Abstract: Die digitale Verarbeitung von Gesundheitsdaten bietet im Hinblick auf Geschwindigkeit und Verknüpfbarkeit neue Möglichkeiten zur Erforschung von Krankheiten und Entwicklung neuer Heilmethoden, die im Interesse des Gemeinwohls eine bessere und qualitätsgesicherte Versorgung verheißen. Doch dürfen Patientendaten – insbesondere wenn es sich um Sozialdaten gesetzlich Versicherter handelt – für solche (sekundären) Forschungszwecke verarbeitet werden? Bedarf es hierzu einer (erklärten) Einwilligung der Betroffenen oder genügt als Legitimation eine Opt-Out-Lösung? Darf der Gesetzgeber stattdessen die Übermittlung solcher Daten an Forschungsinstitute oder zwischengeschaltete Vermittlungsdienste zwingend vorschreiben und welche Voraussetzungen sind dann an die Verhältnismäßigkeit entsprechender Normen zu stellen? Diese Fragen stellen sich verschärft, seitdem die Regierungsentwürfe von August 2023 für das Gesundheitsdatennutzungsgesetz (GDNG) sowie das Digital-Gesetz (DigiG) vorliegen.

Zur zitierfähigen PDF-Fassung

I.              Einleitung

Im Kontext mit der zunehmenden digitalisierten Verarbeitung von Gesundheitsdaten wird die Forderung erhoben, diese auch der Forschung zugänglich zu machen; gesprochen wird von einem „Datenschatz“, den es zu heben gilt.[1] Zahlreiche der digitalen Anwendungen im Bereich der Gesundheitstelematik (oder e-Health) ^[2] und Systemmedizin^[3] erzeugen eine Vielzahl von Daten, die für die Forschung von hoher Bedeutung sein können. Neue technologische Entwicklungen ermöglichen die Analyse großer Datenmengen aus vielfältigen Quellen in hoher Geschwindigkeit („Big Data“).^[4] Plattformbasierte Dialogverfahren ermöglichen die Aufhebung sektorieller Begrenzungen sowie erhöhte Kombinations- und Austauschmöglichkeiten.^[5] Angefacht hat die Diskussion das im Frühjahr 2021 publizierte Gutachten des Sachverständigenrates zur Begutachtung der Entwicklung im Gesundheitswesen (SVR) zum Thema „Digitalisierung im Dienste der Gesundheit“.^[6]

Bereits durch das Digitale-Versorgungsgesetz (DVG)^[7] von 2019 sollte eine Öffnung des Gesundheitssystems für datengetriebene Innovationen erreicht und die Sekundärnutzung von Gesundheitsdaten für Forschungszwecke stärker nutzbar gemacht werden.^[8] Letzteres ist auch Gegenstand des Vorschlags einer Verordnung (VO) zur Schaffung eines European Data Health Space (EDHS)^[9], die wiederum auf dem bereits beschlossenen Data Governance-Act (DGA)^[10] basiert. Im Entwurfsstadium befindet sich der inzwischen im Trilog zwischen Kommission, EP und Rat abgestimmte EU-Data Act (DA)^[11], der im Wesentlichen die Verwertung vorhandener Daten durch Nutzer erleichtern soll.^[12] Ziel der seitens der Bundesregierung ausgerufene „Daten-Strategie“ ist es, den Zugang zu Daten zu erleichtern.^[13] Derzeit liegt ein Referentenentwurf des Bundesministeriums für Gesundheit (BMG) für ein Gesetz zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG) vor, das im Gleichklang mit einem Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG) die Verarbeitung zur Forschungszwecken erleichtern soll.[14]

Eine sich stellende Kernfrage hierbei ist, ob die in Rede stehenden Verarbeitungsvorgänge gesetzlich angeordnet werden oder nur auf freiwilliger Basis erfolgen dürfen und im letzteren Fall, ob dies zwingend eine Einwilligungserklärung voraussetzt oder die Einräumung eines Widerspruchsrechts („Opt-Out“) genügt. In der „Petersberger Erklärung“ vom 24.11.2022 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) folgende Empfehlung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung formuliert:

„Die Menschen stehen im Mittelpunkt der Forschung. Sie dürfen nicht zum bloßen Objekt der Datenverarbeitung gemacht werden. Entsprechende Verarbeitungsprozesse müssen daher rechtmäßig sowie für betroffene Personen stets transparent und nachvollziehbar sein. Auch wenn eine Verarbeitung ihrer Daten im öffentlichen Interesse gesetzlich erlaubt und nicht auf ihre Einwilligung gestützt wird, sind die betroffenen Personen in geeigneter Form einzubinden. Digitale Managementsysteme sollen Informations-, Kontroll- und Mitwirkungsmöglichkeiten sicherstellen. Gesetzliche Regelungen müssen wirksam den Schutz des Rechts auf informationelle Selbstbestimmung der betroffenen Personen gewährleisten und die datenschutzrechtlichen Anforderungen des europäischen und nationalen Datenschutzes erfüllen.“[15]  

II.           Verfassungsrechtlicher Ausgangspunkt

1.             Recht auf informationelle Selbstbestimmung

Die Pflicht zur Beachtung des Datenschutzes resultiert unmittelbar aus dem Grundgesetz (GG), seitdem das BVerfG das „Recht der informationellen Selbstbestimmung“ als Teil des allgemeinen Persönlichkeitsrechts (APR) aus Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG ableitet. Dieses umfasst das Recht des Einzelnen grds. selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden.^[16] Dieses Grundrecht unterliegt daher der Dispositionsbefugnis des Grundrechtsinhabers, weshalb eine freiwillige Einwilligung in eine einzelne Handlungsweise nach ausreichender Aufklärung eine Grundrechtsbeeinträchtigung ausschließen kann.^[17] Mit Ausnahme der Intimsphäre^[18] steht dieses Grundrecht, das auch die Gewährleistung der Datensicherheit umfasst^[19], darüber hinaus unter dem Vorbehalt der Einschränkung durch Gesetze, die dem Bestimmtheitsgebot^[20] und dem Grundsatz der Verhältnismäßigkeit entsprechen.^[21]

Art. 8 Grundrechtecharta (GRCh) verbürgt ebenfalls ein Grundrecht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten^[22]. Die Norm enthält in Abs. 2 wiederum mit der Erwähnung der Einwilligung eine eigene grundrechtsspezifische Schranke^[23] während die horizontalen Schranken aus Art. 52 Abs. 1 GRCh wie Wesensgarantie und Verhältnismäßigkeit als subsidiär gelten, was dafür spricht, dass auch nach der Systematik der GRCh die Einwilligung eine Konkretisierung des Schutzbereichs ist.^[24]

2.             Recht auf Leben und körperliche Unversehrtheit

Im Hinblick auf das Grundrecht auf Leben und körperliche Unversehrtheit aus Art. 2 Abs. 2 Satz 1 GG kommt dem Staat über die Abwehrdimension hinaus eine Schutzpflicht zu^[25], wenn er auch nicht berechtigt ist, den einzelnen zu seiner Gesundheit zu zwingen.^[26] Anders verhält es sich jedoch im Hinblick auf die sich aus Art. 2 Abs. 2 Satz 1 und Art. 1 Abs. 1 GG ergebende Schutzpflicht gegenüber der Gesamtheit der Bürger.^[27] Gerade wegen der Vorteile digitaler Nutzungsmöglichkeiten zum Schutz vor Gesundheitsgefahren und Entwicklung von Therapien und Medikamenten wird u.a. vor dem Hintergrund der staatlichen Pflicht zum Schutz der Rechtsgüter aus Art. 2 Abs. 2 Satz 1 GG^[28] iVm. dem Sozialstaatsprinzip (Art. 20 Abs. 1 GG) gefordert, ein Grundrecht auf digitale Gesundheitsversorgung anzuerkennen.^[29]

3.             Forschungs- und Wissenschaftsfreiheit

Art. 5 Abs. 3 Satz 1 GG sichert in Form eines Abwehrrechts weitgehenden Schutz vor staatlichen Einwirkungen auf den Prozess der Gewinnung und Vermittlung wissenschaftlicher Erkenntnisse.^[30]  Darüber hinaus eröffnet dieses Grundrecht dem Forscher ein Recht auf ermessensfehlerfreie Entscheidung über den Datenzugang.^[31] Auch Art. 13 GRCh umfasst mit der Forschungsfreiheit nicht nur die Wahl des Forschungsgegenstands, sondern auch die der Methoden einschließlich der Durchführung samt vorbereitender Tätigkeiten.[32] Die Forschungsfreiheit ist weit zu verstehen[33], sie hat aber nicht schlechthin Vorrang^[34], sodass Beeinträchtigungen aufgrund datenschutzrechtlicher Restriktionen hinzunehmen sind.^[35] Umfasst die Forschungsfreiheit auch die Verarbeitung personenbezogener Daten zu Forschungszwecken steht dieses Grundrecht, das unter keinem Gesetzesvorbehalt steht, wiederum unter immanenten Schranken wie dem Recht auf informationelle Selbstbestimmung^[36], das insofern gleichrangig ist.^[37]

4.             Ausgleich verschiedener Grundrechtspositionen

Gleichrangig kollidierende Grundrechte hat der Staat durch Ausgestaltung der Rechtsordnung orientiert am Maßstab der praktischen Konkordanz in einen verhältnismäßigen Ausgleich zu bringen.^[38] Zwar lässt sich nicht jegliche Freiheitsbeschränkung damit rechtfertigen, dass sie dem Schutz der Grundrechte Dritter – z.B. aufgrund effektiver Forschung durch Verkettung sämtlicher Gesundheitsdaten – dient. Vielmehr hat der Staat einen verhältnismäßigen Ausgleich zwischen der Freiheit der einen und dem Schutzbedarf der anderen – zwischen dem Grundrecht auf informationelle Selbstbestimmung und dem auf Leben und körperliche Unversehrtheit – zu schaffen^[39], wobei abgesehen von der verschiedenen Wertigkeit dieser Grundrechte auch zu berücksichtigen ist, dass Schutzpflichten einerseits und Abwehrrechte andererseits eo ipso nicht gleichrangig sind. Da medizinische Forschung der Verbesserung des Gesundheitswesens dient, ist dieses Gemeinwohlinteresse Interesse am medizinischen Fortschritt bei der Abwägung zwischen Forschungsfreiheit und informationeller Selbstbestimmung wiederum zu berücksichtigen.^[40] Stets ist die Verarbeitung von Gesundheitsdaten zu Forschungszwecken auf Grundlage einer Einwilligung der betroffenen Personen möglich, nach den genannten Grundsätzen ist es jedoch nicht ausgeschlossen, entsprechende gesetzliche Grundlagen unter Beachtung des Verhältnismäßigkeits- und Bestimmtheitsgrundsatzes zu schaffen.[41]

III.        Datenschutzgrundverordnung und Konkretisierungen nach deutschem Recht

Die DS-GVO beansprucht eine umfassende Regelung des Datenschutzrechts zu sein und gilt für sämtliche private wie öffentlich-rechtliche Verarbeitungsvorgänge personenbezogener Daten vorbehaltlich der Ausnahmen in Art. 2 Abs. 2 DS-GVO.^[42]Die originäre Anwendbarkeit der DS-GVO auf die Datenverarbeitung im deutschen Sozialleistungssystem hat das BSG wegen des Anwendungsbefehls in § 35 Abs 2 Satz 2 SGB I bisher dahinstehen lassen.^[43] Der EuGH hat erst kürzlich bestätigt, dass die Ausnahmen in Art. 2 Abs. 2 DS-GVO eng auszulegen sind.^[44]

Den nationalen Datenschutz-Vorschriften wie BDSG, SGB I/X und den bereichsspezifischen Normen kommt nur noch die Rolle der Konkretisierung und Präzisierung der Verarbeitungsgrundlagen zu, die jeweils einer am Rechtsstaatsprinzip zu messenden weiteren Regelung bedürfen (Art. 6 Abs. 2 und 3 DS-GVO).^[45] Darüber hinaus füllen sie dort, wo Öffnungsklauseln bestehen, den geöffneten Rahmen durch eigene Regelungen aus.^[46] Unmittelbar aus der DS-GVO resultierende Verarbeitungsbefugnisse bleiben neben den Konkretisierungen des SGB X bestehen (§ 35 Abs 2 SGB I). Lediglich für die Übermittlung von Gesundheits- sowie genetischen und biometrischen (Sozial-)Daten hat der deutsche Gesetzgeber von der Öffnungsklausel des Art. 9 Abs. 4 DS-GVO^[47] Gebrauch gemacht, wonach eine Übermittlung von Sozialdaten – die nur bei einer Weitergabe an Dritte vorliegt (arg.e. § 67d Abs 1 SGB X) – nur bei Einwilligung oder Vorliegen eines Tatbestands des SGB zulässig ist (§ 67b Abs. 1 S. 3 SGB X).^[48]

IV.        Personenbezug, Datenkategorien

 „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei es genügt, wenn ein unmittelbarer Bezug herstellbar ist (Art. 4 Nr. 1 DS-GVO).^[49] Fehlt es daran – z.B. bei anonymisierten Daten – findet Datenschutzrecht keine Anwendung. Indes enthält weder die DS-GVO noch das nationale Recht eine Legaldefinition des Anonymisierens. Besondere Probleme bereitet in diesem Zusammenhang die schleichende Identifizierbarkeit aufgrund des technischen Fortschritts.^[50] Streitig ist, ob bei der Beurteilung der Bestimmbarkeit illegale Möglichkeiten (z.B. Hacker-Angriffe) zu berücksichtigen sind^[51], wofür nicht zuletzt der Wortlaut von ErwG 26 sowie der Schutzzweck des Datenschutzrechts spricht.^[52]

Von der Anonymisierung zu unterscheiden ist die Pseudonymisierung (Art. 4 Nr. 5 DS-GVO), die als Vorstufe die Anwendbarkeit der Datenschutzregeln nicht beendet, weil durch eine Zuordnungsregelung die Informationen nachträglich wieder hergestellt werden können.^[53] Sie ist allenfalls eine besondere Garantie, die im Rahmen der Verhältnismäßigkeitsprüfung die Schwere des Eingriffs relativieren kann.

 Zu den „besonderen Kategorien von Daten“ (Art. 9 Abs. 1 DS-GVO) gehören auch Daten über das Sexualleben und sexuelle Ausrichtung, genetische, biometrische Daten sowie Gesundheitsdaten. Letztere sind solche, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (Art. 4 Nr. 15 DS-GVO; vgl. ErwG 35).^[54]

 „Sozialdaten“ bilden eine eigene – abschließend geregelte (§ 35 Abs. 2 SGB I) – spezifische Datenkategorie nach deutschem Recht: Es handelt sich um personenbezogene Daten, die von einer in § 35 SGB I genannten Stelle im Hinblick auf deren Aufgaben nach dem SGB verarbeitet werden, und somit um eine sehr formal begründete Datenkategorie (§ 67 Abs 2 SGB X).^[55] Sie gelten in typisierender Betrachtung als im erhöhten Maße schutzbedürftig, weil sie näher an die Privatsphäre heranreichen als andere Daten. § 78 SGB X erweitert den Anwendungsbereich der SGB X-Normen auf Personen, an die Daten übermittelt wurden (sog. verlängerter Datenschutz).^[56] Viele, aber nicht alle Sozialdaten zählen zu den besonderen Kategorien von Daten iSv. Art. 9 Abs. 1 DS-GVO, wie umgekehrt z.B. Gesundheitsdaten erst bei Verarbeitung durch eine Stelle nach § 35 SGB I zu Sozialdaten werden.^[57]

V.           Grundprinzipien der DS-GVO

1.             Erfordernis einer Rechtsgrundlage

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage, die zum Teil in Art. 6 Abs. 1 DS-GVO unmittelbar vorgeben wird (z.B. Buchst. a: Einwilligung, Buchst. b: Vertragserfüllung, Buchst. f: Wahrnehmung berechtigter Interessen^[58]), zum Teil der Konkretisierung durch die Mitgliedstaaten bedarf (z.B. Buchst. c: Erfüllung einer rechtlichen Verpflichtung; Buchst. e: Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe).^[59]

Art. 9 Abs. 1 DS-GVO untersagt die Verarbeitung besonderer Kategorien personenbezogener Daten, nennt in Abs. 2 DS-GVO jedoch verschiedene Ausnahmetatbestände, die entweder eine unmittelbare Verarbeitungsbefugnis begründen (z.B. Buchst. a: ausdrückliche Einwilligung, Buchst. f: Verteidigung von Rechtsansprüchen), oder einer weiteren Spezifizierung durch die Mitgliedstaaten bedürfen (z.B. Buchst. b: Ausübung von aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte und Pflichten).^[60]

Das Erfordernis einer Rechtsgrundlage bezieht sich nicht nur auf das „Ob“ der Datenverarbeitung, sondern auch auf das „Wie“ (Art. 5 Abs. 1 Buchst. a) DS-GVO)^[61], weshalb auch die digitalisierte Datenverarbeitung angesichts der bestehenden Risiken bei Verletzung von Integrität und Vertraulichkeit bei hochsensiblen Gesundheitsdaten durch unter Umständen KI-gestützte Auswertung großer Datenmengen in hoher Geschwindigkeit[62] entweder eine entsprechende normative Benennung oder Einwilligung in informierter Weise verlangt.^[63]

2.             Datenminimierung/-sparsamkeit

Art. 5 Abs. 1 Buchst. c) DS-GVO postuliert, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen. Dieser Grundsatz der „Datensparsamkeit“ wird in zeitlicher Hinsicht durch den Grundsatz der „Speicherbegrenzung“ nach Art. 5 Abs. 1 Buchst. e) DS-GVO ergänzt. Daraus folgt insgesamt, dass Daten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann; sowie dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt.^[64] Big Data basiert auf der Analyse von exponentiell wachsenden Datenmengen (Volume), die in Echtzeit ausgewertet werden können (Velocity) und unterschiedlichste, aus vielfältigen Quellen stammende Datentypen umfassen (Variety), deren Qualität zur Erzielung tauglicher Ergebnisse für das zu analysierende Problem genügt (Veracity).^[65] Gerade die Verarbeitung großer Datenmengen zwecks effektiver Nutzung zu Forschungszwecken[66] unter Verwendung von durch KI gestützter Systeme wirft hier spezifische Probleme auf.^[67] Sofern die Daten nicht ausreichend anonymisiert sind, ist ihre Nutzung nur im Rahmen der Erforderlichkeit unter Beachtung des Zweckbindungsgrundsatzes zulässig.^[68]

3.             Zweckbindung

Ein eherner Grundsatz des Datenschutzrechts ist, dass eine Verwendung personenbezogener Daten grundsätzlich auf einen bestimmten Zweck begrenzt ist (Art. 5 Abs. 1 Buchst. b) DS-GVO).^[69] Das BVerfG legt den Maßstab der hypothetischen Datenneuerhebung an.^[70] Bei der sekundären Verarbeitung von Gesundheitsdaten zu Forschungszwecken – in der Regel sind es Daten die im Rahmen der Behandlung von Krankheiten diagnostiziert wurden – handelt es sich klassischerweise um eine zweckändernde Verarbeitung. Bei sukzessiv erfolgenden verschiedenen Forschungsvorhaben sind mehrfache Zweckänderungen denkbar.

 Art. 6 Abs. 4 DS-GVO lässt eine zweckändernde Verarbeitung bei Vorliegen einer Einwilligung oder einer verhältnismäßigen Rechtsvorschrift der Union oder der Mitgliedstaaten zu. Bei Fehlen dieser Bedingungen wird als weiterer Ausnahmetatbestand genannt, dass die Verarbeitung „zu einem anderen Zweck mit dem Erhebungszweck vereinbar ist“, wobei exemplarisch fünf Positiv-Kriterien genannt werden, die der Verantwortliche zu berücksichtigen hat. Es ist nicht geklärt, ob diese Alternative dem Verantwortlichen die zweckändernde Verarbeitung auch dann ermöglicht, wenn die tatbestandlichen Voraussetzungen einer existierenden abschließenden Reglung (zB §§ 67c, 78 und 75 SGB X) nicht vorliegen. Diese „weite“ Auslegung ist weder nach dem Wortlaut noch der Systematik des Art. 6 DS-GVO überzeugend^[71], weil sie dazu führen würde, dass durch nationale Rechtsetzung die zweckändernden Datenverarbeitung nicht beschränkt werden könnte^[72] und  private Datenverarbeiter gegenüber öffentlichen, gesetzgebundenen Stellen erheblich privilegieren würde.[73]

Eine Übermittlung kann jedenfalls nicht alleine auf Art. 6 Abs. 4 DS-GVO gestützt werden, weil eine „Weiterverarbeitung“ nur durch den (selben) Verantwortlichen denkbar ist, während die Einleitung eines neuen Verarbeitungsvorgangs („Zweitverarbeitung“) jedenfalls nicht mehr mit dem ursprünglichen Zweck in einem hinreichenden Zusammenhang stehen kann.^[74] Eine „zweckändernde Übermittlung“ ist damit ausgeschlossen. Wenn Daten an Forschungsinstitute übermittelt werden, ist darüber hinaus durch eine Selbstverpflichtung des Empfängers sicher zu stellen, dass diese die Daten nur zum Übermittlungszweck verarbeiten (§ 75 Abs. 4 Satz 3 SGB X).[75]

4.             Forschungsprivileg

Die DS-GVO zeichnet sich durch ausgesprochene Forschungsfreundlichkeit aus, wie sich z.B. in Art. 5 Abs. 1 Buchst. b) DS-GVO und der dortigen Einschränkung der Zweckbindungsregel manifestiert.^[76] Art. 89 DS-GVO normiert das sog. Forschungsprivileg; die Norm enthält jedoch selbst keinen Erlaubnistatbestand für eine Datenverarbeitung, sondern setzt die Zulässigkeit einer solchen nach Maßgabe der Art. 6 Abs. 1 und Art. 9 Abs. 2 (insbesondere Buchst. j) DS-GVO voraus und stellt diese dann nochmals unter den Vorbehalt geeigneter Garantien für die Rechte und Freiheiten der betroffenen Person. Ferner ist eine Einschränkung oder Außerkraftsetzung bestimmter Betroffenenrechte zugunsten von Forschung und Statistik auf der Grundlage des Unions- oder mitgliedstaatlichen Rechts unter Beachtung der Garantien und Bedingungen möglich.[77]

VI.        Bedeutung und Erklärung einer Einwilligung

Die Einwilligung wird als unmittelbare Verarbeitungsgrundlage in Art. 6 Abs. 1 Buchst. a) DS-GVO und bezüglich besonderer Kategorien von Daten in Art. 9 Abs. 2 Buchst. a) DS-GVO genannt. Die Möglichkeit einer weiteren Einschränkung bei besonderen Kategorien von Daten (vgl. Art. 9 Abs. 2 Buchst. a) 2. Satz DS-GVO) hat der deutsche Gesetzgeber nicht genutzt; lediglich die Bedingungen für deren Nachweis (principle of accountability, Art. 5 Abs. 2 DS-GVO) werden für den Bereich des Sozialdatenschutzes in § 67b Abs. 1 SGB X konkretisiert.

Nur wenn keine gesetzliche oder vertragliche Verarbeitungsgrundlage für die Datenverarbeitung vorhanden ist, bedarf es einer Einwilligung, ansonsten ist deren zusätzliche Einholung unverhältnismäßig und birgt die Gefahr der Rechtswidrigkeit der gesamten Datenverarbeitung in sich, weil der betroffenen Person keine Freiwilligkeit suggeriert werden darf, wo sie nicht besteht.^[78]

Der Wortlaut des Art. 4 Nr. 11 DS-GVO verlangt für die Einwilligung eine Willensbekundung, die daher in Form einer Erklärung oder eines sonstigen aktiven Verhaltens erfolgen muss. Bei besonderen Kategorien von Daten muss sie „ausdrücklich“ erfolgen (Art. 9 Abs. 2 Buchst. a) DS-GVO), weswegen sich hier auch jedwede konkludente Form verbietet.^[79] Daher wird – sofern man keine gesetzliche Grundlage für die Sekundärverwertung von Daten schafft – eine Opt-Out-Lösung nicht konform mit der DS-GVO sein.^[80]

Davon zu unterscheiden ist die Frage, ob auch eine nachträglich abgegebene Einwilligung eine bereits erfolgte Verarbeitung legitimieren kann. Hiergegen spricht bereits der Wortlaut: Nicht nur nach deutschem Sprachgebrauch setzt eine Einwilligung (§ 183 Abs. 1 BGB) im Unterschied zur Genehmigung (§ 184 BGB) die vorherige Zustimmung voraus; auch die englische Sprache unterscheidet „consent“ (= vorherige Einwilligung) von „approval“ oder „permit“ (= nachträgliche Zustimmung oder Gestattung).^[81]  Freilich wird die nachträglich erteilte Genehmigung einer Datenverarbeitung – sofern die sonstigen Voraussetzungen der Einwilligung bestehen – keinen Raum für Schadensersatzforderungen mangels Rechtsschutzbedürfnis bieten.^[82]

Die Freiwilligkeit der Einwilligung setzt die Einsichtsfähigkeit in die Tragweite der Entscheidung voraus. Dies ist bei kranken oder pflegebedürftigen Menschen zu hinterfragen.^[83] Gegenüber öffentlich-rechtlichen Stellen legt ErwG 43 DS-GVO, demzufolge die Einwilligung bei klarem Ungleichgewicht zwischen betroffener Person und Verantwortlichem, „insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt“ keine Grundlage sein soll, einen Konflikt mit den Regeln zur Verletzung bestehender Mitwirkungspflichten (§§ 60 ff. SGB I) nah. Freilich handelt es sich nicht um eine normative Vermutungsregel und lässt Spielraum zu Lösungen unter Hinweis auf die unabdingbare Funktion der Mitwirkung im Sozialleistungsbereich.

VII.     Normative Rechtsgrundlagen für Sekundärverarbeitung zu Forschungszwecken nach derzeitigem Recht

1.             Regelungen nach EU-Recht

Der Data-Governance-Act (DGA)[84] schafft keine eigenen Rechtsgrundlagen für die Sekundärnutzung von Gesundheitsdaten, stattdessen soll die freiwillige Datenbereitstellung zum Wohl der Allgemeinheit durch Datenaltruismus betreibende Datenvermittlungsdienste, die das Vertrauen in ihre Tätigkeiten stärken, erleichtert werden.^[85] Im Wesentlichen werden die Voraussetzungen für den Betrieb von Datennutzungsinfrastrukturen^[86], hingegen keine eigenen Datenzugangsansprüche normiert und auch die Mitgliedstaaten nicht verpflichtet, solche zu schaffen.^[87] Bemerkenswert ist die Verwendung des Begriffs „Weiterverwendung“ (re-use) von personenbezogenen Daten in Art. 2 Nr. 2 DGA, der sich von der zweckändernden Weiterverarbeitung in Art. 6 Abs. 4 DS-GVO alleine dadurch unterscheidet, dass die Daten nicht zuvor erhoben, sondern erstellt („produced“) wurden. Zu Recht wird darauf hingewiesen, dass trotz der Aussage, dass der DGA die DS-GVO unangetastet lasse (Art. 1 Abs. 3 DGA), damit zwangsläufig die Weiterverarbeitung in Art. 6 Abs. 4 DS-GVO näher ausgestaltet wird.[88] EU-Vorschriften kommen als Rechtsgrundlagen für die Übermittlung von Gesundheitsdaten, die zugleich Sozialdaten sind, alleine ohnehin nicht in Betracht (§ 67b Abs. 1 Satz 3 SGB X).

2.             Regelungen nach deutschem Recht

a)             Allgemeine Vorschriften

§ 67b Abs. 3 SGB X ermöglicht die Erteilung einer Einwilligung für bestimmte Bereiche der Forschung, womit berücksichtigt wird, dass sich Forschungsfragen teilweise in einer offenen Vorgehensweise sukzessive entwickeln (Folgeforschung). Da die betroffene Person bei Erteilung einer solchen „breiten“ Einwilligung“ (engl. „broad consent“)^[89] nicht präzise darüber informiert wird, für welche konkreten Forschungsvorhaben ihre Daten später benötigt werden, sollte die konkrete Verarbeitung der Daten nur zulässig sein, wenn anerkannte ethische Standards der wissenschaftlichen Forschung eingehalten werden, die sich auch aus Empfehlungen und Leitlinien zur Sicherung guter wissenschaftlicher Praxis, einem Ethik-Kodex oder Berufsordnungen ergeben.^[90]

§ 75 SGB X versucht, die schwierige Balance konkurrierender grundrechtlicher Positionen, d.h. zwischen dem Persönlichkeitsrecht einerseits (Art. 1 Abs. 1 GG iVm. Art. 2 Abs. 1 GG) und der Forschungsfreiheit andererseits (Art. 5 Abs. 3 GG), herzustellen, indem die Norm Einwilligung und gesetzliche Vorgaben miteinander verknüpft.^[91]

Eine Übermittlung ohne Einwilligung der betroffenen Person ist nicht zulässig, soweit es zumutbar ist, diese einzuholen, womit eine eng zu verstehende Ausnahme im Sinne eines unverhältnismäßigen Aufwands im Einzelfallvorgesehen ist (§ 75 Abs. 1 Satz 3 SGB X).^[92] Sowohl die Übermittlung als auch eine weitere Verarbeitung zu Folgeforschungsvorhaben (§ 75 Abs. 2 SGB X) bedürfen einer Genehmigung durch die zuständige oberste Bundes- bzw Landesbehörde (§ 75 Abs. 4 SGB X). Ein inhaltlicher Zusammenhang besteht insbesondere dann, wenn das Folgeforschungsvorhaben das ursprüngliche Vorhaben hinsichtlich einzelner Elemente abändert bzw. ergänzt, ohne dessen Charakter zu verändern.^[93]

Die Einwilligung ermöglicht die Verarbeitung für Forschungszwecke, begründet jedoch keinen Anspruch des Forschers gegenüber dem Sozialleistungsträger auf Übermittlung der Sozialdaten, die sich Art. 5 Abs. 3 GG oder Art. 13 GRCh als Teilhaberecht ergeben kann. § 75 SGB X konkretisiert als spezifische mitgliedstaatliche Regelung zugleich die Bedingungen für den Zugang von Forschern auf einen vorhandenen – typischerweise für andere Zwecke angelegten – Datenpool der Sozialleistungsträger. Ein Anspruch des Forschers gegenüber dem Sozialleistungsträger auf Übermittlung der Sozialdaten ergibt sich daraus nicht. [94]

Diese Grundsätze gelten auch bei Eigenforschungsvorhaben, obwohl dort keine Übermittlung stattfindet, weil § 67c Abs. 2 Nr. 2 SGB X auf § 75 Abs. 1, 2 oder 4a Satz 1 SGB X verweist.[95]

b)            Auswertung für interne Forschung der Krankassen

Bereichsspezifisch regelt § 287 SGB V die zweckändernde Auswertung vorhandener Datenbestände für interne Forschungsvorhaben der Krankenkassen und Kassenärztlichen Vereinigungen.^[96] Voraussetzung sind die zeitliche Befristung sowie Begrenzung des Umfangs sowie eine ausschließlich die „leistungserbringer- und fallbeziehbare“ Auswertung, wodurch eine „versichertenbeziehbare“ Datenverwendung ausgeschlossen sein soll.^[97] Diese Legitimation zur zweckändernden Verarbeitung der Krankenkassen zu Forschungszwecken schließt nicht die Befugnis zur Übermittlung an Dritte ein. Nur bei vollständiger Anonymisierung^[98]  soll  eine wissenschaftliche Begleitung und Auswertung durch beigezogene Dritte zulässig sein.^[99]

c)             Übermittlung von Gesundheitsdaten der Krankenkassen an Forschungsinstitute

Die nationalen Konkretisierungen zur Verarbeitung besonderer Kategorien von Daten (§§ 67 Abs. 3 SGB X und § 75 SGB X) enthalten ebenfalls keine eigenständigen Übermittlungsgrundlagen.^[100] Vorgesehen ist derzeit nur die freiwillige „Datenspende“ auf Grundlage einer Einwilligung (vgl § 363 Abs 1 und Abs 2 SGB V)^[101]. Zweck der Vorschriften zur Datentransparenz innerhalb der gesetzlichen Krankenversicherung (§§ 303 a bis 303 e SGB V iVm. der auf § 303a Abs. 1 Satz 1 und Abs. 4, § 303f Abs. 2 Satz 1 SGB V ergangenen Datentransparenzverordnung (DaTraV)) ist es, dass Rahmenbedingungen zur Bereitstellung  eines umfangreichen von Krankenkassen stammenden Datensatzes (§ 303 b Abs. 1 Satz 1 SGB V und § 268 Abs. 3 Satz 14 iVm. Satz 1 Nrn. 1 bis 7 SGB V) zur Verbesserung der Versorgung geschaffen werden.^[102] Dieser wird bestimmten Einrichtungen zu Forschungszwecken und zur Optimierung der Versorgung – dem Robert-Koch-Institut (RKI) als Vertrauensstelle nach § 303c SGB V (§ 2 Abs. 1 DaTraV) und dem Bundesinstitut für Arzneimittel und Medizinprodukt (BFArM, § 2 Abs. 2 DatRaV) als Forschungsdatenzentrum (FDZ) nach § 303d SGB V – sowie dem Spitzenverband Bund der Krankenkassen als Datensammelstelle (§ 303a Abs. 1 Satz 1 SGB V) zur Verfügung gestellt.^[103] Das FDZ verwaltet die Daten treuhandähnlich und gestattet auf Antrag gesetzlich definierten Akteuren zu gesetzlich definierten Zwecken Zugriff auf die bei ihm gespeicherten Gesundheitsdaten nach zuvor erfolgter Anonymisierung oder zumindest Pseudonymisierung.^[104]

Die im Rahmen der §§ 303a bis 303f SGB V angeordneten, umfassenden Datenverarbeitungs- und -übermittlungsmaßnahmen sind datenschutzrechtlich umstritten.^[105] Das BVerfG hat den Antrag auf Erlass einer einstweiligen Anordnung zur Außerkraftsetzung der §§ 303a bis 303f SGB V abgelehnt. Trotz gewichtiger verfassungsrechtlicher und datenschutzrechtlicher Bedenken seien keine irreversiblen oder nur sehr schwer revidierbaren Nachteilseintritte unmittelbar durch Vollzug der angegriffenen Normen erkennbar, weshalb das Aussetzungsinteresse nicht hinreichend „durchschlagend“ sei. Gleiches gelte für die Beschränkung der Datenverarbeitung/-übermittlung durch ein im Vorfeld anzusiedelndes Einwilligungserfordernis oder eine über Art. 21 Abs. 6 DS-GVO hinausgehende Widerspruchsmöglichkeit.^[106]

Der DGA sieht vor, dass die freiwillige Datenbereitstellung zum Wohl der Allgemeinheit durch Datenaltruismus betreibende Datenvermittlungsdienste erleichtert werden soll, die in der Union anerkannt und eingetragen werden, um als neutrale Dritte das Vertrauen in ihre Tätigkeiten zu stärken (Art. 10 DGA).^[107] Die Vermittlungsstellen können nicht als Vertreter der betroffenen Personen erforderliche Einwilligungen abgeben und auch nicht auf Grundlage einer einmal erteilten Einwilligung im Sinne eines Blankoschecks zweckändernde Datenverarbeitungen legitimieren. Auch Art. 80 DS-GVO sieht nur eine Erweiterung und Vereinfachung der Rechtsschutzmöglichkeiten, nicht aber eine Stellvertretung in der Disposition über die Ausübung höchstpersönlicher Rechte vor. ^[108] Vielmehr gelten hier die Grundsätze der „breiten“ Einwilligung“ (engl. „broad consent“)^[109], wie sie § 67 Abs. 3 SGB X umsetzt.^[110] Wenn weder die DS-GVO noch das Recht der Mitgliedsstaaten eine gesetzliche Grundlage für die Weiterverwendung personenbezogener Daten enthält, müssen sich öffentliche Stellen, in deren Besitz sich die Daten befinden, nach besten Kräften darum bemühen, mögliche Weiterverwender bei der Einholung der Einwilligung zu unterstützen (Art. 5 Abs. 6 DGA). Zweifelhaft wäre hier aber bereits die erforderliche Legitimation, um die Einwilligungsanfrage eines Forschungsinstituts an den Betroffenen zu übermitteln, wenn nicht Art. 5 Abs. 6 DGA eine gesetzliche Grundlage iSv. Art. 6 Abs. 1 Buchst. c DS-GVO sein soll.^[111]

d)            Die Verarbeitung von personenbezogenen Daten durch Forschungsinstitute

Wurden Sozialdaten an Forschungsinstitute übermittelt, dürfen diese nur im Rahmen des Übermittlungszwecks verarbeitet werden (§ 78 Abs. 1 Satz 1 SGB X). Institute in öffentlich-rechtlicher Trägerschaft sind eo ipso an Recht und Gesetz gebunden (Rechtsstaatsprinzip (Art. 20 GG)). Für private Institute, die sich auf die Wahrnehmung berechtigter Interessen berufen können (Art. 6 Abs. 1 Buchst. f) DS-GVO), ergibt sich die Zweckbindung trotz Privilegierung von Forschungszwecken (Art. 5 Abs. 1 Buchst. b DS-GVO) daraus, dass die Übermittlung von einer Selbstverpflichtung abhängig gemacht wird, die Daten nur zum Übermittlungszweck zu nutzen (§ 75 Abs. 4 Satz 3 SGB X). Für eine davon abweichende Verarbeitung ist das „berechtigte“ Interesse dann verbaut (Gedanke des „venire contra factum proprium“).[112] Nach § 75 Abs. 5 SGB X hat die genehmigende Stelle die Einhaltung der Vorgaben aus den Absätzen 1, 2 und 4a durch die nicht-öffentliche Stelle – wie z.B. technisch organisatorische Maßnahmen – durch Auflagen sicherzustellen.[113]

VIII.  Gesetzliche Befugnisse zur Sekundärverwertung de lege ferenda

1.             European Data Health Space und Data-Act

Der beabsichtigte European Data Health Space (EDHS)^[114] schafft keine eigene Rechtsgrundlage für die Sekundärnutzung von Gesundheitsdaten, sondern erwähnt die Möglichkeit einer Einwilligung (Art. 33 EDHS).

Auch der Data-Act (DA)[115] verweist bei den normierten Datenzugangsrechten zumindest dann, wenn der Nutzer nicht selbst die betroffene Person ist, auf gesetzliche Verarbeitungsgrundlagen iSv. Art. 6 Abs. 1 Buchst. c) DS-GVO (Art. 5 Abs. 6 DA-E)^[116], womit nicht klar ist, ob der DA selbst die rechtliche Verpflichtung zum Zugang beinhalten soll.^[117] Im Übrigen enthält der Entwurf Vorschriften über den Zugang zu Daten, die beim Betrieb vernetzter Produkte und verbundener Dienste anfallen, zu Gunsten von Verbrauchern, gewerblichen Nutzern und staatlichen Stellen.^[118] Beabsichtigt ist auch, den Zugang zu durch vernetzte Geräte und Maschinen generierten Daten (Internet of Things – IoT) zu erleichtern und einen umfassenden Anspruch auf fairen Datenzugang zu selbst-generierten Daten im Sinne von „Accessibility by Design“ zu schaffen.^[119]

2.             Das geplante Gesundheitsdatennutzungsgesetz (GDNG) und Digital-Gesetz (DigiG)

a)             Interne Forschung

Der Entwurf des Gesundheitsdatennutzungsgesetzes (GDNG)^[120] sieht die ergänzende Einschränkung des § 287 SGB V dergestalt vor, dass die bisher zwingende Anonymisierung nur noch erfolgen soll, wenn dies nach dem Forschungszweck möglich ist. Spätestens dann wird eine Hinzuziehung Dritter ohne ausdrückliche Einwilligung der betroffenen Personen nicht mehr zulässig sein.[121]

Darüber hinaus soll § 287a SGB V künftig eine automatisierte Verarbeitung der bei den Kranken- und Pflegekassen vorliegenden personenbezogenen Daten ohne Einwilligung der betroffenen Person zulassen, soweit sie zur Früherkennung von seltenen Erkrankungen, Durchführung von Maßnahmen zur Überprüfung der Arzneimitteltherapiesicherheit zur Erkennung von Gesundheitsgefahren,  risikoadaptierten Früherkennung von Krebsrisiken oder Durchführung weiterer vergleichbarer Maßnahmen zur Erkennung und Identifizierung akuter und schwerwiegender Gesundheitsgefährdungen erforderlich und geeignet ist.

b)            Übermittlung zwecks externer Forschung

Die wohl einschneidendste geplante Änderung betrifft die Übermittlung von Daten zu Forschungszwecken: Während dies bisher nur auf Grundlage einer Einwilligung erfolgen konnte, ist in der Entwurfsfassung des neuen § 363 SGB V vorgesehen, dass in der elektronischen Patientenakte gespeicherte Daten für die in § 303e Abs. 2 SGB V aufgeführten Zwecke zugänglich gemacht werden, soweit Versicherte nicht widersprochen haben (Abs. 5). Die Daten sollen dann automatisiert an das FDZ nach § 303d SGB V übermittelt werden, wenn sie zuverlässig automatisiert pseudonymisierbar sind.[122] Auch die Vorschriften zur Nutzung der ePA sollen nach dem Entwurf eines durch das Bundeskabinett am 30.8.2023 beschlossenen Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG)in erheblichem Umfang modifiziert werden:^[123] Nach § 344 Abs. 1 und Abs. 2a SGB V des Entwurfs stellt die Krankenkasse dem Versicherten eine ePA bereit, wenn dieser Versicherte nach vorheriger Information (§ 343 SGB V – E) gegenüber der Krankenkasse nicht innerhalb einer Frist von sechs Wochen widersprochen hat. Die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer haben die Daten des Versicherten, mit Ausnahme von Ergebnissen genetischer Untersuchungen oder Analysen, in die ePA vorbehaltlich eines Widerspruchs (§ 353 Abs. 1 oder Abs. 2 SGB V – E) zu übermitteln und dort zu speichern (§ 347 SGB V – E). Die Verpflichtung gilt für die konkrete aktuelle Behandlung des Versicherten im Rahmen der vertragsärztlichen Versorgung, soweit die oder der Versicherte gegen den Zugriff auf seine elektronische Patientenakte durch die genannten Leistungserbringer keinen Widerspruch erklärt hat („Opt out“) und soweit die Daten in interoperabler Form (§ 355 SGB V) verarbeitet werden.[124]

Auch hier geht der Gesetzgeber davon aus, dass diese Verarbeitungsvorgänge für die Versicherten (weiterhin) freiwillig sind[125], womit aber eine Einwilligung unterstellt wird, die aus o.g. Gründen ausdrücklich durch eine aktive Willensbekundung erfolgen müsste. Letztlich ergibt sich hieraus eine Kette von der Datenerhebung und Speicherung in der ePA bis hin zur Übermittlung an und (weitere) Verarbeitung durch externe (private) Forschungsinstitute, ohne dass eine Willenserklärung der betroffenen Person dies legitimiert.

3.             Zustimmung statt Einwilligung?

Soweit vertreten wird, dass eine Datenverarbeitung im Rahmen einer bloßen Betroffenenbeteiligung unterhalb der Schwelle einer informierten Einwilligung mittels bloßer Zustimmung möglich sei[126],  trifft dies nur insofern zu, als dann die Verarbeitung aufgrund einer gesetzlichen Grundlage – idR. „Forschungsklausel“ genannt – im Rahmen des Art. 9 Abs. 2 Buchst. j) DS-GVO ergänzt durch zusätzliche besondere Garantien in Form einer weiteren Willensäußerung oder unter dem Vorbehalt eines fehlenden Widerrufs als erfolgt.^[127] Voraussetzung ist aber auch hier, dass die Übermittlungsbefugnisnorm zum einen dem Bestimmtheitsgebot und zum anderen dem Verhältnismäßigkeitsprinzip entspricht. Das zusätzliche Zustimmungserfordernis oder ein erweitertes Widerrufsrecht bezogen auf in der Vergangenheit liegende Verarbeitungen können sich als besondere Garantien zugunsten der Verhältnismäßigkeit auswirken, dennoch entscheiden die betroffenen Personen nicht vollständig selbst über die Sekundärverarbeitung, wie die Begründung des Gesundheitsdatennutzungsgesetzes nahelegt.^[128] Dies gilt zumindest dann, wenn die Verarbeitung bereits vor Erteilung der Zustimmung erfolgt; eine Widerrufsmöglichkeit ersetzt keine aktive Willensbekundung, wie sie Art. 4 Nr. 11 DS-GVO und erst recht Art. 9 Abs. 2 Buchst. a) DS-GVO voraussetzen. Letztlich bildet „Opt-Out“ die ohnehin jederzeit bestehende Widerrufsmöglichkeit (Art. 7 Abs. 3 DS-GVO) ab, ohne aber eine vorherige Zustimmungshandlung vorauszusetzen. Ein Widerspruchsrecht besteht im Übrigen gegen Verarbeitungen zu wissenschaftlichen oder historischen Forschungszwecken ohnehin (Art. 21 Abs. 6 DS-GVO[129]). Erhebt die betroffene Person Widerspruch, obliegt es dem Verantwortlichen die Erforderlichkeit der Verarbeitung für eine im öffentlichen Interesse liegende Aufgabe nachzuweisen.^[130] Eine Einschränkung der Widerspruchsrechts wie in § 27 Abs. 2 Satz 1 BDSG, der für Sozialdaten in Händen von Privaten (§ 78 SGB X) nicht gilt, sieht § 75 SGB X nicht vor. [131] Die vollständige Freiwilligkeit ließe sich im Sinne der DS-GVO nur auf Grundlage einer vor Verarbeitung erklärten Einwilligung gestalten.

IX.        Fazit

Die Verarbeitung von Gesundheits(Sozial-)Daten zu Forschungszwecken dient dem legitimen Ziel der Verbesserung der Gesundheitsversorgung. Die Nutzung digitaler Technik bei der Verarbeitung von Gesundheitsdaten bietet viele Chancen, nicht nur die Effizienz der Verwaltung zu steigern, sondern auch die Gesundheitsversorgung zu verbessern und damit das Gemeinwohl zu fördern. Die Schutzpflicht des Staates gebietet es, die Erforschung von Krankheiten und Heilmethoden zu fördern, wozu auch die fremdnützige Erforschung von Gesundheitsdaten erkrankter Menschen gehört.

Dem steht der Datenschutz nicht entgegen; dieser flankiert vielmehr den Schutz des Grundrechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG), das unverzichtbar in einer modernen Informationsgesellschaft deren Mitglieder vor nicht hinnehmbaren Eingriffen in ihr Persönlichkeitsrecht und ihre Privatsphäre schützt.

Der Gesetzgeber hat die Wahl der Rechtsgrundlage, er muss sich jedoch konsequent an die Vorgaben der DS-GVO halten: Entweder schafft er gesetzliche Befugnisnormen zur Datenverarbeitung. Oder er setzt auf die Mitwirkung selbstbestimmter Staatsbürger und stützt die Verarbeitung auf eine Einwilligung.

Eine Einwilligung ist nicht erforderlich, wenn normative Verarbeitungsgrundlagen bestehen. Wird sie dennoch eingeholt und als Rechtsgrundlage verwendet, kann dies unverhältnismäßig sein. Eine wirksame Einwilligung setzt eine „Willensbekundung“ und damit ein aktives Verhalten voraus, was einer „Opt-Out-Lösung“ zwangsläufig entgegensteht.

Eine gesetzlich normierte Befugnis zur Sekundärverwertung würde eine entsprechende Abwägung mit dem informationellen Selbstbestimmungsrecht voraussetzen. Befugnisnormen können durch zusätzliche Zustimmungserfordernisse oder Widerrufsmöglichkeiten als besondere Garantien abgemildert werden, sie stellen dann aber am Verhältnismäßigkeitsprinzip zu messende Ermächtigungsgrundlagen dar.

Eine „zweckändernde Übermittlung“ kann nicht auf Art. 6 Abs. 4 DS-GVO gestützt werden, weil dann ein gänzlich neuer Verarbeitungsvorgang durch einen Dritten und keine Weiterverarbeitung in Gang gesetzt wird. Der Gefahr, dass der private Empfänger von Sozialdaten – z.B. Forschungsunternehmen – auf Grundlage von Art. 6 Abs. 4 DS-GVO eigeninitiativ entscheiden darf, ob eine Verarbeitung zu anderen Zwecken als zum Übermittlungszweck zulässig ist, begegnet erschöpfend die Pflicht zur Einholung einer Selbstverpflichtung des Empfängers. Bei der Frage nach der Schaffung gesetzlicher Grundlagen für die Sekundärverwertung von Gesundheitsdaten zu Forschungszwecken sind die Chancen für Rechtsgüter wie Leben und Gesundheit sowie die Forschungsfreiheit mit den Risiken für das Allgemeine Persönlichkeitsrecht abzuwägen, ohne diese gegeneinander auszuspielen. Eine Akzeptanz der Verarbeitung zum Wohle aller (Datenaltruismus, Datensolidarität) durch eine informierte Gesellschaft in Kenntnis der getroffenen technischen und organisatorischen Garantien, und der dennoch damit verbundenen Rest-Risiken wird hierbei zielfördernder sein, als eine staatlich unterstellte Freiwilligkeit.

DOI: 10.13154/294-10493

ISSN: 2940-3170

---

[1] S. nur Scheritz in Ferber/Seidenath (Hrsg.), Gesundheitsdaten nutzen!, Hanns-Seidel-Stiftung 2023, S. 180-191.

[2] Spiller, SozSich 2019, 311, 312.

[3] Katzenmeier, MDR 2019, 259 mwN.

[4] Orthmann/Schwiering, NJW 2014, 2984 mwN; Becker/Schwab, ZD 4/2015, 151.

[5] Terwey, ZESAR 2022, 3, 10.

[6] SVR-Gutachten, Rn. 547, abrufbar unter www.svr-gesundheit.de (abgerufen am 30.01.2023).

[7] Digitale-Versorgung-Gesetz DVG vom 09.12.2019 (BGBl 2019 I 2562).

[8] Vgl. BT-Drs. 19/13438; s. Kühling/Schildbach, NZS 2020, 41.

[9] S. dazu https://ec.europa.eu/health/ehealth-digital-health-and-care/european-health-data-space_de (abgerufen am 30.01.2023).

[10] IdF vom 30.05.2022 – ABl. Nr L 152 vom 03.06.22; dazu Hornung/Schomberg, CR 2022, 508 – 516.

[11] Vom 23.02.2022 COM2022 68 final 2022/0047 COD, CELEX:52022PC0068&from=DE (abgerufen am 30.01.2023).

[12] Vgl. Pressemitteilung EU-Kommission vom 23.02.2022. https://ec.europa.eu/commission/presscorner/detail/de/ip_22_1113 (abgerufen am 31.10.2023).

[13] S. Eckpunktepapier https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/moderne-verwaltung/open-data-strategie-der-bundesregierung.pdf?__blob=publicationFile&v=4 (abgerufen am 29.10.2023).

[14] https://www.bundesgesundheitsministerium.de/presse/pressemitteilungen/bundeskabinett-beschliesst-digitalgesetze-fuer-bessere-versorgung-und-forschung-im-gesundheitswesen.html (abgerufen am 14.09.2023).

[15] https://www.datenschutzkonferenz-online.de/media/en/20221124_en_06_Entschliessung_Petersberger_Erklaerung.pdf (abgerufen am 28.10.2023).

[16] BVerfGE 65, 1, 42; vgl. Di Fabio in Dürig/Herzog/Scholz, GG, Art. 2 Rn. 173.

[17] Di Fabio in Dürig/Herzog/Scholz/Di Fabio, 100. EL 2023, GG, Art. 2 Abs. 1 Rn. 229.

[18] BVerfGE 27, 344, 351; BVerfGE 75, 369, 380; BVerfGE 80, 367, 368.

[19] BVerfGE 113, 29, 45f.; BVerfGE 115, 320, 342.

[20] Vgl. Di Fabio in: Dürig/Herzog/Scholz, GG, Art. 2 Rn. 182.

[21] BVerfGE 78, 77, 85 ff.; s. zuletzt BVerfGE 120, 378 Rn. 162.

[22] S. zu Gesundheitsdaten EGMR  Y.G v. Russia . 8647/12, Rn. 44 f. (veröffentlicht unter https://hudoc.echr.coe.int/fre?i=002-13761, abgerufen am 06.02.2022).

[23] Bernsdorff in J.Meyer, Charta der Grundrechte, 5. Aufl. 2019, Art 8 Rn. 17.

[24] Riesz in Holoubek/Lienbacher Hrsg, GrCh 2. Aufl. 2019, Art. 8 Rn. 69; Jarass GrCh, 4. Aufl. 2022, Art. 8 Rn. 8; die Entscheidung des EuGH vom 05.05.2011 – C-543/09- ZD 2011, 79 Rn. 53 steht dem nicht entgegen.

[25] BVerfG vom 13.05.2020 – 1 BvR 1021/20 – juris Rn. 8; BVerfG vom 19.11.2021 – 1 BvR 781/21 u. a. – juris Rn. 174 ff.; BVerfG vom 16.12.2021 – 1 BvR 1541/20 – juris Rn. 97, 130.

[26] Di Fabio in: Dürig/Herzog/Scholz, GG, Art. 2 II, Rn. 52.

[27] BVerfGE 46, 160, 165.

[28] BVerfGE 115, 25 Rn. 65.

[29] Halm, MedR 2021, 247 – 249.

[30] Vgl. BVerfG vom 11.01.1994 – 1 BvR 434/87 – BVerfGE 90, 1, 11 f.

[31] Rombach in Hauck/Noftz/P.Becker, SGB X, § 75, 3. EL 2023, Rn. 4 mwN

[32] Kröll in Holoubek/Lienbacher (Hrsg.), GRC Kommentar, 2. Aufl. Wien 2019, Art. 13 Rn. 18 mwN; Differenzierend Geminn, DuD, 2018, 640 f. mwN.

[33] Werkmeister/Schwaab, CR 2019, 85 mwN.

[34] BVerfGE 47, 327, 369 = juris Rn. 156; von der Decken in Schmidt-Bleibtreu, GG, 15. Aufl 2022, Art. 5 Rn. 55.

[35] Rombach in Hauck/Noftz/P.Becker, SGB X, § 75, 11/20, Rn. 2 mwN;

[36] BVerfGE 47, 327, 369; Starck/Paulus in v. Mangoldt/Klein/Starck, GG, 7. Aufl. 2014, Art. 5 Rn. 540 für nicht anonymisierte Daten; Lindner, JURA 2018, 240, 243.

[37] Fehling in Kahl/Walter, BK GG, 110 EL. 2004, Art. 5 Abs. 3 Rn. 160, 171.

[38] BVerfGE 89, 214, 232; Spitz/Jungkunz/Schickhardt/Cornelius, MedR 2021, 499, 500.

[39] BayVerfGH, Urt. v. 28.01.2022 – Vf. 65-VII-21 – juris Rn. 19; vgl. BVerfG vom 13.05.2020 – 1 BvR 1021/20 – juris Rn. 8.

[40] Weber-Hassemer, in Herzog/Neumann, FS für Hassemer, 2010, S. 1249, 1258.

[41] A.A. Starck/Paulus in v. Mangoldt/Klein/Starck, GG, 7. Aufl. 2014, Art. 5 Rn. 540 sowie Fehling in Kahl/Walter, BK GG, 110 EL. 2004, Art. 5 Abs. 3 Rn. 171 für nicht anonymisierte Daten.

[42] S. dazu Bieresborn, NZS 2017, 887, 891.

[43] BSGE 131, 169 Rn. 25 ff.; bereits BSGE 127, 181 Rn. 15; kritisch Kircher, SGb 2021, 649, 651; .

[44] EuGH vom 22.06.2021- C-439/19 – (Latvijas Republikas Satversmes tiesa), ZD 2021, 625 Rn. 62 ff; vgl. bereits zu Art. 3 Abs. 2 RL 95/46 EuGH vom 09.07.2020 – C‑272/19 (Land Hessen) – RDV 2020,263, Rn. 70.

[45] Vgl. BT-Drs. 18/12611, S. 110.

[46] Krit. Kühling, NJW 2017, 1985, 1986; Benecke/Wagner, DVBl. 2016, 600 f.

[47] Ausführlich Spranger, MedR 2017, 864, 866; s. auch Erwg. 53.

[48] Vgl. Schadly/Schömann/Schulz, RDV 2021, 258, 260.

[49] Steege, GuP 2021, 125, 131; EuGh vom 22.06.2023 – C 579/21 – NJW 2023, 2555 Rn. 42; VG Hamburg vom 28.07.2022 – 21 K 1802/21 – juris Rn. 42 ff..

[50] Vgl. Hornung/Wagner, CR 2019, 565, 568.

[51] Der EuGH hat dies zur Richtlinie 95/46 verneint: EuGH, Urt. v. 19.10.2016 – C-582/14 (Breyer), NJW 2016, 811 Rn. 46; zustimmend Schweinoch/Peintinger, CR 2020, 643, 644; a.A. zur DS-GVO Karg in: Simitis/Hornung/Spieker genannt Döhmann DS-GVO/BDSG, 1. Aufl. 2019, Art. 4 Nr. 1 Rn. 64;

[52]Schwartmann/Mühlenbeck, RDV 2022, 264, 265; Hacker, Law, Innovation and Technology, 2021, VOL. 13, NO. 2, 257, 266 abrufbar open source. https://www.tandfonline.com/doi/epdf/10.1080/17579961.2021.1977219?needAccess=true&role=button (abgerufen am 03.02.2023).

[53] Roßnagel/Scholz, MMR 2000, 721, 724.

[54] S. kritisch zur Zuständigkeit der EU Dochow, GesR 2016, 401, 403.

[55] Kritisch dazu Schadly/Schömann/Schulz, RDV 2021, 258, 260.

^[56] Vgl. BayVGH, Urt. v. 31.01.2014 – 11 CS 13.2216, juris Rn. 13.

[57] Vgl. BSGE 110, 75, 83.

[58] Gilt nicht gem. Art. 6 Abs. 1 S. 2 DS-GVO für Behörden im Rahmen ihrer Aufgaben!

[59] S. zur Abgrenzung von Buchst. c) und e) Buchner/Petri, in: Kühling/Buchner (Hrsg.), DSGVO/BDSG, 3. Aufl 2020, Art. 6 DS-GVO Rn. 78 u. 116, wonach Art. 6 Abs. 1 Buchst. c DS-GVO vornehmlich als Grundlage für denjenigen, der an öffentliche Stellen Daten übermitteln muss, dient; vgl. zum »Doppeltürmodell« BVerfG, NJW 2016, 1781, 1803.

[60] S. auch ErwG 54 DS-GVO sowie Albrecht, CR 2016, 88, 97.

[61] Frenzel in Paal/Pauly Hrsg., DS-GVO BDSG, 3. Aufl., München 2021, Art. 5 Rn. 14; Reimer in Sydow/Marsch, Europäische Datenschutzgrundverordnung, 3. Aufl. 2022, Art. 5 Rn. 1.

[62] Vgl. BVerfG NJW 2009, 1405.

[63] Mühlenbeck/Pabst/Schwartmann in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2. Aufl. 2020, Artikel 6 VO EU 2016/679, Rn. 124, sehen § 3 BDSG als ausreichende Grundlage an.

[64] ErwG 39 DS-GVO.

[65] Geppert, in: Taeger, Recht 4.0, 2017, S. 733, 733; Schulz, in: Gola, Datenschutz-Grundverordnung, Art. 6 Rn. 195; zu ärztlichen Daten Schaar, WzS 2017, 212, 213.

[66] Vgl. Robbers in Ferber/Seidenath (Fn. 1), S. 233-239.

[67] Niemann/ Kevekordes, CR 2020 17,18; Gausling, PinG 2019, 61, 63.

[68] S. Schanz, Datenschutzrecht, Art. 5 Rn. 515.

[69] Vgl. bereits BVerfGE 65, 41ff.

[70] S. zuletzt BVerfG vom 16.02.2023 – 1 BvR 1547/19, 1 BvR 2634/20 – Rn (automatisierte Datenanalyse für die vorbeugende Bekämpfung von Straftaten); BVerfGE 156, 11 Rn. 100 (Data-Mining); vgl. BVerfGE 141, 220 Rn. 287; vgl. zuvor BVerfGE 130, 1, 33.

[71] Frenzel in: Paal/Pauly, DS-GVO, Art. 6 Rn. 46; vgl. Buchner/Petri in: Kühling/Buchner (Fn. 59), Art. 6, Rn. 199 f., die betonen, dass Art. 6 Abs. 4 DS-GVO keine Öffnungsvorschrift sei. ErwG 50 S. 2 wird allgemein als redaktionelles Versehen interpretiert, Schantz NJW 2016, 1841, 1844.

[72] Vgl. aber Jukić/Rahn, GesR 2020, 749, 755. 

[73] S. sogleich zur Verhinderung unerwünschter zweckändernder Verarbeitungen durch Private unter VII.2.d).

[74] Bieresborn in Schütze, SGB X, 9. Aufl. 2020, § 67c, Rn. 19; so auch im Ergebnis Spitz/Cornelius, MedR 2022, 191. 

[75] S.unten VI.2.d).

[76] Vgl. auch Art. 9 Abs. 2 Buchst. j, Art. 14 Abs. 5 Buchst. b, Art. 17 Abs. 3 Buchst. d, Art. 21 Abs. 6 und Art. 89 DS-GVO

[77] Tinnefeld in Kühling/Buchner/Buchner (Fn. 59) Art. 89 Rn. 1 u. 23.

[78] Buchner/Petri in Kühling/Buchner (Fn. 59), Art. 6 Rn. 24.

[79] EuGH, Urt. v. 01.10.2019 – C-673/17 Planet49 – NJW 2019, 3433; s. zu Cookie-Einstellungen BGH, RDV 2020, 267-272; ausführlich Voigt, Die datenschutzrechtliche Einwilligung, Diss. Freiburg 2020 S. 323 ff;Ehmann in Forgó/Helfrich/Schneider (Hrsg.), Betrieblicher Datenschutz, 3. Aufl. 2019 Teil IX, Kap. 1 Rn. 20; Arning/Born, ebenda, Teil X, Kap. 2 Rn. 51.

[80] So aber der Sachverständigenbeirat in seinem Gutachten „Digitalisierung im Dienste der Gesundheit“ Rn. 547, abrufbar unter www.svr-gesundheit.de (abgerufen am 02.02.2023); vgl. auch Koalitionsvertrag 2021 – 2025 zwischen der SPD, BÜNDNIS 90 / DIE GRÜNEN und F.D.P. 2021, S 83.

[81] Vgl. auch ErwG 42:“…für welche Zwecke ihre personenbezogenen Daten verarbeitet werden (!) sollen.“

[82] S. zur Zustimmung als „niedrigschwellige Einwilligung“ unten VII 3.

[83] Vgl. Klasen/Klasen, JM 2020, 398 – 404; s. auch Pudelko, ArchsozArb 4/2021, S. 66 ff.; Brückner/Herweck, ArchsozArb 1/2021, 52, 55.

[84] S.o. Fn. 10.

[85] Dazu Hornung/Schomberg, CR 2022, 508, 512; Linardatos CR 2022, 571, 575 f. mit dem Hinweis auf die ähnliche Funktion von Krebsregister führenden Stellen.

[86] Specht-Riemenschneider, MMR 2022, 809, 810; Gerpott, CR 2022, 271.

[87] Veil, PinG 2023, 1, 7; Kemper, AnwZert ITR 5/2022 Anm. 2; Richter, ZD 2022, 3, 5; zur Kritik: Raji, ZD 2023, 3, 7.

[88] Veil, PiNG 23, 1,2, der auch darauf hinweist, dass demgegenüber in der EHDS wiederum von Primärnutzung und Sekundärnutzung (Art 2 Abs 2 Buchst d) und Buchst e)) die Rede ist.

[89] S. ErwG 32 und 33 DS-GVO.

[90] BT-Drs. 18/12611 S. 113 f.; Schaar, ZD 2017, 213.

^[91] Mallmann/Walz, NJW 1981, 1023.

[92] Kipker in Bieresborn/Schafhausen, MüHdB Sozialrecht, § 48 (vorauss Erscheinungsdatum Ende 2023).

[93] S. Beispiel in BT-Drs. 18/12611 S. 118.

[94] Rombach in: Hauck/Noftz SGB X, 3. EL. 2023, § 75 SGB X, Rn. 2b).

[95] Krause in: Schlegel/Voelzke, jurisPK-SGB X, 2. Aufl., § 75 SGB X 1. Überarbeitung (Stand: 22.05.2018), Rn. 40.

[96]Koch in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 287 SGB V (Stand: 16.02.2023), Rn. 9.

[97] Kranig in: Hauck/Noftz SGB V, 10. EL. 2023, § 287 SGB V, Rn. 6 ff.

[98] S.o. III. zu den Schwierigkeiten einer vollständigen Anonymisierung.

[99] Koch in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 287 SGB V (Stand: 16.02.2023), Rn. 10.

[100] Vgl. BT-Drs. 18/12611 S. 113.

[101] Spitz/Cornelius, MedR 2022, 191.

[102] Kühling/Schildbach, NZS 2020, 41.

[103] Rombey, ZFSH/SGB 2023, 8, 15.

[104] Buchheim, PharR 2022, 546, 547; s. zu den Erfahrungen Finnlands mit „Findata“ als One-Stop-Shop-Modell für Gesundheitsdaten das Gutachten zu Forschung, Innovation und technologischer

Leistungsfähigkeit Deutschlands 2022, BT-Drucks 20/1656, S. 103.

[105] Ausführlich Lorenz, AnwZert ITR 5/2023 Anm. 3.

[106] BVerfG, Beschl. v. 19.03.2020 – 1 BvQ 1/20 Rn. 17; dazu Lippert, GesR 2020, 639-642.

[107] Dazu Hornung/Schomberg, CR 2022, 508, 512; Linardatos CR 2022, 571, 575 f. mit dem Hinweis auf die ähnliche Funktion von Krebsregister führenden Stellen.

[108] So aber Linardatos, CR 2022, 571, 577.

[109] ErwG 32 DS-GVO.

[110] Dazu oben VI.2.a).

[111] Zutreffend Veil, PinG 2023, 1, 6.

[112]  Bieresborn in Schütze 9. Aufl. 2020, SGB X § 67c Rn. 21).

[113] Raum in Krahmer, Sozialdatenschutzrecht, 5. Aufl. 2023, § 75 Rn. 54.

[114] S. oben Fn. 9.

[115] S. oben Fn. 11.

[116] Zurawski/Schaller, ZD-Aktuell 2022, 01119; Hennemann/Steinrötter, NJW 2022, 1481, 1482 f.

[117] Schneidereit, CR 2023, 9, 12; a.A. Specht-Riemenschneider, MMR 2022, 809, 826 für Nutzer, die selbst nicht betroffene Personen sind.

[118] Specht-Riemenschneider, MMR 2022, 809, 810.

[119] Kemper, AnwZert ITR 5/2022 Anm. 2.

[120] S.o. Fn. 14.

[121] Vgl. zu § 27 Abs. 3 BDSG, der für Nicht-Sozialdaten Ausnahmen von der Anonymisierungspflicht vorsieht Werkmeister/Schwaab, CR 2019, 85, 86.

[122] Entwurfsbegründung GDNG S. 84 (zu Nr. 19).

[123] S.o. Fn. 14.

[124] Entwurfsbegründung und S. 134 (zu Nr. 48).

[125] Entwurfsbegründung zu GDNG S. 84 sowie zu DigiG S. 132 (zu Nr. 46).

[126] Vgl. Robbers in Ferber/Seidenath (Fn. 1), S. 88, 89.

[127] So letztlich auch Spitz/Jungkunz/Schickhardt/Cornelius, MedR 2021, 499, 504.

[128] Entwurfsbegründung GDNG S. 84 (zu Nr. 19 zu Buchst e).

[129] Herbst in Kühling/Buchner (Fn. 59), Art. 21 Rn. 47; Schulz in Gola/Heckmann, DS-GVO/BDSG, 3. Aufl. 2022, Art. 21, Rn. 36.

[130] Martini in Paal/Pauly, DS-GVO/BDSG, Art. 21 Rn. 60.

[131] Vgl. zu § 27 BDSG Werkmeister/Schwaab CR 2019, 85, 89.