Art. 29-Datenschutzgruppe: Stellungnahme zu Gesundheitsdaten

ZD-Aktuell 2015, 04548


Die Art. 29-Datenschutzgruppe hat eine Stellungnahme zu Gesundheitsdaten veröffentlicht, in der neben der Definition die möglichen Risiken einer Verarbeitung dieser Daten und die gesetzlichen Grundlagen behandelt werden.

Die Art. 29-Datenschutzgruppe definiert Gesundheitsdaten als Daten über den physischen oder psychischen Zustand, die (auch nur bedingt) im Zusammenhang mit einem medizinischen Kontext entstehen können. Darunter fallen auch Information über Unfälle (Beinbruch), Sehverhalten (Brille oder Kontaktlinsen), über intellektuelle oder mentale Fähigkeiten (IQ), zu Trink- oder Rauchverhalten, Allergien oder Beteiligung an einer Selbsthilfegruppe (Weight Watchers, Anonyme Alkoholiker etc.). Der Begriff muss nach Auffassung der Art. 29-Datenschutzgruppe sehr weit ausgelegt werden. So ist es nach ihrer Ansicht gerade auch möglich, dass für sich genommen völlig belanglose Daten, wie etwa die tägliche Schrittzahl, in Kombination mit anderen Informationen, aus denen man dann auf den Gesundheitszustand schließen kann, zu Gesundheitsdaten werden. Die Kombination von neutralen Informationen und ihre Analyse zu Zwecken der Gesundheit führen also zur Entstehung von Gesundheitsdaten. Nach Art. 8 Abs. 1 RL 95/46/EG ist die Verarbeitung besonderer Kategorien personenbezogener Daten grds. untersagt. Dieses Verbot wird durch einzelne gesetzliche Erlaubnistatbestände durchbrochen, etwa wenn die Verarbeitung zum Zweck der Gesundheitsvorsorge oder der medizinischen Diagnostik erforderlich ist und die Verarbeitung durch ärztliches Personal erfolgt. Relevant für die Praxis und gerade für die sog. „Lifestyle-Apps“ ist die ausdrückliche Einwilligung der betroffenen Person (Art. 8 Abs. 2 lit. a RL 95/46/EG bzw. § 4a Abs. 3 BDSG). Wenn ein Anbieter eines Armbands oder einer Lifestyle-App Gesundheitsdaten erhebt und verarbeitet, wird nach Ansicht der Art. 29-Datenschutzgruppe häufig allein die Einwilligung der Nutzer die einzige Möglichkeit darstellen, um diese Daten rechtmäßig verarbeiten zu können. Daneben weist die Art. 29-Datenschutzgruppe auf wichtige Prinzipien hin, die beim Umgang mit personenbezogenen Daten und gerade mit besonders sensiblen Gesundheitsdaten zu beachten sind. Eine genaue Information der Betroffenen über die erhobenen und verarbeiteten Daten und die Zwecke der Verarbeitung seien hier wichtig, insbesondere muss eine wirksame Einwilligung für einen konkreten Fall und in Kenntnis der Sachlage erfolgen. Die Informationen zum Umgang mit den Gesundheitsdaten müssten den Nutzern von Apps bereits vor der ersten Datenverarbeitung erteilt werden, also nach Ansicht der Art. 29-Datenschutzgruppe bereits vor dem Download einer App. Daneben müssten weitere Datenschutzprinzipien wie der Zweckbindungsgrundsatz und das Gebot der Datensparsamkeit beachtet werden.

# Vgl. auch ZD-Aktuell 2015, 04549; ZD-Aktuell 2015, 04492; ZD-Aktuell 2015, 04474 und ZD-Aktuell 2014, 04447.


IT-Anwaltsuche