DSGVO - BDSG - TTDSG

XIV. Genetische Daten (Nr. 13)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

380

Der Begriff der „genetischen Daten“ wird in der DSGVO insbesondere in Art. 9 DSGVO verwendet. Demnach handelt es sich bei genetischen Daten gem. Art. 9 Abs. 1 DSGVO um eine besondere Kategorie personenbezogener Daten, deren Verarbeitung besonders strikten Anforderungen unterliegt.728

381

Art. 9 Abs. 4 DSGVO ermächtigt die EU-Mitgliedstaaten in diesem Zusammenhang, für die Verarbeitung genetischer Daten auch noch zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten. Von dieser Ermächtigung hat der bundesdeutsche Gesetzgeber insbesondere durch das Gendiagnostikgesetz Gebrauch gemacht.

382

Außerdem wird der Begriff noch in ErwG 34, der Art. 4 Nr. 13 DSGVO näher konkretisiert, und in ErwG 75 verwendet. Dieser (letztere) Erwägungsgrund konkretisiert Art. 32 DSGVO (Sicherheit der Verarbeitung) und nennt den Umstand, dass genetische Daten verarbeitet werden, als einen Faktor, der in diesem Zusammenhang bei der Beurteilung der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen ist.

383

Genetische Daten können zugleich auch biometrische Daten i.S.d. Art. 4 Nr. 14 DSGVO (dazu näher unten Rn. 390) oder Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO sein (dazu näher unten Rn. 399), Letzteres insbesondere dann, wenn aus den genetischen Daten Aussagen bzw. Wahrscheinlichkeiten im Hinblick auf die Gesundheit (z.B. potenzielle Erkrankungen der betroffenen Person) abgeleitet werden.729

2. Begriff der genetischen Daten

384

„Genetische Daten“ sind nach Art. 4 Nr. 13 DSGVO personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden. Als Analysen kommen nach ErwG 34 dabei insbesondere Chromosomen-, Desoxyribonukleinsäure (DNS)- oder Ribonukleinsäure (RNS)-Analysen in Betracht.

385

Der Begriff der „Physiologie“ bezeichnet insoweit die funktionellen Vorgänge im menschlichen Organismus.730 Zum Begriff der „Gesundheit“ siehe die Ausführungen unter Rn. 404.

386

Die Methode, wie die genetischen Daten gewonnen werden, spielt für die Einordnung nach Art. 4 Nr. 13 DSGVO grundsätzlich keine Rolle. So gibt Art. 4 Nr. 13 DSGVO zwar vor, dass diese insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person, wie z.B. von Gewebe, Haaren, Blut etc., gewonnen werden können.731 Dies wird in der Praxis auch den Regelfall bilden. Zwingend erforderlich ist dies jedoch nicht, damit Daten als genetische Daten i.S.d. Art. 4 Nr. 13 DSGVO qualifiziert werden können („insbesondere“). Auch andere (biotechnische) Verfahren kommen dafür in Betracht.732

387

Genetische Daten können insbesondere im Forschungs- und Medizinbereich verwendet werden. Die in der Praxis derzeit wohl wichtigste Fallgruppe von genetischen Daten besteht wohl aus Daten, die aus der Analyse einer biologischen Probe der betroffenen Person gewonnen wurden und Informationen über (die Wahrscheinlichkeit von) Erkrankungen enthalten.733 Immer mehr werden genetische Daten aber auch im Rahmen der personalisierten Medizin verwendet, um individuell auf den Patienten abgestimmte Behandlungsmethoden und Therapien zu ermitteln und einzusetzen, die eine höhere Erfolgsrate versprechen als „allgemeine“ Behandlungen und Therapien.734

388

Die besondere Sensibilität genetischer Daten ergibt sich nicht nur aus den in ihnen enthaltenen Informationen, sondern auch aus dem Umstand, dass es sich bei ihnen i.d.R. nicht um flüchtige Eigenschaften einer Person handelt, sondern die betroffene Person diese Eigenschaften i.d.R. ihr Leben lang aufweist. Außerdem enthalten genetische Daten oftmals Informationen, die auch Aussagen über Familienangehörige des Patienten treffen (z.B. im Hinblick auf bestimmte Erkrankungsrisiken wegen bestimmter genetischer Dispositionen), sodass je nach Verwendungszusammenhang darauf zu achten ist, welche Person(en) im Einzelfall als betroffene Person(en) i.S.d. Art. 4 Nr. 1 DSGVO zu qualifizieren ist/sind.735

389

Allerdings begrenzt der Wortlaut der Vorschrift den Begriff „genetische Daten“ auf die Ergebnisse derartiger Analysen. Damit fällt die jeweilige Substanz, die analysiert wird, wie z.B. Gewebe, Blut, Speichel oder Haare, also der jeweilige „Datenträger“, nicht unter den Begriff „genetische Daten“ i.S.d. Art. 4 Nr. 13 DSGVO.736

XV. Biometrische Daten (Nr. 14)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

390

Biometrische Daten sind nach Art. 9 Abs. 1 DSGVO besondere Kategorien personenbezogener Daten, deren Verarbeitung besonders strikten Voraussetzungen unterliegt.737 Zudem erlaubt Art. 9 Abs. 4 DSGVO den EU-Mitgliedstaaten in diesem Zusammenhang, für die Verarbeitung biometrischer Daten auch noch zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten. Des Weiteren wird der Begriff in der DSGVO noch in ErwG 51 verwendet, der Art. 9 DSGVO näher konkretisiert. Biometrische Daten können zugleich auch genetische Daten i.S.d. Art. 4 Nr. 13 (dazu näher oben Rn. 380) oder Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO sein (dazu näher unten Rn. 399).

2. Begriff der biometrischen Daten

391

„Biometrische Daten“ sind nach Art. 4 Nr. 14 DSGVO mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.

392

Als „Biometrie“ wird die Wissenschaft von der Zählung und (Körper-)Messung an Lebewesen bezeichnet.738 Die biometrische Erkennung durch biometrische Systeme verfolgt dabei das Ziel, mittels automatisierter Messung durch ein spezifisches Merkmal bestimmte Personen voneinander zu unterscheiden.739

393

Die Begriffsdefinition der biometrischen Daten in Art. 4 Nr. 14 DSGVO enthält zwei Voraussetzungen:

 1. Es muss sich um Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen der betroffenen Person handeln, die mit speziellen technischen Verfahren gewonnen wurden.

 2. Diese Verfahren müssen die eindeutige Identifizierung der betroffenen Person ermöglichen oder bestätigen.

a) Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen der betroffenen Person

394

Die erste Voraussetzung, um personenbezogene Daten als „biometrische Daten“ i.S.d. Art. 4 Nr. 14 DSGVO zu qualifizieren, besteht darin, dass es sich bei ihnen um Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen der betroffenen Person handeln muss, die mit speziellen technischen Verfahren gewonnen wurden. Zu den physischen bzw. physiologischen Merkmalen, also den (passiven, angeborenen, nicht veränderbaren) körperlichen Merkmalen der betroffenen Person,740 die durch spezielle technische Verfahren erfasst werden können, zählen z.B. der Fingerabdruck, das Gesicht, die Retina, die DNA, die Handgeometrie, das Ohr, die Erkennung anhand eines Thermogramms etc.741 Verhaltenstypische (aktive) Merkmale, die durch solche Verfahren erfasst werden können, sind z.B. die Unterschrift, die Stimme, der Tastaturanschlag und die Bewegung.742

b) Ermöglichung bzw. Bestätigung der eindeutigen Identifizierung der betroffenen Person

395

Zudem müssen diese Verfahren die eindeutige Identifizierung der betroffenen Person ermöglichen oder bestätigen, also verifizieren. Bei der Identifikation werden biometrische Daten erhoben und mit einer Vielzahl in einer Datenbank gespeicherten biometrischen Daten verglichen. Es findet somit ein 1:n-Vergleich statt. Stimmen die erhobenen Daten mit bestimmten gespeicherten Daten überein, kann mittels der diesen gespeicherten Daten zugeordneten Identität die Person identifiziert werden.743 Verifikation bedeutet, dass eine Person behauptet, eine bestimmte Identität aufzuweisen. Zur Verifikation dieser Behauptung werden dann die biometrischen Daten der Person erhoben und mit den biometrischen Daten, die im System vorliegen und dieser behaupteten Identität zugeordnet sind, verglichen. Es findet somit ein 1:1-Vergleich statt.744

396

Auch wenn der Wortlaut von Art. 4 Nr. 14 DSGVO ausdrücklich davon spricht, dass diese Systeme die „eindeutige“ Identifizierung der betroffenen Person ermöglichen oder bestätigen müssen, bedeutet dies nicht, dass biometrische Daten nur dann vorliegen, wenn die erfassten biometrischen Merkmale einzigartig auf der Welt sind. Vielmehr ist es ausreichend, wenn das Merkmal, auf das sich die biometrischen Daten beziehen, auf eine Art und Weise mit einem Menschen verbunden ist, dass es nicht einfach veränderbar ist, wie z.B. die Augenfarbe, und die Daten objektiv geeignet sind, die betroffene Person innerhalb der betroffenen Gruppe genau zu identifizieren.745

397

Fotos (bzw. „Lichtbilder“) einer Person sind mithin nur im Ausnahmefall als biometrische Daten i.S.d. Art. 4 Nr. 14 DSGVO anzusehen, wie auch ErwG 51 S. 3 klarstellt – und zwar dann, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen, so z.B. das im Personalausweis oder im Reisepass gespeicherte Foto.746

c) Rohdaten und Templates

398

Unerheblich für die Einordnung von personenbezogenen Daten als „biometrische Daten“ i.S.d. Art. 4 Nr. 14 DSGVO ist es, ob es sich bei den fraglichen Daten um Rohdaten, also um exakte Abbildungen des biometrischen Merkmals, oder um Templates handelt.747 Templates werden aus den erfassten Rohdaten extrahiert und enthalten (nur) charakteristische Kennzeichen des jeweiligen biometrischen Merkmals, z.B. Entfernungen zwischen bestimmten Punkten.748 Deshalb benötigt ein Template auch erheblich weniger Speicherplatz als die Rohdaten des biometrischen Merkmals, weshalb die Verwendung von Templates für viele Anwendungen die geeignete Variante ist.

XVI. Gesundheitsdaten (Nr. 15)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

399

Gesundheitsdaten sind nach Art. 9 Abs. 1 DSGVO eine besondere Kategorie personenbezogener Daten und werden als solche besonders stark geschützt, weshalb sie besonders strengen Verarbeitungsanforderungen unterliegen, z.B. aus Art. 9 Abs. 2 DSGVO oder §§ 22ff. BDSG.749 Der Grund hierfür besteht darin, dass Gesundheitsdaten, ebenso wie genetischen und biometrischen Daten, ein besonderes Diskriminierungspotenzial innewohnt und sie deshalb eines besonders strikten Schutzes bedürfen.750

400

Art. 9 Abs. 4 DSGVO ermächtigt die EU-Mitgliedstaaten in diesem Zusammenhang, für die Verarbeitung von Gesundheitsdaten auch noch zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten (siehe hierzu ausführlich Art. 9 Rn. 37).

401

Zudem wird der Begriff der Gesundheitsdaten noch an weiteren Stellen der DSGVO verwendet, und zwar in ErwG 35, der Art. 4 Nr. 15 DSGVO konkretisiert, sowie in den ErwG 53 und 54, die Art. 9 DSGVO konkretisieren, und in ErwG 75, der Art. 32 DSGVO (Sicherheit der Verarbeitung) näher konkretisiert und den Umstand, dass Gesundheitsdaten verarbeitet werden, als einen Faktor nennt, der in diesem Zusammenhang bei der Beurteilung der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen ist. In ErwG 63 verwendet der Verordnungsgeber den Begriff „gesundheitsbezogene Daten“ im Rahmen der Klarstellung, dass der Auskunftsanspruch der betroffenen Person nach Art. 15 DSGVO auch solche Daten einschließt. Ein inhaltlicher Unterschied zu Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO dürfte aber nicht bestehen.

402

Im Übrigen verwendet der Verordnungsgeber an vielen Stellen der DSGVO den Begriff der Gesundheit, z.B. bei der Beschreibung von Zwecken, für die eine Datenverarbeitung erlaubt sein kann (wie z.B. in Art. 9 Abs. 2 lit. i DSGVO, in der die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit geregelt ist). Eine solche Datenverarbeitung beinhaltet i.d.R. die Verarbeitung von Gesundheitsdaten, auch wenn der Verordnungsgeber den Begriff an diesen Stellen nicht ausdrücklich verwendet (sondern z.B. den Begriff der besonderen Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO), so z.B. in Art. 9 Abs. 2, Art. 23 (Beschränkungen der Betroffenenrechte), Art. 36 (Vorherige Konsultation), Art. 88 (Datenverarbeitung im Beschäftigungskontext) DSGVO und in diversen ErwG.

403

Gesundheitsdaten können zugleich auch genetische Daten i.S.d. Art. 4 Nr. 13 DSGVO (dazu näher oben Rn. 380) oder biometrische Daten i.S.d. Art. 4 Nr. 14 DSGVO sein (dazu näher oben Rn. 390).

2. Begriff der Gesundheitsdaten
a) Allgemeine Voraussetzungen

404

„Gesundheitsdaten“ sind nach Art. 4 Nr. 15 DSGVO personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. In diesem Zusammenhang ist es nach ErwG 35, der Art. 4 Nr. 15 DSGVO konkretisiert, unerheblich, ob es sich hierbei um den früheren, gegenwärtigen oder künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person handelt und durch wen (oder durch was im Fall von Geräten, wie z.B. Trackern, Apps und Medizingeräten)751 diese Daten erhoben wurden.

b) Beispiele für Gesundheitsdaten

405

Um Gesundheitsdaten handelt es sich gem. ErwG 35 z.B. bei Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden, und bei Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person.

406

Auch Informationen, die im Zuge der Anmeldung für Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung oder bei der Erbringung solcher Dienstleistungen über die betroffene Person erhoben werden, sind nach ErwG 35 Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO.

407

Somit fallen z.B. Patientendokumentationen von Heilberuflern, Rezeptdaten, Laborergebnisse, Angaben über das krankheitsbedingte Fehlen und die Schwerbehinderteneigenschaft von Arbeitnehmern sowie Patiententagebücher unter den Begriff der Gesundheitsdaten.

408

Auch genetische Daten i.S.d. Art. 4 Nr. 13 DSGVO können Gesundheitsdaten sein, da sich die Qualifizierung von Daten als genetische Daten und als Gesundheitsdaten nicht gegenseitig ausschließen.752 Dies gilt genauso für biometrische Daten i.S.d. Art. 4 Nr. 14 DSGVO.

409

Ebenso handelt es sich bei der bloßen Information, dass eine Person gesund ist, um ein Gesundheitsdatum, da der Begriff des „Gesundheitsdatums“ nicht an die Krankheit, sondern an die Gesundheit der betroffenen Person anknüpft.753

c) Nummern, Symbole und Kennzeichen

410

Darüber hinaus sollen nach ErwG 35 nicht nur Gesundheitsdaten „im engeren Sinne“, sondern auch Nummern, Symbole oder Kennzeichen Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO sein, die der betroffenen Person zugeteilt wurden, um diese für gesundheitliche Zwecke eindeutig zu identifizieren. Voraussetzung hierfür ist allerdings, dass es sich bei diesen Angaben überhaupt um personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO handelt (dazu näher oben Rn. 2ff.).754

d) Zweck der Verarbeitung von Gesundheitsdaten, Tatsachen, Prognosen, Wahrscheinlichkeiten und Vermutungen

411

Keine Rolle für die Qualifizierung als Gesundheitsdaten spielt grundsätzlich der Zweck der Datenverarbeitung (siehe aber zu den Implikationen des Verwendungszusammenhangs bei Vorliegen von mittelbaren Gesundheitsinformationen unten Rn. 414). So können Gesundheitsdaten z.B. zu medizinischen, aber auch zu Forschungszwecken oder zu Zwecken der Verwaltung und Abrechnung von Gesundheitsdiensten verarbeitet werden. Ebenso ist es unerheblich, ob sich die Daten auf (festgestellte) Tatsachen beziehen oder ob es sich um Prognosen, Wahrscheinlichkeiten oder Vermutungen handelt (z.B. infolge genetischer oder familiärer Prädispositionen).755

e) Mittelbare Gesundheitsinformationen

412

Eine Einschränkung findet der Begriff „Gesundheitsdaten“ aber in den Erfordernissen, dass sich die Daten auf die Gesundheit der betroffenen Person „beziehen“ und aus ihnen „Informationen über deren Gesundheitszustand hervorgehen“ müssen. So ist es zwar nicht zwingend erforderlich, dass sich Daten unmittelbar auf die Gesundheit der betroffenen Person beziehen, wie z.B. bei der Patienten-Dokumentation eines Arztes, damit sie Gesundheitsdaten gem. Art. 4 Nr. 15 DSGVO sein können. Auch Informationen, die sich mittelbar auf den Gesundheitszustand einer Person beziehen – wie z.B. Informationen über einen Arztbesuch –756 können zumindest unter gewissen Voraussetzungen unter den Begriff der Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO fallen.

413

Allerdings würde es zu einer vollständigen Ausuferung des Begriffs der „Gesundheitsdaten“ und damit in der Folge des Anwendungsbereichs der besonders strikten Voraussetzungen für die Verarbeitung besonderer Kategorien personenbezogener Daten (insb. gem. Art. 9 DSGVO) führen, wenn jede nur mittelbare Information über den Gesundheitszustand ausnahmslos als Gesundheitsdatum i.S.d. Art. 4 Nr. 15 DSGVO qualifiziert würde. So würden dann auch Verarbeitungsvorgänge, denen kein besonderes Diskriminierungspotenzial innewohnt, wie z.B. das Einstellen des Fotos eines Mitarbeiters, der eine Brille trägt, in das Intra- oder Internet, diesen besonders strikten Verarbeitungsanforderungen unterliegen.

414

Vor diesem Hintergrund sind die Voraussetzungen „beziehen“ und „aus denen Informationen über deren Gesundheitszustand hervorgehen“ nach hier vertretener Ansicht insoweit restriktiv auszulegen.757 So beziehen sich Daten, die nur mittelbare Gesundheitsinformationen beinhalten, nur dann auf den Gesundheitszustand der betroffenen Person, wenn sie gerade im Hinblick auf die „dahinterstehende“ Gesundheitsinformation verarbeitet werden,758 z.B. wenn im Fall des Fotos eines Brillenträgers dieses im Hinblick auf die Sehschwäche der fotografierten Person hin ausgewertet wird.759 Zudem gehen nach hiesiger Auffassung aus solchen Daten auch nur in diesem Fall Informationen über den Gesundheitszustand der betroffenen Person hervor. Darüber hinaus ist in Anbetracht des Sinn und Zwecks des besonderen Schutzes „sensibler Daten“ zu konstatieren, dass auch nur dann, wenn solche Daten gerade im Hinblick auf die in ihnen enthaltene „dahinterstehende“ Gesundheitsinformation hin verarbeitet werden, ein besonderes Diskriminierungspotenzial besteht, welches die Anwendbarkeit der besonders strikten Verarbeitungsvoraussetzungen für besondere Kategorien personenbezogener Daten rechtfertigt und erfordert. Sofern die Daten nicht im Hinblick auf diese Inhalte verarbeitet werden, sie also nur zufällig Gesundheitsinformationen enthalten, besteht hingegen kein erhöhtes Schutzbedürfnis.760 In diesem Fall „beziehen“ sich die Gesundheitsinformationen dann auch nicht auf die Gesundheit der betroffenen Person und aus ihnen gehen dann auch keine Informationen über den Gesundheitszustand der betroffenen Person hervor. Daraus folgt: Werden Daten, die nur mittelbare Gesundheitsinformationen beinhalten, nicht im Hinblick auf die „dahinterstehende“ Gesundheitsinformation verarbeitet, sind sie auch nicht als Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO anzusehen. Somit entscheidet in solchen Fällen also nicht nur der Inhalt der verarbeiteten Daten, sondern auch der jeweilige Verwendungszusammenhang dieser Daten darüber, ob sie als Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO zu qualifizieren sind oder nicht.761

415

Dabei ist der maßgebliche Verwendungszusammenhang aus objektiver Sicht zu bestimmen.762 Abzulehnen ist nach hier vertretener Ansicht die teilweise in der Rechtsprechung und in der datenschutzrechtlichen Literatur vertretene Auffassung, nach der die subjektive Auswertungsabsicht als entscheidendes Abgrenzungskriterium angesehen wird.763 So sollen nach dieser Auffassung Daten, die mittelbare Gesundheitsinformationen enthalten, nur dann als Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO anzusehen sein, wenn die (subjektive) Absicht besteht, diese sensiblen Informationen auszuwerten – wohingegen diese Daten keine Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO sein sollen, wenn keine derartige Auswertungsabsicht besteht.764 Diese Auffassung würde nach hier vertretener Ansicht aber zu (nicht hinnehmbarer) Rechtsunsicherheit führen, weil eine subjektive Auswertungsabsicht in vielen Fällen kaum zu ermitteln ist, weshalb sie in der Konsequenz dem solchen Daten innewohnenden Diskriminierungspotenzial nach hier vertretener Ansicht nicht ausreichend Rechnung trägt.765 Allerdings kann die (bestehende oder fehlende) subjektive Auswertungsabsicht – sofern diese bekannt ist – bei der Ermittlung des objektiven Verwendungszusammenhangs zu berücksichtigen sein.766

416

Auch der Europäische Datenschutzausschuss und die deutschen Datenschutzaufsichtsbehörden vertreten insoweit wohl eine restriktive Auslegung des Begriffs „Gesundheitsdaten“.767 Unklar bleibt allerdings, ob der Europäische Datenschutzausschuss die subjektive Auswertungsabsicht als Abgrenzungskriterium ansieht oder – wie hier vertreten – den objektiven Verwendungszusammenhang. So kann die maßgebliche Aussage des Europäischen Datenschutzausschusses („Wird das Videomaterial jedoch verarbeitet, um besondere Datenkategorien abzuleiten, ist Artikel 9 anzuwenden“)768 in beide Richtungen interpretiert werden. Eventuell kann aber aus den vom EDSA in dem Zusammenhang gegebenen Beispielen geschlussfolgert werden, dass der objektive Verwendungszusammenhang auch nach Auffassung des EDSA das entscheidende Abgrenzungskriterium und die subjektive Auswertungsabsicht nur ein Indiz dafür ist.769