum Widerruf erfolgten Verarbeitung nicht beeinträchtigt. Durch die in Art. 5 Abs. 2 DS-GVO statuierte Rechenschaftspflicht muss der Verantwortliche jederzeit in der Lage sein nachzuweisen, dass er dieser Hinweispflicht nachgekommen ist.

Die meisten der heutigen Einverständniserklärungen dürften diesen von der DS-GVO geforderten Hinweis nicht enthalten, sodass diese Einverständniserklärungen entsprechend den Vorgaben von Art. 7 DS-GVO überarbeitet werden müssen. Zur Interpretation der Einwilligungen stellen die jeweils einschlägigen Erwägungsgründe eine wertvolle Unterstützung bereit[4].

Neben der Einwilligungsmöglichkeit sieht die DS-GVO für nahezu alle heutigen Verarbeitungszwecke im medizinischen Kontext entsprechende (Legitimations-) Regelungen in Art. 9 Abs. 2 DS-GVO vor wie:

  • Zur Patientenbehandlung: Art. 9 Abs. 2 lit. h
  • Zur Abrechnung von Leistungen: Art. 9 Abs. 2 lit. f
  • Zu Zwecken der Arbeitsmedizin: Art. 9 Abs. 2 lit. h in Verbindung mit Art. 9. Abs. 3
  • Zur Zweckerfüllung einer politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstigen Organisation ohne Erwerbszweck: Art. 9 Abs. 2 lit. d
  • Zur Verteidigung der behandelnden Person vor Gericht: Art. 9 Abs. 2. lit. f
  • Für die Aufgabenerfüllung gesetzlich normierter Krankheitsregister (z.B. Krebsregister), zur gesetzlich vorgesehenen Qualitätssicherung (z.B. §§ 137, 137a SGB V): Art. 9. Abs. 2 lit. h
  • Zur Aufgabenerfüllung von Gesundheitsämtern, im Rahmen von Impfungen in Schulen usw. durch Ämter: Art. 9. Abs. 2 lit i
  • Zur Erfüllung der in den Archivgesetzen des Bundes und der Länder vorgesehenen Zwecke: Art. 9 Abs. 2 lit. j in Verbindung mit Art. 89 Abs. 1
  • Zur Erstellung von Gesundheitsstatistiken des Bundes und der Länder: Art. 9 Abs. 2 lit. j in Verbindung mit Art. 89 Abs. 1
  • Zu Zwecken der wissenschaftlichen und historischen Forschung: Art. 9 Abs. 2 lit. j in Verbindung mit Art. 89 Abs. 1

Allerdings muss hierbei berücksichtigt werden, dass viele in Art. 9 Abs. 2 DS-GVO genannten Regelungen nur dann einen Erlaubnistatbestand darstellen, wenn Unionsrecht oder das Recht eines Mitgliedstaats, welches ein den Anforderungen der DS-GVO genügendes Sicherheitsniveau berücksichtigt, eine derartige Verarbeitung gestattet. So ist beispielsweise die Nutzung von genetischen Daten für wissenschaftliche oder historische Forschungszwecke entsprechend Art. 9 Abs. 2 lit. j i.V.m. Art. 89 Abs. 1S-GVO nur statthaft, wenn ein entsprechendes nationales oder Unionsrecht wie beispielsweise §§ 40ff AMG die entsprechende Verarbeitung zu Forschungszwecken gestattet.

Um diesbezüglich mehr Rechtsklar- und Rechtssicherheit zu erhalten, ist es wünschenswert, wenn der deutsche Gesetzgeber insbesondere von der in Art. 9 Abs. 4 DS-GVO enthaltenen Öffnungsklausel Gebrauch macht und nationale Erlaubnistatbestände bzgl. der Nutzung von Gesundheitsdaten und genetischen Daten schafft. In diesem Kontext wäre eine Konkretisierung der Begriffe „Forschung“ und „Forschung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit“ durch eine entsprechende Begriffsbestimmung wünschenswert. Eine Konkretisierung ist insbesondere deshalb angezeigt, da es in ErwGr. 54 heißt „Eine solche Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses darf nicht dazu führen, dass Dritte, unter anderem Arbeitgeber, Versicherungs- und Finanzunternehmen, solche personenbezogene Daten zu anderen Zwecken verarbeiten“. Aufgrund des engen durch ErwGr. 54 geschaffenen Anwendungsfelds ist es daher essenziell zu erfahren, wie weit dieses in ErwGr. 54 angesprochene öffentliche Interesse zu verstehen ist. So tritt in diesem Zusammenhang bspw. die Frage auf, ob und unter welchen Voraussetzungen eine medizinische Forschung, die durch Dritte wie Pharmaunternehmen unterstützt bzw. gefördert wird, gestattet sein kann.

III. Betroffenenrechte

Die Betroffenenrechte, so wie wir sie heute in Deutschland kennen, sind überwiegend auch in der DS-GVO enthalten. Betroffene haben das Recht auf

  • Transparenz hinsichtlich der ihnen zustehenden Rechte ggü. dem Verantwortlichen inkl. der Information zu deren Ausübung (Art. 12)
  • Informationen hinsichtlich der Verarbeitung (Artt. 13, 14), insbesondere gilt:
  • Die in Art. 13 DS-GVO beschriebenen Informationen müssen vor Beginn der Datenverarbeitung dem Betroffenen gegeben werden.
  • In diesem Zusammenhang sei insbesondere auf das (neue) Recht des Betroffenen auf Erhalt der Information bzgl. der Speicherdauer bzw. – falls eine derartige Auskunft nicht möglich ist – die Darlegung der Kriterien für die Festlegung dieser Dauer (beispielsweise 10 Jahre nach der letzten Behandlung, zu der die Daten benötigt wurden) hingewiesen.
  • Darüber hinaus sieht die DS-GVO vor, dass die Betroffenen nunmehr auch über eine auf Art. 6 Abs. 1 lit. f beruhende Zweckänderung informiert werden müssen.
  • Auskunft (Art. 15)
  • Berichtigung (Art. 16)
  • Löschung (Art. 17)
  • Sperrung (Art. 18)
  • Widerspruchsrecht (Art. 21)

Ferner sei auf die neue Regelung von Art. 19 DS-GVO hingewiesen, die in Konsequenz auch für den Gesundheitsbereich erhebliche Auswirkungen haben dürfte. Gemäß dieser Regelung muss Empfängern, an die Betroffenendaten weitergegeben wurden, jede Berichtigung, Löschung oder Einschränkung der Daten mitgeteilt werden, damit diese in die Lage versetzt werden, auf diese Maßnahmen entsprechend der gesetzlichen Anforderungen zu reagieren. In Konsequenz bedeutet die Regelung in Art. 19 für das Gesundheitswesen, dass zukünftig jedes Krankenhaus, jede Arztpraxis usw. festhalten muss, an wen sie, welche Daten (zu welchen Zwecken) gesendet haben. Ferner folgt daraus, dass sie aktiv nachhalten müssen, welche Daten geändert, gelöscht oder gesperrt wurden, um dieses (unverzüglich) den entsprechenden Empfängern anzuzeigen. Diese gesetzlichen Anforderungen dürften damit mit einem nicht unerheblichen Mehraufwand verbunden sein. Diesbezüglich ist es auch notwendig, dass die verwendeten IT-Systeme diese gesetzliche Anforderung abbilden können. Hier dürfte bei den meisten Systemen Anpassungsbedarf bestehen.

Art. 20 DS-GVO enthält das Recht auf Datenübertragbarkeit, wonach ein Betroffener das Recht hat, sowohl den Erhalt (Art 20 Abs. 1 DS-GVO) als auch die Übermittlung (Art. 20 Abs. 1 und 2 DS-GVO) seiner Daten zu verlangen, und zwar in einem „strukturierten, gängigen und maschinenlesbaren Format“. Diesbezüglich führt ErwGr. 68 aus:

„[…] sollte die betroffene Person außerdem berechtigt sein, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten […]“.

Ergänzend zu der gesetzlichen Forderung des „strukturierten, gängigen und maschinenlesbaren Formats“ enthält der ErwGr. 68 somit zusätzlich die Anforderung der „Interoperabilität“, der bei einem Datenexport nachgekommen werden muss. Somit muss das Export-Format gewährleisten, dass die Daten u.a. auf unterschiedlichen Systemen mit verschiedener Software darstellbar sind.

ErwGr. 68 sieht weiter vor: „Die Verantwortlichen sollten dazu aufgefordert werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen.“ Normadressat sind hier also die Verantwortlichen, welche ein inter operables Datenaustauschformat entwickeln sollen.

Diesbezüglich sieht ErwGr. 68 jedoch auch eine Einschränkung vor. So gilt es beim Recht der Datenübertragbarkeit immer auch die Verhältnismäßigkeit und Erforderlichkeit zu berücksichtigen. So heißt es: „Das Recht der betroffenen Person, sie betreffende personenbezogene Daten zu übermitteln oder zu empfangen, sollte für den Verantwortlichen nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten“. D.h., dass das aus Art. 20 resultierende Recht immer auch vor dem Hintergrund der technischen Umsetzbarkeit und der Wirtschaftlichkeit bewertet werden muss, wenngleich natürlich ebenfalls dem Rechtsanspruch des Betroffenen nachgekommen werden muss – ggfs. mit einem weniger optimalen Format.

Darüber hinaus gilt es zu beachten, dass das Recht auf Datenübertragbarkeit nicht zwingend alle Daten beim Verantwortlichen betrifft. So gehört zu den tatbestandlichen Voraussetzungen[5] von Art. 20 u.a., dass die Verarbeitung der Daten

a) auf einer Einwilligung entsprechend Art. 6 Abs. 1 lit. a bzw. Art. 9 Abs. 2 lit. a oder

b) auf einem Vertrag gemäß Art. 6 Abs. 1 lit. b. beruht.

Im Rahmen der Patientenversorgung basiert die Datenverarbeitung i.d.R. nicht auf den Erlaubnistatbestand „Einwilligung“, sondern zumeist auf einen zivilrechtlichen Behandlungsvertrag i.S. d. §§ 630a ff BGB. Mithin dürfte sich bei der regulären (vertraglichen) Patientenversorgung die Datenverarbeitung nicht durch Art. 9 Abs. 2 lit. a, sondern durch Art. 9 Abs. 2 lit. h legitimieren. Dieser Legitimationsgrund unterliegt jedoch nicht Art. 20 Abs. 1, was wiederum zur Konsequenz haben dürfte, dass die (Gesundheits-) Daten, die aufgrund des Behandlungsverhältnisses verarbeitet werden, grundsätzlich nicht dem Recht auf Datenübertragbarkeit unterliegen dürften.

ErwGr. 68 führt hierzu jedoch aus: „Dieses Recht sollte dann gelten, wenn die betroffene Person die personenbezogenen Daten mit ihrer Einwilligung zur Verfügung gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist.“ ErwGr. 68 folgend, kann argumentiert werden, dass nach Intention des Gesetzgebers alle auf Verträgen basierenden Daten eines Betroffenen unter diese Regelung fallen, somit auch die aus Art. 9 Abs. 2 lit. h DS-GVO. Insofern liegt der Schluss nahe, dass es sich bei der Nichterwähnung des Art. 9 Abs. 2 lit. h in Art. 20 Abs. 1 um ein Redaktionsversehen handelt. Denn im Lichte der Verordnung und ihrer Schutzzwecke dürfte es im Interesse des Betroffenen liegen, dass ihm gerade auch für seine Gesundheitsdaten ein Recht auf Datenübertragbarkeit gewährt wird.

In diesem Zusammenhang gilt es jedoch auch zu attestieren, dass nach Kenntnisstand der Verfasser noch kein interoperables, strukturiertes, gängiges und maschinenlesbares Format existiert, mit dem Patientendaten einrichtungs- und sektorübergreifend ausgetaucht werden können. Vielmehr erfolgt die Kommunikation zwischen Krankenhaus und Arztpraxen heutzutage noch immer überwiegend über Papierdokumente.

IV. Berufsgeheimnisträger

Gem. Art. 9 Abs. 3 und damit korrespondierend ErwGr. 53 soll die DS-GVO „harmonisierte Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Gesundheitsdaten im Hinblick auf bestimmte Erfordernisse“ schaffen, und zwar insbesondere, wenn die Verarbeitung für „gesundheitsbezogene Zwecke von Personen durchgeführt wird, die gemäß einer rechtlichen Verpflichtung dem Berufsgeheimnis unterliegen“. D.h. die DS-GVO soll auch für die dem Berufsgeheimnis unterliegenden medizinischen Personenkreise harmonisierte datenschutzrechtliche Rahmenbedingungen in Europa schaffen.

Diesbezüglich sieht bspw. Art. 90 Abs. 1 vor, dass die Mitgliedsstaaten ermächtigt sind, im Hinblick auf die Befugnisse der Aufsichtsbehörden gem. Art. 58 bei Berufsgeheimnisträgern entsprechend § 203 Abs. 1 StGB wie Ärzten, Zahnärzten, Apothekern oder anderen Heilberufen, deren Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert, eigene Regelungen zu schaffen, damit ein Ausgleich zwischen Datenschutzaufsicht und der Pflicht zur Geheimhaltung erfolgt.

Den vorstehenden Ausführungen folgend, lässt sich deshalb feststellen, dass Berufsgeheimnisträger wie Ärzte etc. grundsätzlich nicht vom Anwendungsbereich der DS-GVO ausgenommen sind. Vielmehr müssen sie sich an die Anforderungen der DS-GVO halten und insbesondere überprüfen, ob ihre Prozesse konform mit den Anforderungen aus Art. 9 hinsichtlich der Erlaubnis zur Verarbeitung der Daten eines Betroffenen sind. Auch sollten diese Geheimnisträger die künftigen deutschen Gesetzesentwicklungen beobachten, um zu überprüfen, ob und inwiefern der deutsche Gesetzgeber von seiner durch die DS-GVO eingeräumten Gesetzgebungskompetenz Gebrauch macht.

V. Vorgaben für das Unternehmen „Krankenhaus“ bzw. die „ambulante Versorgung“

1. Rechenschaftspflicht

Die mit Art. 5 DS-GVO eingeführte Rechenschaftspflicht dürfte vergleichbar mit den derzeit schon geltenden zivilrechtlichen Anforderungen in Deutschland sein. So beinhalten die mit dem sog. Patientenrechtegesetz einhergehenden Änderungen des BGB (§§ 630a bis 630f) ähnliche Pflichten an einen Behandelnden. Dort finden sich mit der Rechenschaftspflicht vergleichbare Pflichten bspw. in § 630c BGB (Informationspflicht), § 630e BGB (Aufklärungspflicht), § 630f BGB (Dokumentationspflicht) und § 630h BGB (Beweislast).

Es sei jedoch darauf hingewiesen, dass die Anforderungen der DS-GVO zwar ähnliche, mit dem BGB vergleichbare Pflichten beinhalten, jedoch eine andere „Zielrichtung“ verfolgen. So dienen die in der DS-GVO enthaltenen Pflichten dazu, den korrekten Umgang mit den Daten des Patienten nachweisen zu können. Die im BGB enthaltenen Pflichten dienen einerseits dazu, einem Mit- oder Nachbehandler alle benötigten Informationen zum Behandlungsprozess zur Verfügung zu stellen (§ 630f Abs. 2 BGB), also gewissermaßen eine Rechenschaftspflicht gegenüber dem Patienten und den potentiellen Mit- oder Nachbehandlern. Andererseits ist Zielsetzung des Gesetzes aber auch, der Beweislast für durchgeführte Maßnahmen in etwaigen Prozessen zu entsprechen: „[…] wird vermutet, dass er diese Maßnahme nicht getroffen hat“ (§ 630h Abs. 3 BGB).

Ähnlich wie die vorstehend angesprochenen BGB-Regelungen enthält auch die DS-GVO Beweislast- bzw. Nachweispflichten. So ist der Verantwortliche bspw. nach Art. 5 Abs. 2 DS-GVO verpflichtet, die Ordnungsgemäßheit der Datenverarbeitung nachzuweisen, d.h. aufzuzeigen, dass er den in Art. 5 DS-GVO enthaltenen Anforderungen und anderen, daraus resultierenden Pflichten genügt.[6]

2. Data protection by design and by default

Art. 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ (Data protection by design and by default) adressiert den für die Datenverarbeitung Verantwortlichen. Damit werden nicht die Hersteller von IT-Systemen direkt angesprochen bzw. zum Treffen der entsprechenden Maßnahmen verpflichtet. Vielmehr ist nach der Intention der DS-GVO der Verantwortliche verpflichtet, seine Unternehmensprozesse zu analysieren und die entsprechenden erforderlichen technischen und organisatorischen Maßnahmen so zu gestalten, dass die Prozesse unter Berücksichtigung einer Kosten-Nutzen-Analyse so datenschutzfreundlich wie möglich umgesetzt werden. Hinsichtlich der „Verantwortlichkeit“ der Hersteller von Datenverarbeitungssystemen sagt ErwGr. 78, dass „die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden (sollen), das Recht auf Datenschutz bei der Entwicklung und Auslegung der Produkte, Dienste und Anwendungen zu berücksichtigen“.

Mithin ist es die Aufgabe des Verantwortlichen, zukünftig die Umsetzungsmöglichkeiten bzgl. der datenschutzrechtlichen Anforderungen in den von ihm zu beschaffenden Produkten nachzufragen. Daher sollte der Verantwortliche beispielsweise künftig in seine Ausschreibungen entsprechende Anforderungen aufnehmen und diese Anforderungen bei der Auswahl seiner Systeme berücksichtigen. Aufgrund der Komplexität der entsprechenden Anforderungen der DS-GVO wird es zukünftig für Verantwortliche im Gesundheitswesen immer mehr zur Notwendigkeit, ein sog. Datenschutzmanagementsystem einzusetzen.[7]

3. Verarbeitungstätigkeitenverzeichnis

Gem. Art. 30 DS-GVO müssen sowohl Verantwortliche als auch – falls eingesetzt – Auftragsverarbeiter künftig ein „Verzeichnis von Verarbeitungstätigkeiten“ führen. Die von der DS-GVO vorgesehenen (Mindest-)Angaben entsprechen weitestgehend den uns heute aus dem BDSG bekannten Anforderungen an ein Verfahrensverzeichnis. Jedoch gilt es zu beachten, dass die DS-GVO keine Ausnahmebestimmungen hinsichtlich der aufzuführenden Datenverarbeitungen wie bspw. das BDSG kennt. Damit müssen nun alle Tätigkeiten bzgl. der Verarbeitung von personenbezogenen Daten beschrieben werden. Auch eine Beschränkung auf automatisierte Verfahren wie im BDSG existiert nicht mehr. Unter gewissen Voraussetzungen erleichtert Art. 30 Abs. 5 DS-GVO jedoch das Führen eines entsprechenden Verzeichnisses bzw. lässt die Pflicht entfallen. Die diesbezüglich in Art. 30 Abs. 5 aufgeführten Tatbestände dürften jedoch für den Gesundheitsbereich nicht einschlägig sein. Denn nach dem Wortlaut von Art. 30 Abs. 5 kann eine solche Entlastung nicht erfolgen, wenn besondere Kategorien von Daten wie Gesundheitsdaten verarbeitet werden sollen. Daraus folgt wiederum, dass immer ein entsprechendes Verzeichnis für die Verarbeitung von Daten, die dieser Kategorie unterliegen, erfolgen muss.

4. Datensicherheit

Art. 32 beinhaltet die Anforderungen hinsichtlich der „Sicherheit der Verarbeitung“. Hiernach gilt: Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung

  • des Stands der Technik,
  • der Implementierungskosten und
  • der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie
  • der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten

geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen schließen gegebenenfalls Folgendes ein:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen;
  • die Fähigkeit, die Verfügbarkeit der Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Im Gegensatz zum BDSG verlangt die DS-GVO nicht nur Maßnahmen, sondern gibt auch klar zu erfüllende Ziele vor. So adressiert Art. 32 Abs. 1 lit. b DS-GVO die klassischen (Schutz-) Ziele der IT-Sicherheit „Vertraulichkeit“ (confidentiality), „Integrität“ (integrity) und „Verfügbarkeit“ (availability). Art. 32 Abs. 1 lit d DS-GVO verlangt darüber hinaus „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“.

Letztlich wird hier also die Einführung und Nutzung eines IT-Sicherheitsmanagementsystems gefordert sowie die regelmäßige Auditierung desselben[8]. Unter Verwendung der Vorgabe „Stand der Technik“[9] und Berücksichtigung der Tatsache, dass eine europäische Lösung gesucht wird, kommen hier letzten Endes nur Systeme zur Umsetzung der DIN ISO/ IEC 27001 infrage. Diesbezüglich empfiehlt es sich auch, eine besonders auf den IT-Sicherheitsbereich spezialisierte Person einzusetzen, wie einen IT-Sicherheitsbeauftragten.

Bezogen auf das Gesundheitswesen wird jedoch Stand heute so gut wie in keiner Institution ein IT-Sicherheitsbeauftragter eingesetzt. Auch ein dem Stand der Technik entsprechendes IT-Sicherheitskonzept ist nahezu nirgendwo festgehalten bzw. umgesetzt. Daraus folgt mithin, dass diese Anforderung der DS-GVO zu einem enormen Ressourceneinsatz für das deutsche Gesundheitswesen führen dürfte. Für viele Einrichtungen wie beispielsweise kleine Arztpraxen ist diese in der DS-GVO enthaltene Anforderung aufgrund des Ressourcenaufwands und der Komplexität praktisch so nicht umsetzbar. Vielmehr sollten hier entsprechende Lösungen mit Augenmerk auf die Wirtschaftlichkeit möglich sein (vgl. Art. 32 Abs. 1 S. 1 DS-GVO).

5. Datenschutz-Folgenabschätzung

Art. 35 fordert eine „Datenschutz-Folgenabschätzung“, die im anglo-amerikanischen Raum schon länger als „privacy impact assessment process“ (PIA) bekannt ist. Diese Datenschutzfolgenabschätzung muss mehr Anforderungen erfüllen, als die uns heute bekannte „Vorabkontrolle“. Diesbezüglich gibt Art. 35 Abs. 7 DS-GVO entsprechende (Mindest-) Anforderungen bzw. in der Datenschutzfolgenabschätzung zu beachtende Aspekte vor.

Eine Datenschutzfolgenabschätzung ist entsprechend Art. 35 Abs. 3 insbesondere verpflichtend vorzunehmen wenn

  • eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt und wenn diese Bewertung als Grundlage für rechtswirksame Entscheidungen dient oder
  • eine umfangreiche Verarbeitung besonderer Kategorienvon personenbezogenen Daten (Art. 9 Abs. 1) bzw. Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10) erfolgt oder
  • eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche geschieht.

Diesen Anforderungen folgend, ist eine Datenschutzfolgenabschätzung unumgänglich, sobald genetische Daten oder Gesundheitsdaten verarbeitet werden sollen.

Kommt man bei dieser Folgenabschätzung zum Ergebnis, dass durch die geplante Datenverarbeitung ein „hohes Risiko“ für den Betroffenen besteht und der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft oder treffen kann, so ist vor der Verarbeitung eine Konsultation der zuständigen Aufsichtsbehörde erforderlich (Art. 36 Abs. 1 DS-GVO).

Bzgl. der Umsetzung der gesetzlichen Anforderungen verweisen die Aufsichtsbehörden auf das Standard-Datenschutzmodell[10],[11]. Aber auch innerhalb von Standardisierungsgremien[12] aus dem Gesundheitsbereich ist PIA ein Thema. So befasst sich HL7 International[13], ein Gremium, welches für die Weiterentwicklung des medizinischen Kommunikationsstandards HL7 zuständig ist, mit der Datenschutzfolgenabschätzung und damit, wie dieser Anforderung dem „Standard“ entsprechend Rechnung getragen werden kann.

6. Auftragsverarbeitung

Die Begriffsbestimmungen bzgl. Auftragsverarbeitung der DS-GVO entsprechend überwiegend denen, der Richtlinie 95/46/EG. Bei der Umsetzung der Regelungen der Richt – linie ins deutsche Recht orientierte sich der deutsche Gesetzgeber jedoch weitestgehend am Wortlaut des BDSG von 1990 und nur teilweise am Text der Richtlinie. Aus diesem Grund unterscheiden sich die deutschen Anforderungen bzw. Begrifflichkeiten zum Teil von denen der DSGVO. Aus diesem Grund ist es auch nur folgerichtig, dass sich in Deutschland durch die DS-GVO das Verständnis bzgl. Auf tragsverar beitung ändern muss. Da die Regelungen der DS-GVO denen der Richtlinie entsprechen, sollte man zum Verständnis bspw. die bishe rigen Ausführungen der Art. 29-Datenschutzgruppe zur Interpretation dieser Begrifflichkeiten der RL 95/46/EG nutzen.[14]

Anders als im BDSG ist der Auftragsverarbeiter in der DSGVO neben dem Verantwortlichen gleichrangiger Normadressat. Daraus folgt wiederum, dass der Auftragsverarbeiter nach der DS-GVO neben dem Verantwortlichen eigene Rechte und Pflichten hat. Konsequenterweise ist daher auch die Nichtbeachtung der Pflichten bußgeldbewährt.

Eine Weitergabe von Daten beinhaltet grundsätzlich ein Gefährdungspotenzial hinsichtlich einer unberechtigten Kenntnisnahme bzw. steigert das Potenzial der missbräuchlichen Datenverarbeitung. Diese Erkenntnis gilt grundsätzlich auch für eine Auftragsverarbeitung, da diese ebenfalls eine mehr oder weniger privilegierte Form der Datenwei tergabe darstellt. Das wiederum hat zur Folge, dass dem Risiko der Verarbeitung beim Auftragsverarbeiter letztlich dem Risiko der Verarbeitung beim Verantwortlichen entspricht. Aus diesem Grund ändert sich hinsichtlich der uns heute bekannten Privilegierung der Auftragsverarbeitung auch unter der DS-GVO grundsätzlich nichts[15],[16]: Da die Auftragsverarbeitung eine Verarbeitung des Verantwortlichen darstellt, ist für diese, wenn der Auftragsverarbeiter die Daten auch nur zu den Zwecken verarbeitet, zu denen er sie erhalten hat, keine gesonderte Ermächtigung notwendig[17].

Zudem sind die Begriffsbestimmungen hinsichtlich der Begrifflichkeiten „Verantwortlicher“, „Auftragsverarbeiter“, „Empfänger“ und „Dritter“ in der Richtlinie 95/46/EG und der DS-GVO nahezu identisch, daher ist verständlich, dass beim Wechsel vom BDSG, welches ja die Richtlinie 95/46/EG umsetzte, zur DS-GVO hier keine Änderung erfolgt.

Analog zu den Vorgaben des BDSG ist eine sorgfältige Auswahl des Auftragsverarbeiters unumgänglich. Ein Auftragsverarbeiter darf nur für die entsprechenden Verarbeitungen ausgewählt werden, wenn dieser die aus der DS-GVO resultierenden Anforderungen an den Datenschutz und -sicherheit (siehe Ausführungen zu Art. 32 DS-GVO bzgl. Datensicherheit) auch leistet bzw. abbilden kann (Art. 28 Abs. 1 DS-GVO).

Im Gegensatz zu der Regelung des BDSG, die lediglich einen schriftlich zu erteilenden Auftrag fordert (§ 11 Abs. 2 S. 2 BDSG), verlangt die DS-GVO nun grundsätzlich den Abschluss eines schriftlichen Vertrags. An die Schriftlichkeit stellt die DS-GVO jedoch nicht so hohe Anforderungen wie z.B. das BGB (§ 126) und lässt somit auch einen Vertrag in elektronischer Form zu (Art. 28 Abs. 3 DS-GVO). Um der Rechenschaftspflicht gem. Art. 5 Abs. 2 DS-GVO genügen zu können, empfiehlt sich nach wie vor, einen Vertrag entsprechend den Anforderungen der §§ 126, 126a BGB abzuschließen.

Die Anforderungen hinsichtlich des abzuschließenden Vertrages sind denen von § 11 BDSG ähnlich, jedoch nicht völlig identisch. Insbesondere müssen deshalb bestehende ADV-Verträge

hinsichtlich

  • der Umsetzung der sicherheitstechnischen Anforderungen
  • der Bestimmungen bzgl. Unterauftragsverhältnissen
  • den Informationspflichten
    • Hinweispflicht seitens Auftraggebers bei rechtswidrigen Weisungen durch den Auftraggeber/Verantwortlichen
    • Hinweispflicht des Auftraggebers bzgl. Übermittlung in ein Drittland
  • den Dokumentationspflichten des Auftragsverarbeiters
  • Dokumentation bzgl. des Verzeichnisses von Verarbeitungstätigkeiten
  • Dokumentationspflicht hinsichtlich der Weisungen
  • den Unterstützungspflichten des Auftragsverarbeiters
    • Dokumentation bzgl. des Verzeichnisses von Verarbeitungstätigkeiten durch den Auftraggeber/Verantwortlichen
    • Bei der Zusammenarbeit mit den Aufsichtsbehörden
    • Bei der Meldung von Datenpannen
  • des Umgangs mit der Datenverarbeitung in einem Drittland insbesondere der diesbezüglichen Weisungsabhängigkeit des Auftragsverarbeiters auf ihre Verordnungskonformität hin überprüft werden.

Da verschiedene im Gesundheitsbereich verwendete Vertragsmuster einige dieser nicht in § 11 BDSG vorhandenen Anforderungen adressieren, dürfte sich der Anpassungsbedarf bestehender Verträge vermutlich in Grenzen halten.

Im Gegensatz zu den Regelungen des BDSG stehen nun Auftraggeber und Aufragnehmer gemäß Art. 82 DS-GVO grundsätzlich gemeinsam gegenüber dem Betroffenen für etwaige Datenschutzverstöße ein. Gem. Art. 82 Abs. 3 DSGVO können der Verantwortliche oder der Auftragsverarbeiter jedoch von der Haftung gemäß Art. 82 Abs. 2 DS-GVO befreit werden, wenn sie jeweils nachweisen können, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Ähnlich wie im BDSG hat der Auftragsverarbeiter gemäß Art. 28 Abs. 3 S. 3 DS-GVO den Verantwortlichen unverzüglich darüber zu informieren, wenn er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die Regelungen der DS-GVO oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. Um den vorstehend angesprochenen Nachweis führen zu können, dass der Auftragsverarbeiter in keinerlei Hinsicht für den Schaden verantwortlich ist, sollte er dokumentieren, dass er nur nach den Vorgaben des Verantwortlichen handelte und dass die Weisung des Verantwortlichen für den Auftragsverarbeiter nicht als rechtswidrige Weisung erkennbar war bzw. er den Verantwortlichen auf die Rechtswidrigkeit (unverzüglich) aufmerksam gemacht hat.

Aufgrund der mit einer Auftragsverarbeitung einhergehenden Herausforderungen ist es daher wie bisher essenziell notwendig, den Auftrag, den Gegenstand des Auftrags, die Rechte und Pflichten im Vertrag im jeweiligen Einzelfall genau zu spezifizieren. Aufgrund der nunmehr geteilten (Haftungs-) Verantwortlichkeit dürfte daher eine entsprechend aussagekräftige Auftrags- und Weisungsbeschreibung auch im Interesse des Auftragsverarbeiters liegen.

7. Meldepflichten

Aus Artt. 33, 34 DS-GVO resultieren Meldepflichten gegenüber der Aufsichtsbehörde bzw. dem Betroffenen. Gemäß Art. 33 muss ein Verantwortlicher bei Feststellung einer „Datenpanne“ diese unverzüglich (möglichst innerhalb von 72 Stunden) der für ihn zuständigen Aufsichtsbehörde (Art. 55) melden. Die Definition in Art. 4 Nr. 12 DS-GVO bzgl. einer „Verletzung des Schutzes personenbezogener Daten“ ist sehr offen gehalten. Diesbezüglich ist zu hoffen, dass der künftige Datenschutzausschuss durch eine klare Kategorisierung der meldepflichtigen Verstöße eine größere Rechtssicherheit schafft[18]. Dieses insbesondere deshalb, weil anders als bspw. in § 42a BDSG in der DS-GVO keine „Kategorien“ von Daten benannt werden, die eine Meldepflicht auslösen. Dies wiederum hat zur Konsequenz, dass theoretisch jede, auch noch so kleine (in- und externe) „Datenpanne“ der Aufsichtsbehörde gemeldet werden müsste. Eine Ausnahme von dieser Meldepflicht sieht Art. 33 nur vor, wenn die „Datenpanne“ voraussichtlich nicht zu einem Risiko für die Betroffenen führt. Die Ermittlung, ob für den Betroffenen ein wie auch immer geartetes Risiko vorliegt, sowie die diesbezüglich bestehende Beweislast liegt beim Verantwortlichen. Gerade bei Daten der besonderen Kategorien gemäß Art. 9 DS-GVO, und hierbei insbesondere Gesundheitsdaten und genetischen Daten, wird häufig von einem hohen Risiko für den Betroffenen auszugehen sein, wenn nicht entsprechende im Vorfeld getroffene Schutzmaßnahmen das Risiko minimieren.

Daraus folgt, dass wenn der Verantwortliche eine Datenpanne nicht meldet, sie jedoch der Aufsichtsbehörde, aus welchen Gründen auch immer, bekannt wurde, der Verantwortliche nachweisen muss, welche Abwägungen er getroffen hat, die seine Nichtmeldung rechtfertigen. Da eine derartige Nichtmeldung u.a. gem. Art. 83 Abs. 4 bußgeldbewährt ist, ist ein Verantwortlicher gut beraten, eine sorgfältige Dokumentation seiner Abwägung inklusive der seiner Entscheidung zugrundeliegenden Abwägungsgründe vorzunehmen.

Erfolgt die Meldung des Verantwortlichen an die Aufsichtsbehörde nicht binnen 72 Stunden, so muss der Verantwortliche diese Verzögerung im Rahmen seiner verspäteten Meldung unter Berücksichtigung der in Art. 33 Abs. 3 DS-GVO enthaltenen Voraussetzungen begründen. Art. 33 Abs. 3 DS-GVO enthält ebenfalls die Mindestinhalte der Meldung.

Gem. Art. 34 DS-GVO ist der Betroffene ebenfalls bei einer eingetretenen Datenpanne, aber auch bei der Wahrscheinlichkeit des Eintretens einer Datenpanne zu benachrichtigen. Wird beispielsweise ein mobiler Datenträger mit Patientendaten mit einer entsprechend dem Stand der Technik verschlüsselten Festplatte gestohlen, so wird aufgrund der geringen Wahrscheinlichkeit, dass die Diebe von den Daten auf dem Datenträger Kenntnis nehmen können, wohl von keiner Benachrichtigungspflicht bzgl. des Betroffenen auszugehen sein. Ist hingegen die Festplatte unverschlüsselt, so wird eine Benachrichtigung wohl erforderlich sein.

Die jüngste Vergangenheit zeigte, dass kein noch so gut finanziell aufgestelltes Unternehmen vor einer „Datenpanne“ sicher ist. Aufgrund der Sensibilität der zu verarbeitenden Daten ist daher allen Einrichtungen im Gesundheitswesen anzuraten, ein entsprechendes „Incident Response Management“ einzuführen und ein entsprechendes „Reaktionsteam“ aufzustellen. Aufgrund der mannigfaltig zu beachtenden rechtlichen Implikationen bis hin zur Vermeidung von „schlechter Publicity“ dürfte der Datenschutzbeauftragte alleine im Eintrittsfall überfordert sein.

VI. Forschung

Gerade für den Gesundheitsbereich ist der Bereich „Forschung“ essenziell. Jedoch ist der Begriff der „Forschung“ in den Regelungen der DS-GVO nicht definiert. Dies ist nicht unproblematisch, denn die DS-GVO beinhaltet gerade für den Bereich der Forschung entsprechende Privilegierungsregelungen, weshalb es für die entsprechenden Verantwortlichen, die einen mehr oder weniger direkten Bezug zur Forschung haben, wichtig wäre zu wissen, ob sie sich auf diese Privilegierungen berufen können oder nicht. Die diesbezüglich relevanten Erwägungsgründe geben Hinweise darauf, was der europäische Gesetzgeber unter diesen Begriff versteht. So lassen sich z.B.

  • Studien, die im öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchgeführt werden (ErwGr. 53, 159)
  • Klinische Prüfungen (ErwGr. 156)
  • Register (ErwGr. 157)
  • Verbesserung der Lebensqualität zahlreicher Menschen (ErwGr. 157)
  • Verbesserung der Effizienz der Sozialdienste (ErwGr. 157)
  • Grundlagenforschung (ErwGr. 159)
  • Angewandte Forschung (ErwGr. 159)
  • Privat finanzierte Forschung (ErwGr. 159) unter diesen Begriff subsumieren.

Wie vorstehend dargestellt, ist gerade für die Verarbeitung von Gesundheitsdaten immer ein entsprechender Erlaubnistatbestand erforderlich, was selbstverständlich auch für die Forschung gilt. Eine wirksame Einwilligung entsprechend Art. 9 Abs. 2 lit. a DS-GVO stellt einen Erlaubnistatbestand zur Nutzung von Gesundheitsdaten für Forschungszwecke dar. Auf diese Legitimationsform wird insbesondere im Rahmen der Primärerhebung z.B. bei der Arzneimittelforschung regelmäßig zurückgegriffen.

Diese Möglichkeit dürfte jedoch hinsichtlich der Sekundärnutzung von Daten auf Schwierigkeiten treffen. Denn in diesem Fall müsste nachträglich eine wirksame Einwilligung vom Betroffenen eingeholt werden. In der Theorie ist die nachträgliche Einholung einer Einwilligung sicherlich ein möglicher Weg. Jedoch zeigt die Praxis, dass bei der Einholung von Einwilligungen, denen sogar ein rückfrankierter Umschlag beigelegt wurde, vielfach lediglich eine Rückantwortquote von 7-8 % erzielt wird. In Umfragen wurde herausgefunden, dass die Betroffenen eigentlich nichts gegen die entsprechende Sekundärnutzung hatten. Die Betroffenen begründeten die nicht durchgeführte Zurücksendung vielmehr damit, dass ihnen der hierzu notwendige Aufwand zu hoch war. Möglicherweise bietet diesbezüglich die Abgabe einer elektronischen Einwilligung einen gang baren Weg.

Ohne die Einwilligung des Betroffenen lässt sich die Nutzung bzw. Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 Abs. 2 lit. j legitimieren, wenn „die Verarbeitung

  • auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats,
  • das in angemessenem Verhältnis zu dem verfolgten Ziel steht,
  • den Wesensgehalt des Rechts auf Datenschutz wahrt und
  • angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht,
  • für
    • im öffentlichen Interesse liegende Archivzwecke,
    • für wissenschaftliche oder
    • historische Forschungszwecke oder

statistische Zwecke

gemäß Art. 89 Abs. 1 erforderlich ist. Somit können genetische Daten wie auch Gesundheitsdaten zu „wissenschaftlichen Forschungszwecken“ genutzt werden, wenn die nachfolgenden fünf Bedingungen erfüllt sind:

1) ein nationales oder europäisches Recht für die Nutzung existiert,

2) dieses Recht im angemessenen Verhältnis zum verfolgten (Forschungs-)Ziel steht,

3) dieses Recht die datenschutzrechtlichen Anforderungen der DS-GVO wahrt,

4) das Gesetz spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht und

5) die Verarbeitung der Daten erforderlich ist.

Durch diese Regelung erfährt die Datenverarbeitung zu Forschungszwecken eine Privilegierung. Gleichzeitig werden aber auch die Garantien zum Schutz der personenbezogener Daten und der Rechte Betroffener im Vergleich zu den bisherigen europäischen Anforderungen erhöht[19].

Nutzung anonymer Daten

Im Gegensatz zum BDSG existiert in der DS-GVO selbst keine Definition anonymer Daten. Die Begrifflichkeit der anonymen Daten kann vielmehr nur indirekt aus den Erwägungsgründen abgeleitet werden (vgl. ErwGr. 26).

Entsprechend ErwGr. 26 sollen für anonyme Daten die Grundsätze des Datenschutzes nicht gelten. Folgerichtig kann es sich bei anonymen Daten auch nicht um pseudonyme Daten oder andere personenbezogene Daten gemäß Art. 4 Abs. 1 DS-GVO handeln. Somit gilt es, gerade bei anonymen Daten eine klare Abgrenzung zu den personenbezogenen oder personenbeziehbaren Daten vorzunehmen.

Gemäß ErwGr. 26 sind anonyme Daten Informationen, „die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“. Mithin ist das wesentliche Merkmal für anonyme Daten, dass diese keinen Personenbezug beinhalten bzw. ermöglichen. Dieses Verständnis der Begrifflichkeit „anonymer Daten“ entspricht auch dem bisherigen europäischen Verständnis, wie es beispielsweise von der Art. 29-Datenschutzgruppe im Jahre 2014 in einem Working Paper formuliert wurde[20]. Für den Fall, dass personenbezogene Daten anonymisiert werden, stellt diese Anonymisierung eine Weiterverarbeitung dar, für welche die Anforderungen der DS-GVO gelten. Daraus folgt wiederum, dass auch für die Anonymisierung von Patientendaten ein entsprechender Erlaubnistatbestand erforderlich ist.

VII. Sanktionen/Strafregelungen

Die Sanktionsregelungen der DS-GVO unterscheiden sich von denen des BDSG z.T. erheblich. So heißt es z.B. in § 43 BDSG: „Die Ordnungswidrigkeit kann… geahndet werden.“ Mithin liegt die Entscheidung, ob eine Ordnungswidrigkeit mit einer Geldbuße geahndet wird, nach bisherigem Recht im Ermessen der Aufsichtsbehörde. Der mit § 43 BDSG korrespondierende Art. 83 Abs. 2 DS-GVO führt diesbezüglich jedoch aus: „Geldbußen werden… verhängt.“ Im Vergleich zu heute dürfte, bei wörtlicher Interpretation der bisherige Ermessensspielraum der Aufsichtsbehörden eingeschränkt werden. Somit muss nach der DS-GVO eine Aufsichtsbehörde bei einem entsprechend Art. 83 Abs. 4, 5, 6 zu ahndenden Verstoß eine Geldstrafe verhängen. Lediglich im Bereich der Höhe verbleibt der Aufsichtsbehörde ein Spielraum. In der deutschen Übersetzung wird im ErwGr. 148 „[…] should be imposed […]“ mit „können verhangen werden“ übersetzt, sodass der europäische Gesetzgeber laut ErwGr. 148 den Aufsichtsbehörden mehr Ermessungsspielraum einräumen wollte, als sich im eigentlichen Gesetzestext findet. Wie hiermit umgegangen wird, lässt sich im Vorhinein nicht beurteilen.

Um eine wie von der DS-GVO geforderte einheitliche Rechtsanwendung hinsichtlich einheitlicher Sanktionen zu gewährleisten, sieht ErwGr. 150 vor, dass zur einheitlichen Anwendung der Bemessungsgrundlagen das Kohärenzverfahren gemäß Art. 63 DS-GVO angewendet werden kann. Im Einzelnen sieht die DS-GVO drei Abstufungen vor:

1) Geldbußen von bis zu 10 Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes (Art. 83 Abs. 4)

Z.B. bei Verstoß gegen

  • Art. 25 (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen)
  • Art. 28 (Auftragsverarbeiter)
  • Art. 29 (Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters)
  • Art. 30 (Verzeichnis von Verarbeitungstätigkeiten)
  • Art. 31 (Zusammenarbeit mit der Aufsichtsbehörde)
  • Art. 32 (Sicherheit der Verarbeitung)
  • Art. 33 u. 34 (Meldung von Datenpannen an Aufsichtsbehörde und Betroffenen)
  • Art. 35 (Datenschutzfolgenabschätzung)
  • Art. 36 bis 39 (Datenschutzbeauftragter)

2) Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes (Art. 83. Abs. 5) Z.B. bei Verstoß gegen

  • Artt. 5, 6, 7, 9 (fehlende oder fehlerhaft eingeholte Einwilligung)
  • Artt. 12-22 (Verstoß gegen die Rechte der/des Betroffenen)
  • Artt. 44 bis 49 (Unrechtmäßige Übermittlung in ein Drittland oder int. Organisation)
  • Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde

3) Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes (Art. 83. Abs. 6)

  • Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Art. 58 Abs. 2

Die Berechnung des Umsatzes knüpft dabei entsprechend ErwGr. 150 am Umsatz des Unternehmens im Sinn der Artt. 101, 102 AEUV an, d.h. berücksichtigt werden die Umsätze der gesamten Unternehmensgruppe wie einem Krankenhauskonzern[21]. Die bayerische Aufsichtsbehörde geht davon aus, dass „Unternehmen für Verstöße, die durch ihre Mitarbeiter begangen werden, grundsätzlich einstehen müssen[22]“.

VIII. Fazit

Die DS-GVO beinhaltet für das Gesundheitswesen viele Anforderungen, die eine Anpassung der bisher etablierten Prozesse erforderlich machen. In diesem Zusammenhang sei insbesondere auf die Formalien bzgl. einer datenschutzrechtlichen Einwilligung, die Integration einer Datenschutz-Folgenabschätzung in nahezu allen klinischen Prozesse oder die Überarbeitung der bestehenden ADVVerträge hingewiesen.

Bedingt durch einen fehlenden Bestandsschutz und dem damit verbundenen Erfordernis, dass auch alle vor Geltung der DS-GVO Regelungen eingeführten Prozesse den Anforderungen der DS-GVO genügen müssen, dürfte die Anpassung an die Anforderungen der DS-GVO mit einem nicht unerheblichen Ressourcenaufwand verbunden sein. Aufgrund der Komplexität der Prozesse gilt es zu attestieren, dass die Umsetzung der Anforderungen der DS-GVO im Gesundheitswesen in den vorgesehenen zwei Jahren kaum zu schaffen ist. Bzgl. der Herausforderungen von morgen wie beispielsweise der Nutzung von Big Data Lösungen in der onkologschen Versorgung oder dem Einsatz von Cloud-Lösungen z.B. im Rahmen von weltweit verfügbaren einrichtungsübergreifenden elektronischen Patientenakten bietet die europäische Datenschutz-Grundverordnung leider keine Lösungen. Hier verweist die DS-GVO mittels entsprechenderÖffnungsklauseln auf die Regelungsbefugnis des nationalen Gesetzgebers.

Somit ist ein einheitliches europäisches Datenschutzrecht in der Gesundheitsversorgung damit nicht gegeben.

Dennoch bietet die DS-GVO im Vergleich zu den heute existierenden Regelungen für das Krankenhausumfeld, die z.T. ja schon 20 Jahre[23] alt sind, viele Neuerungen, die der gelebten Praxis der Patientenversorgung näher kommen und der heute existierenden vernetzten Gesundheitsversorgung eher entsprechen dürften.

Dr. Bernd Schütze studierte Informatik, Medizin und Jura. Seit 1995 beschäftigt er sich mit den datenschutzrechtlichen Aspekten innerhalb der Gesundheitsversorgung. Bei der Deutschen Telekom Healthcare & Security Solutions GmbH ist er als Senior Experte Medical Data Security für die Bereiche ITSicherheit und Datenschutz zuständig.

Gerald Spyra, LL.M. ist Rechtsanwalt mit Spezialisierung auf den Informationsschutz, das (Software-) Medizinprodukterecht und die IT-Forensik. Er hat sich auf die Beratung von Unternehmen im Gesundheitswesen spezialisiert und ist daher mit den unterschiedlichsten Herausforderungen in diesem Bereich bestens vertraut.

[1] Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), unter http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679.

[2] Konsolidierte Fassung des Vertrags über die Arbeitsweise der Europäischen Union, unter http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:12012E/TXT.

[3] Der Vorrang des EU-Rechts, unter http://eur-lex.europa.eu/legalcontent/DE/TXT/?uri=URISERV:l14548.

[4] Insbesondere ErwGr. 32 (Grundlegende Anforderungen), ErwGr. 33 (Forschung), ErwGr. 38 (Einwilligung Kind), ErwGr. 40 (Rechtmäßigkeit der Verarbeitung), ErwGr. 42 (Nachweispflicht), ErwGr. 43 (Freiwilligkeit), ErwGr. 50 (Zweckänderung), ErwGr. 51 (Besondere Kategorien von Daten), ErwGr. 54 (öffentliches Interesse), ErwGr. 111 (Datenübermittlung), ErwGr. 155 (Beschäftigtenkontext), ErwGr. 161 (Forschung).

[5] Jülicher/Röttgen/Schönfeld, ZD 2016, 358-362.

[6] S.a. Lepperhoff, RDV 2016, 197-203.

[7] Wichtermann, ZD 2016, 421-422.

[8] S.a. Lepperhoff, KES 2016, 54-63.

[9] Bzgl. des Begriffes „Stand der Technik“ siehe auch

 − BVerfG Urt. v. 08.08.1978 Az.: 2 BvL 8/77, unter https://dejure.org/dienste/vernetzung/rechtsprechung?Text=2%20BvL%208/77.

 − §3 Abs. 2 Patentgesetz, unter http://www.gesetze-im-internet.de/patg/__3.html.

 − DIN EN 45020:2007-03, Normung und damit zusammenhängende

Tätigkeiten – Allgemeine Begriffe.

[10] Hansen, DuD 2016, 587-591

[11] Bieker/Hansen/Friedewald, RDV 2016, 188-197

[12] ISO/IEC DIS 29134, (Normentwurf, Stand 07/2016) Information technology – Security techniques – Privacy impact assessment – Guidelines.

[13] HL7 Security Work Group (2016) Standards Privacy Impact Assessment Cookbook, unter http://wiki.hl7.org/index.php?title=HL7_SPIA_Cookbook_Project bzw. http://www.hl7.org/special/committees/projman/searchableprojectindex.cfm?action=edit&ProjectNumber=1263.

[14] Working Paper 169 (2010-02): „Für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_de.pdf.

[15] Schmitz/Dall’Armi, ZD 2013, 427-432.

[16] Plath, 2016, Art. 28 DS-GVO, Rn. 3, in: Plath (Hrsg.), BDSG/DS-GVO Kommentar zum BDSG und zur DS-GVO sowie den Datenschutzbestimmungen des TMG und TKG.

[17] Hofmann, 2016, §3 Allgemeine Regeln der Datenschutz-Grundverordnung, Rn. 258, in: Roßnagel (Hrsg.), Europäische DatenschutzGrundverordnung

[18] Die bayerische Aufsichtsbehörde hält in ihrer Stellungnahme fest, dass „vom Grundsatz her jede Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde gemeldet werden muss, es sei denn, dass sie „voraussichtlich nicht zu einem Risiko“ des Betroffenen führt“, unter https://www.lda.bayern.de/media/baylda_ds-gvo_8_data_breach_notification.pdf.

[19] Molnár-Gábor/Korbel, ZD 2016, 274-281.

[20] Art. 29-Datenschutzgruppe: Stellungnahme 5/2014 zu Anonymisierungstechniken, unter http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_de.pdf.

[21] So auch Faust/Spittka/Wybitul, ZD 2016, 120-125

[22] Bayerisches Landesamt für Datenschutzaufsicht (2016) Sanktionen nach der DS-GVO, unter https://www.lda.bayern.de/media/baylda_ds-gvo_7_sanctions.pdf.

[23] Z.B. Gesetz zum Schutz personenbezogener Daten im Gesundheitswesen (Gesundheitsdatenschutzgesetz – GDSG NW), unter https://recht.nrw.de/lmi/owa/br_text_anzeigen?v_id=10000000000000000495.