Urteil des EuGH

In einem Urteil vom 21.12.2023 (Rs. C-667/21) hat der EuGH klargestellt, dass die Verarbeitung von Gesundheitsdaten nur rechtmäßig erfolgt, wenn neben den eigentlichen Voraussetzungen des Art. 9 DSGVO auch eine der Bedingungen aus Art. 6 Abs. 1 DSGVO erfüllt ist.

Zudem hat der EuGH festgelegt, dass der Art. 32 DSGVO die zentrale Regelung für die Sicherheit der Verarbeitung von personenbezogenen Daten ist. Demnach ist stets eine risikobasierte Auswahl von technischen und organisatorischen Maßnahmen zu treffen. Der Art. 9 DSGVO, in dessen Abs. 1 die Gesundheitsdaten explizit als besondere Datenkategorie angeführt werden, begründet keine zusätzlichen Verpflichtungen in Bezug auf die Sicherheit der Datenverarbeitung.  

Des Weiteren hat sich der EuGH auch mit Schadensersatzansprüchen befasst, die im Zuge einer womöglich unrechtmäßigen Verarbeitung von Gesundheitsdaten entstehen können. Demnach hat der Schadensersatzanspruch nach der DSGVO eine Ausgleichsfunktion und keine abschreckende oder strafende Funktion. Verantwortliche für die Datenverarbeitung müssen stets nachweisen können, dass Sie Handlungen, durch die für Betroffene ein Schaden entstanden ist, nicht zu vertreten haben. Allerdings spielt der Verschuldungsgrad des Verantwortlichen bei der Bemessung des Schadensersatzes keine Rolle.

Fallkonstellation

Im oben genannten Urteil ging es um einen Mitarbeiter der IT-Abteilung des medizinischen Dienstes der Krankenversicherung (MDK) Nordrhein, der für längere Zeit arbeitsunfähig wurde. Er bezog daher Krankengeld von seiner Krankenkasse. Diese beauftragte den MDK Nordrhein mit der Überprüfung der Arbeitsunfähigkeit des Mitarbeiters. Zu den Aufgaben der MDK gehört es medizinische Gutachten zur Arbeitsunfähigkeit von Versicherten zu erstellen, um Zweifel an deren Arbeitsunfähigkeit auszuräumen. Dies Aufgabe besteht auch fort, wenn solche Gutachten Mitarbeitende der MDK betreffen. Für die Erstellung des Gutachtens holte der MDK Nordrhein einige Informationen über den Mitarbeiter bei dessen Arzt ein. Hierüber informierte der Arzt den Mitarbeiter. Dieser reichte daraufhin Klage beim Arbeitsgericht Düsseldorf ein. Der Mitarbeiter führte in seiner Klage an, dass Ihm durch die Verarbeitung seiner personenbezogenen Daten - im Rahmen der Gutachtenerstellung - ein immaterieller Schaden gemäß Art. 82 Abs. 1 DSGVO entstanden sei. Der MDK Nordrhein müsse ihm Schadensersatz leisten. Schließlich hätte ein anderer MDK seinen Fall übernehmen müssen.  Der Schutz seiner personenbezogenen Daten sei nicht ausreichend gewesen.

Die Klage des Mitarbeiters wurde sowohl in erster als auch in zweiter Instanz abgewiesen. Daraufhin ging der Mitarbeiter in Revision vor dem Bundesarbeitsgericht (BAG). Das BAG entschied das Verfahren auszusetzen und dem EuGH die relevanten Fragestellungen zur Vorabentscheidung vorzulegen. Der EuGH beantwortete die Fragen am 21. Dezember 2023 und traf dabei sehr wesentliche Entscheidungen für das Datenschutzrecht. Wie bereits in diesem Beitrag angeführt, betreffen die Ausführungen des EuGH vornehmlich die Verarbeitung von Gesundheitsdaten.

Fazit

Der EuGH hat mit seinem aktuellen Urteil für mehr Rechtssicherheit gesorgt. Diese Sicherheit ist gerade bei der Verarbeitung von besonderen Kategorien personenbezogener Daten erforderlich. Die Verantwortlichen benötigen bei der Verarbeitung von sensiblen Daten eine gewisse Verlässlichkeit und auch eine Rechtsklarheit. Das gilt ebenfalls für mögliche Schadensersatzansprüche nach der DSGVO, die Personen gegenüber den Verantwortlichen unter bestimmten Voraussetzungen geltend machen können.    

Das Urteil ist somit positiv zu bewerten. Die Einschätzungen des EuGH sind nachvollziehbar und kommen nicht überraschend. Allerdings hat der EuGH zusätzlich klargestellt, dass die engen Grenzen für die Verarbeitung von Gesundheitsdaten nicht zur Folge haben dürfen, dass andere zentrale Regelungen der DSGVO entgegen Ihrem unmissverständlichen Wortlaut ausgelegt werden dürfen. Als Beispiel für eine solche Regelung hat der EuGH den Art. 32 DSGVO, angeführt, der zentral die Sicherheit der Verarbeitung von personenbezogenen Daten vorgibt.

Die eindeutige Klarstellung des EuGH, das für die rechtmäßige Verarbeitung von Gesundheitsdaten eine Bedingung nach Art. 6 Abs. 1 DSGVO erfüllt sein muss, ist plausibel. Schließlich bezieht sich der Art. 6 DSGVO auf jede Datenverarbeitung; also damit auch auf die Verarbeitung besonderer Datenkategorien wie Gesundheitsdaten.    

Die weitere Festlegung des EuGH, das der Anspruch auf Schadensersatz nach der DSGVO eine Ausgleichsfunktion hat, ist einleuchtend. Schließlich geht es bei der Regelung des Art. 82 DSGVO darum, den erlittenen Schaden des Betroffenen im Verhältnis zu dem Verursacher des Schadens abzumildern und somit einen Ausgleich zwischen den Beteiligten herzustellen. Eine abschreckende oder strafende Wirkung soll über den Anspruch auf Schadensersatz nicht erzielt werden. Dies wird vielmehr über die allgemeinen Bedingungen für die Verhängung von Geldbußen sowie über die Regelung zu Sanktionen (Art. 83 und 84) in der DSGVO umgesetzt.