Jusletter IT

Was bedeutet Big Data für die Qualifikation als besonders schützenswerte Personendaten?

Das Beispiel der Gesundheitsdaten

  • Author: Roland Mathys
  • Category: Articles
  • Region: Switzerland
  • Field of law: Big Data, Open Data & Open Government, Data Protection, Health Law
  • Citation: Roland Mathys, Was bedeutet Big Data für die Qualifikation als besonders schützenswerte Personendaten?, in: Jusletter IT 21 May 2015
The ongoing discussion on data privacy around big data is currently dominated by the issue that big data analysis may result in the legal classification of non-personal data as personal data by building or re-establishing (e.g. after anonymization) a link to identified or identifiable individuals. It has up till now been far less debated whether, and on which conditions, «ordinary» personal data may become sensitive personal data in a big data context. This question shall be further explored in this paper, with a particular focus on health related data.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Daten, Personendaten und Persönlichkeitsprofile
  • 2.1. Daten und Personendaten
  • 2.2. Personendaten und Persönlichkeitsprofile
  • 3. Besonders schützenswerte Daten
  • 3.1. Begriff und Beispiele
  • 3.2. Rechtliche Relevanz der Qualifikation
  • 4. Daten über die Gesundheit
  • 4.1. Begriff
  • 4.1.1. Im Allgemeinen
  • 4.1.2. Im Kontext von Big Data
  • 4.2. Qualifikation von Personendaten als Gesundheitsdaten
  • 4.2.1. Grundlagen
  • 4.2.2. Anwendungsbeispiele
  • 4.2.3. Massgebliche Kriterien
  • 5. Fazit

1.

Einleitung ^

[1]

Wie schon der Begriff vermuten lässt, steht bei «Big Data» das Merkmal der Quantität an zentraler Stelle. Big Data bezeichnet «Datenmengen, die zu gross oder zu komplex sind oder sich zu schnell ändern, um sie mit händischen und klassischen Methoden der Datenverarbeitung auszuwerten».1 Abgestellt wird somit in erster Linie auf die Datenmenge.2

[2]
Das Kriterium der Qualität findet sich bei Big Data zunächst in der Komplexität der Daten, die sich in deren fehlender Struktur äussert. Darüber hinaus beeinflusst Big Data aber die Qualität im Sinne der Qualifikation von Daten auch in anderer Form: Mittels Big Data Analysetechniken können aus «gewöhnlichen» Daten Personendaten und aus «gewöhnlichen» Personendaten Persönlichkeitsprofile werden.
[3]
Bislang nur am Rande diskutiert wurde die Frage, ob aus «gewöhnlichen» Personendaten durch Big Data Analysen und Methoden besonders schützenswerte Personendaten entstehen können. Hierbei steht eine Ausprägung besonders schützenswerter Personendaten, nämlich die Gesundheitsdaten, im Vordergrund. Diese Frage soll im Folgenden nach grundsätzlichen Anmerkungen und Ausführungen zum Verständnis von Gesundheitsdaten anhand von Anwendungsbeispielen und unter Anwendung allgemeiner datenschutzrechtlicher Prinzipien vertieft werden.

2.

Daten, Personendaten und Persönlichkeitsprofile ^

2.1.

Daten und Personendaten ^

[4]
Das schweizerische Datenschutzgesetz (DSG) definiert Personendaten als «alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen» (Art. 3 Bst. a DSG). Begriffsinhärentes Qualifikationsmerkmal stellt somit der Personenbezug der Daten dar. Daten und damit auch Big Data können verschiedenste Sach- und Lebensbereiche zum Gegenstand haben und weisen zunächst nicht notwendigerweise einen Personenbezug auf. Wo dieser fehlt, geht es nicht um Personendaten, und die Datenschutzgesetzgebung findet entsprechend keine Anwendung.
[5]
Ein Personenbezug kann entweder bereits bei der Datenbeschaffung bestehen (Beispiel: Einkauf mit einer Kundenkarte des Verkäufers) oder erst später durch Kombination von Daten aus verschiedenen Quellen hergestellt werden (Beispiel: Einkauf mit einer Kreditkarte, anschliessender Datenabgleich über die Kreditkartennummer). Durch diesen Vorgang werden «gewöhnliche» (d.h. nicht dem DSG unterstehende) Daten zu Personendaten im Sinne des DSG. Eine vergleichbare Konstellation ist bei anonymisierten Personendaten denkbar: Bei der Anonymisierung werden die personenbezogenen Merkmale (z.B. Name, AHV-Nummer) entfernt.3 Die Anwendung von Big Data Analysetechniken kann es ermöglichen, den eliminierten Personenbezug nachträglich wieder herzustellen (sog. De-Anonymisierung bzw. Re-Identifikation). Folgendes Beispiel mag dies illustrieren: Das Geburtsdatum, die Postleitzahl und das Geschlecht reichen je für sich alleine als Merkmale zur Identifikation von Bürgerinnen und Bürgern der USA nicht aus. Werden diese drei Elemente jedoch kombiniert, können dadurch bereits deutlich über 80% der US-Amerikanerinnen und Amerikaner eindeutig identifiziert werden.4

2.2.

Personendaten und Persönlichkeitsprofile ^

[6]
Gemäss Art. 3 Bst. d DSG handelt es sich bei einem Persönlichkeitsprofil um eine «Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt».
[7]
Durch die Kombination und Analyse von Personendaten aus verschiedenen Lebensbereichen kann ein Persönlichkeitsprofil generiert werden. Man denke etwa an die Zusammenführung und Auswertung von Daten aus dem Konsumbereich mit Geolokalisierungsdaten, woraus Rückschlüsse nicht nur über das Konsumverhalten einer Person, sondern beispielsweise auch über deren Freizeitverhalten (z.B. Nutzung von Sporteinrichtungen) und Vermögenslage (z.B. Wohnquartier) gezogen werden können.

3.

Besonders schützenswerte Daten ^

3.1.

Begriff und Beispiele ^

[8]
Das DSG definiert den Begriff besonders schützenswerter Daten nicht, sondern stellt in Art. 3 Bst. c DSG einen Katalog auf, welche Daten als besonders schützenswert eingestuft werden. Demnach fallen unter diesen Begriff Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, über die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, über Massnahmen der sozialen Hilfe und über administrative oder strafrechtliche Verfolgungen und Sanktionen. Die Aufzählung ist abschliessend.5 Andere Kategorien von Personendaten, wie beispielsweise Daten betreffend die Einkommens- oder Vermögenssituation einer Person, gelten (unter dem DSG) nicht als besonders schützenswert.

3.2.

Rechtliche Relevanz der Qualifikation ^

[9]

So wie die Qualifikation von Daten als Personendaten von weitreichender Bedeutung ist und letztlich über die Anwendbarkeit des DSG auf solche Daten entscheidet, kommt auch der Einstufung von Personendaten als besonders schützenswerte Daten erhebliche rechtliche Relevanz zu. Das DSG enthält für diese qualifizierte Form von Personendaten zahlreiche Sonderbestimmungen, wonach die Datenbearbeitung untersagt, eingeschränkt oder an erhöhte Voraussetzungen geknüpft wird.6

[10]
Die Einwilligung in eine Bearbeitung besonders schützenswerter Daten muss ausdrücklich erfolgen (Art. 4 Abs. 5 DSG). Sammlungen solcher Daten müssen bei deren regelmässiger Bearbeitung beim Eidgenössischen Datenschutz- und Informationsbeauftragten (EDÖB) registriert werden (Art. 11a Abs. 3 Bst. a DSG). Besonders schützenswerte Daten dürfen nicht ohne Rechtfertigungsgrund an Dritte bekannt gegeben werden (Art. 12 Abs. 2 Bst. c DSG), und die betroffenen Personen müssen über die Beschaffung solcher Daten (auch bei Dritten) informiert werden (Art. 14 DSG). Gerade die beiden letzten Schranken können einschneidende Wirkungen haben, und bei der Informationspflicht stellt sich im Kontext von Big Data gar die Frage nach der praktischen Umsetzbarkeit.

4.

Daten über die Gesundheit ^

[11]
Für die folgenden Betrachtungen stehen die Daten über die Gesundheit wegen ihrer besonderen Eignung für Big Data Analysen und ihrer grossen kommerziellen Bedeutung im Vordergrund.

4.1.

Begriff ^

4.1.1.

Im Allgemeinen ^

[12]
Das DSG äussert sich nicht näher dazu, was unter «Daten über die Gesundheit» zu verstehen und damit als besonders schützenswert zu qualifizieren ist. Gemäss Botschaft fallen darunter nicht schlechthin alle Angaben über den körperlichen Zustand einer Person, sondern medizinische Befunde, die sich für den Betroffenen negativ auswirken können.7 Als Beispiele werden in der Literatur unter anderem die Abhängigkeit von einem Suchtmittel oder Angaben über den BMI (body mass index) als Hinweis auf Adipositas genannt.8
[13]
Es stellt sich die Frage, ob diese hergebrachte und tendenziell enge Begriffsdeutung den Herausforderungen im Kontext von Big Data noch gerecht werden kann. Neuere Entwicklungen deuten auf eine Ausweitung des Begriffs hin: In der EU wird der Begriff der Gesundheitsdaten im Rahmen des Vorschlags zu einer Datenschutz-Grundverordnung wesentlich weiter gefasst und umfasst beispielsweise auch Angaben über blosse Krankheitsrisiken einer Person.9 Die Article 29 Data Protection Working Party der EU hat sich mehrfach mit dem Konzept besonders schützenswerter Daten im Allgemeinen10 und erst neulich mit dem Begriff der Gesundheitsdaten im Besonderen vertieft und unter Berücksichtigung neuer Technologien (insbesondere Gesundheits-Apps und entsprechende «Wearables»)11 auseinandergesetzt. Auf die dortigen Überlegungen, die auch für Big Data Relevanz beanspruchen, wird im Folgenden Bezug genommen.

4.1.2.

Im Kontext von Big Data ^

[14]
Der Begriff der Gesundheitsdaten geht wesentlich weiter als jener der medizinischen Daten.12 Gesundheitsdaten können auch dort vorliegen, wo es an einem unmittelbaren medizinischen Kontext fehlt (z.B. Angaben über Allergien einer Person).13 Für eine weite Begriffsauslegung spricht auch, dass die Grenze zwischen Gesundheit und Lifestyle immer mehr verschwindet; so führen Dermatologen oder Zahnärzte auch Behandlungen durch und nehmen Eingriffe vor, die nicht medizinisch indiziert, sondern primär kosmetische Zwecke verfolgen. Zudem wird in der medizinischen Forschung immer mehr auf Korrelationen zwischen Lifestylefaktoren und dem Auftreten bestimmter Krankheiten oder Gebrechen abgestellt.14
[15]

Von Gesundheitsdaten kann nicht nur dort gesprochen werden, wo diese auf einen negativen Gesundheitszustand im Sinne eines Gebrechens oder einer Krankheit hindeuten.15 Auch der Umstand, dass eine Person an einer bestimmten Krankheit nicht leidet bzw. als «gesund» eingestuft wird, betrifft Gesundheitsdaten, die besonderen Schutz verdienen (man denke etwa an das Interesse von Lebensversicherungen an genau solchen Daten).16

[16]
Weiter ist es für die Qualifikation als Gesundheitsdaten nicht erforderlich, dass die erhobenen Daten als gesichert oder verlässlich gelten. Somit zählen auch Informationen über eine wahrscheinlich bestehende Krankheit oder über eine mutmassliche Veranlagung für ein Leiden zu den Gesundheitsdaten.17 Bereits der Umstand, dass eine Person sich einer (nicht routinemässigen) Untersuchung (z.B. Hörtest18) unterzieht, kann unter die Gesundheitsdaten fallen. Konsequenterweise wird für die Einstufung als Gesundheitsdaten auch deren Richtigkeit nicht vorausgesetzt. Der Eingriff in die Persönlichkeit des Einzelnen kann bei unrichtigen Daten – gerade im Gesundheitsbereich – wesentlich schwerer wiegen als bei Richtigkeit der Daten, beispielsweise wenn der Versicherungsschutz aufgrund einer falschen Krankheitsdiagnose verwehrt würde.19 Dieser Faktor spielt bei Big Data eine entscheidende Rolle, da die gewonnenen Erkenntnisse oft aus der Auswertung von Korrelationen resultieren, die generell zwar mit einer hohen Wahrscheinlichkeit zutreffen mögen, deren Richtigkeit im Einzelfall aber kaum je mit Sicherheit festgestellt werden kann.
[17]
Zusammenfassend ist von einem weiten Begriff der Gesundheitsdaten auszugehen, der neben medizinischen auch weitere gesundheits- und lifestylebezogene Daten einschliesst. Dabei spielt es keine Rolle, auf welchen Gesundheitszustand diese Gesundheitsdaten hindeuten und ob es sich um erhärtete bzw. korrekte Daten handelt. Auch – und gerade – unrichtige Daten über die Gesundheit sind aufgrund ihres Gefahrenpotenzials besonders schützenswert.

4.2.

Qualifikation von Personendaten als Gesundheitsdaten ^

4.2.1.

Grundlagen ^

[18]
Von Gesundheitsdaten kann zunächst dort gesprochen werden, wo bereits ein einzelnes Datenobjekt für sich alleine betrachtet gesundheitsrelevant ist, wie dies beispielsweise auf einen ärztlichen Befund oder ein Rezept für ein verschreibungspflichtiges Heilmittel zutrifft. Die Qualifikation solcher Daten wirft bei Big Data keine zusätzlichen Fragen auf, weshalb diese Konstellation hier nicht weiter betrachtet werden muss.
[19]
Eine vertiefte Analyse ist dort angezeigt, wo ein einzelnes Datum noch nichts über die Gesundheit einer Person aussagt. Das Datenelement kann einen Gesundheitsbezug im weitesten Sinne aufweisen (z.B. einzelne Pulsmessung innerhalb der Norm), ohne deswegen bereits unter die Gesundheitsdaten zu fallen.20 Oder aber das einzelne Datenobjekt kann überhaupt nicht mit der Gesundheit einer Person in Verbindung gebracht werden (z.B. Konsumation einer glutenfreien Mahlzeit in einem Restaurant).
[20]
Werden diese für sich alleine betrachtet «gewöhnlichen» Personendaten mit weiteren, gleichartigen oder anderen Daten kombiniert, die beispielsweise entlang einer Zeitachse erhoben werden, stellt sich die Frage nach deren Qualifikation als Gesundheitsdaten von neuem.21

4.2.2.

Anwendungsbeispiele ^

[21]
Die nachfolgenden Anwendungsbeispiele illustrieren, wie aus der Kombination und Auswertung «gewöhnlicher» Personendaten Erkenntnisse gewonnen werden, die mit dem Gesundheitszustand einer Person in Verbindung gebracht werden können:
  • Mit Fitness-Armbändern werden das Bewegungsverhalten (Anzahl Schritte), der Puls und das Schlafverhalten (Bewegungsaktivität während der Nacht) gemessen. Zudem kann der Armbandträger Informationen zu eingenommenen Mahlzeiten und zu seiner Befindlichkeit selbst erfassen. Während jede dieser Informationen bei isolierter Betrachtung kaum Hinweise auf den Gesundheitszustand einer Person zulässt, liefert die Kombination und Analyse dieser Daten über einen längeren Zeitraum Erkenntnisse über die Entwicklung des Pulses, die Zeitdauer, bis sich der Puls nach einer sportlichen Aktivität (hoher Puls, grosse Anzahl Schritte in kurzer Dauer) normalisiert hat, mögliche Schlafstörungen und deren Einfluss auf die Befindlichkeit oder den Hang zu Adipositas (stark fett- oder zuckerhaltige Ernährung und wenig Bewegung).
  • Einzelhändler bieten ihren Kunden verschiedenartige Loyalitätsprogramme an. Im Rahmen solcher Programme werden die Transaktionsdaten aller Einkäufe erhoben, was deren spätere Auswertung im Rahmen von Warenkorbanalysen ermöglicht. Der Warenkorb eines isolierten Einkaufs (z.B. laktosefreie Milch, Wein, Pommes Chips, Zigaretten) hat dabei kaum Aussagekraft. Die Analyse der Einkäufe über einen längeren Zeitraum lässt aber möglicherweise Schlüsse auf den Konsum von Suchtmitteln, auf Laktoseintoleranz oder auf Hang zu Fettleibigkeit zu.
  • Der Besuch einer einzelnen Website durch eine Person oder das Aufschalten eines einzelnen Eintrags in einem Blog lassen kaum Rückschlüsse auf deren Gesundheit zu. Anders ist dies möglicherweise dann zu beurteilen, wenn das Surfverhalten oder die «Posts» einer Person über einen längeren Zeitraum erfasst und analysiert werden: Die häufige Verwendung bestimmter Suchbegriffe und der Besuch der als Treffer angezeigten Websites (z.B. Informationsseiten über eine spezifische Krankheit, Websites von Selbsthilfegruppen wie Weight Watchers oder Anonyme Alkoholiker22) können Hinweise darauf geben, dass die betreffende Person an einer bestimmten Krankheit oder Sucht leidet.23

4.2.3.

Massgebliche Kriterien ^

[22]
Die Anwendungsbeispiele im vorangehenden Abschnitt haben das Potenzial aufgezeigt, aus «gewöhnlichen» Personendaten durch Kombination mit weiteren Daten und Anwendung von Big Data Analysemethoden einen Gesundheitsbezug abzuleiten. Dies kann aber nicht dazu führen, schlechthin alle Personendaten im Hinblick auf einen potenziellen Gesundheitsbezug als besonders schützenswert einzustufen. Es stellt sich vielmehr die Frage nach der Grenzziehung und den hierfür massgeblichen Kriterien. Hierbei sind verschiedene Ansätze denkbar:
  • Abzustellen ist zunächst auf die Datenmenge als objektive Komponente: Eine gewisse quantitative Erheblichkeit muss vorliegen. Ein einzelnes Datenelement wird die Voraussetzungen für den Gesundheitsbezug nicht erfüllen, eine Gesamtheit von Rohdaten dagegen eher. Beispielsweise werden aus den Daten eines Fitnesstrackers erst dann gesundheitsbezogene Schlüsse abgeleitet werden können, wenn diese nicht nur über wenige Tage, sondern über mehrere Monate erhoben werden.24
  • Neben der reinen Datenquantität ist die Datenqualität als einschränkendes objektives Kriterium zu berücksichtigen: Zwischen den Rohdaten und der Möglichkeit, Schlüsse auf die Gesundheit zu ziehen, muss eine nachweisbare Beziehung bestehen, d.h. die Rohdaten müssen für diesen Zweck grundsätzlich geeignet sein.25 Dadurch soll verhindert werden, dass schlechthin jede grössere Datensammlung als Gesundheitsdaten qualifiziert wird. Der Konnex muss allerdings nicht unmittelbar bestehen, wie das Beispiel der Warenkorbanalyse von Nahrungsmitteln zeigt. Wie bereits dargelegt ist auch nicht erforderlich, dass die aus den Rohdaten gezogenen Schlüsse im Einzelfall zutreffen.
  • Bei einer Grenzziehung anhand rein objektiver Kriterien würden aufgrund der Datenmenge und grundsätzlichen Eignung für Gesundheitszwecke sehr viele Datensammlungen unter den Begriff der Gesundheitsdaten fallen. Als einschränkendes subjektives Kriterium sollte deshalb auch auf den beabsichtigten Gebrauch der Daten abgestellt werden.26 Falls geplant ist, die Rohdaten für gesundheitsbezogene Zwecke zu nutzen und daraus entsprechende Schlüsse zu ziehen, handelt es sich um Gesundheitsdaten. Für die Bestimmung zulässiger Bearbeitungszwecke gilt das Zweckbindungsprinzip (Art. 4 Abs. 3 DSG), wonach Personendaten nur zu dem Zweck bearbeitet werden dürfen, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.
[23]
Sind die Rohdaten sowohl für Gesundheitszwecke grundsätzlich geeignet als auch für diese Nutzung vorgesehen, fallen nicht erst die aus den Rohdaten gewonnenen bzw. abgeleiteten Verdichtungen, Analysen oder Erkenntnisse unter den Begriff der Gesundheitsdaten, sondern bereits die Basisdaten als solche.27 Andernfalls würden widersprüchliche Rechtsfolgen resultieren: Beispielsweise wäre die Bekanntgabe personenbezogener Auswertungen von Gesundheitsdaten an Dritte durch den Inhaber der Datensammlung aufgrund von Art. 12 Abs. 2 Bst. c DSG ohne Rechtfertigungsgrund unzulässig, während die Bekanntgabe der Rohdaten und Auswertung dieser Daten durch den Empfänger bei Beachtung der allgemeinen Grundsätze als rechtmässig eingestuft würde.

5.

Fazit ^

[24]

Der Einsatz von Daten für Big Data Analysen kann dazu führen, dass an sich «gewöhnliche» Personendaten als besonders schützenswerte Daten einzustufen sind, was namentlich für Gesundheitsdaten zutrifft. Da die Bearbeitung besonders schützenswerter Daten stärkeren Restriktionen und erhöhten Anforderungen unterliegt, muss sich jeder Inhaber grösserer Sammlungen von Rohdaten bereits bei der Datenbeschaffung mit der Frage auseinandersetzen, ob es sich hierbei potenziell um Gesundheitsdaten handelt.

[25]
Die Grenzziehung zwischen «gewöhnlichen» Personendaten und Gesundheitsdaten fällt dabei nicht leicht. Abzustellen ist nach hier vertretener Auffassung im Wesentlichen auf drei Kriterien: Die Datenquantität, die eine gewisse Erheblichkeit aufweisen muss; die Datenqualität im Sinne einer generellen Eignung der Verwendung oder Auswertung für Gesundheitszwecke; und schliesslich die geplante Nutzung für Gesundheitszwecke im Einzelfall. Sind diese Voraussetzungen erfüllt, zählen die entsprechenden Rohdaten zu den besonders schützenswerten Gesundheitsdaten.

 

Roland Mathys, lic.iur. et lic.oec.publ., LL.M. (LSE), Rechtsanwalt / Partner, Schellenberg Wittmer AG, Zürich, roland.mathys@swlegal.ch.

  1. 1 https://de.wikipedia.org/wiki/Big_Data (alle Internetquellen zuletzt besucht am 27. April 2015).
  2. 2 Auch bei den bis zu sieben «V’s», mit denen Big Data oft charakterisiert wird (u.a. Velocity, Variety), wird das Merkmal «Volume» jeweils an erster Stelle genannt; vgl. etwa Eileen McNulty, Understanding Big Data: The Seven V’s (abrufbar unter: http://dataconomy.com/seven-vs-big-data/).
  3. 3 Rosenthal, in Rosenthal/Jöhri, Handkommentar zum Datenschutzgesetz, 2008, Rz. 35 zu Art. 3 DSG.
  4. 4 Gemäss einer Studie von Latanya Sweeney, Simple Demographics Often Identify People Uniquely, 2000, S. 30 (abrufbar unter http://dataprivacylab.org/projects/identifiability/paper1.pdf) liessen sich 87.1% der US-Bevölkerung anhand dieser drei Kriterien eindeutig identifizieren.
  5. 5 Rosenthal, a.a.O., Rz. 46 zu Art. 3 DSG.
  6. 6 Eingehend Rosenthal, a.a.O., Rz. 44 zu Art. 3 DSG.
  7. 7 BBl 1988 II 413, 446.
  8. 8 Rosenthal, a.a.O., Rz. 48 zu Art. 3 DSG.
  9. 9 Vgl. Leitsatz 26 der Präambel zum Vorschlag für eine Datenschutz-Grundverordnung vom 25. Januar 2012, KOM(2012) 11 endg.
  10. 10 Vgl. etwa Article 29 Data Protection Working Party, Advice paper on special categories of data («sensitive data»), April 2011, abrufbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/others/2011_04_20_letter_artwp_mme_le_bail_directive_9546ec_annex1_en.pdf.
  11. 11 Article 29 Data Protection Working Party, Health Data in Apps and Devices, abrufbar unter http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2015/20150205_letter_art29wp_ec_health_data_after_plenary_en.pdf (Letter) und http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2015/20150205_letter_art29wp_ec_health_data_after_plenary_annex_en.pdf (Annex).
  12. 12 Annex, S. 2.
  13. 13 Annex, S. 2.
  14. 14 Annex, S. 3.
  15. 15 Die Begriffsdeutung gemäss Botschaft (BBl 1988 II 413, 446) erscheint insoweit zu eng, als sie nur Befunde erfasst, die sich «für den Betroffenen negativ auswirken können», was eher auf einen schlechten Gesundheitszustand hindeutet.
  16. 16 Annex, S. 2.
  17. 17 Annex, S. 2.
  18. 18 Vgl. auch die Beispiele in Annex, S. 2.
  19. 19 Vgl. Annex, S. 1.
  20. 20 Annex, S. 3 f.
  21. 21 Annex, S. 3.
  22. 22 Annex, S. 2.
  23. 23 Vgl. auch das Beispiel in Annex, S. 3, wonach mittels Analyse von «Posts» in sozialen Medien versucht wird, frühzeitig Anzeichen einer möglichen Depression zu erkennen.
  24. 24 Beispiel gemäss Annex, Fussnote 5.
  25. 25 Annex, S. 4.
  26. 26 Annex, S. 4.
  27. 27 Vgl. auch Annex, Fussnote 5.