BDSG 2018 – § 22 – online-Kommentar

§ 22 Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zulässig

  1. durch öffentliche und nichtöffentliche Stellen, wenn sie

a) erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben und den diesbezüglichen Pflichten nachzukommen,

b) zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden, oder

c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich ist; ergänzend zu den in Absatz 2 genannten Maßnahmen sind insbesondere die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten,

2. durch öffentliche Stellen, wenn sie

a) aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist,

b) zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist,

c) zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich ist oder

d) aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist und soweit die Interessen des Verantwortlichen an der Datenverarbeitung in den Fällen der Nummer 2 die Interessen der betroffenen Person überwiegen.

(2) In den Fällen des Absatzes 1 sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:

  1. technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt,
  2. Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
  3. Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
  4. Benennung einer oder eines Datenschutzbeauftragten,
  5. Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
  6. Pseudonymisierung personenbezogener Daten,
  7. Verschlüsselung personenbezogener Daten,
  8. Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
  9. zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen oder
  10. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.

Kommentar

§ 22 BDSG 2018 wurde neu gefasst mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU – vom 30.06.2017, BGBl. I, vom 05.07.2017, S. 2097 und tritt am 25.05.2018 in Kraft.

§ 22 hat die Verarbeitung besonderer Kategorien personenbezogener Daten zum Gegenstand. Darunter sind sensible Daten zu verstehen, für deren Verarbeitung den Mitgliedstaaten ein Spielraum eingeräumt wurde durch die DSGVO (Erwägungsgrund 10, 52 DSGVO). Um besondere Kategorien personenbezogener Daten handelt es sich nach Art. 9 Absatz 1 der unmittelbar anwendbaren DSGVO bei Daten, die sich auf folgende Umstände beziehen:

  • rassische Herkunft,
  • ethnische Herkunft,
  • politische Meinungen,
  • religiöse Überzeugungen,
  • weltanschauliche Überzeugungen,
  • Gewerkschaftszugehörigkeit sowie
  • genetische Daten,
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person (biometrische Daten sind definiert in Artikel 4 Nummer 14 DSGVO als mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten),
  • Gesundheitsdaten (definiert in Artikel 4 Nummer 15 DSGVO: Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen)
  • Daten zum Sexualleben
  • Daten über die sexuelle Orientierung einer natürlichen Person

Artikel 9 Absatz 1 DSGVO verbietet die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich. Von diesem Grundsatz sieht Artikel 9 Absatz 2 DSGVO Ausnahmen vor. Die Mitgliedstaaten können die in Artikel 9 Absatz 2 Buchstaben b, g, h und i der DSGVO durch nationale Regelungen ausgestalten. Für die ausnahmsweise Rechtmäßigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten ist neben einem Ausnahmetatbestand stets auch das Vorliegen einer Rechtsgrundlage für die Verarbeitung nach Artikel 6 Absatz 1 Buchstaben a bis f DSGVO erforderlich.

Absatz 1 legt fest, unter welchen Voraussetzungen die Verarbeitung besonderer Kategorien personenbezogener Daten zulässig ist. § 22 findet nur auf Daten Anwendung, die dem Unionsrecht unterfallen, denn die Norm befindet sich unter Teil 2 des BDSG, welcher die Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 2 DSGVO zum Gegenstand hat, also solche, die dem Anwendungsbereich der DSGVO unterfallen.

Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nicht bloß auf Grundlage von § 22 zulässig, sondern z. B. auch auf Grundlage der Ausnahmetatbestände nach Artikel 9 Absatz 2 DSGVO einschließlich sonstiger auf Grundlage der DSGVO erlassener bereichsspezifischer Regelungen.

Absatz 1 Nummer 1 legitimiert die Verarbeitung besonderer Kategorien personenbezogener Daten durch öffentliche und nichtöffentliche Stellen. Im Gegensatz dazu beinhaltet Absatz 1 Nummer 2 Ausnahmetatbestände, welche nur für öffentliche Stellen anwendbar sind. Die Vorschrift gestaltet die Öffnungsklauseln aus, die in der DSGVO enthalten sind.

Absatz 1 Nummer 1 Buchstabe a ermöglicht öffentlichen und nichtöffentlichen Stellen die Verarbeitung besonderer Kategorien personenbezogener Daten, wenn dies der Ausübung von Rechten der sozialen Sicherheit oder des Sozialschutzes oder wenn entsprechenden Pflichten nachgekommen werden soll und die Verarbeitung der Daten dafür erforderlich ist. Die Vorschrift dient der Ausgestaltung des in Artikel 9 Absatz 2 Buchstabe b DSGVO vorgesehenen Spielraums.

Absatz 1 Nummer 1 Buchstabe b regelt eine Ausnahme

  • für Zwecke der Gesundheitsvorsorge,
  • für die Beurteilung der Arbeitsfähigkeit von Beschäftigten,
  • für die medizinische Diagnostik,
  • für die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich,
  • für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich,
  • aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs.

Hinzu kommen muss bei jeder der genannten Fallgruppen, dass die Datenverarbeitung für die genannten Zwecke erforderlich ist und dass die Daten von ärztlichem Personal oder durch, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden.

Die unterbliebene Nennung des Begriff der Arbeitsmedizin in der Vorschrift bedeutet nicht, dass diese nicht erfasst ist, vielmehr ist die Arbeitsmedizin in der „Gesundheitsvorsorge“ enthalten (BT Drs. 18/11325, S. 95).

Für die Verarbeitung besonderer Kategorien personenbezogener Daten oder sensibler Daten zu Zwecken besonderer Facharztrichtungen, zum Beispiel zum Zweck der Arbeitsmedizin, enthält das deutsche Recht keine spezifischen Regelungen. Die Ausnahme gilt jeweils nur für eine Verarbeitung entsprechend den inhaltlichen Zwecken, die sich aus Buchstabe b oder den bereichsspezifischen Regelungen ergeben.

Mit der gewählten Formulierung „…. Aufgrund eines Vertrags …“ wird klargestellt, dass ein Vertrag zwischen einem Patienten und einem Angehörigen eines Gesundheitsberufs gemeint ist, also ein Behandlungsvertrag gemäß §§ 630a ff. BGB. Daher findet die Regelung im Bereich der Humanmedizin für (Zahn-)Ärzte, Psychologische Psychotherapeuten, Kinder- und Jugendlichenpsychotherapeuten Anwendung. Außerdem werden vom Behandlungsvertrag auch Angehörige anderer Heilberufe erfasst, deren Ausbildung nach Artikel 74 Absatz 1 Nummer 19 GG durch Bundesgesetz geregelt ist, z. B.

  • Hebammen,
  • Logopäden,
  • Ergotherapeuten,
  • Physiotherapeuten,
  • Masseure,
  • medizinische Bademeister,
  • Heilpraktiker.

Absatz 1 Nummer 1 Buchstabe b sieht vor, dass es zulässig ist, dass „diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal dem Berufsgeheimnis unterliegt“; unter Fachpersonal sind auch die Erfüllungsgehilfen, d.h. die Angestellten, der genannten Gesundheits- und Heilberufe erfasst. Die Vorschrift gestaltet den Spielraum von Artikel 9 Absatz 2 Buchstabe h i. V. m. Absatz 3 DSGVO aus und Absatz 1 Nummer 1 Buchstabe b entspricht im wesentlichen § 13 Absatz 2 Nummer 7 und § 28 Absatz 7 BDSG a. F.

Absatz 1 Nummer 1 Buchstabe c regelt eine Ausnahme aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit. In beispielhafter Aufzählung werden der Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren genannt oder die Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten. Die am Ende der Vorschrift genannte Maßgabe, dass berufsrechtliche und strafrechtliche Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten ist, ist nach deutschem Recht überflüssig; die Klarstellung resultiert aus der Umsetzung von Artikel 9 Absatz 2 Buchstabe i DSGVO. Im deutschen Recht sind bereits hinlängliche Maßnahmen zum Schutz des Berufsgeheimnisses geregelt (vgl. § 203 StGB sowie Berufsordnungen). Ergänzend ist bzgl. der Wahrung des Berufsgeheimnisses § 22 Absatz 2 zu beachten. Mit Absatz 1 Nummer 1 Buchstabe c wird der Spielraum nach Artikel 9 Absatz 2 Buchstabe i DSGVO ausgestaltet.

Absatz 1 Nummer 2 behandelt Ausnahmen für öffentliche Stellen   und verlangt für die Verarbeitung besonderer Kategorien personenbezogener Daten nach Absatz 1 Nummer 2 stets eine Interessensabwägung. Dieses Erfordernis entspricht Artikel 9 Absatz 2 Buchstabe g DSGVO, wonach die Verarbeitung in einem angemessenen Verhältnis zu dem verfolgten Zweck stehen und den Wesensgehalt des Rechts auf Datenschutz wahren muss.

Absatz 1 Nummer 2 Buchstaben a bis d gestalten den Spielraum von Artikel 9 Absatz 2 Buchstabe g DSGVO aus und entsprechen im Wesentlichen den Regelungen gemäß § 13 Absatz 1 Nummer 1, 5, 6 und 9 BDSG a. F. Ein „erhebliches öffentliches Interesse“ im Sinne von Absatz 1 Nummer 2 Buchstabe a ist regelmäßig dann anzunehmen, wenn biometrische Daten zu Zwecken der eindeutigen Identifikation Betroffener verarbeitet werden.

Absatz 2 Satz 1 und 2 erfüllt die EU-rechtlichen Anforderungen, indem „geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person“ und „angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person“ geregelt werden (vgl. Artikel 9 Absatz 2 Buchstaben b, g, i DSGVO).

Adressaten der in Absatz 2 Satz 2 aufgeführten Maßnahmen sind „Verantwortliche“, d.h. jeder, der besondere Kategorien personenbezogener Daten verarbeitet.

Die in Absatz 1 Nummer 1 Buchstabe b enthaltenen Garantien (zur Umsetzung von Artikel 9 Absatz 2 Buchstabe h und Absatz 3 DSGVO) werden gemäß Absatz 2 Satz 3 von den Regelungen in Absatz 2 ausgenommen.

 

 

 

zurück zum BDSG 2018