Читать книгу Praxishandbuch DSGVO - Tobias Rothkegel - Страница 103

189

Die relativ schwer verständliche Vorschrift des Art. 9 Abs. 2 lit. h DSGVO beinhaltet zwei voneinander zu unterscheidende Bestandteile: 1. eine direkte „gesetzliche“ Ausnahme vom Verarbeitungsverbot besonderer Kategorien personenbezogener Daten bzw. – je nachdem welcher Ansicht man folgt (siehe Rn. 170ff.) – eine Erlaubnis zur Verarbeitung solcher Daten sowie 2. eine Öffnungsklausel.

190

Die Öffnungsklausel gestattet es der EU und den EU-Mitgliedstaaten, die Verarbeitung besonderer Kategorien personenbezogener Daten zu erlauben bzw. Ausnahmen vom Verarbeitungsverbot gem. Art. 9 Abs. 1 DSGVO vorzusehen (je nachdem, welcher Ansicht gefolgt wird), soweit dies für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich ist.

191

Der zweite Bestandteil von Art. 9 Abs. 2 lit. h DSGVO – die direkte „gesetzliche“ Ausnahme bzw. Erlaubnis – sieht hingegen eine Ausnahme vom Verarbeitungsverbot nach Art. 9 Abs. 1 DSGVO vor bzw. gestattet die Verarbeitung besonderer Kategorien personenbezogener Daten, ohne dass es einer ergänzenden nationalen Vorschrift bedarf, wenn die Verarbeitung aufgrund eines Vertrages mit dem Angehörigen eines Gesundheitsberufes erforderlich ist.280 Umstritten ist in diesem Zusammenhang allerdings, ob Art. 9 Abs. 2 lit. h DSGVO darüber hinaus zusätzlich auch noch verlangt, dass die Datenverarbeitung (aufgrund eines Vertrages mit dem Angehörigen eines Gesundheitsberufes) zu einem in der Vorschrift genannten Zweck erfolgt (Gesundheitsvorsorge, Arbeitsmedizin, Beurteilung der Arbeitsfähigkeit des Beschäftigten, medizinische Diagnostik etc.).281 In diesem Fall würde der Vertrag als „Verarbeitungsgrundlage“ quasi neben die Vorschriften der Mitgliedstaaten bzw. der EU treten,282 die diese auf Basis der in Art. 9 Abs. 2 lit. h DSGVO enthaltenen Öffnungsklausel erlassen haben.283 Auch wenn nach hier vertretener Ansicht gute Argumente für ein solches „zusätzliches Erfordernis“ sprechen – insbesondere vor dem Hintergrund des Sinn und Zwecks dieser (Ausnahme-)Vorschrift sowie der Systematik der Norm –, wird dieser Streit in der Praxis wohl kaum eine Rolle spielen, da die Datenverarbeitung auf Basis eines solchen Vertrages wohl fast immer zu einem der in Art. 9 Abs. 2 lit. h DSGVO genannten Zwecke erfolgt. Im Anwendungsbereich des BDSG tritt die Bedeutung noch weiter zurück, da § 22 Abs. 1 Nr. 1 lit. b BDSG – zumindest nach dem Willen des Gesetzgebers – insoweit klarstellt, dass nur ein Behandlungsvertrag gem. § 630a ff. BGB zwischen einem Patienten und einem Angehörigen eines Gesundheitsberufs als Grundlage für die Datenverarbeitung taugt.284

192

In beiden Fällen – also unabhängig davon, ob die Daten auf Grundlage der Öffnungsklausel i.V.m. der jeweiligen nationalen/europarechtlichen Vorschrift oder auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO direkt verarbeitet werden – darf die Verarbeitung gem. Art. 9 Abs. 2 lit. h DSGVO nur durch die in Art. 9 Abs. 3 DSGVO genannten Personen, insbesondere Berufsgeheimnisträger, erfolgen.285

Nationale Regelungen in Deutschland

§ 22 Abs. 1 Nr. 1 lit. b BDSG: Verarbeitung „sensibler“ Daten im Kontext der Gesundheitsversorgung

193

Der deutsche Gesetzgeber hat vor diesem Hintergrund in § 22 Abs. 1 Nr. 1 lit. b BDSG spezielle Vorgaben für die Verarbeitung besonderer Kategorien personenbezogener Daten in diesem Zusammenhang erlassen.286 Demnach dürfen derartige Daten verarbeitet werden, wenn dies „zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung287 verarbeitet werden“. Möchte ein Verantwortlicher eine Datenverarbeitung auf diese Norm stützen, muss er nach Maßgabe von § 22 Abs. 2 BDSG angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorsehen.288 § 22 Abs. 1 Nr. 1 lit. b BDSG und § 22 Abs. 2 BDSG werden ausführlich in Kap. 17 Rn. 276ff. erläutert.

Praxishinweis

Der bundesdeutsche Gesetzgeber hat in § 22 Abs. 1 Nr. 1 lit b BDSG nicht nur die in Art. 9 Abs. 2 lit. h DSGVO enthaltene Öffnungsklausel ausgefüllt, sondern auch den zweiten Bestandteil von Art. 9 Abs. 2 lit. h DSGVO übernommen und geregelt, der die Verarbeitung besonderer Kategorien personenbezogener Daten eigentlich direkt und ohne eine ergänzende nationale Vorschrift erlaubt (wohl i.V.m. Art. 6 Abs. 1 DSGVO).289 Dabei hat er die Anforderungen weiter verschärft und in § 22 Abs. 2 BDSG festgelegt, dass bei der Verarbeitung besonderer Kategorien personenbezogener Daten auf Basis von § 22 Abs. 1 BDSG und damit auch von § 22 Abs. 1 Nr. 1 lit. b BDSG angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen sind.290 Die Ermächtigung hierzu folgt nach hier vertretener Ansicht nicht aus Art. 9 Abs. 2 lit. h DSGVO, da die für einige Verarbeitungszwecke in Art. 9 Abs. 2 lit. h DSGVO durchaus enthaltene Öffnungsklausel dem nationalen Gesetzgeber nach hiesigem Verständnis insoweit keine Regelungsbefugnis zuweist und im Hinblick auf den zweiten Bestandteil von Art. 9 Abs. 2 lit. h DSGVO – die direkte „gesetzliche“Ausnahme bzw. Erlaubnis – schon gar keine Öffnungsklausel in der Vorschrift enthalten ist. Auch aus Art. 9 Abs. 3 DSGVO kann nach hier vertretener Ansicht wohl keine entsprechende Ermächtigung abgeleitet werden.291

Der bundesdeutsche Gesetzgeber scheint diese zusätzliche Anforderung dann wohl auch auf die in Art. 9 Abs. 4 DSGVO enthaltene Öffnungsklausel zu stützen, nach der die EU-Mitgliedstaaten für die Verarbeitung von Gesundheitsdaten sowie von genetischen und biometrischen Daten zusätzliche Bedingungen und Einschränkungen vorsehen können.292 Zwar werden auf Basis von § 22 Abs. 1 Nr. 1 lit. b BDSG in der Regel nur solche Daten verarbeitet. Sollten im Ausnahmefall allerdings auch andere besondere Kategorien personenbezogener Daten verarbeitet werden, kann diese Öffnungsklausel keine Einschränkungen gegenüber Art. 9 Abs. 2 lit. h DSGVO rechtfertigen. Somit wäre § 22 Abs. 1 Nr. 1 lit. b, Abs. 2 BDSG entsprechend europarechtskonform auszulegen bzw. europarechtswidrig, wenn andere Kategorien personenbezogener Daten verarbeitet werden sollen.

Des Weiteren regelt § 22 Abs. 1 Nr. 1 lit. b BDSG in Bezug auf den Teil, für den in Art. 9 Abs. 2 lit. h DSGVO eigentlich eine direkte Ausnahme vom Verarbeitungsverbot bzw. eine direkte Erlaubnis enthalten ist (je nachdem, welcher Ansicht gefolgt wird),293 dass der Vertrag mit einem Angehörigen eines Gesundheitsberufs, aufgrund dessen die besonderen Kategorien personenbezogener Daten verarbeitet werden sollen, mit der betroffenen Person abgeschlossen worden sein muss.294 Im Wortlaut von Art. 9 Abs. 2 lit. h DSGVO ist diese Anforderung nicht ausdrücklich vorgesehen. An dieser Stelle könnte der Streit, ob die Anforderungen des Art. 6 Abs. 1 DSGVO zusätzlich zu den Anforderungen aus Art. 9 Abs. 2 DSGVO gelten, eine gewisse Rolle gespielt haben (siehe hierzu Rn. 170ff.). So erfordert auch Art. 6 Abs. 1 lit. b DSGVO, dass der Vertrag, zu dessen Erfüllung die personenbezogenen Daten verarbeitet werden, mit der betroffenen Person abgeschlossen wurde. Folgt man also – wie z.B. der bundesdeutsche Gesetzgeber und die deutschen Datenschutzaufsichtsbehörden – der Ansicht, dass die Anforderungen des Art. 6 Abs. 1 DSGVO zusätzlich zu den Anforderungen des Art. 9 Abs. 2 DSGVO zu erfüllen sind, würden § 22 Abs. 1 Nr. 1 lit. b BDSG und Art. 6 Abs. 1 lit. b DSGVO insoweit nun parallellaufen. Auf Basis des Wortlauts von Art. 9 Abs. 2 lit. h DSGVO wäre es hingegen zumindest möglich zu argumentieren, dass der Vertrag auch mit einer anderen Person geschlossen worden sein kann. Allerdings muss Art. 9 Abs. 2 lit. h DSGVO insoweit wohl einschränkend ausgelegt werden, weil Art. 9 Abs. 2 DSGVO das Schutzniveau gegenüber Art. 6 Abs. 1 DSGVO erhöhen und nicht absenken soll.295 Außerdem könnte die vorliegende Einschränkung – zumindest im Hinblick auf den Hauptanwendungsfall der Verarbeitung von Gesundheitsdaten (sowie von genetischen und biometrischen Daten) – ansonsten ggf. auch noch auf Art. 9 Abs. 4 DSGVO gestützt werden, auch wenn der Gesetzgeber in der Gesetzesbegründung zu § 22 Abs. 1 Nr. 1 lit. b BDSG hierfür eine andere Öffnungsklausel genannt hat.

Zur Vermeidung etwaiger Haftungsrisiken sollten Verantwortliche sowohl die Anforderungen des § 22 Abs. 2 BDSG einhalten (wenn sie die Datenverarbeitung auf § 22 Abs. 1 Nr. 1 lit. b BDSG stützen) als auch besondere Kategorien personenbezogener Daten auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO bzw. § 22 Abs. 1 Nr. 1 lit. b BDSG nur dann aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufs verarbeiten, wenn dieser mit der betroffenen Person abgeschlossen wurde.