Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO („sensible Daten“), wie z. B. Gesundheitsdaten, ist grundsätzlich verboten. Art. 9 Abs. 2 DSGVO sieht jedoch eine Reihe von Ausnahmen vor, in denen eine solche Verarbeitung zulässig ist. Fraglich war bislang, ob es für die Rechtmäßigkeit der Datenverarbeitung neben dem Vorliegen eines Ausnahmetatbestandes nach Art. 9 Abs. 2 DSGVO zusätzlich einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO bedarf. Dies hat der Europäische Gerichtshof in einer aktuellen Entscheidung vom 21. Dezember 2023 (Az. C-667/21) bejaht.
I. Sachverhalt
Der Medizinische Dienst der Krankenkassen Nordrhein (im Folgenden: MDK Nordrhein) wurde von einer Krankenkasse beauftragt, ein Gutachten über die Arbeitsunfähigkeit eines ihrer Mitarbeiter zu erstellen. Das Gutachten wurde von einer Ärztin der „Organisationseinheit Spezialfall“ des MDK Nordrhein erstellt. Die Ärztin holte u. a. Informationen vom behandelnden Arzt des Mitarbeiters ein.
Nachdem der Mitarbeiter vom behandelnden Arzt über das Gutachten informiert worden war, wandte er sich an einen Kollegen aus der IT-Abteilung mit der Bitte, das Gutachten, das sich im elektronischen Archiv des MDK Nordrhein befand, abzufotografieren und ihm zu übermitteln.
Da der Mitarbeiter der Auffassung war, dass auf diese Weise unzulässigerweise Gesundheitsdaten über ihn von seinem Arbeitgeber verarbeitet worden seien, verlangte er von diesem eine Entschädigung in Höhe von 20.000 Euro, was der MDK Nordrhein ablehnte. Daraufhin erhob der Mitarbeiter Klage vor dem Arbeitsgericht Düsseldorf und beantragte auf der Grundlage von Art. 82 Abs. 1 DSGVO, den MDK Nordrhein zum Ersatz des Schadens zu verurteilen, der ihm durch die in dieser Weise erfolgte Verarbeitung personenbezogener Daten entstanden sein soll. Neben der Frage, ob der Ausnahmetatbestand des Art. 9 Abs. 2 lit. h DSGVO vorliegend anwendbar ist und der Reichweite des Art. 82 DSGVO, stellte sich im Laufe des Instanzenzuges die – in diesem Blogbeitrag behandelte – Frage nach dem Verhältnis von Art. 6 Abs. 1 DSGVO und Art. 9 Abs. 2 DSGVO.
II. Entscheidung des EuGH
Der EuGH hat in seinem Urteil vom 21. Dezember 2023 (Az. C-667/21) entschieden, dass neben einem Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO auch eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO erforderlich ist. Demnach ist eine Verarbeitung sensibler Daten nur dann rechtmäßig, wenn sie nicht nur die sich aus der Ausnahmevorschrift ergebenden Anforderungen erfüllt, sondern auch mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt.
Der EuGH begründete seine Entscheidung damit, dass die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten, insbesondere die Rechtmäßigkeitsvoraussetzungen des Art. 6 Abs. 1 DSGVO, auch für die Verarbeitung sensibler Daten gelten. Diese Grundsätze sollen den Schutz der Rechte und Freiheiten der betroffenen Personen gewährleisten. Wie der EuGH bereits mehrfach entschieden hat, enthält Art. 6 Abs. 1 DSGVO eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann (vgl. EuGH, Urteil vom 04.07.2023 – C-252/21, Rn. 90). Jede Verarbeitung personenbezogener Daten muss den Grundsätzen des Art. 5 Abs. 1 DSGVO entsprechen und eine Rechtsgrundlage nach Art. 6 DSGVO haben.
Der Gerichtshof zitiert zudem den 51. Erwägungsgrund der DSGVO, wonach „zusätzlich zu den besonderen Anforderungen“ an die Verarbeitung „besonders sensibler Daten“, die in Art. 9 Abs. 2 und 3 DSGVO genannt sind, für eine solche Verarbeitung auch „die allgemeinen Grundsätze und die sonstigen Bestimmungen dieser Verordnung, insbesondere über die Voraussetzungen für eine rechtmäßige Verarbeitung“, wie sie sich aus Art. 6 DSGVO ergeben, gelten sollten. Insbesondere Art. 9 Abs. 1 lit. h DSGVO habe lediglich den Zweck, den Umfang der Pflichten zu präzisieren, die dem Verantwortlichen nach Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 DSGVO obliegen.
III. Auswirkungen der Entscheidung für die Praxis
Die Entscheidung des EuGH hat in der Praxis wichtige Auswirkungen auf die Verarbeitung sensibler Daten. Verantwortliche, die sensible Daten verarbeiten, müssen künftig neben dem Vorliegen eines Ausnahmetatbestandes nach Art. 9 Abs. 2 DSGVO auch eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO dokumentieren und nachweisen. Dies kann beispielsweise die Einwilligung der betroffenen Person, die Erfüllung eines Vertrages, die Erfüllung einer rechtlichen Verpflichtung oder die Wahrung berechtigter Interessen des Verantwortlichen sein.
In der Regel lässt sich für einen Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO auch eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO finden, denn die Ausnahmetatbestände sind grundsätzlich enger als die Rechtsgrundlagen. Eine Ausnahme stellt Art. 9 Abs. 2 lit. e DSGVO. Dieser sieht vor, dass das Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO nicht gilt, wenn sich die Verarbeitung auf personenbezogene Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat. Würde Art. 9 Abs. 2 lit. e DSGVO eine eigenständige Rechtsgrundlage für die Verarbeitung sensibler Daten darstellen, wäre die Verarbeitung ohne Interessenabwägung zulässig. Die bloße Offensichtlichkeit der Veröffentlichung wäre ausreichend. Dies kann angesichts des hohen Schutzbedürfnisses der betroffenen Person nicht Ziel der DSGVO sein. Vielmehr ist ein angemessener Interessenausgleich zu finden. Dies kann beispielsweise unter Rückgriff auf die Rechtsgrundlage des Art. 6 Abs. 1 S. 1 lit. f DSGVO erfolgen.
Verantwortliche müssen – sofern noch nicht geschehen – aufgrund ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO insbesondere die Datenschutzhinweise nach Art. 13 Abs. 1 lit. c, Art. 14 Abs. 1 lit. c DSGVO anpassen, sofern sensible Daten verarbeitet werden und dort bislang die Rechtsgrundlagen unter Angabe der einschlägigen Norm der DSGVO genannt wurden. Dies betrifft in der Praxis insbesondere Datenschutzhinweise für Beschäftigte, da im Arbeitsverhältnis regelmäßig Gesundheitsdaten (z.B. für Krankmeldungen oder betriebliches Eingliederungsmanagement) sowie Daten zur Konfession (z.B. für eine ordnungsgemäße Gehaltsabrechnung) und Familienstand, was einen Rückschluss auf die sexuelle Orientierung erlaubt, verarbeitet werden.
Sofern im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO die einschlägigen Gesetzesangaben für die Rechtsgrundlagen genannt werden, sollte dies ebenfalls entsprechend angepasst werden. Gleiches gilt für verbindliche interne Datenschutzregelungen nach Art. 47 Abs. 2 lit. d DSGVO.
IV. Fazit
Die Entscheidung des EuGH ist eine wichtige Klarstellung des Verhältnisses zwischen Art. 9 Abs. 2 DSGVO und Art. 6 Abs. 1 DSGVO. Sie stellt sicher, dass die Rechte und Freiheiten der betroffenen Personen auch bei der Verarbeitung sensibler Daten geschützt werden.
Die Entscheidung hat wichtige praktische Auswirkungen für Verantwortliche, die sensible Daten verarbeiten. Diese müssen künftig bei jeder Verarbeitung sensibler Daten prüfen, ob eine der Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO einschlägig ist.
EuGH, Urteil vom 21.12.2023 – Az. C-667/21