DS-GVO/BDSG. David Klein
das Verhalten einer Person aufgrund der Dynamik der jeweiligen Handschrift bewertet wird. Herkömmliche Systeme zur Erkennung von Unterschriften beruhen auf der Analyse statischer oder geometrischer Merkmale des jeweiligen Unterschriftsbildes.“ Für die Praxis hätte eine derartige Beurteilung weitreichende Konsequenzen: Denn so würde auch ein eingescannter herkömmlicher Personalausweis, nicht wegen des Lichtbildes (vgl. ErwG 51 S. 1), sondern wegen der darauf enthaltenen Unterschrift als biometrisches Datum eingestuft und daher den hohen Anforderungen des Art. 9 unterliegen. Dabei ist aber stets zu beachten, dass bspw. die eingescannte Unterschrift unter einem Word-Dokument demgegenüber nicht a priori ein biometrisches Datum darstellt. Denn grundsätzlich ist die eingescannte Unterschrift lediglich ein Lichtbild. Als Leitlinie lässt sich daher für die Praxis festhalten, dass eingescannte Unterschriften zwar biometrische Daten darstellen können, dies aber erst dann der Fall ist, wenn eine biometrische Erfassung der Unterschrift stattfindet. Ansonsten bleibt es bei der Beurteilung als schlichtes Lichtbild.
cc) Gesundheitsdaten
83
Weiterhin unterliegt die Datenkategorie der Gesundheitsdaten nach Art. 9 Abs. 1 einem grundsätzlichen Verarbeitungsverbot.
84
Gesundheitsdaten sind nach Art. 4 Nr. 15[156] personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
85
Ausweislich ErwG 35 S. 1 gehören zu den Gesundheitsdaten alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen.
86
Hinsichtlich der Systematik ist zum einen die enge Verknüpfung von Art. 9 sowie Art. 4 Nr. 14 zu den Art. 4 Nr. 13 und 14 zu beachten. Insoweit können Gesundheitsdaten zugleich biometrische oder genetische Daten darstellen, so dass sich inhaltliche Überschneidungen der Begrifflichkeiten ergeben.[157]
87
Indem unter den Begriff der Gesundheitsdaten alle Daten fallen, die sich auf den früheren, gegenwärtigen oder künftigen Gesundheitszustand einer Person beziehen, liegt der Begrifflichkeit ein weites Begriffsverständnis zugrunde.
88
Nach ErwG 35 S. 2 gehören zu den Gesundheitsdaten etwa Informationen über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person. Da aber der Anknüpfungspunkt der Gesundheitsdaten ausweislich der Definition des Art. 4 Nr. 15 der Gesundheitszustand und nicht die Krankheit ist, stellen auch etwa der Verlauf einer medizinischen Behandlung oder die Feststellung, dass eine Person vollkommen gesund ist, Gesundheitsdaten dar.[158]
Dabei ist die Herkunft der Daten (ob sie also etwa von einem Arzt, Krankenhaus oder sonstigem Angehörigen eines Gesundheitsberufes, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen) für die Einordnung als Gesundheitsdatum nach ErwG 35 S. 2 unerheblich.[159]
89
Darüber hinaus stellen auch Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz oder auch aus genetischen Daten und biologischen Proben abgeleitet wurden, Gesundheitsdaten dar. So kann etwa die bloße Erfassung des (Normal-)Gewichts einer Person noch keine Information sein, die Aufschluss über den künftigen Gesundheitszustand der betroffenen Person gibt. Durch die Verknüpfung mit Informationen hinsichtlich des Alters und Geschlechts der betroffenen Person und dem Zeitraum der Dokumentation der Daten, können so allerdings Gesundheitsdaten generiert werden.[160]
90
Gesundheitsdaten sind auch solche Daten, die mittelbar Rückschlüsse[161] auf den Gesundheitszustand erlauben (z.B. die Schwerbehinderteneigenschaft, Angaben zu Krankheitssymptomen oder die Krankschreibungen des Arztes).[162] ErwG 35 S. 2 stellt klar, dass zu Gesundheitsdaten auch die Nummer, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese Person für gesundheitliche Zwecke eindeutig zu identifizieren, gehören. Damit fallen also auch pseudonymisierte Daten[163] (etwa eine Versicherungsnummer) unter den Begriff der Gesundheitsdaten, wenn sie Informationen zum Gesundheitszustand der betroffenen Person enthalten.[164]
91
Die besondere Sensibilität von Gesundheitsdaten folgt dabei insbesondere aus den möglichen Auswirkungen für den Betroffenen. Das Datenschutzrecht knüpft damit an rechtliche Grundsätze an, die bereits in § 203 StGB oder § 35 SGB I Eingang gefunden haben und so dem Betroffenen im Falle einer gesundheitlichen Notsituation und Hilfebedürftigkeit versichern, dass ihnen keine Nachteile aus einer unrechtmäßigen Datenverarbeitung oder einer Weitergabe an Dritte erwachsen.[165]
92
Da es ausweislich des Wortlauts des Art. 4 Nr. 15 sowie des ErwG 35 nicht darauf ankommt, wer die Gesundheitsdaten generiert, ist in der Praxis insbesondere die Nutzung von Lifestyle- und Gesundheits-Apps relevant.[166] Gerade Auswertungen von Gesundheitsdaten im Rahmen von Big Data-Anwendungen[167] werden Verantwortliche hinsichtlich einer genauen Zweckbestimmungen vor dem Hintergrund der erhöhten Anforderungen an eine Verarbeitung aus Art. 9 vor Herausforderungen stellen. Besonders problematisch ist v.a. die Praxis mancher Unternehmen, auch sensible Daten der Nutzer an Dritte weiterzuleiten. Die DSK[168] betont, dass die Weiterleitung mittels Tracking- und Analysetools gewonnener Gesundheitsdaten durch Verantwortliche an Dritte ohne Kenntnis oder adäquate Einbindung der Betroffenen (etwa mittels Einwilligung nach Art. 9 Abs. 2 lit. a) datenschutzrechtlich unzulässig ist.[169] Insbesondere vor dem Hintergrund der EuGH-Rechtsprechung zur gemeinsamen Verantwortlichkeit (vgl. Kommentierung zu Art. 4 Nr. 7 Rn. 140) betont die DSK, dass auch Betreiber von Gesundheitswebsites oder -Apps für die Datenweitergabe verantwortlich sind, auch wenn sie selbst keinen eigenen Zugriff auf die an die Dritten weitergeleiteten Daten haben.[170] Insofern ist auch für die Datenweitergabe ein Erlaubnistatbestand notwendig. Hierbei sind insbesondere die Transparenzanforderungen an eine wirksame Einwilligung zu beachten.[171] Dies wurde im Zuge der COVID-19-Pandemie insbesondere im Rahmen der Entwicklung von sog. Corona-Apps[172] virulent (dazu auch Art. 4 Nr. 1 Rn. 47 und Art. 4 Nr. 5 Rn. 109). Die Feststellung einer Infektion eines App-Nutzers stellt die Verarbeitung eines Gesundheitsdatums dar und muss sich demzufolge an den Voraussetzungen von Art. 9, insbes. Abs. 2