Der EuGH kam in seinem Urteil nochmals zu dem Ergebnis, dass Gesundheitsdaten einen besonders hohen Schutz benötigen und lediglich unter strengen Voraussetzungen verarbeitet werden dürfen. Gleichzeitig betont der EuGH jedoch, dass die engen Grenzen bei der Verarbeitung von Gesundheitsdaten nicht dazu führen sollen, dass andere Regelungen der DSGVO entgegen ihres eigenen Wortlauts ausgelegt werden. Dies zeigt sich z.B. darin, dass nach den Feststellungen des EuGH die Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn neben den Voraussetzungen für die Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO) auch eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt. Dies kann beispielsweise eine Einwilligung durch den Betroffenen oder die Vertragserfüllung im Rahmen eines Patientenvertrages sein. Es müssen folglich die Erfordernisse aus beiden Artikeln bedient sein, um Gesundheitsdaten verarbeiten zu dürfen. Weiterhin hat der EuGH festgestellt, dass auch bei Gesundheitsdaten die zentrale Regelung für die Sicherheit der Verarbeitung der Art. 32 DSGVO ist. In diesem Artikel wird auf den sogenannten „risikobasierten Ansatz“ abgestellt, was bedeutet, dass die jeweiligen technisch-organisatorischen Maßnahmen (TOMs) entsprechend der zugrundeliegenden Daten ausgestaltet werden sollen. Hierbei ist für die zu treffenden TOMs maßgeblich, welches Risiko ein z.B. Diebstahl der Daten für die Privatpersonen hätte. Der EuGH stellt noch einmal fest, dass sich aus dem Art. 9 DSGVO keine zusätzlichen Verpflichtungen für die Ausgestaltung der TOMs ergeben, die über den Art. 32 DSGVO hinausgehen.
Darüber hinaus verwies der EuGH noch einmal auf die sogenannte „Beweislastumkehr“. Nach dieser muss der Verantwortliche in der Lage sein, nachzuweisen, dass insofern bei einer Verarbeitung von personenbezogenen Daten Privatpersonen zu Schaden gekommen sind, er selbst diesen Schaden nicht durch seine Handlungen zu vertreten hat. Insofern ein Schaden zustande gekommen ist, hat die betroffene Privatperson außerdem ggf. Anspruch auf Schadensersatz. Hierbei stellt der EuGH nochmal klar, dass dieser Schadensersatz (z.B. in Form einer Geldzahlung) in erster Linie der Entschädigung der Privatperson dient, nicht etwa der Bestrafung des Verantwortlichen. Es handelt sich dabei um eine Ausgleichszahlung an den Betroffenen. Bei der Bemessung des Schadenersatzes spielt der Grad des Verschuldens des Verantwortlichen laut dem EuGH jedoch keine Rolle.
Das Urteil des EuGH hat durchaus Relevanz für die Praxis. Gesundheitsdaten liegen nicht nur bei einer Tätigkeit im medizinischen Sektor, sondern auch bereits beim bloßen Besitz, von z.B. biometrischen Daten wie einem Lichtbild, vor. Ebenso stärkt das Urteil die Betroffenenrechte und verdeutlicht, wie die Sichtweise des EuGH in Bezug auf das Thema „Schadensersatz bei Datenschutzverstößen“ ist. Viele Privatpersonen sind mittlerweile für den Umgang mit ihren (Gesundheits-)Daten sensibilisiert und nehmen ihre Rechte wahr. Daher ist es von größter Wichtigkeit, eine Risikoanalyse nach Art. 32 DSGVO und Art. 35 DSGVO durchzuführen und entsprechende technisch-organisatorische Maßnahmen zu treffen, die je nach den vorliegenden Daten dazu in der Lage sind, ein angemessenes Sicherheitsniveau zu schaffen. Wenn Sie hierzu Fragen haben oder Unterstützung benötigen, kommen Sie jederzeit gerne auf uns zu.
Quellenangaben:
– Artikel „EuGH: Verarbeitung von Gesundheitsdaten“, abgerufen am 31.01.2024 unter: https://www.dr-datenschutz.de/eugh-verarbeitung-von-gesundheitsdaten/– InfoCuria, „Rechtssache C‑667/21: ZQ gegen Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts“, abgerufen am 31.01.2024 unter: https://curia.europa.eu/juris/document/document.jsf;jsessionid=4C83A344946D15460FD06036A5C71F7B?text=&docid=274110&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=5582626