28.11.2019

Einwilligungen in die Verarbeitung von Gesundheitsdaten: rechtssicher und verständlich gestalten

Durch die DSGVO gilt beim Umgang mit Daten, die im Zusammenhang mit einer natürlichen Person stehen, das sogenannte Verbot mit Erlaubnisvorbehalt. Um einen guten und wirksamen Datenschutz für die einzelnen Bürger zu ermöglichen, ist demnach jede Datenverarbeitung, also im Grunde fast alles, was man mit den Daten macht, erst einmal unzulässig, sofern sie nicht nach der DSGVO ausdrücklich erlaubt ist.

Unverbindliches Erstgespräch vereinbaren

Das gilt umso mehr für Gesundheitsdaten, die als besonders persönliche Daten gelten und daher auch besonders schützenswert sind. Der Begriff der Gesundheitsdaten ist weit zu verstehen und umfasst alle Daten, die sich auf eine natürliche Person beziehen und die Informationen über ihren Gesundheitszustand beinhalten. So kann darunter selbst ein Foto fallen, wenn sich daraus ergibt, dass die Person eine Brille trägt.

Erlaubt sind Datenverarbeitungen unter anderem bei einer Einwilligung. Erklärt sich jemand mit der Verarbeitung seiner Daten einverstanden, gibt es für den Gesetzgeber keinen Grund, diese zu verhindern. Da die Einwilligung vom Anfang an im Einvernehmen mit dem Betroffenen erfolgt, handelt es sich also um eine sehr sichere Rechtsgrundlage. Damit die Rechte des Betroffenen aber nicht mit missverständlich formulierten oder erzwungenen Einwilligungen untergraben werden, müssen einige Voraussetzungen befolgt werden, damit diese auch wirksam ist– hat der Betroffene gar nicht verstanden, in was oder dass er überhaupt in irgendetwas einwilligt, kann eine Einwilligung, auch wenn sie schriftlich vorliegt, keine rechtliche Wirkung haben. Gleiches gilt, wenn die Einwilligung unfreiwillig, das heißt mit Zwang oder Druck, erfolgt. Die Anforderungen im Einzelnen und wie Sie sie gesetzeskonform und zugleich anwenderfreundlich gestalten, zeigen wir Ihnen in diesem Artikel.

Die Voraussetzungen im Überblick

Der Ausgangspunkt für die Einwilligung findet sich in Art. 6 I a DSGVO. Da Gesundheitsdaten grundsätzlich strengeren Regeln unterliegen, weil sie wesentlich persönlicher sind und Betroffene in der Regel ein stärkeres Interesse an ihrem Schutz haben, kommt mit Art. 9 II a DSGVO gleich eine weitere Norm, die für die Einwilligung in Gesundheitsdatenverarbeitungen gilt, hinzu. Damit ist im Gesundheitswesen auch die Einwilligung etwas komplizierter als gewöhnlich.

Zunächst muss der Betroffene ausdrücklich in die Datenverarbeitung zustimmen. Dafür sollte vom Verantwortlichen erwähnt werden, dass es sich um sensible Daten handelt und welche konkret verarbeitet werden. Auch reicht es nicht wie bei der „normalen“ Einwilligung aus, wenn die Person stillschweigend oder durch schlüssiges Verhalten zu verstehen gibt, mit der Verarbeitung einverstanden zu sein. Eine mündliche Einwilligung hingegen ist durchaus noch ausdrücklich und genügt daher den Anforderungen, wobei der Verantwortliche in diesem Fall aber darauf achten muss, die Einwilligung und die Einhaltung all ihrer Voraussetzungen im Nachhinein noch nachweisen zu können.

Des Weiteren muss sich die Datenverarbeitung auf ganz bestimmte und vorher festgelegte Zwecke beziehen, die dem Betroffenen zuvor auch mitgeteilt werden müssen. Für den Forschungsbereich wird hier eine Ausnahme gemacht, da oft nicht genau vorhergesagt werden kann, wie die gewonnenen Daten hinterher eingesetzt werden. Daher können Studienteilnehmer eine allgemeinere Einwilligung für den Einsatz ihrer Daten in einem bestimmten Forschungsbereich abgeben, „wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht“ (Erwägungsgrund 33 DSGVO). Die Ziele sollten aber auch hier selbstverständlich so genau und umfassend wie möglich beschrieben werden.

Ganz besonders entscheidend ist die Freiwilligkeit der Einwilligung. Diese ist nur gegeben, wenn der Betroffene eine echte Wahlmöglichkeit hat, sich mit der Datenverarbeitung einverstanden zu erklären, sie nur in einem bestimmten Umfang zu erlauben oder sie gänzlich zu verbieten. Hier gilt das sogenannte Kopplungsverbot: Im Grundsatz darf die Erteilung einer Leistung nicht von der Einwilligung in Datenverarbeitungen abhängig gemacht werden, die für die Leistung gar nicht erforderlich sind. In Konstellationen, in denen ein starkes Ungleichgewicht zwischen dem Verantwortlichen und der betroffenen Person besteht, muss auf die Freiwilligkeit der Einwilligung besonders geachtet werden. Das ist in Arzt-Patienten-Verhältnissen in der Regel gegeben, sodass darauf geachtet werden muss, dass dem Patienten keine Nachteile durch die Verweigerung der Einwilligung entstehen und dass ihm seine Wahlmöglichkeit ausdrücklich und eindeutig genannt wird. Macht ein Krankenhaus die Behandlung zum Beispiel von einer Einwilligung in die Erhebung von Daten zu Forschungszwecken abhängig, ist das unzulässig.

Genauso ist es wichtig, dass der Betroffene über alles, was im Rahmen der Einwilligung relevant ist, informiert wird. Davon umfasst ist die Tatsache, dass er eine Einwilligung abgibt und welche Folgen sich daraus ergeben, also insbesondere, was mit den seinen Daten danach geschieht. Damit der Betroffene wirklich als informiert im Sinne der DSGVO gelten kann, muss die Einwilligungserklärung mit allen wichtigen Informationen in klarer und einfacher Sprache sowie in leicht zugänglicher Form erfolgen. Dazu gehört auch, dass man eine übermäßige Information, etwa durch die Erklärung sämtlicher technischer oder rechtlicher Details, vermeidet. Die Information darf und sollte im Sinne einer verständlichen Erklärung auf das Wesentliche reduziert werden, während die detaillierten Informationen an anderer Stelle, etwa durch eine Verlinkung, aufgeführt werden sollten. Nutzt man als Verantwortlicher Allgemeine Geschäftsbedingungen (AGB), kann die Einwilligungserklärung auch mit den AGB zusammen dem Betroffenen vorgelegt werden. Dann muss aber darauf geachtet werden, dass sie sich von ihnen klar abgrenzt und abgeschlossen als eigene Erklärung wahrgenommen wird. Diese Hervorhebung kann etwa durch Absätze, Fettdruck oder Ähnliches dargestellt werden.

Schließlich gibt es die Möglichkeit eines Widerrufs, über die der Betroffene auch vorab informiert werden muss. Mit einem Widerruf, der genauso einfach erklärt werden können muss wie die Einwilligung erteilt werden kann, wird die Einwilligung in Gänze zurückgenommen. Das bedeutet, dass die betreffenden Datenverarbeitungen ab dem Zeitpunkt des Widerrufs nicht mehr durchgeführt werden dürfen. Der zugrundeliegende Vertrag kann aber durchaus bestehen bleiben, wenn sich das mit den Folgen des Widerrufs vereinbaren lässt. Im Gesundheitswesen gibt es an dieser Stelle eine besondere Ausnahme, die nicht vergessen werden sollte. Bei Arzneimittelstudien können auch im Falle eines Widerrufs Daten unter besonderen Umständen weiterverarbeitet werden, beispielsweise um die Wirkungen des zu prüfenden Arzneimittels festzustellen (vgl. § 40 Abs. 2a Nr. 3 AMG). Im Falle der Weiterverarbeitung muss der Betroffene informiert werden.

Newsletter

Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.

Bitte addieren Sie 2 und 7.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Muss es immer eine Einwilligung sein?

Aufgrund all dieser Voraussetzungen kann das Einholen einer Einwilligung einen gewissen Aufwand bedeuten und aufgrund der Widerrufsmöglichkeit der Betroffenen die langfristige Planung erschweren. Sie mag dem Verantwortlichen daher nicht immer vorteilhaft erscheinen. Da sie aber im Gesundheitsbereich oftmals die einzige rechtlich zulässige Möglichkeit ist, Daten überhaupt zu erheben und zu verwenden, gilt es, die Anforderungen umzusetzen, um rechtskonform zu bleiben. Das gilt etwa bei Fitnesstrackern, die die erhobenen Daten an das jeweilige Unternehmen leiten, das diese dann weiterverarbeitet. Allerdings muss die Einwilligung keine unverhältnismäßig hohe Mehrarbeit bedeuten. In vielen Fällen genügt beispielsweise die einmalige Erstellung einer Einwilligungserklärung, die dann als Vorlage für eine Vielzahl von Anwendungsfällen verwendet werden kann. Insgesamt ist die Einwilligung daher ein gutes Instrument, um die Interessen des Datenverarbeiters mit denen der Patienten am Schutz ihrer Daten miteinander zu vereinbaren.

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Unsere Experten zum Thema

Weitere Neuigkeiten

30.09.2024

Künstliche Intelligenz (KI) – wer haftet, wenn ein Roboter versagt?

20.09.2024

Datenschutz und M&A: Data Due Diligence und der Schlüssel zur rechtssicheren Datennutzung

12.09.2024

Microsoft Copilot für M365 & Datenschutz: So gelingt der sichere Einsatz im Unternehmen