(4) Verarbeitung sensibler Daten zu Zwecken der öffentlichen Gesundheit
Eine Verarbeitung von Gesundheitsdaten kann gem. Art. 9 Abs. 2 lit. i DSGVO in Verbindung mit mitgliedstaatlichem Recht insbesondere dann legitim sein, wenn die Verarbeitung aus Gründen des öffentlichen Interesses zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung, bei Arzneimitteln und Medizinprodukten erforderlich ist. Insoweit zielt die Norm auf Gefahren- und Sicherheitsaspekte ab.163
Die DSGVO überlässt die Ausfüllung dieser Norm den Mitgliedstaaten, gibt aber vor, dass angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen betroffener Personen vorgesehen werden müssen, insbesondere Berufsgeheimnisse.164
(5) Archivzwecke, Forschungszwecke und statistische Zwecke als Rechtsgrundlage für die Verarbeitung sensibler Daten
In Art. 9 Abs. 2 lit. j DSGVO besteht eine Parallele zum Grundsatz in Art. 5. Abs. 1 lit. b DSGVO.165 Nach Art. 9 Abs. 2 lit. j DSGVO dürfen sensible personenbezogene Daten auf Grundlage mitgliedstaatlichen Rechts verarbeitet werden, wenn die Verarbeitung gem. Art. 89 Abs. 1 DSGVO erforderlich ist für wissenschaftliche oder historische Forschungszwecke, im öffentlichen Interesse liegende Archivzwecke oder für statistische Zwecke. Dabei fällt auf, dass zwar Art. 9 Abs. 2 lit. j DSGVO auf das mitgliedstaatliche Recht verweist, nicht aber Art. 89 Abs. 1 DSGVO. Die komplexe Formulierung kann so verstanden werden, dass zusätzlich zu den in Art. 89 Abs. 1 DSGVO genannten „Garantien für die Rechte und Freiheiten der betroffenen Person“ bei sensiblen Daten nach Art. 9 Abs. 2 lit. j DSGVO die Mitgliedstaaten den Rahmen für die Verarbeitung festlegen dürfen.166
(6) Bedingungen und Beschränkungen für die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten
Den Mitgliedstaaten wird es ermöglicht, unter Art. 9 Abs. 4 DSGVO zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten, „soweit die Verarbeitung genetischer, biometrischer oder Gesundheitsdaten betroffen ist“.167 Auf eine besondere „Betroffenheit“ der Verarbeitung kommt es aber wohl nicht an, da der englische Text schlicht den Begriff „processing“ verwendet, anstatt beispielsweise „concerned with processing“.168
Bezüglich biometrischer, genetischer Daten und Gesundheitsdaten bedeutet Art. 9 Abs. 4 DSGVO, dass die Erlaubnistatbestände des Art. 9 Abs. 2 DSGVO mitgliedstaatlich auch in Bereichen modifiziert werden können, in denen der jeweilige Tatbestand nicht ohnehin schon eine Öffnungsklausel vorsieht.169 Es stellt sich die Frage, ob unter diesem Tatbestand auch mitgliedstaatliche Erleichterungen beim Einholen einer Einwilligung eingeführt werden können.170 Da die Regelungen in Art. 9 DSGVO aber ohnehin zusätzliche Hürden für eine Datenverarbeitung nach Art. 6 DSGVO bedeuten, kann über Art. 9 DSGVO überzeugenderweise keine Absenkung des Schutzniveaus erfolgen.171
Die Vorschrift führt ferner dazu, dass es bezüglich dieser Daten nicht ausreichend ist, allein die Vorgaben der DSGVO im Blick zu behalten, da die Mitgliedstaaten in ihren nationalen Gesetzen spezielle Vorgaben beibehalten und einführen dürfen.172 Nichtsdestotrotz wird in Erwägungsgrund 53 Sätze 4 und 5 DSGVO vorgegeben, dass die weiteren Bedingungen einschließlich Beschränkungen nicht den freien Verkehr personenbezogener Daten innerhalb der Union beeinträchtigen sollten, falls die Bedingungen für grenzüberschreitende Verarbeitung der Daten gelten. Aus dem Erwägungsgrund ergibt sich daher, dass die Mitgliedstaaten dazu angehalten sind, gesundheitsdatenschutzrechtliche Alleingänge mit dem freien Datenverkehr in der Union in Einklang zu bringen.173 Die Öffnungsklausel wird in Teil C. dieser Arbeit näher untersucht.
cc) Öffnungsklauseln in Art. 89 DSGVO
(1) Ausnahmen von Betroffenenrechten bei Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken oder zu Archivzwecken
Im Kapitel über die Vorschriften für besondere Verarbeitungssituationen wird in Art. 89 DSGVO festgelegt, dass einerseits bei der Verarbeitung personenbezogener Daten für Archivzwecke, wissenschaftliche Forschungszwecke oder historische Forschungszwecke geeignete Garantien für die Rechte und Freiheiten der betroffenen Person, also gewisse Mindestanforderungen, bestehen müssen.174 Ferner wird in Art. 89 Abs. 2 DSGVO festgelegt, dass im Unionsrecht oder im mitgliedstaatliche Recht bei der Verarbeitung zu den vorgenannten Zwecken Ausnahmen von den Betroffenenrechten gem. Art. 15, 16, 18 und 21 DSGVO (bzw. bei Archivzwecken auch von Art. 20 DSGVO) vorgesehen werden dürfen.175 Die Öffnungsklauseln müssen, so Art. 89 Abs. 2 und Abs. 3 DSGVO, solche Fälle regeln, bei denen voraussichtlich die Geltendmachung der Rechte einer Verwirklichung der spezifischen Zwecke entgegenstehen würde und daher die Ausnahme zur Erfüllung der Zwecke notwendig ist.176
(2) Keine Ausnahme vom Recht auf Löschung oder für die Einwilligung
Eine Ausnahme für das Recht auf Löschung (Art. 17 DSGVO) oder von den Bedingungen der Einwilligung (insbesondere Art. 7 DSGVO) ist an dieser Stelle nicht ausdrücklich vorgesehen.177 Daraus – auch unter Berücksichtigung der Gesetzessystematik – lässt sich schließen, dass Mitgliedstaaten über Art. 89 DSGVO beispielsweise keine Ausnahme vom Widerrufsrecht bei der Einwilligung machen dürfen.178 Gleichwohl wird sich zeigen, dass im Rahmen der wissenschaftlichen Forschung insb. aufgrund von Ausnahmen in Art. 17 Abs. 3 DSGVO Ausnahmen von der Löschpflicht bestehen können.179
3. Ausgewählte Begriffsdefinitionen der DSGVO
Wie schon unter der DSRL wurden auch in der DSGVO Begriffe definiert. Die Anzahl an Definitionen wurde aber mehr als verdreifacht.180
a) Der Begriff der personenbezogenen Daten
Der Begriff des personenbezogenen Datums eröffnet gem. Art. 2 Abs. 1 DSGVO den sachlichen Anwendungsbereich der DSGVO und ist somit ein essentielles Kriterium.181 Personenbezogene Daten sind gem. Art. 4 Nr. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“. Diese Definition der personenbezogenen Daten enthält somit zusätzlich die Definition über die so genannte betroffene Person.182
Wann eine Person identifiziert oder identifizierbar ist und vor allem, für wen diese Identifizierbarkeit vorliegen muss, wird in der Definition – wie schon unter der DSRL183 – offengelassen.184 Um den Schutz der natürlichen Person zu gewährleisten, kann eine Identifikation nicht nur dann vorliegen, wenn Vor- und Nachname einer Person oder sonstige Merkmale der bürgerlichen Identität ermittelt werden können.185 Es muss ausreichend sein, dass eine Person „singularisiert“ und ohne Verwechselung wiedererkannt werden kann.186
In der Literatur wird ferner darüber diskutiert, aus wessen Perspektive die Identifizierung vorgenommen können werden muss.187 Es stellt sich die Frage, ob von einem absoluten Verständnis des Personenbezugs auszugehen ist,188 wonach auf die Möglichkeit aller Menschen zur Identifizierung abzustellen wäre (eine Anonymisierung wäre damit faktisch kaum möglich),189 oder ob auf ein relatives Verständnis des Personenzugs abzustellen ist, wonach auf Wissen und Möglichkeiten des Verantwortlichen abzustellen wäre, bzw. auf Dritte, die wahrscheinlich eine Identifizierung vornehmen könnten.190
Der Kommissionsentwurf zur DSGVO bezog in die Definition einen Zusatz mit ein (inhaltlich entsprach dieser dem Erwägungsgrund 26 DSRL), der vorsah, dass die Identifizierung der natürlichen Person mit Mitteln bestimmt wird, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach (im Englischen: „all means reasonably likely to be used“) einsetzen würde.191 Doch dieser Zusatz wurde in der Fassung des Rates wieder gestrichen.192 Er fand stattdessen wiederum Eingang in Erwägungsgrund 26 DSGVO. Der Zusatz hilft