Das Gesundheitsdatenschutzgesetz NRW im Lichte der DS-GVO

Das Gesundheitsdatenschutzgesetz NRW (GDSG NRW) ist bereits seit dem 18.03.1994 in Kraft und hat seitdem nur wenige Änderungen erfahren. Insbesondere hat auch die Datenschutz-Grundverordnung (DS-GVO) nicht dazu geführt, dass an dem Gesetz Anpassungen vorgenommen wurden. Da das GDSG NRW für die Kommunalverwaltung einen weiten Anwendungsbereich hat, aber in der Literatur und in der Rechtsprechung eine bestenfalls untergeordnete Rolle spielt, möchte der vorliegende Beitrag einige Schlaglichter auf Fragestellungen werfen, die für den kommunalen Bereich von Interesse sind.¹

A. Stellung und Bedeutung des GDSG NRW

Mit dem Inkrafttreten der DS-GVO wurde das Datenschutzrecht im Allgemeinen und damit auch das Gesundheitsdatenschutzrecht im Speziellen auf neue Grundlagen gestellt.² Besonderes Gewicht für den Bereich der Gesundheitsdaten hat dabei der Art. 9 Abs. 1 DS-GVO, der u. a. Gesundheitsdaten (auch im Binnenverhältnis der personenbezogenen Daten i. S. v. Art. 4 Nr. 1 DS-GVO) unter besonderen Schutz stellt. Eine Verarbeitung (Art. 4 Nr. 2 DS-GVO) dieser Daten ist nur dann zulässig, wenn einer der Fälle des Art. 9 Abs. 2 DS-GVO vorliegt. Für den Anwendungsbereich des GDSG NRW kommen hier insbesondere Art. 9 Abs. 2 lit. h) und i) DS-GVO in Betracht. Diese Normen stellen sog. Öffnungsklauseln dar, die es den Mitgliedsstaaten ermöglichen, eigenständige datenschutzrechtliche Regelungen zu schaffen, wobei für den Fall des Art. 9 Abs. 2 lit. h) DS-GVO zusätzlich der Art. 9 Abs. 3 DS-GVO zu beachten ist.

Der Landesgesetzgeber in Nordrhein-Westfalen hat am 18.05.2018 das Datenschutzgesetz NRW (DSG NRW) in Kraft gesetzt, um die für die Durchführung der DS-GVO notwendigen ergänzenden Regelungen zu treffen und gleichzeitig spezifische Anforderungen an die Verarbeitung personenbezogener Daten zu definieren.³ Das GDSG NRW wurde im Zuge dieser grundsätzlichen datenschutzrechtlichen Reform nicht angeglichen oder verändert. In § 3 GDSG NRW findet sich zudem eine Subsidiaritätsklausel, nach der das DSG NRW anzuwenden ist, soweit das GDSG NRW nichts anderes bestimmt. Im Falle der Eröffnung des Geltungsbereichs des GDSG NRW nach § 2 GDSG NRW sind daher die Regelungen des GDSG NRW anzuwenden, wobei Regelungen des DSG NRW ergänzend heranzuziehen sind und insgesamt die Wertungen der DS-GVO zu beachten sind.

B. Geltungsbereich des GDSG NRW im kommunalen Bereich

Die Gesundheitsämter⁴ sind als untere Gesundheitsbehörde gemäß §§ 5 Abs. 2 Nr. 1, 6 des Gesetzes über den öffentlichen Gesundheitsdienst (ÖGDG NRW) für die dort genannten Aufgaben zuständig. In spezieller Ausprägung sind die unteren Gesundheitsbehörden zudem Träger der Hilfen nach § 5 des Gesetzes über Hilfen und Schutzmaßnahmen bei psychischen Krankheiten (PsychKG NRW). Das GDSG NRW regelt auf kommunaler Ebene umfassend den Datenschutz für die Verarbeitungstätigkeiten der unteren Gesundheitsbehörden. Innerhalb des GDSG NRW ist daher aus kommunaler Sicht zwischen zwei zentralen Themenbereichen zu differenzieren: Zum einen treffen die §§ 2 Abs. 1 S. 1 Nr. 2, 13, 14 GDSG NRW Regelungen zu Patientendaten im Rahmen von Maßnahmen nach dem PsychKG NRW. Zum anderen treffen die §§ 2 Abs. 1 S. 1 Nr. 3, 23, 24, 25 GDSG NRW Regelungen zum Umgang mit Patientendaten durch die Gesundheitsämter. Die §§ 1 bis 9 GDSG NRW stellen zudem die verbindenden allgemeinen Grundsätze dar.

Dabei ist die grundsätzliche Wortwahl des Gesetzes nicht ganz treffend: Schon dem Titel nach umfasst das GDSG NRW „Gesundheitsdaten”; diese haben in Art. 4 Nr. 15 DS-GVO eine Legaldefinition erfahren und umfassen personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Das Gesetz selbst verwendet in § 2 Abs. 1 Satz 1 a.E GDSG NRW jedoch nicht den Begriff der „Gesundheitsdaten”, sondern spricht von „Patientendaten”.⁵ Der Geltungsbereich des Gesetzes wird sodann in § 2 Abs. 1 S. 2 GDSG NRW über den Begriff der „Gesundheitsdaten” i. S. d. Art. 4 Nr. 15 DS-GVO hinaus erweitert, indem die personenbezogenen Daten Dritter, die bei den Tätigkeit nach § 2 Abs. 1 Satz 1 GDSG NRW den dort genannten Stellen bekannt werden, den Patientendaten gleichgestellt werden. Das Gesetz verfolgt also einen extensiven Ansatz, der sämtliche personenbezogenen Daten (gleich ob Patient oder Dritter) im Wege der Wertung als „Patientendaten” unter den Geltungsbereich des Gesetzes fasst. Ausgenommen von diesem weiten Geltungsbereich sind jedoch Daten, die den genannten Stellen nur bei Gelegenheit offenkundig werden: So soll z. B. der Umstand, dass ein Patient innerhalb des Gesundheitsamtes einen Diebstahl begeht, nicht erfasst sein.⁶

Dieses Verständnis des Geltungsbereichs führt jedoch in der praktischen Anwendung zu Schwierigkeiten: So werden zwar personenbezogene Daten des Patienten im Falle der § 2 Abs. 1 Satz 1 Nrn. 2, 3 GDSG NRW regelmäßig Gesundheitsdaten i. S. d. Art. 4 Nr. 15 DS-GVO darstellen. Die personenbezogenen Daten Dritter nach § 2 Abs. 1 Satz 2 GDSG NRW dürften jedoch regelmäßig keine Gesundheitsdaten darstellen. Beide Gruppen von Personen werden vom GDSG NRW jedoch unter dem Begriff der „Patientendaten” gleichgestellt. Im Folgenden muss bei der Auslegung und Anwendung der Normen des GDSG NRW entsprechend differenziert werden, da die Gesundheitsdaten der Patienten dem höheren Schutz des Art. 9 Abs. 1 DS-GVO unterliegen, die Daten Dritter aber diesen höheren Schutz im Regelfall nicht für sich beanspruchen können.

C. Einzelne datenschutzrechtliche Besonderheiten

I. Die Einwilligung nach § 4 GDSG NRW

Das GDSG NRW spricht an einigen Stellen (z. B. in §§ 5 Abs. 1 Satz 1, 6 Abs. 1, 13 lit. c) GDSG NRW) von der Einwilligung des Betroffenen. Die grundsätzliche Regelung dafür findet sich in § 4 GDSG NRW. Aufgrund des Anwendungsvorrangs der DS-GVO ist diese Norm im Lichte des Art. 9 Abs. 2 lit. a) i. V. m. Art. 4 Nr. 11, 6 Abs. 1 S. 1 lit. a), 7 DS-GVO auszulegen, wenn es sich um Gesundheitsdaten handelt.

Die nach Art. 9 Abs. 2 lit. a) DS-GVO geforderte Einwilligung unterscheidet sich von der allgemeinen Einwilligung im Rahmen der DS-GVO dadurch, dass die betroffene Person in die Verarbeitung der in den besonderen Kategorien genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt haben muss. Durch diese erhöhten Anforderungen an die Einwilligung wird dem Umstand Rechnung getragen, dass es sich um besonders sensible Daten handelt.⁷ Eine konkludente bzw. stillschweigende Einwilligung genügt diesen erhöhten Anforderungen gerade nicht.⁸ Die stellenweise noch aufgeworfene Frage, ob für die Einwilligung nach Art. 9 Abs. 2 lit. a) DS-GVO eine schriftliche Einwilligung notwendig oder zumindest sinnvoll ist⁹, stellt sich im Rahmen von § 4 Abs. 1 Satz 1 GDSG NRW nicht, da dort die Schriftform als Regelfall angeordnet ist und mündlich erteilte Einwilligungen nach § 4 Abs. 1 Satz 2 GDSG NRW schriftlich dokumentiert werden müssen.

Die in § 4 Abs. 2 Satz 1 GDSG NRW enthaltenen Regelungen zur Einwilligungsfähigkeit des Patienten korrespondieren mit dem Umstand, dass in Art. 4 Nr. 11 DS-GVO vorausgesetzt wird, dass eine Einwilligung in informierter Weise zu erfolgen hat. So müssen klare und umfassende Informationen den Patienten in die Lage versetzen, die Konsequenzen einer von ihm erteilten Einwilligung im Voraus leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird.¹⁰ Dies deckt sich auch mit dem Umstand, dass § 16 Abs. 2 DSG NRW u. a. für die Verarbeitung von Gesundheitsdaten eine schriftliche Einwilligung anordnet.

Der § 4 Abs. 1 Satz 4 GDSG NRW flankiert dieses Erfordernis, indem er festlegt, dass die Unterrichtung über Art, Umfang und Zweck der beabsichtigten Erhebung und Speicherung der Daten schriftlich zu erfolgen hat. Diese Unterrichtung beinhaltet dabei einige Komponenten der Informationspflicht des Art. 13 DS-GVO, geht aber darüber hinaus, indem sie ausdrücklich die Schriftlichkeit anordnet. Ob eine solche Verengung des Wortlautes des Art. 12 Abs. 1 DS-GVO (wo für die Informationspflicht nach Art. 13 DS-GVO neben der Schriftform auch andere Formen zugelassen werden) noch zeitgemäß ist, bleibt fraglich. Zumindest dürfte aber über § 3 a Abs. 2 VwVfG NRW die elektronische Form im Verwaltungsverfahren zulässig sein. Daneben weist § 4 Abs. 1 Satz 4 GDSG NRW aber auch Bezüge zu dem Erfordernis der informierten Einwilligung (s. o.) auf.

Zu beachten ist zudem, dass § 4 Abs. 1 Satz 4 GDSG NRW nur von der „beabsichtigten Erhebung und Speicherung” spricht. Vor dem Hintergrund des Wortlauts des Art. 13 Abs. 1 lit. d) DS-GVO („[…] verarbeitet werden sollen […]”) und der umfassenden Definition der „Verarbeitung” in Art. 4 Nr. 2 DS-GVO sollte sich die Unterrichtung jedoch auf sämtliche Verarbeitungsschritte beziehen. Insgesamt dürfte es jeder Stelle nach § 2 Abs. 1 Satz 1 GDSG NRW nur zu empfehlen sein, die Patienten (bzw. die Dritten i. S. d. § 2 Abs. 1 Satz 2 GDSG NRW) vor der Einholung einer datenschutzrechtlichen Einwilligung umfassend und schriftlich bzw. auf elektronischem Wege im Rahmen von Art. 13 DS-GVO über die geplante Verarbeitung zu informieren.

II. Übermittlungsbefugnis nach § 5 Abs. 1 GDSG NRW

Hinsichtlich der Möglichkeit, Patientendaten zu übermitteln, sehen die §§ 5, 14 GDSG NRW (für den Bereich des PsychKG NRW) sowie die §§ 5, 23 Abs. 2 GDSG (für die sonstigen Aufgaben der Gesundheitsämter) spezielle Regelungen vor.

Dabei spricht § 5 GDSG NRW davon, dass eine Übermittlung (neben der Erfüllung einer gesetzlichen Pflicht und dem Vorliegen einer Einwilligung) u. a. aufgrund einer Rechtsvorschrift erfolgen darf. Was genau das Gesetz mit der Wendung der „Rechtsvorschrift” genau ausdrücken möchte, bleibt aber offen. Wenn es sich nur um „irgendeine” Rechtsvorschrift handeln muss, so verwundert es zumindest, dass die besonders sensiblen Gesundheitsdaten (insbesondere auch jene, auf die sich das PsychKG NRW bezieht) nicht dahingehend mit einem höheren datenschutzrechtlichen Schutzniveau ausgestattet wurden. Als Beispiel für ein dahingehend ausdifferenziertes System könnte der Sozialdatenschutz dienen: Obwohl es sich bei Sozialdaten (§ 35 SGB I i. V. m. §§ 67 ff. SGB X) nicht per se um eine besondere Kategorie personenbezogener Daten gemäß Art. 9 DS-GVO handelt, hat der Gesetzgeber in den §§ 67 b ff. SGB X ein präzises System geschaffen, unter welchen Voraussetzungen Sozialdaten an bestimmte Institutionen übermittelt werden dürfen. Wenn es sich dagegen nicht lediglich um „irgendeine” Rechtsvorschrift handeln sollte, sondern spezifische Anforderungen an diese zu stellen sein sollen, so bleibt offen, wie diese Anforderungen genau aussehen sollen.

Daneben dürfte es zumindest zweifelhaft sein, ob der recht pauschale Verweis auf eine Rechtsvorschrift den hohen Anforderungen genügt, die der Art. 9 Abs. 2 lit. h) und i) DS-GVO formuliert. So fordert Art. 9 Abs. 2 lit. h) DS-GVO, dass die Verarbeitung erforderlich sein muss; Art. 9 Abs. 2 lit. i) DS-GVO fordert ebenfalls die Erforderlichkeit und zusätzlich, dass das Recht des Mitgliedstaats angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht. Die vorgenannten Voraussetzungen können in den Verweis auf eine Rechtsvorschrift in § 5 Abs. 1 Satz 1 GDSG NRW mühsam bis kaum hineingelesen werden.

Die §§ 14, 23 Abs. 2 GDSG NRW formulieren sodann weitere Tatbestände der Übermittlung, die jedoch ausdrücklich neben die Fälle des § 5 Abs. 1 GDSG NRW treten, sodass die o. g. Problematik nicht durch z. B. verschärfte Regelungen in den spezifischen Bereichen ausgeschlossen wird.

Den gesamten Beitrag lesen Sie in unseren NWVBl. Heft 11/2024.