Gesundheitsdaten
Praxisratgeber
Ob Sportverein, Selbsthilfegruppe oder Kinder- und Jugendfreizeiten. Viele Vereine und gemeinnützige Organisationen haben Berührungspunkte mit Gesundheitsdaten. Einige als Kern ihrer Tätigkeit, andere nur am Rande – etwa bei der Abfrage von Allergien für eine Ferienfreizeit oder bei Leistungsdaten im Sport.
Gesundheitsdaten gehören zu den besonders schützenswerten Daten nach Art. 9 DSGVO, auf welche wir in allgemeiner Form in unserem Beitrag zum Umgang mit besonderen Datenkategorien eingehen. Da Gesundheitsdaten ein besonders häufiges Thema sind, möchten wir mit diesem Beitrag spezifische Hilfestellung geben.
Was ist unter Gesundheitsdaten zu verstehen?
Gesundheitsdaten sind solche, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (Art. 4 Nr. 15 DSGVO).
Beispiele:
- Krankheit
- Behinderung
- Impfstatus
- Allergien
- Sucht
- Beteiligung an einer Selbsthilfegruppe
- Einnahme von Medikamenten.
Der Begriff Gesundheitsdaten wird weit ausgelegt.
Beispiel: Die Mitgliedschaft im Herzsport-Verein oder die Teilnahme an Reha-Kursen kann Rückschlüsse auf den Gesundheitszustand des Mitglieds geben. Damit handelt es sich um ein Gesundheitsdatum.
Gesundheitsdaten sind besonders sensible Daten. Ihre Verarbeitung ist grundsätzlich mit erheblichen Risiken für die Grundrechte und Grundfreiheiten der betroffenen Person verbunden. Das Bekanntwerden von Gesundheitsdaten kann zu erheblichen Nachteilen für die betroffene Person führen.
Beispiele: Diskriminierung aufgrund einer Behinderung, Ablehnung im Rahmen einer Bewerbung um einen Job aufgrund einer Suchterkrankung.
Verbot der Verarbeitung von Gesundheitsdaten und Ausnahmen
Art. 9 Abs. 1 DSGVO bestimmt ein grundsätzliches Verbot der Verarbeitung von Gesundheitsdaten. In Art. 9 Abs. 2 DSGVO werden allerdings umfangreiche Ausnahmen von diesem Grundsatz geregelt.
Art. 9 Abs. 2 DSGVO regelt also, wann die Verarbeitung von Gesundheitsdaten ausnahmsweise erlaubt ist. Nachfolgend werden die wichtigsten Ausnahmen dargestellt. Bitte beachten Sie, dass es weitere Ausnahmen gibt, die gegebenenfalls auf die Gegebenheiten in Ihrer Organisation anwendbar sind.
Einwilligung der betroffenen Person in die Verarbeitung (Art. 9 Abs. 2 lit. a DSGVO)
Eine Einwilligung ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (Näheres dazu Art. 4 Nr. 11 DSGVO).
Die Einwilligung muss demnach:
- freiwillig sein
- informiert erfolgen
- auf bestimmten Zweck und bestimmte Verarbeitung bezogen
- unmissverständlich sein
- Hinweis auf das Widerrufsrecht enthalten
- bei Gesundheitsdaten ausdrücklich erfolgen (eine konkludente Einwilligung ist hier nicht möglich).
Die Einwilligung sollte schriftlich eingeholt werden. Es ist unbedingt darauf zu achten, dass die betroffene Person dabei umfassend informiert wird. Dazu gehört, dass sie auf den besonderen Stellenwert ihrer Gesundheitsdaten und auf das Risiko, welches mit der Weitergabe und der Erlaubnis zur Verarbeitung einhergeht, hingewiesen wird.
Verarbeitung zum Schutz lebenswichtiger Interessen (Art. 9 Abs. 2 lit. c DSGVO)
Die Verarbeitung von Gesundheitsdaten ist gemäß Art. 9 Abs. 2 lit. c DSGVO auch erlaubt, wenn die Verarbeitung zum Schutz lebenswichtiger Interessen einer Person erforderlich ist und diese körperlich oder rechtlich außerstande ist einzuwilligen.
Diese Vorschrift kommt also nur zur Anwendung, wenn eine Einwilligung der betroffenen Person als Rechtsgrundlage ausscheidet (z. B. bei Bewusstlosigkeit). Die Abfrage, ob eine Allergie vorliegt, darf nicht auf diese Vorschrift gestützt werden, da eine Einwilligung der betroffenen Person / Erziehungsberechtigten möglich ist.
Körperliche Gründe liegen, wie vorstehend genannt, zum Beispiel bei Bewusstlosigkeit der betroffenen Person vor.
Rechtliche Gründe liegen beispielsweise bei fehlender Geschäftsfähigkeit der betroffenen Person vor. Es muss zudem unmöglich sein, einen gesetzlichen Vertreter der betroffenen Person zu erreichen.
Tendenzorganisationen (Art. 9 Abs. 2 lit. d DSGVO)
Tendenzorganisationen sind politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftungen, Vereinigungen oder sonstige Organisationen ohne Gewinnerzielungsabsichten, die sich für die Ausübung von Grundfreiheiten einsetzen.
Beispiele sind unter anderem: Deutscher Gewerkschaftsbund, politische Parteien, katholische und evangelische Kirche, jüdische Gemeinden, muslimische Gemeinden und ihre sozialen Vereinigungen, soweit diese nicht auf Gewinnerzielung ausgerichtet und als Verantwortliche anzusehen sind.
Fraglich ist, ob Selbsthilfeorganisationen aufgrund dieser Vorschrift als so genannte Tendenzbetriebe Daten ihrer Mitglieder wie zum Beispiel über eine Behinderung, Suchterkrankung, chronische Erkrankung und ähnliches verarbeiten dürfen.
Die Ausrichtungen der so genannten Tendenzorganisationen werden in Art. 9 Abs. 2 d) DSGVO abschließend aufgeführt. Selbsthilfeorganisationen fallen nach herrschender Meinung nicht darunter. Somit dürfen Selbsthilfeorganisationen die Verarbeitung von Gesundheitsdaten nicht auf Art. 9 Abs. 2 lit. d DSGVO stützen.
Näheres zu Selbsthilfeorganisationen weiter unten.
Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich erforderlich (Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO)
Die Verarbeitung von Gesundheitsdaten ist außerdem unter anderem dann zulässig, wenn die Verarbeitung für Zwecke der Gesundheitsvorsorge, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich erforderlich ist.
Art. 9 Abs. 3 DSGVO schränkt diese jedoch dahingehend ein, dass der Umgang mit Gesundheitsdaten allein einem Berufsgeheimnis unterliegenden Fachpersonal gestattet wird oder aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufes beruht. Zu Angehörigen eines Gesundheitsberufs zählen unter anderem: Ärzte, Krankengymnasten, in Krankenhäusern und Arztpraxen beschäftigtes Personal, Angehörige von Pflegeberufen.
Eine Verarbeitung aufgrund dieser Vorschrift dürfte daher für Vereine und sonstige gemeinnützige Organisationen in der Regel nicht möglich sein.
Zwischenfazit
Für die Mehrzahl der Vereine und gemeinnützigen Organisationen dürfte die Verarbeitung von Gesundheitsdaten nur auf Grundlage einer Einwilligung der betroffenen Person in Frage kommen.
Praxisfälle
Selbsthilfeorganisationen
Für Selbsthilfeorganisationen stellt sich die Frage, auf welcher Rechtsgrundlage sie die Verarbeitung von Gesundheitsdaten ihrer Mitglieder, wie zum Beispiel über chronische Erkrankungen und Suchterkrankungen, stützen können.
Für Selbsthilfeorganisationen kommen als Ausnahmetatbestände für das Verarbeitungsverbot unter anderem die Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) und die gesetzliche Grundlage gemäß Art. 9 Abs. 2 lit. h DSGVO in Betracht. Sollen Gesundheitsdaten auf Grundlage einer Einwilligung verarbeitet werden, sind unbedingt die Anforderungen an eine datenschutzkonforme Einwilligung zu beachten.
Wird die Gruppe von dem Angehörigen eines Gesundheitsberufs verantwortlich geleitet, kommt als Ausnahmetatbestand auch Art. 9 Abs. 2 lit. h DSGVO in Betracht.
Vor dem Hintergrund des datenschutzrechtlichen Grundprinzips der Datenminimierung sollten Selbsthilfeorganisationen auch darauf achten, nur die Gesundheitsdaten ihrer Mitglieder zu erfassen, die für ihre Tätigkeit als Selbsthilfeorganisation unbedingt erforderlich sind.
Sportvereine
In Sportvereinen werden unter Umständen auch Gesundheitsdaten verarbeitet.
Aus der Teilnahme an Reha-Sportkursen kann beispielsweise gegebenenfalls Rückschluss auf eine entsprechende Erkrankung erfolgen.
Und wie ist die Analyse von Leistungsdaten im Sport aus Datenschutzsicht zu betrachten? Dies wird nachfolgend näher erläutert.
Leistungsdaten im Sport
Die Analyse von Daten über die Leistung der Spieler gehört in vielen professionellen Sportvereinen zur gängigen Praxis. Durch die Auswertung dieser Daten soll ein gezielteres Training und somit eine Leistungssteigerung erreicht werden.
Ob es sich bei Leistungsdaten im Sport um Gesundheitsdaten handelt oder nicht, hängt nach herrschender Meinung in der juristischen Literatur davon ab, um welche Art von Leistungsdaten es sich handelt – gesundheitsbezogene Leistungsdaten oder sonstige Leistungsdaten?
Unter gesundheitsbezogene Leistungsdaten im Sport fallen beispielsweise Daten über die Herz- und Atemfrequenz, je nach konkreter Anwendung auch Daten über die Beschleunigung und Laufdistanz.
Nicht unter die gesundheitsbezogenen Leistungsdaten fallen sonstige Leistungsdaten wie Daten über das taktische Verhalten, Passgenauigkeit, Tore etc.
Die Begründung ist folgende: Daten über die Herz- oder Atemfrequenz gehören zu den gesundheitsbezogenen Leistungsdaten, weil sie unmittelbar Rückschluss auf die Gesundheit des Sportlers bzw. der Sportlerin zulassen. Wie fit ist der Spieler, wie schnell ist er erschöpft?
Nach überwiegender Meinung in der juristischen Literatur sind auch Daten über die tägliche Schrittzahl in Verbindung mit Alter, Größe und Gewicht, welche mittels eines sogenannten Fitness-Trackers oder Fitness-Apps erhoben und verarbeitet werden, ebenso wie Daten aus Pulsmessungen oder der Erhebung sonstiger Vital- und Fitnessdaten, als Gesundheitsdaten zu qualifizieren [1].
Eine Verarbeitung von im Rahmen des Trainings erhobenen gesundheitsbezogenen Leistungsdaten zum Zwecke der Leistungsanalyse ist somit nur nach vorheriger Einwilligung des Spielers zulässig [2]. Die Einwilligung muss sämtliche datenschutzrechtliche Anforderungen erfüllen.
Ferienfreizeiten, Ausflüge
Werden anlässlich von Ferienfreizeiten, Ausflügen und ähnlichen Veranstaltungen Gesundheitsdaten abgefragt, ist eine Einwilligung erforderlich. Dabei kann es sich beispielsweise um Angaben über Allergien oder über Vorerkrankungen handeln.
Wie weiter oben dargestellt, muss eine Einwilligung freiwillig erteilt werden. Hierbei ist fraglich, ob die Teilnahme an der Ferienfreizeit oder einem Ausflug an die Bedingung geknüpft werden darf, dass eine Einwilligung in die Verarbeitung von Gesundheitsdaten erteilt wird. Hier könnte die Freiwilligkeit zweifelhaft sein, schließlich wäre ohne Einwilligung in die Datenverarbeitung eine Teilnahme nicht möglich.
Entscheidend für die datenschutzkonforme Einwilligung ist in diesem Fall, ob die Angabe über vorhandene Allergien und ähnliches für die Durchführung der Ferienfreizeit bzw. Ausflug zwingend oder vernünftigerweise benötigt wird. Dies dürfte bei der Angabe über vorhandene Allergien und ähnliche gesundheitliche Beeinträchtigungen der Fall sein. Eine Einwilligung könnte somit eingeholt werden. Bei Nichterteilung der Einwilligung kann die Teilnahme an der Ferienfreizeit bzw. Ausflug verwehrt werden.
Auch die weiteren datenschutzrechtlichen Pflichten, die mit der Verarbeitung von personenbezogenen Daten einhergehen, sollten hierbei beachtet werden. Unter anderem sollten die Datenschutzhinweise die Information enthalten, dass in einem Notfall die dafür notwendigen Daten an Ärzte, Krankenhäuser und ähnliches zum Zwecke der medizinischen Versorgung weitergegeben werden.
Weitere Pflichten
Informationspflichten
Verantwortliche haben die Pflicht, betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten und ihre Rechte zu informieren. Dies ist insbesondere im Hinblick auf die Webseite des entsprechenden Vereins bzw. gemeinnützigen Organisation und bei der Ansprache neuer Mitglieder relevant.
In den entsprechenden Datenschutzhinweisen sollte darüber informiert werden, dass Gesundheitsdaten verarbeitet werden. Der Zweck der Verarbeitung der Gesundheitsdaten ist hierbei anzugeben sowie die Rechtsgrundlage für die Verarbeitung, im Falle einer Einwilligung auch den Hinweis auf die Widerrufsmöglichkeit. Auch der Hinweis auf die Weitergabe von Gesundheitsdaten, z.B. in einem Notfall sollte enthalten sein.
Näheres zum Thema Informationspflichten / Datenschutzhinweise erstellen finden Sie hier.
Verzeichnis von Verarbeitungstätigkeiten
Werden Gesundheitsdaten verarbeitet, muss in jedem Fall ein Verzeichnis von Verarbeitungstätigkeiten geführt werden (Art. 30 Abs. 1 und Abs. 5 DSGVO). Eine Vorlage für die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten finden Sie hier.
Technische und organisatorische Maßnahmen (TOM) zum Schutz der Daten
Jeder Verantwortliche hat Sorge dafür zu tragen, dass technische und organisatorische Maßnahmen die Sicherheit der durch ihn verarbeiteten personenbezogenen Daten gewährleisten. Dies gilt in besonderem Maße bei Verarbeitung von besonders sensiblen Daten.
Die Verarbeitung von Gesundheitsdaten ist grundsätzlich mit erheblichen Risiken für die Grundrechte und Grundfreiheiten der betroffenen Person verbunden. Das Bekanntwerden von sensiblen Daten kann zu erheblichen Nachteilen für die betroffene Person führen. Der Schutzbedarf für diese Daten ist demnach höher. Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen durchzuführen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Näheres zum Thema technische und organisatorische Maßnahmen finden Sie hier.
Bestellung eines/einer Datenschutzbeauftragten (DSB)
Sollte die Kerntätigkeit des Vereins oder sonstigen gemeinnützigen Organisation in der umfangreichen Verarbeitung von Gesundheitsdaten bestehen, muss ein(e) DSB beauftragt werden.
Es ist hierbei darauf abzustellen, ob die Kerntätigkeit eines Vereins oder sonstigen gemeinnützigen Organisation in der umfangreichen Verarbeitung von Gesundheitsdaten besteht.
Beispiel:
Der Hauptzweck einer gemeinnützigen Organisation ist die Gesundheitsförderung ihrer Mitglieder. Die gemeinnützige Organisation bietet entsprechende Reha-Kurse an, die die Gesundheit ihrer Mitglieder wiederherstellen bzw. fördern sollen und verarbeitet in diesem Zusammenhang umfangreiche Gesundheitsdaten ihrer Mitglieder. Die gemeinnützige Organisation würde ohne dieses Angebot an Reha-Kursen – ihrem Hauptzweck – nicht existieren. In diesem Fall ist davon auszugehen, dass eine Pflicht zur Benennung eines/einer DSB besteht.
Durchführung einer Datenschutz-Folgenabschätzung (DSFA)
Bei umfangreicher Verarbeitung von Gesundheitsdaten, zum Beispiel gesundheitsbezogene Leistungsdaten im Sportverein, ist unter Umständen eine Datenschutz-Folgenabschätzung durchzuführen. Die Datenschutz-Folgenabschätzung ist in Art. 35 DSGVO geregelt.
Die Datenschutz-Folgenabschätzung beinhaltet eine ausführliche Beschreibung der Verarbeitungsvorgänge, in denen Gesundheitsdaten verarbeitet werden. Es werden die bestehenden datenschutzrechtlichen Risiken, die mit der Verarbeitung einhergehen, und die geplanten Abhilfemaßnahmen und Sicherheitsvorkehrungen zum Schutz der Daten dargestellt.
Sofern ein Datenschutzbeauftragter benannt ist, muss dieser bei der Durchführung einer Datenschutz-Folgenabschätzung zu Rate gezogen werden.
Quellenangaben:
- Winter: Leistungsdaten im Kontext des Datenschutzrechts, SpuRt 2020, 168, Dregelies, VuR 2017, 256, 259; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 15 Rn. 5; Eßer, in: Eßer/Kramer/v.Lewinski, Auernhammer DSGVO, 6. Aufl. 2018, Art. 4 Rn. 118.
- Winter: Leistungsdaten im Kontext des Datenschutzrechts, SpuRt 2020, 168.
Autorin: Cristina Bittner