Скачать книгу

die neuen Regelungen der DS-GVO hingewiesen werden/worden sind, darüber generell/einleitend informiert werden, aus welchem Grunde die DS-GVO in den Formularen dieser Krankenhäuser nicht Gegenstand ist.

      2.3 Sachlicher Anwendungsbereich

      Hinsichtlich des sog. sachlichen Anwendungsbereichs gilt die DS-GVO ferner für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht-automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DS-GVO). Damit findet die DS-GVO also Anwendung sowohl auf die automatisierte als auch auf die nicht automatisierte Verarbeitung.

      Von diesem sachlichen Anwendungsbereich existieren nur wenige Ausnahmen, die keine Relevanz für den Krankenhausbereich haben dürften, wie etwa die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

      2.4 Besondere Datenkategorien (Gesundheitsdaten)

      Wenn im Krankenhausbereich für eine konkrete Verarbeitung eine Befugnisnorm gesucht wird, bedarf es insbesondere der Prüfung von Art. 9 DS-GVO, der mit folgendem Titel überschrieben ist: » Verarbeitung besonderer Kategorien personenbezogener Daten« und mithin die Verarbeitung dieser besonders sensiblen Daten zum Gegenstand hat.

      Insofern ist Art. 9 DS-GVO für die Prüfung der Frage der datenschutzrechtlichen Zulässigkeit einer Verarbeitung im Krankenhausbereich von zentraler Bedeutung. In dieser Regelung geht es im Einzelnen um

      »… die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person«.

      Legal definiert sind dies gem. Art. 4 DS-GVO folgende Daten:

» Gesundheitsdaten«	Personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
» Genetische Daten «	Personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.
» Biometrische Daten «	Mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.

      Insbesondere Art. 9 Abs. 2 h) DS-GVO enthält einen Erlaubnistatbestand, der die Verarbeitung sensibler Gesundheitsdaten erlaubt, sofern die Verarbeitung

      • für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin,

      • für die Beurteilung der Arbeitsfähigkeit des Beschäftigten,

      • für die medizinische Diagnostik,

      • für die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder

      • für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich

      auf der Grundlage

      • des Unionsrechts oder des Rechts eines Mitgliedstaats oder

      • aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und

      • vorbehaltlich der in Art. 9 Abs. 3 DS-GVO genannten Bedingungen und Garantien

      erforderlich ist.

      Nach Art. 9 Abs. 3 DS-GVO dürfen die in Art. 9 Abs. 1 DS-GVO genannten personenbezogenen Daten zu den in Art. 9 Abs. 2 h) DS-GVO genannten Zwecken verarbeitet werden, wenn diese Daten

      • von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und

      • dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder

      • wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften national zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

      2.5 Fazit zur Zulässigkeit der Verarbeitung von Gesundheitsdaten unter der DS-GVO

      Durch das Zusammenspiel von Art. 9 Abs. 2 h) und Art. 9 Abs. 3 DS-GVO wird bereits die grundsätzliche datenschutzrechtliche Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten hinsichtlich der Versorgung und Behandlung im Gesundheitswesen geregelt.

      Die Beantwortung der Frage, ob eine datenschutzrechtliche Befugnisnorm für eine Verarbeitung vorliegt, wird sich also oftmals bereits direkt aus der DS-GVO, nämlich aus Art. 9 Abs. 2 h) in Verbindung mit Art. 9 Abs. 3 DS-GVO, ergeben, der für viele Fälle eine Befugnisnorm darstellt.

Erfasst werden danach – wie sich aus dem Wortlaut von Art. 9 Abs. 2 h) DS-GVO direkt ergibt – sämtliche Formen gesundheitsbezogener Handlungen in einem weitgehenden Sinne, und zwar in präventiver, diagnostischer, kurativer und nachsorgender Art.²⁰

      Hinsichtlich näherer Einzelheiten, welche dies im Einzelnen sind, vgl. die ausführliche Auflistung der datenschutzrechtlich zulässigen Verarbeitungstätigkeiten unter III.8.

      In Ergänzung der Prüfung der Regelungen der DS-GVO bedarf es jedoch des Weiteren stets einer Prüfung der nationalen Regelungen, da nationale Gesetze die Regelungen der DS-GVO ergänzen oder auch besondere Ausnahmen für Deutschland vorsehen können.

      3 Bundesdatenschutzgesetz (BDSG)

      In Ergänzung der Prüfung der Regelungen der DS-GVO bedarf es insofern einer Prüfung des BDSG.

Das BDSG ist durch das Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) am 25.05.2018 in völlig neuer Fassung und Struktur in Kraft getreten.²¹

Anlass dafür war die DS-GVO, da diese eine Reihe von sog. Öffnungsklauseln für den nationalen Gesetzgeber und zugleich konkrete, an die Mitgliedstaaten gerichtete Regelungsaufträge vorsieht. Daraus ergab sich weiterer gesetzlicher Anpassungsbedarf im nationalen Datenschutzrecht.²²

      Bei der Prüfung einer datenschutzrechtlichen Frage bedarf es insofern nach der Prüfung der DS-GVO der Prüfung des BDSG, da dieses ggf. Ausnahmen bzw. Sonderregelungen für Deutschland enthält.

      Insbesondere zu nennen ist hier der neue § 22 BDSG, da der deutsche Gesetzgeber auf der Grundlage von Art. 9 Abs. 4 DS-GVO (Öffnungsklausel) in dem neuen § 22 BDSG gesetzliche Erlaubnistatbestände geschaffen hat, die für den Krankenhausbereich von Bedeutung sind.

      Gem. § 22 Abs. 1 Nr. 1 b) und c) BDSG (neu) ist eine Verarbeitung von Gesundheitsdaten usw. danach zulässig

      1. durch öffentliche und nichtöffentliche Stellen, wenn sie […]

      b) zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden, oder

      c)

Скачать книгу