© 2016 Deutscher Bundestag PE 6 - 3000 - 37/16 Patientendaten Vorgaben des Unionsrechts Ausarbeitung Unterabteilung Europa Fachbereich Europa Die Arbeiten des Fachbereichs Europa geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Arbeiten des Fachbereichs Europa geben nur den zum Zeitpunkt der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegen, geschützte oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist vorab der Fachbereichsleitung anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die dabei zu berücksichtigenden Fragen. Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 37/16 Seite 2 Patientendaten Vorgaben des Unionsrechts Aktenzeichen: PE 6 - 3000 - 37/16 Abschluss der Arbeit: 15.4.2016 Fachbereich: PE 6: Fachbereich Europa Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 37/16 Seite 3 Inhaltsverzeichnis 1. Einleitung 4 2. Bestimmungen des Unionsrecht 4 2.1. Richtlinie 2011/24/EU – Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung 4 2.2. Richtlinie 95/46/EG – Schutz bei der Verarbeitung personenbezogener Daten 6 2.3. Richtlinie 2002/58/EG – Datenschutz in der elektronischen Kommunikation 8 3. Aktuelle Gesetzesvorhaben – die Datenschutz- Grundverordnung 8 3.1. Inhalt der Datenschutz-Grundverordnung in Bezug auf Patientendaten 8 3.2. Erforderliche Schritte zur Geltung der Datenschutz- Grundverordnung 10 4. Zusammenfassung 10 Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 37/16 Seite 4 1. Einleitung Die nachfolgende Ausarbeitung gibt einen Überblick über die Bestimmungen auf Unionsebene zur Speicherung von Patientendaten, zu deren Verwendung und Fragen des Zugriffs auf diese Daten. Bei der Regelung von Patientendaten treffen zwei verschiedene Politikbereiche zusammen: das Gesundheitswesen und der Datenschutz. Im Wesentlichen fällt der Bereich des Gesundheitswesens in die Zuständigkeit der Mitgliedstaaten. Die Kompetenzen der Union in diesem Bereich sind beschränkt. Nach Art. 168 Abs. 1 Satz 2 des Vertrags über die Arbeitsweise der EU (AEUV) ergänzt die Tätigkeit der Union die Politik der Mitgliedstaaten im Gesundheitswesen lediglich. Im Bereich des Datenschutzes ist die Union nach Art. 16 Abs. 2 Satz 1 AEUV befugt, im ordentlichen Gesetzgebungsverfahren Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr zu erlassen. Im Rahmen dieser Ausarbeitung wird zunächst der derzeitige Stand des Unionsrechts dargestellt, bevor im zweiten Teil auf aktuelle Änderungen der Regelungen auf Unionsebene eingegangen wird. 2. Bestimmungen des Unionsrecht Es gibt verschiedene Sekundärrechtsakte, in denen sich Regelungen zu Patientendaten finden. Die folgende Darstellung beschränkt sich auf diese Detailregelungen des Sekundärrechts und verzichtet auf eine Darstellung der grundlegenden primärrechtlichen Vorgaben des AEUV und der Charta der Grundrechte der EU im Bereich Datenschutz,1 auf denen die nachfolgenden Sekundärrechtsakte u. a. beruhen. 2.1. Richtlinie 2011/24/EU – Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung Die Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (im Folgenenden: RL 2011/24/EU)2 regelt verschiedene Aspekte der 1 Ausführlich dazu: Schneider, Einrichtungsübergreifende elektronische Patientenakten: zwischen Datenschutz und Gesundheitsschutz, 2016, S. 269 ff. 2 Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung, ABl. 2011, L 88/45, abrufbar unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:02011L0024- 20140101&qid=1460542020276&from=DE. Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 37/16 Seite 5 grenzüberschreitenden Gesundheitsversorgung, darunter auch Fragen der sog. Patientenakte, allerdings auch diese nur im grenzüberschreitenden Kontext.3 Unter den Begriff der Patientenakte fallen nach Art. 3 lit. m RL 2011/24/EU sämtliche Unterlagen , die Daten, Bewertungen oder Informationen jeglicher Art über die klinische Situation und Entwicklung eines Patienten im Verlauf des Behandlungsprozesses enthalten. Die Möglichkeit von Patienten, grenzüberschreitend Gesundheitsleistungen in Anspruch zu nehmen , wird erleichtert dadurch, dass Ärzte sowohl im Versicherungs- und Behandlungsstaat Kenntnis vom Gesundheitszustand und von erfolgten Behandlungen des Patienten haben bzw. erlangen können. Aus diesem Grund postulieren Art. 4 Abs. 2 lit. f und Art. 5 lit. d RL 2011/24/EU entsprechende Pflichten zur Führung und zum Zugänglichmachen von Patientenakten .4 Gemäß Art. 4 Abs. 2 lit. f RL 2011/24/EU haben Patienten im Behandlungsstaat Anspruch auf die Erstellung einer schriftlichen oder elektronischen Patientenakte über die Behandlung sowie auf Zugang zu mindestens einer Kopie dieser Akte, um eine Kontinuität der Behandlung sicherzustellen . Nach Art. 4 Abs. 2 lit. e RL 2011/24/EU stellt der Behandlungsmitgliedstaat sicher, dass das Grundrecht auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten gemäß den nationalen Maßnahmen zur Umsetzung der Unionsvorschriften zum Schutz der personenbezogenen Daten (insbesondere der Richtlinien 95/46/EG und 2002/58/EG) geschützt wird. Nach Art. 5 lit. d RL 2011/24/EU stellt der Versicherungsmitgliedstaat sicher, dass Patienten, die grenzüberschreitende Gesundheitsversorgung in Anspruch nehmen möchten oder in Anspruch nehmen, mindestens eine Kopie ihrer Patientenakte erhalten oder per Fernabfrage darauf zugreifen können. Die Richtlinie gewährt mithin einen Anspruch des Patienten auf Anlage einer Patientenakte und Zugang zu dieser im grenzüberschreitenden Kontext.5 Um ein gewisses Maß an Einheitlichkeit zwischen den Patientenakten in den verschiedenen Mitgliedstaaten zu erreichen, hat das Netzwerk für elektronische Gesundheitsdienste (eHealth network ) gemäß Art. 14 Abs. 2 lit. b i) RL 2011/24/EU unverbindliche Leitlinien zu den in einer Patientenakte aufzunehmenden Daten erstellt.6 Da im Bereich des Gesundheitswesens die Kompetenz bei den Mitgliedstaaten liegt, sind diese Leitlinien nicht verbindlich, wie das Netzwerk selbst in den Leitlinien betont. 3 Schneider, Einrichtungsübergreifende elektronische Patientenakten: zwischen Datenschutz und Gesundheitsschutz , 2016, S. 425. 4 Wollenschläger, Patientenmobilität in der Europäischen Union – von der Rechtsprechung des EuGH zur neuen Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung , EuR 2012, S. 149 (179). 5 Schneider, Einrichtungsübergreifende elektronische Patientenakten: zwischen Datenschutz und Gesundheitsschutz , 2016, S. 430. 6 Netzwerk für elektronische Gesundheitsdienste, Guidelines on minimum/non-exhaustive patient summary dataset for electronic exchange in accordance with the cross-border directive 2011/24/EU, abrufbar unter http://ec.europa.eu/health/ehealth/docs/guidelines_patient_summary_en.pdf. Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 37/16 Seite 6 Richtlinien wirken grundsätzlich nicht unmittelbar, sondern müssen von den Mitgliedstaaten in nationales Recht umgesetzt werden.7 Die Vorgaben der RL 2011/24/EU sind in Deutschland, soweit erforderlich, u. a. durch das Gesetz zur Verbesserung der Rechte von Patienten und Patientinnen 8 umgesetzt worden. In dem Gesetzesentwurf heißt es dazu: „Die Regelung steht mit dem Recht der Europäischen Union (EU) und mit völkerrechtlichen Verträgen, die die Bundesrepublik Deutschland abgeschlossen hat, im Einklang. Insbesondere wahrt die Regelung die Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung vom 9. März 2011. Die Intention dieser Richtlinie, einen eindeutig abgesteckten Rahmen für die grenzüberschreitende Gesundheitsversorgung in der EU zu schaffen und das Recht auf Erstattung der Kosten der in einem anderen Mitgliedstaat erbrachten Gesundheitsdienstleistungen aus der gesetzlichen Sozialversicherung der Patientinnen und Patienten als Versicherte zu etablieren, wird von den hiesigen Regelungen beachtet und teilweise umgesetzt. So findet Artikel 6 Nummer 5 der Richtlinie, nach der Patientinnen und Patienten Zugang zu Patientenakten erhalten sollen, in § 630g BGB-E seine Umsetzung .“9 2.2. Richtlinie 95/46/EG – Schutz bei der Verarbeitung personenbezogener Daten Die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden: RL 95/46/EG)10 enthält Grundsätze zum Schutz der Rechte und Freiheiten der Personen, welche für alle Verarbeitungen personenbezogener Daten gelten und nicht auf Patientendaten beschränkt sind. Im Unterschied zur RL 2011/24/EU findet die RL 95/46/EG nicht nur auf grenzüberschreitende Sachverhalte Anwendung . 11 Sie gilt nach Art. 3 Abs. 1 RL 95/46/EG grundsätzlich für die Verarbeitung personenbezogener Daten. Art. 3 Abs. 2 RL 95/46/EG begrenzt diesen Anwendungsbereich, demnach findet sie keine Anwendung, wenn die Verarbeitung personenbezogener Daten für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen. Die Richtlinie postuliert allgemeine Vorgaben für den Umgang mit personenbezogenen Daten, darunter Informationspflichten des für die Datenerhebung Verantwortlichen gegenüber dem Be- 7 Nettesheim, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 48. EL August 2012, Art. 288 AEUV, Rn. 104 f. 8 Gesetz zur Verbesserung der Rechte von Patientinnen und Patienten vom 20. Februar 2013, BGBl. I, 2013/9, S. 277 ff. 9 Bundesregierung, Entwurf eines Gesetzes zur Verbesserung der Rechte von Patientinnen und Patienten, BT- Drucks. 17/10488, S.13. 10 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. 1995, L 281/31, abrufbar unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:01995L0046- 20031120&qid=1460542095176&from=DE. 11 Schneider, Einrichtungsübergreifende elektronische Patientenakten: zwischen Datenschutz und Gesundheitsschutz , 2016, S. 432 ff. Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 37/16 Seite 7 troffenen nach Art. 10 f. RL 95/46/EG, Rechte der Betroffenen auf Auskunft, Berichtigung, Löschung , Sperrung oder Widerspruch gemäß Art. 12 und 14 RL 95/46/EG sowie Vertraulichkeit und Sicherheit der Verarbeitung nach Art. 16 und 17 RL 95/46/EG. Nach Art. 8 Abs. 1 der RL 95/46/EG untersagen die Mitgliedstaaten im Grundsatz die Verarbeitung besonderer personenbezogener Daten (wozu auch Daten über die Gesundheit des Betroffenen zählen). Art. 8 Abs. 2 bis 4 RL 95/46/EG erlauben Ausnahmen von diesem Verbot. Nach Art. 8 Abs. 3 der RL 95/46/EG gilt das Verarbeitungsverbot u. a. nicht, wenn die Verarbeitung der Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal erfolgt, das nach dem einzelstaatlichen Recht, einschließlich der von den zuständigen einzelstaatlichen Stellen erlassenen Regelungen, dem Berufsgeheimnis unterliegt, oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen. Durch das letzte Kriterium werden spezielle Geheimhaltungspflichten nach nationalem Recht vorausgesetzt, insoweit liegt die Gestaltungsmacht bei den Mitgliedstaaten .12 Nach Ansicht der Literatur werden Krankenversicherungen und andere Finanzdienstleistungen von Art. 8 Abs. 3 RL 95/46/EG nicht erfasst.13 Art. 8 Abs. 4 der RL 95/46/EG bestimmt , dass die Mitgliedstaaten vorbehaltlich angemessener Garantien aus Gründen eines wichtigen öffentlichen Interesses weitere Ausnahmen vom Verarbeitungsverbot vorsehen können. Die Erwägungsgründe 34 ff. der RL 95/46/EG benennen eine Anzahl von Gründen, aufgrund derer Ausnahmen vom Verbot des Art. 8 Abs. 1 RL 95/46/EG möglich sind. Nach Erwägungsgrund 34 können die Mitgliedstaaten, wenn dies durch ein wichtiges öffentliches Interesse gerechtfertigt ist, Ausnahmen vom Verarbeitungsverbot in Bereichen wie dem öffentlichen Gesundheitswesen und der sozialen Sicherheit - insbesondere hinsichtlich der Sicherung von Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen -, der wissenschaftlichen Forschung und der öffentlichen Statistik vorsehen. Somit können Mitgliedstaaten nach Art. 8 Abs. 4 der RL 95/46/EG eine Ausnahme für Krankenversicherungen von dem Verarbeitungsverbot vorsehen. Die RL 95/46/EG eröffnet den Mitgliedstaaten durch Art. 8 Abs. 3 und 4 die Möglichkeit, eine gesetzliche Verarbeitungsbefugnis für Patientendaten zum Zwecke der Gesundheitsversorgung, der Verwaltung von Gesundheitsdiensten, der sozialen Krankenversicherung und anderer wichtiger öffentlicher Interessen zu schaffen.14 Die RL 95/46/EG ist in Deutschland durch eine Änderung des Bundesdatenschutzgesetzes15 und anderer Gesetze umgesetzt worden.16 12 Schneider, Einrichtungsübergreifende elektronische Patientenakten: zwischen Datenschutz und Gesundheitsschutz , 2016, S. 448. 13 Dammann/Simitis, EG-Datenschutzrichtlinie Kommentar, 1997, Art. 8, Rn. 18. 14 Schneider, Einrichtungsübergreifende elektronische Patientenakten: zwischen Datenschutz und Gesundheitsschutz , 2016, S. 451. 15 Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003, BGBl. I, 2003/3, S. 66 ff. 16 Bundesregierung, Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze, BT-Drucks. 14/4329, S. 1. Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 37/16 Seite 8 2.3. Richtlinie 2002/58/EG – Datenschutz in der elektronischen Kommunikation Die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (im Folgenden RL 2002/58/EG)17 ergänzt die RL 95/46/EG. Sie stellt keine Spezialregelung für den Bereich der Patientendaten dar, sondern enthält allgemeine Vorgaben für den Bereich des Datenschutzes in der elektronischen Kommunikation . 3. Aktuelle Gesetzesvorhaben – die Datenschutz-Grundverordnung Seit 2012 laufen auf Unionsebene Verhandlungen zum Erlass einer neuen Datenschutz-Grundverordnung , welche die RL 95/46/EG ersetzen soll. Grundlage ist ein Verordnungsvorschlag der Kommission aus 2012.18 Nach vielen Treffen im sog. Trilogverfahren zwischen Rat und Parlament unter Beteiligung der Kommission hat der Rat am 8.4.2016 in erster Lesung einen Standpunkt zu dem Verordnungsvorschlag der Kommission angenommen (der die Arbeitsgrundlage für die folgenden Ausführungen bildet).19 Der Standpunkt des Rates spiegelt die am 15.12.2015 im informellen Trilog zwischen dem Parlament und dem Rat erzielte Einigung wider.20 Am 14.4.2016 hat das Parlament die Datenschutz-Grundverordnung angenommen.21 3.1. Inhalt der Datenschutz-Grundverordnung in Bezug auf Patientendaten Nach Art. 2 Abs. 1 Verordnungsentwurf gilt die Grundverordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Nach Art. 2 Abs. 2 lit. a Verordnungsentwurf findet die Verordnung allerdings keine 17 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation, ABl. 2002, L 201/37, abrufbar unter http://eur-lex.europa.eu/legalcontent /DE/TXT/PDF/?uri=CELEX:02002L0058-20091219&qid=1460542189857&from=DE. 18 Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), KOM(2012) 11 endg., abrufbar unter http://eur-lex.europa.eu/LexUriServ/LexUri- Serv.do?uri=COM:2012:0011:FIN:DE:PDF. 19 Standpunkt des Rates in erster Lesung im Hinblick auf den Erlass der Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), Ratsdokumentennr. 5419/16 ADD 1 REV 1, abrufbar unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CON- SIL:ST_5419_2016_REV_1&from=DE. 20 Mitteilung der Kommission an das Europäische Parlament gemäß Artikel 294 Absatz 6 AEUV betreffend den Standpunkt des Rates im Hinblick auf den Erlass einer Datenschutz-Grundverordnung, KOM(2016) 214 endg., abrufbar unter http://eur-lex.europa.eu/legal-content /DE/TXT/PDF/?uri=CELEX:52016PC0214&qid=1460628288112&from=DE. 21 http://www.europarl.europa.eu/news/de/news-room/20160407IPR21776/Parlament-verabschiedet-EU-Datenschutzreform -%E2%80%93-EU-fit-f%C3%BCrs-digitale-Zeitalter. Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 37/16 Seite 9 Anwendung auf die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt. Der Verordnungsentwurf enthält Regelungen für den Schutz sämtlicher personenbezogener Daten und gilt nicht ausschließlich für Patientendaten. Es gibt jedoch gesonderte Bestimmungen, speziell in Bezug auf Gesundheitsdaten. Als Gesundheitsdaten gelten gemäß Art. 4 Nr. 15 des Verordnungsentwurfs personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. An mehreren Stellen wird in den Erwägungsgründen des Verordnungsentwurfs auf Patientendaten bzw. Gesundheitsdaten Bezug genommen: Nach Erwägungsgrund 63 des Verordnungsentwurfs sollte eine betroffene Person ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt, so der Erwägungsgrund 63, das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse , Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten . Gemäß Erwägungsgrund 91 des Verordnungsentwurfs sollte eine andernfalls erforderliche Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein, wenn die Verarbeitung personenbezogene Daten von Patienten betrifft und durch einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufes erfolgt. Nach Art. 9 Abs. 1 ist die Verarbeitung personenbezogener Daten, zu denen auch Gesundheitsdaten zählen, untersagt. Gemäß Art. 9 Abs. 2 lit. h des Verordnungsentwurfs ist die Verarbeitung von Gesundheitsdaten nicht untersagt, wenn die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erfolgt und vorbehaltlich der in Abs. 3 genannten Bedingungen und Garantien erforderlich ist. Art. 9 Abs. 3 des Verordnungsentwurfs gibt vor, dass Gesundheitsdaten nur verarbeitet werden dürfen, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt. Nach Art. 9 Abs. 2 lit. i ist die Verarbeitung auch nicht untersagt, wenn die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten , auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich ist. Art. 9 Abs. 2 lit. j des Verordnungsentwurfs gestattet die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung Unterabteilung Europa Fachbereich Europa Ausarbeitung PE 6 - 3000 - 37/16 Seite 10 der Grundrechte und Interessen der betroffenen Person vorsieht, wenn dies für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich ist. Nach Art. 9 Abs. 4 des Verordnungsentwurfs können die Mitgliedstaaten zusätzliche Bedingungen , einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist. Auch die Datenschutz- Grundverordnung räumt, wie die RL 95/46/EG, den Mitgliedstaaten im Hinblick auf die Verarbeitung von Gesundheitsdaten einen gewissen Spielraum ein. 3.2. Erforderliche Schritte zur Geltung der Datenschutz-Grundverordnung Nach der Annahme der Datenschutz-Grundverordnung durch das Europäische Parlament gilt die Verordnung als erlassen. Sie muss gemäß Art. 297 AEUV vom Präsidenten des Parlaments und vom Präsidenten des Rates unterzeichnet und im Amtsblatt der EU veröffentlicht werden. Die Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt in Kraft. Der Geltungsbeginn ist nach Art. 99 Abs. 2 des Verordnungsentwurfs zwei Jahre nach dem Inkrafttreten, frühestens also 2018. Die Verordnung wird dann unmittelbar in allen Mitgliedstaaten gelten und erfordert im Gegensatz zu den Richtlinien keine Umsetzung durch die Mitgliedstaaten. 4. Zusammenfassung Die Speicherung von Patientendaten, deren Verwendung und die Möglichkeiten verschiedener Institutionen, auf diese Daten zuzugreifen, sind auf Unionsebene nicht in einem Rechtsakt zusammenhängend geregelt. Es gibt keinen Sekundärrechtsakt ausschließlich zur Patientenakte. Es existieren jedoch vereinzelt Normen, die Regelungen für Patientendaten enthalten. Die RL 2011/24/EU statuiert einen Anspruch des Patienten auf Erstellung und Zugang zu seiner Patientenakte . Die RL 2011/24/EU greift allerdings nur in grenzüberschreitenden Sachverhalten, wenn sich der Patient in einem anderen als seinem Wohnsitzort behandeln lässt. Die allgemeinen Datenschutzregelungen , die momentan noch in der RL 95/46/EG enthalten sind, ermöglichen in bestimmten Fällen die Speicherung von Patientendaten, insbesondere zum Zweck der Gesundheitsversorgung und geben einen gewissen allgemeinen Grundstandard im Bereich Datenschutz vor. In Bezug auf Patientendaten ist durch die geplante Datenschutz-Grundverordnung keine wesentliche Änderung ersichtlich, allerdings sind die möglichen Ausnahmen vom Verarbeitungsverbot von Gesundheitsdaten in der Verordnung ergänzt worden. – Fachbereich Europa –