bei der Beurteilung der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen ist. In ErwG 63 verwendet der Verordnungsgeber den Begriff „gesundheitsbezogene Daten“ im Rahmen der Klarstellung, dass der Auskunftsanspruch der betroffenen Person nach Art. 15 DSGVO auch solche Daten einschließt. Ein inhaltlicher Unterschied zu Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO dürfte aber nicht bestehen.
402
Im Übrigen verwendet der Verordnungsgeber an vielen Stellen der DSGVO den Begriff der Gesundheit, z.B. bei der Beschreibung von Zwecken, für die eine Datenverarbeitung erlaubt sein kann (wie z.B. in Art. 9 Abs. 2 lit. i DSGVO, in der die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit geregelt ist). Eine solche Datenverarbeitung beinhaltet i.d.R. die Verarbeitung von Gesundheitsdaten, auch wenn der Verordnungsgeber den Begriff an diesen Stellen nicht ausdrücklich verwendet (sondern z.B. den Begriff der besonderen Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO), so z.B. in Art. 9 Abs. 2, Art. 23 (Beschränkungen der Betroffenenrechte), Art. 36 (Vorherige Konsultation), Art. 88 (Datenverarbeitung im Beschäftigungskontext) DSGVO und in diversen ErwG.
403
Gesundheitsdaten können zugleich auch genetische Daten i.S.d. Art. 4 Nr. 13 DSGVO (dazu näher oben Rn. 380) oder biometrische Daten i.S.d. Art. 4 Nr. 14 DSGVO sein (dazu näher oben Rn. 390).
2. Begriff der Gesundheitsdaten
a) Allgemeine Voraussetzungen
404
„Gesundheitsdaten“ sind nach Art. 4 Nr. 15 DSGVO personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. In diesem Zusammenhang ist es nach ErwG 35, der Art. 4 Nr. 15 DSGVO konkretisiert, unerheblich, ob es sich hierbei um den früheren, gegenwärtigen oder künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person handelt und durch wen (oder durch was im Fall von Geräten, wie z.B. Trackern, Apps und Medizingeräten)751 diese Daten erhoben wurden.
b) Beispiele für Gesundheitsdaten
405
Um Gesundheitsdaten handelt es sich gem. ErwG 35 z.B. bei Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden, und bei Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person.
406
Auch Informationen, die im Zuge der Anmeldung für Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung oder bei der Erbringung solcher Dienstleistungen über die betroffene Person erhoben werden, sind nach ErwG 35 Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO.
407
Somit fallen z.B. Patientendokumentationen von Heilberuflern, Rezeptdaten, Laborergebnisse, Angaben über das krankheitsbedingte Fehlen und die Schwerbehinderteneigenschaft von Arbeitnehmern sowie Patiententagebücher unter den Begriff der Gesundheitsdaten.
408
Auch genetische Daten i.S.d. Art. 4 Nr. 13 DSGVO können Gesundheitsdaten sein, da sich die Qualifizierung von Daten als genetische Daten und als Gesundheitsdaten nicht gegenseitig ausschließen.752 Dies gilt genauso für biometrische Daten i.S.d. Art. 4 Nr. 14 DSGVO.
409
Ebenso handelt es sich bei der bloßen Information, dass eine Person gesund ist, um ein Gesundheitsdatum, da der Begriff des „Gesundheitsdatums“ nicht an die Krankheit, sondern an die Gesundheit der betroffenen Person anknüpft.753
c) Nummern, Symbole und Kennzeichen
410
Darüber hinaus sollen nach ErwG 35 nicht nur Gesundheitsdaten „im engeren Sinne“, sondern auch Nummern, Symbole oder Kennzeichen Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO sein, die der betroffenen Person zugeteilt wurden, um diese für gesundheitliche Zwecke eindeutig zu identifizieren. Voraussetzung hierfür ist allerdings, dass es sich bei diesen Angaben überhaupt um personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO handelt (dazu näher oben Rn. 2ff.).754
d) Zweck der Verarbeitung von Gesundheitsdaten, Tatsachen, Prognosen, Wahrscheinlichkeiten und Vermutungen
411
Keine Rolle für die Qualifizierung als Gesundheitsdaten spielt grundsätzlich der Zweck der Datenverarbeitung (siehe aber zu den Implikationen des Verwendungszusammenhangs bei Vorliegen von mittelbaren Gesundheitsinformationen unten Rn. 414). So können Gesundheitsdaten z.B. zu medizinischen, aber auch zu Forschungszwecken oder zu Zwecken der Verwaltung und Abrechnung von Gesundheitsdiensten verarbeitet werden. Ebenso ist es unerheblich, ob sich die Daten auf (festgestellte) Tatsachen beziehen oder ob es sich um Prognosen, Wahrscheinlichkeiten oder Vermutungen handelt (z.B. infolge genetischer oder familiärer Prädispositionen).755
e) Mittelbare Gesundheitsinformationen
412
Eine Einschränkung findet der Begriff „Gesundheitsdaten“ aber in den Erfordernissen, dass sich die Daten auf die Gesundheit der betroffenen Person „beziehen“ und aus ihnen „Informationen über deren Gesundheitszustand hervorgehen“ müssen. So ist es zwar nicht zwingend erforderlich, dass sich Daten unmittelbar auf die Gesundheit der betroffenen Person beziehen, wie z.B. bei der Patienten-Dokumentation eines Arztes, damit sie Gesundheitsdaten gem. Art. 4 Nr. 15 DSGVO sein können. Auch Informationen, die sich mittelbar auf den Gesundheitszustand einer Person beziehen – wie z.B. Informationen über einen Arztbesuch –756 können zumindest unter gewissen Voraussetzungen unter den Begriff der Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO fallen.
413
Allerdings würde es zu einer vollständigen Ausuferung des Begriffs der „Gesundheitsdaten“ und damit in der Folge des Anwendungsbereichs der besonders strikten Voraussetzungen für die Verarbeitung besonderer Kategorien personenbezogener Daten (insb. gem. Art. 9 DSGVO) führen, wenn jede nur mittelbare Information über den Gesundheitszustand ausnahmslos als Gesundheitsdatum i.S.d. Art. 4 Nr. 15 DSGVO qualifiziert würde. So würden dann auch Verarbeitungsvorgänge, denen kein besonderes Diskriminierungspotenzial innewohnt, wie z.B. das Einstellen des Fotos eines Mitarbeiters, der eine Brille trägt, in das Intra- oder Internet, diesen besonders strikten Verarbeitungsanforderungen unterliegen.
414
Vor diesem Hintergrund sind die Voraussetzungen „beziehen“ und „aus denen Informationen über deren Gesundheitszustand hervorgehen“ nach hier vertretener Ansicht insoweit restriktiv auszulegen.757 So beziehen sich Daten, die nur mittelbare Gesundheitsinformationen beinhalten, nur dann auf den Gesundheitszustand der betroffenen Person, wenn sie gerade im Hinblick auf die „dahinterstehende“ Gesundheitsinformation verarbeitet werden,758 z.B. wenn im Fall des Fotos eines Brillenträgers dieses im Hinblick auf die Sehschwäche der fotografierten Person hin ausgewertet wird.759 Zudem gehen nach hiesiger Auffassung aus solchen Daten auch nur in diesem Fall Informationen über den Gesundheitszustand der betroffenen Person hervor. Darüber hinaus ist in Anbetracht des Sinn und Zwecks des besonderen Schutzes „sensibler