Praxishandbuch DSGVO

c) Voraussetzungen für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 2 DSGVO)

174

Die für die Unternehmenspraxis wichtigsten Fälle, in denen gem. Art. 9 Abs. 2 DSGVO das in Art. 9 Abs. 1 DSGVO normierte Verbot der Verarbeitung besonderer Kategorien nicht gilt, werden im Folgenden erläutert:

aa) Einwilligung (Art. 9 Abs. 2 lit. a DSGVO)

175

Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt. Eine solche Einwilligung muss zunächst sämtliche in Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a und Art. 7 DSGVO genannten Anforderungen erfüllen.254 Zudem muss die Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO „ausdrücklich“ erfolgen. Demzufolge ist eine konkludente Einwilligung in diesem Zusammenhang ausgeschlossen. Außerdem muss die betroffene Person darüber informiert werden, dass (auch) „sensible“ Daten verarbeitet werden. Hierbei empfiehlt es sich zur besseren Verständlichkeit für die betroffene Person, keine juristisch abstrakten Begriffe, wie z.B. „besondere Kategorien personenbezogener Daten“ zu verwenden, sondern die konkret verarbeiteten Kategorien zu beschreiben, z.B. „Daten über Ihre Gesundheit“. Schließlich muss sich die Zustimmung der betroffenen Person zur Verarbeitung ihrer Daten im Rahmen der Einwilligung gerade auch/eindeutig auf die Verarbeitung der „sensiblen“ Daten beziehen.255

176

Allerdings erlaubt Art. 9 Abs. 2 lit. a DSGVO den Mitgliedstaaten, Bereiche/Situationen festzulegen, in denen die betroffene Person nicht wirksam in die Verarbeitung ihrer Daten einwilligen darf, z.B. um sie vor „Drucksituationen“ zu schützen. In diesem Fall kann eine Datenverarbeitung dann nur auf die anderen in Art. 9 Abs. 2 DSGVO enthaltenen Alternativen gestützt werden.256

bb) Beschäftigungs- und Sozialschutzkontext (Art. 9 Abs. 2 lit. b DSGVO)

177

Des Weiteren ist die Verarbeitung von besonderen Kategorien personenbezogener Daten gem. Art. 9 Abs. 2 DSGVO in lit. b nicht untersagt, wenn sie erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann. Voraussetzung hierfür ist, dass die Verarbeitung nach dem EU-Recht, dem Recht des jeweiligen Mitgliedstaates oder einer Kollektivvereinbarung – wozu gem. Erwägungsgrund 155 DSGVO auch Betriebsvereinbarungen gehören – nach dem Recht des jeweiligen Mitgliedstaates, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist.257

Nationale Regelungen in Deutschland

1. § 26 Abs. 3 und 4 BDSG: Verarbeitung „sensibler“ Daten für Zwecke des Beschäftigungsverhältnisses

178

Der deutsche Gesetzgeber hat von dieser Möglichkeit Gebrauch gemacht und in § 26 Abs. 3 und 4 BDSG die Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO für Zwecke des Beschäftigungsverhältnisses speziell geregelt.258

2. Sozialgesetzbücher

178a

Zudem hat der deutsche Gesetzgeber von der Öffnungklausel im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten im Bereich des Rechts der sozialen Sicherheit und des Sozialschutzes Gebrauch gemacht. So finden sich insoweit viele spezielle an Art. 9 Abs. 2 lit. b DSGVO anknüpfende Vorschriften in den Sozialgesetzbüchern.259

3. § 22 Abs. 1 Nr. 1 lit. a BDSG: Verarbeitung „sensibler“ Daten im Kontext des Rechts der sozialen Sicherheit und des Sozialschutzes

179

Des Weiteren erlaubt § 22 Abs. 1 Nr. 1 lit. a BDSG die Verarbeitung dieser sensiblen Daten durch öffentliche und nicht-öffentliche Stellen, soweit sie erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben und den diesbezüglichen Pflichten nachzukommen. Voraussetzung hierfür ist allerdings, dass der Verantwortliche nach Maßgabe von § 22 Abs. 2 BDSG angemessene und spezifische (technische und organisatorische) Maßnahmen zur Wahrung der Interessen der betroffenen Person getroffen hat. § 22 Abs. 2 S. 2 BDSG enthält in diesem Zusammenhang eine beispielhafte Aufzählung von möglichen Maßnahmen, wie z.B. die an den Verarbeitungsvorgängen Beteiligten zu sensibilisieren, technische und organisatorische Sicherheitsmaßnahmen zu implementieren und die Daten zu pseudonymisieren oder zu verschlüsseln.260 Bei § 22 Abs. 1 Nr. 1 lit. a BDSG handelt es sich wohl um eine (sehr allgemein formulierte) Auffangnorm. So gehen nach § 1 Abs. 2 BDSG andere Rechtsvorschriften des Bundes über den Datenschutz dem BDSG vor, so z.B. auch die datenschutzrechtlichen Regelungen im SGB, die wohl den größten Teil der Datenverarbeitungen in diesem Bereich regeln.

180

In der datenschutzrechtlichen Literatur ist zudem umstritten, ob die Norm überhaupt bestimmt genug und damit europarechtskonform ist und Datenverarbeitungen auf sie gestützt werden können oder nicht. So gibt sie im Kern nur den Wortlaut von Art. 9 Abs. 2 lit. b DSGVO wieder, gibt aber z.B. selbst keine (speziellen, konkreten) zulässigen Verarbeitungszwecke in dem von Art. 9 Abs. 2 lit. b DSGVO eröffneten Rahmen vor.261 Andererseits wird vertreten, dass die (bloße) Wiederholung von Regelungen der DSGVO vorliegend vor dem Hintergrund des Erwägungsgrundes 8 zulässig sei.262 Demnach dürfen Mitgliedstaaten, wenn in der DSGVO Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, Teile der DSGVO in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen. Auch eine weitere Konkretisierung der Verarbeitungszwecke ist nach Ansicht einiger Autoren nicht erforderlich.263

181

Unternehmen ist vor diesem Hintergrund zu empfehlen, genau zu prüfen, ob eine geplante Datenverarbeitung eventuell auch auf eine andere Rechtsgrundlage gestützt werden kann. Ist dies nicht der Fall, sollten Unternehmen Datenverarbeitungen, die eine gewisse Relevanz aufweisen und auf diese Rechtsgrundlage gestützt werden sollen, – wenn möglich und praktisch durchführbar – mit den zuständigen Datenschutzaufsichtsbehörden abstimmen und in jedem Fall prüfen, ob in der Zwischenzeit relevante Rechtsprechung oder Hinweise der Datenschutzaufsichtsbehörden hierzu ergangen sind. Endgültige Klarheit wird in diesem Fall wahrscheinlich erst eine Entscheidung des EuGH bringen können.

cc) Offenkundig öffentliche Daten (Art. 9 Abs. 2 lit. e DSGVO)

182

Nach Art. 9 Abs. 2 lit. e DSGVO ist es nicht untersagt, besondere Kategorien personenbezogener Daten zu verarbeiten, die die betroffene Person offensichtlich öffentlich gemacht hat. Hiervon sind Daten umfasst, die entweder von der betroffenen Person selbst freiwillig öffentlich zugänglich gemacht wurden oder bei denen dies zumindest von ihr freiwillig veranlasst oder freiwillig bewusst akzeptiert wurde.264 In diesem Fall bedürfen diese Daten nach der gesetzgeberischen Wertung keines besonderen Schutzes mehr. Kann nur ein Teil der Öffentlichkeit auf die Daten zugreifen, z.B. im Rahmen einer geschlossenen Benutzergruppe, sind die Voraussetzungen des Art. 9 Abs. 2 lit. e DSGVO hingegen nicht erfüllt.265

dd) Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte (Art. 9 Abs. 2 lit. f DSGVO)

183

Nach Art. 9 Abs. 2 lit. f DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten nicht verboten, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist.266 In diesem Zusammenhang ist es nach Erwägungsgrund 52 unerheblich, ob die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen in einem Gerichtsverfahren, in einem Verwaltungsverfahren oder in einem außergerichtlichen Verfahren erfolgt. Zudem ist es unerheblich, ob der Verantwortliche Gläubiger oder Schuldner des Rechtsanspruchs ist.267

184

Auch wenn Vorschriften über die Verarbeitung „sensibler“ Daten grundsätzlich restriktiv auszulegen sind, erlaubt Art. 9 Abs. 2 lit. f DSGVO nach hier vertretener Auffassung auch die Verarbeitung besonderer Kategorien personenbezogener Daten zur Prüfung und Vorbereitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Diese Phasen sind der Geltendmachung, Ausübung oder Verteidigung notwendigerweise vorgelagert. Wäre die Datenverarbeitung zu diesen Zwecken nicht erlaubt, wäre Art. 9 Abs. 2 lit. f DSGVO faktisch gegenstandslos. Vor diesem Hintergrund erlaubt Art. 9 Abs. 2 lit. f DSGVO nach hier vertretener Ansicht außerdem die Verarbeitung solcher Daten zu Zwecken der Begründung des jeweiligen Anspruchs.268

185

Auch bei der Datenverarbeitung zur Verteidigung gegen Rechtsansprüche ist es nach hier vertretener Auffassung nicht erforderlich, dass bereits eine Auseinandersetzung stattfindet, für die die Daten benötigt werden. Vielmehr ist es ausreichend, wenn es hinreichend wahrscheinlich ist, dass eine solche stattfindet.

Praxishinweis

Soweit sich Unternehmen auf die hier vertretene, (etwas) weitergehende Auslegung von Art. 9 Abs. 2 lit. f DSGVO berufen möchten, ist etwas Vorsicht geboten, da die Verarbeitung zu diesen Zwecken nicht ausdrücklich in Art. 9 Abs. 2 lit. f DSGVO geregelt wird und sich hierzu – soweit ersichtlich – auch noch keine gefestigte (befürwortende) Ansicht in der Literatur gebildet hat.

ee) Erlaubnis durch das Recht der Union oder des Mitgliedstaates aus Gründen eines erheblichen öffentlichen Interesses (Art. 9 Abs. 2 lit. g DSGVO)

186

Art. 9 Abs. 2 lit. g DSGVO enthält eine Öffnungsklausel. Demnach gilt das Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten nicht, wenn die Verarbeitung auf der Grundlage des EU-Rechts oder des Rechts eines Mitgliedstaates, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist.269

186a

Nach Auffassung des EuGH kann sich ein solches öffentliches Interesse – zumindest bei der Verarbeitung von Daten durch Suchmaschinenbetreiber – auch aus Art. 11 GRCh (bzgl. des Zugangs von Nutzern zu Informationen) ergeben und zur Rechtmäßigkeit einer solchen Datenverarbeitung durch den Suchmaschinenbetreiber führen – und das (infolge einer „primärrechtskonformen Auslegung“)270 wohl auch dann, wenn die übrigen Zulässigkeitsvoraussetzungen, wie z.B. des Art. 10 DSGVO oder aus Art. 5 Abs. 1 lit. c–e DSGVO, nicht erfüllt sind.271 Gerade infolge dieser Entscheidung kann Art. 9 Abs. 2 lit. g DSGVO für die Verarbeitung besonderer Kategorien personenbezogener Daten durch Suchmaschinenbetreiber eine wichtige Rolle spielen. Außerdem kann die Argumentation des EuGH ggf. auch auf andere Verarbeitungssituationen übertragbar sein, wie z.B. die Verarbeitung personenbezogener Daten im Rahmen bestimmter Websites, insb. mit journalistischem Inhalt.272 Darüber hinaus bleibt es abzuwarten, ob sich ein solches öffentliches Interesse z.B. auch aus anderen Grundrechten nach der GRCh ergeben und Art. 9 Abs. 2 lit. g DSGVO dann ggf. auch Datenverarbeitungen in einem solchen Zusammenhang rechtfertigen kann.273

Nationale Regelungen in Deutschland

§ 22 Abs. 1 Nr. 1 lit. d BDSG: Verarbeitung „sensibler“ Daten aus Gründen eines erheblichen öffentlichen Interesses

187

Der deutsche Gesetzgeber hat im Rahmen des 2. DSAnpUG EU von dieser Ermächtigung Gebrauch gemacht und in § 22 Abs. 1 Nr. 1 lit. d BDSG spezielle Vorgaben für die Verarbeitung besonderer Kategorien personenbezogener Daten in diesem Zusammenhang erlassen.274 Demnach dürfen derartige Daten verarbeitet werden, wenn dies aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist und soweit die Interessen des Verantwortlichen an der Datenverarbeitung [...] die Interessen der betroffenen Person überwiegen.

188

Als Anwendungsbeispiele für diese Norm nennt der Gesetzgeber in seiner Gesetzesbegründung z.B. die Zusammenarbeit zwischen nichtöffentlichen und öffentlichen Stellen bei der Terrorismusbekämpfung, die Verarbeitung solcher Daten im Rahmen von Präventions- und Deradikalisierungsprogrammen im Bereich des religiös motivierten Extremismus sowie im Fall von Pandemien und im Katastrophenschutz.275 Ggf. dürfen diese Daten dann gem. § 24 Abs. 2 BDSG auch an die Sicherheitsbehörden weitergeleitet werden.276 Die geschäftsmäßige Verarbeitung von besonderen Kategorien personenbezogener Daten durch einen Verantwortlichen im Rahmen eigener gewerblicher Geschäftsmodelle könne hingegen nicht auf § 22 Abs. 1 Nr. 1 lit. d BDSG gestützt werden.277 Möchte ein Verantwortlicher eine Datenverarbeitung auf diese Norm stützen, muss er zudem nach Maßgabe von § 22 Abs. 2 BDSG angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorsehen.278

ff) Verarbeitung für die Gesundheitsversorgung (Art. 9 Abs. 2 lit. h DSGVO)279

189

Die relativ schwer verständliche Vorschrift des Art. 9 Abs. 2 lit. h DSGVO beinhaltet zwei voneinander zu unterscheidende Bestandteile: 1. eine direkte „gesetzliche“ Ausnahme vom Verarbeitungsverbot besonderer Kategorien personenbezogener Daten bzw. – je nachdem welcher Ansicht man folgt (siehe Rn. 170ff.) – eine Erlaubnis zur Verarbeitung solcher Daten sowie 2. eine Öffnungsklausel.

190

Die Öffnungsklausel gestattet es der EU und den EU-Mitgliedstaaten, die Verarbeitung besonderer Kategorien personenbezogener Daten zu erlauben bzw. Ausnahmen vom Verarbeitungsverbot gem. Art. 9 Abs. 1 DSGVO vorzusehen (je nachdem, welcher Ansicht gefolgt wird), soweit dies für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich ist.

191

Der zweite Bestandteil von Art. 9 Abs. 2 lit. h DSGVO – die direkte „gesetzliche“ Ausnahme bzw. Erlaubnis – sieht hingegen eine Ausnahme vom Verarbeitungsverbot nach Art. 9 Abs. 1 DSGVO vor bzw. gestattet die Verarbeitung besonderer Kategorien personenbezogener Daten, ohne dass es einer ergänzenden nationalen Vorschrift bedarf, wenn die Verarbeitung aufgrund eines Vertrages mit dem Angehörigen eines Gesundheitsberufes erforderlich ist.280 Umstritten ist in diesem Zusammenhang allerdings, ob Art. 9 Abs. 2 lit. h DSGVO darüber hinaus zusätzlich auch noch verlangt, dass die Datenverarbeitung (aufgrund eines Vertrages mit dem Angehörigen eines Gesundheitsberufes) zu einem in der Vorschrift genannten Zweck erfolgt (Gesundheitsvorsorge, Arbeitsmedizin, Beurteilung der Arbeitsfähigkeit des Beschäftigten, medizinische Diagnostik etc.).281 In diesem Fall würde der Vertrag als „Verarbeitungsgrundlage“ quasi neben die Vorschriften der Mitgliedstaaten bzw. der EU treten,282 die diese auf Basis der in Art. 9 Abs. 2 lit. h DSGVO enthaltenen Öffnungsklausel erlassen haben.283 Auch wenn nach hier vertretener Ansicht gute Argumente für ein solches „zusätzliches Erfordernis“ sprechen – insbesondere vor dem Hintergrund des Sinn und Zwecks dieser (Ausnahme-)Vorschrift sowie der Systematik der Norm –, wird dieser Streit in der Praxis wohl kaum eine Rolle spielen, da die Datenverarbeitung auf Basis eines solchen Vertrages wohl fast immer zu einem der in Art. 9 Abs. 2 lit. h DSGVO genannten Zwecke erfolgt. Im Anwendungsbereich des BDSG tritt die Bedeutung noch weiter zurück, da § 22 Abs. 1 Nr. 1 lit. b BDSG – zumindest nach dem Willen des Gesetzgebers – insoweit klarstellt, dass nur ein Behandlungsvertrag gem. § 630a ff. BGB zwischen einem Patienten und einem Angehörigen eines Gesundheitsberufs als Grundlage für die Datenverarbeitung taugt.284

192

In beiden Fällen – also unabhängig davon, ob die Daten auf Grundlage der Öffnungsklausel i.V.m. der jeweiligen nationalen/europarechtlichen Vorschrift oder auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO direkt verarbeitet werden – darf die Verarbeitung gem. Art. 9 Abs. 2 lit. h DSGVO nur durch die in Art. 9 Abs. 3 DSGVO genannten Personen, insbesondere Berufsgeheimnisträger, erfolgen.285

Nationale Regelungen in Deutschland

§ 22 Abs. 1 Nr. 1 lit. b BDSG: Verarbeitung „sensibler“ Daten im Kontext der Gesundheitsversorgung

193

Der deutsche Gesetzgeber hat vor diesem Hintergrund in § 22 Abs. 1 Nr. 1 lit. b BDSG spezielle Vorgaben für die Verarbeitung besonderer Kategorien personenbezogener Daten in diesem Zusammenhang erlassen.286 Demnach dürfen derartige Daten verarbeitet werden, wenn dies „zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung287 verarbeitet werden“. Möchte ein Verantwortlicher eine Datenverarbeitung auf diese Norm stützen, muss er nach Maßgabe von § 22 Abs. 2 BDSG angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorsehen.288 § 22 Abs. 1 Nr. 1 lit. b BDSG und § 22 Abs. 2 BDSG werden ausführlich in Kap. 17 Rn. 276ff. erläutert.

Praxishinweis

Der bundesdeutsche Gesetzgeber hat in § 22 Abs. 1 Nr. 1 lit b BDSG nicht nur die in Art. 9 Abs. 2 lit. h DSGVO enthaltene Öffnungsklausel ausgefüllt, sondern auch den zweiten Bestandteil von Art. 9 Abs. 2 lit. h DSGVO übernommen und geregelt, der die Verarbeitung besonderer Kategorien personenbezogener Daten eigentlich direkt und ohne eine ergänzende nationale Vorschrift erlaubt (wohl i.V.m. Art. 6 Abs. 1 DSGVO).289 Dabei hat er die Anforderungen weiter verschärft und in § 22 Abs. 2 BDSG festgelegt, dass bei der Verarbeitung besonderer Kategorien personenbezogener Daten auf Basis von § 22 Abs. 1 BDSG und damit auch von § 22 Abs. 1 Nr. 1 lit. b BDSG angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen sind.290 Die Ermächtigung hierzu folgt nach hier vertretener Ansicht nicht aus Art. 9 Abs. 2 lit. h DSGVO, da die für einige Verarbeitungszwecke in Art. 9 Abs. 2 lit. h DSGVO durchaus enthaltene Öffnungsklausel dem nationalen Gesetzgeber nach hiesigem Verständnis insoweit keine Regelungsbefugnis zuweist und im Hinblick auf den zweiten Bestandteil von Art. 9 Abs. 2 lit. h DSGVO – die direkte „gesetzliche“Ausnahme bzw. Erlaubnis – schon gar keine Öffnungsklausel in der Vorschrift enthalten ist. Auch aus Art. 9 Abs. 3 DSGVO kann nach hier vertretener Ansicht wohl keine entsprechende Ermächtigung abgeleitet werden.291

Der bundesdeutsche Gesetzgeber scheint diese zusätzliche Anforderung dann wohl auch auf die in Art. 9 Abs. 4 DSGVO enthaltene Öffnungsklausel zu stützen, nach der die EU-Mitgliedstaaten für die Verarbeitung von Gesundheitsdaten sowie von genetischen und biometrischen Daten zusätzliche Bedingungen und Einschränkungen vorsehen können.292 Zwar werden auf Basis von § 22 Abs. 1 Nr. 1 lit. b BDSG in der Regel nur solche Daten verarbeitet. Sollten im Ausnahmefall allerdings auch andere besondere Kategorien personenbezogener Daten verarbeitet werden, kann diese Öffnungsklausel keine Einschränkungen gegenüber Art. 9 Abs. 2 lit. h DSGVO rechtfertigen. Somit wäre § 22 Abs. 1 Nr. 1 lit. b, Abs. 2 BDSG entsprechend europarechtskonform auszulegen bzw. europarechtswidrig, wenn andere Kategorien personenbezogener Daten verarbeitet werden sollen.

Des Weiteren regelt § 22 Abs. 1 Nr. 1 lit. b BDSG in Bezug auf den Teil, für den in Art. 9 Abs. 2 lit. h DSGVO eigentlich eine direkte Ausnahme vom Verarbeitungsverbot bzw. eine direkte Erlaubnis enthalten ist (je nachdem, welcher Ansicht gefolgt wird),293 dass der Vertrag mit einem Angehörigen eines Gesundheitsberufs, aufgrund dessen die besonderen Kategorien personenbezogener Daten verarbeitet werden sollen, mit der betroffenen Person abgeschlossen worden sein muss.294 Im Wortlaut von Art. 9 Abs. 2 lit. h DSGVO ist diese Anforderung nicht ausdrücklich vorgesehen. An dieser Stelle könnte der Streit, ob die Anforderungen des Art. 6 Abs. 1 DSGVO zusätzlich zu den Anforderungen aus Art. 9 Abs. 2 DSGVO gelten, eine gewisse Rolle gespielt haben (siehe hierzu Rn. 170ff.). So erfordert auch Art. 6 Abs. 1 lit. b DSGVO, dass der Vertrag, zu dessen Erfüllung die personenbezogenen Daten verarbeitet werden, mit der betroffenen Person abgeschlossen wurde. Folgt man also – wie z.B. der bundesdeutsche Gesetzgeber und die deutschen Datenschutzaufsichtsbehörden – der Ansicht, dass die Anforderungen des Art. 6 Abs. 1 DSGVO zusätzlich zu den Anforderungen des Art. 9 Abs. 2 DSGVO zu erfüllen sind, würden § 22 Abs. 1 Nr. 1 lit. b BDSG und Art. 6 Abs. 1 lit. b DSGVO insoweit nun parallellaufen. Auf Basis des Wortlauts von Art. 9 Abs. 2 lit. h DSGVO wäre es hingegen zumindest möglich zu argumentieren, dass der Vertrag auch mit einer anderen Person geschlossen worden sein kann. Allerdings muss Art. 9 Abs. 2 lit. h DSGVO insoweit wohl einschränkend ausgelegt werden, weil Art. 9 Abs. 2 DSGVO das Schutzniveau gegenüber Art. 6 Abs. 1 DSGVO erhöhen und nicht absenken soll.295 Außerdem könnte die vorliegende Einschränkung – zumindest im Hinblick auf den Hauptanwendungsfall der Verarbeitung von Gesundheitsdaten (sowie von genetischen und biometrischen Daten) – ansonsten ggf. auch noch auf Art. 9 Abs. 4 DSGVO gestützt werden, auch wenn der Gesetzgeber in der Gesetzesbegründung zu § 22 Abs. 1 Nr. 1 lit. b BDSG hierfür eine andere Öffnungsklausel genannt hat.

Zur Vermeidung etwaiger Haftungsrisiken sollten Verantwortliche sowohl die Anforderungen des § 22 Abs. 2 BDSG einhalten (wenn sie die Datenverarbeitung auf § 22 Abs. 1 Nr. 1 lit. b BDSG stützen) als auch besondere Kategorien personenbezogener Daten auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO bzw. § 22 Abs. 1 Nr. 1 lit. b BDSG nur dann aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufs verarbeiten, wenn dieser mit der betroffenen Person abgeschlossen wurde.