2-Stufenprüfung bei der Verarbeitung von besonderen Kategorien personenbezogener Daten – 3 Voraussetzungen für einen Schadensersatzanspruch

Dem am 21. Dezember 2023 in der Rechtssache C-667/21 (curia.europa.eu/juris/liste.jsf?language=en&td=ALL&num=C-667/21) zu entscheidenden Fall lag die Datenverarbeitung eines Medizinischen Dienstes zugrunde. Er hat die gesetzliche Aufgabe, u. a. medizinische Gutachten zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von gesetzlich Versicherten, die in seinen Zuständigkeitsbereich fallen, zu erstellen, und zwar auch dann, wenn diese Gutachten seine eigenen Mitarbeiter betreffen. An letzterem hatte der Kläger Zweifel, weil dann Kollegen unter Umständen seine Gesundheitsdaten einsehen könnten.

Der EuGH stellt zunächst fest, dass Art. 9 Abs. 3 DSGVO dahin auszulegen ist, dass der für eine auf Art. 9 Abs. 2 Buchst. h dieser Verordnung gestützte Verarbeitung von Gesundheitsdaten Verantwortliche gemäß diesen Bestimmungen nicht verpflichtet ist, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat. Eine solche Pflicht kann dem für eine solche Verarbeitung Verantwortlichen jedoch gemäß einer von einem Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 dieser Verordnung erlassenen Regelung oder aufgrund der in Art. 5 Abs. 1 Buchst. f dieser Verordnung genannten und in ihrem Art. 32 Abs. 1 Buchst. a und b konkretisierten Grundsätze der Integrität und der Vertraulichkeit obliegen, Rn. 70.

Ferner betont das Gericht, dass Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 DSGVOdahin auszulegen sind, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt, Rn. 79.

Des Weiteren hat der Gerichtshof entschieden, dass, da die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, der aufgrund des in Art. 82 dieser Verordnung verankerten Schadenersatzanspruchs geschuldet wird, die nationalen Gerichte zu diesem Zweck nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden, wie sie von der ständigen Rechtsprechung des Gerichtshofs definiert werden (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 53, 54 und 59), Rn. 83.

Infolgedessen ist auf die vierte Frage zu antworten, dass Art. 82 Abs. 1 DSGVOdahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und keine abschreckende oder Straffunktion erfüllt, Rn. 87.

Das Gericht betont erneut, dass Art. 82 Abs. 1 DSGVO den Anspruch auf Schadenersatz davon abhängig macht, dass drei Voraussetzungen erfüllt sind, nämlich Vorliegen eines Verstoßes gegen diese Verordnung, eines erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden, Rn. 90.

Dabei sei Art. 82 DSGVO somit zu entnehmen, dass dieser Artikel ein Haftungsregime für Verschulden vorsieht, bei dem die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen, Rn. 94.

Hinsichtlich des zu führenden Entlastungsbeweises führt das Gericht aus, wonach es sich aus dem Wortlaut der Art. 24 und Art. 32 DSGVO, dass diese Bestimmungen dem Verantwortlichen lediglich vorschreiben, technische und organisatorische Maßnahmen zu treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern. Die Geeignetheit solcher Maßnahmen sei konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in den genannten Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 30), Rn. 96.

Wie der Generalanwalt in Nr. 93 seiner Schlussanträge im Wesentlichen ausgeführt hat, stünde es nicht im Einklang mit dem Ziel dieses hohen Schutzes, sich für eine Auslegung zu entscheiden, wonach die betroffenen Personen, denen durch einen Verstoß gegen die DSGVO ein Schaden entstanden ist, im Rahmen einer auf Art. 82 dieser Verordnung gestützten Schadenersatzklage die Beweislast nicht nur für das Vorliegen dieses Verstoßes und des ihnen daraus entstandenen Schadens tragen müssten, sondern auch für das Vorliegen von Vorsatz oder Fahrlässigkeit des Verantwortlichen oder sogar für den Grad des jeweiligen Verschuldens, obwohl Art. 82 DSGVO keine derartigen Anforderungen enthält (vgl. entsprechend Urteil vom 14. Dezember, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 56), Rn. 99.

Was die Frage bezüglich der Bemessung der Höhe des eventuell gemäß Art. 82 DSGVO geschuldeten Schadenersatzes betrifft, ist darauf hinzuweisen, dass, die nationalen Gerichte für die Beurteilung dieses Schadenersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden, wie sie von der ständigen Rechtsprechung des Gerichtshofs definiert werden, Rn. 101.

Es ist klarzustellen, dass Art. 82 DSGVO in Anbetracht seiner Ausgleichsfunktion nicht verlangt, dass die Schwere des Verstoßes gegen diese Verordnung, den der Verantwortliche begangen haben soll, bei der Bemessung der Betrags des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird; Art. 82 DSGVO verlangt vielmehr, dass dieser Betrag so festgelegt wird, dass er den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig ausgleicht, wie dies aus den Rn. 84 bis 87 des vorliegenden Urteils hervorgeht, Rn. 102.

Schlussfolgerungen

Schadensersatzansprüche sind nur von drei Voraussetzungen abhängig, einem Verstoß gegen die DSGVO, einem Schaden und einem Kausalzusammenhang. Der EuGH hält (nur) hinsichtlich der ersten beiden Voraussetzungen den Kläger für beweisbelastet. Hinsichtlich des Verschuldens muss wohl der Verantwortliche einen Entlastungsbeweis führen, wobei den getroffenen technisch-organisatorischen Maßnahmen eine große Bedeutung zukommt. Fraglich ist, ob ein Entlastungsbeweis überhaupt dann geführt werden kann, wenn den Leitungsorganen eines Verantwortlichen ein DSGVO-Verstoß „nicht unklar“ (so der EuGH in den Rechtssachen C-807/21bzw. C-683/21) hätte sein können. Auf Grund der abgeschwächten Haftungsvoraussetzungen dürften die Anforderungen an die betriebliche Datenschutzorganisation jedenfalls höher werden.

Bemerkenswert ist ferner, dass die Prüfung der Zulässigkeit einer Datenverarbeitung nunmehr offenbar im Rahmen einer Art 2-Stufenprüfung zu erfolgen hat; neben etwa anzuwendenden (nationalen) Sondervorschriften (wie Art. 9 DSGVO) hat sich die Datenverarbeitung stets an den allgemeinen Voraussetzungen nach Art. 5 und 6 zu orientieren.

Sofern das externe Profiling für die eigentliche Entscheidung maßgeblich ist, ist bereits auf dieses Art. 22 DSGVO anzuwenden. Darauf, dass diese Vorverlagerung der Entscheidung Auswirkungen auf KI-Lösungen hat, weist bereits der Hamburgische Datenschutzbeauftragte hin datenschutz-hamburg.de/news/auswirkungen-des-schufa-urteil-auf-ki-anwendungen.