Die Verarbeitung von Ernährungsdaten erfolgt heutzutage in allen möglichen Situationen. Bei der Buchung des Urlaubshotels oder in der firmeneigenen Kantine geben Kunden oder Mitarbeiter beispielsweise an, dass sie vegetarisch essen möchten. Aber auch bei der Nutzung verschiedenster Gesundheitsapps werden entsprechende Daten erhoben. Welcher Ernährungsform folgt der Benutzende, welche Unverträglichkeiten oder welches Ziel hat er. Das Ergebnis: Rezeptvorschläge, eine empfohlene Einnahme von (Makro-)Nährstoffen oder Push-Nachrichten, wann man was essen oder trinken soll. Doch welche Bedingungen gelten für die Verarbeitung solcher Ernährungsdaten?

Diätpräferenzen und Unverträglichkeiten als Daten mit Personenbezug

Die Tatsache, ob sich eine Person vegetarisch ernährt, eine Nussallergie oder eine Lactoseintoleranz hat, bezieht sich direkt auf die jeweilige natürliche Person. Daher liegen Daten mit Personenbezug vor. Es besteht zwar eine abstrakten Möglichkeit, durch die Ernährungsgewohnheiten einer Person z. B. Rückschlüsse auf ihre Gesundheit oder Weltanschauung zu ziehen, deshalb liegen jedoch noch keine konkreten personenbezogenen Daten vor. D. h. nur weil sich eine Person vegan ernährt, bedeutet dies nicht, dass sie linksliberal oder bei bester Gesundheit ist.

Grundsätzlich sind Daten wie Ernährungsgewohnheiten oder Diätpräferenzen also keine personenbezogenen Daten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO, deren Verarbeitung untersagt ist. Zu diesen Daten würden beispielsweise religiöse Zugehörigkeit, sexuelle Orientierung oder die Abstammung zählen. Allerdings sind hier zwei Ausnahmen zu beachten, die sehr wohl unter Art. 9 Abs. 1 DSGVO fallen:

  • Ernährt sich eine Person etwa nur koscher oder halal, so liegen Daten mit religiösem Kontext vor, also besondere personenbezogene Daten.
  • Geht es um Lebensmittelallergien, die beispielsweise im Rahmen der Anmeldung von Kindern in einem Kindergarten angegeben werden, handelt es sich definitiv um Gesundheitsdaten.

Da es sich in diesen Fällen, wie bereits oben beschrieben, um personenbezogene Daten handelt, benötigt man für die Verarbeitung von Ernährungsdaten gemäß Art. 6 DSGVO eine entsprechende Rechtsgrundlage.

Die rechtmäßige Verarbeitung von Ernährungsdaten

Ein Beispiel: Bei der Anmeldung für eine Gesundheits- oder Ernährungs-App wird abgefragt, ob die Nutzenden Ernährungspräferenzen oder Unverträglichkeiten haben und welches Ziel man für die eigene Gesundheit verfolgt – wie etwa 5 Kilo abzunehmen.  Da der Vertrag die Verarbeitung dieser Daten voraussetzt und ohne diese Daten nicht erfüllt werden kann, ist die Verarbeitung der Daten gemäß Art. 6 Abs. 1 lit. b DSGVO rechtmäßig. Entsprechendes gilt etwa bei Essensbestellungen. Gibt der Mitarbeiter in der Kantine an, den vegetarischen Menüvorschlag zu wählen, ist die Verarbeitung dieses personenbezogenen Datums zur Erfüllung des Vertrages rechtmäßig.

Zu beachten ist aber, dass entsprechend dem Datenminimierungsgrundsatz aus Art. 5 Abs. 1 lit. c) DSGVO nur die Daten eingeholt werden dürfen, die für die Erfüllung des jeweiligen Zwecks auch tatsächlich notwendig sind.

Ein Beispiel: Es werden Daten für das Essen bei ein Firmenevent oder einem Seminar in einer Liste gesammelt, um auf dieser Grundlage einen Caterer zu beauftragen oder einfach um zu erheben, was es einzukaufen gilt. Idealerweise sollten hier so wenig Daten wie möglich erhoben werden. Beispielsweise kann jeder Mitarbeiter durch Setzen eines Strichs auf einer Strichliste klarstellen, was er/sie essen möchte. Über das notwendige Maß für die Erhebung würde es aber hinausgehen, wenn jeder Mitarbeiter seinen Namen zur Bestellung schreibt. Das gilt insbesondere dann, wenn andere Mitarbeiter Einblick in die Liste haben. Über das notwendige Maß würde es auch hinausgehen, hier Ernährungsgewohnheiten abzufragen (z. B. ein Feld mit „ernähre mich vegetarisch“ zum Ankreuzen).

Für den jeweiligen Einkauf oder die Weitergabe ist die Verknüpfung zum jeweiligen Mitarbeiter nicht notwendig. Es reicht einem Caterer völlig aus, zu wissen, dass z. B. zwei Desserts ohne Nüsse zubereitet werden sollen.

Der Sonderfall

Und wie sieht es aus, wenn es sich um besondere personenbezogene Daten nach Art. 9 Abs. 1 DSGVO handelt? Es bedarf also einer genaueren Prüfung, aufgrund welcher Rechtsgrundlage die Verarbeitung erfolgt.

Greifen wir hierzu obiges Beispiel auf: Ein Kind wird im Kindergarten angemeldet. Da es dort regelmäßig Mittagessen gibt, fragt man die Eltern, ob das Kind an Lebensmittelallergien leidet. Wie oben bereits beschrieben, stellt dies besondere personenbezogene Daten dar. Erforderlich für die Verarbeitung ist hier die Einwilligung der Eltern, da die Verarbeitung eines solchen Gesundheitsdatums nur ausnahmsweie nach Art. 9 Abs. 2 lit. a) bis j) DSGVO erlaubt ist. Die Erfüllung des vertraglichen Verhältnisses zur Betreuung des Kindes ist hier nicht ausreichend.

Wenn es um die Erhebung besonderer personenbezogener Daten geht, sollte immer überprüft werden, ob es mildere Mittel zur gibt, um den gesetzten Zweck zu erfüllen. Möglicherweise kann die Erhebung ja umgangen werden. Bleibt man bei dem Kindergartenbeispiel, so ist es etwa nicht notwendig, bei der Anmeldung zu erheben, welcher Religion das Kind zugehörig ist. Denn über eine wöchentliche Essensauswahl, die die Eltern mit ihren Kindern ausfüllen können, kann ebenso geregelt werden, dass sich jedes Kind entsprechend der Religionszugehörigkeit ernährt.

Fazit

Grundsätzlich lassen sich diese Ausführungen zur Verarbeitung von Ernährungsdaten auf andere Themengebiete übertragen.
Zu beachten ist, ob besondere personenbezogene Daten gegeben sind, da deren Verarbeitung nur ausnahmsweise gemäß Art. 9 Abs. 2 DSGVO erlaubt ist. Darüber hinaus gilt immer, nur die Daten zu erheben, die auch tatsächlich notwendig sind und diese auch nur so lange zu speichern, bis der Zweck erfüllt ist. (Ernährungs)Daten sollten, soweit dies möglich ist, für einen wiederkehrenden Zweck erneut erhoben werden, statt etwaige Präferenzen beispielsweise in der Personalakte zu speichern.

Eine Einführung und weitere Beispiele für die Rechtmäßigkeit einer Datenverarbeitung finden Sie auch unter
https://sidit.de/blog/wann-duerfen-personenbezogene-daten-verarbeitet-werden/. Sollten Sie noch Fragen in diesem Bereich haben, sprechen Sie uns gerne an. Wir sind bundesweit tätig und unterstützen Sie gerne: info@sidit.de oder 0931-780 877-0.

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Kein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.