Gesundheitsversorgung in Zeiten der Datenschutz-Grundverordnung

Indra Spiecker gen. Döhmann

Gesundheitsversorgung im Zeitalter der DS-GVO – eine Einführung¹

Eine Tagung und erst recht eine Veröffentlichung der Beiträge dieser Tagung in erweiterter Form zur Datenschutz-Grundverordnung (DS-GVO) und deren Bedeutung für die Gesundheitsversorgung ruft nach einer grundsätzlicheren Betrachtung von Datenschutz und Gesundheitsversorgung. Denn Gesundheitsversorgung und Datenschutz als normative Werte treffen sich nicht nur in vielen Einzelfragen; sie sind beide in gewisser Weise auch elementar für unsere Gesellschaft, wie sie im Schatten des Grundgesetzes konstituiert worden ist. Besteht ein grundlegender Dissens zwischen den Wertvorstellungen, oder sind möglicherweise die Zielrichtungen der beiden Rechtsregime ähnlich? Dies ist für ganz grundlegende Entscheidungen im Falle von einzelnen Konflikten nicht beiläufig von Gewicht.

Fragen wir also zunächst: Was will Datenschutz?²

Datenschutz will die Autonomie des Einzelnen wahren: Der Mensch soll unabhängig und frei entscheiden können; er soll sich verändern können; er soll im Kontext wahrgenommen werden können³. Datenschutz will somit die Voraussetzungen für ein selbstbestimmtes Leben und Entscheiden ermöglichen und bewahren.⁴

Datenschutz will verhindern, dass durch einseitige Informationsvorsprünge Machtasymmetrien entstehen und gegen das Individuum verwendet werden können.⁵ Die Verletzlichkeit des Einzelnen durch Diskriminierung soll berücksichtigt und sie soll noch weitergehend vermieden werden.⁶ Damit eng ←11 | 12→verbunden ist das Ziel, faire Wettbewerbsbedingungen in einem Binnenmarkt der Daten zu schaffen und zu erhalten. Verstöße gegen das Datenschutzrecht sollen nicht dazu führen können, dass einzelne Unternehmen sich im Wettbewerb leichter behaupten können.⁷

Datenschutz will Effekte von Datenverarbeitungen auf Dritte kontrollieren: Die Aussagen, die aus Datenverarbeitungen über eine Person gewonnen werden können, sollen nicht ohne Weiteres auf andere übertragen werden können, denn eine solche Übertragung kann deren Freiheit in gleicher Weise beschränken.

Datenschutz will ermöglichen, dass Grundrechte ohne chilling effects geltend gemacht werden können: Der Einzelne soll sich nicht in seiner Freiheitlichkeit dadurch bedrängt sehen, dass seine Grundrechtsaktivierung beobachtet und bewertet wird.⁸ Nicht nur damit ist Datenschutzrecht ein wesentliches Rückgrat für Freiheitlichkeit und Demokratie im Rechtsstaat.⁹

Datenschutzrecht will präventiv wirken: Schon die Gefährdung durch den Umgang mit Daten soll beseitigt werden.¹⁰

Fragen wir weiter: Was will Gesundheitsversorgung?

Gesundheitsversorgung will die Selbstbestimmung des Einzelnen sichern. Auch unter widrigen Umständen soll er frei agieren und entscheiden können; dies soll er auch im Rahmen der gesundheitlichen Entscheidungen verwirklichen können. Gesundheitsversorgung will damit die Voraussetzungen für ein selbstbestimmtes Leben und Entscheiden ermöglichen und bewahren.

Gesundheitsversorgung will die Gesundheit des Einzelnen und die Volksgesundheit erhalten, wiederherstellen oder sogar verbessern und eine bedarfsgerechte Versorgung sicherstellen.¹¹

Gesundheitsversorgung will die Veränderungspotentiale des Individuums erhalten und eröffnen: Körperliche und seelische Grundbedingungen für ein autonomes Leben sollen gewährleistet sein, dazu gehört auch – aber eben nicht ←12 | 13→nur! – die Sicherstellung der Berufs- und Erwerbsfähigkeit als Grundlage der Existenzsicherung.

Gesundheitsversorgung will dies jedenfalls in der Finanzierung solidarisch tun;¹² es werden in der solidarischen Gesundheitsversorgung auch Effekte betrachtet, die das Verhalten einer Person auf das Verhalten anderer Personen hat. Insbesondere im Bereich der Prävention und Gesundheitsfürsorge spielt das eine große Rolle.

Gesundheitsversorgung will präventiv wirken: Krankheiten sollen erst gar nicht entstehen.¹³

Betrachtet man diese multiplen Zielsetzungen, weisen Datenschutz und Gesundheitsversorgung bei aller Verschiedenheit doch ganz elementare Ähnlichkeiten in einer Reihe ihrer Ziele auf. Beide sichern ganz ähnliche Grundwerte, die für Freiheitlichkeit des Entscheidens und eine selbstbestimmte Existenz fundamental sind. Dieser Gleichlauf zeigt sich im Einzelnen in vielen normativen Vorstellungen, die ähnlich gelagert sind – zum Beispiel in der Betonung der Prävention. Nicht erst der Datenmißbrauchs- bzw. Krankheitsfall soll angegangen werden, sondern schon im Vorfeld soll verhindert werden, dass es dazu kommt. Vor allem aber wird die Gemeinsamkeit deutlich, wenn man die Verbindung zu Freiheit und Mensch-Sein zieht: Jegliche Freiheit setzt voraus, dass der Einzelne diese Freiheit auch tatsächlich wahrnehmen kann, und dazu gehört die körperliche und psychische Integrität genauso wie die informationelle Selbstbestimmung. Beides zählt zu den elementaren Voraussetzungen des Subjekt-Seins, beides findet seine Wurzel im Würdeprinzip des Art. 1 Abs. 1 GG.

Die Verbindung dieser beiden normativen Vorstellungen wird aus Sicht des Datenschutzrechts auch sichtbar in dem Umstand, dass gesundheitsbezogene Daten einen besonderen Schutz erfahren, Art. 9 EU-Datenschutz-Grundverordnung (DS-GVO): Datenschutz und Gesundheitsversorgung gehen Hand-in-Hand; gesundheitsbezogene Daten dürfen nur unter besonders engen Voraussetzungen verarbeitet werden. Denn das Wissen um Krankheit kann die durch Krankheit erfahrenen Einschränkungen noch weiter vertiefen. Man denke nur an den Arbeitgeber, der seinen Mitarbeiter wegen einer Krankheit gar nicht ←13 | 14→mehr befördert: Im Falle einer Heilung erfährt der Mitarbeiter auch noch eine berufliche Benachteiligung.

Während Versuche zur grundlegenden Reform des deutschen Gesundheitsrechts gerade erst wieder gescheitert oder gar nicht erst angegangen worden sind,¹⁴ hat das Datenschutzrecht dagegen 2018 eine Zäsur erfahren: Seit dem 25.05.2018 beansprucht die Europäische Datenschutzgrundverordnung (DS-GVO) Geltung. Sie löst die seit 1995 geltende EU-Datenschutzrichtlinie (DS-RL) sowie das diese umsetzende BDSG a.F. samt Neben- und Spezialgesetzen ab, sofern diese nicht auf der Basis von besonderen Öffnungsklauseln in der DS-GVO beibehalten werden dürfen. Diese Neuregelung des Datenschutzrechts betrifft auch das Gesundheitsrecht. Mit der DS-GVO wurde die veraltete DS-RL einer grundlegenden Überarbeitung unterzogen und wurden deren Defizite regulatorisch angegangen. So wird insbesondere auf die Entwicklung des Internets als solches und der dort angebotenen Informationsdienstleistungen reagiert; allerdings ist die angestrebte ePrivacy-VO, die Sonderregelungen für die Online-Verarbeitung von Daten schaffen sollte, bis heute nicht verabschiedet und begegnet weiterhin erheblichem Widerstand von vielen Seiten¹⁵.

Neben den neueren technischen Entwicklungen will die DS-GVO vor allem das gravierende Vollzugsdefizit beheben, das bei der Durchsetzung des Datenschutzrechts unter der alten Rechtslage zu beobachten war.¹⁶ Die schwache faktische Einflussmöglichkeit des Betroffenen – wie hätte er überhaupt Datenschutzrechtsverstöße technisch und faktisch ermitteln sollen? –, die schwache Rechtsposition des Einzelnen – den standardisierten Angeboten der ←14 | 15→Internetdienstleister kann der Einzelne nichts entgegensetzen -, die uneinheitliche Ausgestaltung, Interpretation und schließlich Durchsetzung geltenden Rechts in den Mitgliedstaaten waren so weit fortgeschritten, dass es ein europäisches Datenschutzrecht kaum noch gab.¹⁷ Weder ließ sich damit der Binnenmarkt in diesem wichtigen Bereich als vereinheitlicht betrachten noch war das Ziel des Schutzes der Bürger damit verwirklicht.¹⁸

Schon die Wahl des Instruments der Verordnung nach Art. 288 EUV, wonach eine mitgliedstaatliche Umsetzung gar nicht mehr möglich ist, spricht Bände für die Zielsetzung des europäischen Gesetzgebers: Sie zielt auf Vereinheitlichung und damit auf Beseitigung eines wesentlichen Problems des alten Datenschutzrechts. In der weiteren Konsequenz enthält die DS-GVO kaum materielle Rechtsänderungen; ihr Veränderungsimpetus erstreckt sich im Wesentlichen auf Verfahrensänderungen und Neuregelungen hinsichtlich der Effektivität der Durchsetzung des Rechts.¹⁹

Inhaltlich ist daher das Verbotsprinzip erhalten geblieben, wonach jeglicher Datenumgang der Rechtfertigung durch eine Einwilligung oder eine Rechtsgrundlage bedarf, Art. 6 Abs. 1 1. Halbsatz i.V.m. Art. 6 Abs. 1 lit. a) bis lit. f) DS-GVO. Auch die Zweckbindung ist im Prinzip vergleichbar der DS-RL ausgestaltet geblieben: Jeder Schritt der Datenverarbeitung ist an die originäre Zweckbindung gebunden, Art. 5 Abs. 1 lit. b). Auch Definitionen haben sich inhaltlich kaum verändert. Das personenbezogene Datum ist von der inhaltlichen Ausfüllung her identisch geblieben,²⁰ auch wenn nun von „Identifizierbarkeit“ die Rede ist. Auch der schon unter der DS-RL hervorgehobene Schutz von besonderen Kategorien personenbezogener Daten, zu denen auch die Gesundheitsdaten gehören, ist erhalten, eher noch erweitert worden, Art. 9 DS-GVO.²¹ Die Rechte der Betroffenen auf Auskunft, Berichtigung, Löschung, Beschwerde, Schadensersatz etc. in den Artt. 12 ff. geltend fort; sie sind allerdings auch im Hinblick auf ihre Effektivität hin verstärkt worden, insbesondere durch Konkretisierungen ←15 | 16→des Rechts auf Information in Art. 13 DS-GVO und Art. 14 DS-GVO. Auch weiterhin gilt das Grundprinzip der Technikneutralität: Die DS-GVO sieht so gut wie keine auf bestimmte Technologien bezogenen Spezialregelungen vor.²² Schließlich hat sich auch an den Bedingungen für den Datentransfer in Nicht-EU-Staaten wenig geändert: Es bleibt als Kernanforderung bestehen, dass der Datentransfer nur an Staaten, Industrien oder Datenverarbeiter zulässig ist, die über ein angemessenes Datenschutzniveau verfügen, Artt. 44 ff. DS-GVO.