DS-GVO/BDSG. David Klein
Читать онлайн книгу.
betonen andere[604] dass es bei der Ableitung von Angaben zum Gesundheitszustand auf den Verwendungszusammenhang und eine Auswertungsabsicht ankomme, um den Schutzbereich der Gesundheitsdaten mit den Anforderungen an eine Verarbeitung aus Art. 9 nicht über Gebühr auszuweiten. Angesichts des Ziels des Verordnungsgebers das Schutzniveau des Datenschutzrechts zu erhöhen und der Tatsache, dass die Begriffsdefinition ausdrücklich einen möglichen Bezug zum Gesundheitszustand der betroffenen Person ausreichen lässt, erscheint es wertungsfremd in diese objektiven Kriterien ein subjektives Element „hineinzulesen“. Gleichwohl bleibt die Notwendigkeit einer Beurteilung im konkreten Einzelfall unentbehrlich.
263
ErwG 35 S. 2 stellt klar, dass zu Gesundheitsdaten auch die Nummer, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese Person für gesundheitliche Zwecke eindeutig zu identifizieren, gehören. Damit fallen also auch pseudonymisierte Daten[605] – etwa eine Versicherungsnummer – unter den Begriff der Gesundheitsdaten, wenn sie Informationen zum Gesundheitszustand der betroffenen Person enthalten.[606]
264
Nach ErwG 35 S. 2 werden auch Angaben zur Inanspruchnahme von Gesundheitsdienstleistungen die im Zuge der Anmeldung sowie der Erbringung von Gesundheitsdienstleistungen im Sinne der RL (EU) 2011/24 erhoben werden unter den Begriff der Gesundheitsdaten gefasst. Dadurch werden alle Formen der Organisation und Erbringung von Gesundheitsleistungen erfasst. So fallen etwa im Rahmen einer Anmeldung erhobene Anamnesedaten oder Dienstleistungen im Rahmen von Pflegediensten unter diese Fallgruppe.[607]
265
Die besondere Sensibilität von Gesundheitsdaten folgt insbesondere aus den möglichen Auswirkungen für den Betroffenen, wie dem Diskriminierungspotenzial.[608] Das Datenschutzrecht knüpft damit an rechtliche Grundsätze an, die bereits in § 203 StGB und § 35 SGB I Eingang gefunden haben und so dem Betroffenen im Falle einer gesundheitlichen Notsituation und Hilfebedürftigkeit versichern, dass ihnen keine Nachteile aus einer unrechtmäßigen Datenverarbeitung oder einer Weitergabe an Dritte erwachsen.[609] Auf der anderen Seite betont die Datenethikkommission aber auch die signifikante Bedeutung von Gesundheitsdaten zu Forschungszwecken, zur Förderung der Prävention sowie zur Entwicklung neuer diagnostischer und therapeutischer Maßnahmen.[610]
3. Praxisbeispiele
266
Da es ausweislich des Wortlauts des Art. 4 Nr. 15 sowie des ErwG 35 nicht darauf ankommt, wer die Gesundheitsdaten generiert, ist in der Praxis insbesondere die Nutzung von Lifestyle- und Gesundheits-Apps relevant, bei denen die Benutzer oftmals selbst die Daten generieren und erheben.[611] So werden von Nutzern smarter Endgeräte oftmals im Fitnessbereich Pulsmessungen durchgeführt oder Laufwege der Joggingstrecke aufgezeichnet und ausgewertet. Zur Gewährleistung der Rechtmäßigkeit der Verarbeitung solcher Gesundheitsdaten sind dabei insbesondere die Anforderungen an eine wirksame Einwilligung[612] der Nutzer zu beachten. Darüber hinaus ist sonstigen Datenschutzprinzipien wie dem Zweckbindungsgrundsatz[613] und dem Gebot der Datensparsamkeit[614] Rechnung zu tragen. Gerade Auswertungen von Gesundheitsdaten im Rahmen von Big Data-Anwendungen[615] werden Verantwortliche hinsichtlich einer genauen Zweckbestimmungen vor dem Hintergrund der erhöhten Anforderungen an eine Verarbeitung aus Art. 9 vor Herausforderungen stellen.
1. Allgemeines
267
Der Begriff der Hauptniederlassung wird in Art. 4 Nr. 16 definiert.
a) Abgrenzung zum Begriff der Niederlassung
268
Der mit dem Begriff der Hauptniederlassung eng verknüpfte Begriff der Niederlassung hat keine ausdrückliche Definition in der DS-GVO erfahren.[616] Gleichwohl wird dieser Begriff in Art. 4 Nr. 16 zugrunde gelegt, so dass zunächst Inhalt und Reichweite des Niederlassungsbegriffs zu klären sind, bevor auf den Begriff der Hauptniederlassung Bezug genommen wird.
269
Insofern legen ErwG 22 S. 2 und 3 fest, dass es sich dabei um eine feste Einrichtung handelt, wo die effektive und tatsächliche Ausübung der Tätigkeit stattfindet: Dabei ist unerheblich, welche Rechtsform diese Einrichtung aufweist oder ob es sich um eine Tochtergesellschaft mit eigener Rechtspersönlichkeit oder eine Zweigstelle ohne eigene Rechtspersönlichkeit handelt. Die DS-GVO übernimmt mit ErwG 22 somit die bereits im Rahmen der DSRL maßgebliche Definition des Art. 4 Abs. 1 lit. a DSRL.
270
Der Begriff der Niederlassung folgt damit einer flexiblen kontextbezogenen Betrachtungsweise und erfolgt nicht formalistisch.[617] Insofern befindet sich die Niederlassung eines Unternehmens[618] nicht dort, wo es eingetragen ist. Um festzustellen, ob ein Unternehmen, das für eine Datenverarbeitung verantwortlich ist, über eine Niederlassung verfügt, ist vielmehr der Grad an Beständigkeit der Einrichtung sowie die effektive Ausübung der wirtschaftlichen Tätigkeiten unter Beachtung des besonderen Charakters der Tätigkeit und der in Rede stehenden Dienstleistungen auszulegen.[619] Insofern ist auch eine Datenverarbeitung, die durch eine Niederlassung im Rahmen von Werbemaßnahmen gefördert wird, in diese Abwägung miteinzubeziehen.[620] Eine Niederlassung kann dabei auch unter Umständen in einer effektiven und tatsächlichen Tätigkeit, die nur geringer Natur ist, gesehen werden. Dies gilt etwa dann, wenn die Zweitniederlassung nur in Person eines Vertreters besteht.[621] Diese flexible Betrachtungsweise ist somit einer Prüfung des Begriffs der Hauptniederlassung voranzustellen. Hat der Verantwortliche oder der Auftragsverarbeiter indes nur eine Niederlassung in der Union, stellt sich die Frage nach einer bestehenden Hauptniederlassung nicht.[622]
b) Systematik und Verhältnis zu anderen Vorschriften der DS-GVO
271
Art. 4 Nr. 16 enthält zwei Tatbestandsalternativen: Die Hauptniederlassung eines Verantwortlichen[623] findet sich in Art. 4 Nr. 16 lit. a. Die Hauptniederlassung eines Auftragsverarbeiters[624] ist in Art. 4 Nr. 16 lit. b geregelt.
272
Insofern ergibt sich bereits aufgrund der Begrifflichkeiten ein unmittelbarer Bezug zu Art. 4 Nr. 7 und Art. 4 Nr. 8.
273
Art. 4 Nr. 16 und der Begriff der Hauptniederlassung haben insbesondere Bedeutung für die Bestimmung der federführenden Aufsichtsbehörde aus Art. 56.[625] Beschlüsse der federführenden Aufsichtsbehörde etwa werden an die Hauptniederlassung übermittelt, vgl. Art. 60 Abs. 7 und 9[626].