Analyse des EuGH-Urteils C‑667/21 vom 21. Dezember 2023

Rechtlicher Kontext und Kernfragen 

Der EuGH befasste sich mit der Frage der Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten eines Arbeitnehmers durch einen medizinischen Dienst, der zugleich Arbeitgeber des Betroffenen ist. Im Fokus stand die Auslegung der DSGVO, insbesondere die Anwendung des Artikels 9 (Verarbeitung besonderer Kategorien personenbezogener Daten), dessen Verhältnis zu Artikel 6 (Rechtmäßigkeit der Verarbeitung) und 82 (Haftung und Recht auf Schadenersatz). Es ging um die Abwägung des Datenschutzes der Arbeitnehmer gegenüber den berechtigten Interessen und Pflichten des Arbeitgebers. 

Wichtige Aspekte des Urteils 

• Keine ungeschriebenen Tatbestandsmerkmale: Der EuGH bestätigte, dass die gesetzliche Erlaubnis für medizinische Dienste nach Art. 9 Abs. 2 Buchst. h, Abs. 3 DSGVO, § 275 Abs. 1 SGB V auch anwendbar ist, wenn sie gleichzeitig Arbeitgeber des Betroffenen sind. Die Verarbeitung von Gesundheitsdaten zur Beurteilung der Arbeitsfähigkeit eines Mitarbeiters fällt unter die in der DSGVO vorgesehenen Ausnahmen, sofern die spezifischen Voraussetzungen erfüllt sind. Eine (weitere) ungeschriebene Einschränkung der Verarbeitungserlaubnis könne dem Wortlaut von Art. 9 DSGVO nicht hinzugefügt werden.  
• Zusätzliche Datenschutzvorgaben: Der EuGH stellte fest, dass Art. 9 Abs. 3 DSGVO keine zusätzlichen Anforderungen bezüglich des Zugangs von Kollegen zu Gesundheitsdaten vorsieht. Nationale Gesetzgebungen könnten jedoch strengere Datenschutzmaßnahmen erfordern, so lange von der Datenverarbeitungsbefugnis faktisch noch Gebrauch gemacht werden kann. Zudem kann sich aus Art. 32 Abs. 1 lit. a und b, Art. 5 Abs. 1 lit. f DSGVO ergeben, dass ggf. Schutzmaßnahmen zu ergreifen sind. 
• Verbindung zwischen Art. 9 und Art. 6 DSGVO: Der Gerichtshof betonte, dass eine rechtmäßige Datenverarbeitung sowohl die spezifischen Anforderungen des Art. 9 als auch die allgemeinen Voraussetzungen des Art. 6 erfüllen muss. 
• Charakter des Schadenersatzanspruchs: Der EuGH stellte klar, dass der Schadenersatz gemäß Art. 82 DSGVO rein kompensatorisch ist und keinen Strafcharakter hat. Dies hat wesentliche Auswirkungen auf die Schadensbewertung und -bemessung in der Praxis. 
• Verschuldensabhängige Haftung: Die Haftung des Verantwortlichen setzt ein Verschulden voraus. Interessant ist hier die Umkehr der Beweislast, wonach der Verantwortliche beweisen muss, dass ihm kein Verschulden zuzurechnen ist. Außerdem ist beachtenswert, dass der Grad des Verschuldens die Höhe des Schadensersatzes nicht beeinflussen soll. Dies unterstreicht die Bedeutung einer sorgfältigen Datenverarbeitungspraxis. 
• Kein Anspruchsminderung bei Mitverschulden? Die Ausführungen des Gerichtshofs lassen sich so lesen, dass ein Mitverschulden des Betroffenen den Schadensersatzanspruch nicht mindert.  

Implikationen für die Praxis 

• Umfang von Datenverarbeitungserlaubnissen: Datenverarbeitungserlaubnisse aufgrund von Öffnungsklauseln der DSGVO gelten im Rahmen ihres Wortlauts und des nationalen Rechts. Ungeschriebene Einschränkungen des Anwendungsbereichs eines anwendbaren nationalen Gesetzes aufgrund der DSGVO kann es nicht geben. Zusätzliche Bedingungen in nationalen Gesetzen dürfen auch nicht so weit gehen, dass eine in der DSGVO vorgesehen Datenverarbeitungsbefugnis faktisch unmöglich gemacht wird.  
• Datenschutzkonformität: Das Urteil betont die Notwendigkeit, bei der Verarbeitung von Daten sowohl spezifische als auch allgemeine Datenschutzanforderungen zu beachten. Die Entscheidung unterstreicht, dass Datenschutzkonformität eine doppelte Prüfung erfordert – sowohl hinsichtlich spezieller als auch allgemeiner Voraussetzungen der DSGVO. 
• Schadenersatzansprüche: Das Urteil hat signifikante Auswirkungen auf die Handhabung von Schadenersatzansprüchen. Der kompensatorische Charakter des Schadenersatzes begrenzt die finanzielle Verantwortung des Verantwortlichen auf den tatsächlich entstandenen Schaden. Allerdings genügt schon leichteste Fahrlässigkeit für die Anspruchsentstehung. Und vermutlich wird man Mitverschulden des Betroffenen nicht Anspruchsmindernd geltend machen können.