Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO. Anna-Lena Hoffmann
an einem Ort befindet, an dem Strahlentherapie durchgeführt wird, so kann aus diesen Daten (eindeutig) hervorgehen, dass die natürliche Person an Krebs erkrankt ist und sich in Behandlung befindet. Die Daten beziehen sich also zumindest mittelbar auf die körperliche Gesundheit einer Person.222
Rückschlüsse lassen sich auch auf die geistige Gesundheit einer natürlichen Person ziehen, wenn diese regelmäßig (oder auch einmalig) eine Adresse aufsucht, an der Psychiater oder Psychologen niedergelassen sind. Im Kontext mit Fachpersonal, welches sich über öffentliche Eintragungen (Webseiten, Telefonbücher, Einträge/Tags in Kartenmaterial auf Smartphones) schnell finden lässt, ist dies auch kein rein theoretisches Konstrukt. In beiden Fällen – jeweils im Kontext einer Behandlung durch Fachpersonal – kann zumindest mittelbar auch das Beispiel der „Erbringung von Gesundheitsleistungen“ der Definition von Art. 4 Nr. 15 DSGVO bejaht werden.223
Nur, wenn der Bestandteil der Definition enger verstanden wird, wenn sich also die personenbezogenen Daten unmittelbar auf die körperliche oder geistige Gesundheit beziehen, ist bei Ortsdaten diese erste Bedingung der Definition nicht erfüllt. So könnte auch argumentiert werden, ein Standortdatum sage (ausschließlich) etwas über den Standort aus, also über den Aufenthaltsort einer natürlichen Person, hingegen nichts über die Gesundheit. Andererseits spricht der Wortlaut der Definition in Art. 4 Nr. 15 DSGVO von personenbezogenen Daten, die sich auf die geistige oder körperliche Gesundheit beziehen, d.h. eine Beziehung zwischen der Gesundheit und dem personenbezogenen Datum reicht aus, um das Kriterium zu erfüllen.224
Ähnlich stellt es sich in Forschungsprojekten dar. In Biobanken werden beispielsweise regelmäßig genetische Informationen, Gesundheitsdaten und lebensstilbezogene Informationen („Lifestyle Data“) zusammengeführt, um daran zu forschen, wie nichtgenetische Faktoren die Gene beeinflussen.225 In diesen Fällen können richtigerweise alle personenbezogenen Daten, die für die Forschungsprojekte erforderlich sind, einen unmittelbaren oder mittelbaren Bezug zur Gesundheit einer Person aufweisen. Nicht ausgeschlossen werden kann auch, dass sich erst aufgrund der Forschungsergebnisse der Bezug zur Gesundheit herstellen lässt. Ob überhaupt eine eindeutige Abgrenzung zwischen Daten, die unmittelbar einen Bezug zur Gesundheit zulassen, und mittelbaren Gesundheitsdaten möglich ist, ist zweifelhaft. Daher ist zu untersuchen, ob die zweite Bedingung, die die Definition aufstellt, also dass Gesundheitsinformationen aus den Daten hervorgehen sollen, zu mehr Klarheit führen kann.
bb) Personenbezogene Daten, aus denen Gesundheitsinformationen hervorgehen
Das zweite Kriterium fordert, dass aus den personenbezogenen Daten, die in Beziehung zur körperlichen oder geistigen Gesundheit stehen, Informationen über den Gesundheitszustand hervorgehen (auf Englisch: „reveal“; auf Französisch: „révèle“).226
(1) Weite Auslegung
Allein der Begriff „Hervorgehen“ ist extrem weit gefasst und nicht an eine Verarbeitungstätigkeit oder Handlung geknüpft.227 Bei dem Beispiel mit Standortdaten stellt sich also die Frage, ob sich diesen Daten Informationen über den Gesundheitszustand einer natürlichen Person entnehmen lassen, wenn sie z.B. aus den Metadaten hervorgehen. Es muss sich dem Begriff nach auch nicht um ein Ziel handeln oder Absicht des Verantwortlichen sein, die hervorgehenden Informationen über den Gesundheitszustand zu erfassen.228 Es scheint, als reiche allein die objektive Möglichkeit hierzu aus.229
„Informationen über den Gesundheitszustand“ sind begrifflich ebenfalls sehr weit gefasst.230 Eine Information über den Gesundheitszustand kann nicht erst vorliegen, wenn eine Diagnose feststeht.231 Auch die Tatsache, dass sich eine Person in Behandlung befindet, kann bereits eine Information über den Gesundheitszustand sein.232 Die Artikel-29-Datenschutzgruppe sah – noch zur DSRL – auch Daten, die eine bloße Annahme über einen Gesundheitszustand zulassen, als Gesundheitsdaten an, da ein Risiko einer unfairen Behandlung wegen eines angenommen oder tatsächlichen Gesundheitszustands besteht.233
(2) Unmittelbares oder mittelbares Hervorgehen
Die Unterscheidung zwischen den Begriffen mittelbar und unmittelbar, bzw. „direkt“ und „indirekt“, kennt die DSGVO aus der Definition über personenbezogene Daten in Art. 4 Nr. 1 DSGVO. Durch das Hinzufügen eines entsprechenden Zusatzes in die Definition der Gesundheitsdaten hätte m.E. eine Klarstellung erfolgen können. Dennoch lässt sich daraus, dass ein entsprechender Zusatz fehlt, m.E. nicht schließen, dass ausschließlich Informationen, die in unmittelbarer Beziehung zum körperlichen oder geistigen Zustand stehen, oder aus denen unmittelbar Informationen über den Gesundheitszustand hervorgehen, gemeint sind. Denn auch dies hätte m.E. durch die Ergänzung des Wortes „unmittelbar“ oder „direkt“ gelenkt werden können. Dies zeigt auch die Entwicklung der begleitenden Erwägungsgründe.
Bevor Erwägungsgrund 35 der DSGVO seine finale Version fand, hatte sich das EU-Parlament dem Vorgänger, Erwägungsgrund 26 der DSGVO, angeschlossen. Demnach sollten unter anderem auch „Vormerkung der betreffenden Person zur Erbringung medizinischer Leistungen, Angaben über Zahlungen oder die Berechtigung zum Empfang medizinischer Dienstleistungen“234 erfasst sein. Personenbezogene Daten, die in Beziehung zum Gesundheitsstatus einer natürlichen Person stehen, sollten in der Entwurfsfassung also auch vorliegen, wenn es sich um Informationen über die Registrierung zu Gesundheitsdienstleistungen oder Informationen über Zahlungen für Gesundheitsleistungen handelte.235 Eine Zahlung ist ein neutraler Vorgang, der nur in Beziehung zu weiteren Informationen Rückschlüsse auf den Gesundheitszustand einer Person zulässt (z.B., weil Zahlungen an Dienstleister einer bestimmten Branche (Ärzte, Krankenhäuser, Spezialisten) geleistet werden). Diesen Informationen den besonderen Schutzstatus von Art. 9 DSGVO zukommen zu lassen zeigt, dass den an den Entwürfen beteiligten gesetzgeberischen Organen bewusst war, dass sich aus vorgeblich neutralen Handlungen sensible Rückschlüsse ziehen lassen können. Der spätere Erwägungsgrund 35 DSGVO fand jedoch eine andere finale Fassung, in der der Bezug zu Zahlungen oder zur Empfangsberechtigung bestimmter Leistungen fehlt.236
Aus Erwägungsgrund 35 der DSGVO lässt sich nunmehr nicht eindeutig entnehmen, ob Daten, die nicht unmittelbar im Zusammenhang mit einer Gesundheitsleistung verarbeitet werden, auch unter die Definition der Gesundheitsdaten fallen und damit auch dem Schutz des Art. 9 DSGVO unterliegen. Die Zuordnung als besondere oder nicht besondere personenbezogene Daten ist aber von Relevanz insbesondere für die Rechtsgrundlagen, auf die sich Verantwortliche berufen können und Sicherheitsmaßnahmen, die durch Verantwortliche ergriffen werden müssen.237
(3) Mangelnder Kontextbezug
Vielfach wird kritisiert, dass die Unterscheidung zwischen sensiblen und nichtsensiblen Daten nicht davon abhängig gemacht wird, in welchem Kontext und insbesondere für welche Zwecke die personenbezogenen Daten verarbeitet werden, sondern von dem personenbezogenen Datum selbst abhängig gemacht wird.238 Bei der Definition der Gesundheitsdaten ist ein gewisser Kontext – allerdings zirkulär – durchaus vorhanden, da der Kontext die „Gesundheit“ einer Person oder der „Gesundheitszustand“ ist. Auf eine Bezugnahme auf Dauer, Zwecke, Ziele des Verantwortlichen scheint es der Definition nach nicht anzukommen.239 Solche Kriterien lassen sich ferner der Stellungnahme der Artikel-29-Datenschutzgruppe entnehmen.240
Der EuGH hatte bisher nur in der Rechtssache Lindqvist die Gelegenheit, festzustellen, dass die Tatsache, „dass sich eine Person am Fuß verletzt habe und partiell krankgeschrieben sei, zu den „personenbezogenen Daten“ über die Gesundheit im Sinne von Art. 8 Abs. 1 der Richtlinie 95/46“ zähle.241 Ferner hat das Gericht festgestellt, dass der französische Begriff „contraints personelles“ nicht als Gesundheitsdatum einzustufen ist.242
Gesundheitsdaten werden auch verarbeitet, wenn technische Geräte, die nicht ausschließlich einen medizinischen Anwendungsbereich haben (Smartphone-Apps, Armbanduhren, Kameras, Schlaftracker, Zyklustracker, sonstige Gadgets, Apps für Blinde und sehbehinderte Menschen) den Puls, Blutdruck oder die