Die datenschutzrechtliche
Einwilligung im Gesundheitsbereich
unter der DSGVO
Unter besonderer Berücksichtigung der datenschutzrechtlichen
Vorgaben in Deutschland
Anna-Lena Hoffmann
Fachmedien Recht und Wirtschaft | dfv Mediengruppe | Frankfurt am Main
Dissertation
University of Rijeka, Faculty of Law
2021
Mentoren: | Prof. Dr. Gerald G. Sander, Hochschule für öffentliche Verwaltung und Finanzen, Ludwigsburg |
Assoc. Prof. Dr. Emilia Mišćenić, Universität Rijeka, Rechtswissenschaftliche Fakultät |
Diese Dissertation wurde am 26.02.2021 an der rechtswissenschaftlichen Fakultät der Universität Rijeka vor dem Verteidigungsausschuss der Universität Rijeka verteidigt, bestehend aus:
1. | Prof. Dr. Hannes Rösler (Universität Siegen) |
2. | Ass. Prof. Dr. Adrijana Martinovic (Universität Rijeka) |
3. | Prof. Dr. Damjan Mozina (Universität Ljubljana) |
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
ISBN: 978-3-8005-1799-2
© 2021 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main
www.ruw.de
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Druck: WIRmachenDRUCK GmbH, Backnang
Printed in Germany
Danksagung
Herzlich danken möchte ich meiner Doktormutter, Frau Assoc. Prof. Dr. Emilia Mišćenić, die mich während des Doktorarbeitsprogrammes in Rijeka und bei der Erstellung dieser Arbeit jederzeit unterstützt, motiviert, gefordert und gefördert hat und mir stets wertvolle Hilfestellungen gegeben hat.
Ferner danke ich meinem Doktorvater, Herr Prof. Dr. Gerald G. Sander, ohne den ich mich nicht für ein internationales Doktorarbeitsstudium beworben und somit mich prägende Erfahrungen und Bekanntschaften nicht gemacht hätte. Dankbar bin ich auch für die Unterstützung und Gespräche während des Verfassens meiner Arbeit und hilfreiches Feedback.
Hochachtung und meine Dankbarkeit möchte ich meiner ersten Doktormutter, Frau Prof. Dr. Nada Bodiroga-Vukobrat aussprechen, die den Fortgang meines Doktorstudiums leider nicht bis zum Abschluss begleiten konnte. Es war mir eine Ehre und Inspiration, sie kennengelernt zu haben.
Ewige Dankbarkeit gilt meiner Familie, meinen Eltern Eva-Maria und Bernd und meiner Schwester Helen, ohne deren Unterstützung – in jeder Hinsicht und Lebenslage – mein Doktorarbeitsprojekt niemals möglich gewesen wäre. Ihnen sei diese Arbeit gewidmet.
Ein ganz besonderer Dank gilt Felix, ohne den ich ein Promotionsstudium nicht angestrebt und trotz aller Begeisterung für das Thema und Freude am Schreiben nicht durchgestanden hätte. Für jederzeitige Unterstützung, Korrekturen und Anmerkungen gilt mein Dank auch Tobias.
Zuletzt bedanke ich mich bei meiner gewählten Familie, Fabienne und Janine, Thomas, David, Rike, Sophie, Laura, Delila und Clemens.
Stuttgart, im März 2021
Zusammenfassung
In diesem Werk werden Erfordernis und Anforderungen einer datenschutzrechtlichen wirksamen Einwilligung im Gesundheitsbereich unter der DSGVO untersucht. Die DSGVO versucht einen Spagat zwischen der Vereinheitlichung der datenschutzrechtlichen Vorschriften in allen Mitgliedstaaten auf Verordnungsniveau, aber mit einem generalistischen Ansatz bei der Formulierung der Artikel. Dies führt zwangsläufig zu Interpretationsschwierigkeiten und unklaren Regelungsreichweiten. Gerade in Bereichen der öffentlichen Gesundheit und in der privaten sowie öffentlichen Gesundheitsvorsorge und Behandlung, insbesondere bei der Verarbeitung Gesundheitsdaten und von genetischen Daten verbleiben bei den Mitgliedstaaten gestalterische Spielräume. Der Anwendungsvorrang des Unionsrechts im Verhältnis zu nationalem Recht bringt ein Nebeneinander von Normen, das Reibung erzeugen kann. Im Rahmen der neuen DSGVO-Gesetzgebung ist das Gefüge nicht leicht zu durchschauen.
Für die Verarbeitung von Gesundheitsdaten ist keinesfalls stets eine Einwilligung erforderlich. Wenn sie erforderlich wird – zum Beispiel bei der Gesundheitsdatenverarbeitung durch private Anbieter – sind die komplexen Anforderungen einzuhalten. Allein in der DSGVO finden sich mehr als zehn Kriterien für eine wirksame Einwilligung in die Verarbeitung von Gesundheitsdaten. Daneben stellt sich auf mitgliedstaatlicher Ebene die Frage, ob von der Öffnungsklausel in Art. 9 Abs. 4 DSGVO Gebrauch gemacht wurde. Ist dies zu bejahen muss festgestellt werden, welche zusätzlichen Bedingungen oder Beschränkungen gelten und inwiefern diese die europäischen Einwilligungskriterien beeinflussen.
Neben der Untersuchung der Einwilligungskriterien unter der DSGVO werden in dieser Arbeit besondere Gesetze im Gesundheitsdatenschutzrecht in Deutschland ins Auge gefasst. Dabei wird durchleuchtet, ob und inwiefern sich das nationale Recht in die Vorgaben der europäischen DSGVO einfügt.
A. Praktisches Problem und Ziel der Dissertation
Die Arbeit beschäftigt sich mit der Frage, welche Anforderungen die Datenschutz-Grundverordnung (DSGVO)1 an die datenschutzrechtliche Einwilligung für die Verarbeitung personenbezogener Daten im Gesundheitsbereich stellt. Die DSGVO hat mit ihrer Anwendbarkeit im Mai 2018 die zu dem Zeitpunkt dreiundzwanzig Jahre alte Datenschutz-Richtlinie (DSRL)2 abgelöst und sollte das europäische Datenschutzrechtsregime modernisieren.
Die Corona-Pandemie 2020 hat gezeigt, wie stark sich unsere Gesundheitsversorgung digitalisieren lässt und wie enorm der Bedarf an Gesundheitsdaten, Standortdaten, Kontaktlisten und Krankheitsverlaufsinformationen ist, um eine Pandemie zu bewältigen.3 Gesundheitsdaten spielen für die medizinische Forschung eine wichtige Rolle, beispielsweise um mit großen Datenmengen Algorithmen zu trainieren, die Ärztinnen und Ärzte bei Diagnosen unterstützen können.4 Währenddessen bewegt sich unsere alternde Gesellschaft weg von der Behandlung von Erkrankungen und stärker in Richtung Erhalt der Gesundheit und Gesundheitsvorsorge.5 Dabei werden unter anderem Smartphones, Apps, Uhren, Cloud-Datenbanken und Algorithmen mit Vitaldaten gefüttert, um den eigenen Körper zu optimieren.6 Weil der Gesundheitsbereich stark durch das Recht der Mitgliedstaaten geprägt ist, ist eine ergänzende Untersuchung der Einwilligung im Gesundheitsbereich in Deutschland unerlässlich.
1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 4. Mai 2016, S. 1–88, in der konsolidierten Fassung vom 23. Mai 2018, ABl. L 127, S. 2 (DSGVO). 2 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ABl. L 281 vom 23.11.1995, S. 31–50 in der konsolidierten Fassung vom 31. Oktober 2003, ABl. L