Europäischer Gerichtshof und Schadensersatz nach der Datenschutz-Grundverordnung (DSGVO)

Schlussanträge des Generalanwalts Manuel Campos Sánchez-Bordona vom 25. Mai 2023, Rechtssache C‑667/21

Die Datenschutz-Grundverordnung (DSGVO) räumt Betroffenen, deren personenbezogene Daten rechtswidrig verarbeitet wurden, einen Anspruch auf Schadensersatz ein. Doch wie wird dieser Anspruch in der Praxis geltend gemacht und berechnet? Und welche Rolle spielt das Verschulden des Verantwortlichen oder des Auftragsverarbeiters sowie das Verhalten der betroffenen Person? Diese Fragen beschäftigen derzeit den Europäischen Gerichtshof (EuGH) in einem Vorabentscheidungsverfahren aus Deutschland.

Das Wichtigste auf einen Blick

Wir klären, ob die allgemeinen Anforderungen (z.B. Art. 6 Abs. 1, 24, 32 DSGVO) neben den speziellen Regelungen (Art. 9 Abs. 2, Abs. 3 DSGVO) gelten - die Antwort ist grundsätzlich ja, jedoch abhängig vom Einzelfall. Wir erläutern auch, dass es eine verschuldensunabhängige Haftung auf DSGVO-Schadensersatz gibt. Interessant ist auch, dass Betroffene Schadensersatz verlangen können, selbst wenn sie den Verstoß gegen die DSGVO verursacht haben. Dabei wird der Schaden bei Mitverschulden nicht gemindert. Schließlich stellen wir klar, dass es keine ungeschriebenen Einschränkungen bei der Verarbeitung medizinischer Daten gemäß Art. 9 Abs. 3 DSGVO gibt.

DSGVO und Schadensersatzansprüche: Der Fall des Medizinischen Dienstes der Krankenversicherung (MDK)

Der Fall betrifft einen Mitarbeiter (ZQ) des Medizinischen Dienstes der Krankenversicherung (MDK), über den der MDK im Auftrag der zuständigen Krankenkasse ein Gutachten über seine Arbeitsunfähigkeit erstellt hat. Eigentlich hätte ZQ nach einer Dienstanweisung des MDK durch Dritte begutachtet werden können und müssen. ZQ erfuhr zufällig von der Erstellung des Gutachtens. Er ließ das Gutachten von einer Kollegin einsehen. ZQ war mit der Erstellung und Aufbewahrung des Gutachtens beim MDK unzufrieden. Er verlangte vom MDK Schadensersatz in Höhe von 20.000 Euro wegen Verletzung seiner Rechte nach der DSGVO. ZQ machte geltend, dass der MDK seine Gesundheitsdaten ohne seine Einwilligung und ohne sonstige Rechtsgrundlage verarbeitet habe. Auf die "normale" Rechtsgrundlage für MDK-Gutachten könne sich der MDK nicht berufen, da er in Personalunion Arbeitgeber sei (vgl. Art. 9 Abs. 2 lit. h DSGVO, § 275 Abs. 1 Satz 1 Nr. 3 lit. b SGB V) und keine Hindernisse bestanden hätten, das Gutachten durch Dritte erstellen zu lassen. Der MDK habe das Gutachten auch nicht speichern dürfen, da Arbeitgeber das Gutachten nicht erhalten (vgl. § 277 Abs. 2 Satz 1 SGB V). Insofern sei auch über Art. 9 Abs. 3 DSGVO hinaus zu fordern, dass die dort grundsätzlich zur Verarbeitung berechtigten Personen nicht Kollegen des Betroffenen sind. Zudem bedürfe es neben Art. 9 DSGVO auch eines Verarbeitungsgrundes nach Art. 6 Abs. 1 DSGVO. Der MDK lehnte den Antrag ab und argumentierte, er habe die Daten im Auftrag der Krankenversicherung verarbeitet. Außerdem habe ZQ den Schaden selbst verursacht, indem er eine Kollegin beauftragt habe, das Gutachten für ihn abzurufen.

Das mit dem Fall befasste Bundesarbeitsgericht hat dem EuGH mehrere Fragen zur Auslegung der DSGVO vorgelegt, die für alle, die personenbezogene Daten verarbeiten, von Bedeutung sind.

Bundesarbeitsgericht und die Auslegung der DSGVO: Fragen an den EuGH

Das BAG hat fünf interessante Fragen gestellt. Eine davon - ob die Datenschutz-Grundverordnung Schadenersatz ohne Entschädigung vorsieht - wurde nicht beantwortet, da der Gerichtshof diese Frage bereits verneint hat. Die anderen Fragen sind nach ihrer praktischen Bedeutung geordnet:

Gelten die allgemeinen Anforderungen (z.B. Art. 6 Abs. 1, 24, 32 DSGVO) auch neben den speziellen Regelungen (Art. 9 Abs. 2, Abs. 3 DSGVO)? Antwort: Grundsätzlich ja

Die ersten drei Vorlagefragen betreffen das Verhältnis der Regelungen zur Verarbeitung sensibler Daten (Art. 9 Abs. 2 DSGVO im Allgemeinen und dort lit. h im Besonderen) zu den allgemeinen Verarbeitungsregeln (z.B. Art. 6, 32 DSGVO). Der Generalanwalt ist der Ansicht, dass bestimmte Ausnahmen vom Verbot der Verarbeitung personenbezogener Daten unmittelbar mit einer bestimmten Rechtsgrundlage der DSGVO zusammenhängen und diese Rechtsgrundlage in sich aufnehmen. Andere Ausnahmen nach Art. 9 Abs. 2 DSGVO bedürfen jedoch einer zusätzlichen Rechtfertigung nach Art. 6 Abs. 1. Nach Ansicht des Generalanwalts muss die Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 daher auch den allgemeinen Grundsätzen und anderen Bestimmungen der DSGVO entsprechen, insbesondere den Grundsätzen der Rechtmäßigkeit, der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung, der Integrität und der Vertraulichkeit.Der Verantwortliche müsse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gem. Art. 32 DSGVO seien hier über das normale Maß hinausgehende Maßnahmen zum Schutz von ZQ erforderlich gewesen, um die Daten etwa vom Zugriff durch dessen Kollegen zu schützen. Es seien auch besondere Maßnahmen vorgesehen gewesen; ob diese ausreichend gewesen seien, müsse das BAG entscheiden.Zudem müsse die Verarbeitung von Gesundheitsdaten auf einer der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen beruhen, wie der Einwilligung der betroffenen Person, der Erfüllung eines Vertrages, der Erfüllung einer rechtlichen Verpflichtung oder der Wahrung eines berechtigten Interesses. Art. 9 Abs. 3 DSGVO sieht hingegen keine zusätzlichen Maßnahmen vor. Der MDK sei daher nicht verpflichtet gewesen, die Begutachtung des ZQ abzulehnen. Diese Verpflichtung könnte sich allenfalls aus nationalem Recht nach Art. 9 Abs. 4 DSGVO ergeben.

Gibt es eine verschuldensunabhängige Haftung auf DSGVO-Schadensersatz? Antwort: Ja

Die fünfte Vorlagefrage betrifft die Voraussetzungen für die zivilrechtliche Haftung nach Art. 82 DSGVO. Muss die betroffene Person nachweisen, dass der Verantwortliche oder der Auftragsverarbeiter vorsätzlich oder fahrlässig gegen die DSGVO verstoßen hat, um Schadenersatz zu erhalten? Oder reicht es aus, dass ein Verstoß und ein Schaden vorliegen, ohne dass ein Verschulden erforderlich ist? Der Generalanwalt des EuGH hat sich in seinen Schlussanträgen für die zweite Alternative ausgesprochen. Er argumentierte, dass die DSGVO eine verschuldensunabhängige Haftung vorsehe, um die Grundrechte der Betroffenen zu schützen und von Verstößen abzuschrecken. Er stützte sich dabei auf den Wortlaut, den Zweck, die Entstehungsgeschichte und die Systematik der DSGVO. Er wies auch darauf hin, dass die DSGVO in anderen Bestimmungen, die sich auf die Rechtmäßigkeit der Verarbeitung oder die Verhängung von Geldbußen beziehen, das Verschulden ausdrücklich berücksichtigt, was impliziert, dass es für die Haftung irrelevant ist.

Kann der Betroffene Schadensersatz verlangen, selbst wenn sie den Verstoß gegen die Datenschutz-Grundverordnung verursacht hat? Antwort: In der Regel schon

Die fünfte Vorlagefrage betrifft ebenfalls den Einfluss des Verhaltens der betroffenen Person auf die Haftung - hier hatte ZQ jedenfalls durch die Nachfrage bei der Kollegin den Verstoß vertieft. Kann sich der Verantwortliche oder der Auftragsverarbeiter von der Haftung befreien, wenn er nachweist, dass der Schaden durch das Verhalten der betroffenen Person verursacht oder mitverursacht wurde? Der Generalanwalt hat diese Frage mit Einschränkungen bejaht. Er weist darauf hin, dass die DSGVO in Art. 82 Abs. 3 eine Ausweichklausel enthält, die es dem Verantwortlichen oder dem Auftragsverarbeiter ermöglicht, sich von der Haftung zu befreien, wenn er nachweist, dass er für den Schaden überhaupt nicht verantwortlich ist. Dies sei jedoch eine enge Ausnahme, die nur in Fällen höherer Gewalt oder bei Verschulden der betroffenen Person anwendbar sei. Er betonte auch, dass die Beteiligung der betroffenen Person an der Verarbeitung, z.B. durch die Ausübung ihrer Rechte, nicht als Verschulden angesehen werden kann. Er schlug daher vor, dass der EuGH das vorlegende Gericht auffordern sollte, zu prüfen, ob die betroffene Person im vorliegenden Fall schuldhaft gehandelt hat, indem sie eine Kollegin beauftragt hat, das Gutachten für sie einzusehen, oder ob sie damit lediglich ihr Auskunftsrecht wahrgenommen hat.

Wird der Schaden bei Mitverschulden gemindert? Antwort: Nein

Die fünfte Vorlagefrage betrifft schließlich die Berechnung des Schadensersatzes. Hat der Grad des Verschuldens des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters einen Einfluss auf die Höhe des Schadensersatzes? Der Generalanwalt hat diese Frage verneint. Er hat argumentiert, dass die DSGVO einen vollständigen und wirksamen Ersatz des tatsächlich erlittenen Schadens verlange. Er hat sich dabei auf Erwägungsgrund 146 der Datenschutz-Grundverordnung berufen, wonach der Schadensersatz die betroffene Person in die Lage versetzen soll, in der sie sich ohne den Verstoß befunden hätte. Er wies auch darauf hin, dass die DSGVO keine Straffunktion des Schadenersatzes vorsehe, sondern diese den Bußgeldern vorbehalte, die nach anderen Kriterien bemessen würden. Er schlägt daher vor, dass der EuGH das vorlegende Gericht anweist, den Schadensersatz nach dem tatsächlichen Schaden zu bemessen, ohne den Grad des Verschuldens des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters zu berücksichtigen.

Gibt es ungeschriebene Einschränkung bei der Verarbeitung medizinischer Daten (Art. 9 Abs. 3 DSGVO)? Antwort: Nein

Die Verarbeitung von Gesundheitsdaten eines Beschäftigten durch einen Medizinischen Dienst einer Krankenkasse ist nach Art. 9 Abs. 2 lit. h DSGVO grundsätzlich zulässig, wenn sie für Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist. Dies kann beispielsweise der Fall sein, wenn der MDK ein Gutachten über die Arbeitsfähigkeit eines eigenen Arbeitnehmers erstellt. Es reicht, wenn eine qualifizierte, auf die Verschwiegenheit verpflichtet Person im Sinn des Art. 9 Abs. 3 DSGVO die Daten verarbeitet. Weitere Einschränkungen folgen aus der DSGVO nicht, sie können aber gem. Art. 9 Abs. 4 DSGVO von den Mitgliedstaaten erlassen werden.

DSGVO und die Rechte und Pflichten von Betroffenen, Verantwortlichen und Auftragsverarbeitern: Die Erwartungen

Die Antworten des EuGH auf diese Fragen werden voraussichtlich in vier bis sechs Monaten vorliegen. Sie werden eine wichtige Orientierungshilfe für die Anwendung der DSGVO in Bezug auf die Entschädigung sein. Sie werden auch die Rechte und Pflichten von Betroffenen, Verantwortlichen und Auftragsverarbeitern klären und möglicherweise die Anreize zur Einhaltung der Datenschutzvorschriften erhöhen.