Anna-Lena Hoffmann - Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO

Die Artikel-29-Datenschutzgruppe hat sich verschiedentlich zur Einwilligung, auch im medizinischen Kontext, geäußert.51 Damit hat sie Grundsteine für die Auslegung der Kriterien der Einwilligung gelegt. Die Datenschutzgruppe bestand gem. Art. 29 Abs. 2 DSRL aus je einem Vertreter der einzelnen Mitgliedstaaten, dem Europäischen Datenschutzbeauftragten und einem Vertreter der EU-Kommission. Die Stellungnahmen und Empfehlungen der Datenschutzgruppe waren nicht verbindlich.52

Die Stellungnahmen, Empfehlungen und Arbeitspapiere der Artikel-29-Datenschutzgruppe konnten jedoch einen wesentlichen Beitrag zur einheitlichen Anwendung der DSRL leisten.53

Seit Anwendbarkeit der DSGVO hat der Europäische Datenschutzausschuss (EDSA) als unabhängiges Organ der EU das Gremium als Nachfolger abgelöst54 und am 25. Mai 2018 gem. Art. 68 Abs. 1 DSGVO die Aufgabe übernommen, die einheitliche Anwendung der Datenschutzvorschriften zu fördern.55 Viele der Strukturen des EDSA ähneln denen des Vorgängerausschusses, allerdings haben einige Kompetenzerweiterungen stattgefunden.56 Obwohl der EDSA weiterhin ebenfalls hauptsächlich unverbindliche Stellungnahmen, Leitlinien und Empfehlungen ausarbeitet57, kann er nun in besonderen Situationen im Rahmen der sog. Streitbeilegung zwischen den europäischen Datenschutzaufsichtsbehörden verbindliche Beschlüsse erlassen.58

Eine der Entwicklungslinien im Europarecht ist die Rechtsprechung des EuGH.59 Das europäische Datenschutzrecht wird aufgrund seines jungen Alters allerdings von einer überschaubaren Menge an einschlägigen EuGH-Entscheidungen begleitet.60 Gleichwohl hat sich hat sich der Gerichtshof als „Bollwerk des Datenschutzes“61 positioniert; die Entscheidungen werden regelmäßig auch von den Tagesmedien aufgegriffen und sind von teilweise erheblicher Brisanz in der Praxis.62

Ein Bruchteil dieser Entscheidungen betrifft jedoch Gesundheitsdaten. Beispielsweise hat der EuGH im Fall Lindqvist 63 im Jahr 2003 entschieden, dass der Begriff der Gesundheitsdaten weit auszulegen ist und

„dass er sich auf alle Informationen bezieht, die die Gesundheit einer Person unter allen Aspekten — körperlichen wie psychischen — betreffen.“64

Die weite Auslegung wurde später durch das Gericht (EuG) dahingehend präzisiert, dass aus einer Beschreibung über eine „persönliche Einschränkung“ die Offenlegung von Gesundheitsdaten oder medizinischen Daten nicht hervorgeht.65 Daraus ist zu schließen, dass zumindest eine gewisse hinreichende Konkretisierung bei Gesundheitsdaten erforderlich ist.

Solange keine Urteile im Bereich des Gesundheitsdatenschutzes ergehen, die die neuen Regelungen der DSGVO interpretieren, muss auf die allgemeinen Auslegungsgrundsätze, mit denen der EuGH regelmäßig arbeitet, zurückgegriffen werden. Der EuGH orientiert sich bei der Auslegung von EU-Recht am Wortlaut der Norm und interpretiert diesen bei Unsicherheiten systematisch und teleologisch.66 Die teleologische Auslegung wiederum orientierte sich bisher an dem Spannungsfeld der Ziele der DSRL, dem freien Datenfluss im Binnenmarkt und dem Schutz der Rechte von Betroffenen.67 Bei widerstreitenden Interessen wurden die verschiedenen Grundrechtspositionen gegeneinander abgewogen.68

Die DSGVO trat nach einem politischen Prozess in Kraft, der fast zehn Jahre andauerte. Aus der DSRL mit 24 Artikeln und 72 Erwägungsgründen wurde eine Verordnung mit einem Umfang von 99 Artikeln und 173 Erwägungsgründen.69 Bereits vor ihrer Anwendbarkeit wurde sie die „größte Katastrophe des 21. Jahrhunderts“70 genannt oder als „Meilenstein und wichtiges Signal“71 bezeichnet.72 Ob sie sich als Jahrhundertwerk oder als gescheiterter Versuch herausstellt, bleibt abzuwarten, obwohl weder das eine noch das andere Extrem zu erwarten ist. Als Ergebnis von Kompromissen und Lobbyismus, liegt es doch – wie auch unter der DSRL – an den Mitgliedstaaten, die auf europäischer Ebene gemeinsam ausverhandelten, textgewordenen Vorsätze in die Praxis umzusetzen.

Bevor die DSGVO am 27. April 2016 in Kraft trat, war sie Gegenstand zahlreicher Verhandlungen und mehrerer Entwürfe. Das Streben nach einer umfassenden Überarbeitung des Rechtsrahmens für den Datenschutz lässt sich bis in das Jahr 2009 zurückverfolgen.73 Der Prozess zur Fortentwicklung der DSRL wurde bereits im Mai 2009 mit einer öffentlichen Konsultation durch die EU-Kommission eingeläutet.74 Es folgte unter anderem eine vergleichende Studie dazu, ob die DSRL weiterhin einen angemessenen Schutz personenbezogener Daten gewährleisten konnte, oder ob Änderungen erforderlich seien.75 Ziel war es, herauszufinden, ob die europäischen datenschutzrechtlichen Regelungen im Lichte der Digitalisierung, Technisierung und globalen Datenverarbeitungen einer Überarbeitung bedurften.76 Die Überarbeitung des Rechtsrahmens für Datenschutz war Teil des Stockholmer Programms für den Zeitraum 2010 bis 2014, das vom Europäischen Rat im Sommer 2009 gebilligt wurde.77

Die Untersuchungen der EU-Kommission mündeten Ende 2010 in die Mitteilung „Gesamtkonzept für den Datenschutz in der Europäischen Union“, in der Änderungsvorschläge der Datenschutzvorschriften angekündigt wurden.78 Nach Diskussionen und Studien zum Gesamtkonzept unterbreitete die EU-Kommission Ende 2012 ihren Vorschlag für eine neue Vorschrift, die „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“.79 Diese Verordnung sollte einen allgemeinen Rahmen für den Datenschutz in der EU schaffen.80 Gelingen sollte dies über das Instrument einer Verordnung, welche der Anwendung unterschiedlicher nationaler Datenschutzgesetze ein Ende setzen sollte.81 Die EU-Kommission verfolgte den Plan, das Gesetzgebungsverfahren hierfür bis Ende 2012 abzuschließen.82 Doch nie zuvor war ein Gesetzesvorhaben mit so vielen Änderungswünschen versehen und so breit debattiert.83 Das Verfahren nahm somit über vier Jahre Zeit in Anspruch, bis der Vorschlag der EU-Kommission in wesentlichen Punkten geändert wurde und die DSGVO in ihrer heutigen Fassung am 27. April 2016 angenommen wurde.84 Seit dem 25. Mai 2018 ist sie unmittelbar in allen Mitgliedstaaten anwendbar.85

Die Betitelung der DSGVO als Grundverordnung – wenn auch nur in der sog. „Kurzangabe des Gegenstands“86 – ist ein Novum. In der Datenbank der EU-Kommission ist keine vergleichbare Bezeichnung eines EU-Rechtsakts zu finden.87 Ursprünglich sollten zentrale Bestimmungen zwar dem Grunde nach in der Verordnung verankert werden, zusätzlich wollte die EU-Kommission jedoch über delegierte Rechts- und Durchführungsakte Konkretisierungen vornehmen.88 Die Bezeichnung als Grundverordnung ist angesichts der ca. 70 Öffnungsklauseln89 mit Spielräumen für nationale Gesetzgeber allerdings nach wie vor treffend und beschreibt die Verwässerung des typischen Verordnungscharakters.90

In ihrer Begründung führt die Europäische Kommission hierzu aus, dass die Verordnung zur Regelung des Datenschutzes in der EU am besten geeignet sei, da sie zur Rechtsvereinheitlichung beitrage, die Rechtssicherheit erhöhen und einen besseren Grundrechtsschutz bewirken werde.91 Hinsichtlich der Wahrung der Subsidiarität (vgl. Art. 5 Abs. 3 EUV) kam die EU-Kommission zum Ergebnis, dass die Mitgliedstaaten nicht allein in der Lage seien, die Ziele der Union zu verwirklichen.92

Die umfassende Rechteeinräumung im ursprünglichen Entwurf der EU-Kommission über delegierte Rechts- und Durchführungsakte führte hingegen zu Kritik mit Blick auf das Subsidiaritätsprinzip.93 Der deutsche Bundesrat erhob am 30. März 2012 eine Subsidiaritätsrüge, da er der Ansicht war, dass keine ausreichende Begründung für die Wahl der Verordnung vorliege.94 Auch die Bundesregierung wandte in ihrem zweiten Gesetzentwurf zur Anpassung des Datenschutzrechts an die DSGVO ein, dass in den Erwägungsgründen der DSGVO zwar das Ziel einer Vollharmonisierung enthalten sei, die DSGVO dieses Ziel jedoch nicht „vollumfänglich“ erreiche und stattessen einer Richtlinie gleiche.95