28. November 2019Datenschutz, Pharma & Health

Einwilligungen in die Verarbeitung von Gesundheitsdaten: rechtssicher und verständlich gestalten

Durch die DSGVO gilt beim Umgang mit Daten, die im Zusammenhang mit einer natürlichen Person stehen, das sogenannte Verbot mit Erlaubnisvorbehalt. Um einen guten und wirksamen Datenschutz für die einzelnen Bürger zu ermöglichen, ist demnach jede Datenverarbeitung, also im Grunde fast alles, was man mit den Daten macht, erst einmal unzulässig, sofern sie nicht nach der DSGVO ausdrücklich erlaubt ist. Das gilt umso mehr für Gesundheitsdaten, die als besonders persönliche Daten gelten und daher auch besonders schützenswert sind. Der Begriff der Gesundheitsdaten ist weit zu verstehen und umfasst alle Daten, die sich auf eine natürliche Person beziehen und die Informationen über ihren Gesundheitszustand beinhalten. So kann darunter selbst ein Foto fallen, wenn sich daraus ergibt, dass die Person eine Brille trägt.

Erlaubt sind Datenverarbeitungen unter anderem bei einer Einwilligung. Erklärt sich jemand mit der Verarbeitung seiner Daten einverstanden, gibt es für den Gesetzgeber keinen Grund, diese zu verhindern. Da die Einwilligung vom Anfang an im Einvernehmen mit dem Betroffenen erfolgt, handelt es sich also um eine sehr sichere Rechtsgrundlage. Damit die Rechte des Betroffenen aber nicht mit missverständlich formulierten oder erzwungenen Einwilligungen untergraben werden, müssen einige Voraussetzungen befolgt werden, damit diese auch wirksam ist– hat der Betroffene gar nicht verstanden, in was oder dass er überhaupt in irgendetwas einwilligt, kann eine Einwilligung, auch wenn sie schriftlich vorliegt, keine rechtliche Wirkung haben. Gleiches gilt, wenn die Einwilligung unfreiwillig, das heißt mit Zwang oder Druck, erfolgt. Die Anforderungen im Einzelnen und wie Sie sie gesetzeskonform und zugleich anwenderfreundlich gestalten, zeigen wir Ihnen in diesem Artikel.

KI im Gesundheitswesen

Die Voraussetzungen im Überblick

Der Ausgangspunkt für die Einwilligung findet sich in Art. 6 I a DSGVO. Da Gesundheitsdaten grundsätzlich strengeren Regeln unterliegen, weil sie wesentlich persönlicher sind und Betroffene in der Regel ein stärkeres Interesse an ihrem Schutz haben, kommt mit Art. 9 II a DSGVO gleich eine weitere Norm, die für die Einwilligung in Gesundheitsdatenverarbeitungen gilt, hinzu. Damit ist im Gesundheitswesen auch die Einwilligung etwas komplizierter als gewöhnlich.

Zunächst muss der Betroffene ausdrücklich in die Datenverarbeitung zustimmen. Dafür sollte vom Verantwortlichen erwähnt werden, dass es sich um sensible Daten handelt und welche konkret verarbeitet werden. Auch reicht es nicht wie bei der „normalen“ Einwilligung aus, wenn die Person stillschweigend oder durch schlüssiges Verhalten zu verstehen gibt, mit der Verarbeitung einverstanden zu sein. Eine mündliche Einwilligung hingegen ist durchaus noch ausdrücklich und genügt daher den Anforderungen, wobei der Verantwortliche in diesem Fall aber darauf achten muss, die Einwilligung und die Einhaltung all ihrer Voraussetzungen im Nachhinein noch nachweisen zu können.

Des Weiteren muss sich die Datenverarbeitung auf ganz bestimmte und vorher festgelegte Zwecke beziehen, die dem Betroffenen zuvor auch mitgeteilt werden müssen. Für den Forschungsbereich wird hier eine Ausnahme gemacht, da oft nicht genau vorhergesagt werden kann, wie die gewonnenen Daten hinterher eingesetzt werden. Daher können Studienteilnehmer eine allgemeinere Einwilligung für den Einsatz ihrer Daten in einem bestimmten Forschungsbereich abgeben, „wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht“ (Erwägungsgrund 33 DSGVO). Die Ziele sollten aber auch hier selbstverständlich so genau und umfassend wie möglich beschrieben werden.

Ganz besonders entscheidend ist die Freiwilligkeit der Einwilligung. Diese ist nur gegeben, wenn der Betroffene eine echte Wahlmöglichkeit hat, sich mit der Datenverarbeitung einverstanden zu erklären, sie nur in einem bestimmten Umfang zu erlauben oder sie gänzlich zu verbieten. Hier gilt das sogenannte Kopplungsverbot: Im Grundsatz darf die Erteilung einer Leistung nicht von der Einwilligung in Datenverarbeitungen abhängig gemacht werden, die für die Leistung gar nicht erforderlich sind. In Konstellationen, in denen ein starkes Ungleichgewicht zwischen dem Verantwortlichen und der betroffenen Person besteht, muss auf die Freiwilligkeit der Einwilligung besonders geachtet werden. Das ist in Arzt-Patienten-Verhältnissen in der Regel gegeben, sodass darauf geachtet werden muss, dass dem Patienten keine Nachteile durch die Verweigerung der Einwilligung entstehen und dass ihm seine Wahlmöglichkeit ausdrücklich und eindeutig genannt wird. Macht ein Krankenhaus die Behandlung zum Beispiel von einer Einwilligung in die Erhebung von Daten zu Forschungszwecken abhängig, ist das unzulässig.

Whitepaper zum European Health Data Space

Genauso ist es wichtig, dass der Betroffene über alles, was im Rahmen der Einwilligung relevant ist, informiert wird. Davon umfasst ist die Tatsache, dass er eine Einwilligung abgibt und welche Folgen sich daraus ergeben, also insbesondere, was mit den seinen Daten danach geschieht. Damit der Betroffene wirklich als informiert im Sinne der DSGVO gelten kann, muss die Einwilligungserklärung mit allen wichtigen Informationen in klarer und einfacher Sprache sowie in leicht zugänglicher Form erfolgen. Dazu gehört auch, dass man eine übermäßige Information, etwa durch die Erklärung sämtlicher technischer oder rechtlicher Details, vermeidet. Die Information darf und sollte im Sinne einer verständlichen Erklärung auf das Wesentliche reduziert werden, während die detaillierten Informationen an anderer Stelle, etwa durch eine Verlinkung, aufgeführt werden sollten. Nutzt man als Verantwortlicher Allgemeine Geschäftsbedingungen (AGB), kann die Einwilligungserklärung auch mit den AGB zusammen dem Betroffenen vorgelegt werden. Dann muss aber darauf geachtet werden, dass sie sich von ihnen klar abgrenzt und abgeschlossen als eigene Erklärung wahrgenommen wird. Diese Hervorhebung kann etwa durch Absätze, Fettdruck oder Ähnliches dargestellt werden.

Schließlich gibt es die Möglichkeit eines Widerrufs, über die der Betroffene auch vorab informiert werden muss. Mit einem Widerruf, der genauso einfach erklärt werden können muss wie die Einwilligung erteilt werden kann, wird die Einwilligung in Gänze zurückgenommen. Das bedeutet, dass die betreffenden Datenverarbeitungen ab dem Zeitpunkt des Widerrufs nicht mehr durchgeführt werden dürfen. Der zugrundeliegende Vertrag kann aber durchaus bestehen bleiben, wenn sich das mit den Folgen des Widerrufs vereinbaren lässt. Im Gesundheitswesen gibt es an dieser Stelle eine besondere Ausnahme, die nicht vergessen werden sollte. Bei Arzneimittelstudien können auch im Falle eines Widerrufs Daten unter besonderen Umständen weiterverarbeitet werden, beispielsweise um die Wirkungen des zu prüfenden Arzneimittels festzustellen (vgl. § 40 Abs. 2a Nr. 3 AMG). Im Falle der Weiterverarbeitung muss der Betroffene informiert werden.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Muss es immer eine Einwilligung sein?

Aufgrund all dieser Voraussetzungen kann das Einholen einer Einwilligung einen gewissen Aufwand bedeuten und aufgrund der Widerrufsmöglichkeit der Betroffenen die langfristige Planung erschweren. Sie mag dem Verantwortlichen daher nicht immer vorteilhaft erscheinen. Da sie aber im Gesundheitsbereich oftmals die einzige rechtlich zulässige Möglichkeit ist, Daten überhaupt zu erheben und zu verwenden, gilt es, die Anforderungen umzusetzen, um rechtskonform zu bleiben. Das gilt etwa bei Fitnesstrackern, die die erhobenen Daten an das jeweilige Unternehmen leiten, das diese dann weiterverarbeitet. Allerdings muss die Einwilligung keine unverhältnismäßig hohe Mehrarbeit bedeuten. In vielen Fällen genügt beispielsweise die einmalige Erstellung einer Einwilligungserklärung, die dann als Vorlage für eine Vielzahl von Anwendungsfällen verwendet werden kann. Insgesamt ist die Einwilligung daher ein gutes Instrument, um die Interessen des Datenverarbeiters mit denen der Patienten am Schutz ihrer Daten miteinander zu vereinbaren.

nach oben
Mehr zum Thema

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.