Anna-Lena Hoffmann - Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO

Technisch ist es möglich, dass sich auch aus so genannten Metadaten, also beispielsweise Standortdaten (z.B. Ort, Datum, Dauer des Verweilens an einem Ort), die für sich genommen nicht sensibel sind, eine Aussage über den Gesundheitszustand einer natürlichen Person treffen lassen kann.218 Ein Beispiel sind auf Smartphones installierte Corona-Tracking-Apps, die den Standort ihrer User erfassen.219 Ein weiteres Beispiel hierfür könnte der regelmäßige Besuch einer Person in einer Praxis für Strahlentherapie über einen bestimmten Zeitraum hinweg sein. Bei einer ambulanten Behandlung eines Krebspatienten kann dieser zwischen ca. 30 Minuten bis zu mehreren Stunden bestrahlt werden.220 Eine Chemotherapie wird häufig in Behandlungszyklen durchgeführt, was bedeutet, dass eine Person im Rahmen der Therapie in regelmäßigen Abständen Medikamente erhält, die dann über einen bestimmten Zeitraum wirken sollen, bevor eine erneute Behandlung durchgeführt wird.221 Wenn sich also aus den Ortsdaten und Zeitangaben (z.B. über ein Navigationsgerät aufgezeichnet, ggf. verknüpft mit dem Kalender auf einem Smartphone oder festgehalten, weil (irgend-)eine Smartphone-App ständig Standortdaten abruft und speichert) feststellen lässt, dass sich eine natürliche Person über mehrere Monate hinweg in gewissen Zeitabständen an einem Ort befindet, an dem Strahlentherapie durchgeführt wird, so kann aus diesen Daten (eindeutig) hervorgehen, dass die natürliche Person an Krebs erkrankt ist und sich in Behandlung befindet. Die Daten beziehen sich also zumindest mittelbar auf die körperliche Gesundheit einer Person.222

Rückschlüsse lassen sich auch auf die geistige Gesundheit einer natürlichen Person ziehen, wenn diese regelmäßig (oder auch einmalig) eine Adresse aufsucht, an der Psychiater oder Psychologen niedergelassen sind. Im Kontext mit Fachpersonal, welches sich über öffentliche Eintragungen (Webseiten, Telefonbücher, Einträge/Tags in Kartenmaterial auf Smartphones) schnell finden lässt, ist dies auch kein rein theoretisches Konstrukt. In beiden Fällen – jeweils im Kontext einer Behandlung durch Fachpersonal – kann zumindest mittelbar auch das Beispiel der „Erbringung von Gesundheitsleistungen“ der Definition von Art. 4 Nr. 15 DSGVO bejaht werden.223

Nur, wenn der Bestandteil der Definition enger verstanden wird, wenn sich also die personenbezogenen Daten unmittelbar auf die körperliche oder geistige Gesundheit beziehen, ist bei Ortsdaten diese erste Bedingung der Definition nicht erfüllt. So könnte auch argumentiert werden, ein Standortdatum sage (ausschließlich) etwas über den Standort aus, also über den Aufenthaltsort einer natürlichen Person, hingegen nichts über die Gesundheit. Andererseits spricht der Wortlaut der Definition in Art. 4 Nr. 15 DSGVO von personenbezogenen Daten, die sich auf die geistige oder körperliche Gesundheit beziehen , d.h. eine Beziehung zwischen der Gesundheit und dem personenbezogenen Datum reicht aus, um das Kriterium zu erfüllen.224

Ähnlich stellt es sich in Forschungsprojekten dar. In Biobanken werden beispielsweise regelmäßig genetische Informationen, Gesundheitsdaten und lebensstilbezogene Informationen („Lifestyle Data“) zusammengeführt, um daran zu forschen, wie nichtgenetische Faktoren die Gene beeinflussen.225 In diesen Fällen können richtigerweise alle personenbezogenen Daten, die für die Forschungsprojekte erforderlich sind, einen unmittelbaren oder mittelbaren Bezug zur Gesundheit einer Person aufweisen. Nicht ausgeschlossen werden kann auch, dass sich erst aufgrund der Forschungsergebnisse der Bezug zur Gesundheit herstellen lässt. Ob überhaupt eine eindeutige Abgrenzung zwischen Daten, die unmittelbar einen Bezug zur Gesundheit zulassen, und mittelbaren Gesundheitsdaten möglich ist, ist zweifelhaft. Daher ist zu untersuchen, ob die zweite Bedingung, die die Definition aufstellt, also dass Gesundheitsinformationen aus den Daten hervorgehen sollen, zu mehr Klarheit führen kann.

Das zweite Kriterium fordert, dass aus den personenbezogenen Daten, die in Beziehung zur körperlichen oder geistigen Gesundheit stehen, Informationen über den Gesundheitszustand hervorgehen (auf Englisch: „reveal“; auf Französisch: „révèle“).226

Allein der Begriff „Hervorgehen“ ist extrem weit gefasst und nicht an eine Verarbeitungstätigkeit oder Handlung geknüpft.227 Bei dem Beispiel mit Standortdaten stellt sich also die Frage, ob sich diesen Daten Informationen über den Gesundheits zustand einer natürlichen Person entnehmen lassen, wenn sie z.B. aus den Metadaten hervorgehen . Es muss sich dem Begriff nach auch nicht um ein Ziel handeln oder Absicht des Verantwortlichen sein, die hervorgehenden Informationen über den Gesundheitszustand zu erfassen.228 Es scheint, als reiche allein die objektive Möglichkeit hierzu aus.229

„Informationen über den Gesundheitszustand“ sind begrifflich ebenfalls sehr weit gefasst.230 Eine Information über den Gesundheitszustand kann nicht erst vorliegen, wenn eine Diagnose feststeht.231 Auch die Tatsache, dass sich eine Person in Behandlung befindet, kann bereits eine Information über den Gesundheitszustand sein.232 Die Artikel-29-Datenschutzgruppe sah – noch zur DSRL – auch Daten, die eine bloße Annahme über einen Gesundheitszustand zulassen, als Gesundheitsdaten an, da ein Risiko einer unfairen Behandlung wegen eines angenommen oder tatsächlichen Gesundheitszustands besteht.233

Die Unterscheidung zwischen den Begriffen mittelbar und unmittelbar, bzw. „direkt“ und „indirekt“, kennt die DSGVO aus der Definition über personenbezogene Daten in Art. 4 Nr. 1 DSGVO. Durch das Hinzufügen eines entsprechenden Zusatzes in die Definition der Gesundheitsdaten hätte m.E. eine Klarstellung erfolgen können. Dennoch lässt sich daraus, dass ein entsprechender Zusatz fehlt , m.E. nicht schließen, dass ausschließlich Informationen, die in unmittelbarer Beziehung zum körperlichen oder geistigen Zustand stehen, oder aus denen unmittelbar Informationen über den Gesundheitszustand hervorgehen , gemeint sind. Denn auch dies hätte m.E. durch die Ergänzung des Wortes „unmittelbar“ oder „direkt“ gelenkt werden können. Dies zeigt auch die Entwicklung der begleitenden Erwägungsgründe.

Bevor Erwägungsgrund 35 der DSGVO seine finale Version fand, hatte sich das EU-Parlament dem Vorgänger, Erwägungsgrund 26 der DSGVO, angeschlossen. Demnach sollten unter anderem auch „Vormerkung der betreffenden Person zur Erbringung medizinischer Leistungen, Angaben über Zahlungen oder die Berechtigung zum Empfang medizinischer Dienstleistungen“234 erfasst sein. Personenbezogene Daten, die in Beziehung zum Gesundheitsstatus einer natürlichen Person stehen, sollten in der Entwurfsfassung also auch vorliegen, wenn es sich um Informationen über die Registrierung zu Gesundheitsdienstleistungen oder Informationen über Zahlungen für Gesundheitsleistungen handelte.235 Eine Zahlung ist ein neutraler Vorgang, der nur in Beziehung zu weiteren Informationen Rückschlüsse auf den Gesundheitszustand einer Person zulässt (z.B., weil Zahlungen an Dienstleister einer bestimmten Branche (Ärzte, Krankenhäuser, Spezialisten) geleistet werden). Diesen Informationen den besonderen Schutzstatus von Art. 9 DSGVO zukommen zu lassen zeigt, dass den an den Entwürfen beteiligten gesetzgeberischen Organen bewusst war, dass sich aus vorgeblich neutralen Handlungen sensible Rückschlüsse ziehen lassen können. Der spätere Erwägungsgrund 35 DSGVO fand jedoch eine andere finale Fassung, in der der Bezug zu Zahlungen oder zur Empfangsberechtigung bestimmter Leistungen fehlt.236