der unbefugten Kenntnisnahme in Form der Offenlegung oder des Zugangs, ist für die Feststellung einer Verletzung auf die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO abzustellen.723 Obwohl der Wortlaut „unberechtigt“ auf das Kriterium der Rechtmäßigkeit der Datenverarbeitung hindeutet, verbietet die Schutzrichtung der Datensicherheit den Begriff „unbefugt“ als „unrechtmäßig“ zu lesen. So liegt eine unbefugte Kenntnisnahme lediglich dann vor, sofern eine Person Daten (unter Verletzung von Maßnahmen i.S.v. Art. 32 DSGVO) zur Kenntnis nimmt bzw. nehmen könnte, obwohl sie nach dem Vorstellungsbild des jeweiligen Verantwortlichen diese Information nicht zur Kenntnis nehmen soll.724 Ob die Kenntnisnahme rechtmäßig war oder nicht, ist dabei unbeachtlich.
378
Eine Offenlegung liegt dabei vor, wenn die jeweils betroffenen personenbezogenen Daten einem Empfänger gemäß Art. 4 Nr. 9 DSGVO zur Kenntnis gelangen. Nach der hier vertretenen Ansicht handelt es sich dabei ausschließlich um Personen und Stellen außerhalb der Organisation des Verantwortlichen (bzw. des Auftragsverarbeiters725), da nur in solchen Fällen eine „Offenlegung“ von personenbezogenen Daten vorliegt.726 Das Tatbestandsmerkmal des Zugangs impliziert demgegenüber, dass auch interne Sachverhalte erfasst werden, mithin Fälle, in denen personenbezogene Daten Mitarbeitern zugänglich gemacht werden, obwohl diese nach dem Vorstellungsbild des Verantwortlichen hierauf keinen Zugriff haben sollten (etwa versehentliches Ablegen einer Datei in einem nicht zugangsbeschränkten Verzeichnis). Der Begriff „Zugang“ legt insoweit nicht nahe, dass es sich dabei um einen Zugriff von außerhalb des Verantwortlichen handeln muss. Für ein solches Verständnis spricht zudem, dass die beiden Verletzungserfolge der Offenlegung sowie des Zugangs insoweit in einem Alternativ- und nicht in einem Spezialitätsverhältnis („beziehungsweise“) stehen. Auch die Begriffsbestimmung der „Verarbeitung“ nach Art. 4 Nr. 2 DSGVO nennt den Zugang zu personenbezogenen Daten insoweit nicht als Unterfall der „Offenlegung“. Letztlich ist auch aus Wertungsgesichtspunkten nicht ersichtlich, warum rein interne Vorfälle bereits von der Begriffsbestimmung gemäß Art. 4 Nr. 12 DSGVO ausgenommen werden sollten. Insofern können auch solche Sachverhalte zu erheblichen Risiken für die Betroffenen führen, etwa wenn Gesundheitsdaten oder andere sensible Daten in einem Unternehmen allgemein zugänglich aufbewahrt werden. Es erscheint daher eher angemessen, interne, gleichwohl unkritische Vorfälle im Rahmen der in Art. 33 bzw. 34 DSGVO vorzunehmenden Risikoanalyse entsprechend zu würdigen.
379
Der Zweiklang zwischen unbefugter Offenlegung und unbefugtem Zugang stellt zudem klar, dass eine unbefugte Kenntnisnahme im Sinne der Norm sowohl durch die tatsächliche Einsichtnahme als auch die bloße mögliche Abrufbarkeit der von der verantwortlichen Stelle bereitgehaltenen Daten erfolgen kann, ohne dass die jeweiligen Daten auch tatsächlich abgerufen worden sein müssen.727 Dies wird insoweit durch die Definition der „Verarbeitung“ gemäß Art. 4 Nr. 2 DSGVO unterstrichen, die statuiert, dass sich eine Offenlegung von personenbezogenen Daten als „[...] Übermittlung, Verbreitung oder eine andere Form der Bereitstellung [...]“ manifestieren kann. Die Differenzierung zwischen „Übermittlung und Verbreitung“ auf der einen Seite und „andere Form der Bereitstellung“ auf der anderen Seite legt insoweit nahe, dass sich erstere Bestimmung auf einen tatsächlichen Transfer von Informationen bezieht, während es für letztere Konstellation genügt, dass die datenverarbeitende Stelle den potenziellen Zugang zu personenbezogenen Daten ermöglicht.
XIV. Genetische Daten (Nr. 13)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
380
Der Begriff der „genetischen Daten“ wird in der DSGVO insbesondere in Art. 9 DSGVO verwendet. Demnach handelt es sich bei genetischen Daten gem. Art. 9 Abs. 1 DSGVO um eine besondere Kategorie personenbezogener Daten, deren Verarbeitung besonders strikten Anforderungen unterliegt.728
381
Art. 9 Abs. 4 DSGVO ermächtigt die EU-Mitgliedstaaten in diesem Zusammenhang, für die Verarbeitung genetischer Daten auch noch zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten. Von dieser Ermächtigung hat der bundesdeutsche Gesetzgeber insbesondere durch das Gendiagnostikgesetz Gebrauch gemacht.
382
Außerdem wird der Begriff noch in ErwG 34, der Art. 4 Nr. 13 DSGVO näher konkretisiert, und in ErwG 75 verwendet. Dieser (letztere) Erwägungsgrund konkretisiert Art. 32 DSGVO (Sicherheit der Verarbeitung) und nennt den Umstand, dass genetische Daten verarbeitet werden, als einen Faktor, der in diesem Zusammenhang bei der Beurteilung der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen ist.
383
Genetische Daten können zugleich auch biometrische Daten i.S.d. Art. 4 Nr. 14 DSGVO (dazu näher unten Rn. 390) oder Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO sein (dazu näher unten Rn. 399), Letzteres insbesondere dann, wenn aus den genetischen Daten Aussagen bzw. Wahrscheinlichkeiten im Hinblick auf die Gesundheit (z.B. potenzielle Erkrankungen der betroffenen Person) abgeleitet werden.729
2. Begriff der genetischen Daten
384
„Genetische Daten“ sind nach Art. 4 Nr. 13 DSGVO personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden. Als Analysen kommen nach ErwG 34 dabei insbesondere Chromosomen-, Desoxyribonukleinsäure (DNS)- oder Ribonukleinsäure (RNS)-Analysen in Betracht.
385
Der Begriff der „Physiologie“ bezeichnet insoweit die funktionellen Vorgänge im menschlichen Organismus.730 Zum Begriff der „Gesundheit“ siehe die Ausführungen unter Rn. 404.
386
Die Methode, wie die genetischen Daten gewonnen werden, spielt für die Einordnung nach Art. 4 Nr. 13 DSGVO grundsätzlich keine Rolle. So gibt Art. 4 Nr. 13 DSGVO zwar vor, dass diese insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person, wie z.B. von Gewebe, Haaren, Blut etc., gewonnen werden können.731 Dies wird in der Praxis auch den Regelfall bilden. Zwingend erforderlich ist dies jedoch nicht, damit Daten als genetische Daten i.S.d. Art. 4 Nr. 13 DSGVO qualifiziert werden können („insbesondere“). Auch andere (biotechnische) Verfahren kommen dafür in Betracht.732
387
Genetische Daten können insbesondere im Forschungs- und Medizinbereich verwendet werden. Die in der Praxis derzeit wohl wichtigste Fallgruppe von genetischen Daten besteht wohl aus Daten, die aus der Analyse einer biologischen Probe der betroffenen Person gewonnen wurden und Informationen über (die Wahrscheinlichkeit von) Erkrankungen enthalten.733 Immer mehr werden genetische Daten aber auch im Rahmen der personalisierten Medizin verwendet, um individuell auf den Patienten abgestimmte Behandlungsmethoden und Therapien zu ermitteln und einzusetzen, die eine höhere Erfolgsrate versprechen als „allgemeine“ Behandlungen und Therapien.734
388
Die besondere Sensibilität genetischer Daten ergibt sich nicht nur aus den in ihnen enthaltenen Informationen, sondern auch aus dem Umstand, dass es sich bei ihnen i.d.R. nicht um flüchtige Eigenschaften einer Person handelt, sondern die betroffene Person diese Eigenschaften i.d.R. ihr Leben lang aufweist. Außerdem enthalten genetische Daten oftmals Informationen, die auch Aussagen über Familienangehörige des Patienten treffen (z.B. im Hinblick auf bestimmte Erkrankungsrisiken wegen bestimmter genetischer Dispositionen), sodass je nach Verwendungszusammenhang darauf