Der Begriff „Gesundheitsdaten“ im Sinne der Datenschutz-Grundverordnung (DSGVO) ist weit gefasst. Art. 4 Nr. 15 DSGVO definiert Gesundheitsdaten als „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person […] beziehen“.
Diese Definition umfasst allgemein verstanden also alle Daten, die Informationen über den Gesundheitszustand einer Person liefern können. Umstritten ist allerdings, wie weit der Anwendungsbereich des im ersten Moment recht unscheinbar klingenden Tatbestandsmerkmals „beziehen“ zu fassen ist.
Praktische Bedeutung erlangt die Einordnung maßgeblich dadurch, daß die Verarbeitung von Gesundheitsdaten grundsätzlich nur unter den in Art. 9 Abs. 2 DSGVO aufgeführten Voraussetzungen zulässig ist.
Der EuGH hat in der Vergangenheit, insbesondere im Urteil vom 4. Juli 2023 in der Rechtssache C-252/21 (Meta Platforms), eine strenge Interpretation vertreten. Hiernach können Daten als Gesundheitsdaten eingestuft werden, unabhängig davon, ob sie sachlich korrekt sind oder welchen Zweck sie verfolgen. Entscheidend ist, dass die Daten potenziell Rückschlüsse auf den Gesundheitszustand einer Person zulassen, ohne dass eine genaue Verifikation oder Kontextberücksichtigung erforderlich ist .
Generalanwalt Szpunar hingegen plädiert in seinen aktuellen Schlussanträgen vom 25.04.2024 im Verfahren Rechtssache C-21/23 nun für eine differenziertere Betrachtung.
Er argumentiert, dass sowohl der Inhalt der Daten als auch der Kontext ihrer Verarbeitung und der Grad der Sicherheit, mit dem Rückschlüsse auf den Gesundheitszustand gezogen werden können, berücksichtigt werden müssen. Für ihn ist maßgeblich, dass die Daten konkrete und nicht nur hypothetische Rückschlüsse auf die Gesundheit ermöglichen müssen. Dementsprechend seien Daten, die keine klaren Indizien für den Gesundheitszustand liefern, nicht als Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO zu klassifizieren .
Im Kontext von Bestellungen bei einer Online-Apotheke, speziell bei nicht verschreibungspflichtigen Arzneimitteln, vertritt der Generalanwalt auf dieser Basis somit die Ansicht, dass diese Daten nicht automatisch als Gesundheitsdaten zu charakterisieren sind. Er begründet dies damit, dass solche Bestellungen oft ohne konkreten Gesundheitsbezug erfolgen können, wie etwa der Kauf von Medikamenten auf Vorrat. Daher sei eine generelle Einstufung dieser Daten als Gesundheitsdaten zu weit gefasst und nicht immer gerechtfertigt .
Diese Auffassung widerspricht der bislang restriktiven Linie des EuGH zu diesem Thema und strebt eine engere und kontextabhängigere Auslegung an. Damit könnte die Praxis der Datenverarbeitung im Online-Handel erheblich beeinflusst werden, indem nur tatsächlich gesundheitsrelevante Daten unter den strengen Schutz des Art. 9 Abs. 1 DSGVO fallen .
Es bleibt nun abzuwarten, wie der EuGH auf diese Argumente reagiert und ob er seine bisherige strenge Auslegung modifiziert.
Eine praxisnähere und kontextbezogene Auslegung könnte die Regelungen der DSGVO anwendungsfreundlicher gestalten, ohne den Schutz sensibler Gesundheitsdaten zu schwächen.