Praxishilfe zum Umgang mit Erlaubnistatbeständen bei der Verarbeitung von Gesundheitsdaten und genetischen Daten
Auswirkungen des EuGH-Urteils vom 21. Dezember 2023, Rechtssache C-667/21 auf nationale gesetzliche Regelungen zur Verarbeitung von Gesundheitsdaten
Jede Verarbeitung personenbezogener Daten muss sich grundsätzlich am Grundsatz der Verhältnismäßigkeit messen lassen, d. h. an der Verfolgung eines legitimen Zwecks, der Eignung der Verarbeitung zur Erreichung dieses Zwecks und der Verhältnismäßigkeit der Verarbeitung in Bezug auf die Beeinträchtigung der Grundrechte der von der Verarbeitung betroffenen Menschen. Dies gilt selbstverständlich auch für die Pseudonymisierung bzw. Anonymisierung, denn beides stellt eine Verarbeitung im Sinne von Art. 4 Ziff. 2 DS-GVO dar.
Nach dem Urteil des Gerichtshofs der Europäischen Union (EuGH) vom 21. Dezember 2023 ist für die Verarbeitung von Daten, welche unter die in Art. 9 Abs. 1 DS-GVO genannten Kategorien fallen, ein Erlaubnistatbestand gem. Art. 9 Abs. 2 DS-GVO erforderlich, zusätzlich muss aber mindestens eine der in Art. 6 Abs. 1 DS-GVO genannten Bedingungen für die Rechtmäßigkeit der Verarbeitung (mit den Worten des EuGH: eine der Rechtmäßigkeitsvoraussetzungen) erfüllt sein. Dies ergibt sich schon aus dem Wortlaut der DS-GVO: Art. 5 Abs. 1 lit. a DS-GVO gibt unter anderem vor, dass personenbezogene Daten auf rechtmäßige Weise verarbeitet werden müssen. Nach Art. 6 Abs. 1 DS-GVO kann eine Verarbeitung personenbezogener Daten nur dann rechtmäßig erfolgen, wenn mindestens einer der in Art. 6 Abs. 1 lit. a-f DS-GVO genannten Tatbestände erfüllt wird. Insbesondere auch bei der Verarbeitung von genetischen Daten und Gesundheitsdaten muss daher beachtet werden, dass neben den in Art. 9 Abs. 2 DS-GVO bzw. im nationalen Recht genannten Erlaubnistatbeständen mindestens einer der in Art. 6 Abs. 1 DS-GVO genannten Rechtfertigungsgründe erfüllt ist.
Entsprechend der Rechtsprechung des EuGH ist die Zuordnung eines Datums als „sensibles Datum“ im Sinne des Art. 9 Abs. 1 DS-GVO weit zu verstehen. Auch wenn ein Datum für sich genommen kein sensibles Datum darstellt, ist nach der Rechtsprechung des EuGH zu prüfen, ob „mittels gedanklicher Kombination oder Ableitung“ auf die in Art. 9 Abs. 1 DS-GVO genannte Datenkategorien geschlossen werden kann. Ist dies der Fall, sind entsprechende Daten auch als sensible Daten im Sinne des Art. 9 Abs. 1 DS-GVO anzusehen. Weiterhin entschied der EuGH, dass ein Datensatz, der sowohl sensible als auch nicht sensible Daten enthält, insgesamt als sensibles Datum im Sinne des Art. 9 Abs. 1 DS-GVO anzusehen ist.
Im Zusammenhang mit der Behandlung von Patienten ist Art. 9 Abs. 2 lit. h DS-GVO i. V. m. Art. 6 Abs. 1 lit. b DS-GVO anwendbar: Die Verarbeitung ist erforderlich zur Vertragserfüllung, genauer des Behandlungsvertrages. Außerhalb der Patientenbehandlung wird es schwieriger: Liegt keine Einwilligung vor, so muss häufig ein überwiegendes öffentliches Interesse an der Verarbeitung der Patientendaten nachgewiesen werden. Ist dies nicht möglich, ist in der Regel eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO erforderlich – einschließlich des Nachweises, dass das Interesse der Patienten an der Nicht-Verarbeitung ihrer sensiblen Daten das berechtigte Interesse des Verantwortlichen an der jeweiligen Verarbeitung nicht überwiegt. Dies gilt auch für Forschungsprojekte. Der bisherige alleinige Verweis auf nationale Regelungen, wie sie beispielsweise in den Landeskrankenhausgesetzen zu finden sind, reicht nicht mehr aus. Die DS-GVO verlangt für jede Verarbeitung, somit auch für die Verarbeitung in Forschungsprojekten, das Erfüllen von mindestens einen der in Art. 6 Abs. 1 DS-GVO aufgeführten Rechtfertigungsgründe.
Die Ausarbeitung wurde unter einen Creative Commons-Lizenz (4.0 Deutschland Lizenzvertrag) veröffentlicht. Um sich die Lizenz anzusehen, gehen Sie bitte ins Internet auf die Webseitehttps://creativecommons.org/licenses/by-sa/4.0/deed.de bzw. für den vollständigen Lizenztext auf die Webseitehttps://creativecommons.org/licenses/by-sa/4.0/legalcode.
