Anna-Lena Hoffmann - Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO

Aus Erwägungsgrund 35 der DSGVO lässt sich nunmehr nicht eindeutig entnehmen, ob Daten, die nicht unmittelbar im Zusammenhang mit einer Gesundheitsleistung verarbeitet werden, auch unter die Definition der Gesundheitsdaten fallen und damit auch dem Schutz des Art. 9 DSGVO unterliegen. Die Zuordnung als besondere oder nicht besondere personenbezogene Daten ist aber von Relevanz insbesondere für die Rechtsgrundlagen, auf die sich Verantwortliche berufen können und Sicherheitsmaßnahmen, die durch Verantwortliche ergriffen werden müssen.237

Vielfach wird kritisiert, dass die Unterscheidung zwischen sensiblen und nichtsensiblen Daten nicht davon abhängig gemacht wird, in welchem Kontext und insbesondere für welche Zwecke die personenbezogenen Daten verarbeitet werden, sondern von dem personenbezogenen Datum selbst abhängig gemacht wird.238 Bei der Definition der Gesundheitsdaten ist ein gewisser Kontext – allerdings zirkulär – durchaus vorhanden, da der Kontext die „Gesundheit“ einer Person oder der „Gesundheitszustand“ ist. Auf eine Bezugnahme auf Dauer, Zwecke, Ziele des Verantwortlichen scheint es der Definition nach nicht anzukommen.239 Solche Kriterien lassen sich ferner der Stellungnahme der Artikel-29-Datenschutzgruppe entnehmen.240

Der EuGH hatte bisher nur in der Rechtssache Lindqvist die Gelegenheit, festzustellen, dass die Tatsache, „dass sich eine Person am Fuß verletzt habe und partiell krankgeschrieben sei, zu den „personenbezogenen Daten“ über die Gesundheit im Sinne von Art. 8 Abs. 1 der Richtlinie 95/46“ zähle.241 Ferner hat das Gericht festgestellt, dass der französische Begriff „contraints personelles“ nicht als Gesundheitsdatum einzustufen ist.242

Gesundheitsdaten werden auch verarbeitet, wenn technische Geräte, die nicht ausschließlich einen medizinischen Anwendungsbereich haben (Smartphone-Apps, Armbanduhren, Kameras, Schlaftracker, Zyklustracker, sonstige Gadgets, Apps für Blinde und sehbehinderte Menschen) den Puls, Blutdruck oder die Körpertemperatur messen, oder Körperflüssigkeiten analysieren, da auch aus diesen Daten Informationen über den Gesundheitszustand einer Person hervorgehen .243 Nicht zu unterschätzen ist dabei aber auch die Tatsache, dass die medizinischen Anwendungen und darauf basierenden Datenverarbeitungen nicht nur der DSGVO, sondern auch nationalen Bereichsgesetzen unterfallen können.

In Art. 9 Abs. 4 DSGVO ist eine Öffnungsklausel vorgesehen, die den Mitgliedstaaten u.a. hinsichtlich Gesundheitsdaten nationale Alleingänge ermöglicht.244 Je weiter der Begriff der Gesundheitsdaten gefasst wird, desto weiter wird m.E. auch der Spielraum für nationale Gesetzgebung. Dies spricht dafür, dass der Begriff der Gesundheitsdaten nicht ausufern darf. Gleichzeitig besteht – ggf. bis zu einer Entscheidung durch den EuGH – das Risiko, dass in den Mitgliedstaaten der Begriff der Gesundheitsdaten bzw. die Weite des Begriffs unterschiedlichen Interpretationen unterliegt und mittelbare Gesundheitsdaten in einem Mitgliedstaat deutlich stärkeren rechtlichen Vorgaben unterworfen werden als in anderen Mitgliedstaaten. Aus einer systematischen Sicht wäre daher eine engere Auslegung des Begriffs der Gesundheitsdaten dem Ziel des einheitlichen Schutzniveaus in den europäischen Mitgliedstaaten zuträglich.245 Andererseits dient eine weitere Auslegung dem Schutz betroffener Personen.

Aus Sicht des Schutzes natürlicher Personen bietet eine weite Auslegung des Begriffes den größtmöglichen Schutz, da Verantwortliche bei der Datenverarbeitung an den strengen Art. 9 DSGVO und ggf. andere nationale Schutzvorgaben gebunden sind.246 Die DSGVO verfolgt gleichzeitig mehrere Ziele und Schutzzwecke, die auch miteinander im Widerspruch stehen können.247 Eine eindeutige Abgrenzung, die generell und unabhängig vom jeweiligen Verarbeitungskontext ist, ist m.E. nicht möglich. Bei personenbezogenen Daten, die sich mittelbar den Gesundheitsdaten zuordnen lassen, wird m.E. jeweils einzelfallabhängig eine Abwägung insbesondere der Verarbeitungszwecke und der Risiken für Grundrechte und Freiheiten betroffener Personen erforderlich sein.

Im Text der DSGVO kommt der Begriff „sensible Daten“ nicht vor. Er wird aber in mehreren Erwägungsgründen erwähnt.248 In Erwägungsgrund 10 DSGVO heißt es: „Diese Verordnung bietet den Mitgliedstaaten zudem einen Spielraum für die Spezifizierung ihrer Vorschriften, auch für die Verarbeitung besonderer Kategorien von personenbezogenen Daten (im Folgenden „sensible Daten“). „Besondere Kategorien personenbezogener Daten“, darunter fallen auch Gesundheitsdaten, sind daher zunächst definiert als „sensible Daten“.249 Dieser Begriff wird nachfolgend allerdings nicht ein einziges Mal wiederverwendet.

In Erwägungsgrund 51 Satz 1 der DSGVO wird von personenbezogene Daten gesprochen, „die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind“, wobei nicht klar wird, ob damit die Daten gemeint sind, die schon in Erwägungsgrund 10 der DSGVO genannt wurden, oder ob der Anwendungsbereich größer ist.250 Kontext und Inhalt des Erwägungsgrundes lassen darauf schließen, dass auch hier die besonderen Kategorien personenbezogener Daten gemeint sind, da hierauf Bezug genommen wird. In Erwägungsgrund 91 der DSGVO werden im Kontext der Datenschutz-Folgenabschätzung ebenfalls die sensiblen Daten angesprochen („aufgrund ihrer Sensibilität“). Letztlich wird durch den Begriff das besondere Schutzbedürfnis dieser Datenkategorien verstärkt und in einem Sammelbegriff zentriert, ein Mehrwert oder eine andere Bedeutung wird nicht gewonnen. Dass die DSGVO andere personenbezogene Daten als die besonderen Kategorien personenbezogener Daten aufnehmen wollte, um ein offenes abgestuftes Konzept von Sensibilitäten zu kreieren, lässt sich nicht herauslesen.251

Die DSGVO versucht einen Spagat zwischen der Vereinheitlichung der datenschutzrechtlichen Vorschriften in allen Mitgliedstaaten auf Verordnungsniveau und einem generalistischen Ansatz bei der Formulierung der Normen. Dies führt zwangsläufig zu Interpretationsschwierigkeiten und unklaren Regelungsreichweiten der Normierungen, insbesondere auch der Öffnungsklauseln, in der DSGVO. Gerade in Bereichen der öffentlichen Gesundheit und privaten sowie öffentlichen Gesundheitsvorsorge und Behandlung, bei genetischen und Gesundheitsdaten verbleiben bei den Mitgliedstaaten gestalterische Spielräume. Ein Blick über die DSGVO hinaus in das nationale mitgliedstaatliche Recht bleibt somit bei der Verarbeitung von Gesundheitsdaten unerlässlich.

Für die Verarbeitung von Gesundheitsdaten ist aber keinesfalls stets eine Einwilligung erforderlich. So wurde bereits ersichtlich, dass es eine Vielzahl an möglichen Rechtsgrundlagen (vertraglich und gesetzlich) für die Verarbeitung besonders sensibler Daten gibt. Ob Öffnungsklauseln sich sogar auf die Vorgaben für die datenschutzrechtliche Einwilligung (Art. 9 Abs. 2 und Abs. 4 DSGVO) im Gesundheitsbereich auswirken, wird im Hauptteil genauer untersucht.

24Vertrag über die Europäische Union (konsolidierte Fassung) (EUV), ABl. Nr. C 202 vom 7.6.2016, S. 13–388; Vertrag über die Arbeitsweise der Europäischen Union (konsolidierte Fassung) (AEUV), ABl. C 202 vom 7.6.2016, S. 1–388. 25Charta der Grundrechte der Europäischen Union (GRCh), ABl. C 202 vom 7.6.2016, S. 391–407. 26Art. 3 Abs. 6 EUV. 27Simitis, Datenschutz – Rückschritt oder Neubeginn?, NJW 1998, S. 2474. 28Cannataci/Misfud Bonnici, Medical data protection in Europe: New rules vs. actual trends, Law & Information Technology Research Unit 1995, S. 302. 29Schantz, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, 35. Aufl. 2021, Art. 1 Rn. 8. 30Schantz/Wolff, Das neue Datenschutzrecht, 2017, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 8. 31Evans, European Data Protection Law, The American Journal of Comparative Law 1981, S. 574; Simitis, NJW 1997, S. 281. 32EU-Parlament, Entschließung über den Schutz der Rechte des Einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der automatischen Datenverarbeitung, ABl. C 60 vom 13. März 1975, S. 48. 33EU-Parlament, Entschließung zum Schutz der Rechte des einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der Datenverarbeitung, ABl. C 140 vom 5. Juni 1979, S. 34 und EU-Parlament, Entschließung zum Schutz der Rechte des einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der Datenverarbeitung, ABl. C 87 vom 5. April 1982, S. 39. 34Simitis, NJW 1997, S. 282. 35Simitis, NJW 1997, S. 281; Simitis/Hornung/Spieker gen. Döhmann, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Einleitung, Rn. 133; vgl. auch Simitis, NJW 1997, S. 281, wonach die Kommission Ausnahmevorschriften und Sonderregelungen im Bereich des Datenschutzes als Markteinschränkung empfand. 36EU-Kommission, Vorschlag für eine Richtlinie des Rates zum Schutz von Personen bei der Verarbeitung personenbezogener Daten, KOM/90/314 ENDG – SYN 287, ABl. C 277 vom 5.11.1990, S. 3–12. 37Erwägungsgründe (ErwG) 7, 8, 9 DSRL; hierzu auch Bradford, The Brussels Effect, How the European Union Rules the World, 2020, S. 136. 38Europarat, Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28. Januar 1981, Vertrag-Nr. 108. 39Europarat, Europäische Konvention zum Schutze der Menschenrechte und Grundfreiheiten vom 4. November 1950 (EMRK). 40D’Afflitto, European Union Directive on Personal Privacy Rights and Computerized Information, Villanova Law Review (VLR) 1996, S. 305; Simitis/Hornung/Spieker gen. Döhmann, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Einleitung, Rn. 140. 41Kosta, Consent in European Data Protection Law, 2013, S. 86 m.w.N. 42D’Afflitto, VLR 1996, S. 309. 43Simitis, NJW 1998, S. 2473. 44Cannataci/Misfud Bonnici, LITRU 1995, S. 303. 45Gola, Die Entwicklung des Datenschutzrechts im Jahre 1995/96, NJW 1996, S. 3312; Blume, EDPL 2015, S. 32ff. 46Vgl. ErwG 60 DSRL; Kapitel 4 DSRL: „Übermittlung personenbezogener Daten in Drittländer“. 47ErwG 60 DSRL, Kapitel 4 DSRL; Solove, A Brief History of Information Privacy Law, Proskauer on Privacy, PLI, 2006, S. 40. 48Vgl. Art. 28 Abs. 1 DSRL; der Mitgliedstaat Deutschland hielt die in Art. 32 Abs. 1 DSRL gesetzte Umsetzungsfrist von drei Jahren nicht ein, vgl. Gramlich, Datenanalyse vs. Datenschutz – Was muss beachtet werden?, in: Keuper/Schomann/Sikora (Hrsg.), Homo Connectus, Einblicke in die Post-Solo-Ära des Kunden, 2018, S. 369. 49Voss, Survey of Recent European Union Privacy Developments, The Business Lawyer 2012, S. 207; Simitis/Hornung/Spieker gen. Döhmann, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Einleitung, Rn. 144. 50Die DSRL verwendet ab Art. 29 Abs. 1 den Begriff „Gruppe“; die Gruppe betitelte ihre Veröffentlichungen mit „Artikel 29-Datenschutzgruppe“. 51Artikel-29-Datenschutzgruppe, Opinion on purpose limitation, WP 203, 2013; Stellungnahme zu Entwicklungen im Bereich biometrischer Technologien, WP 193, 2012; Arbeitspapier 01/2012 zu epSOS, WP 189, 2012; Stellungnahme zur Definition von Einwilligung, WP 187, 2011; Arbeitspapier Verarbeitung von Patientendaten in elektronischen Patientenakten (EPA), WP 131, 2007; Arbeitspapier über Biometrie, WP 80, 2003. 52Vgl. Art. 288 Abs. 5 AEUV; Selmayr, in: Ehmann/Selmayr (Hrsg.), DS-GVO, 2. Aufl. 2018, Art. 68, Rn. 1. 53Vgl. Buchner, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, 2. Aufl. 2018, Art. 68 Rn. 2, die sogar von der Ausbildung eines „soft law“ sprechen. 54Vgl. EDSA, Artikel-29-Datenschutzgruppe (archivierte Dokumente), abrufbar unter https://edpb.europa.eu/our-work-tools/article-29-working-party_de (zuletzt abgerufen am 11.04.2021); Nguyen, in: Gola (Hrsg.), DS-GVO, 2. Aufl. 2018, Art. 68 Rn. 1. 55Vgl. auch Über den EDSA, abrufbar unter https://edpb.europa.eu/about-edpb/aboutedpb_de (zuletzt abgerufen am 11.04.2021). 56Selmayr, in: Ehmann/Selmayr (Hrsg.) DS-GVO, Art. 68, Rn. 1. 57Vgl. Art. 70 DSGVO. 58Vgl. Art. 65 DSGVO; dies wurde auch von der Artikel-29-Datenschutzgruppe ausdrücklich angeregt, vgl. Brief der Artikel-29-Datenschutzgruppe vom 25.09.2015 an Jan Philipp Albrecht, Proposition of Article 29 Working Party regarding the European Data Protection Board Internal Structure, S. 1. 59Schantz/Wolff, Das neue DatenschutzR, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 9. 60Schantz/Wolff, Das neue DatenschutzR, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 9. 61Scheurer, Spielerisch Selbstbestimmt, Rechtskonforme Einwilligungserklärungen in Zeiten ubiquitärer Digitalisierung, 2019, S. 68. 62Zuletzt EuGH, Urteil vom 16. Juli 2020, C-311/18, Facebook Ireland und Schrems, ECLI:EU:C:2020:559, mit der der vielgenutzte Transfermechanismus „Privacy Shield“ für die Übermittlung personenbezogener Daten in die USA für unwirksam erklärt wurde – eine Übergangsfrist oder Schonfrist wurde nicht gewährt. 63EuGH, Urteil vom 6. November 2003, C-101/01, Lindqvist, EU:C:2003:596, Rn. 50. 64EuGH, Urteil vom 6. November 2003, C-101/01, Lindqvist, EU:C:2003:596, Rn. 50; vgl. auch Bygrave/Tosoni, in: Kuner/Bygrave/Docksey (Hrsg.), The EU General Data Protection Regulation, 2020, S. 221. 65EuG, Urteil vom 31. Mai 2005, T-105/03, Dionyssopoulou/Rat, ECLI:EU:T:2005:189, Rn. 33 (nur auf Französisch). In dem Fall enthielt ein Bericht über die Beschwerdeführerin, dass sie aufgrund „persönlicher Einschränkungen“ („constraintes personelles“) nicht uneingeschränkt alle Aufgaben ihres Dienstes durchführen könne, vgl. Rn. 3 des Urteils). 66Schantz/Wolff, Das neue DatenschutzR, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 10. 67Schantz/Wolff, Das neue DatenschutzR, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 10; EuGH, Urteil vom 6. November 2003, Lindqvist, C-101/01, EU:C:2003:596, Rn. 37; EuGH, Urteil vom 20. Mai 2003, C-465/00, Österreichischer Rundfunk u.a., ECLI:EU:C:2003:294, Rn. 42f.; EuGH, Urteil vom 16. Dezember 2008, C-524/06, Huber, ECLI:EU:C:2008:724, Rn. 51; EuGH, Urteil vom 7. Mai 2009, C-553/07, Rijkeboer, ECLI:EU:C:2009:293, Rn. 56. 68Schantz/Wolff, Das neue DatenschutzR, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 10. 69Die Vielzahl an Erwägungsgründen lässt darauf schließen, wie umstritten die Verordnung im Gesetzgebungsprozess war, vgl. hierzu Kühling/Martini, Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht?, EuZW 2016, S. 449. 70So Hoeren, Leiter des Instituts für Informations-, Telekommunikations- und Medienrecht an der Universität Münster, auf dem Euroforum-Datenschutzkongress Berlin im Jahr 2016; vgl. Bericht von Krempel, Datenschutz-Grundverordnung als „größte Katastrophe des 21. Jahrhunderts“, 27. April 2016, Beitrag auf Heise Online, abrufbar unter https://heise.de/-3190299 (zuletzt abgerufen am 11.04.2021). 71So die ehemalige Bundesdatenschutzbeauftragte Andrea Voßhoff, in: Datenschützer bewerten EU-Grundverordnung als „Meilenstein“, Beitrag auf Heise Online vom 21. April 2016, abrufbar unter http://www.heise.de/-3179872 (zuletzt abgerufen am 11.04.2021). 72Auf internationaler Ebene wurden Beschreibungen wie „groundbreaking“, „global standard for privacy and data use“ oder „toughest online privacy rules in the world“ verwendet, vgl. m.w.N. Aidinlis, EuCML 2 020, S. 151. 73Ein Startpunkt findet sich in: Mitteilung der Kommission an das Europäische Parlament und den Rat, Ein Raum der Freiheit, der Sicherheit und des Rechts im Dienste der Bürger, KOM(2009) 262 endg. vom 10. Juni 2009. Demnach soll das Leitmotiv des neuen Mehrjahresprogramms der Europäischen Union unter anderem die Rechte der Bürger fördern, beispielsweise durch einen wirksamen Datenschutz; vgl. S. 5, 9 sowie S. 33, wonach ein Handlungsschwerpunkt die Schaffung einer umfassenden Regelung zum Schutz personenbezogener Daten sein soll, „die für sämtliche Zuständigkeitsbereiche gleichermaßen gilt“. 74Die EU-Kommission führte ihre erste öffentliche Konsultation von Juli bis Dezember 2009 durch, die zweite folgte von November 2010 bis Januar 2011, vgl. EU-Kommission, Mitteilung der der Kommission an das Europäische Parlament und den Rat – Der Schutz der Privatsphäre in einer vernetzten Welt – Ein europäischer Datenschutzrahmen für das 21. Jahrhundert, vom 25. Januar 2012, KOM/2012/09 endg., S. 3 sowie Artikel-29-Datenschutzgruppe, Die Zukunft des Datenschutzes – Gemeinsamer Beitrag zu der Konsultation der Europäischen Kommission zu dem Rechtsrahmen für das Grundrecht auf den Schutz der personenbezogenen Daten, WP 168, 2009; hierzu auch Hustinx, EU Data Protection Law: The Review of Directive 95/46/EC and the Proposed General Data Protection Regulation, 2013, S. 24ff., abrufbar unter https://edps.europa.eu/data-protection/our-work/publications/speeches-articles/eu-data-protection-lawreview-directive_en (zuletzt abgerufen am 11.04.2021). 75EU-Kommission, Vergleichende Studie über verschiedene Ansätze zur Bewältigung neuer Herausforderungen für den Schutz der Privatsphäre, insbesondere aufgrund technologischer Entwicklungen, 2010, abrufbar unter https://publications.europa.eu/en/publication-detail/-/publication/9c7a02b9-ecba-405e-8d93-a1a8989f128b (zuletzt abgerufen am 11.04.2021). 76Artikel-29-Datenschutzgruppe, WP 168, S. 2; Ronellenfitsch, Fortentwicklung des Datenschutzes – Die Pläne der Europäischen Kommission, DuD 2012, S. 561. 77Vgl. Rat der Europäischen Union, Vermerk, Das Stockholmer Programm – Ein offenes und sicheres Europa im Dienste und zum Schutz der Bürger vom 2. Dezember 2009, Rats-Dok. 17024/09 – Annahme durch den Europäischen Rat am 10./11. Dezember 2009. Im Rahmen des Stockholmer Programms ersuchte der Europäische Rat die EU-Kommission darum, den Rechtsrahmen für Datenschutz in der EU zu evaluieren und Vorschläge für neue gesetzgeberische sowie nicht-legislative Initiativen in dem Bereich vorzulegen, vgl. Europäischer Rat, Das Stockholmer Programm – Ein offenes und sicheres Europa im Dienste und zum Schutz der Bürger, 2010/C 115/01, ABl. C 115 vom 04.05.2010, S. 11. In ihrem Aktionsplan zur Umsetzung des Stockholmer Programms sah die Kommission für das Jahr 2010 gleich mehrere Maßnahmen zum Datenschutz vor, unter anderem einen neuen umfassenden Rechtsrahmen für Datenschutz und eine Mitteilung über Datenschutz und Vertrauen im „Digitalen Europa“, vgl. EU-Kommission, Aktionsplan zur Umsetzung des Stockholmer Programms, KOM(2010) 171 endg. vom 20. April 2010, S. 12. 78EU-Kommission, KOM(2010) 609 endg., S. 21, von einer Verordnung war zu diesem Zeitpunkt noch nicht die Rede. Dokumente und Überblick über den Verfahrensgang abrufbar unter https://eur-lex.europa.eu/procedure/EN/199818 (zuletzt abgerufen am 11.04.2021). 79EU-Kommission, Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), 25.01.2012, KOM(2012) 11 endg. 80Vgl. EU-Kommission, KOM(2012) 9 endg., S. 3. 81EU-Kommission, KOM(2012) 9 endg., S. 7f.; ein vereinheitlichter Rahmen sollte insbesondere kleinsten, kleinen und mittleren Unternehmen beim Marktzutritt zu anderen Mitgliedstaaten dienen; Spiecker gen. Döhmann, Gesundheitsversorgung im Zeitalter der DS-GVO – eine Einführung, in: Spiecker gen. Döhmann/Wallrabenstein (Hrsg.), Gesundheitsversorgung in Zeiten der Datenschutz- Grundverordnung, 2019, S. 15. 82EU-Kommission, KOM(2012) 9 endg., S. 13. 83Poullet, Is the general data protection regulation the solution? Computer Law & Security Review (CLSR) 2018, S. 773. 84Die Verordnung wurde am 04. Mai 2016 im Amtsblatt veröffentlicht (L119); ausführlicher zur Datenschutzreform vgl. Leucker, Die zehn Märchen der Datenschutzreform, PinG 2015, S. 195ff. 85Art. 99 Abs. 2 DSGVO. 86Vgl. EU, Interinstitutionelle Regeln für Veröffentlichungen 2011, S. 39, abrufbar unter https://publications.europa.eu/de/publication-detail/-/publication/e774ea2a-ef84-4bf6be92-c9ebebf91c1b/language-de (zuletzt abgerufen am 11.04.2021). 87Datenbanksuche auf Deutsch nach dem Begriff „Grundverordnung“ im Portal des Amts für Veröffentlichungen der Europäischen Union, abrufbar unter https://eur-lex.europa.eu/ (zuletzt abgerufen am 15.08.2019); ähnlich Tambou, Opening Remarks, in: Mc Cullagh/Tambou/Bourton (Hrsg.), National Adaptations of the GDPR, Collection Open Access Book, Blogdroiteuropeen, 2019, abrufbar unter https://wp.me/p6OBGR-3dP (zuletzt abgerufen am 11.04.2021). 88Vgl. Kühling/Martini, EuZW 2016, S. 449 m.w.N.; an anderer Stelle ist von ca. 50 Öffnungsklauseln die Rede, vgl. Streinz, Das Datenschutzrecht als Ansatz für Neuerungen des „Kooperationsverhältnisses“ zwischen EuGH und BVerfG, DuD 2020, S. 357. 89Die EU-Kommission spricht von „Spezifikationsklauseln“, vgl. Antwort auf Parlamentarische Anfragen vom 13. Juli 2018, P-003121/2018(ASW) (Bezugsdokument P-003121/2018); so aber wohl auch schon Nemitz auf der EAID Konferenz in Berlin am 26 Januar 2017, vgl. den Bericht von Kipker, How Much Diversity in Data Protection Law Does Europe Need or Can Afford?, EDPL 3, 2017, S. 231. 90Vgl. auch Gesetzentwurf der Bundesregierung, Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs-und -Umsetzungsgesetz EU – DSAnpUG-EU), BT-Drs. 18/11325 vom 24.02.2017, S. 73; Mišćenić/Hoffmann, The Role of Opening Clauses in Harmonization of EU Law: Example of The EU’s General Data Protection Regulation (GDPR), in: Duić/Petrašević (Hrsg.), EU and comparative law issues and challenges series (ECLIC), 4 (2020), S. 51. 91vgl. EU-Kommission, KOM(2012) 11 endg., S. 6; ErwG 9 der DSGVO erläutert, dass zwar Ziele und Grundsätze der DSRL ihre Gültigkeit behalten, aufgrund der unterschiedlichen Richtlinienumsetzung aber Rechtsunsicherheit besteht und, der unionsweite freie Verkehr von Daten behindert werden kann und die Unterschiede im Schutzniveau ein Hemmnis im Wirtschaftsraum darstellen; vgl. auch Poullet, CLSR 2018, S. 774. 92EU-Kommission, KOM(2012) 11 endg., S. 6; hinsichtlich des Verhältnismäßigkeitsprinzips führt die EU-Kommission lediglich aus, dass sie sich bei Ausarbeitung ihres Vorschlags daran orientiert habe, vgl. S. 7; der erste Entwurf hätte zu einer nahezu vollständigen Harmonisierung geführt, vgl. hierzu Kuner, The European Commission’s Proposed Data Protection Regulation: A Copernican Revolution in European Data Protection Law, Privacy & Security Law Report 2012, S. 14. 93Kühling/Martini, EuZW 2016, S. 449; Schild/Tinnefeld, Datenschutz in der Union – Gelungene oder missglückte Gesetzentwürfe?, DuD 2012, S. 313. 94Eckhardt/Kramer/Mester, Auswirkungen der geplanten EU-DS-GVO auf den deutschen Datenschutz, DuD 2013, S. 623; Beschluss des Bundesrates vom 30.03.2012, Drs. 52/12. 95BT-Drs. 18/11325, S. 73, dort heißt es auch: „Durch die zahlreichen Ausgestaltungsspielräume für den nationalen Gesetzgeber beschränkt bereits der Unionsgesetzgeber selbst die unmittelbare Wirkung“; vgl. auch Kremer, Wer braucht warum das neue BDSG? Auseinandersetzung mit wesentlichen Inhalten des BDSG n.F., CR 2017, S. 368; Mišćenić/Hoffmann, Öffnungsklauseln in der Datenschutz-Grundverordnung (DSGVO): Harmonisierungsmaßnahme oder Harmonisierungshemmer im EU Binnenmarkt?, in: Sander/Pošćić/Martinović (Hrsg.), Exploring the Social Dimension of Europe. Essays in Honour of Nada Bodiroga-Vukobrat, Verlag Dr. Kovac, Hamburg 2021, S. 231–247. 96Hornung, Sind neue Technologien datenschutzrechtlich regulierbar? Herausforderungen durch “Smart Everything”, in: Roßnagel/Friedewald/Hansen (Hrsg.), Die Fortentwicklung des Datenschutzes – Zwischen Systemgestaltung und Selbstregulierung, 2018, S. 327. 97Tambou, Opening Remarks, in: Mc Cullagh/Tambou/Bourton (Hrsg.), National Adaptations of the GDPR, S. 25. 98BT-Drs. 18/11325, S. 73; vgl. hierzu auch Leucker, PinG 2015, S. 196; ausführlicher zur Harmonisierungswirkung, vgl. Mišćenić/Hoffmann, Öffnungsklauseln in der Datenschutz-Grundverordnung (DSGVO): Harmonisierungsmaßnahme oder Harmonisierungshemmer im EU Binnenmarkt?, in: Sander/Pošćić/Martinović (Hrsg.), Exploring the Social Dimension of Europe, S. 231–247; Mišćenić/Hoffmann, The Role of Opening Clauses, ECLIC 2020, S. 44–61. 99Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DSGVO), 2018, S. 289ff.; Müller, Die Öffnungsklauseln der Datenschutzgrundverordnung – Ein Beitrag zur Europäischen Handlungsformenlehre, 2018, S. 89ff.; Bozkurt, EU-DSGVO und Compliance, Rechtliche und wirtschaftliche Herausforderungen, 2018, S. 17; Kühling et al., Die Datenschutz-Grundverordnung und das nationale Recht – Erste Überlegungen zum innerstaatlichen Regelungsbedarf, 2016, S. 9. 100Mišćenić/Hoffmann Öffnungsklauseln in der Datenschutz-Grundverordnung (DSGVO): Harmonisierungsmaßnahme oder Harmonisierungshemmer im EU Binnenmarkt?, in: Sander/Pošćić/Martinović (Hrsg.), Exploring the Social Dimension of Europe, S. 231–247. 101Vgl. hierzu Kühling/Martini et al., Die DS-GVO und das nationale Recht, S. 9; Bozkurt, EU-DSGVO und Compliance, S. 18; Schwartmann/Klein, in: Schwartmann et al. (Hrsg.), DS-GVO/BDSG, Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 2. Aufl. 2020, Art. 6 DSGVO Rn. 195, 2016; ähnlich auch Feiler/Forgó, welche darüber hinaus zwischen echten und unechten Öffnungsklauseln differenzieren, vgl. Feiler/Forgó, EU-DSGVO: EU-Datenschutz-Grundverordnung, 2016, S. 10ff. und auch Feiler, Öffnungsklauseln in der Datenschutz-Grundverordnung – Regelungsspielraum des österreichischen Gesetzgebers, jusIT 2016/93, S. 210ff. 102BT-Drs. 18/11325, S. 73. 103Vgl. Feiler/Forgó, EU-DSGVO, S. 10; Mišćenić/Hoffmann Öffnungsklauseln in der Datenschutz-Grundverordnung (DSGVO): Harmonisierungsmaßnahme oder Harmonisierungshemmer im EU Binnenmarkt?, in: Sander/Pošćić/Martinović (Hrsg.), Exploring the Social Dimension of Europe, S. 231–247. 104Art. 54 DSGVO sieht vor, dass jeder Mitgliedstaat durch Rechtsvorschriften die Errichtung jeder Aufsichtsbehörde, sowie u.a. Qualifikationen, Amtszeit und ggf. Wiederernennung sowie Vorschriften und Verfahren für die Ernennung von Mitgliedern der Aufsichtsbehörde festlegt. 105Schwartmann/Klein, in: Schwartmann et al. (Hrsg.), DS-GVO/BDSG, Art. 6 DSGVO, Rn. 216. 106Art. 8 Abs. 1 DSGVO bezieht sich auf die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft; die DSGVO knüpft das Alter für eine wirksame Einwilligung an die Vollendung des sechzehnten Lebensjahres, wobei Mitgliedstaaten diese Grenze absenken dürfen, sofern sie nicht unterhalb der Vollendung des dreizehnten Lebensjahres festgelegt wird; vgl. auch Bozkurt, EU-DSGVO und Compliance, S. 18. 107Kühling et al., Die DS-GVO und das nationale Recht, S. 9; vgl. auch Bozkurt, EU-DSGVO und Compliance, S. 34; Mišćenić/Hoffmann Öffnungsklauseln in der Datenschutz-Grundverordnung (DSGVO): Harmonisierungsmaßnahme oder Harmonisierungshemmer im EU Binnenmarkt?, in: Sander/Pošćić/Martinović (Hrsg.), Exploring the Social Dimension of Europe, S. 231–247. 108Über Art. 23 DSGVO können Mitgliedstaaten Pflichten und Rechte gem. Art. 12 bis 22 (Rechte der betroffenen Person), unter den in Art. 23 DSGVO genannten recht umfangreichen Bedingungen (insb. zur Wahrung öffentlicher Interessen) beschränken; Art. 85 DSGVO ermöglicht es den Mitgliedstaaten, Vorgaben der DSGVO mit dem Recht auf Meinungsfreiheit und Informationsfreiheit in Einklang zu bringen; vgl. auch Voigt/von dem Bussche, DSGVO, S. 294. 109Laut Art. 87 DSGVO können Mitgliedstaaten spezifische Bedingungen für die Verarbeitung nationaler Kennziffern oder Kennzeichen von allgemeiner Bedeutung festlegen. Deutschland hat von dieser Regelung bisher keinen Gebrauch gemacht. 110Vgl. Voigt/von dem Bussche, DSGVO, S. 290ff.; Mišćenić/Hoffmann Öffnungsklauseln in der Datenschutz-Grundverordnung (DSGVO): Harmonisierungsmaßnahme oder Harmonisierungshemmer im EU Binnenmarkt?, in: Sander/Pošćić/Martinović (Hrsg.), Exploring the Social Dimension of Europe, S. 231–247. 111Kühling et al., Die DS-GVO und das nationale Recht, S. 9. 112Art. 88 DSGVO ermöglicht es den Mitgliedstaaten, durch Rechtsvorschriften bzw. Kollektivvereinbarungen spezifischere Vorschriften im Beschäftigtenkontext zu erlassen. Beispielhaft erwähnt Art. 88 DSGVO u.a. Zwecke der Einstellung, Erfüllung des Arbeitsvertrags, Planung und Organisation der Arbeit, Gleichheit und Diversität, Gesundheit und Sicherheit am Arbeitsplatz. Die im Rahmen von Art. 88 DSGVO vorgenommenen Maßnahmen müssen gem. Abs. 3 gegenüber der Kommission mitgeteilt werden; vgl. auch Voigt/von dem Bussche, DSGVO, S. 297ff.; Mišćenić/Hoffmann Öffnungsklauseln in der Datenschutz-Grundverordnung (DSGVO): Harmonisierungsmaßnahme oder Harmonisierungshemmer im EU Binnenmarkt?, in: Sander/Pošćić/Martinović (Hrsg.), Exploring the Social Dimension of Europe, S. 231–247. 113Aus Art. 9 Abs. 4 DSGVO ergibt sich, dass Mitgliedstaaten durch zusätzliche Bedingungen und Beschränkungen die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten regeln können; vgl. auch Mester, in: Taeger/Gabel (Hrsg.), DSGVO BDSG, 3. Aufl., 2019, Art. 9 Rn. 37. 114Pötters, in: Gola (Hrsg.), DS-GVO, Art. 1 Rn. 18., m.w.N.; EuGH, Urteil vom 6. November 2003, C-101/01, Lindqvist, ECLI:EU:C:2003:596, Rn. 50 (noch zur DSRL). 115Pötters, in: Gola (Hrsg.), DS-GVO, Art. 1 Rn. 19. 116Müller, Die Öffnungsklauseln der DSGVO, S. 123. 117Maschmann, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 88 Rn. 8. 118Laue, Öffnungsklauseln in der DS-GVO – Öffnung wohin?, ZD 2016, S. 464. 119Maschmann, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 88 Rn. 10; instruktiv hierzu auch Müller, Die Öffnungsklauseln der Datenschutzgrundverordnung – Ein Beitrag zur Europäischen Handlungsformenlehre, 2018, S. 127. 120Maschmann, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 88 Rn. 10; Müller, Die Öffnungsklauseln der DSGVO, S. 211; zur Auslegung von europäischem Sekundärrecht vgl. auch Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, S. 189 m.w.N. 121Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, S. 198. 122Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, S. 189–199 m.w.N. 123Müller, Die Öffnungsklauseln der DSGVO, S. 215f.; für eine „eher“ restriktive Auslegung Pötters, in: Gola (Hrsg.), DS-GVO, Art. 88 Rn. 3; a.A. Riesenhuber, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 88 Rn. 13; für eine selbstständige Interpretation jeder Öffnungsklausel Hornung/Spiecker gen. Döhmann, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Einleitung, Rn. 230. 124Müller, Die Öffnungsklauseln der DSGVO, S. 216. 125Müller, Die Öffnungsklauseln der DSGVO, S. 216. 126Zum ersten Entwurf vgl. Kuner, The European Commission’s Proposed Data Protection Regulation, Privacy & Security Law Report 2012, S. 14: “For example, because the Proposed Regulation would be directly applicable, it would provide as near complete harmonization as is possible under EU law”. 127Vgl. Art. 6 Abs. 3 S. 1 lit. b) DSGVO. 128So auch Riesenhuber, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 88 Rn. 13; sowie Müller, Die Öffnungsklauseln der DSGVO, S. 217; a.A., wonach Öffnungsklauseln grundsätzlich restriktiv auszulegen sind: Culik/Döpke, Zweckbindungsgrundsatz gegen unkontrollierten Einsatz von Big Data-Anwendungen, ZD 2017, S. 229. 129So auch zuletzt EuGH, Urteil vom 16. Juli 2020, C-311/18, Facebook Ireland und Schrems, ECLI:EU:C:2020:559, Rn. 84. 130Hierzu auch Spiecker gen. Döhmann, Gesundheitsversorgung im Zeitalter der DS-GVO, in: Spiecker gen. Döhmann/Wallrabenstein (Hrsg.), Gesundheitsversorgung, S. 17. 131Vgl. Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 6 Rn. 35; Frenzel, in: Paal/Pauly (Hrsg.), DS-GVO BDSG, 3. Aufl. 2021, Art. 6 Rn. 35f.; Reimer, in: Sydow (Hrsg.), Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 6 Rn. 45f. 132Dennoch ist die Reichweite der Öffnungsklausel umstritten, hierzu: Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 6 Rn. 35; Kühling/Martini, EuZW 2016, S. 449 sprechen von einer „erhebliche[n] Breitenwirkung“; Roßnagel, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), Art. 6 Abs. 3 Rn. 20 nennt es „erdenklich weit“; hingegen Albrecht/Jotzo, Das neue Datenschutzrecht, 2017, Teil 3 Rn. 46 erkennen „nur scheinbar breite Öffnungsklauseln“. 133Vgl. Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 6 Rn. 43; als „Querschnittsmaterie des Rechts“ wird das Datenschutzrecht bereits 1977 bezeichnet von Fiedler, in: Gola/Hümmerich/Kerstan (Hrsg.), Datenschutzrecht, Teil I, Vorwort. 134Vgl. Heberlein, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 6 Rn. 40; Taeger, in: Taeger/Gabel (Hrsg.), DSGVO BDSG, Art. 6 Rn. 127. 135Der Grundsatz der Zweckkompatibilität bzw. der „zweckvereinbarenden Weiterverarbeitung“ findet sich bereits in Art. 5 Abs. 1 lit. b DSGVO; vgl. auch Roßnagel, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 5, Rn. 96ff.; vgl. zur Kritik an Art. 6 Abs. 4 auch Taeger, in: Taeger/Gabel (Hrsg.), DSGVO BDSG, Art. 6 Rn. 138. 136Um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, muss der Verantwortliche nach Art. 6 Abs. 4 DSGVO unter anderem (a) jede Verbindung zwischen den ursprünglichen und den beabsichtigten Zwecken berücksichtigen, sowie (b) den Zusammenhang, in dem die Daten ursprünglich erhoben wurden, (c) ob es sich um personenbezogene Daten nach Art. 9 oder 10 DSGVO handelt, (d) welche möglichen Folgen die Weiterverarbeitung haben kann und (e), geeignete Garantien wie Verschlüsselung und Pseudonymisierung. 137Ähnlich Buchner/Petri, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 6 Rn. 178–180; Schulz, in: Gola (Hrsg.), DS-GVO, Art. 6 Rn. 203. 138Art. 6 Abs. 4 DSGVO. Ziele in Art. 23 Abs. 1 DSGVO sind unter anderem die nationale Sicherheit, Landesverteidigung, öffentliche Sicherheit, Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten, Schutz der betroffenen Person oder Rechte und Freiheiten anderer Personen, sowie Durchsetzung zivilrechtlicher Ansprüche. 139Heberlein, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 6 Rn. 51; Buchner/Petri, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 6 Rn. 179. 140Ähnlich Taeger, in: Taeger/Gabel (Hrsg.), DSGVO BDSG, Art. 6 Rn. 140. 141Taeger, in: Taeger/Gabel (Hrsg.), DSGVO BDSG, Art. 6 Rn. 140; vgl. auch BT-Drs. 18/11325 S. 95f. Eine weitere Umsetzung der Öffnungsklausel findet sich in § 40 Abs. 2 BDSG für Aufsichtsbehörden. 142§ 22 BDSG ist eine Umsetzung der Öffnungsklauseln des Art. 9 Abs. 2 DSGVO; hierzu auch BT-Drs. 18/11325 S. 94f. 143Vgl. Teil 2, B., V. (Zweckänderung bei der Einwilligung) in dieser Arbeit. 144Kühling/Martini et al., Die DSGVO und das nationale Recht, 2016, S. 49; Schiff, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 9 Rn. 36; Kühling, Datenschutz im Gesundheitswesen, MedR 2019, S. 612. 145Vgl. auch Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 49, wonach ein pauschaler Ausschluss der Einwilligung mit Rücksicht auf die grundrechtlich garantierte Privatautonomie als kritisch anzusehen wäre. 146Rogosch, Die Einwilligung im Datenschutzrecht, 2013, S. 191; anders aber bspw. Louis, Grundzüge des Datenschutzrechts, 1981, S. 39, wonach die Verfügungsbefugnis des Einzelnen endet, wo der Kernbereich der Menschenwürde verletzt wird. 147Bejahend Frenzel, in: Paal/Pauly (Hrsg.), DS-GVO BDSG, Art. 9 Rn. 23; Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 49; verneinend Schiff, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 9 Rn. 36. 148Schiff, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 9 Rn. 36. 149Ähnlich Schiff, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 9 Rn. 36. 150So jedenfalls Schiff, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 9 Rn. 36. 151So Kühling, MedR 2019, S. 612; a.A. Wobbe, Datenschutz im Gesundheitswesen – Fragestellung aus Sicht der Krankenkassen, MedR 2019, S. 627; Petri, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 9 Rn. 36. 152Vgl. Kühling, MedR 2019, S. 612; Kühling/Martini et al., Die DS-GVO und das nationale Recht, S. 55. 153Vgl. Schiff, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 9 Rn. 38; Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 52. 154Springer Gabler, Gablers Wirtschaftslexikon, Wearables Definition, abrufbar unter https://wirtschaftslexikon.gabler.de/definition/wearables-54088 (zuletzt abgerufen am 11.04.2021); vgl. auch Groß/Schmidt, E-Health und Gesundheitsapps aus medizinethischer Sicht, Bundesgesundheitsbl. 2018, S. 349; die DSGVO adressiert Wearables nicht ausdrücklich, vgl. Leucke, PinG 2015, S. 199; Kühling, MedR 2019, S. 612. 155Weitere Beispiele in Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 53; Schiff, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 9 Rn. 40; vgl. auch Weichert, Die Verarbeitung von Wearable-Sensordaten bei Beschäftigten, NZA 2017, S. 565; hierzu auch The Economist, The sum of all lives – The coming of the datome vom 14. März 2020. 156Die ErwG 53 und 54 korrespondieren mit Art. 9 Abs. 2 lit. h DSGVO; vgl. auch Kühling, MedR 2019, S. 612. In ErwG 53 sind Hinweise darauf zu finden, dass eine Vollharmonisierung gescheitert ist, da lediglich von Harmonisierung „im Hinblick auf bestimmte Erfordernisse“ gesprochen wird. 157Vgl. Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 77, 78; Leucker, PinG 2015, S. 196. 158Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 79. 159Vgl. Schulz, in: Gola (Hrsg.), DS-GVO, Art. 9 Rn. 36, Kühling, MedR 2019, S. 612. 160Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 79; Kühling, MedR 2019, S. 612; Kühling/Martini et al., Die DS-GVO und das nationale Recht, S. 51; Spranger, Die datenschutzrechtliche Einwilligung im Gesundheitskontext: zum Umgang mit genetischen, biometrischen und Gesundheitsdaten, MedR 2017, S. 865. 161So auch Kühling, MedR 2019, S. 613. 162So auch Mišćenić/Hoffmann, The Role of Opening Clauses, ECLIC 2020, S. 56f. 163Schiff, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 9 Rn. 62; Spindler/Dalby, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, Art. 9 Rn. 21. 164Vgl. auch Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 84; Schulz in: Gola (Hrsg.), DS-GVO, Art. 9 Rn. 41. 165Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 86; Petri, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), Art. 9 Rn. 101; zu zusätzlichen Regelungen in Deutschland vgl. Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 9 Rn. 150–154. 166Hierzu Ducato, Data protection, scientific research, and the role of information, CLSR 2020, 105412, S. 5; Pormeister, Genetic data and the research exemption: is the GDPR going too far? International Data Privacy Law (IDPL) 2017, S. 137–146. Belgien hat im Rahmen der Evaluierung der DSGVO den Zusammenhang zwischen Art. 9 Abs. 2 lit. j DSGVO und Art. 89 Abs. 1 DSGVO als widersprüchlich bemängelt und um Klarstellung gebeten, vgl. Rat der EU, Generalsekretariat des Rates, Preparation of the Council position on the evaluation and review of the General Data Protection Regulation (GDPR) – Comments from Member States, vom 09. Oktober 2019, ST 12756 2019 REV 1 S. 4. 167Hierzu z.B. Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 9 Rn. 150ff.; Petri, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 9 Rn. 101ff.; Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 97ff. 168Art. 9 Abs. 4 DSGVO lautet in der englischen Fassung: „Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health”. 169Kampert, in: Sydow (Hrsg.), Europäische DSGVO, Art. 9 Rn. 59. 170Vgl. hierzu Kühnl/Rohrer/Schneider, Ein europäischer Gesundheitsdatenschutz, ZD 2018, S. 740; verneinend Schulz, in: Gola (Hrsg.), DS-GVO, Art. 9 Rn. 48; ebenso Spindler/Dalby, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, Art. 9 Rn. 27. 171So auch Kühnl/Rohrer/Schneider, ZD 2018, S. 740; so auch Petri, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 9 Rn. 101; Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 99. 172Kampert, in: Sydow (Hrsg.), Europäische DSGVO, Art. 9 Rn. 61; Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG Art. 9 Rn. 150; Kühnl/Rohrer/Schneider, ZD 2018, S. 740. 173Hierzu auch Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 99. 174Pauly, in: Paal/Pauly (Hrsg.), DS-GVO BDSG, Art. 89 Rn. 1; Raum, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 89 Rn. 1. 175Vgl. Hense, in: Sydow (Hrsg.), Europäische DSGVO, Art. 89 Rn. 1. 176Pauly, in: Paal/Pauly (Hrsg.), DS-GVO BDSG, Art. 89 Rn. 17; Art. 89 Abs. 2 betrifft wissenschaftliche Zwecke, historische Zwecke und Forschungszwecke, Art. 89 Abs. 3 betrifft im öffentlichen Interesse liegende Archivzwecke, im Übrigen unterscheiden sich die Absätze nur darin, dass unter Abs. 3 auch Ausnahmen von Art. 19 und Art. 20 DSGVO gemacht werden dürfen. 177Allerdings bestehen Abweichungsmöglichkeiten nach Art. 17 Abs. 3 lit. d DSGVO, vgl. Raum, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 89 Rn. 8; Caspar, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), Art. 89 Rn. 45. 178Ähnlich European Data Protection Supervisor (EDPS), A Preliminary Opinion on data protection and scientific research vom 06. Januar 2020, S. 19, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf (zuletzt abgerufen am 11.04.2021). 179Vgl. auch Ducato, CLSR 2020, 105412, S. 6. 180Vgl. unter der DSRL in Art. 2 lit. a)-h) und unter der DSGVO in Art. 4 Nr. 1–26. 181Vgl. auch Hofman/Johannes, DS-GVO: Anleitung zur autonomen Auslegung des Personenbezugs, ZD 2017, S. 222. 182Schild, in: Wolff/Brink (Hrsg.), BeckOK DatenschR, Art. 4 Rn. 28; Klabunde, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 4 Rn. 12. 183Dem Wortlaut nach unterscheidet sich die Definition in Art. 4 Nr. 1 DSGVO kaum von ihrem Vorgänger in Art. 2 lit. a DSRL. 184Hofman/Johannes, ZD 2017, S. 225; hierzu mit Blick auf genetische Daten und Personenbezug auch Pormeister, Genetic research and consent: On the crossroads of human and data research, Bioethics 2019, S. 349. 185Karg, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), Art. 4 Nr. 1 Rn. 48, 49. 186Karg, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), Art. 4 Nr. 1 Rn. 48, 49. 187Statt vieler: Ernst, in: Paal/Pauly (Hrsg.), DS-GVO BDSG, Art. 4 Rn. 8–13; Schild, in: Wolff/Brink (Hrsg.), BeckOK DatenschR, Art. 4 Rn. 14–21a; Gola, in: Gola (Hrsg.), DS-GVO, Art. 4 Rn. 16–22; Pohl, Die datenschutzrechtliche Einwilligung im Spannungsfeld von hoheitlicher Regulierung und individueller Selbstbestimmung, 2019, S. 22ff. 188In diese Richtung argumentierend Niemann/Kevekordes, Machine Learning und Datenschutz (Teil 1), CR 2020, S. 19. 189Der Anwendungsbereich der DSGVO erstreckt sich auf pseudonyme Daten, aber nicht auf anonyme Daten; vgl. hierzu auch Winter/Battis/Halvani, Herausforderungen für die Anonymisierung von Daten, ZD 2019, S. 489ff.; Roßnagel, Pseudonymisierung personenbezogener Daten, ZD 2018, S. 243ff. 190Hofman/Johannes, ZD 2017, S. 223; zum absoluten Verständnis auch: vgl. Kühling/Klar, Unsicherheitsfaktor Datenschutzrecht – Das Beispiel des Personenbezugs und der Anonymität, NJW 2013, S. 3616; Roßnagel/Kroschwald, Was wird aus der Datenschutzgrundverordnung?, ZD 2014, S. 497; zum relativen Verständnis vgl. Herbst, Was sind personenbezogene Daten?, NVwZ 2016, S. 905. 191EU-Kommission, KOM(2012) 11 endg., S. 47. 192Rat der Europäischen Union, Standpunkt (EU) Nr. 6/2016 des Rates in erster Lesung im Hinblick auf den Erlass der Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) Angenommen vom Rat am 8. April 2016, ABl. C 159 vom 3.5.2016, S. 33. 193Vgl. Karg, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), Art. 4 Nr. 1 Rn. 61. 194Instruktiv: Hofman/Johannes, ZD 2017, S. 221–226; EuGH, Urteil vom 19. Oktober 2016, C-582/14, Breyer, ECLI:EU:C:2016:779; ähnlich auch Poullet, CLSR 2018, S. 776; umfassend zum absoluten und relativen Personenbezug auch Scheurer, Spielerisch Selbstbestimmt, S. 91. 195Art. 2 Abs. 1 DSGVO; Roßnagel, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 4 Nr. 2 Rn. 1. 196Roßnagel, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 4 Nr. 2 Rn. 2, 3. 197Vgl. Herbst, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 4 Rn. Nr. 2 Rn. 4; Martens, Anwendungsbereich des Entwurfs der Datenschutz-Grundverordnung im öffentlichen Bereich, PinG 2015, S. 214. 198So Bock auf dem IT-Juristinnentag am 24.10.2019 in Berlin (die Autorin war anwesend); dies ergibt sich auch aus den Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation des EDSA, dort S. 15 (Rn. 51). 199Schild, in: Wolff/Brink (Hrsg.), BeckOK DatenschR, Art. 4 Rn. 136; Gola in: Gola (Hrsg.), DS-GVO, Art. 4 Rn. 95. 200Miño-Vásquez, The Protection of Genetic Data under the General Data Protection Regulation, DuD 2019, S. 156. 201Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 4 Nr. 13 Rn. 3; Schild in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 4 Rn. 138. 202Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 4 Nr. 13 Rn. 3; zum herausragenden Schutzbedürfnis genetischer Daten vgl. auch Pormeister, The GDPR and big data: Leading the way for big genetic data? in: Schweighofer et al. (Hrsg.), Privacy Technologies and Policy, 2017, S. 10f. 203Petri, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 4 Nr. 13 Rn. 13; Klabunde in Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 4 Rn. 59. 204Vgl. Duden-Wörterbuch, abrufbar unter https://www.duden.de/rechtschreibung/Physiologie (zuletzt abgerufen am 11.04.2021). 205Petri, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 4 Nr. 13 Rn. 14. 206Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 4 Nr. 13 Rn 5. 207Vgl. hierzu Malenkovich, Das gefälschte Ich: Können wir biometrischer Authentifizierung vertrauen? Abrufbar unter https://www.kaspersky.de/blog/das-gefalschte-ichkonnen-wir-biometrischer-authentifizierung-vertrauen/1533/ (zuletzt abgerufen am 11.04.2021). 208Ernst, in: Paal/Pauly (Hrsg.), DSGVO BDSG, Art. 4 Rn. 102. 209Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 4 Nr. 14 Rn. 3. 210Gola, in: Gola (Hrsg.), DS-GVO, Art. 4 Rn. 96; Spindler/Dalby, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, Art. 4 Rn. 30. 211S.o. Teil 1, A., II., 3. lit. c (genetische Daten) in dieser Arbeit. 212A.A Kampert, in: Sydow (Hrsg.), Europäische DSGVO, Art. 4 Rn. 188, der diesen Teil der Definition als überflüssig (weil wiederholend) erachtet. 213EU-Kommission, KOM(2012) 11 endg., S. 48; vgl. auch Petri, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 4 Nr. 15 Rn. 1. 214Dies entspricht auch der Definition der World Health Organisation (WHO), wonach Gesundheit ein Zustand von Wohlbefinden ist und nicht bloß die Abwesenheit von Krankheit, vgl. WHO-Verfassung („Constitution adopted by the International Health Conference, New York, 19 June to 22 July 1946, signed on 22 July 1946 by the representatives of 61 States (Off. Rec. Wld Hlth Org., 2, 100), and entered into force on 7 April 1948”, dort heißt es in der Einleitung: „Health is a state of complete physical, mental and social well-being and not merely the absence of disease or infirmity.“, Constitution of the World Health Organization, abrufbar unter https://apps.who.int/gb/bd/PDF/bd47/EN/constitution-en.pdf (zuletzt abgerufen am 11.04.2021); vgl. auch Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 4 Nr. 15 Rn. 1; Schild, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 4 Rn. 143; Artikel-29-Datenschutzgruppe, ANNEX – Health Data in Apps and Devices, S. 2; für eine weite Auslegung des Begriffs auch Leutheusser-Schnarrenberger, Der Begriff der Gesundheitsdaten ist weit zu fassen, PinG 2015, S. 220. 215Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 4 Nr. 15 Rn. 4; Artikel-29-Datenschutzgruppe, ANNEX – Health Data in Apps and Devices, 2015, S. 4; hierzu auch Kühnl/Rohrer/Schneider, ZD 2018, S. 737. 216Vgl. hierzu auch Arning/Rothkegel, in: Taeger/Gabel (Hrsg.), DSGVO BDSG, 3. Aufl. 2019, Art. 4 Rn. 339–341; Mathes/Krohm, Der Schutz von Gesundheitsdaten im Gefüge rechtlicher Auslegungsspielräume auf nationaler und europäischer Ebene, PinG 2015, S. 49; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), DatenschR, Art. 4 Nr. 15 Rn. 4; die Mittelbarkeit bejahend Gola, in: Gola (Hrsg.), DS-GVO, Art. 4 Rn. 97. 217Vgl. auch Wachter/Mittelstadt, A Right to Reasonable Inferences: Re-Thinking Data Protection Law in the Age of Big Data and AI, Columbia Business Law Review, Vol. 2019, Issue 2, abrufbar unter https://ssrn.com/abstract=3248829 (zuletzt abgerufen am 11.04.2021). 218Vgl. Schneider, Schließt Art. 9 DS-GVO die Zulässigkeit der Verarbeitung bei Big Data aus?, ZD 2017, S. 303; so auch Leutheusser-Schnarrenberger, PinG 2015, S. 220; Mathes/Krohm, PinG 2015, S. 49. 219Vgl. hierzu z.B. Singer, Google Promises Privacy With Virus App but Can Still Collect Location Data, The New York Times vom 20. Juli 2020, abrufbar unter https://nyti.ms/3fZdhVz (zuletzt abgerufen am 11.04.2021); Sandei, Tracing Apps, Digital Health and Consumer Protection, EuCML 2 020, S. 156ff.; Bradford/Aboy/Liddell, COVID-19 contact tracing apps: a stress test for privacy, the GDPR, and data protection regimes, Journal of Law and the Biosciences 2020, S. 1–21. Die COVID-19-App Frankreichs speichert Standortdaten für 30 Tage, vgl. OECD, Tracking and tracing COVID: Protecting privacy and data while using apps and biometrics, abrufbar unter http://www.oecd.org/coronavirus/policy-responses/tracking-and-tracing-covid-protecting-privacy-and-data-while-using-apps-and-biometrics-8f394636/ (zuletzt abgerufen am 11.04.2021). 220Vgl. Krebsinformationsdienst, Deutsches Krebsforschungszentrum, Wie läuft eine Chemotherapie ab?, abrufbar unter https://www.krebsinformationsdienst.de/behandlung/chemotherapie/durchfuehrung.php (zuletzt abgerufen am 11.04.2021). 221Vgl. von Kieseritzky, Die Chemotherapie, ONKO Internetportal, abrufbar unter https://www.krebsgesellschaft.de/onko-internetportal/basis-informationen-krebs/therapieformen/chemotherapie.html (zuletzt abgerufen am 11.04.2021). 222Vgl. Petri, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), DatenschR, Art. 4 N. 15 Rn. 4, der auf den Verwendungszusammenhang abstellt; ähnlich Kühnl/Rohrer/Schneider, ZD 2018, S. 737 mit Beispielen einer Patientenkartei von Gesundheitseinrichtungen (HIV-Klinik, Fruchtbarkeitsklinik) oder Teilnahme an Behandlungsprogrammen bei chronischen Krankheiten; vgl. auch The Economist, Personalised medicine, – Populations of one, Technology Quarterly vom 14. März 2020, S. 4: „Almost 4bn people carry smartphones that can monitor physical acticity”. 223Vgl. hierzu auch Schickert/Schweiger/Schuppert, in: Sassenberg/Faber (Hrsg.), Rechtshandbuch Industrie 4.0 und Internet of Things, 2. Aufl. 2020, § 15 Rn. 89ff. 224Ernst, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 4 Nr. 15 Rn. 109. 225Hallinan/Friedewald, Open consent, biobanking and data protection law: can open consent be ‘informed’ under the forthcoming data protection regulation?, Life Sciences, Society and Policy 2015, S. 8; vgl. zu Biobanken auch Gallwas, Biobanken aus grundrechtlicher Sicht, MedR 2019, S. 360–262. 226Hierzu auch Georgieva/Kuner, in: Kuner/Bygrave/Docksey (Hrsg.), The EU GDPR, S. 373. 227Schneider, ZD 2017, S. 305; Poullet versteht die Begrifflichkeit dahingehend, dass es im Bereich der sensitiven Daten auf die Verarbeitung selbst ankommt, die die Sensitivität der Daten manifestiert, vgl. Poullet, CLSR 2018, S. 776, dort Fn. 10. 228Umgekehrt wird argumentiert, dass sich Gesundheitsdaten nicht sicher anonymisieren lassen – wenn also Gesundheitsdaten vorliegen, lässt sich auch eine Person dazu indirekt identifizieren, vgl. Coppen et al., Will the trilogue on the EU Data Protection Regulation recognise the importance of health research?, European Journal of Public Health, S. 757. 229Schneider, ZD 2017, S. 305; vgl. auch Petri, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), DatenschR, Art. 4 N. 15 Rn. 4; a.A. VG Mainz, Urteil vom 20. Februar 2020, Az. 1 K 467/19.MZ, wonach allein aufgrund einer „abstrakten Möglichkeit“ dass Rückschlüsse auf die Gesundheit eines Menschen gezogen werden können, diese Informationen noch nicht zu Gesundheitsdaten werden. Dabei ging es um Informationen aus einem Tierbehandlungsvertrag und der Tatsache, dass bei manchen Tierkrankheiten eine Übertragung auf den Menschen nicht ausgeschlossen werden kann. 230Vgl. Ernst, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 4 Nr. 15 Rn. 108. 231Petri, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 4 N. 15 Rn. 5. 232Vgl. ErwG 35 DSGVO; Ernst, in: Paal, Pauly, DSGVO BDSG, Art. 4 Rn. 108. 233In Artikel-29-Datenschutzgruppe, ANNEX – Health Data in Apps and Devices 2015, S. 3, heißt es: “These types of data processing may create risks, including the risk of unfair treatment based on data about a person’s assumed or actual health status”. 234Vgl. ErwG 26 in: EU-Kommission, KOM(2012) 11 endg., S. 24; unverändert übernommen durch: EU-Parlament, P7_TA(2014)0212 Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, Legislative Entschließung des Europäischen Parlaments vom 12. März 2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 — C7-0025/2012 — 2012/0011(COD)) P7_TC1-COD(2012)0011 Standpunkt des Europäischen Parlaments festgelegt in erster Lesung am 12. März 2014 im Hinblick auf den Erlass der Verordnung (EU) Nr. .../2014 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), ABl. C 378 vom 9.11.2017, S. 404. 235So auch Bitter, in: Hoeren/Sieber/Holznagel (Hrsg.), Multimedia-Recht, 54. EL, April 2020, Teil 15.4 Rn. 11 m.w.N. 236Danach beschreibt ErwG 35 Gesundheitsdaten als solche Daten, „die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen“; dafür, dass auch Zahlungsdaten Gesundheitsdaten sein können, plädiert Bitter in: Hoeren/Sieber/Holznagel (Hrsg.), Multimedia-Recht, 52. EL, April 2020, Teil 15.4, Rn. 11. 237Vgl. Art 9 DSGVO und Art. 32 DSGVO. 238Frenzel, in: Paal/Pauly (Hrsg.), DS-GVO BDSG Art. 9 Rn. 1, 9; die Diskussion fand bereits unter der DSRL statt, vgl. nur Kosta, Consent in European Data Protection Law, S. 98, Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, 2003, S. 56; Kollek, in: Anzinger/Hamacher/Katzenbeisser (Hrsg.), Schutz genetischer, medizinischer und sozialer Daten als multidisziplinäre Aufgabe, 2013, S. 11ff.; Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 8. 239Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 8 sehen jedoch eine „Ausprägung des risikobasierten Ansatzes“. 240Artikel-29-Datenschutzgruppe, ANNEX – Health Data in Apps and Devices 2015. 241EuGH, Urteil vom 6. November 2003, C-101/01, Lindqvist, ECLI:EU:C:2003:596, Rn. 51. 242Vgl. EuG, Urteil vom 31. Mai 2005, T-105/03, Dionyssopoulou/Rat, ECLI:EU: T:2005:189, Rn. 33, 34. 243Hierzu ausführlich: Artikel-29-Datenschutzgruppe, ANNEX – Health Data in Apps and Devices 2015. 244Vgl. hierzu bereits Teil 1, A. II. 2. e. bb. (6) (Bedingungen und Beschränkungen für die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten) in dieser Arbeit. 245Ausweislich der ErwG 9 und 10 DSGVO stellen Unterschiede im Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten dar und das Schutzniveau sollte in allen Mitgliedstaaten gleichwertig sein. Gemäß ErwG 13 DSGVO ist dies ein Grund, warum die Form der Verordnung gewählt wurde. 246Beispielsweise § 22 Abs. 2 BDSG, welcher einen nicht abschließenden Katalog an technischen und organisatorischen Maßnahmen enthält; vgl. auch Paschke, in: Specht/Mantz (Hrsg.), Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 13 Rn. 32; für eine weite Auslegung auch Bygrave/Tosoni, in: Kuner/Bygrave/Docksey (Hrsg.), The EU GDPR, S. 343. Mit Blick auf negative Auswirkungen von abgeleiteten Daten in der Corona-Pandemie auch Škiljić, Health Data (‘Data Concerning Health’), Inferences – an Unexplored Volcano Eager to Erupt Post COVID-19 Crisis, Aligning Inferences with GDPR Principles?, European Law Institute 2021. 247Zur Schutzgutdebatte vgl. nur Veil, Die Schutzgutmisere des Datenschutzrechts – Teil I, CRonline.de Blog vom 6. Februar 2019, abrufbar unter https://www.cr-online.de/blog/2019/02/06/die-schutzgutmisere-des-datenschutzrechts-teil-i/ (zuletzt abgerufen am 11.04.2021). 248Vgl. ErwG 10, 51 und 93 DSGVO. 249In der englischen Fassung wird von „sensitive data“ und in der französischen Fassung von „données sensibles“ gesprochen. 250So wohl Albrecht/Jotzo, Das neue DatenschutzR, 2017, Teil 3 Rn. 57. 251Vgl. auch Schneider, ZD 2017, S. 303.