Datenschutz im Gesundheitswesen unter der Europäischen Datenschutz-Grundverordnung
BOOK
Cite BOOK
Style
Schrader, L. (2022). Datenschutz im Gesundheitswesen unter der Europäischen Datenschutz-Grundverordnung. Duncker & Humblot. https://doi.org/10.3790/978-3-428-58603-5
Schrader, Leonie Felicia. Datenschutz im Gesundheitswesen unter der Europäischen Datenschutz-Grundverordnung. Duncker & Humblot, 2022. Book. https://doi.org/10.3790/978-3-428-58603-5
Schrader, L (2022): Datenschutz im Gesundheitswesen unter der Europäischen Datenschutz-Grundverordnung, Duncker & Humblot, [online] https://doi.org/10.3790/978-3-428-58603-5
Format
Datenschutz im Gesundheitswesen unter der Europäischen Datenschutz-Grundverordnung
Abhandlungen zum Medizin- und Gesundheitsrecht, Vol. 2
(2022)
Additional Information
Book Details
Pricing
About The Author
Leonie Felicia Schrader studierte Rechtswissenschaften an der Christian-Albrechts-Universität zu Kiel mit dem Schwerpunkt Gesundheitsrecht. Von 2013 bis 2014 studierte sie an der Universität Stockholm schwedisches und europäisches Recht. Nach Abschluss der ersten juristischen Staatsprüfung promovierte sie zum Datenschutz im Gesundheitswesen und war promotionsbegleitend wissenschaftliche Mitarbeiterin in einer großen Wirtschaftskanzlei in Hamburg im Bereich Health Care. Nach einer Station als Rechtsreferendarin im Bezirk des Kammergerichts Berlin mit Stationen u.a. bei der Kassenärztlichen Bundesvereinigung ist sie seit September 2023 als Rechtsanwältin an der Schnittstelle zwischen Gesundheits- und Datenschutzrecht tätig.Abstract
Die Datenschutz-Grundverordnung (DSGVO) ist am 24.05.2016 in Kraft getreten und entfaltet nach einer Übergangszeit von zwei Jahren seit dem 25.05.2018 unmittelbare Geltung in allen Mitgliedstaaten der EU. Damit wurden die Inhalte des unionalen Datenschutzrechts von der Handlungsform einer Richtlinie in die einer Verordnung überführt. Durch die grundlegende Änderung der datenschutzrechtlichen Rahmenbedingungen und die Anpassung der nationalen Datenschutzregelungen an die neue Rechtslage erscheinen gerade im Bereich des Gesundheitswesens, in dem eine Vielzahl an sensiblen Daten verarbeitet wird, viele datenschutzrechtliche Fragestellungen in einem neuen Licht. Vor diesem Hintergrund untersucht die Arbeit die Auswirkungen der DSGVO auf das Gesundheitswesen, wobei neben Fragen zur Auslegung der neuen Vorschriften insbesondere auch auf das in dieser Form neue Zusammenspiel der DSGVO mit den zahlreichen nationalen Datenschutzregelungen im Gesundheits- und Sozialbereich eingegangen wird. Die Arbeit wurde mit dem Preis der Kieler Doctores Iuris ausgezeichnet.
Table of Contents
| Section Title | Page | Action | Price |
|---|---|---|---|
| Vorwort | 7 | ||
| Inhaltsverzeichnis | 9 | ||
| Abkürzungsverzeichnis | 22 | ||
| Einleitung und Gang der Untersuchung | 29 | ||
| A. Einführung in die Thematik | 29 | ||
| B. Fragestellung und Gang der Untersuchung | 34 | ||
| Kapitel 1: Vorüberlegungen und Begriffsbestimmungen | 37 | ||
| A. Die grundrechtliche Dimension des Datenschutzes | 37 | ||
| B. Europäische Regelungskompetenz für das Datenschutzrecht – auch im Gesundheitswesen | 39 | ||
| C. Zusammenspiel von DSGVO und nationalem Recht | 44 | ||
| I. Verhältnis der DSGVO zum nationalen Datenschutzrecht | 44 | ||
| 1. Unmittelbare Anwendbarkeit und Öffnungsklauseln der DSGVO | 45 | ||
| 2. Bindung an die Grundrechte bei Ausfüllung der Öffnungsklauseln | 49 | ||
| 3. Wiederholungen von Verordnungsrecht im mitgliedstaatlichen Recht | 50 | ||
| 4. Anpassung des mitgliedstaatlichen Rechts an die Vorgaben der DSGVO | 51 | ||
| a) Anpassung des allgemeinen Bundes- und Landesrechts | 52 | ||
| b) Anpassung des bereichsspezifischen Datenschutzrechts | 53 | ||
| c) Anpassung der kirchlichen Datenschutzregelungen | 54 | ||
| 5. Neue Arbeitsweise im mehrstufigen Normensystem | 55 | ||
| II. Regelungsstruktur des allgemeinen und bereichsspezifischen nationalen Datenschutzrechts | 56 | ||
| 1. Struktur des allgemeinen Datenschutzrechts | 57 | ||
| a) Öffentliche Stellen | 57 | ||
| aa) Öffentliche Stellen des Bundes | 58 | ||
| bb) Öffentliche Stellen der Länder | 59 | ||
| b) Nichtöffentliche Stellen | 60 | ||
| 2. Subsidiarität des allgemeinen Datenschutzrechts gegenüber den bereichsspezifischen Datenschutzregelungen | 63 | ||
| a) Bereichsspezifischer Gesundheitsdatenschutz des Bundes | 64 | ||
| b) Bereichsspezifischer Gesundheitsdatenschutz der Länder | 64 | ||
| 3. Verhältnis zwischen staatlichem und kirchlichem Datenschutzrecht | 66 | ||
| 4. Verhältnis von Datenschutz und ärztlicher Schweigepflicht | 68 | ||
| 5. Fazit | 71 | ||
| D. Klärung zentraler Begrifflichkeiten | 72 | ||
| I. Personenbezogene Daten im Kontext der Datenverarbeitung im Gesundheitswesen | 72 | ||
| 1. Die Auslegung des Begriffs des Personenbezugs | 74 | ||
| a) Theorien des absoluten und relativen Personenbezugs | 74 | ||
| b) Die Auslegung des Begriffs des Personenbezugs in der DSGVO | 75 | ||
| c) Das Urteil des EuGH zum Personenbezug von IP-Adressen | 78 | ||
| d) Schlussfolgerung für den Personenbezug unter der DSGVO | 81 | ||
| 2. Anonyme Daten | 82 | ||
| 3. Pseudonyme Daten | 85 | ||
| II. Gesundheitsdaten als besondere Kategorien personenbezogener Daten | 88 | ||
| 1. Unmittelbare Rückschlüsse auf den Gesundheitszustand | 90 | ||
| 2. Mittelbare Rückschlüsse auf den Gesundheitszustand | 91 | ||
| a) Nicht jede mittelbare Angabe über den Gesundheitszustand ausreichend | 91 | ||
| b) Kriterien zur Bestimmung einer mittelbaren Ableitbarkeit | 93 | ||
| aa) Auswertungsabsicht | 93 | ||
| bb) Verwendungszusammenhang | 93 | ||
| c) Zwischenergebnis | 95 | ||
| III. Der Begriff der Datenverarbeitung in der DSGVO | 95 | ||
| Kapitel 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten im Gesundheitswesen unter der DSGVO | 97 | ||
| A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten im Gesundheitswesen unter der DSGVO | 97 | ||
| I. Regelungsstruktur der Rechtsgrundlagen unter der DSGVO | 97 | ||
| II. Gesetzliche Legitimationsgrundlagen für die Verarbeitung von Daten im Gesundheitswesen | 100 | ||
| 1. Verhältnis des Art. 9 Abs. 2 DSGVO zu Art. 6 Abs. 1 bis 3 DSGVO | 100 | ||
| 2. Verarbeitung von Gesundheitsdaten zu Zwecken der Gesundheitsversorgung, Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO | 102 | ||
| a) Verarbeitungszwecke | 103 | ||
| aa) Medizinische Versorgung | 103 | ||
| bb) Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich | 104 | ||
| b) Wahrung der in Art. 9 Abs. 3 DSGVO genannten Bedingungen und Garantien | 105 | ||
| aa) Voraussetzungen des Art. 9 Abs. 3 DSGVO | 105 | ||
| (1) Verarbeitung durch Fachpersonal mit Berufsgeheimnis | 106 | ||
| (2) Verarbeitung durch eine andere Person mit Geheimhaltungspflicht | 107 | ||
| bb) Auswirkungen der Erweiterung auf sonstige mitwirkende Personen im Datenschutzrecht | 109 | ||
| cc) Art. 9 Abs. 3 DSGVO als notwendige Voraussetzung | 111 | ||
| c) Verarbeitung aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs oder auf der Grundlage des Rechts eines Mitgliedstaats | 112 | ||
| aa) Verarbeitung aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs | 112 | ||
| bb) Verarbeitung auf der Grundlage des Rechts eines Mitgliedstaats | 115 | ||
| (1) Umsetzung auf Bundesebene | 115 | ||
| (a) Verarbeitungszwecke | 116 | ||
| (b) Verarbeitung aufgrund eines Vertrags | 117 | ||
| (c) Personale Tatbestandsvoraussetzung | 118 | ||
| (d) Angemessene und spezifische Maßnahmen | 119 | ||
| (2) Umsetzung auf Landesebene | 120 | ||
| 3. Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, Art. 9 Abs. 2 lit. i DSGVO | 121 | ||
| a) Regelungsbereich des Art. 9 Abs. 2 lit. i DSGVO | 122 | ||
| b) Umsetzung im nationalen Recht | 123 | ||
| 4. Verarbeitung von Gesundheitsdaten zum Schutz lebenswichtiger Interessen, Art. 9 Abs. 2 lit. c DSGVO | 125 | ||
| 5. Verarbeitung von Gesundheitsdaten zu Zwecken der Wahrnehmung sozialrechtlicher Rechte und Pflichten, Art. 9 Abs. 2 lit. b DSGVO | 126 | ||
| 6. Zusätzliche Bedingungen für die Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 4 DSGVO | 127 | ||
| III. Verarbeitung von Gesundheitsdaten auf der Grundlage einer Einwilligung | 129 | ||
| 1. Wirksamkeitsvoraussetzungen der Einwilligung bei der Verarbeitung von Gesundheitsdaten im Gesundheitswesen | 131 | ||
| a) Freiwilligkeit | 131 | ||
| aa) Kopplungsverbot | 132 | ||
| bb) Freiwilligkeit bei einem Ungleichgewicht zwischen Verantwortlichem und betroffener Person | 134 | ||
| b) Informiertheit der betroffenen Person | 135 | ||
| c) Bestimmtheit der Einwilligung | 137 | ||
| d) Ausdrücklichkeit | 138 | ||
| e) Form | 139 | ||
| f) Einwilligungsfähigkeit | 141 | ||
| aa) Einwilligungsfähigkeit Minderjähriger | 142 | ||
| bb) Einwilligungsunfähigkeit Volljähriger | 146 | ||
| 2. Widerrufbarkeit der Einwilligung | 148 | ||
| 3. Rückausnahme in Art. 9 Abs. 2 lit. a Hs. 2 DSGVO | 149 | ||
| 4. Zwischenfazit | 151 | ||
| IV. Verhältnis der Erlaubnistatbestände zueinander | 152 | ||
| B. Die Zulässigkeit der Datenverarbeitung im Rahmen der Einbindung weiterer Personen oder Stellen im Gesundheitswesen | 157 | ||
| I. Weitergabe von Daten innerhalb der Einrichtung des Verantwortlichen | 158 | ||
| 1. Datenschutzrechtliche Betrachtung | 158 | ||
| 2. Strafrechtlicher Geheimnisschutz | 160 | ||
| II. Datenübertragung zwischen zwei getrennt Verantwortlichen | 162 | ||
| 1. Datenschutzrechtliche Betrachtung | 162 | ||
| 2. Strafrechtlicher Geheimnisschutz | 164 | ||
| III. Inanspruchnahme von Auftragsverarbeitern im Gesundheitswesen | 167 | ||
| 1. Privilegierung der Auftragsverarbeitung unter der DSGVO | 168 | ||
| a) Entfall der Privilegierung | 169 | ||
| b) Fortgeltung der Privilegierung | 170 | ||
| aa) Datenaustausch zwischen Verantwortlichem und Auftragsverarbeiter keine Übermittlung i. S. d. DSGVO | 170 | ||
| bb) Art. 28 DSGVO als Rechtfertigungsgrundlage für die Datenweitergabe | 170 | ||
| cc) Auftragsverarbeitung als einheitlicher Datenverarbeitungsvorgang | 171 | ||
| c) Stellungnahme | 171 | ||
| 2. Anforderungen an die Auftragsverarbeitung nach der DSGVO | 173 | ||
| 3. Datenschutz und Schweigepflicht im Hinblick auf die Auftragsverarbeitung | 174 | ||
| 4. Regelungen zur Auftragsverarbeitung im nationalen Recht | 176 | ||
| 5. Abgrenzung der Auftragsverarbeitung zur Datenübermittlung an einen eigenständigen Verantwortlichen | 178 | ||
| a) Weitergabe von Gesundheitsdaten an privatärztliche und gewerbliche Verrechnungsstellen | 179 | ||
| aa) Weitergabe von Gesundheitsdaten an privatärztliche Verrechnungsstellen | 179 | ||
| (1) Datenschutzrechtliche Beurteilung | 179 | ||
| (2) Strafrechtliche Beurteilung | 180 | ||
| bb) Weitergabe von Gesundheitsdaten an gewerbliche Verrechnungsstellen | 181 | ||
| (1) Datenschutzrechtliche Beurteilung | 181 | ||
| (2) Strafrechtliche Beurteilung | 184 | ||
| b) Externe Ärzte als eigenständige Verantwortliche | 186 | ||
| IV. Der Austausch von Daten zwischen gemeinsam Verantwortlichen i. S. d. Art. 26 DSGVO | 187 | ||
| C. Fazit Kapitel 2 | 192 | ||
| Kapitel 3: Sozialdatenschutz unter der DSGVO | 194 | ||
| A. Regelungssystematik des Sozialdatenschutzes unter der Rechtslage der DSGVO | 195 | ||
| I. Verhältnis der DSGVO zum SGB | 195 | ||
| II. Verhältnis des SGB zu den nationalen Datenschutzvorschriften | 197 | ||
| III. Systematik innerhalb des SGB | 198 | ||
| 1. Verhältnis der Regelungen des Sozialdatenschutzrechts im SGB I, V und X zueinander | 198 | ||
| 2. Gesetzliche Zulässigkeitstatbestände | 199 | ||
| 3. Die Einwilligung im GKV-System | 202 | ||
| a) Bedeutung der Einwilligung im Bereich der öffentlichen Datenverarbeitung | 202 | ||
| b) Konkretisierende Anforderungen an die Einwilligung im SGB X | 205 | ||
| c) Rechtsprechung des BSG zur Einwilligung der betroffenen Person in die Weitergabe ihrer Patientendaten an externe Dienstleister | 206 | ||
| d) Geltung der Grundsätze der Rechtsprechung des BSG unter der DSGVO | 208 | ||
| B. Bereichsspezifische Datenschutzregelungen im SGB V | 209 | ||
| I. Datenverarbeitung durch Krankenkassen und Kassenärztliche Vereinigungen | 210 | ||
| 1. Datenverarbeitung durch Krankenkassen | 210 | ||
| a) Erhebung und Speicherung von Sozialdaten | 210 | ||
| b) Weitergehende und zweckändernde Verarbeitung von Sozialdaten | 211 | ||
| 2. Datenverarbeitung durch die Kassenärztliche Vereinigung | 214 | ||
| II. Datenverarbeitung durch die Leistungserbringer | 216 | ||
| 1. Datenübermittlung zu Abrechnungszwecken | 216 | ||
| a) Die Übermittlung ärztlicher Leistungsdaten zu Abrechnungszwecken im Rahmen der Regelversorgung und in den neuen Versorgungsformen | 217 | ||
| aa) Abrechnung im Rahmen der Regelversorgung | 217 | ||
| bb) Abrechnung im Rahmen der neuen Versorgungsformen | 218 | ||
| b) Abrechnung der übrigen Leistungserbringer | 219 | ||
| c) Zulässigkeit der Übermittung von Gesundheitsdaten an private Abrechnungsstellen im System der gesetzlichen Krankenversicherung | 219 | ||
| 2. Datenverarbeitung zu Zwecken der Wirtschaftlichkeitsprüfung und der Qualitätssicherung | 222 | ||
| III. Fazit | 223 | ||
| C. Einordnung der novellierten Regelungen zur Telematikinfrastruktur des Gesundheitswesens und der elektronischen Patientenakte in das datenschutzrechtliche Regelungsgefüge | 224 | ||
| I. Regelungsüberblick | 225 | ||
| 1. Neue Strukturierung im SGB V | 225 | ||
| 2. Aufbau und Weiterentwicklung der Telematikinfrastruktur | 226 | ||
| 3. Anwendungen der Telematikinfrastruktur | 227 | ||
| 4. Rechtssystematische Einordnung | 228 | ||
| II. Vereinbarkeit mit der DSGVO | 229 | ||
| 1. Neuregelung der datenschutzrechtlichen Verantwortlichkeit für die Datenverarbeitung im Rahmen der Telematikinfrastruktur | 229 | ||
| a) Datenschutzrechtliche Verantwortlichkeiten gemäß § 307 SGB V | 230 | ||
| b) Rechtliche Bewertung | 233 | ||
| 2. Betroffenenrechte im Kontext der Verarbeitung von personenbezogenen Daten in der Telematikinfrastruktur | 237 | ||
| 3. Neufassung der Regelungen zur elektronischen Patientenakte | 238 | ||
| a) Vorboten der Weiterentwicklung der elektronischen Patientenakte | 238 | ||
| b) Die neuen Regelungen zur elektronischen Patientenakte | 239 | ||
| aa) Zulässigkeit der Datenverarbeitung durch die Krankenkassen und Leistungserbringer im Rahmen der elektronischen Patientenakte | 239 | ||
| bb) Abgestuftes Berechtigungsmanagement | 241 | ||
| (1) Die Umsetzungsstufen der elektronischen Patientenakte | 242 | ||
| (a) 1. Umsetzungsstufe seit dem 1. Januar 2021 | 242 | ||
| (b) 2. Umsetzungsstufe seit dem 1. Januar 2022 | 242 | ||
| (c) 3. Umsetzungsstufe ab dem 1. Januar 2023 | 243 | ||
| (2) Kritik an dem abgestuften Berechtigungsmanagement | 243 | ||
| cc) Datenschutzrechtliche Verantwortlichkeit für die elektronische Patientenakte | 247 | ||
| III. Fazit | 248 | ||
| Kapitel 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO | 249 | ||
| A. Systematik der Betroffenenrechte | 250 | ||
| I. Allgemeine Grundsätze und Verfahrensvorschriften | 250 | ||
| II. Einschränkungsmöglichkeiten | 251 | ||
| B. Informationspflichten, Art. 13 und 14 DSGVO | 251 | ||
| I. Modalitäten der Informationspflichten | 252 | ||
| 1. Die Informationspflichten nach Art. 13 DSGVO | 252 | ||
| a) Inhalt der Informationspflichten | 252 | ||
| b) Umfang der Informationserteilung | 254 | ||
| c) Zeitpunkt und Form der Informationserteilung | 255 | ||
| 2. Abweichende Angaben nach Art. 14 DSGVO | 257 | ||
| II. Unionsrechtliche Ausnahmen von den Informationspflichten | 258 | ||
| III. Einschränkung der Informationspflichten im mitgliedstaatlichen Recht | 258 | ||
| 1. Einschränkung der Informationspflichten nach dem BDSG n. F. | 259 | ||
| 2. Einschränkung der Informationspflichten nach dem SGB | 261 | ||
| 3. Einschränkung der Informationspflichten nach den LKHG | 262 | ||
| C. Die übrigen Betroffenenrechte der DSGVO | 262 | ||
| I. Auskunftsrecht, Art. 15 DSGVO | 262 | ||
| 1. Reichweite des Rechts auf Kopie | 263 | ||
| 2. Verhältnis zwischen Art. 15 DSGVO und § 630g BGB | 264 | ||
| a) Mögliche Kollision durch die Beschränkung aus therapeutischen Gründen | 266 | ||
| b) Kostentragungspflicht für die Erstkopie aus § 630g BGB | 267 | ||
| c) Unterscheidung bezüglich des rechtlichen Leistungsortes | 268 | ||
| d) Zwischenergebnis | 270 | ||
| 3. Einschränkungen des Auskunftsrechts im mitgliedstaatlichen Recht | 270 | ||
| a) Einschränkung des Auskunftsrechts nach dem BDSG n. F. | 270 | ||
| b) Einschränkung des Auskunftsrechts nach dem SGB | 272 | ||
| c) Einschränkung des Auskunftsrechts nach den LKHG | 274 | ||
| II. Recht auf Löschung, Art. 17 DSGVO | 274 | ||
| 1. Einschränkungen des Rechts auf Löschung in der DSGVO | 275 | ||
| a) Erfüllung rechtlicher Verpflichtungen | 275 | ||
| b) Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen | 276 | ||
| aa) Aufbewahrung der Behandlungsdokumentation zur Verteidigung gegen Rechtsansprüche | 276 | ||
| bb) Anforderungen an die Wahrscheinlichkeit der Geltendmachung von Rechtsansprüchen | 277 | ||
| c) Öffentliche Gesundheit | 278 | ||
| 2. Einschränkung des Rechts auf Löschung im mitgliedstaatlichen Recht | 279 | ||
| a) Einschränkung des Rechts auf Löschung nach dem BDSG n. F. | 279 | ||
| b) Spezifizierung der Pflicht zur Löschung im SGB V | 282 | ||
| c) Vorschriften zur Löschung von Patientendaten in den LKHG | 283 | ||
| 3. Urteil des Bundessozialgerichts zur Löschung des Lichtbildes für die Ausstellung der elektronischen Gesundheitskarte und die Reaktion des Gesetzgebers | 283 | ||
| a) Bundessozialgericht: Keine dauerhafte Speicherung des Lichtbildes | 283 | ||
| b) Befugnis zur Speicherung des Lichtbildes nach § 291a Abs. 6 S. 1 SGB V | 284 | ||
| III. Recht auf Datenübertragbarkeit, Art. 20 DSGVO | 285 | ||
| 1. Datenverarbeitung auf der Grundlage einer Einwilligung oder eines Vertrags | 286 | ||
| 2. Das Tatbestandsmerkmal „Bereitstellen“ im Bereich der medizinischen Datenverarbeitung | 287 | ||
| 3. Selbstständige Realisierung des Rechts auf Datenübertragbarkeit im Rahmen der Telematikinfrastruktur | 288 | ||
| IV. Recht auf Berichtigung, Art. 16 DSGVO | 289 | ||
| 1. Unrichtige personenbezogene Daten | 289 | ||
| 2. Einschränkung des Rechts auf Berichtigung | 290 | ||
| a) Einschränkungen des Berichtigungsanspruchs nach § 630f BGB | 290 | ||
| b) Der neue partielle Berichtigungsanspruch nach § 305 Abs. 1 S. 6 SGB V | 291 | ||
| D. Fazit Kapitel 4 | 294 | ||
| Kapitel 5: Die Datenschutzorganisation im Gesundheitswesen | 295 | ||
| A. Die Datenschutz-Folgenabschätzung im Gesundheitswesen | 296 | ||
| I. Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung | 297 | ||
| 1. Regelbeispiel „umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten“ | 298 | ||
| 2. Positivlisten der Datenschutzaufsichtsbehörden, Art. 35 Abs. 4 DSGVO | 300 | ||
| 3. Risikobewertung gemäß Art. 35 Abs. 1 S. 1 DSGVO | 301 | ||
| II. Anforderungen an die Durchführung einer Datenschutz-Folgenabschätzung | 304 | ||
| III. Konsultation der Aufsichtsbehörde | 305 | ||
| IV. Fazit | 306 | ||
| B. Die Pflicht zur Benennung eines Datenschutzbeauftragten im Gesundheitswesen | 307 | ||
| I. Pflicht zur Benennung eines Datenschutzbeauftragten | 307 | ||
| 1. Verpflichtende Benennung für öffentliche Stellen sowie bei umfangreicher Verarbeitung personenbezogener Daten als Kerntätigkeit, Art. 37 DSGVO | 308 | ||
| 2. Verpflichtende Benennung in Abhängigkeit von der Anzahl der Beschäftigten, § 38 Abs. 1 S. 1 BDSG n. F. | 312 | ||
| 3. Verpflichtende Benennung bei Verarbeitungen, die einer Datenschutz-Folgenabschätzung unterliegen, § 38 Abs. 1 S. 2 Var. 1 BDSG n. F. | 314 | ||
| 4. Bestimmungen zum Datenschutzbeauftragten in den Landeskrankenhausgesetzen | 315 | ||
| II. Fazit | 316 | ||
| Kapitel 6: Datenschutzrechtliche Anforderungen bei dem Einsatz von Gesundheits-Applikationen in der Gesundheitsversorgung | 317 | ||
| A. Überblick über die Einbindung von Gesundheits-Applikationen in die Gesundheitsversorgung | 318 | ||
| B. Datenschutzrechtliche Aspekte bei digitalen Gesundheitsanwendungen | 320 | ||
| I. Gesundheitsdaten in digitalen Gesundheitsanwendungen | 320 | ||
| II. Einordnung der datenschutzrechtlichen Verantwortlichkeit für digitale Gesundheitsanwendungen | 323 | ||
| 1. Gemeinsam Verantwortliche, Art. 26 DSGVO | 324 | ||
| a) Entscheidung über Zwecke und Mittel | 325 | ||
| b) Rechtsprechung des EuGH zur gemeinsamen Verantwortlichkeit | 327 | ||
| 2. Zwischenergebnis | 329 | ||
| III. Datenschutzrechtliche Legitimation der Verarbeitung personenbezogener Daten im Kontext digitaler Gesundheitsanwendungen | 330 | ||
| 1. Verarbeitung personenbezogener Daten durch den Hersteller | 330 | ||
| a) Zulässige Datenverarbeitung nach § 4 Abs. 2 DiGAV | 330 | ||
| b) Übermittlung von Gesundheitsdaten in Drittstaaten | 333 | ||
| aa) Zweistufige Zulässigkeitsprüfung | 333 | ||
| bb) Einschränkung der Drittstaatenübermittlung durch § 4 Abs. 3 DiGAV | 334 | ||
| cc) Angemessenheitsbeschlüsse und Ungültigkeit des „EU-US-Privacy Shield“ | 336 | ||
| dd) Informationspapier des BfArM zur Zulässigkeit der Datenverarbeitung außerhalb Deutschlands | 337 | ||
| ee) Verhältnis zwischen den Vorschriften des Kapitels V der DSGVO und Art. 3 Abs. 2 DSGVO | 337 | ||
| 2. Verarbeitung personenbezogener Daten durch die Krankenkassen | 339 | ||
| a) Datenverarbeitung bei der Prüfung der Leistungspflicht durch die Krankenkasse | 339 | ||
| b) Datenverarbeitung bei der Leistungsabwicklung durch die Krankenkassen | 340 | ||
| C. Gesundheits-Applikationen in Bonusprogrammen der gesetzlichen Krankenversicherung | 341 | ||
| I. Datenverarbeitung bei der Nutzung von Apps als Bestandteil von Bonusprogrammen | 341 | ||
| II. Zulässigkeit der Datenverarbeitung zu Zwecken der Bonusprogrammnutzung | 342 | ||
| D. Fazit Kapitel 6 | 344 | ||
| Kapitel 7: Datenschutz in der medizinischen Forschung unter der DSGVO | 347 | ||
| A. Grundrechtskonflikt im Rahmen der Forschung mit personenbezogenen Daten | 347 | ||
| B. Der Begriff der wissenschaftlichen Forschung in der DSGVO | 350 | ||
| C. Sonderregelungen für die wissenschaftliche Forschung hinsichtlich Zweckbindung und Speicherbegrenzung | 352 | ||
| I. Einschränkung des Zweckbindungsgrundsatzes | 352 | ||
| 1. Keine Prüfung der Vereinbarkeit von Primär- und Sekundärzweck bei der Weiterverarbeitung zu Forschungszwecken | 354 | ||
| 2. Erfordernis einer gesonderten Rechtsgrundlage für die zweckändernde Weiterverarbeitung zu Forschungszwecken | 356 | ||
| II. Privilegierung in Bezug auf die Speicherdauer | 359 | ||
| D. Anforderungen an die Verarbeitung personenbezogener Daten zu Forschungszwecken nach Art. 89 Abs. 1 DSGVO | 360 | ||
| E. Zulässigkeit der Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken | 363 | ||
| I. Datenverarbeitung zu Forschungszwecken auf der Grundlage einer Einwilligung | 363 | ||
| 1. Die Bestimmtheit der Einwilligung und die Zulässigkeit eines „Broad Consent“ unter der DSGVO | 364 | ||
| a) Standpunkte in Literatur und Praxis | 365 | ||
| b) Zusammenfassung und Stellungnahme | 369 | ||
| 2. Alternative Einwilligungsmodelle | 372 | ||
| II. Einwilligungsunabhängige Datenverarbeitung zu Forschungszwecken | 374 | ||
| 1. Normativer Ausgangspunkt: Art. 9 Abs. 2 lit. j DSGVO | 374 | ||
| 2. Systematik des nationalen Datenschutzrechts im Bereich der medizinischen Forschung | 375 | ||
| a) Staatliches Datenschutzrecht | 375 | ||
| aa) Regelungsstruktur des staatlichen Datenschutzrechts im Forschungsbereich | 375 | ||
| bb) Einordnung öffentlicher Forschungseinrichtungen als Wettbewerbseinrichtungen? | 377 | ||
| b) Kirchliches Datenschutzrecht | 380 | ||
| c) Zwischenergebnis | 381 | ||
| 3. Nationale Forschungsklauseln | 382 | ||
| a) Art. 9 Abs. 2 lit. j DSGVO i. V. m. § 27 BDSG n. F. | 382 | ||
| aa) Rechtsnatur des § 27 Abs. 1 S. 1 BDSG n. F. | 383 | ||
| bb) Interessenabwägung | 384 | ||
| cc) Angemessene und spezifische Maßnahmen und Garantien | 387 | ||
| dd) Anonymisierungs- und Trennungsgebot | 388 | ||
| b) Art. 9 Abs. 2 lit. j DSGVO i. V. m. den Landesforschungsklauseln | 389 | ||
| aa) Zweckbestimmung | 389 | ||
| bb) Erhebung und Weiterverarbeitung von Patientendaten zu Forschungszwecken | 390 | ||
| cc) Datenübermittlung | 394 | ||
| dd) Anonymisierungs- bzw. Pseudonymisierungsgebot | 395 | ||
| c) Kirchliche Datenschutzvorschriften für die Datenverarbeitung zu Forschungszwecken | 396 | ||
| 4. Entwicklungstendenzen im nationalen Recht | 397 | ||
| a) Bisherige Vorschläge für die Ausgestaltung bundesweit einheitlicher Forschungsregelungen | 399 | ||
| b) Einheitliche Anwendbarkeit der bundesrechtlichen Forschungsklausel nach § 287a S. 1 SGB V | 400 | ||
| F. Spezialgesetzliche Regeln für die Datenverarbeitung zu medizinischen Forschungszwecken im Arzneimittel- und Medizinprodukterecht sowie im Transplantationsgesetz | 403 | ||
| I. Klinische Prüfung von Arzneimitteln | 403 | ||
| 1. Datenschutzrechtliche Verantwortlichkeit im Rahmen klinischer Prüfungen | 404 | ||
| 2. Zulässigkeit der Datenverarbeitung im Rahmen klinischer Prüfungen von Arzneimitteln | 407 | ||
| a) Zusammenwirken von DSGVO und AMG n. F. | 408 | ||
| aa) Konkretisierung der Einwilligungsanforderungen im AMG n. F. | 409 | ||
| (1) Formanforderungen | 409 | ||
| (2) Informiertheit | 410 | ||
| (3) Widerruflichkeit | 410 | ||
| bb) Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen klinischer Prüfungen | 411 | ||
| b) Verhältnis der DSGVO zur VO (EU) 536/2014 | 412 | ||
| aa) Rechtsgrundlage für die Primärnutzung klinischer Daten | 412 | ||
| (1) Datenverarbeitung auf der Grundlage einer Einwilligung | 413 | ||
| (2) Einwilligungsunabhängige Datenverarbeitung | 415 | ||
| bb) Rechtsgrundlage für die Sekundärnutzung klinischer Daten | 416 | ||
| c) Zwischenfazit | 418 | ||
| II. Klinische Prüfung mit Medizinprodukten | 418 | ||
| 1. Rechtslage nach dem Geltungsbeginn der EU-Medizinprodukteverordnung | 419 | ||
| 2. Zulässigkeit der Datenverarbeitung im Rahmen klinischer Prüfungen mit Medizinprodukten unter der MDR | 420 | ||
| III. Datenverarbeitung zu Forschungszwecken nach dem Transplantationsgesetz | 421 | ||
| 1. Datenschutzrechtliche Voraussetzungen für die Forschung mit transplantationsmedizinischen Daten | 422 | ||
| 2. Datenübermittlung durch die Transplantationsregisterstelle zu Forschungszwecken | 424 | ||
| G. Forschung mit Sozialdaten unter der DSGVO | 425 | ||
| I. Überblick über die forschungsspezifischen Regelungen im SGB und ihre Systematik | 425 | ||
| II. Rechtsgrundlagen für die Verarbeitung von Sozialdaten zu Forschungszwecken | 427 | ||
| 1. Gesetzliche Rechtsgrundlage für die Datenverarbeitung zum Zweck der internen Forschung | 427 | ||
| 2. Gesetzliche Rechtsgrundlage für die Datenübermittlung zum Zweck der externen Forschung | 430 | ||
| a) Übermittlung von Sozialdaten für ein bestimmtes Forschungsvorhaben | 430 | ||
| b) Übermittlung von Sozialdaten für Folgeforschungsvorhaben | 432 | ||
| c) Übermittlung von Sozialdaten für inhaltlich zusammenhängende Forschungsvorhaben des gleichen Forschungsbereichs | 433 | ||
| d) Maßnahmen zur Wahrung der Interessen der betroffenen Person bei der Übermittlung besonderer Kategorien personenbezogener Daten | 434 | ||
| e) Besonderheiten bei der Übermittlung an nichtöffentliche Stellen | 434 | ||
| f) Verlängerte Speicherungsmöglichkeit | 435 | ||
| g) Verhältnis zur ärztlichen Schweigepflicht | 436 | ||
| 3. Einwilligungsbasierte Verarbeitung von Sozialdaten zu Forschungszwecken | 437 | ||
| III. Neufassung der Vorschriften zur Datentransparenz im SGB V durch das Digitale-Versorgung-Gesetz | 439 | ||
| 1. Einführung | 439 | ||
| 2. Das gesetzliche Verfahren der Datentransparenz | 440 | ||
| 3. Bewertung unter der Rechtslage der DSGVO | 443 | ||
| 4. Verhältnis der Datentransparenzvorschriften zu den sonstigen Forschungsregelungen im SGB | 446 | ||
| IV. Verarbeitung von Daten der elektronischen Patientenakte zu Forschungszwecken | 447 | ||
| 1. Datenfreigabe im Rahmen des Datentransparenzverfahrens | 449 | ||
| 2. Datenfreigabe auf der Grundlage einer informierten Einwilligung | 455 | ||
| H. Einschränkung der Betroffenenrechte für die Forschung | 456 | ||
| I. Einschränkung durch Vorgaben in der DSGVO | 457 | ||
| 1. Einschränkung der Informationspflichten | 457 | ||
| 2. Entfall des Rechts auf Löschung | 457 | ||
| 3. Forschungsbezogenes Widerspruchsrecht | 458 | ||
| II. Einschränkung durch Regelungen auf Bundesebene | 459 | ||
| III. Einschränkung durch Regelungen auf Landesebene | 462 | ||
| IV. Einschränkung durch Regelungen in den kirchlichen Datenschutzgesetzen | 462 | ||
| V. Betroffenenrechte in besonderen Verarbeitungssituationen | 463 | ||
| 1. Betroffenenrechte im System der Datentransparenzvorschriften | 463 | ||
| 2. Betroffenenrechte im Rahmen klinischer Prüfungen | 465 | ||
| I. Fazit Kapitel 7 | 467 | ||
| Schlussbetrachtungen | 470 | ||
| A. Zusammenfassung der zentralen Erkenntnisse der Untersuchung | 470 | ||
| I. Zulässigkeit der Datenverarbeitung im Gesundheitswesen unter der DSGVO | 470 | ||
| II. Sozialdatenschutz unter der DSGVO | 472 | ||
| III. Betroffenenrechte im Gesundheitswesen unter der DSGVO | 473 | ||
| IV. Datenschutzorganisation im Gesundheitswesen | 473 | ||
| V. Datenschutzrechtliche Anforderungen bei dem Einsatz von Gesundheits-Applikationen | 474 | ||
| VI. Datenschutz in der medizinischen Forschung unter der DSGVO | 475 | ||
| B. Fazit | 477 | ||
| Literaturverzeichnis | 480 | ||
| Dokumente von Institutionen sowie von nationalen Aufsichtsbehörden | 510 | ||
| Sachverzeichnis | 514 |