Читать книгу Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO - Anna-Lena Hoffmann - Страница 44

Aus der Definition geht nicht eindeutig hervor, ob sich die personenbezogenen Daten unmittelbar auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen müssen, oder ob sich dies auch mittelbar ergeben kann, was die Einordnung von Daten als sensibel oder nichtsensibel erschwert.216 Die Unterscheidung ist m.E. allerdings essentiell, da der Begriff der Gesundheitsdaten mit ihr entweder sehr flexibel und offen wird oder eng bleibt und somit das Risiko beinhaltet, dass Schutzlücken für natürliche Personen entstehen.217 Dies soll an zwei Beispielen gezeigt werden.

Technisch ist es möglich, dass sich auch aus so genannten Metadaten, also beispielsweise Standortdaten (z.B. Ort, Datum, Dauer des Verweilens an einem Ort), die für sich genommen nicht sensibel sind, eine Aussage über den Gesundheitszustand einer natürlichen Person treffen lassen kann.218 Ein Beispiel sind auf Smartphones installierte Corona-Tracking-Apps, die den Standort ihrer User erfassen.219 Ein weiteres Beispiel hierfür könnte der regelmäßige Besuch einer Person in einer Praxis für Strahlentherapie über einen bestimmten Zeitraum hinweg sein. Bei einer ambulanten Behandlung eines Krebspatienten kann dieser zwischen ca. 30 Minuten bis zu mehreren Stunden bestrahlt werden.220 Eine Chemotherapie wird häufig in Behandlungszyklen durchgeführt, was bedeutet, dass eine Person im Rahmen der Therapie in regelmäßigen Abständen Medikamente erhält, die dann über einen bestimmten Zeitraum wirken sollen, bevor eine erneute Behandlung durchgeführt wird.221 Wenn sich also aus den Ortsdaten und Zeitangaben (z.B. über ein Navigationsgerät aufgezeichnet, ggf. verknüpft mit dem Kalender auf einem Smartphone oder festgehalten, weil (irgend-)eine Smartphone-App ständig Standortdaten abruft und speichert) feststellen lässt, dass sich eine natürliche Person über mehrere Monate hinweg in gewissen Zeitabständen an einem Ort befindet, an dem Strahlentherapie durchgeführt wird, so kann aus diesen Daten (eindeutig) hervorgehen, dass die natürliche Person an Krebs erkrankt ist und sich in Behandlung befindet. Die Daten beziehen sich also zumindest mittelbar auf die körperliche Gesundheit einer Person.222

Rückschlüsse lassen sich auch auf die geistige Gesundheit einer natürlichen Person ziehen, wenn diese regelmäßig (oder auch einmalig) eine Adresse aufsucht, an der Psychiater oder Psychologen niedergelassen sind. Im Kontext mit Fachpersonal, welches sich über öffentliche Eintragungen (Webseiten, Telefonbücher, Einträge/Tags in Kartenmaterial auf Smartphones) schnell finden lässt, ist dies auch kein rein theoretisches Konstrukt. In beiden Fällen – jeweils im Kontext einer Behandlung durch Fachpersonal – kann zumindest mittelbar auch das Beispiel der „Erbringung von Gesundheitsleistungen“ der Definition von Art. 4 Nr. 15 DSGVO bejaht werden.223

Nur, wenn der Bestandteil der Definition enger verstanden wird, wenn sich also die personenbezogenen Daten unmittelbar auf die körperliche oder geistige Gesundheit beziehen, ist bei Ortsdaten diese erste Bedingung der Definition nicht erfüllt. So könnte auch argumentiert werden, ein Standortdatum sage (ausschließlich) etwas über den Standort aus, also über den Aufenthaltsort einer natürlichen Person, hingegen nichts über die Gesundheit. Andererseits spricht der Wortlaut der Definition in Art. 4 Nr. 15 DSGVO von personenbezogenen Daten, die sich auf die geistige oder körperliche Gesundheit beziehen, d.h. eine Beziehung zwischen der Gesundheit und dem personenbezogenen Datum reicht aus, um das Kriterium zu erfüllen.224

Ähnlich stellt es sich in Forschungsprojekten dar. In Biobanken werden beispielsweise regelmäßig genetische Informationen, Gesundheitsdaten und lebensstilbezogene Informationen („Lifestyle Data“) zusammengeführt, um daran zu forschen, wie nichtgenetische Faktoren die Gene beeinflussen.225 In diesen Fällen können richtigerweise alle personenbezogenen Daten, die für die Forschungsprojekte erforderlich sind, einen unmittelbaren oder mittelbaren Bezug zur Gesundheit einer Person aufweisen. Nicht ausgeschlossen werden kann auch, dass sich erst aufgrund der Forschungsergebnisse der Bezug zur Gesundheit herstellen lässt. Ob überhaupt eine eindeutige Abgrenzung zwischen Daten, die unmittelbar einen Bezug zur Gesundheit zulassen, und mittelbaren Gesundheitsdaten möglich ist, ist zweifelhaft. Daher ist zu untersuchen, ob die zweite Bedingung, die die Definition aufstellt, also dass Gesundheitsinformationen aus den Daten hervorgehen sollen, zu mehr Klarheit führen kann.