7. Gesundheitsdaten
15
Definiert werden Gesundheitsdaten in Art. 4 Nr. 15 DSGVO. Darüber hinaus findet sich eine Erläuterung im ErwG 35. Umfasst werden danach ebenfalls Angaben zur Behinderung, Angaben zur psychischen Gesundheit oder sogar die Angaben zu erfolgten Arztbesuchen, sofern sich aus dem Gesamtzusammenhang Rückschlüsse auf die Gesundheit einer Person treffen lassen (bspw. Dauer und Häufigkeit eines Arztbesuches in einem bestimmten Zeitraum).47 Der Begriff der Gesundheitsdaten ist daher weit zu verstehen und geht über den Begriff der medizinischen Daten hinaus.48 Daher können sowohl die sich unmittelbar auf die Gesundheit beziehenden Angaben als auch solche Informationen, aus deren Zusammenhang sich der Gesundheitszustand ergibt, dem Schutzbereich des Art. 9 DSGVO unterliegen.49 Womit neben den Beschreibungen des Gesundheitszustandes außerdem differenzierungsfähige körperliche oder seelische Merkmale (bspw. Befunddaten, Ereignisse, Aufenthalt usw.) erfasst werden.50 Ebenfalls vom Schutzbereich erfasst werden die verschiedenen Formen der Messung eines Gesundheitszustandes, beispielsweise mithilfe sogenannter Fitnessarmbänder.51 Dabei können Sozialdaten im Sinne des § 35 SGB I durchaus gleichermaßen Gesundheitsdaten darstellen, bspw. bei medizinischen Diagnosen, behandelnden Ärzten oder ggf. der Teilnahme an besonderen Behandlungsprogrammen.52 Kein Gesundheitsdatum liegt hingegen vor, wenn es zum Beispiel um die Zugehörigkeit zu einer bestimmten Krankenkasse oder in einer Krankenversicherung geht.53
8. Daten zum Sexualleben oder zur sexuellen Orientierung
16
In Bezug auf Daten zum Sexualleben oder zur sexuellen Orientierung findet sich ebenfalls ein Diskriminierungsverbot in Art. 21 Abs. 1 GRCh, womit sowohl die Information zur Hetero-, Bi- oder Homosexualität als auch der Umstand einer Geschlechterumwandlung oder der einer eingetragenen Lebenspartnerschaft davon umfasst ist.54 Wegen des Bezugs zum Sexualleben oder die Erkenntnis über die sexuelle Orientierung müssen hierzu auch die Kundeneigenschaften in einem Sex-Shop bzw. eines entsprechenden Versandhandelsunternehmens, der Konsum bestimmter Sex-Videos oder die Frage nach der Partnerschaft gezählt werden.55 Eine Differenzierung zwischen Daten zum Sexualleben oder der sexuellen Orientierung ist im Einzelfalls schwierig, wegen des identischen Schutzrahmens aber auch nicht notwendig.56
III. Ausnahmeregelungen (Abs. 2)
17
Vom Verbotsgrundsatz des Abs. 1 enthält Abs. 2 einen abschließenden Katalog von Verarbeitungsbefugnissen, die mit Blick auf den Schutzzweck der Norm einer restriktiven Auslegung der Tatbestände und Beurteilung der Erforderlichkeit bedürfen.57 Weitere Ausnahmen dürfen, außer in den engen Grenzen von Abs. 4, weder durch die Mitgliedstaaten noch durch die Union vorgesehen werden.58 Abs. 3 enthält eine Verknüpfung des Datenschutzrechts mit den standesrechtlich begründeten Berufsgeheimnissen, weshalb dessen Anwendungsbereich insbesondere im Rahmen der Verarbeitung von Gesundheitsdaten zur Anwendung gelangt (Abs. 2 lit. h).59
1. Einwilligung (lit. a)
18
Die Ausnahmeregelung gilt zunächst einmal für den Fall, dass die betroffene Person in die Verarbeitung ausdrücklich einwilligt. Dabei sind aufgrund der engeren Formulierung gegenüber der allgemeinen Einwilligung (vgl. Art. 7 DSGVO) erhöhte Anforderungen an deren Erteilung zu stellen.60 Der Hinweis auf die Notwendigkeit der ausdrücklich erteilten Einwilligung indiziert, dass eine konkludente oder stillschweigende Einwilligung gerade nicht ausreicht.61 Außerdem sind die beabsichtigte Verarbeitung und deren Zweck der betroffenen Person auf eine Weise mitzuteilen und im Rahmen einer Erklärung so zu gestalten, dass über die Eindeutigkeit und die Erteilung der Einwilligung keine Zweifel bestehen können.62 Hierzu ist die ausreichende Information der betroffenen Person zur Bedeutung und Reichweite der Einwilligung sowie dem Zweck der Einwilligung notwendig.63 Ebenso ist es im Rahmen des Abs. 2 lit. a zwingende Voraussetzung, die Freiwilligkeit der Erklärung sicherzustellen, d.h. deren Erteilung ohne Druck (Nötigung), Zwang, Einschüchterung oder gar Täuschung nachzuweisen.64
19
Inwieweit die ausdrückliche Erteilung der Einwilligung überdies der Schriftform bedarf, erscheint demgegenüber eher zweifelhaft. Wichtig ist lediglich, dass die betroffene Person sich ausreichend über die Tragweite der Erklärung bewusst ist, das kann aber auch durch eine elektronische Form ausreichend sichergestellt werden.65 Die mündliche Einwilligung scheidet hingegen schon wegen der notwendigen Warnfunktion aus und kann nicht als eine ausdrückliche Einwilligung im Sinne des Abs. 2 lit. a betrachtet werden.66 Ungeachtet dessen wird durch die Schriftform aber aus Sicht des Verantwortlichen auf jeden Fall der Nachweis der erhaltenen Einwilligungserklärung erleichtert.67
20
Die Möglichkeit einer Ausnahme vom Verbot des Abs. 1 durch die Erteilung einer Einwilligung nach Abs. 2 lit. a kann durch unionsrechtliche oder mitgliedstaatliche Regelungen ausgeschlossen werden. Voraussetzung ist jedoch, dass eine entsprechende Abwägung mit den Rechten der betroffenen Personen vorgenommen wird.68 Doch so wünschenswert auch hier klare Regelungen beispielsweise zur Frage des Schriftformerfordernisses wären, besteht über die Möglichkeit des vollständigen Verbotes keine Befugnis zur weiteren Regelung der Einwilligung im Rahmen des Abs. 2 lit. a. Die Annahme der Möglichkeit einer Modifikation der Anforderungen an die Einwilligung (bspw. durch Verschärfung) erscheint vielmehr bedenklich, da damit die Sonderregelung in Abs. 4 für bestimmte Daten überflüssig wäre und eine Harmonisierung durch die Datenschutz-Grundverordnung unnötig erschwert wird.69
2. Arbeitsrecht, Recht der sozialen Sicherheit, Sozialschutz (lit. b)
21
Lit. b enthält eine Ausnahmeregelung für die Fälle, in denen der Verantwortliche aufgrund des Arbeitsrechts, des Rechts der sozialen Sicherheit oder des Sozialschutzes aufgrund von Unionsrecht, dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung verpflichtet ist, besondere Datenkategorien zu verarbeiten. Die Erlaubnis zur Verarbeitung ergibt sich dabei jedoch nicht aus lit. b selbst, sondern erfordert vielmehr eine eigene, konkrete unionsrechtliche oder mitgliedstaatliche Regelung, um beispielsweise im Rahmen der Renten- und Sozialversicherung, Krankenversicherung, Sozialhilfe, Wohnungs-, Familien- oder Ausbildungsförderung entsprechende Daten verarbeiten zu können (vgl. auch ErwG 52 Satz 1).70 Ausreichend können danach ebenso Regelungen in Tarifverträgen oder Betriebsvereinbarungen sein, die dann jedoch die Betroffenenrechte nach der Datenschutz-Grundverordnung entsprechend berücksichtigen müssen.71 Ebenso kann die zum Beispiel im Bereich des Arbeitsschutzes, der Bildungs- und Ausbildungsförderung, der Pflegebedürftigkeit, der Kinder- und Jugendhilfe etc. notwendige Verarbeitung von sensitiven Daten durch nationale Gesetzgeber geregelt werden (bspw. in den Sozialgesetzbüchern).72
3. Schutz lebenswichtiger Interessen (lit. c)
22
Eine Datenverarbeitung besonderer Datenkategorien im Sinne des Abs. 1 ist außerdem dann möglich, wenn diese zum Schutz lebenswichtiger Interessen einer betroffenen Person oder eines Dritten erforderlich ist und die Erteilung der Einwilligung nach lit. a aus körperlichen oder rechtlichen Gründen nicht möglich ist. Dabei kann sich das rechtliche Unvermögen daraus ergeben, dass eine Person aufgrund mitgliedstaatlichen Rechts erklärungs- oder geschäftsunfähig ist, während die physische oder geistige Unfähigkeit zur Abgabe einer Erklärung das körperliche Unvermögen beinhaltet.73 Das kann dann der Fall sein, wenn die betroffene Person zum Beispiel bewusstlos ist.74
23