Menu Expand

Datenschutz im Gesundheitswesen unter der Europäischen Datenschutz-Grundverordnung

Cite BOOK

Style

Schrader, L. (2022). Datenschutz im Gesundheitswesen unter der Europäischen Datenschutz-Grundverordnung. Duncker & Humblot. https://doi.org/10.3790/978-3-428-58603-5
Schrader, Leonie Felicia. Datenschutz im Gesundheitswesen unter der Europäischen Datenschutz-Grundverordnung. Duncker & Humblot, 2022. Book. https://doi.org/10.3790/978-3-428-58603-5
Schrader, L (2022): Datenschutz im Gesundheitswesen unter der Europäischen Datenschutz-Grundverordnung, Duncker & Humblot, [online] https://doi.org/10.3790/978-3-428-58603-5

Format

Datenschutz im Gesundheitswesen unter der Europäischen Datenschutz-Grundverordnung

Schrader, Leonie Felicia

Abhandlungen zum Medizin- und Gesundheitsrecht, Vol. 2

(2022)

Additional Information

Book Details

Pricing

About The Author

Leonie Felicia Schrader studierte Rechtswissenschaften an der Christian-Albrechts-Universität zu Kiel mit dem Schwerpunkt Gesundheitsrecht. Von 2013 bis 2014 studierte sie an der Universität Stockholm schwedisches und europäisches Recht. Nach Abschluss der ersten juristischen Staatsprüfung promovierte sie zum Datenschutz im Gesundheitswesen und war promotionsbegleitend wissenschaftliche Mitarbeiterin in einer großen Wirtschaftskanzlei in Hamburg im Bereich Health Care. Nach einer Station als Rechtsreferendarin im Bezirk des Kammergerichts Berlin mit Stationen u.a. bei der Kassenärztlichen Bundesvereinigung ist sie seit September 2023 als Rechtsanwältin an der Schnittstelle zwischen Gesundheits- und Datenschutzrecht tätig.

Abstract

Die Datenschutz-Grundverordnung (DSGVO) ist am 24.05.2016 in Kraft getreten und entfaltet nach einer Übergangszeit von zwei Jahren seit dem 25.05.2018 unmittelbare Geltung in allen Mitgliedstaaten der EU. Damit wurden die Inhalte des unionalen Datenschutzrechts von der Handlungsform einer Richtlinie in die einer Verordnung überführt. Durch die grundlegende Änderung der datenschutzrechtlichen Rahmenbedingungen und die Anpassung der nationalen Datenschutzregelungen an die neue Rechtslage erscheinen gerade im Bereich des Gesundheitswesens, in dem eine Vielzahl an sensiblen Daten verarbeitet wird, viele datenschutzrechtliche Fragestellungen in einem neuen Licht. Vor diesem Hintergrund untersucht die Arbeit die Auswirkungen der DSGVO auf das Gesundheitswesen, wobei neben Fragen zur Auslegung der neuen Vorschriften insbesondere auch auf das in dieser Form neue Zusammenspiel der DSGVO mit den zahlreichen nationalen Datenschutzregelungen im Gesundheits- und Sozialbereich eingegangen wird.

Die Arbeit wurde mit dem Preis der Kieler Doctores Iuris ausgezeichnet.

»Data Protection in the Healthcare Sector under the European General Data Protection Regulation«: Due to the fundamental shift in the data protection framework initiated by the enforcement of the GDPR and the adaptation of respective national data protection regulations, there is an emerge of several new data protection implications - particularly in the data-rich healthcare sector. Against this backdrop, the dissertation examines the impact of the GDPR in the healthcare sector while shedding light on the interaction between the GDPR and the national data protection regulations within the healthcare sector.

Table of Contents

Section Title Page Action Price
Vorwort 7
Inhaltsverzeichnis 9
Abkürzungsverzeichnis 22
Einleitung und Gang der Untersuchung 29
A. Einführung in die Thematik 29
B. Fragestellung und Gang der Untersuchung 34
Kapitel 1: Vorüberlegungen und Begriffsbestimmungen 37
A. Die grundrechtliche Dimension des Datenschutzes 37
B. Europäische Regelungskompetenz für das Datenschutzrecht – auch im Gesundheitswesen 39
C. Zusammenspiel von DSGVO und nationalem Recht 44
I. Verhältnis der DSGVO zum nationalen Datenschutzrecht 44
1. Unmittelbare Anwendbarkeit und Öffnungsklauseln der DSGVO 45
2. Bindung an die Grundrechte bei Ausfüllung der Öffnungsklauseln 49
3. Wiederholungen von Verordnungsrecht im mitgliedstaatlichen Recht 50
4. Anpassung des mitgliedstaatlichen Rechts an die Vorgaben der DSGVO 51
a) Anpassung des allgemeinen Bundes- und Landesrechts 52
b) Anpassung des bereichsspezifischen Datenschutzrechts 53
c) Anpassung der kirchlichen Datenschutzregelungen 54
5. Neue Arbeitsweise im mehrstufigen Normensystem 55
II. Regelungsstruktur des allgemeinen und bereichsspezifischen nationalen Datenschutzrechts 56
1. Struktur des allgemeinen Datenschutzrechts 57
a) Öffentliche Stellen 57
aa) Öffentliche Stellen des Bundes 58
bb) Öffentliche Stellen der Länder 59
b) Nichtöffentliche Stellen 60
2. Subsidiarität des allgemeinen Datenschutzrechts gegenüber den bereichsspezifischen Datenschutzregelungen 63
a) Bereichsspezifischer Gesundheitsdatenschutz des Bundes 64
b) Bereichsspezifischer Gesundheitsdatenschutz der Länder 64
3. Verhältnis zwischen staatlichem und kirchlichem Datenschutzrecht 66
4. Verhältnis von Datenschutz und ärztlicher Schweigepflicht 68
5. Fazit 71
D. Klärung zentraler Begrifflichkeiten 72
I. Personenbezogene Daten im Kontext der Datenverarbeitung im Gesundheitswesen 72
1. Die Auslegung des Begriffs des Personenbezugs 74
a) Theorien des absoluten und relativen Personenbezugs 74
b) Die Auslegung des Begriffs des Personenbezugs in der DSGVO 75
c) Das Urteil des EuGH zum Personenbezug von IP-Adressen 78
d) Schlussfolgerung für den Personenbezug unter der DSGVO 81
2. Anonyme Daten 82
3. Pseudonyme Daten 85
II. Gesundheitsdaten als besondere Kategorien personenbezogener Daten 88
1. Unmittelbare Rückschlüsse auf den Gesundheitszustand 90
2. Mittelbare Rückschlüsse auf den Gesundheitszustand 91
a) Nicht jede mittelbare Angabe über den Gesundheitszustand ausreichend 91
b) Kriterien zur Bestimmung einer mittelbaren Ableitbarkeit 93
aa) Auswertungsabsicht 93
bb) Verwendungszusammenhang 93
c) Zwischenergebnis 95
III. Der Begriff der Datenverarbeitung in der DSGVO 95
Kapitel 2: Die Zulässigkeit der Verarbeitung von Gesundheitsdaten im Gesundheitswesen unter der DSGVO 97
A. Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten im Gesundheitswesen unter der DSGVO 97
I. Regelungsstruktur der Rechtsgrundlagen unter der DSGVO 97
II. Gesetzliche Legitimationsgrundlagen für die Verarbeitung von Daten im Gesundheitswesen 100
1. Verhältnis des Art. 9 Abs. 2 DSGVO zu Art. 6 Abs. 1 bis 3 DSGVO 100
2. Verarbeitung von Gesundheitsdaten zu Zwecken der Gesundheitsversorgung, Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO 102
a) Verarbeitungszwecke 103
aa) Medizinische Versorgung 103
bb) Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich 104
b) Wahrung der in Art. 9 Abs. 3 DSGVO genannten Bedingungen und Garantien 105
aa) Voraussetzungen des Art. 9 Abs. 3 DSGVO 105
(1) Verarbeitung durch Fachpersonal mit Berufsgeheimnis 106
(2) Verarbeitung durch eine andere Person mit Geheimhaltungspflicht 107
bb) Auswirkungen der Erweiterung auf sonstige mitwirkende Personen im Datenschutzrecht 109
cc) Art. 9 Abs. 3 DSGVO als notwendige Voraussetzung 111
c) Verarbeitung aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs oder auf der Grundlage des Rechts eines Mitgliedstaats 112
aa) Verarbeitung aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs 112
bb) Verarbeitung auf der Grundlage des Rechts eines Mitgliedstaats 115
(1) Umsetzung auf Bundesebene 115
(a) Verarbeitungszwecke 116
(b) Verarbeitung aufgrund eines Vertrags 117
(c) Personale Tatbestandsvoraussetzung 118
(d) Angemessene und spezifische Maßnahmen 119
(2) Umsetzung auf Landesebene 120
3. Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, Art. 9 Abs. 2 lit. i DSGVO 121
a) Regelungsbereich des Art. 9 Abs. 2 lit. i DSGVO 122
b) Umsetzung im nationalen Recht 123
4. Verarbeitung von Gesundheitsdaten zum Schutz lebenswichtiger Interessen, Art. 9 Abs. 2 lit. c DSGVO 125
5. Verarbeitung von Gesundheitsdaten zu Zwecken der Wahrnehmung sozialrechtlicher Rechte und Pflichten, Art. 9 Abs. 2 lit. b DSGVO 126
6. Zusätzliche Bedingungen für die Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 4 DSGVO 127
III. Verarbeitung von Gesundheitsdaten auf der Grundlage einer Einwilligung 129
1. Wirksamkeitsvoraussetzungen der Einwilligung bei der Verarbeitung von Gesundheitsdaten im Gesundheitswesen 131
a) Freiwilligkeit 131
aa) Kopplungsverbot 132
bb) Freiwilligkeit bei einem Ungleichgewicht zwischen Verantwortlichem und betroffener Person 134
b) Informiertheit der betroffenen Person 135
c) Bestimmtheit der Einwilligung 137
d) Ausdrücklichkeit 138
e) Form 139
f) Einwilligungsfähigkeit 141
aa) Einwilligungsfähigkeit Minderjähriger 142
bb) Einwilligungsunfähigkeit Volljähriger 146
2. Widerrufbarkeit der Einwilligung 148
3. Rückausnahme in Art. 9 Abs. 2 lit. a Hs. 2 DSGVO 149
4. Zwischenfazit 151
IV. Verhältnis der Erlaubnistatbestände zueinander 152
B. Die Zulässigkeit der Datenverarbeitung im Rahmen der Einbindung weiterer Personen oder Stellen im Gesundheitswesen 157
I. Weitergabe von Daten innerhalb der Einrichtung des Verantwortlichen 158
1. Datenschutzrechtliche Betrachtung 158
2. Strafrechtlicher Geheimnisschutz 160
II. Datenübertragung zwischen zwei getrennt Verantwortlichen 162
1. Datenschutzrechtliche Betrachtung 162
2. Strafrechtlicher Geheimnisschutz 164
III. Inanspruchnahme von Auftragsverarbeitern im Gesundheitswesen 167
1. Privilegierung der Auftragsverarbeitung unter der DSGVO 168
a) Entfall der Privilegierung 169
b) Fortgeltung der Privilegierung 170
aa) Datenaustausch zwischen Verantwortlichem und Auftragsverarbeiter keine Übermittlung i. S. d. DSGVO 170
bb) Art. 28 DSGVO als Rechtfertigungsgrundlage für die Datenweitergabe 170
cc) Auftragsverarbeitung als einheitlicher Datenverarbeitungsvorgang 171
c) Stellungnahme 171
2. Anforderungen an die Auftragsverarbeitung nach der DSGVO 173
3. Datenschutz und Schweigepflicht im Hinblick auf die Auftragsverarbeitung 174
4. Regelungen zur Auftragsverarbeitung im nationalen Recht 176
5. Abgrenzung der Auftragsverarbeitung zur Datenübermittlung an einen eigenständigen Verantwortlichen 178
a) Weitergabe von Gesundheitsdaten an privatärztliche und gewerbliche Verrechnungsstellen 179
aa) Weitergabe von Gesundheitsdaten an privatärztliche Verrechnungsstellen 179
(1) Datenschutzrechtliche Beurteilung 179
(2) Strafrechtliche Beurteilung 180
bb) Weitergabe von Gesundheitsdaten an gewerbliche Verrechnungsstellen 181
(1) Datenschutzrechtliche Beurteilung 181
(2) Strafrechtliche Beurteilung 184
b) Externe Ärzte als eigenständige Verantwortliche 186
IV. Der Austausch von Daten zwischen gemeinsam Verantwortlichen i. S. d. Art. 26 DSGVO 187
C. Fazit Kapitel 2 192
Kapitel 3: Sozialdatenschutz unter der DSGVO 194
A. Regelungssystematik des Sozialdatenschutzes unter der Rechtslage der DSGVO 195
I. Verhältnis der DSGVO zum SGB 195
II. Verhältnis des SGB zu den nationalen Datenschutzvorschriften 197
III. Systematik innerhalb des SGB 198
1. Verhältnis der Regelungen des Sozialdatenschutzrechts im SGB I, V und X zueinander 198
2. Gesetzliche Zulässigkeitstatbestände 199
3. Die Einwilligung im GKV-System 202
a) Bedeutung der Einwilligung im Bereich der öffentlichen Datenverarbeitung 202
b) Konkretisierende Anforderungen an die Einwilligung im SGB X 205
c) Rechtsprechung des BSG zur Einwilligung der betroffenen Person in die Weitergabe ihrer Patientendaten an externe Dienstleister 206
d) Geltung der Grundsätze der Rechtsprechung des BSG unter der DSGVO 208
B. Bereichsspezifische Datenschutzregelungen im SGB V 209
I. Datenverarbeitung durch Krankenkassen und Kassenärztliche Vereinigungen 210
1. Datenverarbeitung durch Krankenkassen 210
a) Erhebung und Speicherung von Sozialdaten 210
b) Weitergehende und zweckändernde Verarbeitung von Sozialdaten 211
2. Datenverarbeitung durch die Kassenärztliche Vereinigung 214
II. Datenverarbeitung durch die Leistungserbringer 216
1. Datenübermittlung zu Abrechnungszwecken 216
a) Die Übermittlung ärztlicher Leistungsdaten zu Abrechnungszwecken im Rahmen der Regelversorgung und in den neuen Versorgungsformen 217
aa) Abrechnung im Rahmen der Regelversorgung 217
bb) Abrechnung im Rahmen der neuen Versorgungsformen 218
b) Abrechnung der übrigen Leistungserbringer 219
c) Zulässigkeit der Übermittung von Gesundheitsdaten an private Abrechnungsstellen im System der gesetzlichen Krankenversicherung 219
2. Datenverarbeitung zu Zwecken der Wirtschaftlichkeitsprüfung und der Qualitätssicherung 222
III. Fazit 223
C. Einordnung der novellierten Regelungen zur Telematikinfrastruktur des Gesundheitswesens und der elektronischen Patientenakte in das datenschutzrechtliche Regelungsgefüge 224
I. Regelungsüberblick 225
1. Neue Strukturierung im SGB V 225
2. Aufbau und Weiterentwicklung der Telematikinfrastruktur 226
3. Anwendungen der Telematikinfrastruktur 227
4. Rechtssystematische Einordnung 228
II. Vereinbarkeit mit der DSGVO 229
1. Neuregelung der datenschutzrechtlichen Verantwortlichkeit für die Datenverarbeitung im Rahmen der Telematikinfrastruktur 229
a) Datenschutzrechtliche Verantwortlichkeiten gemäß § 307 SGB V 230
b) Rechtliche Bewertung 233
2. Betroffenenrechte im Kontext der Verarbeitung von personenbezogenen Daten in der Telematikinfrastruktur 237
3. Neufassung der Regelungen zur elektronischen Patientenakte 238
a) Vorboten der Weiterentwicklung der elektronischen Patientenakte 238
b) Die neuen Regelungen zur elektronischen Patientenakte 239
aa) Zulässigkeit der Datenverarbeitung durch die Krankenkassen und Leistungserbringer im Rahmen der elektronischen Patientenakte 239
bb) Abgestuftes Berechtigungsmanagement 241
(1) Die Umsetzungsstufen der elektronischen Patientenakte 242
(a) 1. Umsetzungsstufe seit dem 1. Januar 2021 242
(b) 2. Umsetzungsstufe seit dem 1. Januar 2022 242
(c) 3. Umsetzungsstufe ab dem 1. Januar 2023 243
(2) Kritik an dem abgestuften Berechtigungsmanagement 243
cc) Datenschutzrechtliche Verantwortlichkeit für die elektronische Patientenakte 247
III. Fazit 248
Kapitel 4: Die Betroffenenrechte im Gesundheitswesen unter der DSGVO 249
A. Systematik der Betroffenenrechte 250
I. Allgemeine Grundsätze und Verfahrensvorschriften 250
II. Einschränkungsmöglichkeiten 251
B. Informationspflichten, Art. 13 und 14 DSGVO 251
I. Modalitäten der Informationspflichten 252
1. Die Informationspflichten nach Art. 13 DSGVO 252
a) Inhalt der Informationspflichten 252
b) Umfang der Informationserteilung 254
c) Zeitpunkt und Form der Informationserteilung 255
2. Abweichende Angaben nach Art. 14 DSGVO 257
II. Unionsrechtliche Ausnahmen von den Informationspflichten 258
III. Einschränkung der Informationspflichten im mitgliedstaatlichen Recht 258
1. Einschränkung der Informationspflichten nach dem BDSG n. F. 259
2. Einschränkung der Informationspflichten nach dem SGB 261
3. Einschränkung der Informationspflichten nach den LKHG 262
C. Die übrigen Betroffenenrechte der DSGVO 262
I. Auskunftsrecht, Art. 15 DSGVO 262
1. Reichweite des Rechts auf Kopie 263
2. Verhältnis zwischen Art. 15 DSGVO und § 630g BGB 264
a) Mögliche Kollision durch die Beschränkung aus therapeutischen Gründen 266
b) Kostentragungspflicht für die Erstkopie aus § 630g BGB 267
c) Unterscheidung bezüglich des rechtlichen Leistungsortes 268
d) Zwischenergebnis 270
3. Einschränkungen des Auskunftsrechts im mitgliedstaatlichen Recht 270
a) Einschränkung des Auskunftsrechts nach dem BDSG n. F. 270
b) Einschränkung des Auskunftsrechts nach dem SGB 272
c) Einschränkung des Auskunftsrechts nach den LKHG 274
II. Recht auf Löschung, Art. 17 DSGVO 274
1. Einschränkungen des Rechts auf Löschung in der DSGVO 275
a) Erfüllung rechtlicher Verpflichtungen 275
b) Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen 276
aa) Aufbewahrung der Behandlungsdokumentation zur Verteidigung gegen Rechtsansprüche 276
bb) Anforderungen an die Wahrscheinlichkeit der Geltendmachung von Rechtsansprüchen 277
c) Öffentliche Gesundheit 278
2. Einschränkung des Rechts auf Löschung im mitgliedstaatlichen Recht 279
a) Einschränkung des Rechts auf Löschung nach dem BDSG n. F. 279
b) Spezifizierung der Pflicht zur Löschung im SGB V 282
c) Vorschriften zur Löschung von Patientendaten in den LKHG 283
3. Urteil des Bundessozialgerichts zur Löschung des Lichtbildes für die Ausstellung der elektronischen Gesundheitskarte und die Reaktion des Gesetzgebers 283
a) Bundessozialgericht: Keine dauerhafte Speicherung des Lichtbildes 283
b) Befugnis zur Speicherung des Lichtbildes nach § 291a Abs. 6 S. 1 SGB V 284
III. Recht auf Datenübertragbarkeit, Art. 20 DSGVO 285
1. Datenverarbeitung auf der Grundlage einer Einwilligung oder eines Vertrags 286
2. Das Tatbestandsmerkmal „Bereitstellen“ im Bereich der medizinischen Datenverarbeitung 287
3. Selbstständige Realisierung des Rechts auf Datenübertragbarkeit im Rahmen der Telematikinfrastruktur 288
IV. Recht auf Berichtigung, Art. 16 DSGVO 289
1. Unrichtige personenbezogene Daten 289
2. Einschränkung des Rechts auf Berichtigung 290
a) Einschränkungen des Berichtigungsanspruchs nach § 630f BGB 290
b) Der neue partielle Berichtigungsanspruch nach § 305 Abs. 1 S. 6 SGB V 291
D. Fazit Kapitel 4 294
Kapitel 5: Die Datenschutzorganisation im Gesundheitswesen 295
A. Die Datenschutz-Folgenabschätzung im Gesundheitswesen 296
I. Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung 297
1. Regelbeispiel „umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten“ 298
2. Positivlisten der Datenschutzaufsichtsbehörden, Art. 35 Abs. 4 DSGVO 300
3. Risikobewertung gemäß Art. 35 Abs. 1 S. 1 DSGVO 301
II. Anforderungen an die Durchführung einer Datenschutz-Folgenabschätzung 304
III. Konsultation der Aufsichtsbehörde 305
IV. Fazit 306
B. Die Pflicht zur Benennung eines Datenschutzbeauftragten im Gesundheitswesen 307
I. Pflicht zur Benennung eines Datenschutzbeauftragten 307
1. Verpflichtende Benennung für öffentliche Stellen sowie bei umfangreicher Verarbeitung personenbezogener Daten als Kerntätigkeit, Art. 37 DSGVO 308
2. Verpflichtende Benennung in Abhängigkeit von der Anzahl der Beschäftigten, § 38 Abs. 1 S. 1 BDSG n. F. 312
3. Verpflichtende Benennung bei Verarbeitungen, die einer Datenschutz-Folgenabschätzung unterliegen, § 38 Abs. 1 S. 2 Var. 1 BDSG n. F. 314
4. Bestimmungen zum Datenschutzbeauftragten in den Landeskrankenhausgesetzen 315
II. Fazit 316
Kapitel 6: Datenschutzrechtliche Anforderungen bei dem Einsatz von Gesundheits-Applikationen in der Gesundheitsversorgung 317
A. Überblick über die Einbindung von Gesundheits-Applikationen in die Gesundheitsversorgung 318
B. Datenschutzrechtliche Aspekte bei digitalen Gesundheitsanwendungen 320
I. Gesundheitsdaten in digitalen Gesundheitsanwendungen 320
II. Einordnung der datenschutzrechtlichen Verantwortlichkeit für digitale Gesundheitsanwendungen 323
1. Gemeinsam Verantwortliche, Art. 26 DSGVO 324
a) Entscheidung über Zwecke und Mittel 325
b) Rechtsprechung des EuGH zur gemeinsamen Verantwortlichkeit 327
2. Zwischenergebnis 329
III. Datenschutzrechtliche Legitimation der Verarbeitung personenbezogener Daten im Kontext digitaler Gesundheitsanwendungen 330
1. Verarbeitung personenbezogener Daten durch den Hersteller 330
a) Zulässige Datenverarbeitung nach § 4 Abs. 2 DiGAV 330
b) Übermittlung von Gesundheitsdaten in Drittstaaten 333
aa) Zweistufige Zulässigkeitsprüfung 333
bb) Einschränkung der Drittstaatenübermittlung durch § 4 Abs. 3 DiGAV 334
cc) Angemessenheitsbeschlüsse und Ungültigkeit des „EU-US-Privacy Shield“ 336
dd) Informationspapier des BfArM zur Zulässigkeit der Datenverarbeitung außerhalb Deutschlands 337
ee) Verhältnis zwischen den Vorschriften des Kapitels V der DSGVO und Art. 3 Abs. 2 DSGVO 337
2. Verarbeitung personenbezogener Daten durch die Krankenkassen 339
a) Datenverarbeitung bei der Prüfung der Leistungspflicht durch die Krankenkasse 339
b) Datenverarbeitung bei der Leistungsabwicklung durch die Krankenkassen 340
C. Gesundheits-Applikationen in Bonusprogrammen der gesetzlichen Krankenversicherung 341
I. Datenverarbeitung bei der Nutzung von Apps als Bestandteil von Bonusprogrammen 341
II. Zulässigkeit der Datenverarbeitung zu Zwecken der Bonusprogrammnutzung 342
D. Fazit Kapitel 6 344
Kapitel 7: Datenschutz in der medizinischen Forschung unter der DSGVO 347
A. Grundrechtskonflikt im Rahmen der Forschung mit personenbezogenen Daten 347
B. Der Begriff der wissenschaftlichen Forschung in der DSGVO 350
C. Sonderregelungen für die wissenschaftliche Forschung hinsichtlich Zweckbindung und Speicherbegrenzung 352
I. Einschränkung des Zweckbindungsgrundsatzes 352
1. Keine Prüfung der Vereinbarkeit von Primär- und Sekundärzweck bei der Weiterverarbeitung zu Forschungszwecken 354
2. Erfordernis einer gesonderten Rechtsgrundlage für die zweckändernde Weiterverarbeitung zu Forschungszwecken 356
II. Privilegierung in Bezug auf die Speicherdauer 359
D. Anforderungen an die Verarbeitung personenbezogener Daten zu Forschungszwecken nach Art. 89 Abs. 1 DSGVO 360
E. Zulässigkeit der Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken 363
I. Datenverarbeitung zu Forschungszwecken auf der Grundlage einer Einwilligung 363
1. Die Bestimmtheit der Einwilligung und die Zulässigkeit eines „Broad Consent“ unter der DSGVO 364
a) Standpunkte in Literatur und Praxis 365
b) Zusammenfassung und Stellungnahme 369
2. Alternative Einwilligungsmodelle 372
II. Einwilligungsunabhängige Datenverarbeitung zu Forschungszwecken 374
1. Normativer Ausgangspunkt: Art. 9 Abs. 2 lit. j DSGVO 374
2. Systematik des nationalen Datenschutzrechts im Bereich der medizinischen Forschung 375
a) Staatliches Datenschutzrecht 375
aa) Regelungsstruktur des staatlichen Datenschutzrechts im Forschungsbereich 375
bb) Einordnung öffentlicher Forschungseinrichtungen als Wettbewerbseinrichtungen? 377
b) Kirchliches Datenschutzrecht 380
c) Zwischenergebnis 381
3. Nationale Forschungsklauseln 382
a) Art. 9 Abs. 2 lit. j DSGVO i. V. m. § 27 BDSG n. F. 382
aa) Rechtsnatur des § 27 Abs. 1 S. 1 BDSG n. F. 383
bb) Interessenabwägung 384
cc) Angemessene und spezifische Maßnahmen und Garantien 387
dd) Anonymisierungs- und Trennungsgebot 388
b) Art. 9 Abs. 2 lit. j DSGVO i. V. m. den Landesforschungsklauseln 389
aa) Zweckbestimmung 389
bb) Erhebung und Weiterverarbeitung von Patientendaten zu Forschungszwecken 390
cc) Datenübermittlung 394
dd) Anonymisierungs- bzw. Pseudonymisierungsgebot 395
c) Kirchliche Datenschutzvorschriften für die Datenverarbeitung zu Forschungszwecken 396
4. Entwicklungstendenzen im nationalen Recht 397
a) Bisherige Vorschläge für die Ausgestaltung bundesweit einheitlicher Forschungsregelungen 399
b) Einheitliche Anwendbarkeit der bundesrechtlichen Forschungsklausel nach § 287a S. 1 SGB V 400
F. Spezialgesetzliche Regeln für die Datenverarbeitung zu medizinischen Forschungszwecken im Arzneimittel- und Medizinprodukterecht sowie im Transplantationsgesetz 403
I. Klinische Prüfung von Arzneimitteln 403
1. Datenschutzrechtliche Verantwortlichkeit im Rahmen klinischer Prüfungen 404
2. Zulässigkeit der Datenverarbeitung im Rahmen klinischer Prüfungen von Arzneimitteln 407
a) Zusammenwirken von DSGVO und AMG n. F. 408
aa) Konkretisierung der Einwilligungsanforderungen im AMG n. F. 409
(1) Formanforderungen 409
(2) Informiertheit 410
(3) Widerruflichkeit 410
bb) Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen klinischer Prüfungen 411
b) Verhältnis der DSGVO zur VO (EU) 536/2014 412
aa) Rechtsgrundlage für die Primärnutzung klinischer Daten 412
(1) Datenverarbeitung auf der Grundlage einer Einwilligung 413
(2) Einwilligungsunabhängige Datenverarbeitung 415
bb) Rechtsgrundlage für die Sekundärnutzung klinischer Daten 416
c) Zwischenfazit 418
II. Klinische Prüfung mit Medizinprodukten 418
1. Rechtslage nach dem Geltungsbeginn der EU-Medizinprodukteverordnung 419
2. Zulässigkeit der Datenverarbeitung im Rahmen klinischer Prüfungen mit Medizinprodukten unter der MDR 420
III. Datenverarbeitung zu Forschungszwecken nach dem Transplantationsgesetz 421
1. Datenschutzrechtliche Voraussetzungen für die Forschung mit transplantationsmedizinischen Daten 422
2. Datenübermittlung durch die Transplantationsregisterstelle zu Forschungszwecken 424
G. Forschung mit Sozialdaten unter der DSGVO 425
I. Überblick über die forschungsspezifischen Regelungen im SGB und ihre Systematik 425
II. Rechtsgrundlagen für die Verarbeitung von Sozialdaten zu Forschungszwecken 427
1. Gesetzliche Rechtsgrundlage für die Datenverarbeitung zum Zweck der internen Forschung 427
2. Gesetzliche Rechtsgrundlage für die Datenübermittlung zum Zweck der externen Forschung 430
a) Übermittlung von Sozialdaten für ein bestimmtes Forschungsvorhaben 430
b) Übermittlung von Sozialdaten für Folgeforschungsvorhaben 432
c) Übermittlung von Sozialdaten für inhaltlich zusammenhängende Forschungsvorhaben des gleichen Forschungsbereichs 433
d) Maßnahmen zur Wahrung der Interessen der betroffenen Person bei der Übermittlung besonderer Kategorien personenbezogener Daten 434
e) Besonderheiten bei der Übermittlung an nichtöffentliche Stellen 434
f) Verlängerte Speicherungsmöglichkeit 435
g) Verhältnis zur ärztlichen Schweigepflicht 436
3. Einwilligungsbasierte Verarbeitung von Sozialdaten zu Forschungszwecken 437
III. Neufassung der Vorschriften zur Datentransparenz im SGB V durch das Digitale-Versorgung-Gesetz 439
1. Einführung 439
2. Das gesetzliche Verfahren der Datentransparenz 440
3. Bewertung unter der Rechtslage der DSGVO 443
4. Verhältnis der Datentransparenzvorschriften zu den sonstigen Forschungsregelungen im SGB 446
IV. Verarbeitung von Daten der elektronischen Patientenakte zu Forschungszwecken 447
1. Datenfreigabe im Rahmen des Datentransparenzverfahrens 449
2. Datenfreigabe auf der Grundlage einer informierten Einwilligung 455
H. Einschränkung der Betroffenenrechte für die Forschung 456
I. Einschränkung durch Vorgaben in der DSGVO 457
1. Einschränkung der Informationspflichten 457
2. Entfall des Rechts auf Löschung 457
3. Forschungsbezogenes Widerspruchsrecht 458
II. Einschränkung durch Regelungen auf Bundesebene 459
III. Einschränkung durch Regelungen auf Landesebene 462
IV. Einschränkung durch Regelungen in den kirchlichen Datenschutzgesetzen 462
V. Betroffenenrechte in besonderen Verarbeitungssituationen 463
1. Betroffenenrechte im System der Datentransparenzvorschriften 463
2. Betroffenenrechte im Rahmen klinischer Prüfungen 465
I. Fazit Kapitel 7 467
Schlussbetrachtungen 470
A. Zusammenfassung der zentralen Erkenntnisse der Untersuchung 470
I. Zulässigkeit der Datenverarbeitung im Gesundheitswesen unter der DSGVO 470
II. Sozialdatenschutz unter der DSGVO 472
III. Betroffenenrechte im Gesundheitswesen unter der DSGVO 473
IV. Datenschutzorganisation im Gesundheitswesen 473
V. Datenschutzrechtliche Anforderungen bei dem Einsatz von Gesundheits-Applikationen 474
VI. Datenschutz in der medizinischen Forschung unter der DSGVO 475
B. Fazit 477
Literaturverzeichnis 480
Dokumente von Institutionen sowie von nationalen Aufsichtsbehörden 510
Sachverzeichnis 514