DatenschutzWoche vom 08. Januar 2024

EuGH-Entscheidung zur Verarbeitung von Gesundheitsdaten

Der EuGH hat sich mit den Voraussetzungen für die Zulässigkeit der Verarbeitung von Gesundheitsdaten und damit verbundenen Schadenersatzansprüchen befasst. In seinem Urteil vom 21. Dezember 2023 (Rs. C-667/21) kommt er zu dem Ergebnis, dass Gesundheitsdaten einen erhöhten Schutz genießen und nur unter engen Voraussetzungen verarbeitet werden dürfen. Darüber hinaus stellt der EuGH fest, dass der Schadenersatz nach der DSGVO nicht der Bestrafung des Verantwortlichen dient, sondern eine Ausgleichsfunktion hat.

Hervorzuheben sind die folgenden Feststellungen des Gerichts:

1. Die Verarbeitung von Gesundheitsdaten ist nur rechtmäßig, wenn neben den Voraussetzungen für die Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO) auch eine Rechtsgrundlage nach Art. 6 DSGVO erfüllt ist.
2. Die zentrale Regelung für die Sicherheit der Verarbeitung ist Art. 32 DSGVO und der darin enthaltene Ansatz der risikobasierten Auswahl technischer und organisatorischer Maßnahmen. Aus Art. 9 DSGVO ergeben sich keine zusätzlichen Verpflichtungen.
3. Der Schadenersatzanspruch nach der DSGVO hat eine Ausgleichsfunktion, aber keine abschreckende oder strafende Funktion.
4. Verantwortliche, die personenbezogene Daten verarbeiten, müssen nachweisen können, dass sie Handlungen, durch die dem Betroffenen ein Schaden entstanden ist, nicht zu vertreten haben (Beweislastumkehr). Bei der Bemessung des Schadenersatzes spielt der Grad des Verschuldens des Verantwortlichen jedoch keine Rolle.

Die Entscheidung des EuGH ist nicht überraschend. Interessant ist jedoch, dass der EuGH in seiner Entscheidung klargestellt, dass die engen Grenzen für die Verarbeitung von Gesundheitsdaten nicht dazu führen dürfen, dass andere Regelungen der DSGVO (hier: Art. 32 DSGVO) entgegen ihrem eindeutigen Wortlaut ausgelegt werden dürfen.

BayLDA: Datenschutzprüfung zur Schwellwertanalyse gestartet

Die Stabstelle Prüfverfahren des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) führt derzeit eine Prüfung zur Schwellwertanalyse für Verarbeitungstätigkeiten bei datengetriebenen und innovativen Unternehmen durch. Betroffene Unternehmen sollen dem BayLDA alle Einträge in ihrem Verzeichnis von Verarbeitungstätigkeiten mitteilen, bei denen die Schwellwertanalyse zur Datenschutz-Folgenabschätzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen ergeben hat. Darüber hinaus ist für diese Tätigkeiten anzugeben, welche Verarbeitungskategorien unter die Beispiele des Art. 35 Abs. 3 DSGVO, die Blacklist der Datenschutzkonferenz ("DSK-Mussliste") oder die DSFA-Leitlinie der Art.-29-Gruppe fallen.

Eine Dokumentation der durchgeführten Datenschutz-Folgenabschätzungen wird derzeit nicht gefordert. Ebenso ist es nicht erforderlich, das vollständige Verzeichnis von Verarbeitungstätigkeiten zu übermitteln. Das BayLDA hat jedoch angekündigt, im Einzelfall weitere Informationen von den Verantwortlichen anzufordern und bei Bedarf auch Prüfungen vor Ort durchzuführen.

Das veröffentlichte Musterschreiben (pdf) enthält keine Rechtsbehelfsbelehrung, so dass davon auszugehen ist, dass es sich um ein rein informatorisches Ersuchen des BayLDA handelt. Für den Fall der Nichtbeantwortung wird jedoch der Erlass einer förmlichen Anweisung in Aussicht gestellt. Verantwortliche, die (noch) keinen Prüfbogen (pdf) erhalten haben, können die veröffentlichten Dokumente nutzen, um den eigenen Stand der Compliance in Bezug auf Schwellwertanalysen und Datenschutz-Folgenabschätzungen zu überprüfen.

Internationale Nachrichten

• Europa: Am 19. Dezember hat das European Data Protection Board eine Stellungnahme zur „Cookie Pledge“-Initiative der EU-Kommission veröffentlicht. Mit dem „Cookie Pledge“ plant die EU-Kommission eine freiwillige Selbstverpflichtung der Industrie zum Einsatz von Cookies und gezielter Werbung.

Aktuelle Gerichtsentscheidungen

• OLG Köln, Urteil vom 17.11.2022, Az. 15 U 159/21 (Volltext): Dass der Kläger über eine Auskunft u.U. Informationen für ein Ersatzbegehren und/oder ein Vorgehen gegen den externen DSB erlangen möchte, steht den Zwecken der DSGVO nicht entgegen.
• BGH, Beschluss vom 24.08.2023, Az. II ZB 3/23 (Volltext): Art. 6 Abs. 1 lit. b) DSGVO erlaubt die Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist. Dazu gehört auch die Mitgliedschaft in einer Gesellschaft.
• LG Freiburg (Breisgau), Urteil vom 20.09.2023, Az. 8 O 63/23 (Volltext): Die tatsächliche Verunsicherung der Klägerin reicht nicht aus, einen immateriellen Schaden nach Art. 82 DSGVO zu begründen.
• LAG Köln, Beschluss vom 08.11.2023, Az. 9 Ta 134/23 (juris): Der vom Kläger geltend gemachte datenschutzrechtliche Anspruch auf Auskunft steht in inhaltlichem Zusammenhang mit seinem öffentlich-rechtlichen Lehrauftragsverhältnis. Aus diesem Grund ist der Verwaltungsrechtsweg eröffnet.
• OLG Hamm, Urteil vom 17.11.2023, Az. 7 U 71/23 (Volltext): Ein mit einer unrechtmäßigen Datenverarbeitung einhergehender Kontrollverlust als solcher reicht für einen immateriellen Schaden nach Art. 82 DSGVO nicht aus.
• LG Berlin, Urteil vom 21.11.2023, Az. 91 O 92/22 (juris): § 24 TTDSG verschafft kein Auskunftsverweigerungsrecht bei Auskünften nach § 19 Abs. 2 Nr. 3 MarkenG.
• KG Berlin, Urteil vom 22.11.2023, Az. 28 U 5/23 (GRUR-RS 2023, 36674): Der Anspruch auf Auskunft nach Art. 15 DSGVO ist nicht abtretbar. Die betroffene Person muss die für sie negativen Folgen eines DSGVO-Verstoßes nachweisen.
• OLG Nürnberg, Urteil vom 29.11.2023, Az. 4 U 347/21 (Volltext): Nach dem Wortlaut und dem Zweck von Art. 12 Abs. 5 S. 1, Art. 15 DSGVO liegt kein Missbrauch vor, wenn ein Betroffener das Auskunftsrecht (auch) für datenschutzfremde Motive verwendet.
• AG Waldkirch, Urteil vom 30.11.2023, Az. 1 C 85/23 (juris): Zur Verpflichtung einer Rechtsschutzversicherung für eine Schadenersatzklage wegen Scraping bei Facebook Deckungsschutz zu gewähren (hier: bejaht).
• OLG Dresden, Urteil vom 01.12.2023, Az. 3 U 937/23 (juris): Kein Anspruch auf Zuleitung von Kopien der Nachtrags-Versicherungsscheine aus Art. 15 DSGVO.
• BFH, Beschluss vom 05.12.2023, IX B 108/22 (Volltext): Kein datenschutzrechtlicher Auskunftsanspruch des Insolvenzverwalters gegenüber Finanzbehörden.
• LG Lübeck, Urteil vom 07.12.2023, Az. 15 O 73/23 (Volltext): Ein immaterieller Schaden im Sinne des Art. 82 DSGVO liegt immer dann vor, wenn ein Verstoß gegen die DSGVO zu einer konkreten Verletzung des Rechts auf informationelle Selbstbestimmung geführt hat.
• OLG München, Entscheidung vom 13.12.2023, Az. 31 U 1786/23 e (Volltext): Es besteht keine Kausalität zwischen einem Cyberangriff und dem Missbrauch von personenbezogenen Daten, wenn unstreitig bleibt, dass der Betroffene mehrfach von einem Datenabfluss betroffen war.
• EuGH, Urteil vom 21.12.2023, Rs. C‑667/21 (Volltext): Zu den Voraussetzungen für die Verarbeitung von Gesundheitsdaten und damit verbundenen Schadenersatzansprüchen.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht NRW: „Outlook-Update synchronisiert E-Mails in die Cloud“ – Meldung vom 20.12.2023
• Datenschutzaufsicht Bayern: „Schwellwertprüfung Datenschutzfolgenabschätzung“ – Unterlagen zur Prüfung der korrekten Bestimmung zur DSFA-Durchführung ("DSFA-Schwellwertprüfung") bei Hochrisikoverarbeitungen vom 21.11.2023
• Datenschutzaufsicht Thüringen: „Nachfolge für Landesdatenschützer Lutz Hasse nicht geklärt“ – Bericht der Süddeutschen Zeitung vom 03.01.2024

In eigener Sache: Rückblick auf die Nutzungsbefragung

Anlässlich der 100. Ausgabe der DatenschutzWoche hatten wir Sie gefragt, was Ihnen gefällt und wie Sie unseren Informationsdienst nutzen. Vielen Dank nochmal allen, die mitgemacht haben, das war sehr hilfreich! Ein Auszug aus den Ergebnissen findet sich hier.