Direkt zum Inhalt wechseln

Neben dem Impfen gelten Tests als der Ausweg aus der aktuellen Misere. Dass mit dieser (zumindest für die meisten) nachvollziehbaren Logik zugleich eine datenschutzrechtliche Problemstellung daherkommt, zeigt eine Entscheidung der Österreichischen Datenschutzaufsichtsbehörde vom 15. Februar 2021.

Die Behörde hatte die Frage zu beantworten, ob ein negativer Corona-Test als sog. besondere Kategorie personenbezogener Daten und damit als besonders schützenswert einzuordnen ist – und dies im Ergebnis bejaht.

„Auch der Negativtest des Beschwerdeführers [ist] als Gesundheitsdatum zu qualifizieren […].“

Die Qualifizierung eines personenbezogenen Datums als besondere – „sensitive“ – Datenkategorie ist für datenschutzrechtlich Verantwortliche (Unternehmen bzw. öffentliche Stellen) von erheblicher rechtlicher Bedeutung. Nur ein Auszug:

  • Es gelten strengere Maßstäbe für die Zulässigkeit der Verarbeitung (Art. 9 Abs. 2 DSGVO).
  • Es gilt die zwingende Pflicht zum Führen eines Verarbeitungsverzeichnisses. Grundsätzlich denkbare Ausnahmen scheiden aus (Art. 35 Abs. 2 DSGVO).
  • Aufgrund des höheren Schutzbedarfs gelten höheren Anforderungen an zu implementierende technisch-organisatorische Maßnahmen (Art. 24, 25, 32 DSGVO)
  • Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung wird wahrscheinlicher (Art. 35 DSGVO).
  • Die Pflicht zur Meldung von Datensicherheitsvorfällen wird wahrscheinlicher (Art. 33, 34 DSGVO).
  • Bei Bestimmung der Höhe eines Bußgeldes ist die Einordnung als sensitives Datum durch die Behörde grundsätzlich bußgelderhöhend zu berücksichtigen.

Es zeigt sich; schon vom Ergebnis her, erscheint die Einordnung eines negativen Befunds als Gesundheitsdatum als verfehlt. Doch auch rechtsdogmatisch ist die Auffassung der DSB Österreich abzulehnen.

Der schon aus dem alten Recht bekannten und durch die DSGVO fortgeführten Klassifizierung von Daten als „besonders“ und insoweit als besonders schützenswert liegt die Annahme zugrunde, dass eine Verarbeitung ausgewählter Datenarten bereits aufgrund des inhärenten Aussagegehalts dieser Daten besondere Risiken für die betroffene Person mit sich bringen kann. Dass eine Krebsdiagnose, eine HIV-Infektion, der Befund einer Depression usw. nur unter besonders strengen Voraussetzungen und regelmäßig auch nur von hierzu berufenem medizinischem Personal verarbeitet werden darf, erschließt sich ohne Weiteres. Dasselbe gilt für andere als sensitiv einzuordnende Datenarten, etwa die Konfession oder die sexuelle Orientierung. All diesen Merkmalen ist gemein, dass bereits die über das Datum selbst transportierten Informationen eine erhebliche Aussagekraft über den Träger des Datums entfalten, anders als etwa der Name oder eine normale Postanschrift. Und anders auch als der Befund „gesund“. Gesund zu sein ist – gottlob auch in Pandemiezeiten – der Normalzustand. Die Information, dass eine Person gesund ist, transportiert keinen besonders schützenswerten Aussagegehalt.

Ähnlich (oder doch nicht?) scheint dies auch die Datenschutzaufsichtsbehörde der Freien und Hansestadt Hamburg zu sehen. In den auf der Webseite abrufbaren FAQ heißt es wörtlich:

„Angaben, die über Patienten, Bewohner, Klienten etc. erhoben werden, um das Risiko einer bestehenden COVID-19-Infektion zu ermitteln, sind daher dann Gesundheitsdaten, wenn sie Informationen zu bestehenden Symptomen enthalten oder aber die Einstufung des Betroffenen als Kontaktperson und daher einen begründeten Infektionsverdacht nach sich ziehen. Negativauskünfte, wie die Verneinung von Symptomen, relevanten Kontakten oder Reisen stellen demgegenüber keine Gesundheitsdaten dar.“

„Ich fühle mich nicht krank“ ist kein Gesundheitsdatum im Sinne der DSGVO. Einen diese Selbsteinschätzung bestätigenden Befund anders zu bewerten, erschiene als inkonsequent. Allerdings wird diese meines Erachtens zutreffende Einschätzung der Hamburger Behörde unnötig über den sich unmittelbar anschließenden Hinweis neutralisiert. Zitat:

„Da allerdings bei der Abfrage entsprechender Informationen unklar ist, ob sämtliche relevanten Fragen verneint oder aber bejaht werden, muss die Erhebung und Verarbeitung durch einen Erlaubnistatbestand des Art. 9 Abs. 2 DSGVO gedeckt sein […].“

An der Position der Behörde offenbart sich ein ganz grundsätzliches Dilemma des Datenschutzrechts. Anstatt die kontextbezogene Verwendung personenbezogener Daten zu reglementieren, werden bereits Vorbereitungshandlungen, so auch der Weg hin zu Informationen, vollumfänglich dem Regelungsregime des Datenschutzrechts unterworfen. Doch das ist eine andere Diskussion.

Zurück zu unserem negativen Befund. Dafür, dass ein solcher nicht als sensitives Datum im Sinne der DSGVO eingeordnet werden sollte, spricht auch ein systematisches Argument: Wenn schon auf den ersten Blick eindeutig als GesundheitsKrankheitsdaten einzuordnende Merkmale (z.B. die Brille, die Gehhilfe oder der Gipsarm) nur dann als besonders schützenswert einzuordnen sind, wenn seitens des Datenverarbeiters auch eine Absicht zur Auswertung genau dieser Merkmale besteht (richtig statt Vieler: VG Mainz, Urt. v. 24.9.2020 – 1 K 584/19.MZ), kann dem Befund „gesund“ erst recht keine besondere Schutzbedürftigkeit zukommen. Würde man die Rechtsauffassung der DSB Österreich konsequent zu Ende denken, wäre eine Fülle von Lebenssachverhalten per se den strengen Vorgaben des Art. 9 Abs. 2 DSGVO unterworfen.

Für eine derart extensive Anwendung des Rechts besteht auch aus der Perspektive des Betroffenen kein Anlass. Ein Datum nicht als sensitiv einzuordnen, führt nicht zu dessen Schutzlosigkeit. Auch die Verarbeitung „herkömmlicher“ personenbezogener Daten, so des Merkmals „gesund“, ist grundsätzlich verboten, es sei denn, der Verarbeiter kann die Einwilligung des Betroffenen oder einen gesetzlichen Erlaubnistatbestand fruchtbar machen (Art. 5 Abs. 1 Buchst. a, Art. 6 Abs. 1 DSGVO).

Zweifler dieser Rechtsauffassung mögen sich an den großen Spiros Simitis halten: „Solange freilich Zweifel bestehen, ist die Anwendung der Sondervorschriften zur Verarbeitung sensitiver Daten zu verneinen.“ (vgl. Simitis in Simitis, Bundesdatenschutzgesetz, 7. Auflage 2011, Randnummer 265.)