In Deutschland sorgt die Begrifflichkeit „Gesundheitsdatum“ bzw. die Zulässigkeit dessen Verarbeitung in der Praxis in regelmäßigen Abständen für Diskussionen. Seine Regelung findet diese Art von personenbezogenem Datum aus datenschutzrechtlicher Sicht in § 3 Abs. 9 Bundesdatenschutzgesetz (BDSG). Danach sind Daten betreffend die Gesundheit als besonders personenbezogene Daten zu bezeichnen und damit kurz gesagt also höchst sensible Daten. Eine Legaldefinition sucht man im BDSG wie auch in anderen Gesetzestexten jedoch vergebens.

Allgemein sind unter Gesundheitsdaten im Sinne des BDSG solche Angaben zu verstehen, die den körperlichen und geistigen Zustand eines Menschen betreffen. Dies spricht indes für eine weite Auslegung der Begrifflichkeit, sodass etwa auch die Information, jemand ist Brillenträger, als Gesundheitsdatum zu klassifizieren ist.

Sobald nun Gesundheitsdaten nach dem BDSG in irgendeiner Form verarbeitet werden, unterliegt dies besonderen Regelungen (siehe §§ 28 Abs. 6-9 BDSG). Insbesondere neuere Technologien mit ihren Funktionsweisen lassen sich aber oft schwierig unter einer dieser Normen fassen; stehen bleibt dann die Frage nach der Zulässigkeit der Datenverarbeitung, wie beispielsweise beim Einsatz von Wearables. Doch besonders bei einem Thema nehmen die Datenschützer stets eine abwehrende Haltung an: Die Übermittlung von Gesundheitsdaten in die USA. Anlass genug, sich einmal die Regelungen auf US-amerikanischer Seite anzusehen und der Frage nachzugehen, ob es dort eine vergleichbare Begrifflichkeit zur deutschen Gesetzeslage gibt.

Gegebenheiten in den USA

Eine zum deutschen Datenschutzgesetz im Ansatz vergleichbare Regelung bezüglich des Schutzes von Gesundheitsdaten findet sich in den Vorschriften 45 CFR 160.103 der Health Insurance Portability and Accountability Act (kurz: HIPAA) wieder, welche vorschreibt, dass alle Unternehmen im Gesundheitswesen strikte Regeln, die entwickelt wurden, um die Vertraulichkeit und Integrität von Patientendaten zu schützen, einzuhalten haben. Die Nichteinhaltung dieser Vorschriften führt mitunter zu schweren zivil- und strafrechtlichen Folgen (bspw. Geldstrafe in fünfstelliger Höhe oder sogar Gefängnisstrafe).

Im Rahmen der insofern als „health information“ bezeichneten Angaben heißt es  wörtlich:

„Health information means any information, including genetic information, whether oral or recorded in any form or medium, that:

(1) Is created or received by a health care provider, health plan, public health authority, employer, life insurer, school or university, or health care clearinghouse; and

(2) Relates to the past, present, or future physical or mental health or condition of an individual; the provision of health care to an individual; or the past, present, or future payment for the provision of health care to an individual.

Damit erscheint es so, dass zur Bezeichnung von Informationen als Gesundheitsdatum aus US-amerikanischer Sicht zunächst erst an eine bestimmte Personengruppe (bspw. Arzt, Gesundheitsamt, Arbeitgeber etc.), die sie erstellen bzw. empfangen können, angeknüpft wird und weniger an den generell körperlichen und geistigen Zustand des Betroffenen selbst, wie es iSd. BDSG geschieht. Erst in einem zweiten Schritt stellt man bei der Klassifizierung der Angabe auf den Zustand des Betroffenen ab. Die Einordnung von Informationen als Gesundheitsdatum ist daher in engeren Grenzen als im deutschen Recht möglich.

Fazit

Ein Blick ins US-amerikanische Recht zeigt, dass aus datenschutzrechtlicher Sicht zumindest hinsichtlich dieser Begrifflichkeit Klarheit gegeben ist und eine gewisse Vergleichbarkeit zur deutschen Klassifizierung von Informationen als Gesundheitsdatum besteht, auch wenn letztendlich das hiesige Verständnis des Begriffes „Gesundheitsdatum“ etwas weitgehender ist. Betrachtet man jetzt die bestehenden Bedenken im Zusammenhang mit der Übermittlung von Gesundheitsdaten in die USA, liegt dies jedoch sicher nicht an der engeren Definition von „health information“. Vielmehr besteht bei einer Datenübermittlung in die USA nach wie vor ein nennbares Risiko, dass unberechtigte Dritte auf die Daten zugreifen. Diese Missbrauchsgefahr soll aber gerade bei höchst sensiblen Daten wenn möglich gänzlich verhindert werden.