Gemäß Art. 4 Nr. 15 DSGVO [→ Datenschutz-Grundverordnung] sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen oder Standortdaten identifiziert werden kann.1)
Es ist fraglich, ob Informationen auch dann Gesundheitsdaten darstellen, wenn nicht mit Sicherheit, sondern nur mit einer gewissen Wahrscheinlichkeit davon auszugehen ist, dass die durch Name und Lieferadresse identifizierte oder identifizierbare natürliche Person auch das bestellte Medikament einnehmen wird und damit aus den Bestelldaten in ihrer Gesamtheit eine Information über ihren Gesundheitszustand hervorgeht.2)
Aus dem Wortlaut von Art. 4 Nr. 15 und Art. 9 Abs. 1 DSGVO und aus Erwägungsgrund 35 der Datenschutz-Grundverordnung ergeben sich keine eindeutigen Anhaltspunkte für die Beantwortung dieser Frage.3)
Allerdings hat der Gerichtshof der Europäischen Union zum Begriff der besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO entschieden, dass dieser mit Blick auf das Ziel der Datenschutz-Richtlinie und der Datenschutz-Grundverordnung, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen - insbesondere ihres Privatlebens - bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten, weit auszulegen ist4). Dies könnte dafür sprechen, dass Informationen auch dann Gesundheitsdaten darstellen, wenn nicht mit Sicherheit, sondern nur mit einer gewissen Wahrscheinlichkeit davon auszugehen ist, dass die durch Name und Lieferadresse identifizierte oder identifizierbare natürliche Person das bestellte Medikament auch einnehmen wird.5)
DSGVO → Datenschutz-Grundverordnung