Читать книгу Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO - Anna-Lena Hoffmann - Страница 47

Die Unterscheidung zwischen den Begriffen mittelbar und unmittelbar, bzw. „direkt“ und „indirekt“, kennt die DSGVO aus der Definition über personenbezogene Daten in Art. 4 Nr. 1 DSGVO. Durch das Hinzufügen eines entsprechenden Zusatzes in die Definition der Gesundheitsdaten hätte m.E. eine Klarstellung erfolgen können. Dennoch lässt sich daraus, dass ein entsprechender Zusatz fehlt, m.E. nicht schließen, dass ausschließlich Informationen, die in unmittelbarer Beziehung zum körperlichen oder geistigen Zustand stehen, oder aus denen unmittelbar Informationen über den Gesundheitszustand hervorgehen, gemeint sind. Denn auch dies hätte m.E. durch die Ergänzung des Wortes „unmittelbar“ oder „direkt“ gelenkt werden können. Dies zeigt auch die Entwicklung der begleitenden Erwägungsgründe.

Bevor Erwägungsgrund 35 der DSGVO seine finale Version fand, hatte sich das EU-Parlament dem Vorgänger, Erwägungsgrund 26 der DSGVO, angeschlossen. Demnach sollten unter anderem auch „Vormerkung der betreffenden Person zur Erbringung medizinischer Leistungen, Angaben über Zahlungen oder die Berechtigung zum Empfang medizinischer Dienstleistungen“234 erfasst sein. Personenbezogene Daten, die in Beziehung zum Gesundheitsstatus einer natürlichen Person stehen, sollten in der Entwurfsfassung also auch vorliegen, wenn es sich um Informationen über die Registrierung zu Gesundheitsdienstleistungen oder Informationen über Zahlungen für Gesundheitsleistungen handelte.235 Eine Zahlung ist ein neutraler Vorgang, der nur in Beziehung zu weiteren Informationen Rückschlüsse auf den Gesundheitszustand einer Person zulässt (z.B., weil Zahlungen an Dienstleister einer bestimmten Branche (Ärzte, Krankenhäuser, Spezialisten) geleistet werden). Diesen Informationen den besonderen Schutzstatus von Art. 9 DSGVO zukommen zu lassen zeigt, dass den an den Entwürfen beteiligten gesetzgeberischen Organen bewusst war, dass sich aus vorgeblich neutralen Handlungen sensible Rückschlüsse ziehen lassen können. Der spätere Erwägungsgrund 35 DSGVO fand jedoch eine andere finale Fassung, in der der Bezug zu Zahlungen oder zur Empfangsberechtigung bestimmter Leistungen fehlt.236

Aus Erwägungsgrund 35 der DSGVO lässt sich nunmehr nicht eindeutig entnehmen, ob Daten, die nicht unmittelbar im Zusammenhang mit einer Gesundheitsleistung verarbeitet werden, auch unter die Definition der Gesundheitsdaten fallen und damit auch dem Schutz des Art. 9 DSGVO unterliegen. Die Zuordnung als besondere oder nicht besondere personenbezogene Daten ist aber von Relevanz insbesondere für die Rechtsgrundlagen, auf die sich Verantwortliche berufen können und Sicherheitsmaßnahmen, die durch Verantwortliche ergriffen werden müssen.237