Rz. 28
Wie die Datenschutzrichtlinie sieht auch die DSGVO getrennte Regelungen für die Verarbeitung besonderer Kategorien personenbezogener Daten (sog. "sensible Daten") vor. Auch wenn der Gesetzgeber darauf verzichtet, die sensiblen Daten im Begriffsbestimmungskatalog des Art. 4 gesondert zu definieren, spielt diese Datenkategorie weiterhin eine besondere Rolle im Rahmen der Datenverarbeitung. Die genauere Bestimmung des Begriffs des "sensiblen Datums" ist daher, nicht nur mit Blick auf die besonderen Verarbeitungsgrundsätze in Art. 9 DSGVO, angezeigt.
Rz. 29
Nach dem Willen des europäischen Gesetzgebers verdienen "personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können." Unter die Kategorie der sensiblen Daten sollen in diesem Sinne personenbezogenen Daten fallen, aus denen die rassische oder ethnische Herkunft hervorgeht; ebenso die in Art. 4 DSGVO näher definierten genetischen Daten (Art. 4 Nr. 13 DSGVO), biometrischen Daten (Art. 4 Nr. 14 DSGVO) sowie Gesundheitsdaten (Art. 4 Nr. 15 DSGVO). Zu letzteren sollen
Zitat
"alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Dazu gehören auch Informationen über die natürliche Person, die im Zuge der Anmeldung für sowie der Erbringung von Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates für die natürliche Person erhoben werden, Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden, und Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem Angehörigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen."
Rz. 30
Mit diesem weitreichenden Verständnis setzt der europäische Gesetzgeber Vorgaben des EuGH um, der den Begriff der Gesundheit extensiv dahin ausgelegt, dass dieser alle Informationen erfasst, welche die Gesundheit – körperlich wie auch psychisch – betreffen. Art. 9 Abs. 1 DSGVO nennt des Weiteren solche Daten, aus denen "politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie Daten zum Sexualleben oder der sexuellen Orientierung."
Rz. 31
Die Aufzählung in Art. 9 Abs. 1 DSGVO scheint abschließend, hier ist gerade nicht von beispielhaften Aufzählungen (auf Formulierungen wie "insbesondere" o.ä wird verzichtet). Der deutsche Gesetzgeber hat in diesem Sinne bislang z.B. auch philosophische Überzeugungen“ als vom Schutzbereich des "sensiblen Datums" umfasst angesehen. Eine derartige Erweiterung des Begriffsverständnisses des "sensiblen Datums" ist mit Inkrafttreten der DSGVO auf nationaler Ebene nicht mehr zulässig. Zwar bietet die Verordnung den Mitgliedstaaten auch im Zusammenhang mit der Verarbeitung besonderer Kategorien von personenbezogenen Daten einen gewissen Spielraum für die Spezifizierung ihrer Vorschriften. Die vorgesehene Bereichsausnahme beschränkt sich indes auf die Befugnis, Rechtsvorschriften zu erlassen, in denen die Umstände der Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten, einschließlich einer genaueren Bestimmung der Voraussetzungen, unter denen ihre Verarbeitung rechtmäßig ist, zu erlassen. Eine Befugnis zur "Definitionserweiterung" in Bezug auf den Begriff des "sensiblen Datums" (der besonderen Kategorien personenbezogener Daten) ist damit gerade nicht verbunden.
Rz. 32
Hiervon zu unterscheiden ist die inhaltliche Ausgestaltung der vorgegebenen Begriffe. Die Sensibilität derartiger Einzelangaben über eine natürliche Person rechtfertigt grundsätzlich den besonderen Schutz dieser Daten vor unbefugtem Umgang unabhängig davon, wie sensitiv das betreffende Datum in seiner konkreten Ausprägung tatsächlich oder nach allgemeiner Auffassung in der Gesellschaft ist. Dies gebietet in der Regel ein weites Verständnis der in Art. 4 und Art. 9 DSGVO enthaltenen Tatbestandsmerkmale. So kann bspw. ein Bestelldatum, welches grundsätzlich als "normales" Datum eingestuft werden muss, u.U. in Kombination mit dem Anbieter, bei dem bestellt worden ist, zu einem "sensiblen Datum" über die sexuelle Orientierung werden. Man denke hier ...