e) Ausgewählte Öffnungsklauseln
Die DSGVO sieht einige Öffnungsklauseln vor, die unter anderem speziell den Gesundheitsbereich in einzelnen Mitliedstaaten betreffen können.130 Hierzu gehören insbesondere Öffnungsklauseln in Art. 6, 9 und 89 DSGVO.
aa) Öffnungsklauseln in Art. 6 DSGVO
(1) Verarbeitung zur Erfüllung rechtlicher Verpflichtungen oder zur Wahrnehmung öffentlicher Aufgaben
Nach Art. 6 Abs. 1 Satz 1 lit. c DSGVO kann eine Verarbeitung rechtmäßig sein, wenn der Verantwortliche sie zur Erfüllung einer rechtlichen Verpflichtung vornimmt. Nach Art. 6 Abs. 1 Satz 1 lit. e DSGVO ist eine Verarbeitung rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. In beiden Fällen kann die jeweilige Rechtsgrundlage nicht für sich stehen, sondern es bedarf des Rückgriffs auf eine mitgliedstaatliche Regelung, die die jeweilige Verarbeitungstätigkeit erforderlich macht.131
Für sich genommen bieten die Rechtsgrundlagen dem Wortlaut nach einen sehr großen Spielraum für die Mitgliedstaaten.132 Die Besonderheit des Datenschutzrechts, das als sog. Querschnittsmaterie alle Bereiche der Gesetzeslandschaft berührt, in der personenbezogene Daten eine Rolle spielen, wird dadurch berücksichtigt.133 Die beiden Vorschriften werden jedoch durch Art. 6 Abs. 3 DSGVO flankiert.134 Dort wird auch gefordert (vgl. Satz 2), dass der Zweck der Verarbeitung in der jeweiligen nationalen Rechtsgrundlage festgelegt sein muss. Im Gesundheitsbereich werden diese Öffnungsklauseln beispielsweise in typischen Behandlungssituationen relevant, allerdings auch im Bereich der Notfallmedizin und der öffentlichen Gesundheit (vgl. § 22 Abs. 1 Nr. 1 lit. b und lit. c BDSG).
(2) Ausnahme vom Grundsatz der Zweckbindung
Nach Art. 6 Abs. 4 DSGVO besteht die Möglichkeit, personenbezogene Daten, die zu einem bestimmten Zweck erhoben wurden, zu einem „anderen Zweck“ weiterzuverarbeiten.135 Voraussetzung ist, dass der Verantwortliche anhand eines Kriterienkatalogs (Art. 6. Abs. 4 lit. a–e DSGVO)136 prüft, ob die Verarbeitung zu dem neuen Zweck mit dem ursprünglichen Zweck zu vereinbaren ist.
In zwei geregelten Situationen muss dieser Kompatibilitätstest nicht durchgeführt werden, nämlich (1) wenn für die Zweckänderung eine Einwilligung eingeholt wurde137 oder (2) wenn die Zweckänderung auf einer Rechtsvorschrift der EU oder der Mitgliedstaaten beruht, „die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt“.138 Dies wird auch durch Erwägungsgrund 50 Satz 7 DSGVO bestätigt, wonach eine Weiterverarbeitung zu anderen Zwecken möglich ist, sofern eine Einwilligung hierfür vorliegt oder mit einer Rechtsvorschrift der Union oder der Mitgliedstaaten insbesondere wichtiger Ziele des allgemeinen öffentlichen Interesses verfolgt werden.139
Somit enthält Art. 6 Abs. 4 DSGVO eine Öffnungsklausel, die die Mitgliedstaaten ausgestalten dürfen, um zweckverändernde Weiterverarbeitungen zu ermöglichen.140 Deutschland hat von dieser Öffnungsklausel in § 23 BDSG für öffentliche Stellen und in § 24 BDSG für private Stellen Gebrauch gemacht.141 Sowohl § 23 als auch § 24 BDSG ordnen in ihren Absätzen 2 hinsichtlich besonderer Kategorien personenbezogener Daten (wortgleich) an, dass für eine Weiterverarbeitung dieser Daten jeweils die Voraussetzungen der Absätze 1 dieser Normen einzuhalten sind und dass zusätzlich jeweils ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO oder § 22 BDSG vorliegen muss.142 Auf die Möglichkeit einer Zweckveränderung bei Einwilligungen wird im Hauptteil näher eingegangen.143
bb) Öffnungsklauseln in Art. 9 DSGVO
(1) Grenzen der Einwilligung in die Verarbeitung sensibler Daten
In Art. 9 Abs. 2 lit. a DSGVO wird eine Rückausnahme definiert, die Mitgliedstaaten fakultativ ausgestalten können, um eine Datenverarbeitung aufgrund einer Einwilligung zu untersagen.144 In bestimmten, von den Mitgliedstaaten vorgegebenen Situationen kann daher selbst eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO nicht dazu führen, dass die Verarbeitung personenbezogener Daten rechtmäßig ist.145 Nach Rogosch, die die Rechtslage unter der DSRL untersucht hat, sollte der vollständige Ausschluss der Einwilligung für bestimmte Bereiche aus „verfassungs- und europarechtlichen Gründen“ nicht zulässig sein.146 Fraglich ist, ob in der Möglichkeit, die Einwilligung auszuschließen, auch eine Möglichkeit besteht, die inhaltlichen Anforderungen an die Einwilligung anzupassen.147 Der Wortlaut gibt es nicht ausdrücklich her.148 Systematisch gesehen werden die Anforderungen an die Einwilligung auch in Art. 4 Nr. 11 und Art. 7 DSGVO geregelt. Art. 9 Abs. 2 lit. a DSGVO enthält bloß ein zusätzliches Kriterium der Ausdrücklichkeit.149
Die Systematik und eine Zusammenschau mit Art. 9 Abs. 4 DSGVO – der eine weitergehende Modifikation zumindest vom Wortlaut her ermöglicht – lassen einerseits den Schluss zu, dass der europäische Gesetzgeber in Art. 9 Abs. 2 lit. a DSGVO keinen Modifikationsspielraum eröffnen wollte.150 Andererseits kann die Rückausnahme auch so verstanden werden, dass den Mitgliedstaaten ein weiter Regelungsspielraum für die Einwilligung bei sensiblen Daten gelassen werden sollte, welche sich aus einem Minus (a maiore ad minus) des insgesamt weitreichenden Gestaltungsspielraums ergibt.151 Die Systematik zu Art. 9 Abs. 4 DSGVO kann auch dahingehend verstanden werden, dass zumindest für die dort genannten sensiblen Daten mitgliedstaatliche Bedingungen und Beschränkungen eingeführt werden können.152 In dem Fall könnten auch für die Rückausnahme nach Art. 9 Abs. 2 Konkretisierungen zulässig sein.
(2) Verarbeitung sensibler Daten im Arbeitsrecht, Recht der sozialen Sicherheit, Sozialschutz
Nach Art. 9 Abs. 2 lit. b DSGVO gilt das Verarbeitungsverbot für sensible Daten nicht, wenn die Verarbeitung für den Verantwortlichen erforderlich ist, um aus dem Arbeitsrecht oder Recht der sozialen Sicherheit und des Sozialschutzes erwachsende Rechte auszuüben und entsprechenden Pflichten nachzukommen. Diese Rechte und Pflichten müssen dem Recht der Mitgliedstaaten oder in einer Kollektivvereinbarung dem Recht der Mitgliedstaaten erwachsen.153 Der Gesundheitsbereich kann von dieser Öffnungsklausel sowohl in klassischen Verarbeitungssituationen mit Beschäftigtenkontext betroffen sein, beispielsweise, wenn Erkrankungen dokumentiert werden, als auch in innovativen Arbeitsumfeldern, wenn Beschäftigte die Möglichkeit haben, „Wearables“ (Computertechnologien, die am Körper getragen werden)154 einzusetzen, um ihre Körperwerte zu dokumentieren.155
(3) Verarbeitung sensibler Daten zu Zwecken der<unk/>Gesundheitsvorsorge und Arbeitsmedizin
Eine Verarbeitung ist nach Art. 9 Abs. 2 lit. h DSGVO unter anderem zulässig, wenn sie für die Behandlung im Gesundheitsbereich oder für die Verwaltung von Systemen und Diensten im Gesundheitsbereich auf der Grundlage des Unionsrechts oder eines mitgliedstaatlichen Rechts oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich ist.156 Mit dieser bereichsspezifischen Norm wird berücksichtigt, dass gerade im Gesundheitsbereich und bei der Behandlung von Individuen in erheblichem Ausmaß sensible personenbezogene Daten verarbeitet werden müssen.157 Die Vorschrift berücksichtigt dabei nicht nur Verarbeitungen zur Vorsorge, Behandlung und Nachsorge, sondern auch die infrastrukturelle Dimension der Verwaltung und Dienste im Gesundheitsbereich.158
Eine Maßnahme zum Schutz dieser sensiblen Daten wird unmittelbar über Art. 9 Abs. 3 DSGVO ergänzt, der direkt auf die in Art. 9 Abs. 2 lit. h DSGVO genannten Daten Bezug nimmt.159 Die Verarbeitung steht unter der personellen Einschränkung, dass Fachpersonal oder Personen unter der Verantwortung von Fachpersonal tätig werden, welche einem Berufsgeheimnis oder einer Geheimhaltungspflicht unterliegen.160
Nachdem es aufgrund von Art. 9 Abs. 4 DSGVO zulässig ist, die hinsichtlich genetischer, biometrischer Daten oder Gesundheitsdaten zusätzliche Bedingungen und Beschränkungen einzuführen, haben Mitgliedstaaten