93
Ein praxisrelevantes Beispiel für eine Verarbeitung von Gesundheitsdaten liegt in der Zoonosenforschung. Zoonosen sind „Infektionskrankheiten, die wechselseitig zwischen Mensch und Tier übertragen und durch Viren, Bakterien, Parasiten oder Prionen ausgelöst werden können“[174]. Aus diesem Forschungsgebiet entwickelte sich eine Forschungsplattform für Zoonosen, die als One-Health-Netzwerk die Zoonosen- und Infektionsforschung koordiniert.[175] Dieses Anwendungsfeld ist nicht nur ein Beispiel für eine Big Data-Anwendung, sondern auch dafür, dass letztlich Daten über Tiere zu Gesundheitsdaten für die betroffenen Personen werden können und zeigt die Weite des Anwendungsbereichs des Gesundheitsdatums auf. Als Rechtfertigungstatbestand kommt insbesondere Art. 9 Abs. 2 lit. j in Betracht.
94
Ein weiteres Beispiel für die Verarbeitung von genetischen Daten bzw. Gesundheitsdaten sind Biodatenbanken und klinische Prüfungen. Biodatenbanken sind eine „Sammlung, Archivierung und ggf. Aufbereitung von menschlichen Biomaterialien“[176]. Im Rahmen dieser Datenbanken werden bestimmte menschliche Merkmale oder Eigenschaften erforscht, die die Entstehung bestimmter Krankheiten beeinflussen, um so Behandlungsmethoden und Präventionsansätze zu entwickeln.[177] Da es sich bei den verarbeiteten Daten um genetische Daten bzw. um Gesundheitsdaten handelt, ist Art. 9 einschlägig. Eine andere spezialgesetzliche Grundlage findet bei Biodatenbanken oftmals keine Anwendung, weil § 2 Abs. 2 Nr. 1 GenDG den Bereich der Forschung in sachlicher Hinsicht ausklammert.[178] Als Rechtfertigung kommt insbesondere Art. 9 Abs. 2 lit. j in Betracht, wenn die Biodatenbank Forschungszwecken dient. Andernfalls ist sind Abs. 2 lit. h und i einschlägig. Auch kann lit. e einschlägig sein. Zur Datenverarbeitung von Gesundheitsdaten zu Forschungszwecken vgl. Art. 89 Rn. 31 ff.
95
Im Rahmen von klinischen Prüfungen stellt sich zunächst die Frage nach dem Verhältnis des Arzneimittelgesetzes (AMG) zur DS-GVO. Da das AMG vor allem auf die VO (EU) Nr. 536/2014[179] zurückgeht, die nach Ansicht des EDSA[180] eine stärkere Harmonisierung der Bestimmungen für die Durchführung klinischer Prüfungen bezwecken soll, die DS-GVO demgegenüber den Schutz personenbezogener Daten betrifft, stehen die Verordnungen in keinem hierarchischen Verhältnis zueinander, sondern dienen unterschiedlichen Zwecken und finden daher nebeneinander Anwendung.[181] Da die Verarbeitung der Daten der Prüfungsteilnehmer eine Verarbeitung sensibler Daten darstellt, ist hinsichtlich einer Rechtfertigung insbesondere an lit. a und e zu denken, ggf. auch an lit. h, i und j, wenn die klinischen Prüfungen zu Forschungszwecken erfolgen (dazu auch Art. 89 Rn. 31 f.).[182] Zudem sind die §§ 22, 27 BDSG zu beachten. Hinsichtlich der Einwilligung ist insbesondere das Konkurrenzverhältnis zu § 40 Abs. 2a S. 2 Nr. 2 AMG problematisch, weil dieser abweichend von Art. 7 Abs. 3 die Unwiderruflichkeit der Einwilligung in die Datenverarbeitung statuiert.[183] Denn § 40 Abs. 2a S. 2 Nr. 2 AMG bezieht sich nur auf die Möglichkeit des Widerrufs einer Einwilligung in die Teilnahme an der klinischen Prüfung nach § 40 Abs. 1 S. 3 Nr. 3 lit. c AMG, nicht aber auf die Möglichkeit des Widerrufs der Einwilligung in die damit einhergehende Datenverarbeitung und steht damit im Widerspruch zu Art. 7 Abs. 3 DS-GVO.[184] Insofern genießt die DS-GVO gegenüber dem AMG bis zur Anpassung des AMG Anwendungsvorrang.[185] Die Wirksamkeit der datenschutzrechtlichen Einwilligung richtet sich dementsprechend nach den Anforderungen aus Art. 6 Abs. 1 S. 1 lit. a, Art. 7 und Art. 9 Abs. 2 lit. a. Demgegenüber gelten hinsichtlich der Voraussetzungen für eine wirksame Einwilligung für die Teilnahme an einer klinischen Prüfung die Vorschriften der VO (EU) Nr. 536/2014 bzw. deren Art. 29 sowie die Vorschriften des AMG. Dies sieht die DS-GVO in ErwG 156 S. 7, 161 ausdrücklich vor.
96
Ein weiteres Anwendungsfeld liegt in der Übermittlung von Daten zwischen Krankenkassen und einer anderen (privaten) Versicherung.[186] Relevant wird diese Fallgruppe praktisch etwa dann, wenn eine Krankenkasse zur Geltendmachung von Regressansprüchen die Gesundheitsdaten ihres Versicherten an die private Haftpflichtversicherung des Schädigers übermittelt.[187] Es handelt sich hierbei um eine rechtfertigungsbedürftige Verarbeitung von Gesundheitsdaten nach Art. 9. Das deutsche Gesundheits- und Sozialrecht enthält allerdings ein bereichsspezifisches Datenschutzrecht (z.B. §§ 35 SGB I, 67 ff. SGB X, 213 VVG), das gegenüber § 22 BDSG nach § 1 Abs. 2 S. 1 und 2 BDSG vorrangig ist.[188] Bei der Verarbeitung von Gesundheitsdaten durch private Versicherungsunternehmen ist demgegenüber die DS-GVO einschlägig. Als Rechtfertigungstatbestände kommen dann insbesondere Art. 9 Abs. 2 lit. a, b und f in Betracht.[189]
f) Daten zum Sexualleben oder der sexuellen Orientierung
97
Die letzte in Art. 9 Abs. 1 genannte Datenkategorie bilden Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Die Verarbeitung von Daten zum Sexualleben oder der sexuellen Orientierung ist daher grundsätzlich verboten.
98
Während manche[190] hinsichtlich der Begrifflichkeiten keine Unterschiede sehen, lassen sich die Begriffe doch wie folgt voneinander abgrenzen. Dabei ist freilich erneut zu betonen, dass es in der Praxis keine Auswirkungen hat, ob Daten nun unter den Begriff des Sexuallebens oder der sexuellen Orientierung subsumiert werden, da Art. 9 Abs. 1 hinsichtlich der Rechtsfolgen nicht zwischen den verschiedenen Datenkategorien differenziert.
99
Zum Sexualleben gehört so etwa die Wahl der Sexualpartner oder bestimmte sexuelle Vorlieben oder Praktiken.[191] Ob der Einkauf in einem Sexshop unter die Daten zum Sexualleben fällt, wird unterschiedlich beurteilt.[192] Da die Kundeneigenschaft in einschlägigen Läden allerdings oftmals Rückschlüsse auf das Sexualleben zulässt und in Anbetracht der Sensitivität der Daten, sprechen die überzeugenderen Argumente für ein weites Begriffsverständnis.
100
Die sexuelle Orientierung erfasst demgegenüber jedenfalls die tradierten Zuordnungen wie Homo- oder Heterosexualität, aber auch alle anderen Formen der sexuellen Orientierung (etwa Bisexualität).[193]
101
Letztlich stellt diese Schutzkategorie aus Art. 9 Abs. 1 eine besondere Ausprägung des Diskriminierungsverbots