Скачать книгу

DSG-EKD / § 11 Abs. 1 KDG gilt nicht, wenn die betroffene Person in die Verarbeitung z. B. der Gesundheitsdaten einwilligt.

      Daran schließt sich die Frage an, welche Anforderungen an diese Einwilligung im Einzelnen zu stellen sind, was in nachfolgender Checkliste (siehe IV.8) zusammenfassend dargestellt wird.

      6 Sanktionen

      Bei Verstößen gegen die »Bedingungen für die Einwilligung« gemäß den Artikeln 6, 7 und 9 DS-GVO werden Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist (Art. 83 Abs. 5a DS-GVO).

      Die Geldbußen können gemäß Art. 83 Abs. 2 DS-GVO zusätzlich zu oder anstelle der in Art. 58 Abs. 2 DS-GVO normierten umfangreichen Abhilfebefugnisse der Aufsichtsbehörden verhängt werden (Art. 58 Abs. 2 i) DS-GVO).

      Hinsichtlich der kirchlichen Regelungen ist festzustellen, dass die dort geregelten möglichen Höchst-Geldbußen wesentlich moderater ausgefallen sind. Sowohl nach § 45 Abs. 5 DSG-EKD als auch nach § 51 Abs. 5 KDG können »lediglich« Geldbußen von bis zu 500.000 EUR verhängt werden.

      Daneben besteht allerdings auch hier die Möglichkeit der Verhängung aufsichtsrechtlicher Maßnahmen nach § 44 Abs. 3 i. V. m. § 45 Abs. 6 DSG-EKD / § 47 Abs. 6 KDG.

      7 Weitergeltung bereits eingeholter Einwilligungserklärungen

      Fraglich ist zuletzt, wie mit Einwilligungen umzugehen ist, die vor dem 25.05.2018 eingeholt worden sind.

      In diesem Zusammenhang wäre zunächst eine grundsätzliche Unterscheidung angezeigt in

      • »abgeschlossene Verarbeitungen aufgrund Einwilligung«, die als abgeschlossen und damit unkritisch zu bewerten sind, und

      • »fortlaufende Verarbeitungen aufgrund bereits eingeholter Einwilligung«.

      Der Verordnungs-Text / Das DSG-EKD / Das KDG selbst trifft hierzu keinerlei Aussagen. Eine konkrete Regelung, wie in derartigen Fällen zu verfahren ist, existiert insofern nicht. Demzufolge ist davon auszugehen, dass Einwilligungen zunächst unbefristet Geltung beanspruchen.

      Dem steht auch nicht der nachfolgend zitierte Erwägungsgrund 171 entgegen, der zur Auslegung dieser Frage herangezogen werden kann:

      »Die Richtlinie 95/46/EG sollte durch diese Verordnung aufgehoben werden. Verarbeitungen, die zum Zeitpunkt der Anwendung dieser Verordnung bereits begonnen haben, sollten innerhalb von zwei Jahren nach dem Inkrafttreten dieser Verordnung mit ihr in Einklang gebracht werden. Beruhen die Verarbeitungen auf einer Einwilligung gem. der Richtlinie 95/46/EG, so ist nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, sodass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann. […]«

      Maßgeblich ist danach also hinsichtlich der auf Einwilligungen beruhenden Verarbeitungen, dass nicht erforderlich ist, dass die betroffene Person erneut ihre Einwilligung erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht.

      Aufgrund des hohen datenschutzrechtlichen Niveaus in Deutschland werden bereits aktuell sehr hohe Anforderungen an Einwilligungen gestellt. Insbesondere der »Informiertheit« der Betroffenen wird schon jetzt in umfangreichem Maße Rechnung getragen, wonach die Betroffenen umfänglich in Kenntnis gesetzt werden, was mit ihren Daten passiert. Diese »Informiertheit« spiegelt sich nunmehr in Form der durch die DS-GVO / das DSG-EKD / das KDG eingeführten Betroffenenrechte wieder.

      Der einzige nennenswerte Unterschied, der zu einer Änderung von Einwilligungs-Formularen führt, dürfte sich aus Art. 7 Abs. 3 DS-GVO GVO / § 11 Abs. 3 DSG-EKD / § 8 Abs. 6 KDG ergeben, der folgenden Wortlaut hat:

      »¹Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. ²Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. ³Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. ⁴Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.«

      Hierzu im Einzelnen wie folgt:

Satz 1:	Auch vor Geltungsbeginn der DS-GVO / des DSG-EKD / des KDG hatten betroffene Personen das Recht, ihre Einwilligungen jederzeit zu widerrufen.
Satz 2:	DesWeiteren wurde auch früher durch denWiderruf der Einwilligung die Rechtmäßigkeit der aufgrund der Einwilligung bis zumWiderruf erfolgten Verarbeitung nicht berührt.
Satz 4:	Daneben konnte derWiderruf auch früher ebenso einfach erfolgen wie die Erteilung der Einwilligung.

      Insofern sind keine großen Unterschiede festzustellen.

      Einzig die Regelung in Satz 3, dass die betroffene Person vor Abgabe der Einwilligung davon in Kenntnis gesetzt wird, dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt wird, ist neu.

      Eine Neu-Einholung sämtlicher Einwilligungserklärungen einzig und allein aus diesem Grunde erscheint als nicht angezeigt, da dieser immense bürokratische Aufwand in keinem Verhältnis zu dem Informationsgewinn des Patienten stehen dürfen, der ggf. nicht einmal in Erwägung zieht, seine Einwilligung überhaupt zu widerrufen. Dem Patienten dürfte auch jegliches Verständnis dafür fehlen, nachzuvollziehen, dass ggf. eine seitenlange »Patienteninformation« nebst »Einwilligung« erneuert wird, nur weil der Passus fehlt: »Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird nicht berührt.«

      Solange die »Voll-Informiertheit« des Patienten bejaht werden kann und insbesondere der Zweck, zu dem die Daten verarbeitet werden, sich nicht geändert hat, wäre eine Neu-Einholung einer Einwilligung alleine aufgrund dieser Formalie überobligatorisch.

Dies folgt ebenso aus einer Ausarbeitung des sog. Düsseldorfer Kreises³⁷, der unter der Thematik »Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung« ausgeführt hat, dass bisher erteilte Einwilligungen fortgelten, sofern sie der Art nach den Bedingungen der DS-GVO entsprächen. Bisher rechtswirksame Einwilligungen erfüllten grundsätzlich diese Bedingungen. Besondere Beachtung verdienten allerdings die besonderen Bedingungen der »Freiwilligkeit« sowie der »Altersgrenze von 16 Jahren«. Seien diese Bedingungen nicht erfüllt, gälten bisher erteilte Einwilligungen nicht fort. Die aus Art. 7 Satz 3 DS-GVO (§ 11 Abs. 3 DSG-EKD / § 8 Abs. 6 KDG) resultierenden Verpflichtungen hat der Düsseldorfer Kreis nicht mit in die besonders wichtigen Aspekte aufgenommen.

Ähnlich argumentiert auch der Bayerische Landesdatenschutzbeauftragte im Rahmen einer Ausarbeitung zu der Thematik »Fortgeltung von Einwilligungen«.³⁸ Nach Erwägungsgrund 171 DS-GVO sei es nicht erforderlich, dass die betroffene Person zu einer gleichartigen fortgesetzten Datenverarbeitung, zu der sie gemäß der Datenschutz-Richtlinie 95/46/EG bzw. der entsprechenden Umsetzung durch das BDSG eingewilligt habe, erneut einwillige, wenn die Art der bereits erteilten Einwilligung den Bedingungen der DS-GVO entspreche. Die bisher in großer Zahl im Wirtschaftsleben EU-weit vorhandenen Einwilligungen als Grundlage für einen Umgang mit personenbezogenen Daten (bei Banken, Versicherungen, Ärzten, in Krankenhäusern, im Handel usw.) sollten also offensichtlich wirksam bleiben und eine große »Einwilligungsbürokratie« auf Seiten der betroffenen Personen und der Verantwortlichen vermieden werden.

      8 Anforderungen insgesamt – Checkliste

      Um Gesundheitsdaten, genetische und biometrische Daten usw. auf der Grundlage einer Einwilligung im Krankenhausbereich datenschutzkonform verarbeiten zu dürfen, werden an die Erteilung einer Einwilligung unter Maßgabe der DS-GVO / des DSG-EKD / des KDG im Wesentlichen folgende Anforderungen

Скачать книгу