In einem Verfahren vor der DSB wurde u.a. geklärt, ob die Sozialversicherungsnummer ein Gesundheitsdatum iSd Art 4 Z 15 DSGVO bzw. Art 9 Abs 1 DSGVO ist. Der Bescheid ist nicht rechtskräftig.
Der Sachverhalt
Das AMS hat am 09. Juni 2018 an einen Betroffenen ein E-Mail gesandt, und dabei im Betreff des E-Mails die Sozialversicherungsnummer verwendet. Die DSB hat dazu entschieden, dass dies „unangemessen“ ist, und im Blog wurde bereits darüber berichtet.
Ergänzend zum Leistungsauftrag an das AMS, diese Praxis zu ändern, hat die DSB aber auch zur Qualifikation der Sozialversicherungsnummer als „schlichtes“ Datum oder Gesundheitsdatum (siehe Art 4 Z 15 DSGVO und Art 9 Abs 1 DSGVO) eine Aussage getroffen.
Die Entscheidung
Bisher war umstritten, ob die SVNR ein Gesundheitsdatum darstellt, da zB ErwG 35 DSGVO auf „Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren“ Bezug nimmt.
Die DSB hat entschieden, dass die SVNR – mangels Bezug auf den Gesundheits- oder Krankheitszustand – einer natürlichen Person nicht als Gesundheitsdatum iSd Art 4 Z 15 DSGVO bzw. Art 9 Abs 1 DSGVO zu qualifizieren ist.
Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person gehen aus der SVRN nicht (direkt) hervor, sodass diese als schlichtes Datum iSd DSGVO zu qualifizieren ist.
Entscheidend ist– wie bei Bilddaten (vgl. DSB-D202.207/0001-DSB/2018 mwN vom 7. Juni 2018) – der Kontext an, ob ein sensibles Datum iSd Art 9 DSGVO gegeben ist, oder nicht.
Eine Krankenanstalt, die die SVNR im Rahmen der Patientendatenverwaltung verwendet, verarbeitet ein Gesundheitsdatum. Eine Bausparkasse, die dieselbe SVNR im Rahmen der Anforderung des zu erstattenden Steuerbetrages verwendet, oder ein Rechtsanwalt, der diese im Rahmen der Abwicklung der Grunderwerb- bzw Immobilienertragssteuer verarbeitet, verwenden dabei kein Gesundheitsdatum.
Auszug aus dem Bescheid vom 09. April 2019 (Hervorhebungen durch den Verfasser, der am Verfahren beteiligt war):
„Dazu gilt festzuhalten, dass der in Art. 4 Rz. 15 DSGVO verwendete Begriff „Gesundheitsdaten“ weit auszulegen ist (vgl. zu Art. 8 Abs. 1 der Richtlinie 95/46 das Urteil des EuGH vom 6. November 2003, C-101/01, Rs Lindqvist, Rz 50) und dass nach ErwGr. 35 zweiter Satz DSGVO Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren, als Gesundheitsdatum zu qualifizieren sind.
Allerdings erhellt aus Art. 4 Rz. 15 sowie ErwGr. 35 erster Satz DSGVO, dass aus Gesundheitsdaten jedenfalls Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen müssen. Unter Berücksichtigung dieser Überlegung sind Kennziffern iSv ErwGr. 35 zweiter Satz DSGVO nicht per se als Gesundheitsdatum zu qualifizieren, sondern muss auch im Hinblick auf solche Kennziffern ein gewisser Bezug zu Informationen über den Gesundheitszustand bestehen.
Davon ausgehend ist darauf abzustellen, ob die SVNR im Zusammenhang mit einer sich auf den Gesundheitszustand der betroffenen Person beziehenden Verarbeitung verwendet wird (etwa bei der Anmeldung in einem Krankenhaus), also wenn eine Gesundheitsdienstleistung in Anspruch genommen wird, nicht aber für andere Sozialleistungen, wie etwa in Angelegenheiten der Arbeitslosenversicherung, da in diesem Fall nicht der Gesundheitszustand betroffen ist und die SVNR zu einem bloßen Identifikator wird (vgl. Hödl in Knyrim (Hrsg), DatKomm Art. 4 Rz 157).
Der Umstand, dass Daten je nach Kontext als „bloß personenbezogenes Datum“ iSv Art. 4 Z 1 DSGVO oder als „sensibles Datum“ iSv Art. 9 Abs. 1 DSGVO zu qualifizieren sind, ergibt sich ferner aus ErwGr. 51 dritter Satz DSGVO, wonach etwa die Verarbeitung von Lichtbildern nicht grundsätzlich (und daher vom Einzelfall abhängig) als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden sollte (vgl. etwa den Bescheid der DSB vom 7. Juni 2018, GZ DSB-D202.207/0001-DSB/2018 mwN).
Kommentar schreiben