Rz. 295
Die Verarbeitung besonderer Kategorien personenbezogener Daten ist zulässig, wenn sie, für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und die Verarbeitung durch Fachpersonal oder unter dessen Verantwortung erfolgt, welches dem Berufsgeheimnis oder einer entsprechenden Geheimhaltungspflicht unterliegt (Art. 9 Abs. 2 lit. h), Abs. 3 DSGVO).
Rz. 296
Dieser Erlaubnistatbestand umfasst die Datenverarbeitung im Arzt-Patienten-Verhältnis und die Datenverarbeitungen durch die in § 203 StGB genannten Berufsgruppen. Krankenversicherungen und Beihilfestellen werden von der Regelung ebenso erfasst, wie die Schwangerschaftskonfliktberatung, die Drogenberatung oder die Beratung in der sonstigen Sozialarbeit.
Anders als die bisherige Datenschutzgesetzgebung BDSG, die den Umgang mit Daten in verschiedene Formen eingeteilt und insoweit die Stadien der Erhebung, der Verarbeitung und – als Auffangtatbestand – der Nutzung unterschieden hat, greift der europäische Gesetzgeber in der DSGVO lediglich auf den Einheitsbegriff der "Verarbeitung" zurück (Art. 4 Nr. 2 DSGVO) und orientiert sich damit an den bereits in der Datenschutzrichtlinie enthaltenen Vorgaben. Der in Art. 4 Nr. 2 DSGVO benutzte Begriff der Verarbeitung stellt einen Oberbegriff für die verschiedenen "Nutzungsmöglichkeiten" personenbezogener Daten dar und erfasst
Zitat
"jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung."
Damit geht Art. 9 Abs. 2 lit. h) DSGVO erheblich über den Wortlaut in § 28 Abs. 7 S. 1 BDSG hinaus, der lediglich das "Erheben" von Gesundheitsdaten, nicht jedoch auch die "Verarbeitungsstadien" privilegiert, und gestattet, soweit im Rahmen der Begründung, Durchführung oder Beendigung eines Behandlungsvertrages erforderlich, den umfassenden Umgang mit Gesundheitsdaten auch ohne konkrete Einwilligung des betroffenen Patienten.
Rz. 297
Die DSGVO schafft insoweit Probleme, als dass sie – anders als § 1 Abs. 3 S. 2 BDSG – keine Klarstellung enthält, dass die dort geregelten Rechte und Pflichten die Vorgaben zur Wahrung gesetzlich vorgesehener Geheimhaltungspflichten oder von besonderen Berufs- und Amtsgeheimnissen unberührt lassen. Derartige Vertraulichkeitspflichten sind – im ärztlichen Bereich –in § 203 Abs. 1 Nr. 1 StGB normiert, die bislang neben dem BDSG Anwendung finden und diesem, soweit es um die Offenbarung von Berufsgeheimnissen geht, vorrangig sind. So kann bislang eine Datenübermittlung an eine Abrechnungsgesellschaft nach h.M. nicht über § 28 Abs. 7 BDSG oder die Vorgaben zur sog. Auftragsdatenverarbeitung nach § 11 BDSG gerechtfertigt werden. Die Auslagerung der Verarbeitung personenbezogener Gesundheitsdaten bedarf vielmehr stets der (strafrechtlichen) Einwilligung des betroffenen Patienten.
Rz. 298
Fraglich ist, ob die bislang in Deutschland h.M. mit Inkrafttreten der DSGVO überdacht werden muss und Art. 9 Abs. 2 lit. h) DSGVO bzw. die dortigen Vorgaben zur Auftragsverarbeitung in Art. 28 DSGVO zukünftig als Rechtfertigungsnormen für Offenbarungshandlungen i.S.d. § 203 StGB anzusehen sind. Mangels normierter Bereichsausnahme in Bezug auf zur Berufsverschwiegenheit verpflichtete Personen in der DSGVO selbst, kann jedenfalls nicht generell von einem Anwendungsvorrang des StGB und der Nichtanwendbarkeit der datenschutzrechtlichen Befugnisse ausgegangen werden. Eine Outsourcing-Maßnahme, die die Vorgaben der Auftragsverarbeitung (Art. 28 DSGVO) einhält, stellt keine "Übermittlung" an einen Dritten dar und zwar ganz gleich, ob der beauftragte Dienstleister in die betriebliche Organisation des Geheimnisträgers eingebunden ist oder nicht. Die DSGVO enthält gerade keine Beschränkungen für die Auftragsverarbeitung sensibler personenbezogener Daten, so dass auch Gesundheitsdaten grundsätzlich (ohne Einwilligung) des Betroffenen im Auftrag verarbeitet werden können. Weiter noch geht Art. 9 Abs. 2 lit. h) DSGVO, der die einwilligungslose Datenverarbeitung für Zwecke der Gesundheitsvorsorge, die medizinische Diagnostik und die Versorgung oder Behandlung im Gesundheitsbereich gestattet. Vor dem Hintergrund des weiten Verständnisses des Verarbeitungsbegriffs in der DSGVO ist im Umfang der vorgenannten Z...