b) Der Begriff der Verarbeitung
Die DSGVO ist sachlich anwendbar, wenn personenbezogene Daten ganz oder teilweise automatisiert oder über ein Dateisystem verarbeitet werden.195 Der Begriff der Verarbeitung in Art. 4 Nr. 2 DSGVO wurde gegenüber der Vorgängerversion in Art. 2 lit. b DSRL kaum verändert und hat auch in der finalen Fassung der DSGVO gegenüber den Entwürfen im Gesetzgebungsverfahren keine wesentlichen Änderungen erfahren.196 Inhaltlich ist er beschreibend und zählt – weder abschließend noch trennscharf – verschiedene Formen der Verarbeitung auf.197 Eine Verarbeitung im datenschutzrechtlichen Sinne bedarf jedenfalls eines personenbezogenen Datums sowie eines Systems, durch welches – automatisiert oder nichtautomatisiert – ein Vorgang ausgeführt wird. Drittes Element der Verarbeitung ist nach Ansicht von Kirsten Bock, Mitglied der Ländervertretungen Deutschlands in Arbeitsgruppen des EDSA, ein Prozess.198
c) Der Begriff der genetischen Daten
Genetische Daten sind gem. Art. 4 Nr. 13 DSGVO „personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden“. Erwägungsgrund 34 der DSGVO enthält weitere Informationen dazu, wie die personenbezogenen Daten, die unter die Definition der genetischen Daten fallen, erhoben werden. Demnach sollen diese Daten aus Analysen einer biologischen Probe stammen, insbesondere durch Chromosomen, Desoxyribonukleinsäure (DNS)- oder Ribonukleinsäure (RNS)-Analyse oder durch Analyse eines anderen Elements, durch die gleichwertige Informationen erlangt werden können.199
Eine Definition genetischer Daten war in der DSRL nicht enthalten.200 Dies wurde auch mehrfach kritisiert, obwohl genetische Daten teilweise unter den Begriff der Gesundheitsdaten, die in Art. 8 DSRL ausdrücklich erwähnt (jedoch nicht definiert) waren, eingeordnet werden konnten.201 In Art. 9 DSGVO sind die genetischen Daten ausdrücklich auch vom Schutzbereich für besondere Kategorien personenbezogener Daten erfasst.202 Sofern genetische Daten Informationen über den Gesundheitszustand erhalten, sind diese jedenfalls auch unter Art. 4 Nr. 15 DSGVO (Gesundheitsdaten) zu subsumieren.203 Informationen über die Physiologie beziehen sich auf funktionelle Vorgänge im Organismus.204 Aus einer Genanalyse lassen sich Informationen entnehmen, die Rückschlüsse auf den körperlichen Zustand, zukünftige oder bestehende Erkrankungen, Verhaltensweisen und Prädispositionen zulassen.205 Aufgrund der Sensitivität der Informationen ergibt sich ein großes Missbrauchspotential, das nicht nur die untersuchte betroffene Person betrifft, sondern häufig auch Angehörige Dritte.206
d) Der Begriff der biometrischen Daten
In Art. 4 Nr. 14 DSGVO sind biometrische Daten definiert als „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“. Biometrische Daten sind nicht beliebig und vor allem nur mit einem erhöhten Aufwand, der erhebliche körperliche Eingriffe erfordern kann, veränderbar.207
Eine Einschränkung wird dahingehend gemacht, dass „spezielle technische Verfahren“ eingesetzt werden müssen.208 Die Beispiele der Verfahren zur Erstellung von Gesichtsbildern und Daktyloskopie deuten darauf hin, dass es um Vorgänge geht, die darauf abzielen, biometrische Merkmale festzustellen oder festzuhalten.209 In Erwägungsgrund 51 der DSGVO ist daher auch klargestellt, dass Fotos von natürlichen Personen nicht grundsätzlich als biometrische Daten einzustufen sind, sondern nur dann, wenn die Fotos mit speziellen technischen Verfahren verarbeitet werden, die eine eindeutige Identifizierung oder Authentifizierung ermöglichen.210
e) Der Begriff der Gesundheitsdaten
Gesundheitsdaten sind nach Art. 4 Nr. 15 DSGVO „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“. Wie oben beschrieben lassen sich auch genetische Daten regelmäßig den Gesundheitsdaten zuordnen.211 Damit Gesundheitsdaten vorliegen, müssen also zwei Bedingungen erfüllt sein: einerseits müssen sich personenbezogene Daten auf die körperliche oder geistige Gesundheit, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen (1), andererseits müssen ihnen Informationen über den Gesundheitszustand zu entnehmen sein (2). Da die beiden Definitionsbestandteile durch ein „und“ miteinander verbunden sind, müssen beide Bedingungen kumulativ vorliegen.212
aa) Bezug zur körperlichen oder geistigen Gesundheit
Nach dem ersten Kriterium müssen sich die personenbezogenen Daten auf die körperliche oder geistige Gesundheit beziehen. Wann eine Bezugnahme zur Gesundheit zu bejahen ist, ist durch Auslegung zu ermitteln.
(1) Weite Auslegung
Die Endfassung der Definition über Gesundheitsdaten ist etwas enger gefasst als der ursprüngliche Entwurf der EU-Kommission, der lediglich die erste Bedingung vorsah.213 Die Bestimmung ist dennoch weit auszulegen, da der Begriff der Gesundheitsdaten nicht an eine Krankheit anknüpft, sondern allgemein an einen Zustand über die Gesundheit.214 Der Gesetzeswortlaut erfasst außerdem ausdrücklich sowohl die physische als auch psychische Gesundheit einer Person. Nach Erwägungsgrund 35 der DSGVO umfassen Gesundheitsdaten Informationen über den „früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand“, und können somit einen erheblichen, gar existentiellen, Einfluss auf das Leben und Chancen einer betroffenen Person haben.215 Unklar ist aber, wie eng oder wie direkt die Beziehung zwischen personenbezogenem Datum und Information über den Gesundheitszustand sein muss, damit die Definition erfüllt ist.
(2) Unmittelbarer oder mittelbarer Bezug zur Gesundheit am Beispiel von Ortsdaten und Biobanken
Aus der Definition geht nicht eindeutig hervor, ob sich die personenbezogenen Daten unmittelbar auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen müssen, oder ob sich dies auch mittelbar ergeben kann, was die Einordnung von Daten als sensibel oder nichtsensibel erschwert.216 Die Unterscheidung ist m.E. allerdings essentiell, da der Begriff der Gesundheitsdaten mit ihr entweder sehr flexibel und offen wird oder eng bleibt und somit das Risiko beinhaltet, dass Schutzlücken für natürliche Personen entstehen.217 Dies soll an zwei Beispielen gezeigt werden.
Technisch ist es möglich, dass sich auch aus so genannten Metadaten, also beispielsweise Standortdaten (z.B. Ort, Datum, Dauer des Verweilens an einem Ort), die für sich genommen nicht sensibel sind, eine Aussage über den Gesundheitszustand einer natürlichen Person treffen lassen kann.218 Ein Beispiel sind auf Smartphones installierte Corona-Tracking-Apps, die den Standort ihrer User erfassen.219 Ein weiteres Beispiel hierfür könnte der regelmäßige Besuch einer Person in einer Praxis für Strahlentherapie über einen bestimmten Zeitraum hinweg sein. Bei einer ambulanten Behandlung eines Krebspatienten kann dieser zwischen ca. 30 Minuten bis zu mehreren Stunden bestrahlt werden.220 Eine Chemotherapie wird häufig in Behandlungszyklen durchgeführt, was bedeutet, dass eine Person im Rahmen der Therapie in regelmäßigen Abständen Medikamente erhält, die dann über einen bestimmten Zeitraum wirken sollen, bevor eine erneute Behandlung durchgeführt wird.221 Wenn sich also aus den Ortsdaten und Zeitangaben (z.B. über ein Navigationsgerät aufgezeichnet, ggf. verknüpft mit dem Kalender auf einem Smartphone oder festgehalten,