Kitabı oku: «Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO», sayfa 5

Yazı tipi:

bb) Personenbezogene Daten, aus denen Gesundheitsinformationen hervorgehen

Das zweite Kriterium fordert, dass aus den personenbezogenen Daten, die in Beziehung zur körperlichen oder geistigen Gesundheit stehen, Informationen über den Gesundheitszustand hervorgehen (auf Englisch: „reveal“; auf Französisch: „révèle“).226

(1) Weite Auslegung

Allein der Begriff „Hervorgehen“ ist extrem weit gefasst und nicht an eine Verarbeitungstätigkeit oder Handlung geknüpft.227 Bei dem Beispiel mit Standortdaten stellt sich also die Frage, ob sich diesen Daten Informationen über den Gesundheitszustand einer natürlichen Person entnehmen lassen, wenn sie z.B. aus den Metadaten hervorgehen. Es muss sich dem Begriff nach auch nicht um ein Ziel handeln oder Absicht des Verantwortlichen sein, die hervorgehenden Informationen über den Gesundheitszustand zu erfassen.228 Es scheint, als reiche allein die objektive Möglichkeit hierzu aus.229

„Informationen über den Gesundheitszustand“ sind begrifflich ebenfalls sehr weit gefasst.230 Eine Information über den Gesundheitszustand kann nicht erst vorliegen, wenn eine Diagnose feststeht.231 Auch die Tatsache, dass sich eine Person in Behandlung befindet, kann bereits eine Information über den Gesundheitszustand sein.232 Die Artikel-29-Datenschutzgruppe sah – noch zur DSRL – auch Daten, die eine bloße Annahme über einen Gesundheitszustand zulassen, als Gesundheitsdaten an, da ein Risiko einer unfairen Behandlung wegen eines angenommen oder tatsächlichen Gesundheitszustands besteht.233

(2) Unmittelbares oder mittelbares Hervorgehen

Die Unterscheidung zwischen den Begriffen mittelbar und unmittelbar, bzw. „direkt“ und „indirekt“, kennt die DSGVO aus der Definition über personenbezogene Daten in Art. 4 Nr. 1 DSGVO. Durch das Hinzufügen eines entsprechenden Zusatzes in die Definition der Gesundheitsdaten hätte m.E. eine Klarstellung erfolgen können. Dennoch lässt sich daraus, dass ein entsprechender Zusatz fehlt, m.E. nicht schließen, dass ausschließlich Informationen, die in unmittelbarer Beziehung zum körperlichen oder geistigen Zustand stehen, oder aus denen unmittelbar Informationen über den Gesundheitszustand hervorgehen, gemeint sind. Denn auch dies hätte m.E. durch die Ergänzung des Wortes „unmittelbar“ oder „direkt“ gelenkt werden können. Dies zeigt auch die Entwicklung der begleitenden Erwägungsgründe.

Bevor Erwägungsgrund 35 der DSGVO seine finale Version fand, hatte sich das EU-Parlament dem Vorgänger, Erwägungsgrund 26 der DSGVO, angeschlossen. Demnach sollten unter anderem auch „Vormerkung der betreffenden Person zur Erbringung medizinischer Leistungen, Angaben über Zahlungen oder die Berechtigung zum Empfang medizinischer Dienstleistungen“234 erfasst sein. Personenbezogene Daten, die in Beziehung zum Gesundheitsstatus einer natürlichen Person stehen, sollten in der Entwurfsfassung also auch vorliegen, wenn es sich um Informationen über die Registrierung zu Gesundheitsdienstleistungen oder Informationen über Zahlungen für Gesundheitsleistungen handelte.235 Eine Zahlung ist ein neutraler Vorgang, der nur in Beziehung zu weiteren Informationen Rückschlüsse auf den Gesundheitszustand einer Person zulässt (z.B., weil Zahlungen an Dienstleister einer bestimmten Branche (Ärzte, Krankenhäuser, Spezialisten) geleistet werden). Diesen Informationen den besonderen Schutzstatus von Art. 9 DSGVO zukommen zu lassen zeigt, dass den an den Entwürfen beteiligten gesetzgeberischen Organen bewusst war, dass sich aus vorgeblich neutralen Handlungen sensible Rückschlüsse ziehen lassen können. Der spätere Erwägungsgrund 35 DSGVO fand jedoch eine andere finale Fassung, in der der Bezug zu Zahlungen oder zur Empfangsberechtigung bestimmter Leistungen fehlt.236

Aus Erwägungsgrund 35 der DSGVO lässt sich nunmehr nicht eindeutig entnehmen, ob Daten, die nicht unmittelbar im Zusammenhang mit einer Gesundheitsleistung verarbeitet werden, auch unter die Definition der Gesundheitsdaten fallen und damit auch dem Schutz des Art. 9 DSGVO unterliegen. Die Zuordnung als besondere oder nicht besondere personenbezogene Daten ist aber von Relevanz insbesondere für die Rechtsgrundlagen, auf die sich Verantwortliche berufen können und Sicherheitsmaßnahmen, die durch Verantwortliche ergriffen werden müssen.237

(3) Mangelnder Kontextbezug

Vielfach wird kritisiert, dass die Unterscheidung zwischen sensiblen und nichtsensiblen Daten nicht davon abhängig gemacht wird, in welchem Kontext und insbesondere für welche Zwecke die personenbezogenen Daten verarbeitet werden, sondern von dem personenbezogenen Datum selbst abhängig gemacht wird.238 Bei der Definition der Gesundheitsdaten ist ein gewisser Kontext – allerdings zirkulär – durchaus vorhanden, da der Kontext die „Gesundheit“ einer Person oder der „Gesundheitszustand“ ist. Auf eine Bezugnahme auf Dauer, Zwecke, Ziele des Verantwortlichen scheint es der Definition nach nicht anzukommen.239 Solche Kriterien lassen sich ferner der Stellungnahme der Artikel-29-Datenschutzgruppe entnehmen.240

Der EuGH hatte bisher nur in der Rechtssache Lindqvist die Gelegenheit, festzustellen, dass die Tatsache, „dass sich eine Person am Fuß verletzt habe und partiell krankgeschrieben sei, zu den „personenbezogenen Daten“ über die Gesundheit im Sinne von Art. 8 Abs. 1 der Richtlinie 95/46“ zähle.241 Ferner hat das Gericht festgestellt, dass der französische Begriff „contraints personelles“ nicht als Gesundheitsdatum einzustufen ist.242

Gesundheitsdaten werden auch verarbeitet, wenn technische Geräte, die nicht ausschließlich einen medizinischen Anwendungsbereich haben (Smartphone-Apps, Armbanduhren, Kameras, Schlaftracker, Zyklustracker, sonstige Gadgets, Apps für Blinde und sehbehinderte Menschen) den Puls, Blutdruck oder die Körpertemperatur messen, oder Körperflüssigkeiten analysieren, da auch aus diesen Daten Informationen über den Gesundheitszustand einer Person hervorgehen.243 Nicht zu unterschätzen ist dabei aber auch die Tatsache, dass die medizinischen Anwendungen und darauf basierenden Datenverarbeitungen nicht nur der DSGVO, sondern auch nationalen Bereichsgesetzen unterfallen können.

(4) Raum für mitgliedstaatliche Spezifizierungen

In Art. 9 Abs. 4 DSGVO ist eine Öffnungsklausel vorgesehen, die den Mitgliedstaaten u.a. hinsichtlich Gesundheitsdaten nationale Alleingänge ermöglicht.244 Je weiter der Begriff der Gesundheitsdaten gefasst wird, desto weiter wird m.E. auch der Spielraum für nationale Gesetzgebung. Dies spricht dafür, dass der Begriff der Gesundheitsdaten nicht ausufern darf. Gleichzeitig besteht – ggf. bis zu einer Entscheidung durch den EuGH – das Risiko, dass in den Mitgliedstaaten der Begriff der Gesundheitsdaten bzw. die Weite des Begriffs unterschiedlichen Interpretationen unterliegt und mittelbare Gesundheitsdaten in einem Mitgliedstaat deutlich stärkeren rechtlichen Vorgaben unterworfen werden als in anderen Mitgliedstaaten. Aus einer systematischen Sicht wäre daher eine engere Auslegung des Begriffs der Gesundheitsdaten dem Ziel des einheitlichen Schutzniveaus in den europäischen Mitgliedstaaten zuträglich.245 Andererseits dient eine weitere Auslegung dem Schutz betroffener Personen.

cc) Vorteile einer weiten Auslegung von Gesundheitsdaten

Aus Sicht des Schutzes natürlicher Personen bietet eine weite Auslegung des Begriffes den größtmöglichen Schutz, da Verantwortliche bei der Datenverarbeitung an den strengen Art. 9 DSGVO und ggf. andere nationale Schutzvorgaben gebunden sind.246 Die DSGVO verfolgt gleichzeitig mehrere Ziele und Schutzzwecke, die auch miteinander im Widerspruch stehen können.247 Eine eindeutige Abgrenzung, die generell und unabhängig vom jeweiligen Verarbeitungskontext ist, ist m.E. nicht möglich. Bei personenbezogenen Daten, die sich mittelbar den Gesundheitsdaten zuordnen lassen, wird m.E. jeweils einzelfallabhängig eine Abwägung insbesondere der Verarbeitungszwecke und der Risiken für Grundrechte und Freiheiten betroffener Personen erforderlich sein.

4. Der übergeordnete Begriff der sensiblen Daten

Im Text der DSGVO kommt der Begriff „sensible Daten“ nicht vor. Er wird aber in mehreren Erwägungsgründen erwähnt.248 In Erwägungsgrund 10 DSGVO heißt es: „Diese Verordnung bietet den Mitgliedstaaten zudem einen Spielraum für die Spezifizierung ihrer Vorschriften, auch für die Verarbeitung besonderer Kategorien von personenbezogenen Daten (im Folgenden „sensible Daten“). „Besondere Kategorien personenbezogener Daten“, darunter fallen auch Gesundheitsdaten, sind daher zunächst definiert als „sensible Daten“.249 Dieser Begriff wird nachfolgend allerdings nicht ein einziges Mal wiederverwendet.

In Erwägungsgrund 51 Satz 1 der DSGVO wird von personenbezogene Daten gesprochen, „die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind“, wobei nicht klar wird, ob damit die Daten gemeint sind, die schon in Erwägungsgrund 10 der DSGVO genannt wurden, oder ob der Anwendungsbereich größer ist.250 Kontext und Inhalt des Erwägungsgrundes lassen darauf schließen, dass auch hier die besonderen Kategorien personenbezogener Daten gemeint sind, da hierauf Bezug genommen wird. In Erwägungsgrund 91 der DSGVO werden im Kontext der Datenschutz-Folgenabschätzung ebenfalls die sensiblen Daten angesprochen („aufgrund ihrer Sensibilität“). Letztlich wird durch den Begriff das besondere Schutzbedürfnis dieser Datenkategorien verstärkt und in einem Sammelbegriff zentriert, ein Mehrwert oder eine andere Bedeutung wird nicht gewonnen. Dass die DSGVO andere personenbezogene Daten als die besonderen Kategorien personenbezogener Daten aufnehmen wollte, um ein offenes abgestuftes Konzept von Sensibilitäten zu kreieren, lässt sich nicht herauslesen.251

III. Zusammenfassung

Die DSGVO versucht einen Spagat zwischen der Vereinheitlichung der datenschutzrechtlichen Vorschriften in allen Mitgliedstaaten auf Verordnungsniveau und einem generalistischen Ansatz bei der Formulierung der Normen. Dies führt zwangsläufig zu Interpretationsschwierigkeiten und unklaren Regelungsreichweiten der Normierungen, insbesondere auch der Öffnungsklauseln, in der DSGVO. Gerade in Bereichen der öffentlichen Gesundheit und privaten sowie öffentlichen Gesundheitsvorsorge und Behandlung, bei genetischen und Gesundheitsdaten verbleiben bei den Mitgliedstaaten gestalterische Spielräume. Ein Blick über die DSGVO hinaus in das nationale mitgliedstaatliche Recht bleibt somit bei der Verarbeitung von Gesundheitsdaten unerlässlich.

Für die Verarbeitung von Gesundheitsdaten ist aber keinesfalls stets eine Einwilligung erforderlich. So wurde bereits ersichtlich, dass es eine Vielzahl an möglichen Rechtsgrundlagen (vertraglich und gesetzlich) für die Verarbeitung besonders sensibler Daten gibt. Ob Öffnungsklauseln sich sogar auf die Vorgaben für die datenschutzrechtliche Einwilligung (Art. 9 Abs. 2 und Abs. 4 DSGVO) im Gesundheitsbereich auswirken, wird im Hauptteil genauer untersucht.

24 Vertrag über die Europäische Union (konsolidierte Fassung) (EUV), ABl. Nr. C 202 vom 7.6.2016, S. 13–388; Vertrag über die Arbeitsweise der Europäischen Union (konsolidierte Fassung) (AEUV), ABl. C 202 vom 7.6.2016, S. 1–388. 25 Charta der Grundrechte der Europäischen Union (GRCh), ABl. C 202 vom 7.6.2016, S. 391–407. 26 Art. 3 Abs. 6 EUV. 27 Simitis, Datenschutz – Rückschritt oder Neubeginn?, NJW 1998, S. 2474. 28 Cannataci/Misfud Bonnici, Medical data protection in Europe: New rules vs. actual trends, Law & Information Technology Research Unit 1995, S. 302. 29 Schantz, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, 35. Aufl. 2021, Art. 1 Rn. 8. 30 Schantz/Wolff, Das neue Datenschutzrecht, 2017, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 8. 31 Evans, European Data Protection Law, The American Journal of Comparative Law 1981, S. 574; Simitis, NJW 1997, S. 281. 32 EU-Parlament, Entschließung über den Schutz der Rechte des Einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der automatischen Datenverarbeitung, ABl. C 60 vom 13. März 1975, S. 48. 33 EU-Parlament, Entschließung zum Schutz der Rechte des einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der Datenverarbeitung, ABl. C 140 vom 5. Juni 1979, S. 34 und EU-Parlament, Entschließung zum Schutz der Rechte des einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der Datenverarbeitung, ABl. C 87 vom 5. April 1982, S. 39. 34 Simitis, NJW 1997, S. 282. 35 Simitis, NJW 1997, S. 281; Simitis/Hornung/Spieker gen. Döhmann, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Einleitung, Rn. 133; vgl. auch Simitis, NJW 1997, S. 281, wonach die Kommission Ausnahmevorschriften und Sonderregelungen im Bereich des Datenschutzes als Markteinschränkung empfand. 36 EU-Kommission, Vorschlag für eine Richtlinie des Rates zum Schutz von Personen bei der Verarbeitung personenbezogener Daten, KOM/90/314 ENDG – SYN 287, ABl. C 277 vom 5.11.1990, S. 3–12. 37 Erwägungsgründe (ErwG) 7, 8, 9 DSRL; hierzu auch Bradford, The Brussels Effect, How the European Union Rules the World, 2020, S. 136. 38 Europarat, Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28. Januar 1981, Vertrag-Nr. 108. 39 Europarat, Europäische Konvention zum Schutze der Menschenrechte und Grundfreiheiten vom 4. November 1950 (EMRK). 40 D’Afflitto, European Union Directive on Personal Privacy Rights and Computerized Information, Villanova Law Review (VLR) 1996, S. 305; Simitis/Hornung/Spieker gen. Döhmann, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Einleitung, Rn. 140. 41 Kosta, Consent in European Data Protection Law, 2013, S. 86 m.w.N. 42 D’Afflitto, VLR 1996, S. 309. 43 Simitis, NJW 1998, S. 2473. 44 Cannataci/Misfud Bonnici, LITRU 1995, S. 303. 45 Gola, Die Entwicklung des Datenschutzrechts im Jahre 1995/96, NJW 1996, S. 3312; Blume, EDPL 2015, S. 32ff. 46 Vgl. ErwG 60 DSRL; Kapitel 4 DSRL: „Übermittlung personenbezogener Daten in Drittländer“. 47 ErwG 60 DSRL, Kapitel 4 DSRL; Solove, A Brief History of Information Privacy Law, Proskauer on Privacy, PLI, 2006, S. 40. 48 Vgl. Art. 28 Abs. 1 DSRL; der Mitgliedstaat Deutschland hielt die in Art. 32 Abs. 1 DSRL gesetzte Umsetzungsfrist von drei Jahren nicht ein, vgl. Gramlich, Datenanalyse vs. Datenschutz – Was muss beachtet werden?, in: Keuper/Schomann/Sikora (Hrsg.), Homo Connectus, Einblicke in die Post-Solo-Ära des Kunden, 2018, S. 369. 49 Voss, Survey of Recent European Union Privacy Developments, The Business Lawyer 2012, S. 207; Simitis/Hornung/Spieker gen. Döhmann, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Einleitung, Rn. 144. 50 Die DSRL verwendet ab Art. 29 Abs. 1 den Begriff „Gruppe“; die Gruppe betitelte ihre Veröffentlichungen mit „Artikel 29-Datenschutzgruppe“. 51 Artikel-29-Datenschutzgruppe, Opinion on purpose limitation, WP 203, 2013; Stellungnahme zu Entwicklungen im Bereich biometrischer Technologien, WP 193, 2012; Arbeitspapier 01/2012 zu epSOS, WP 189, 2012; Stellungnahme zur Definition von Einwilligung, WP 187, 2011; Arbeitspapier Verarbeitung von Patientendaten in elektronischen Patientenakten (EPA), WP 131, 2007; Arbeitspapier über Biometrie, WP 80, 2003. 52 Vgl. Art. 288 Abs. 5 AEUV; Selmayr, in: Ehmann/Selmayr (Hrsg.), DS-GVO, 2. Aufl. 2018, Art. 68, Rn. 1. 53 Vgl. Buchner, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, 2. Aufl. 2018, Art. 68 Rn. 2, die sogar von der Ausbildung eines „soft law“ sprechen. 54 Vgl. EDSA, Artikel-29-Datenschutzgruppe (archivierte Dokumente), abrufbar unter https://edpb.europa.eu/our-work-tools/article-29-working-party_de (zuletzt abgerufen am 11.04.2021); Nguyen, in: Gola (Hrsg.), DS-GVO, 2. Aufl. 2018, Art. 68 Rn. 1. 55 Vgl. auch Über den EDSA, abrufbar unter https://edpb.europa.eu/about-edpb/aboutedpb_de (zuletzt abgerufen am 11.04.2021). 56 Selmayr, in: Ehmann/Selmayr (Hrsg.) DS-GVO, Art. 68, Rn. 1. 57 Vgl. Art. 70 DSGVO. 58 Vgl. Art. 65 DSGVO; dies wurde auch von der Artikel-29-Datenschutzgruppe ausdrücklich angeregt, vgl. Brief der Artikel-29-Datenschutzgruppe vom 25.09.2015 an Jan Philipp Albrecht, Proposition of Article 29 Working Party regarding the European Data Protection Board Internal Structure, S. 1. 59 Schantz/Wolff, Das neue DatenschutzR, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 9. 60 Schantz/Wolff, Das neue DatenschutzR, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 9. 61 Scheurer, Spielerisch Selbstbestimmt, Rechtskonforme Einwilligungserklärungen in Zeiten ubiquitärer Digitalisierung, 2019, S. 68. 62 Zuletzt EuGH, Urteil vom 16. Juli 2020, C-311/18, Facebook Ireland und Schrems, ECLI:EU:C:2020:559, mit der der vielgenutzte Transfermechanismus „Privacy Shield“ für die Übermittlung personenbezogener Daten in die USA für unwirksam erklärt wurde – eine Übergangsfrist oder Schonfrist wurde nicht gewährt. 63 EuGH, Urteil vom 6. November 2003, C-101/01, Lindqvist, EU:C:2003:596, Rn. 50. 64 EuGH, Urteil vom 6. November 2003, C-101/01, Lindqvist, EU:C:2003:596, Rn. 50; vgl. auch Bygrave/Tosoni, in: Kuner/Bygrave/Docksey (Hrsg.), The EU General Data Protection Regulation, 2020, S. 221. 65 EuG, Urteil vom 31. Mai 2005, T-105/03, Dionyssopoulou/Rat, ECLI:EU:T:2005:189, Rn. 33 (nur auf Französisch). In dem Fall enthielt ein Bericht über die Beschwerdeführerin, dass sie aufgrund „persönlicher Einschränkungen“ („constraintes personelles“) nicht uneingeschränkt alle Aufgaben ihres Dienstes durchführen könne, vgl. Rn. 3 des Urteils). 66 Schantz/Wolff, Das neue DatenschutzR, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 10. 67 Schantz/Wolff, Das neue DatenschutzR, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 10; EuGH, Urteil vom 6. November 2003, Lindqvist, C-101/01, EU:C:2003:596, Rn. 37; EuGH, Urteil vom 20. Mai 2003, C-465/00, Österreichischer Rundfunk u.a., ECLI:EU:C:2003:294, Rn. 42f.; EuGH, Urteil vom 16. Dezember 2008, C-524/06, Huber, ECLI:EU:C:2008:724, Rn. 51; EuGH, Urteil vom 7. Mai 2009, C-553/07, Rijkeboer, ECLI:EU:C:2009:293, Rn. 56. 68 Schantz/Wolff, Das neue DatenschutzR, A. Verfassungs- und unionsrechtliche Grundlagen, Rn. 10. 69 Die Vielzahl an Erwägungsgründen lässt darauf schließen, wie umstritten die Verordnung im Gesetzgebungsprozess war, vgl. hierzu Kühling/Martini, Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht?, EuZW 2016, S. 449. 70 So Hoeren, Leiter des Instituts für Informations-, Telekommunikations- und Medienrecht an der Universität Münster, auf dem Euroforum-Datenschutzkongress Berlin im Jahr 2016; vgl. Bericht von Krempel, Datenschutz-Grundverordnung als „größte Katastrophe des 21. Jahrhunderts“, 27. April 2016, Beitrag auf Heise Online, abrufbar unter https://heise.de/-3190299 (zuletzt abgerufen am 11.04.2021). 71 So die ehemalige Bundesdatenschutzbeauftragte Andrea Voßhoff, in: Datenschützer bewerten EU-Grundverordnung als „Meilenstein“, Beitrag auf Heise Online vom 21. April 2016, abrufbar unter http://www.heise.de/-3179872 (zuletzt abgerufen am 11.04.2021). 72 Auf internationaler Ebene wurden Beschreibungen wie „groundbreaking“, „global standard for privacy and data use“ oder „toughest online privacy rules in the world“ verwendet, vgl. m.w.N. Aidinlis, EuCML 2 020, S. 151. 73 Ein Startpunkt findet sich in: Mitteilung der Kommission an das Europäische Parlament und den Rat, Ein Raum der Freiheit, der Sicherheit und des Rechts im Dienste der Bürger, KOM(2009) 262 endg. vom 10. Juni 2009. Demnach soll das Leitmotiv des neuen Mehrjahresprogramms der Europäischen Union unter anderem die Rechte der Bürger fördern, beispielsweise durch einen wirksamen Datenschutz; vgl. S. 5, 9 sowie S. 33, wonach ein Handlungsschwerpunkt die Schaffung einer umfassenden Regelung zum Schutz personenbezogener Daten sein soll, „die für sämtliche Zuständigkeitsbereiche gleichermaßen gilt“. 74 Die EU-Kommission führte ihre erste öffentliche Konsultation von Juli bis Dezember 2009 durch, die zweite folgte von November 2010 bis Januar 2011, vgl. EU-Kommission, Mitteilung der der Kommission an das Europäische Parlament und den Rat – Der Schutz der Privatsphäre in einer vernetzten Welt – Ein europäischer Datenschutzrahmen für das 21. Jahrhundert, vom 25. Januar 2012, KOM/2012/09 endg., S. 3 sowie Artikel-29-Datenschutzgruppe, Die Zukunft des Datenschutzes – Gemeinsamer Beitrag zu der Konsultation der Europäischen Kommission zu dem Rechtsrahmen für das Grundrecht auf den Schutz der personenbezogenen Daten, WP 168, 2009; hierzu auch Hustinx, EU Data Protection Law: The Review of Directive 95/46/EC and the Proposed General Data Protection Regulation, 2013, S. 24ff., abrufbar unter https://edps.europa.eu/data-protection/our-work/publications/speeches-articles/eu-data-protection-lawreview-directive_en (zuletzt abgerufen am 11.04.2021). 75 EU-Kommission, Vergleichende Studie über verschiedene Ansätze zur Bewältigung neuer Herausforderungen für den Schutz der Privatsphäre, insbesondere aufgrund technologischer Entwicklungen, 2010, abrufbar unter https://publications.europa.eu/en/publication-detail/-/publication/9c7a02b9-ecba-405e-8d93-a1a8989f128b (zuletzt abgerufen am 11.04.2021). 76 Artikel-29-Datenschutzgruppe, WP 168, S. 2; Ronellenfitsch, Fortentwicklung des Datenschutzes – Die Pläne der Europäischen Kommission, DuD 2012, S. 561. 77 Vgl. Rat der Europäischen Union, Vermerk, Das Stockholmer Programm – Ein offenes und sicheres Europa im Dienste und zum Schutz der Bürger vom 2. Dezember 2009, Rats-Dok. 17024/09 – Annahme durch den Europäischen Rat am 10./11. Dezember 2009. Im Rahmen des Stockholmer Programms ersuchte der Europäische Rat die EU-Kommission darum, den Rechtsrahmen für Datenschutz in der EU zu evaluieren und Vorschläge für neue gesetzgeberische sowie nicht-legislative Initiativen in dem Bereich vorzulegen, vgl. Europäischer Rat, Das Stockholmer Programm – Ein offenes und sicheres Europa im Dienste und zum Schutz der Bürger, 2010/C 115/01, ABl. C 115 vom 04.05.2010, S. 11. In ihrem Aktionsplan zur Umsetzung des Stockholmer Programms sah die Kommission für das Jahr 2010 gleich mehrere Maßnahmen zum Datenschutz vor, unter anderem einen neuen umfassenden Rechtsrahmen für Datenschutz und eine Mitteilung über Datenschutz und Vertrauen im „Digitalen Europa“, vgl. EU-Kommission, Aktionsplan zur Umsetzung des Stockholmer Programms, KOM(2010) 171 endg. vom 20. April 2010, S. 12. 78 EU-Kommission, KOM(2010) 609 endg., S. 21, von einer Verordnung war zu diesem Zeitpunkt noch nicht die Rede. Dokumente und Überblick über den Verfahrensgang abrufbar unter https://eur-lex.europa.eu/procedure/EN/199818 (zuletzt abgerufen am 11.04.2021). 79 EU-Kommission, Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), 25.01.2012, KOM(2012) 11 endg. 80 Vgl. EU-Kommission, KOM(2012) 9 endg., S. 3. 81 EU-Kommission, KOM(2012) 9 endg., S. 7f.; ein vereinheitlichter Rahmen sollte insbesondere kleinsten, kleinen und mittleren Unternehmen beim Marktzutritt zu anderen Mitgliedstaaten dienen; Spiecker gen. Döhmann, Gesundheitsversorgung im Zeitalter der DS-GVO – eine Einführung, in: Spiecker gen. Döhmann/Wallrabenstein (Hrsg.), Gesundheitsversorgung in Zeiten der Datenschutz- Grundverordnung, 2019, S. 15. 82 EU-Kommission, KOM(2012) 9 endg., S. 13. 83 Poullet, Is the general data protection regulation the solution? Computer Law & Security Review (CLSR) 2018, S. 773. 84 Die Verordnung wurde am 04. Mai 2016 im Amtsblatt veröffentlicht (L119); ausführlicher zur Datenschutzreform vgl. Leucker, Die zehn Märchen der Datenschutzreform, PinG 2015, S. 195ff. 85 Art. 99 Abs. 2 DSGVO. 86 Vgl. EU, Interinstitutionelle Regeln für Veröffentlichungen 2011, S. 39, abrufbar unter https://publications.europa.eu/de/publication-detail/-/publication/e774ea2a-ef84-4bf6be92-c9ebebf91c1b/language-de (zuletzt abgerufen am 11.04.2021). 87 Datenbanksuche auf Deutsch nach dem Begriff „Grundverordnung“ im Portal des Amts für Veröffentlichungen der Europäischen Union, abrufbar unter https://eur-lex.europa.eu/ (zuletzt abgerufen am 15.08.2019); ähnlich Tambou, Opening Remarks, in: Mc Cullagh/Tambou/Bourton (Hrsg.), National Adaptations of the GDPR, Collection Open Access Book, Blogdroiteuropeen, 2019, abrufbar unter https://wp.me/p6OBGR-3dP (zuletzt abgerufen am 11.04.2021). 88 Vgl. Kühling/Martini, EuZW 2016, S. 449 m.w.N.; an anderer Stelle ist von ca. 50 Öffnungsklauseln die Rede, vgl. Streinz, Das Datenschutzrecht als Ansatz für Neuerungen des „Kooperationsverhältnisses“ zwischen EuGH und BVerfG, DuD 2020, S. 357. 89 Die EU-Kommission spricht von „Spezifikationsklauseln“, vgl. Antwort auf Parlamentarische Anfragen vom 13. Juli 2018, P-003121/2018(ASW) (Bezugsdokument P-003121/2018); so aber wohl auch schon Nemitz auf der EAID Konferenz in Berlin am 26 Januar 2017, vgl. den Bericht von Kipker, How Much Diversity in Data Protection Law Does Europe Need or Can Afford?, EDPL 3, 2017, S. 231. 90 Vgl. auch Gesetzentwurf der Bundesregierung, Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs-und -Umsetzungsgesetz EU – DSAnpUG-EU), BT-Drs. 18/11325 vom 24.02.2017, S. 73; Mišćenić/Hoffmann, The Role of Opening Clauses in Harmonization of EU Law: Example of The EU’s General Data Protection Regulation (GDPR), in: Duić/Petrašević (Hrsg.), EU and comparative law issues and challenges series (ECLIC), 4 (2020), S. 51. 91 vgl. EU-Kommission, KOM(2012) 11 endg., S. 6; ErwG 9 der DSGVO erläutert, dass zwar Ziele und Grundsätze der DSRL ihre Gültigkeit behalten, aufgrund der unterschiedlichen Richtlinienumsetzung aber Rechtsunsicherheit besteht und, der unionsweite freie Verkehr von Daten behindert werden kann und die Unterschiede im Schutzniveau ein Hemmnis im Wirtschaftsraum darstellen; vgl. auch Poullet, CLSR 2018, S. 774. 92 EU-Kommission, KOM(2012) 11 endg., S. 6; hinsichtlich des Verhältnismäßigkeitsprinzips führt die EU-Kommission lediglich aus, dass sie sich bei Ausarbeitung ihres Vorschlags daran orientiert habe, vgl. S. 7; der erste Entwurf hätte zu einer nahezu vollständigen Harmonisierung geführt, vgl. hierzu Kuner, The European Commission’s Proposed Data Protection Regulation: A Copernican Revolution in European Data Protection Law, Privacy & Security Law Report 2012, S. 14. 93 Kühling/Martini, EuZW 2016, S. 449; Schild/Tinnefeld, Datenschutz in der Union – Gelungene oder missglückte Gesetzentwürfe?, DuD 2012, S. 313. 94 Eckhardt/Kramer/Mester, Auswirkungen der geplanten EU-DS-GVO auf den deutschen Datenschutz, DuD 2013, S. 623; Beschluss des Bundesrates vom 30.03.2012, Drs. 52/12. 95 BT-Drs. 18/11325, S. 73, dort heißt es auch: „Durch die zahlreichen Ausgestaltungsspielräume für den nationalen Gesetzgeber beschränkt bereits der Unionsgesetzgeber selbst die unmittelbare Wirkung“; vgl. auch Kremer, Wer braucht warum das neue BDSG? Auseinandersetzung mit wesentlichen Inhalten des BDSG n.F., CR 2017, S. 368; Mišćenić/Hoffmann, Öffnungsklauseln in der Datenschutz-Grundverordnung (DSGVO): Harmonisierungsmaßnahme oder Harmonisierungshemmer im EU Binnenmarkt?, in: Sander/Pošćić/Martinović (Hrsg.), Exploring the Social Dimension of Europe. Essays in Honour of Nada Bodiroga-Vukobrat, Verlag Dr. Kovac, Hamburg 2021, S. 231–247. 96 Hornung, Sind neue Technologien datenschutzrechtlich regulierbar? Herausforderungen durch “Smart Everything”, in: Roßnagel/Friedewald/Hansen (Hrsg.), Die Fortentwicklung des Datenschutzes – Zwischen Systemgestaltung und Selbstregulierung, 2018, S. 327. 97 Tambou, Opening Remarks, in: Mc Cullagh/Tambou/Bourton (Hrsg.), National Adaptations of the GDPR, S. 25. 98 BT-Drs. 18/11325, S. 73; vgl. hierzu auch Leucker, PinG 2015, S. 196; ausführlicher zur Harmonisierungswirkung, vgl. Mišćenić/Hoffmann, Öffnungsklauseln in der Datenschutz-Grundverordnung (DSGVO): Harmonisierungsmaßnahme oder Harmonisierungshemmer im EU Binnenmarkt?, in: Sander/Pošćić/Martinović (Hrsg.), Exploring the Social Dimension of Europe, S. 231–247; Mišćenić/Hoffmann, The Role of Opening Clauses, ECLIC 2020, S. 44–61. 99 Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DSGVO), 2018, S. 289ff.; Müller, Die Öffnungsklauseln der Datenschutzgrundverordnung – Ein Beitrag zur Europäischen Handlungsformenlehre, 2018, S. 89ff.; Bozkurt, EU-DSGVO und Compliance, Rechtliche und wirtschaftliche Herausforderungen, 2018, S. 17; Kühling et al., Die Datenschutz-Grundverordnung und das nationale Recht – Erste Überlegungen zum innerstaatlichen Regelungsbedarf, 2016, S. 9. 100 Mišćenić/Hoffmann Öffnungsklauseln in der Datenschutz-Grundverordnung (DSGVO): Harmonisierungsmaßnahme oder Harmonisierungshemmer im EU Binnenmarkt?, in: Sander/Pošćić/Martinović (Hrsg.), Exploring the Social Dimension of Europe, S. 231–247. 101 Vgl. hierzu Kühling/Martini et al., Die DS-GVO und das nationale Recht, S. 9; Bozkurt, EU-DSGVO und Compliance, S. 18; Schwartmann/Klein, in: Schwartmann et al. (Hrsg.), DS-GVO/BDSG, Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 2. Aufl. 2020, Art. 6 DSGVO Rn. 195, 2016; ähnlich auch Feiler/Forgó, welche darüber hinaus zwischen echten und unechten Öffnungsklauseln differenzieren, vgl. Feiler/Forgó, EU-DSGVO: EU-Datenschutz-Grundverordnung, 2016, S. 10ff. und auch Feiler, Öffnungsklauseln in der Datenschutz-Grundverordnung – Regelungsspielraum des österreichischen Gesetzgebers, jusIT 2016/93, S. 210ff. 102 BT-Drs. 18/11325, S. 73. 103 Vgl. Feiler/Forgó, EU-DSGVO, S. 10; Mišćenić/Hoffmann Öffnungsklauseln in der Datenschutz-Grundverordnung (DSGVO): Harmonisierungsmaßnahme oder Harmonisierungshemmer im EU Binnenmarkt?, in: Sander/Pošćić/Martinović (Hrsg.), Exploring the Social Dimension of Europe, S. 231–247. 104 Art. 54 DSGVO sieht vor, dass jeder Mitgliedstaat durch Rechtsvorschriften die Errichtung jeder Aufsichtsbehörde, sowie u.a. Qualifikationen, Amtszeit und ggf. Wiederernennung sowie Vorschriften und Verfahren für die Ernennung von Mitgliedern der Aufsichtsbehörde festlegt. 105 Schwartmann/Klein, in: Schwartmann et al. (Hrsg.), DS-GVO/BDSG, Art. 6 DSGVO, Rn. 216. 106 Art. 8 Abs. 1 DSGVO bezieht sich auf die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft; die DSGVO knüpft das Alter für eine wirksame Einwilligung an die Vollendung des sechzehnten Lebensjahres, wobei Mitgliedstaaten diese Grenze absenken dürfen, sofern sie nicht unterhalb der Vollendung des dreizehnten Lebensjahres festgelegt wird; vgl. auch Bozkurt, EU-DSGVO und Compliance, S. 18. 107 Kühling et al., Die DS-GVO und das nationale Recht, S. 9; vgl. auch Bozkurt, EU-DSGVO und Compliance, S. 34; Mišćenić/Hoffmann Öffnungsklauseln in der Datenschutz-Grundverordnung (DSGVO): Harmonisierungsmaßnahme oder Harmonisierungshemmer im EU Binnenmarkt?, in: Sander/Pošćić/Martinović (Hrsg.), Exploring the Social Dimension of Europe, S. 231–247. 108 Über Art. 23 DSGVO können Mitgliedstaaten Pflichten und Rechte gem. Art. 12 bis 22 (Rechte der betroffenen Person), unter den in Art. 23 DSGVO genannten recht umfangreichen Bedingungen (insb. zur Wahrung öffentlicher Interessen) beschränken; Art. 85 DSGVO ermöglicht es den Mitgliedstaaten, Vorgaben der DSGVO mit dem Recht auf Meinungsfreiheit und Informationsfreiheit in Einklang zu bringen; vgl. auch Voigt/von dem Bussche, DSGVO, S. 294. 109 Laut Art. 87 DSGVO können Mitgliedstaaten spezifische Bedingungen für die Verarbeitung nationaler Kennziffern oder Kennzeichen von allgemeiner Bedeutung festlegen. Deutschland hat von dieser Regelung bisher keinen Gebrauch gemacht. 110 Vgl. Voigt/von dem Bussche, DSGVO, S. 290ff.; Mišćenić/Hoffmann Öffnungsklauseln in der Datenschutz-Grundverordnung (DSGVO): Harmonisierungsmaßnahme oder Harmonisierungshemmer im EU Binnenmarkt?, in: Sander/Pošćić/Martinović (Hrsg.), Exploring the Social Dimension of Europe, S. 231–247. 111 Kühling et al., Die DS-GVO und das nationale Recht, S. 9. 112 Art. 88 DSGVO ermöglicht es den Mitgliedstaaten, durch Rechtsvorschriften bzw. Kollektivvereinbarungen spezifischere Vorschriften im Beschäftigtenkontext zu erlassen. Beispielhaft erwähnt Art. 88 DSGVO u.a. Zwecke der Einstellung, Erfüllung des Arbeitsvertrags, Planung und Organisation der Arbeit, Gleichheit und Diversität, Gesundheit und Sicherheit am Arbeitsplatz. Die im Rahmen von Art. 88 DSGVO vorgenommenen Maßnahmen müssen gem. Abs. 3 gegenüber der Kommission mitgeteilt werden; vgl. auch Voigt/von dem Bussche, DSGVO, S. 297ff.; Mišćenić/Hoffmann Öffnungsklauseln in der Datenschutz-Grundverordnung (DSGVO): Harmonisierungsmaßnahme oder Harmonisierungshemmer im EU Binnenmarkt?, in: Sander/Pošćić/Martinović (Hrsg.), Exploring the Social Dimension of Europe, S. 231–247. 113 Aus Art. 9 Abs. 4 DSGVO ergibt sich, dass Mitgliedstaaten durch zusätzliche Bedingungen und Beschränkungen die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten regeln können; vgl. auch Mester, in: Taeger/Gabel (Hrsg.), DSGVO BDSG, 3. Aufl., 2019, Art. 9 Rn. 37. 114 Pötters, in: Gola (Hrsg.), DS-GVO, Art. 1 Rn. 18., m.w.N.; EuGH, Urteil vom 6. November 2003, C-101/01, Lindqvist, ECLI:EU:C:2003:596, Rn. 50 (noch zur DSRL). 115 Pötters, in: Gola (Hrsg.), DS-GVO, Art. 1 Rn. 19. 116 Müller, Die Öffnungsklauseln der DSGVO, S. 123. 117 Maschmann, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 88 Rn. 8. 118 Laue, Öffnungsklauseln in der DS-GVO – Öffnung wohin?, ZD 2016, S. 464. 119 Maschmann, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 88 Rn. 10; instruktiv hierzu auch Müller, Die Öffnungsklauseln der Datenschutzgrundverordnung – Ein Beitrag zur Europäischen Handlungsformenlehre, 2018, S. 127. 120 Maschmann, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 88 Rn. 10; Müller, Die Öffnungsklauseln der DSGVO, S. 211; zur Auslegung von europäischem Sekundärrecht vgl. auch Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, S. 189 m.w.N. 121 Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, S. 198. 122 Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, S. 189–199 m.w.N. 123 Müller, Die Öffnungsklauseln der DSGVO, S. 215f.; für eine „eher“ restriktive Auslegung Pötters, in: Gola (Hrsg.), DS-GVO, Art. 88 Rn. 3; a.A. Riesenhuber, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 88 Rn. 13; für eine selbstständige Interpretation jeder Öffnungsklausel Hornung/Spiecker gen. Döhmann, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Einleitung, Rn. 230. 124 Müller, Die Öffnungsklauseln der DSGVO, S. 216. 125 Müller, Die Öffnungsklauseln der DSGVO, S. 216. 126 Zum ersten Entwurf vgl. Kuner, The European Commission’s Proposed Data Protection Regulation, Privacy & Security Law Report 2012, S. 14: “For example, because the Proposed Regulation would be directly applicable, it would provide as near complete harmonization as is possible under EU law”. 127 Vgl. Art. 6 Abs. 3 S. 1 lit. b) DSGVO. 128 So auch Riesenhuber, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 88 Rn. 13; sowie Müller, Die Öffnungsklauseln der DSGVO, S. 217; a.A., wonach Öffnungsklauseln grundsätzlich restriktiv auszulegen sind: Culik/Döpke, Zweckbindungsgrundsatz gegen unkontrollierten Einsatz von Big Data-Anwendungen, ZD 2017, S. 229. 129 So auch zuletzt EuGH, Urteil vom 16. Juli 2020, C-311/18, Facebook Ireland und Schrems, ECLI:EU:C:2020:559, Rn. 84. 130 Hierzu auch Spiecker gen. Döhmann, Gesundheitsversorgung im Zeitalter der DS-GVO, in: Spiecker gen. Döhmann/Wallrabenstein (Hrsg.), Gesundheitsversorgung, S. 17. 131 Vgl. Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 6 Rn. 35; Frenzel, in: Paal/Pauly (Hrsg.), DS-GVO BDSG, 3. Aufl. 2021, Art. 6 Rn. 35f.; Reimer, in: Sydow (Hrsg.), Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 6 Rn. 45f. 132 Dennoch ist die Reichweite der Öffnungsklausel umstritten, hierzu: Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 6 Rn. 35; Kühling/Martini, EuZW 2016, S. 449 sprechen von einer „erhebliche[n] Breitenwirkung“; Roßnagel, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), Art. 6 Abs. 3 Rn. 20 nennt es „erdenklich weit“; hingegen Albrecht/Jotzo, Das neue Datenschutzrecht, 2017, Teil 3 Rn. 46 erkennen „nur scheinbar breite Öffnungsklauseln“. 133 Vgl. Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 6 Rn. 43; als „Querschnittsmaterie des Rechts“ wird das Datenschutzrecht bereits 1977 bezeichnet von Fiedler, in: Gola/Hümmerich/Kerstan (Hrsg.), Datenschutzrecht, Teil I, Vorwort. 134 Vgl. Heberlein, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 6 Rn. 40; Taeger, in: Taeger/Gabel (Hrsg.), DSGVO BDSG, Art. 6 Rn. 127. 135 Der Grundsatz der Zweckkompatibilität bzw. der „zweckvereinbarenden Weiterverarbeitung“ findet sich bereits in Art. 5 Abs. 1 lit. b DSGVO; vgl. auch Roßnagel, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 5, Rn. 96ff.; vgl. zur Kritik an Art. 6 Abs. 4 auch Taeger, in: Taeger/Gabel (Hrsg.), DSGVO BDSG, Art. 6 Rn. 138. 136 Um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, muss der Verantwortliche nach Art. 6 Abs. 4 DSGVO unter anderem (a) jede Verbindung zwischen den ursprünglichen und den beabsichtigten Zwecken berücksichtigen, sowie (b) den Zusammenhang, in dem die Daten ursprünglich erhoben wurden, (c) ob es sich um personenbezogene Daten nach Art. 9 oder 10 DSGVO handelt, (d) welche möglichen Folgen die Weiterverarbeitung haben kann und (e), geeignete Garantien wie Verschlüsselung und Pseudonymisierung. 137 Ähnlich Buchner/Petri, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 6 Rn. 178–180; Schulz, in: Gola (Hrsg.), DS-GVO, Art. 6 Rn. 203. 138 Art. 6 Abs. 4 DSGVO. Ziele in Art. 23 Abs. 1 DSGVO sind unter anderem die nationale Sicherheit, Landesverteidigung, öffentliche Sicherheit, Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten, Schutz der betroffenen Person oder Rechte und Freiheiten anderer Personen, sowie Durchsetzung zivilrechtlicher Ansprüche. 139 Heberlein, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 6 Rn. 51; Buchner/Petri, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 6 Rn. 179. 140 Ähnlich Taeger, in: Taeger/Gabel (Hrsg.), DSGVO BDSG, Art. 6 Rn. 140. 141 Taeger, in: Taeger/Gabel (Hrsg.), DSGVO BDSG, Art. 6 Rn. 140; vgl. auch BT-Drs. 18/11325 S. 95f. Eine weitere Umsetzung der Öffnungsklausel findet sich in § 40 Abs. 2 BDSG für Aufsichtsbehörden. 142 § 22 BDSG ist eine Umsetzung der Öffnungsklauseln des Art. 9 Abs. 2 DSGVO; hierzu auch BT-Drs. 18/11325 S. 94f. 143 Vgl. Teil 2, B., V. (Zweckänderung bei der Einwilligung) in dieser Arbeit. 144 Kühling/Martini et al., Die DSGVO und das nationale Recht, 2016, S. 49; Schiff, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 9 Rn. 36; Kühling, Datenschutz im Gesundheitswesen, MedR 2019, S. 612. 145 Vgl. auch Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 49, wonach ein pauschaler Ausschluss der Einwilligung mit Rücksicht auf die grundrechtlich garantierte Privatautonomie als kritisch anzusehen wäre. 146 Rogosch, Die Einwilligung im Datenschutzrecht, 2013, S. 191; anders aber bspw. Louis, Grundzüge des Datenschutzrechts, 1981, S. 39, wonach die Verfügungsbefugnis des Einzelnen endet, wo der Kernbereich der Menschenwürde verletzt wird. 147 Bejahend Frenzel, in: Paal/Pauly (Hrsg.), DS-GVO BDSG, Art. 9 Rn. 23; Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 49; verneinend Schiff, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 9 Rn. 36. 148 Schiff, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 9 Rn. 36. 149 Ähnlich Schiff, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 9 Rn. 36. 150 So jedenfalls Schiff, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 9 Rn. 36. 151 So Kühling, MedR 2019, S. 612; a.A. Wobbe, Datenschutz im Gesundheitswesen – Fragestellung aus Sicht der Krankenkassen, MedR 2019, S. 627; Petri, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 9 Rn. 36. 152 Vgl. Kühling, MedR 2019, S. 612; Kühling/Martini et al., Die DS-GVO und das nationale Recht, S. 55. 153 Vgl. Schiff, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 9 Rn. 38; Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 52. 154 Springer Gabler, Gablers Wirtschaftslexikon, Wearables Definition, abrufbar unter https://wirtschaftslexikon.gabler.de/definition/wearables-54088 (zuletzt abgerufen am 11.04.2021); vgl. auch Groß/Schmidt, E-Health und Gesundheitsapps aus medizinethischer Sicht, Bundesgesundheitsbl. 2018, S. 349; die DSGVO adressiert Wearables nicht ausdrücklich, vgl. Leucke, PinG 2015, S. 199; Kühling, MedR 2019, S. 612. 155 Weitere Beispiele in Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 53; Schiff, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 9 Rn. 40; vgl. auch Weichert, Die Verarbeitung von Wearable-Sensordaten bei Beschäftigten, NZA 2017, S. 565; hierzu auch The Economist, The sum of all lives – The coming of the datome vom 14. März 2020. 156 Die ErwG 53 und 54 korrespondieren mit Art. 9 Abs. 2 lit. h DSGVO; vgl. auch Kühling, MedR 2019, S. 612. In ErwG 53 sind Hinweise darauf zu finden, dass eine Vollharmonisierung gescheitert ist, da lediglich von Harmonisierung „im Hinblick auf bestimmte Erfordernisse“ gesprochen wird. 157 Vgl. Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 77, 78; Leucker, PinG 2015, S. 196. 158 Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 79. 159 Vgl. Schulz, in: Gola (Hrsg.), DS-GVO, Art. 9 Rn. 36, Kühling, MedR 2019, S. 612. 160 Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 79; Kühling, MedR 2019, S. 612; Kühling/Martini et al., Die DS-GVO und das nationale Recht, S. 51; Spranger, Die datenschutzrechtliche Einwilligung im Gesundheitskontext: zum Umgang mit genetischen, biometrischen und Gesundheitsdaten, MedR 2017, S. 865. 161 So auch Kühling, MedR 2019, S. 613. 162 So auch Mišćenić/Hoffmann, The Role of Opening Clauses, ECLIC 2020, S. 56f. 163 Schiff, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 9 Rn. 62; Spindler/Dalby, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, Art. 9 Rn. 21. 164 Vgl. auch Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 84; Schulz in: Gola (Hrsg.), DS-GVO, Art. 9 Rn. 41. 165 Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 86; Petri, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), Art. 9 Rn. 101; zu zusätzlichen Regelungen in Deutschland vgl. Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 9 Rn. 150–154. 166 Hierzu Ducato, Data protection, scientific research, and the role of information, CLSR 2020, 105412, S. 5; Pormeister, Genetic data and the research exemption: is the GDPR going too far? International Data Privacy Law (IDPL) 2017, S. 137–146. Belgien hat im Rahmen der Evaluierung der DSGVO den Zusammenhang zwischen Art. 9 Abs. 2 lit. j DSGVO und Art. 89 Abs. 1 DSGVO als widersprüchlich bemängelt und um Klarstellung gebeten, vgl. Rat der EU, Generalsekretariat des Rates, Preparation of the Council position on the evaluation and review of the General Data Protection Regulation (GDPR) – Comments from Member States, vom 09. Oktober 2019, ST 12756 2019 REV 1 S. 4. 167 Hierzu z.B. Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 9 Rn. 150ff.; Petri, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 9 Rn. 101ff.; Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 97ff. 168 Art. 9 Abs. 4 DSGVO lautet in der englischen Fassung: „Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health”. 169 Kampert, in: Sydow (Hrsg.), Europäische DSGVO, Art. 9 Rn. 59. 170 Vgl. hierzu Kühnl/Rohrer/Schneider, Ein europäischer Gesundheitsdatenschutz, ZD 2018, S. 740; verneinend Schulz, in: Gola (Hrsg.), DS-GVO, Art. 9 Rn. 48; ebenso Spindler/Dalby, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, Art. 9 Rn. 27. 171 So auch Kühnl/Rohrer/Schneider, ZD 2018, S. 740; so auch Petri, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 9 Rn. 101; Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 99. 172 Kampert, in: Sydow (Hrsg.), Europäische DSGVO, Art. 9 Rn. 61; Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG Art. 9 Rn. 150; Kühnl/Rohrer/Schneider, ZD 2018, S. 740. 173 Hierzu auch Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 99. 174 Pauly, in: Paal/Pauly (Hrsg.), DS-GVO BDSG, Art. 89 Rn. 1; Raum, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 89 Rn. 1. 175 Vgl. Hense, in: Sydow (Hrsg.), Europäische DSGVO, Art. 89 Rn. 1. 176 Pauly, in: Paal/Pauly (Hrsg.), DS-GVO BDSG, Art. 89 Rn. 17; Art. 89 Abs. 2 betrifft wissenschaftliche Zwecke, historische Zwecke und Forschungszwecke, Art. 89 Abs. 3 betrifft im öffentlichen Interesse liegende Archivzwecke, im Übrigen unterscheiden sich die Absätze nur darin, dass unter Abs. 3 auch Ausnahmen von Art. 19 und Art. 20 DSGVO gemacht werden dürfen. 177 Allerdings bestehen Abweichungsmöglichkeiten nach Art. 17 Abs. 3 lit. d DSGVO, vgl. Raum, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 89 Rn. 8; Caspar, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), Art. 89 Rn. 45. 178 Ähnlich European Data Protection Supervisor (EDPS), A Preliminary Opinion on data protection and scientific research vom 06. Januar 2020, S. 19, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf (zuletzt abgerufen am 11.04.2021). 179 Vgl. auch Ducato, CLSR 2020, 105412, S. 6. 180 Vgl. unter der DSRL in Art. 2 lit. a)-h) und unter der DSGVO in Art. 4 Nr. 1–26. 181 Vgl. auch Hofman/Johannes, DS-GVO: Anleitung zur autonomen Auslegung des Personenbezugs, ZD 2017, S. 222. 182 Schild, in: Wolff/Brink (Hrsg.), BeckOK DatenschR, Art. 4 Rn. 28; Klabunde, in: Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 4 Rn. 12. 183 Dem Wortlaut nach unterscheidet sich die Definition in Art. 4 Nr. 1 DSGVO kaum von ihrem Vorgänger in Art. 2 lit. a DSRL. 184 Hofman/Johannes, ZD 2017, S. 225; hierzu mit Blick auf genetische Daten und Personenbezug auch Pormeister, Genetic research and consent: On the crossroads of human and data research, Bioethics 2019, S. 349. 185 Karg, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), Art. 4 Nr. 1 Rn. 48, 49. 186 Karg, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), Art. 4 Nr. 1 Rn. 48, 49. 187 Statt vieler: Ernst, in: Paal/Pauly (Hrsg.), DS-GVO BDSG, Art. 4 Rn. 8–13; Schild, in: Wolff/Brink (Hrsg.), BeckOK DatenschR, Art. 4 Rn. 14–21a; Gola, in: Gola (Hrsg.), DS-GVO, Art. 4 Rn. 16–22; Pohl, Die datenschutzrechtliche Einwilligung im Spannungsfeld von hoheitlicher Regulierung und individueller Selbstbestimmung, 2019, S. 22ff. 188 In diese Richtung argumentierend Niemann/Kevekordes, Machine Learning und Datenschutz (Teil 1), CR 2020, S. 19. 189 Der Anwendungsbereich der DSGVO erstreckt sich auf pseudonyme Daten, aber nicht auf anonyme Daten; vgl. hierzu auch Winter/Battis/Halvani, Herausforderungen für die Anonymisierung von Daten, ZD 2019, S. 489ff.; Roßnagel, Pseudonymisierung personenbezogener Daten, ZD 2018, S. 243ff. 190 Hofman/Johannes, ZD 2017, S. 223; zum absoluten Verständnis auch: vgl. Kühling/Klar, Unsicherheitsfaktor Datenschutzrecht – Das Beispiel des Personenbezugs und der Anonymität, NJW 2013, S. 3616; Roßnagel/Kroschwald, Was wird aus der Datenschutzgrundverordnung?, ZD 2014, S. 497; zum relativen Verständnis vgl. Herbst, Was sind personenbezogene Daten?, NVwZ 2016, S. 905. 191 EU-Kommission, KOM(2012) 11 endg., S. 47. 192 Rat der Europäischen Union, Standpunkt (EU) Nr. 6/2016 des Rates in erster Lesung im Hinblick auf den Erlass der Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) Angenommen vom Rat am 8. April 2016, ABl. C 159 vom 3.5.2016, S. 33. 193 Vgl. Karg, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), Art. 4 Nr. 1 Rn. 61. 194 Instruktiv: Hofman/Johannes, ZD 2017, S. 221–226; EuGH, Urteil vom 19. Oktober 2016, C-582/14, Breyer, ECLI:EU:C:2016:779; ähnlich auch Poullet, CLSR 2018, S. 776; umfassend zum absoluten und relativen Personenbezug auch Scheurer, Spielerisch Selbstbestimmt, S. 91. 195 Art. 2 Abs. 1 DSGVO; Roßnagel, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 4 Nr. 2 Rn. 1. 196 Roßnagel, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 4 Nr. 2 Rn. 2, 3. 197 Vgl. Herbst, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 4 Rn. Nr. 2 Rn. 4; Martens, Anwendungsbereich des Entwurfs der Datenschutz-Grundverordnung im öffentlichen Bereich, PinG 2015, S. 214. 198 So Bock auf dem IT-Juristinnentag am 24.10.2019 in Berlin (die Autorin war anwesend); dies ergibt sich auch aus den Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation des EDSA, dort S. 15 (Rn. 51). 199 Schild, in: Wolff/Brink (Hrsg.), BeckOK DatenschR, Art. 4 Rn. 136; Gola in: Gola (Hrsg.), DS-GVO, Art. 4 Rn. 95. 200 Miño-Vásquez, The Protection of Genetic Data under the General Data Protection Regulation, DuD 2019, S. 156. 201 Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 4 Nr. 13 Rn. 3; Schild in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 4 Rn. 138. 202 Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 4 Nr. 13 Rn. 3; zum herausragenden Schutzbedürfnis genetischer Daten vgl. auch Pormeister, The GDPR and big data: Leading the way for big genetic data? in: Schweighofer et al. (Hrsg.), Privacy Technologies and Policy, 2017, S. 10f. 203 Petri, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 4 Nr. 13 Rn. 13; Klabunde in Ehmann/Selmayr (Hrsg.), DS-GVO, Art. 4 Rn. 59. 204 Vgl. Duden-Wörterbuch, abrufbar unter https://www.duden.de/rechtschreibung/Physiologie (zuletzt abgerufen am 11.04.2021). 205 Petri, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 4 Nr. 13 Rn. 14. 206 Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 4 Nr. 13 Rn 5. 207 Vgl. hierzu Malenkovich, Das gefälschte Ich: Können wir biometrischer Authentifizierung vertrauen? Abrufbar unter https://www.kaspersky.de/blog/das-gefalschte-ichkonnen-wir-biometrischer-authentifizierung-vertrauen/1533/ (zuletzt abgerufen am 11.04.2021). 208 Ernst, in: Paal/Pauly (Hrsg.), DSGVO BDSG, Art. 4 Rn. 102. 209 Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 4 Nr. 14 Rn. 3. 210 Gola, in: Gola (Hrsg.), DS-GVO, Art. 4 Rn. 96; Spindler/Dalby, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, Art. 4 Rn. 30. 211 S.o. Teil 1, A., II., 3. lit. c (genetische Daten) in dieser Arbeit. 212 A.A Kampert, in: Sydow (Hrsg.), Europäische DSGVO, Art. 4 Rn. 188, der diesen Teil der Definition als überflüssig (weil wiederholend) erachtet. 213 EU-Kommission, KOM(2012) 11 endg., S. 48; vgl. auch Petri, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 4 Nr. 15 Rn. 1. 214 Dies entspricht auch der Definition der World Health Organisation (WHO), wonach Gesundheit ein Zustand von Wohlbefinden ist und nicht bloß die Abwesenheit von Krankheit, vgl. WHO-Verfassung („Constitution adopted by the International Health Conference, New York, 19 June to 22 July 1946, signed on 22 July 1946 by the representatives of 61 States (Off. Rec. Wld Hlth Org., 2, 100), and entered into force on 7 April 1948”, dort heißt es in der Einleitung: „Health is a state of complete physical, mental and social well-being and not merely the absence of disease or infirmity.“, Constitution of the World Health Organization, abrufbar unter https://apps.who.int/gb/bd/PDF/bd47/EN/constitution-en.pdf (zuletzt abgerufen am 11.04.2021); vgl. auch Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 4 Nr. 15 Rn. 1; Schild, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 4 Rn. 143; Artikel-29-Datenschutzgruppe, ANNEX – Health Data in Apps and Devices, S. 2; für eine weite Auslegung des Begriffs auch Leutheusser-Schnarrenberger, Der Begriff der Gesundheitsdaten ist weit zu fassen, PinG 2015, S. 220. 215 Weichert, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, Art. 4 Nr. 15 Rn. 4; Artikel-29-Datenschutzgruppe, ANNEX – Health Data in Apps and Devices, 2015, S. 4; hierzu auch Kühnl/Rohrer/Schneider, ZD 2018, S. 737. 216 Vgl. hierzu auch Arning/Rothkegel, in: Taeger/Gabel (Hrsg.), DSGVO BDSG, 3. Aufl. 2019, Art. 4 Rn. 339–341; Mathes/Krohm, Der Schutz von Gesundheitsdaten im Gefüge rechtlicher Auslegungsspielräume auf nationaler und europäischer Ebene, PinG 2015, S. 49; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), DatenschR, Art. 4 Nr. 15 Rn. 4; die Mittelbarkeit bejahend Gola, in: Gola (Hrsg.), DS-GVO, Art. 4 Rn. 97. 217 Vgl. auch Wachter/Mittelstadt, A Right to Reasonable Inferences: Re-Thinking Data Protection Law in the Age of Big Data and AI, Columbia Business Law Review, Vol. 2019, Issue 2, abrufbar unter https://ssrn.com/abstract=3248829 (zuletzt abgerufen am 11.04.2021). 218 Vgl. Schneider, Schließt Art. 9 DS-GVO die Zulässigkeit der Verarbeitung bei Big Data aus?, ZD 2017, S. 303; so auch Leutheusser-Schnarrenberger, PinG 2015, S. 220; Mathes/Krohm, PinG 2015, S. 49. 219 Vgl. hierzu z.B. Singer, Google Promises Privacy With Virus App but Can Still Collect Location Data, The New York Times vom 20. Juli 2020, abrufbar unter https://nyti.ms/3fZdhVz (zuletzt abgerufen am 11.04.2021); Sandei, Tracing Apps, Digital Health and Consumer Protection, EuCML 2 020, S. 156ff.; Bradford/Aboy/Liddell, COVID-19 contact tracing apps: a stress test for privacy, the GDPR, and data protection regimes, Journal of Law and the Biosciences 2020, S. 1–21. Die COVID-19-App Frankreichs speichert Standortdaten für 30 Tage, vgl. OECD, Tracking and tracing COVID: Protecting privacy and data while using apps and biometrics, abrufbar unter http://www.oecd.org/coronavirus/policy-responses/tracking-and-tracing-covid-protecting-privacy-and-data-while-using-apps-and-biometrics-8f394636/ (zuletzt abgerufen am 11.04.2021). 220 Vgl. Krebsinformationsdienst, Deutsches Krebsforschungszentrum, Wie läuft eine Chemotherapie ab?, abrufbar unter https://www.krebsinformationsdienst.de/behandlung/chemotherapie/durchfuehrung.php (zuletzt abgerufen am 11.04.2021). 221 Vgl. von Kieseritzky, Die Chemotherapie, ONKO Internetportal, abrufbar unter https://www.krebsgesellschaft.de/onko-internetportal/basis-informationen-krebs/therapieformen/chemotherapie.html (zuletzt abgerufen am 11.04.2021). 222 Vgl. Petri, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), DatenschR, Art. 4 N. 15 Rn. 4, der auf den Verwendungszusammenhang abstellt; ähnlich Kühnl/Rohrer/Schneider, ZD 2018, S. 737 mit Beispielen einer Patientenkartei von Gesundheitseinrichtungen (HIV-Klinik, Fruchtbarkeitsklinik) oder Teilnahme an Behandlungsprogrammen bei chronischen Krankheiten; vgl. auch The Economist, Personalised medicine, – Populations of one, Technology Quarterly vom 14. März 2020, S. 4: „Almost 4bn people carry smartphones that can monitor physical acticity”. 223 Vgl. hierzu auch Schickert/Schweiger/Schuppert, in: Sassenberg/Faber (Hrsg.), Rechtshandbuch Industrie 4.0 und Internet of Things, 2. Aufl. 2020, § 15 Rn. 89ff. 224 Ernst, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 4 Nr. 15 Rn. 109. 225 Hallinan/Friedewald, Open consent, biobanking and data protection law: can open consent be ‘informed’ under the forthcoming data protection regulation?, Life Sciences, Society and Policy 2015, S. 8; vgl. zu Biobanken auch Gallwas, Biobanken aus grundrechtlicher Sicht, MedR 2019, S. 360–262. 226 Hierzu auch Georgieva/Kuner, in: Kuner/Bygrave/Docksey (Hrsg.), The EU GDPR, S. 373. 227 Schneider, ZD 2017, S. 305; Poullet versteht die Begrifflichkeit dahingehend, dass es im Bereich der sensitiven Daten auf die Verarbeitung selbst ankommt, die die Sensitivität der Daten manifestiert, vgl. Poullet, CLSR 2018, S. 776, dort Fn. 10. 228 Umgekehrt wird argumentiert, dass sich Gesundheitsdaten nicht sicher anonymisieren lassen – wenn also Gesundheitsdaten vorliegen, lässt sich auch eine Person dazu indirekt identifizieren, vgl. Coppen et al., Will the trilogue on the EU Data Protection Regulation recognise the importance of health research?, European Journal of Public Health, S. 757. 229 Schneider, ZD 2017, S. 305; vgl. auch Petri, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), DatenschR, Art. 4 N. 15 Rn. 4; a.A. VG Mainz, Urteil vom 20. Februar 2020, Az. 1 K 467/19.MZ, wonach allein aufgrund einer „abstrakten Möglichkeit“ dass Rückschlüsse auf die Gesundheit eines Menschen gezogen werden können, diese Informationen noch nicht zu Gesundheitsdaten werden. Dabei ging es um Informationen aus einem Tierbehandlungsvertrag und der Tatsache, dass bei manchen Tierkrankheiten eine Übertragung auf den Menschen nicht ausgeschlossen werden kann. 230 Vgl. Ernst, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 4 Nr. 15 Rn. 108. 231 Petri, in: Simitis/Hornung/Spieker gen. Döhmann (Hrsg.), DatenschR, Art. 4 N. 15 Rn. 5. 232 Vgl. ErwG 35 DSGVO; Ernst, in: Paal, Pauly, DSGVO BDSG, Art. 4 Rn. 108. 233 In Artikel-29-Datenschutzgruppe, ANNEX – Health Data in Apps and Devices 2015, S. 3, heißt es: “These types of data processing may create risks, including the risk of unfair treatment based on data about a person’s assumed or actual health status”. 234 Vgl. ErwG 26 in: EU-Kommission, KOM(2012) 11 endg., S. 24; unverändert übernommen durch: EU-Parlament, P7_TA(2014)0212 Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, Legislative Entschließung des Europäischen Parlaments vom 12. März 2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 — C7-0025/2012 — 2012/0011(COD)) P7_TC1-COD(2012)0011 Standpunkt des Europäischen Parlaments festgelegt in erster Lesung am 12. März 2014 im Hinblick auf den Erlass der Verordnung (EU) Nr. .../2014 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), ABl. C 378 vom 9.11.2017, S. 404. 235 So auch Bitter, in: Hoeren/Sieber/Holznagel (Hrsg.), Multimedia-Recht, 54. EL, April 2020, Teil 15.4 Rn. 11 m.w.N. 236 Danach beschreibt ErwG 35 Gesundheitsdaten als solche Daten, „die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen“; dafür, dass auch Zahlungsdaten Gesundheitsdaten sein können, plädiert Bitter in: Hoeren/Sieber/Holznagel (Hrsg.), Multimedia-Recht, 52. EL, April 2020, Teil 15.4, Rn. 11. 237 Vgl. Art 9 DSGVO und Art. 32 DSGVO. 238 Frenzel, in: Paal/Pauly (Hrsg.), DS-GVO BDSG Art. 9 Rn. 1, 9; die Diskussion fand bereits unter der DSRL statt, vgl. nur Kosta, Consent in European Data Protection Law, S. 98, Meier, Der rechtliche Schutz patientenbezogener Gesundheitsdaten, 2003, S. 56; Kollek, in: Anzinger/Hamacher/Katzenbeisser (Hrsg.), Schutz genetischer, medizinischer und sozialer Daten als multidisziplinäre Aufgabe, 2013, S. 11ff.; Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 8. 239 Albers/Veit, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, Art. 9 Rn. 8 sehen jedoch eine „Ausprägung des risikobasierten Ansatzes“. 240 Artikel-29-Datenschutzgruppe, ANNEX – Health Data in Apps and Devices 2015. 241 EuGH, Urteil vom 6. November 2003, C-101/01, Lindqvist, ECLI:EU:C:2003:596, Rn. 51. 242 Vgl. EuG, Urteil vom 31. Mai 2005, T-105/03, Dionyssopoulou/Rat, ECLI:EU: T:2005:189, Rn. 33, 34. 243 Hierzu ausführlich: Artikel-29-Datenschutzgruppe, ANNEX – Health Data in Apps and Devices 2015. 244 Vgl. hierzu bereits Teil 1, A. II. 2. e. bb. (6) (Bedingungen und Beschränkungen für die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten) in dieser Arbeit. 245 Ausweislich der ErwG 9 und 10 DSGVO stellen Unterschiede im Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten dar und das Schutzniveau sollte in allen Mitgliedstaaten gleichwertig sein. Gemäß ErwG 13 DSGVO ist dies ein Grund, warum die Form der Verordnung gewählt wurde. 246 Beispielsweise § 22 Abs. 2 BDSG, welcher einen nicht abschließenden Katalog an technischen und organisatorischen Maßnahmen enthält; vgl. auch Paschke, in: Specht/Mantz (Hrsg.), Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 13 Rn. 32; für eine weite Auslegung auch Bygrave/Tosoni, in: Kuner/Bygrave/Docksey (Hrsg.), The EU GDPR, S. 343. Mit Blick auf negative Auswirkungen von abgeleiteten Daten in der Corona-Pandemie auch Škiljić, Health Data (‘Data Concerning Health’), Inferences – an Unexplored Volcano Eager to Erupt Post COVID-19 Crisis, Aligning Inferences with GDPR Principles?, European Law Institute 2021. 247 Zur Schutzgutdebatte vgl. nur Veil, Die Schutzgutmisere des Datenschutzrechts – Teil I, CRonline.de Blog vom 6. Februar 2019, abrufbar unter https://www.cr-online.de/blog/2019/02/06/die-schutzgutmisere-des-datenschutzrechts-teil-i/ (zuletzt abgerufen am 11.04.2021). 248 Vgl. ErwG 10, 51 und 93 DSGVO. 249 In der englischen Fassung wird von „sensitive data“ und in der französischen Fassung von „données sensibles“ gesprochen. 250 So wohl Albrecht/Jotzo, Das neue DatenschutzR, 2017, Teil 3 Rn. 57. 251 Vgl. auch Schneider, ZD 2017, S. 303.