In seinem Urteil vom 21. Dezember 2023 in der Rechtssache C-667/21 hat sich der EuropĂ€ische Gerichtshof (EuGH) zu den Voraussetzungen fĂŒr die ZulĂ€ssigkeit der Verarbeitung von Gesundheitsdaten geĂ€ußert. Weiterhin beleuchtete der EuGH in diesem Zusammenhang das Thema „SchadensersatzansprĂŒche“, da sich solche ggf. aus unrechtmĂ€ĂŸigen Verarbeitungen ergeben können.

Der EuGH kam in seinem Urteil nochmals zu dem Ergebnis, dass Gesundheitsdaten einen besonders hohen Schutz benötigen und lediglich unter strengen Voraussetzungen verarbeitet werden dĂŒrfen. Gleichzeitig betont der EuGH jedoch, dass die engen Grenzen bei der Verarbeitung von Gesundheitsdaten nicht dazu fĂŒhren sollen, dass andere Regelungen der DSGVO entgegen ihres eigenen Wortlauts ausgelegt werden. Dies zeigt sich z.B. darin, dass nach den Feststellungen des EuGH die Verarbeitung von Gesundheitsdaten nur dann rechtmĂ€ĂŸig ist, wenn neben den Voraussetzungen fĂŒr die Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO) auch eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt. Dies kann beispielsweise eine Einwilligung durch den Betroffenen oder die VertragserfĂŒllung im Rahmen eines Patientenvertrages sein. Es mĂŒssen folglich die Erfordernisse aus beiden Artikeln bedient sein, um Gesundheitsdaten verarbeiten zu dĂŒrfen. Weiterhin hat der EuGH festgestellt, dass auch bei Gesundheitsdaten die zentrale Regelung fĂŒr die Sicherheit der Verarbeitung der Art. 32 DSGVO ist. In diesem Artikel wird auf den sogenannten „risikobasierten Ansatz“ abgestellt, was bedeutet, dass die jeweiligen technisch-organisatorischen Maßnahmen (TOMs) entsprechend der zugrundeliegenden Daten ausgestaltet werden sollen. Hierbei ist fĂŒr die zu treffenden TOMs maßgeblich, welches Risiko ein z.B. Diebstahl der Daten fĂŒr die Privatpersonen hĂ€tte. Der EuGH stellt noch einmal fest, dass sich aus dem Art. 9 DSGVO keine zusĂ€tzlichen Verpflichtungen fĂŒr die Ausgestaltung der TOMs ergeben, die ĂŒber den Art. 32 DSGVO hinausgehen.

DarĂŒber hinaus verwies der EuGH noch einmal auf die sogenannte „Beweislastumkehr“. Nach dieser muss der Verantwortliche in der Lage sein, nachzuweisen, dass insofern bei einer Verarbeitung von personenbezogenen Daten Privatpersonen zu Schaden gekommen sind, er selbst diesen Schaden nicht durch seine Handlungen zu vertreten hat. Insofern ein Schaden zustande gekommen ist, hat die betroffene Privatperson außerdem ggf. Anspruch auf Schadensersatz. Hierbei stellt der EuGH nochmal klar, dass dieser Schadensersatz (z.B. in Form einer Geldzahlung) in erster Linie der EntschĂ€digung der Privatperson dient, nicht etwa der Bestrafung des Verantwortlichen. Es handelt sich dabei um eine Ausgleichszahlung an den Betroffenen. Bei der Bemessung des Schadenersatzes spielt der Grad des Verschuldens des Verantwortlichen laut dem EuGH jedoch keine Rolle.

Das Urteil des EuGH hat durchaus Relevanz fĂŒr die Praxis. Gesundheitsdaten liegen nicht nur bei einer TĂ€tigkeit im medizinischen Sektor, sondern auch bereits beim bloßen Besitz, von z.B. biometrischen Daten wie einem Lichtbild, vor. Ebenso stĂ€rkt das Urteil die Betroffenenrechte und verdeutlicht, wie die Sichtweise des EuGH in Bezug auf das Thema „Schadensersatz bei DatenschutzverstĂ¶ĂŸen“ ist. Viele Privatpersonen sind mittlerweile fĂŒr den Umgang mit ihren (Gesundheits-)Daten sensibilisiert und nehmen ihre Rechte wahr. Daher ist es von grĂ¶ĂŸter Wichtigkeit, eine Risikoanalyse nach Art. 32 DSGVO und Art. 35 DSGVO durchzufĂŒhren und entsprechende technisch-organisatorische Maßnahmen zu treffen, die je nach den vorliegenden Daten dazu in der Lage sind, ein angemessenes Sicherheitsniveau zu schaffen. Wenn Sie hierzu Fragen haben oder UnterstĂŒtzung benötigen, kommen Sie jederzeit gerne auf uns zu.

Quellenangaben:

– Artikel „EuGH: Verarbeitung von Gesundheitsdaten“, abgerufen am 31.01.2024 unter: https://www.dr-datenschutz.de/eugh-verarbeitung-von-gesundheitsdaten/
– InfoCuria, „Rechtssache C‑667/21: ZQ gegen Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts“, abgerufen am 31.01.2024 unter: https://curia.europa.eu/juris/document/document.jsf;jsessionid=4C83A344946D15460FD06036A5C71F7B?text=&docid=274110&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=5582626