Zur Datenschutzgrundverordnung (DS-GVO)

Unter den Begriff „Gesundheitsdaten“ fallen alle Daten, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Dies umfasst demnach auch Informationen, die etwa im Zuge der Anmeldung zur Erbringung von Gesundheitsdienstleistungen erhoben werden. Also bereits dann, wenn der Nutzer einen Besuchsgrund bei der Buchung eines Online-Arzt-Termins angibt oder Teile seines Heil- und Kostenplans übermitteln soll.

Da diese Daten höchstpersönlich sind und tiefgehende Rückschlüsse über eine Person zulassen, spricht das Datenschutzrecht bei Gesundheitsdaten von besonderen Daten. Sie unterliegen einem besonders hohen Schutz. Die Verarbeitung von besonderen Daten ist in Zukunft daher sogar grundsätzlich verboten bzw. nur unter strengen Voraussetzungen erlaubt. Ab dem 25. Mai 2018 ergeben sich diese Voraussetzungen aus den Vorschriften der Datenschutzgrundverordnung (DS-GVO).

Die DS-GVO

Bisher existierte kein einheitliches europäisches Datenschutzrecht, sondern nur eine Datenschutz-Richtlinie, die von den einzelnen Mitgliedstaaten der europäischen Union in nationale Gesetze umgesetzt werden musste. In Deutschland fand die Datenschutz-Richtlinie Einzug in das Bundesdatenschutzgesetz (BDSG) und Telemediengesetz (TMG). Durch die DS-GVO soll das Datenschutzrecht in der EU nunmehr harmonisiert werden. Die EU-Kommission erhofft sich dadurch einen einheitlichen Rahmen der den heutigen digitalen Anforderungen besser gerecht wird.

Zu diesem Zweck ist die DS-GVO am 24. Mai 2016 nach ihrer Veröffentlichung in Kraft getreten und gilt nach Ablauf einer zweijährigen Übergangsphase ab dem 25. Mai 2018 in allen Mitgliedstaaten der europäischen Union.

Systematik der DS-GVO

Die DS-GVO ist, wie bereits das Bundesdatenschutzgesetz, der Systematik nach ein Verbotsgesetz mit Erlaubnisvorbehalt (Art. 6 Abs. 1 DS-GVO).

Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten und ausnahmsweise nur dann erlaubt ist, wenn eine Rechtsvorschrift dies erlaubt oder der Betroffene in die Datenverarbeitung eingewilligt hat. Bei Gesundheitsdaten ist die DS-GVO aber sogar noch strenger. Denn nach Art. 9 Abs. 1 DS-GVO ist die Verarbeitung von Gesundheitsdaten grundsätzlich verboten bzw. nur dann erlaubt, wenn einer der in Art. 9 Abs. 2 DS-GVO katalogartig aufgeführten Erlaubnistatbestände vorliegt. Für Unternehmen in der Gesundheitsbranche sind dabei vor allem die Erlaubnistatbestände der Einwilligung des Betroffenen und die Zulässigkeit der Datenverarbeitung zum Zwecke der Gesundheitsvorsorge praxisrelevant.

Erlaubnistatbestand der Einwilligung

Soll die Verarbeitung von Gesundheitsdaten auf die Einwilligung des Betroffenen gestützt werden, sind hierfür die Voraussetzungen des Artikels 7 DS-GVO einzuhalten. Denn nach dieser Vorschrift muss die Einwilligung des Betroffenen absolut freiwillig und unter Beachtung des Kopplungsverbotes erklärt werden – sonst ist sie unwirksam. Das bedeutet etwa, dass der Bertoffene in der Lage sein muss, eine echte Wahl treffen zu können. Die Leistungserbringung darf daher nicht von der Erteilung einer Einwilligung abhängig gemacht werden, die für die Vertragserfüllung nicht erforderlich ist.

Das Koppelungsverbot würde etwa dann greifen und die Einwilligung unwirksam machen, wenn ein Nutzer, der seinen Heil- und Kostenplan hochladen möchte gleichzeitig in die Verarbeitung seiner Daten zum Versand von Newslettern einwilligen muss. Denn der Versand von Newslettern ist für die Vertragserfüllung – z.B. Vergleichsangebote für Zahnbehandlungen unterbreiten – nicht erforderlich. Ist die Einwilligung aber unwirksam, ist die Datenverarbeitung verboten und es drohen hohe Bußgelder.

Der Nutzer muss seine Einwilligung zudem in informierter Weise und in Kenntnis der Sachlage erteilt haben. Damit Einwilligungen wirksam über die Datenschutzerklärung erklärt werden können, muss diese über ein Opt-In zustimmungspflichtig sein. Denn die DS-GVO verlangt für eine wirksame Einwilligung eine eindeutig bestätigende Handlung des Nutzers. Ein Opt-Out oder stillschweigende Einwilligungen sind demnach auch in Zukunft nicht mit geltendem Datenschutzrecht vereinbar und daher unwirksam. Schließlich muss die Datenschutzerklärung auch in einer präzisen sowie verständlichen Sprache formuliert sein. Die Datenschutzerklärung sollte daher nicht unnötig lang sein und die einzelnen Sachverhalte der Datenverarbeitung für jedermann verständlich erläutern. Denkbar ist auch, dass die Datenschutzerklärung eines Angebots, dass sich speziell an ältere Kunden richtet, in einer ausreichend großen Schriftgröße zum Abruf bereitsteht.

Erlaubnistatbestand der Gesundheitsvorsorge

Aber auch ein gesetzlicher Erlaubnistatbestand kann die Verarbeitung von Gesundheitsdaten legitimieren. Also ohne, dass es einer Einwilligung des Betroffenen bedarf, wie etwa im Fall der Gesundheitsvorsorge. Hier ist es regelmäßig erforderlich, dass Gesundheitsdaten verarbeitet und auch zwischen verschiedenen Verantwortlichen ausgetauscht werden.

Etwa der Datenaustausch zwischen einer Arztpraxis und einem Labor. Für diesen Anwendungsfall liefert die DS-GVO einen gesetzlichen Erlaubnistatbestand, denn Krankheitsfälle müssen in einer bestimmten, sich wiederholenden Routine und jeweils mit dem Ziel optimaler Behandlung schnell bearbeitet werden. Der Patient muss seinem behandelnden Haus- oder Facharzt also keine Einwilligung erteilen, damit dieser seine Blutprobe zum Zweck der Gesundheitsvorsorge an das Labor übermitteln darf. Voraussetzung hierfür ist allerdings, dass alle Personen die im Rahmen dieses Vorgangs Gesundheitsdaten verarbeiten, einer beruflichen Schweigepflicht (z. B. ärztliche Schweigepflicht) unterliegen. Bei nicht-ärztlichem Personal muss eine nach anderen nationalen oder unionsrechtlichen Vorschriften geltende Geheimhaltungsvereinbarung getroffen werden, wie etwa über eine normativ wirkende Betriebsvereinbarung oder Regelungen der zuständigen Berufskammern. Eine einzelvertragliche Vereinbarung genügt hingegen nicht, denn dieser fehlt die Eigenschaft, eine nationale oder unionsrechtliche Vorschrift zu sein.

Der Datenschutzbeauftragte

Um sicher beurteilen zu können, ob einer der Erlaubnistatbeständen vorliegt und die Verarbeitung von Gesundheitsdaten dadurch wirksam legitimiert werden kann, empfiehlt es sich, einen externen Datenschutzbeauftragten hinzuziehen. Denn dieser besitzt die erforderliche Fachkenntnis um Sie bei der datenschutzrechtlichen Beurteilung der einzelnen Verarbeitungsvorgänge zu unterstützen.

Zudem beantwortet Ihr Datenschutzbeauftragter eingehende Datenschutzanfragen Ihrer Nutzer, Kooperationspartner und Aufsichtsbehörden, schult Ihre Mitarbeiter im Umgang mit personenbezogenen Daten und pflegt sowie aktualisiert die getroffenen Datenschutzmaßnahmen. Außerdem müssen Unternehmen, deren Kerntätigkeit die Verarbeitung von Gesundheitsdaten darstellt, ab dem 25. Mai 2018 zwingend einen Datenschutzbeauftragten bestellen – ganz unabhängig von der Anzahl der Mitarbeiter.

Fazit

Für viele Unternehmen aus der Gesundheitsbranche wird nur die wirksame Einwilligung des Nutzers die Verarbeitung von Gesundheitsdaten legitimieren können. An der wirksam gestalteten Einwilligungserklärung sollte daher kein Zweifel bestehen. Denn Verstöße gegen geltendes Datenschutzrecht werden in Zukunft noch teurer. Ab dem 25. Mai 2018 können die Aufsichtsbehörden Bußgelder von bis zu 20 Millionen Euro verhängen.

Über die Autoren:

Kemal und Christian sind zwei Wirtschaftsjuristen (Internationales Unternehmensrecht) aus Berlin und als externe Datenschutzbeauftragte für Startups tätig.

Kemal hat sich während seines Studiums und seiner beruflichen Laufbahn auf die Vertragsgestaltung spezialisiert und dabei umfangreiche Erfahrungen gesammelt. Er ist bei Webersohn & Scholtz der Experte wenn es um ADV-Verträge und die Übermittlung von Daten in das Ausland geht.

Christian hat sich im Verlauf seines Studiums auf das nationale und internationale Arbeitsrecht spezialisiert. Im Team von Webersohn & Scholtz ist Christian daher der Profi für die Umsetzung des Arbeitnehmerdatenschutzes und die Erstellung von Verfahrensverzeichnissen.

Bildquelle: privat / Businessfotographie Berlin