Anna-Lena Hoffmann

Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO


Скачать книгу

D’Afflitto, European Union Directive on Personal Privacy Rights and Computerized Information, Villanova Law Review (VLR) 1996, S. 305; Simitis/Hornung/Spieker gen. Döhmann, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Einleitung, Rn. 140. 41 Kosta, Consent in European Data Protection Law, 2013, S. 86 m.w.N. 42 D’Afflitto, VLR 1996, S. 309. 43 Simitis, NJW 1998, S. 2473. 44 Cannataci/Misfud Bonnici, LITRU 1995, S. 303. 45 Gola, Die Entwicklung des Datenschutzrechts im Jahre 1995/96, NJW 1996, S. 3312; Blume, EDPL 2015, S. 32ff. 46 Vgl. ErwG 60 DSRL; Kapitel 4 DSRL: „Übermittlung personenbezogener Daten in Drittländer“. 47 ErwG 60 DSRL, Kapitel 4 DSRL; Solove, A Brief History of Information Privacy Law, Proskauer on Privacy, PLI, 2006, S. 40. 48 Vgl. Art. 28 Abs. 1 DSRL; der Mitgliedstaat Deutschland hielt die in Art. 32 Abs. 1 DSRL gesetzte Umsetzungsfrist von drei Jahren nicht ein, vgl. Gramlich, Datenanalyse vs. Datenschutz – Was muss beachtet werden?, in: Keuper/Schomann/Sikora (Hrsg.), Homo Connectus, Einblicke in die Post-Solo-Ära des Kunden, 2018, S. 369. 49 Voss, Survey of Recent European Union Privacy Developments, The Business Lawyer 2012, S. 207; Simitis/Hornung/Spieker gen. Döhmann, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Einleitung, Rn. 144. 50 Die DSRL verwendet ab Art. 29 Abs. 1 den Begriff „Gruppe“; die Gruppe betitelte ihre Veröffentlichungen mit „Artikel 29-Datenschutzgruppe“. 51 Artikel-29-Datenschutzgruppe, Opinion on purpose limitation, WP 203, 2013; Stellungnahme zu Entwicklungen im Bereich biometrischer Technologien, WP 193, 2012; Arbeitspapier 01/2012 zu epSOS, WP 189, 2012; Stellungnahme zur Definition von Einwilligung, WP 187, 2011; Arbeitspapier Verarbeitung von Patientendaten in elektronischen Patientenakten (EPA), WP 131, 2007; Arbeitspapier über Biometrie, WP 80, 2003. 52 Vgl. Art. 288 Abs. 5 AEUV; Selmayr, in: Ehmann/Selmayr (Hrsg.), DS-GVO, 2. Aufl. 2018, Art. 68, Rn. 1. 53 Vgl. Buchner, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, 2. Aufl. 2018, Art. 68 Rn. 2, die sogar von der Ausbildung eines „soft law“ sprechen. 54 Vgl. EDSA, Artikel-29-Datenschutzgruppe (archivierte Dokumente), abrufbar unter https://edpb.europa.eu/our-work-tools/article-29-working-party_de (zuletzt abgerufen am 11.04.2021); Nguyen, in: Gola (Hrsg.), DS-GVO, 2. Aufl. 2018, Art. 68 Rn. 1. 55 Vgl. auch Über den EDSA, abrufbar unter https://edpb.europa.eu/about-edpb/aboutedpb_de (zuletzt abgerufen am 11.04.2021). 56 Selmayr, in: Ehmann/Selmayr (Hrsg.) DS-GVO, Art. 68, Rn. 1. 57 Vgl. Art. 70 DSGVO. 58 Vgl. Art. 65 DSGVO; dies wurde auch von der Artikel-29-Datenschutzgruppe ausdrücklich angeregt, vgl. Brief der Artikel-29-Datenschutzgruppe vom 25.09.2015 an Jan Philipp Albrecht, Proposition of Article 29 Working Party regarding the European Data Protection Board Internal Structure, S. 1. 59 Schantz/Wolff, Das neue DatenschutzR, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 9. 60 Schantz/Wolff, Das neue DatenschutzR, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 9. 61 Scheurer, Spielerisch Selbstbestimmt, Rechtskonforme Einwilligungserklärungen in Zeiten ubiquitärer Digitalisierung, 2019, S. 68. 62 Zuletzt EuGH, Urteil vom 16. Juli 2020, C-311/18, Facebook Ireland und Schrems, ECLI:EU:C:2020:559, mit der der vielgenutzte Transfermechanismus „Privacy Shield“ für die Übermittlung personenbezogener Daten in die USA für unwirksam erklärt wurde – eine Übergangsfrist oder Schonfrist wurde nicht gewährt. 63 EuGH, Urteil vom 6. November 2003, C-101/01, Lindqvist, EU:C:2003:596, Rn. 50. 64 EuGH, Urteil vom 6. November 2003, C-101/01, Lindqvist, EU:C:2003:596, Rn. 50; vgl. auch Bygrave/Tosoni, in: Kuner/Bygrave/Docksey (Hrsg.), The EU General Data Protection Regulation, 2020, S. 221. 65 EuG, Urteil vom 31. Mai 2005, T-105/03, Dionyssopoulou/Rat, ECLI:EU:T:2005:189, Rn. 33 (nur auf Französisch). In dem Fall enthielt ein Bericht über die Beschwerdeführerin, dass sie aufgrund „persönlicher Einschränkungen“ („constraintes personelles“) nicht uneingeschränkt alle Aufgaben ihres Dienstes durchführen könne, vgl. Rn. 3 des Urteils). 66 Schantz/Wolff, Das neue DatenschutzR, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 10. 67 Schantz/Wolff, Das neue DatenschutzR, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 10; EuGH, Urteil vom 6. November 2003, Lindqvist, C-101/01, EU:C:2003:596, Rn. 37; EuGH, Urteil vom 20. Mai 2003, C-465/00, Österreichischer Rundfunk u.a., ECLI:EU:C:2003:294, Rn. 42f.; EuGH, Urteil vom 16. Dezember 2008, C-524/06, Huber, ECLI:EU:C:2008:724, Rn. 51; EuGH, Urteil vom 7. Mai 2009, C-553/07, Rijkeboer, ECLI:EU:C:2009:293, Rn. 56. 68 Schantz/Wolff, Das neue DatenschutzR, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 10. 69 Die Vielzahl an Erwägungsgründen lässt darauf schließen, wie umstritten die Verordnung im Gesetzgebungsprozess war, vgl. hierzu Kühling/Martini, Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht?, EuZW 2016, S. 449. 70 So Hoeren, Leiter des Instituts für Informations-, Telekommunikations- und Medienrecht an der Universität Münster, auf dem Euroforum-Datenschutzkongress Berlin im Jahr 2016; vgl. Bericht von Krempel, Datenschutz-Grundverordnung als „größte Katastrophe des 21. Jahrhunderts“, 27. April 2016, Beitrag auf Heise Online, abrufbar unter https://heise.de/-3190299 (zuletzt abgerufen am 11.04.2021). 71 So die ehemalige Bundesdatenschutzbeauftragte Andrea Voßhoff, in: Datenschützer bewerten EU-Grundverordnung als „Meilenstein“, Beitrag auf Heise Online vom 21. April 2016, abrufbar unter http://www.heise.de/-3179872 (zuletzt abgerufen am 11.04.2021). 72 Auf internationaler Ebene wurden Beschreibungen wie „groundbreaking“, „global standard for privacy and data use“ oder „toughest online privacy rules in the world“ verwendet, vgl. m.w.N. Aidinlis, EuCML 2 020, S. 151. 73 Ein Startpunkt findet sich in: Mitteilung der Kommission an das Europäische Parlament und den Rat, Ein Raum der Freiheit, der Sicherheit und des Rechts im Dienste der Bürger, KOM(2009) 262 endg. vom 10. Juni 2009. Demnach soll das Leitmotiv des neuen Mehrjahresprogramms der Europäischen Union unter anderem die Rechte der Bürger fördern, beispielsweise durch einen wirksamen Datenschutz; vgl. S. 5, 9 sowie S. 33, wonach ein Handlungsschwerpunkt die Schaffung einer umfassenden Regelung zum Schutz personenbezogener Daten sein soll, „die für sämtliche Zuständigkeitsbereiche gleichermaßen gilt“. 74 Die EU-Kommission führte ihre erste öffentliche Konsultation von Juli bis Dezember 2009 durch, die zweite folgte von November 2010 bis Januar 2011, vgl. EU-Kommission, Mitteilung der der Kommission an das Europäische Parlament