Datenschutzwoche
EuGH: Begriff des Gesundheitsdatums ist weit auszulegen
Der EuGH hat in seinem Urteil vom 4. Oktober 2024 (C-21/23) entschieden, dass bei einer Bestellung von apothekenpflichtigen Arzneimitteln über eine Online-Plattform Kundendaten (wie z. B. Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen) Gesundheitsdaten darstellen. Durch die Verarbeitung dieser Daten können Informationen über den Gesundheitszustand einer natürlichen Person offengelegt werden, und zwar unabhängig davon, ob diese Informationen den Nutzer betreffen oder eine andere Person, für die diese Bestellung getätigt wird. Bei der Verarbeitung von Gesundheitsdaten soll ein hohes Schutzniveau erreicht werden. Daher erfordert sie eine besondere, darauf ausgerichtete Einwilligung.
Die Apotheke im Ausgangsfall vertrieb seit 2017 Medikamente sowohl über Amazon als auch über den Expressdienst Prime. Ein Mitbewerber beantragte, diese Praxis auf Grundlage des Gesetzes gegen den unlauteren Wettbewerb (UWG) zu untersagen.
Das Gericht betonte zudem, dass die DSGVO der nationalen Regelung zum Verbot unlauterer Geschäftspraktiken nicht entgegenstehe. Die Möglichkeit, auf Grundlage des UWG zu klagen, bestehe zusätzlich zu den Aufsichtsmaßnahmen der Behörden, die die Einhaltung und Durchsetzung der DSGVO überwachen.
EuGH: Rechtsgrundlagen für die Verarbeitung von Art. 9-Daten zu Werbezwecken
Der EuGH hat in seinem Urteil vom 4. Oktober 2024 (C-446/21) im Rahmen eines Vorabentscheidungsverfahrens entschieden, dass soziale Netzwerke wie Facebook nicht sämtliche personenbezogene Daten für Zwecke zielgerichteter Werbung verarbeiten dürfen. Der Datenschutzaktivist Maximilian Schrems hatte sich gegen die Verarbeitung ihn betreffender personenbezogener Daten, insbesondere von Informationen zu seiner sexuellen Orientierung, durch Meta Platforms Ireland gewandt. Die Plattform erfasst Nutzerdaten durch verschiedene Aktivitäten nicht nur innerhalb, sondern auch außerhalb des Netzwerks, unter anderem mittels Cookies, Social Plugins und Pixels.
Schrems hatte in einer öffentlichen Podiumsdiskussion Informationen über seine sexuelle Orientierung offengelegt. Das Unternehmen Meta hatte diese Informationen für Zwecke des Behavioural Online Advertising gesammelt, analysiert und weiter verarbeitet.
Nach Ansicht des EuGH erlaubt der Grundsatz der Datenminimierung nicht, dass eine Onlineplattform uneingeschränkt, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art personenbezogene Daten für zielgerichtete Werbezwecke aggregiert, analysiert und verarbeiten darf. Zudem urteilte das Gericht, dass es dem Betreiber einer Onlineplattform für ein soziales Netzwerk nicht erlaubt ist, Daten zur sexuellen Orientierung zu verarbeiten, um dieser Person personalisierte Werbung anzubieten, wenn diese Daten außerhalb dieser Plattform öffentlich gemacht worden waren.
Internationale Nachrichten
- Europa: Die EU-Kommission erzielt weiterhin keine Einigung im EU-Rat zur Chatkontrolle.
- Europa: Mithilfe eines Auskunftsersuchens an YouTube, Snapchat und TikTok will die EU-Kommission Informationen über die Empfehlungssysteme der Plattformen erlangen.
- Frankreich: Die französische Aufsichtsbehörde CNIL startet im Rahmen des European Cybersecurity Month die Informationskampagne #Cyberengagés.
Aktuelle Gerichtsentscheidungen
- OLG Karlsruhe, Urteil vom 01.02.2024, Az. 12 U 27/23 (Volltext), Recht auf Auskunft nach Art. 15 DSGVO: Bei den Versicherungsscheinen und den Nachträgen zum Versicherungsschein handelt es sich in ihrer Gesamtheit nicht um personenbezogene Daten des Versicherungsnehmers. Vielmehr enthalten diese Dokumente jeweils nur einzelne personenbezogene Daten des Versicherungsnehmers und der ggfs. weiteren Versicherten.
- EuGH, Urteil vom 04.10.2024, Rs. C‑446/21 (Volltext), Verarbeitung von Daten über die sexuelle Orientierung: Art. 9 Abs. 2 Buchst. e DSGVO ist dahin auszulegen, dass der Umstand, dass sich eine Person bei einer öffentlich zugänglichen Podiumsdiskussion zu ihrer sexuellen Orientierung geäußert hat, dem Betreiber einer Onlineplattform für ein soziales Netzwerk nicht gestattet, andere Daten über die sexuelle Orientierung dieser Person zu verarbeiten, die er gegebenenfalls außerhalb dieser Plattform von Anwendungen und Websites Dritter im Hinblick darauf erhalten hat, sie zu aggregieren und zu analysieren, um dieser Person personalisierte Werbung anzubieten.
- EuGH, Urteil vom 04.10.2024, Rs. C-507/23 (Volltext), Schadenersatz nach Art. 82 Abs. 1 DSGVO: Eine Entschuldigung kann einen angemessenen Ersatz eines immateriellen Schadens darstellen. Das gilt besonders, wenn es nicht möglich ist, die Lage vor dem Eintritt des Schadens wiederherzustellen.
- EuGH, Urteil vom 04.10.2024, Rs. C‑21/23 (Volltext), Gesundheitsdaten: Wenn eine Apotheke apothekenpflichtige Arzneimittel über eine Onlineplattform vertreibt, ist Art. 9 Abs. 1 DSGVO dahin auszulegen, dass die einzugebenden Daten wie Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen Gesundheitsdaten im Sinne dieser Bestimmungen darstellen.
Neuigkeiten aus den Aufsichtsbehörden
- Datenschutzkonferenz: „2. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 19. Juni 2024“ – Protokoll
- Datenschutzaufsicht Nordrhein-Westfalen: „Landesregierung kommt beim Transparenzgesetz nicht voran“ – Pressemitteilung vom 27.09.2024
- Datenschutzaufsicht Niedersachsen: „Landesbeauftragter für Datenschutz richtet Stabsstelle für künstliche Intelligenz ein“ – Pressemitteilung vom 30.09.2024
- Datenschutzaufsicht Rheinland-Pfalz: „Tätigkeitsberichte zu Datenschutz und Informationsfreiheit: KI macht Beratungen komplexer“ – Pressemitteilung vom 01.10.2024
- Bundesdatenschutzbeauftragter: „BfDI begrüßt BKA-II Entscheidung“ – Pressemitteilung vom 01.10.2024