terverarbeitung zu Forschungszwecken sind die Daten möglichst zu anonymisieren. Big Data-Ansätze, die dem
Grundsatz der Datensparsamkeit widersprechen, können für die Forschung mit Gesundheitsdaten oder genetischen Daten daher grundsätzlich nicht nutzbar gemacht werden.
Die Begriffe „Gesundheitsdaten“ (Art. 4 Nr. 15) und „genetische Daten“ (Art. 4 Nr. 13) definiert die DSGVO
präziser als das BDSG. Die besonders sensiblen Daten unterliegen einem Verarbeitungsverbot nach Artikel 9
Absatz 1 DSGVO. Artikel 9 Absatz 2 Buchstabe j) DSGVO erlaubt für Zwecke der wissenschaftlichen Forschung eine Ausnahme, wenn die Datenverarbeitung auf der Grundlage europäischen oder nationalen Rechts
erfolgt. Gemäß Artikel 9 Absatz 4 DSGVO können die Mitgliedstaaten zusätzliche Regelungen treffen, soweit
die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist. Inwieweit das deutsche
Datenschutzanpassungsgesetz derartige Regelungen enthalten wird, bleibt abzuwarten (vgl. u. Nr. 1.2 f.). Da in
den meisten Forschungsprojekten Einwilligungen der Teilnehmer eingeholt werden, ist für die Forschung mit
Gesundheitsdaten Artikel 9 Absatz 2 Buchstabe a) DSGVO wesentlich. Danach ist die Einwilligung bei besonderen Kategorien personenbezogener Daten ausdrücklich für einen oder mehrere festgelegte Zwecke zu erteilen.
Der in Erwägungsgrund 33 beschriebene, hinsichtlich der Zweckbestimmung weitere sog. „broad consent“ bezieht sich nur auf Einwilligungen bei einfachen personenbezogenen Daten nach Artikel 6 Absatz 1 a) DSGVO.
Es ist daher sehr zweifelhaft, ob dieses Modell für die Forschung mit Gesundheitsdaten oder genetischen Daten
anwendbar ist. Eine Weiterverarbeitung sensibler Daten durch dieselbe datenschutzrechtlich verantwortliche
Stelle zu einem anderen Zweck als dem Erhebungszweck, darf ohne neuen Ausnahmetatbestand i. S. v. Artikel 9 Absatz 2 DSGVO nur erfolgen, wenn der Erhebungszweck und der Weiterverarbeitungszweck kompatibel
sind. Werden Register geschaffen und verknüpft, die Gesundheitsdaten enthalten, birgt dies die Gefahr der Erstellung umfassender Persönlichkeitsprofile. Solche verknüpften Datensätze mit Gesundheitsdaten dürften insgesamt unter das strenge Regelungsregime für besondere Kategorien personenbezogener Daten fallen.
9.2
9.2.1
Einzelthemen
Das „E-Health-Gesetz“
Das E-Health-Gesetz etabliert die elektronische Gesundheitskarte einschließlich der Telematikinfrastruktur als
zentrale Kommunikationsplattform im Gesundheitswesen. Dies bedeutet einen weiteren Schritt zur Digitalisierung des Gesundheitswesens.
Das Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen („E-Health-Gesetz“)
wurde im Dezember 2015 verkündet und ist in weiten Teilen Anfang 2016 in Kraft getreten. Es regelt einen
Zeitplan für die bundesweite Einführung der Telematikinfrastruktur, der zum flächendeckenden Anschluss von
Arztpraxen und Krankenhäusern im Jahr 2018 führen soll (vgl. auch unter Nr. 9.2.7). Im Gesetzgebungsverfahren habe ich gegenüber dem BMG sowie dem Ausschuss für Gesundheit des Deutschen Bundestages mehrfach
Stellung genommen. In einer Entschließung vom 18./19. März 2016 hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder Nachbesserungen beim E-Health-Gesetz gefordert (vgl. Anlage 5).
Einige meiner Anregungen wurden zwar aufgenommen. Im Kernpunkt zielt meine Kritik jedoch darauf, dass
das E-Health-Gesetz noch immer kaum konkrete Datenschutzregelungen enthält. Beispielsweise werden bei
telemedizinischen Anwendungen nach § 291g SGB V Datenschutzanforderungen nicht explizit berücksichtigt.
Bedenklich ist auch die in § 291b Absatz 1 Satz 13 SGB V angesprochene Prüfung der Einbeziehung mobiler
Endgeräte der Versicherten ohne Festlegung der entsprechenden datenschutzrechtlichen Voraussetzungen.
Für weitere geplante Gesetzgebungsvorhaben im E-Health-Bereich empfehle ich, konkrete Datenschutzanforderungen im Gesetz selbst zu verankern. Insbesondere halte ich es für wesentlich, vor einer Einbeziehung neuer
Anwendungen in die Gesundheitsversorgung einen hohen Datenschutzstandard sicherzustellen, der mindestens
den Anforderungen der Datenschutz-Grundverordnung genügt. Soweit mobile Anwendungen in die Regelversorgung und in das E-Health-System integriert werden sollen, muss zunächst ihre Qualität sowie ihre daten-
– 92 –
BfDI 26. Tätigkeitsbericht 2015-2016