Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO

II. Allgemeines zur DSGVO

Die DSGVO trat nach einem politischen Prozess in Kraft, der fast zehn Jahre andauerte. Aus der DSRL mit 24 Artikeln und 72 Erwägungsgründen wurde eine Verordnung mit einem Umfang von 99 Artikeln und 173 Erwägungsgründen.69 Bereits vor ihrer Anwendbarkeit wurde sie die „größte Katastrophe des 21. Jahrhunderts“70 genannt oder als „Meilenstein und wichtiges Signal“71 bezeichnet.72 Ob sie sich als Jahrhundertwerk oder als gescheiterter Versuch herausstellt, bleibt abzuwarten, obwohl weder das eine noch das andere Extrem zu erwarten ist. Als Ergebnis von Kompromissen und Lobbyismus, liegt es doch – wie auch unter der DSRL – an den Mitgliedstaaten, die auf europäischer Ebene gemeinsam ausverhandelten, textgewordenen Vorsätze in die Praxis umzusetzen.

1. Entwicklung und Ziele der DSGVO

Bevor die DSGVO am 27. April 2016 in Kraft trat, war sie Gegenstand zahlreicher Verhandlungen und mehrerer Entwürfe. Das Streben nach einer umfassenden Überarbeitung des Rechtsrahmens für den Datenschutz lässt sich bis in das Jahr 2009 zurückverfolgen.73 Der Prozess zur Fortentwicklung der DSRL wurde bereits im Mai 2009 mit einer öffentlichen Konsultation durch die EU-Kommission eingeläutet.74 Es folgte unter anderem eine vergleichende Studie dazu, ob die DSRL weiterhin einen angemessenen Schutz personenbezogener Daten gewährleisten konnte, oder ob Änderungen erforderlich seien.75 Ziel war es, herauszufinden, ob die europäischen datenschutzrechtlichen Regelungen im Lichte der Digitalisierung, Technisierung und globalen Datenverarbeitungen einer Überarbeitung bedurften.76 Die Überarbeitung des Rechtsrahmens für Datenschutz war Teil des Stockholmer Programms für den Zeitraum 2010 bis 2014, das vom Europäischen Rat im Sommer 2009 gebilligt wurde.77

Die Untersuchungen der EU-Kommission mündeten Ende 2010 in die Mitteilung „Gesamtkonzept für den Datenschutz in der Europäischen Union“, in der Änderungsvorschläge der Datenschutzvorschriften angekündigt wurden.78 Nach Diskussionen und Studien zum Gesamtkonzept unterbreitete die EU-Kommission Ende 2012 ihren Vorschlag für eine neue Vorschrift, die „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“.79 Diese Verordnung sollte einen allgemeinen Rahmen für den Datenschutz in der EU schaffen.80 Gelingen sollte dies über das Instrument einer Verordnung, welche der Anwendung unterschiedlicher nationaler Datenschutzgesetze ein Ende setzen sollte.81 Die EU-Kommission verfolgte den Plan, das Gesetzgebungsverfahren hierfür bis Ende 2012 abzuschließen.82 Doch nie zuvor war ein Gesetzesvorhaben mit so vielen Änderungswünschen versehen und so breit debattiert.83 Das Verfahren nahm somit über vier Jahre Zeit in Anspruch, bis der Vorschlag der EU-Kommission in wesentlichen Punkten geändert wurde und die DSGVO in ihrer heutigen Fassung am 27. April 2016 angenommen wurde.84 Seit dem 25. Mai 2018 ist sie unmittelbar in allen Mitgliedstaaten anwendbar.85

2. Öffnungsklauseln als Besonderheit der DSGVO

Die Betitelung der DSGVO als Grundverordnung – wenn auch nur in der sog. „Kurzangabe des Gegenstands“86 – ist ein Novum. In der Datenbank der EU-Kommission ist keine vergleichbare Bezeichnung eines EU-Rechtsakts zu finden.87 Ursprünglich sollten zentrale Bestimmungen zwar dem Grunde nach in der Verordnung verankert werden, zusätzlich wollte die EU-Kommission jedoch über delegierte Rechts- und Durchführungsakte Konkretisierungen vornehmen.88 Die Bezeichnung als Grundverordnung ist angesichts der ca. 70 Öffnungsklauseln89 mit Spielräumen für nationale Gesetzgeber allerdings nach wie vor treffend und beschreibt die Verwässerung des typischen Verordnungscharakters.90

In ihrer Begründung führt die Europäische Kommission hierzu aus, dass die Verordnung zur Regelung des Datenschutzes in der EU am besten geeignet sei, da sie zur Rechtsvereinheitlichung beitrage, die Rechtssicherheit erhöhen und einen besseren Grundrechtsschutz bewirken werde.91 Hinsichtlich der Wahrung der Subsidiarität (vgl. Art. 5 Abs. 3 EUV) kam die EU-Kommission zum Ergebnis, dass die Mitgliedstaaten nicht allein in der Lage seien, die Ziele der Union zu verwirklichen.92

Die umfassende Rechteeinräumung im ursprünglichen Entwurf der EU-Kommission über delegierte Rechts- und Durchführungsakte führte hingegen zu Kritik mit Blick auf das Subsidiaritätsprinzip.93 Der deutsche Bundesrat erhob am 30. März 2012 eine Subsidiaritätsrüge, da er der Ansicht war, dass keine ausreichende Begründung für die Wahl der Verordnung vorliege.94 Auch die Bundesregierung wandte in ihrem zweiten Gesetzentwurf zur Anpassung des Datenschutzrechts an die DSGVO ein, dass in den Erwägungsgründen der DSGVO zwar das Ziel einer Vollharmonisierung enthalten sei, die DSGVO dieses Ziel jedoch nicht „vollumfänglich“ erreiche und stattessen einer Richtlinie gleiche.95

Die Fülle an Öffnungsklauseln ist zwar eine Besonderheit, die das Ringen um die Wahrung der Subsidiarität verdeutlicht.96 Allerdings gibt es ähnliche Aufforderungen zum legislativen Tätigwerden an die Mitgliedstaaten auch in anderen europäischen Verordnungen.97 Die Harmonisierungswirkung der DSGVO kann aber durch den Gestaltungsspielraum, den einige Öffnungsklauseln den Mitgliedstaaten bieten, beeinträchtigt werden.98 Zahlreiche Öffnungsklauseln, die in der DSGVO enthalten sind, erhielten einige Aufmerksamkeit sowohl von der Lehre als auch in der Praxis.99 In der rechtswissenschaftliche Lehre gibt es mehrere Versuche, Wirkung, Natur, Inhalt oder weitere Merkmale von Öffnungsklauseln zu systematisieren.100 Die treffendste Differenzierung ist die Unterscheidung zwischen fakultativen und obligatorischen Öffnungsklauseln.101

a) Obligatorische und Fakultative Öffnungsklauseln

Die in der DSGVO enthaltenen Öffnungsklauseln sehen „Regelungsgebote oder -optionen“ vor.102 Obligatorische Öffnungsklauseln dienen dazu, die Regelungen und Wirkung einer Verordnung institutionell zu ermöglichen, bspw. durch Einrichtung von Behörden, Zuweisen von Zuständigkeiten oder Vorgaben zur Kooperation.103 Ein Beispiel für eine obligatorisch auszufüllende Öffnungsklausel ist Art. 54 DSGVO, wonach jeder Mitgliedstaat die erforderlichen Vorschriften einführen muss, um eine Aufsichtsbehörde zu errichten und ihr die notwendigen Ressourcen zuzuteilen.104 Andererseits sind fakultative Öffnungsklauseln nicht notwendigerweise durch die Mitgliedstaaten auszufüllen, da die Verordnung selbst schon eine Regelung vorgibt. Allerdings haben die Mitgliedstaaten die Möglichkeit, von der grundsätzlichen Vorgabe abzuweichen.105 So sieht bspw. Art. 8 Abs. 1 Satz 3 DSGVO vor, dass die Mitgliedstaaten von der Altersgrenze für Einwilligungen eines Kindes (sechzehn Jahre) durch eine Altersabsetzung abweichen dürfen.106

b) Allgemeine und spezifische Öffnungsklauseln

Eine weitere Ausdifferenzierung von Öffnungsklauseln lässt sich danach vornehmen, ob diese eine Mehrzahl an Abweichungsmöglichkeiten bietet, ohne dass eine Themenbeschränkung erfolgt (allgemeine Öffnungsklausel) oder ob die Öffnungsklausel nur einen sehr beschränkten Bereich betrifft, in dem inhaltlich geringfügige Unterschiede ermöglicht werden (spezifische Öffnungsklausel).107 Unter allgemeine Öffnungsklauseln können bspw. Art. 23 DSGVO oder Art. 85 DSGVO subsumiert werden, die Mitgliedstaaten erheblichen Freiraum in ihrer nationalen Ausgestaltung lassen.108 Eine spezifische Öffnungsklausel stellt auch Art. 87 DSGVO dar, wonach in dem speziellen Bereich von nationalen Kennziffern oder Kennzeichen eine konkretere Ausgestaltung durch Mitgliedstaaten erlaubt ist.109 Teilweise wird allerdings auch eine Aufteilung und Zuordnung von Öffnungsklauseln nach deren Gegenstand und Inhalt vorgeschlagen.110

c) Unterscheidung von Öffnungsklauseln anhand ihrer Funktionen

Zusätzlich kann eine weitere Differenzierung von Öffnungsklauseln nach ihren Funktionen festgestellt werden, je nachdem, ob sie eine mitgliedstaatliche Konkretisierung, Ergänzung oder Modifikation zulassen.111 Hierbei finden Überschneidungen mit den oben genannten Kategorien statt. So kann bspw. das Festsetzen der Altersgrenze nach Art. 8 DSGVO eine mitgliedstaatliche Konkretisierung sein. Ähnlich können die mitgliedstaatlichen Rechtsvorschriften im Rahmen des Art. 88 DSGVO zum Beschäftigtendatenschutz gegenüber den generellen Vorgaben der DSGVO konkretisierend wirken, obwohl diese Konkretisierungen fakultativ sind.112 Ein weiteres Beispiel stellt Art. 9 Abs. 4 DSGVO dar, wonach die Mitgliedstaaten eine fakultative Ergänzung bzw. Modifikation bei der Verarbeitung von dort genannten besonders sensiblen Daten vornehmen können.113

d) Interpretationsansätze zu den europäischen Öffnungsklauseln

Als Sekundärrechtsakt der EU ist die DSGVO im Einklang mit dem Unionsprimärrecht, also unter anderem im Lichte der Grundrechte und Grundfreiheiten auszulegen.114 Auch nationales Recht, das Gestaltungsspielräume der DSGVO ausgestaltet, ist im Einklang mit dem Unionsrecht umzusetzen und zu interpretieren.115 Im Rahmen der autonomen Interpretation von Öffnungsklauseln ist jeweils festzustellen, ob eine solche restriktiv oder weit auszulegen ist.

aa) Autonome Interpretation von Öffnungsklauseln

Abschließende Unionsrechtsakte nehmen den Mitgliedstaaten die Regelungszuständigkeit, soweit und sofern nicht der Unionsakt den Mitgliedstaaten ausdrücklich eine Reglungsoption, Ergänzungsmöglichkeit oder einen Ausgestaltungsspielraum einräumt und somit nationale Abweichungen rechtfertigt.116

Hinsichtlich der Öffnungsklauseln nimmt die EU – im Rahmen ihrer Kompetenzen – ihre Rechtssetzungsmacht aus Art. 16 Abs. 2 AEUV zurück, um in bestimmten Bereichen neben den Regelungen der DSGVO mitgliedstaatliche Regelungen im Datenschutz zuzulassen.117 Die Öffnungsklauseln bedeuten einen Kompromiss zwischen EU-Institutionen und zahlreichen unterschiedlichen Interessen von Mitgliedstaaten.118

Reichweite, Inhalt und Umfang der Öffnungsklauseln lassen sich nur aus dem Unionsrecht selbst ermitteln, nach welchem der EU Kompetenzen für sich und die Mitgliedstaaten zugeordnet sind.119 Öffnungsklauseln sind daher autonom zu interpretieren.120 In der Regel ist bei der Auslegung von Sekundärrecht vom Wortlaut auszugehen, der auch die Grenze der Wortlautauslegung darstellt.121 Die Methoden der grammatikalischen, historischen, systematischen und teleologischen Auslegung sind dabei zu berücksichtigen, außerdem erfolgt eine Gewichtung im konkreten Einzelfall.122

bb) Restriktive oder weite Interpretation

Ob Öffnungsklauseln restriktiv oder weit zu interpretieren sind, ist umstritten.123 Müller unterscheidet danach, um welche Art von Öffnungsklausel es sich handelt.124 Verstärkungs- und Gestaltungsklauseln sind auf eine Verbesserung des hohen Datenschutzniveaus gerichtet; eine enge Auslegung würde diesem Ziel entgegenstehen und scheint daher nicht in jedem Fall sachgerecht.125

Für eine restriktive Auslegung spricht, dass die DSGVO das Ziel der datenschutzrechtlichen Vollharmonisierung mit Öffnungsklauseln kaum erreichen kann und im Verhältnis zu wachsenden nationalen Spielräumen immer weniger erreichen wird.126 Für eine restriktive Interpretation spricht ferner der Wortlaut des Erwägungsgrundes 8 der DSGVO, in dem ausdrücklich von „Präzisierungen oder Einschränkungen“ die Rede ist. Die Öffnungsklauseln sollen diesen Funktionen dienen, sodass die Annahme, dass sie keine Erweiterungen zulassen und restriktiv auszulegen sind, überzeugend ist.

Gegenargumente lassen sich aber auch unmittelbar der DSGVO entnehmen. So fordert die DSGVO über ihre Öffnungsklauseln die Mitgliedstaaten teilweise sogar dazu auf, Rechtsgrundlagen für eine rechtmäßige Verarbeitung zu schaffen – anstatt sie selbst vorzugeben.127 Dabei ist es aber fraglich, ob eine eigenständige Rechtsgrundlage statt als „präzisierende Erweiterung“ vielmehr als vollständige Erweiterung zu verstehen sein kann. Zumindest quantitativ betrachtet ist eine Rechtsgrundlage eine Form der Erweiterung. Ob auch inhaltlich eine Erweiterung vorliegt, muss jeweils eigenständig betrachtet werden.128

Die überzeugenderen Argumente sprechen dafür, dass die Weite einer Öffnungsklausel eigenständig beurteilt werden muss. Im Grunde ist aber jede Abweichung oder Ausnahme, die in der DSGVO vorgesehen ist, eng auszulegen.129

e) Ausgewählte Öffnungsklauseln

Die DSGVO sieht einige Öffnungsklauseln vor, die unter anderem speziell den Gesundheitsbereich in einzelnen Mitliedstaaten betreffen können.130 Hierzu gehören insbesondere Öffnungsklauseln in Art. 6, 9 und 89 DSGVO.

aa) Öffnungsklauseln in Art. 6 DSGVO
(1) Verarbeitung zur Erfüllung rechtlicher Verpflichtungen oder zur Wahrnehmung öffentlicher Aufgaben

Nach Art. 6 Abs. 1 Satz 1 lit. c DSGVO kann eine Verarbeitung rechtmäßig sein, wenn der Verantwortliche sie zur Erfüllung einer rechtlichen Verpflichtung vornimmt. Nach Art. 6 Abs. 1 Satz 1 lit. e DSGVO ist eine Verarbeitung rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. In beiden Fällen kann die jeweilige Rechtsgrundlage nicht für sich stehen, sondern es bedarf des Rückgriffs auf eine mitgliedstaatliche Regelung, die die jeweilige Verarbeitungstätigkeit erforderlich macht.131

Für sich genommen bieten die Rechtsgrundlagen dem Wortlaut nach einen sehr großen Spielraum für die Mitgliedstaaten.132 Die Besonderheit des Datenschutzrechts, das als sog. Querschnittsmaterie alle Bereiche der Gesetzeslandschaft berührt, in der personenbezogene Daten eine Rolle spielen, wird dadurch berücksichtigt.133 Die beiden Vorschriften werden jedoch durch Art. 6 Abs. 3 DSGVO flankiert.134 Dort wird auch gefordert (vgl. Satz 2), dass der Zweck der Verarbeitung in der jeweiligen nationalen Rechtsgrundlage festgelegt sein muss. Im Gesundheitsbereich werden diese Öffnungsklauseln beispielsweise in typischen Behandlungssituationen relevant, allerdings auch im Bereich der Notfallmedizin und der öffentlichen Gesundheit (vgl. § 22 Abs. 1 Nr. 1 lit. b und lit. c BDSG).

(2) Ausnahme vom Grundsatz der Zweckbindung

Nach Art. 6 Abs. 4 DSGVO besteht die Möglichkeit, personenbezogene Daten, die zu einem bestimmten Zweck erhoben wurden, zu einem „anderen Zweck“ weiterzuverarbeiten.135 Voraussetzung ist, dass der Verantwortliche anhand eines Kriterienkatalogs (Art. 6. Abs. 4 lit. a–e DSGVO)136 prüft, ob die Verarbeitung zu dem neuen Zweck mit dem ursprünglichen Zweck zu vereinbaren ist.

In zwei geregelten Situationen muss dieser Kompatibilitätstest nicht durchgeführt werden, nämlich (1) wenn für die Zweckänderung eine Einwilligung eingeholt wurde137 oder (2) wenn die Zweckänderung auf einer Rechtsvorschrift der EU oder der Mitgliedstaaten beruht, „die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt“.138 Dies wird auch durch Erwägungsgrund 50 Satz 7 DSGVO bestätigt, wonach eine Weiterverarbeitung zu anderen Zwecken möglich ist, sofern eine Einwilligung hierfür vorliegt oder mit einer Rechtsvorschrift der Union oder der Mitgliedstaaten insbesondere wichtiger Ziele des allgemeinen öffentlichen Interesses verfolgt werden.139

Somit enthält Art. 6 Abs. 4 DSGVO eine Öffnungsklausel, die die Mitgliedstaaten ausgestalten dürfen, um zweckverändernde Weiterverarbeitungen zu ermöglichen.140 Deutschland hat von dieser Öffnungsklausel in § 23 BDSG für öffentliche Stellen und in § 24 BDSG für private Stellen Gebrauch gemacht.141 Sowohl § 23 als auch § 24 BDSG ordnen in ihren Absätzen 2 hinsichtlich besonderer Kategorien personenbezogener Daten (wortgleich) an, dass für eine Weiterverarbeitung dieser Daten jeweils die Voraussetzungen der Absätze 1 dieser Normen einzuhalten sind und dass zusätzlich jeweils ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO oder § 22 BDSG vorliegen muss.142 Auf die Möglichkeit einer Zweckveränderung bei Einwilligungen wird im Hauptteil näher eingegangen.143

bb) Öffnungsklauseln in Art. 9 DSGVO
(1) Grenzen der Einwilligung in die Verarbeitung sensibler Daten

In Art. 9 Abs. 2 lit. a DSGVO wird eine Rückausnahme definiert, die Mitgliedstaaten fakultativ ausgestalten können, um eine Datenverarbeitung aufgrund einer Einwilligung zu untersagen.144 In bestimmten, von den Mitgliedstaaten vorgegebenen Situationen kann daher selbst eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO nicht dazu führen, dass die Verarbeitung personenbezogener Daten rechtmäßig ist.145 Nach Rogosch, die die Rechtslage unter der DSRL untersucht hat, sollte der vollständige Ausschluss der Einwilligung für bestimmte Bereiche aus „verfassungs- und europarechtlichen Gründen“ nicht zulässig sein.146 Fraglich ist, ob in der Möglichkeit, die Einwilligung auszuschließen, auch eine Möglichkeit besteht, die inhaltlichen Anforderungen an die Einwilligung anzupassen.147 Der Wortlaut gibt es nicht ausdrücklich her.148 Systematisch gesehen werden die Anforderungen an die Einwilligung auch in Art. 4 Nr. 11 und Art. 7 DSGVO geregelt. Art. 9 Abs. 2 lit. a DSGVO enthält bloß ein zusätzliches Kriterium der Ausdrücklichkeit.149

Die Systematik und eine Zusammenschau mit Art. 9 Abs. 4 DSGVO – der eine weitergehende Modifikation zumindest vom Wortlaut her ermöglicht – lassen einerseits den Schluss zu, dass der europäische Gesetzgeber in Art. 9 Abs. 2 lit. a DSGVO keinen Modifikationsspielraum eröffnen wollte.150 Andererseits kann die Rückausnahme auch so verstanden werden, dass den Mitgliedstaaten ein weiter Regelungsspielraum für die Einwilligung bei sensiblen Daten gelassen werden sollte, welche sich aus einem Minus (a maiore ad minus) des insgesamt weitreichenden Gestaltungsspielraums ergibt.151 Die Systematik zu Art. 9 Abs. 4 DSGVO kann auch dahingehend verstanden werden, dass zumindest für die dort genannten sensiblen Daten mitgliedstaatliche Bedingungen und Beschränkungen eingeführt werden können.152 In dem Fall könnten auch für die Rückausnahme nach Art. 9 Abs. 2 Konkretisierungen zulässig sein.

(2) Verarbeitung sensibler Daten im Arbeitsrecht, Recht der sozialen Sicherheit, Sozialschutz

Nach Art. 9 Abs. 2 lit. b DSGVO gilt das Verarbeitungsverbot für sensible Daten nicht, wenn die Verarbeitung für den Verantwortlichen erforderlich ist, um aus dem Arbeitsrecht oder Recht der sozialen Sicherheit und des Sozialschutzes erwachsende Rechte auszuüben und entsprechenden Pflichten nachzukommen. Diese Rechte und Pflichten müssen dem Recht der Mitgliedstaaten oder in einer Kollektivvereinbarung dem Recht der Mitgliedstaaten erwachsen.153 Der Gesundheitsbereich kann von dieser Öffnungsklausel sowohl in klassischen Verarbeitungssituationen mit Beschäftigtenkontext betroffen sein, beispielsweise, wenn Erkrankungen dokumentiert werden, als auch in innovativen Arbeitsumfeldern, wenn Beschäftigte die Möglichkeit haben, „Wearables“ (Computertechnologien, die am Körper getragen werden)154 einzusetzen, um ihre Körperwerte zu dokumentieren.155

(3) Verarbeitung sensibler Daten zu Zwecken der<unk/>Gesundheitsvorsorge und Arbeitsmedizin

Eine Verarbeitung ist nach Art. 9 Abs. 2 lit. h DSGVO unter anderem zulässig, wenn sie für die Behandlung im Gesundheitsbereich oder für die Verwaltung von Systemen und Diensten im Gesundheitsbereich auf der Grundlage des Unionsrechts oder eines mitgliedstaatlichen Rechts oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich ist.156 Mit dieser bereichsspezifischen Norm wird berücksichtigt, dass gerade im Gesundheitsbereich und bei der Behandlung von Individuen in erheblichem Ausmaß sensible personenbezogene Daten verarbeitet werden müssen.157 Die Vorschrift berücksichtigt dabei nicht nur Verarbeitungen zur Vorsorge, Behandlung und Nachsorge, sondern auch die infrastrukturelle Dimension der Verwaltung und Dienste im Gesundheitsbereich.158

Eine Maßnahme zum Schutz dieser sensiblen Daten wird unmittelbar über Art. 9 Abs. 3 DSGVO ergänzt, der direkt auf die in Art. 9 Abs. 2 lit. h DSGVO genannten Daten Bezug nimmt.159 Die Verarbeitung steht unter der personellen Einschränkung, dass Fachpersonal oder Personen unter der Verantwortung von Fachpersonal tätig werden, welche einem Berufsgeheimnis oder einer Geheimhaltungspflicht unterliegen.160

Nachdem es aufgrund von Art. 9 Abs. 4 DSGVO zulässig ist, die hinsichtlich genetischer, biometrischer Daten oder Gesundheitsdaten zusätzliche Bedingungen und Beschränkungen einzuführen, haben Mitgliedstaaten faktisch einen erheblichen Freiraum für eigene Regelungen im Bereich der Gesundheit.161 Dies deutet auch darauf hin, dass eine Vollharmonisierung im Bereich der besonderen Kategorien personenbezogener Daten gescheitert ist.162