vom Verarbeitungsverbot bzw. eine direkte Erlaubnis enthalten ist (je nachdem, welcher Ansicht gefolgt wird),293 dass der Vertrag mit einem Angehörigen eines Gesundheitsberufs, aufgrund dessen die besonderen Kategorien personenbezogener Daten verarbeitet werden sollen, mit der betroffenen Person abgeschlossen worden sein muss.294 Im Wortlaut von Art. 9 Abs. 2 lit. h DSGVO ist diese Anforderung nicht ausdrücklich vorgesehen. An dieser Stelle könnte der Streit, ob die Anforderungen des Art. 6 Abs. 1 DSGVO zusätzlich zu den Anforderungen aus Art. 9 Abs. 2 DSGVO gelten, eine gewisse Rolle gespielt haben (siehe hierzu Rn. 170ff.). So erfordert auch Art. 6 Abs. 1 lit. b DSGVO, dass der Vertrag, zu dessen Erfüllung die personenbezogenen Daten verarbeitet werden, mit der betroffenen Person abgeschlossen wurde. Folgt man also – wie z.B. der bundesdeutsche Gesetzgeber und die deutschen Datenschutzaufsichtsbehörden – der Ansicht, dass die Anforderungen des Art. 6 Abs. 1 DSGVO zusätzlich zu den Anforderungen des Art. 9 Abs. 2 DSGVO zu erfüllen sind, würden § 22 Abs. 1 Nr. 1 lit. b BDSG und Art. 6 Abs. 1 lit. b DSGVO insoweit nun parallellaufen. Auf Basis des Wortlauts von Art. 9 Abs. 2 lit. h DSGVO wäre es hingegen zumindest möglich zu argumentieren, dass der Vertrag auch mit einer anderen Person geschlossen worden sein kann. Allerdings muss Art. 9 Abs. 2 lit. h DSGVO insoweit wohl einschränkend ausgelegt werden, weil Art. 9 Abs. 2 DSGVO das Schutzniveau gegenüber Art. 6 Abs. 1 DSGVO erhöhen und nicht absenken soll.295 Außerdem könnte die vorliegende Einschränkung – zumindest im Hinblick auf den Hauptanwendungsfall der Verarbeitung von Gesundheitsdaten (sowie von genetischen und biometrischen Daten) – ansonsten ggf. auch noch auf Art. 9 Abs. 4 DSGVO gestützt werden, auch wenn der Gesetzgeber in der Gesetzesbegründung zu § 22 Abs. 1 Nr. 1 lit. b BDSG hierfür eine andere Öffnungsklausel genannt hat.
Zur Vermeidung etwaiger Haftungsrisiken sollten Verantwortliche sowohl die Anforderungen des § 22 Abs. 2 BDSG einhalten (wenn sie die Datenverarbeitung auf § 22 Abs. 1 Nr. 1 lit. b BDSG stützen) als auch besondere Kategorien personenbezogener Daten auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO bzw. § 22 Abs. 1 Nr. 1 lit. b BDSG nur dann aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufs verarbeiten, wenn dieser mit der betroffenen Person abgeschlossen wurde.
gg) Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (Art. 9 Abs. 2 lit. i DSGVO)
194
Nach Art. 9 Abs. 2 lit. i DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten zudem nicht untersagt, wenn sie aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, erforderlich ist. Auch die Verarbeitung zu diesen Zwecken ist nur zulässig, wenn das EU-Recht oder das Recht des Mitgliedstaats die Datenverarbeitung erlaubt, das zudem angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsehen muss.
Nationale Regelungen in Deutschland
§ 22 Abs. 1 Nr. 1 lit. c BDSG: Verarbeitung „sensibler“ Daten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
195
Der deutsche Gesetzgeber hat von dieser Möglichkeit in § 22 Abs. 1 Nr. 1 lit. c BDSG Gebrauch gemacht. Demnach ist die Verarbeitung besonderer Kategorien personenbezogener Daten zulässig, wenn sie „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich ist“. Nach § 22 Abs. 1 Nr. 1 lit. c Hs. 2 BDSG müssen hierfür aber sowohl nach Maßgabe von § 22 Abs. 2 BDSG angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorgesehen werden296 als auch in deren Ergänzung insbesondere die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses eingehalten werden, z.B. nach § 203 StGB und den anwendbaren Berufsordnungen.297
196
Allerdings ist es umstritten, ob diese Norm europarechtskonform ist. So beschränkt sich diese Norm im Wesentlichen auf die Wiedergabe des Wortlauts von Art. 9 Abs. 2 lit. i DSGVO, legt aber selbst kein erhebliches öffentliches Interesse fest, wie es der Wortlaut von Art. 9 Abs. 2 lit. i DSGVO eventuell erfordert. Vor diesem Hintergrund könnte die Norm zu unbestimmt und damit unwirksam sein.298 Auch ob § 22 Abs. 2 BDSG, wie von § 9 Abs. 2 lit. i DSGVO gefordert, (selbst) hinreichend spezifische Maßnahmen vorsieht, ist zweifelhaft.299
197
Unternehmen ist vor diesem Hintergrund zu empfehlen, genau zu prüfen, ob eine geplante Datenverarbeitung eventuell auch auf eine andere Rechtsgrundlage gestützt werden kann. Ist dies nicht der Fall, sollten Unternehmen Datenverarbeitungen, die eine gewisse Relevanz aufweisen und auf diese Rechtsgrundlage gestützt werden sollen, – wenn möglich und praktisch durchführbar – mit den zuständigen Datenschutzaufsichtsbehörden abstimmen und in jedem Fall prüfen, ob in der Zwischenzeit relevante Rechtsprechung oder Hinweise der Datenschutzaufsichtsbehörden hierzu ergangen sind. Endgültige Klarheit wird in diesem Fall wahrscheinlich erst eine Entscheidung des EuGH bringen können.
hh) Verarbeitung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke (Art. 9 Abs. 2 lit. j DSGVO)300
198
Nach Art. 9 Abs. 2 lit. j DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten schließlich erlaubt, wenn diese für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 erforderlich ist. Voraussetzung ist wiederum, dass dies auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaates erfolgt, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht.
Nationale Regelungen in Deutschland
199
Der deutsche Gesetzgeber hat vor diesem Hintergrund in § 27 BDSG spezielle Regelungen zur Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken erlassen.301 Diese werden in Kap. 17 Rn. 321ff. ausführlich erläutert. In § 28 BDSG finden sich sodann besondere Vorgaben zur Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken.302
200
Ausführliche Erläuterungen zur Verarbeitung (besonderer Kategorien) personenbezogener Daten zu wissenschaftlichen Forschungszwecken finden sich in Kap. 17 Rn. 317ff.
ii) Erforderlichkeit der Datenverarbeitung
201
Unabhängig davon, auf welche Alternative des Art. 9 Abs. 2 DSGVO eine Datenverarbeitung gestützt wird (wohl i.V.m. Art. 6 Abs. 1 DSGVO),303 dürfen Daten nur insoweit verarbeitet werden, wie dies für den jeweiligen Zweck erforderlich ist. Mithin muss die Datenverarbeitung für den jeweils verfolgten Zweck objektiv geboten sein.304 Aufgrund der Sensibilität der Daten und der Natur von Art. 9 Abs. 2 DSGVO als Ausnahmevorschrift ist insoweit aber wohl ein tendenziell strengerer Maßstab anzulegen.305
jj) Besondere Anforderungen für die Verarbeitung genetischer oder biometrischer Daten und Gesundheitsdaten
202
Im Hinblick auf genetische oder biometrische Daten und Gesundheitsdaten ist stets zu beachten, dass die Mitgliedstaaten – zusätzlich