{"id":1810,"date":"2024-01-29T09:02:32","date_gmt":"2024-01-29T08:02:32","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=1810"},"modified":"2024-01-29T09:02:32","modified_gmt":"2024-01-29T08:02:32","slug":"2-stufenpruefung-bei-der-verarbeitung-von-besonderen-kategorien-personenbezogener-daten-3-voraussetzungen-fuer-einen-schadensersatzanspruch","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1810&lang=de","title":{"rendered":"2-Stufenpr\u00fcfung bei der Verarbeitung von besonderen Kategorien personenbezogener Daten \u2013 3 Voraussetzungen f\u00fcr einen Schadensersatzanspruch"},"content":{"rendered":"\n

Dem am 21. Dezember 2023 in der Rechtssache C-667\/21 (curia.europa.eu\/juris\/liste.jsf?language=en&td=ALL&num=C-667\/21<\/a>) zu entscheidenden Fall lag die Datenverarbeitung eines Medizinischen Dienstes zugrunde. Er hat die gesetzliche Aufgabe, u. a. medizinische Gutachten zur Beseitigung von Zweifeln an der Arbeitsunf\u00e4higkeit von gesetzlich Versicherten, die in seinen Zust\u00e4ndigkeitsbereich fallen, zu erstellen, und zwar auch dann, wenn diese Gutachten seine eigenen Mitarbeiter betreffen. An letzterem hatte der Kl\u00e4ger Zweifel, weil dann Kollegen unter Umst\u00e4nden seine Gesundheitsdaten einsehen k\u00f6nnten.

Der EuGH stellt zun\u00e4chst fest, dass Art. 9 Abs. 3 DSGVO<\/a> dahin auszulegen ist, dass der f\u00fcr eine auf Art. 9 Abs. 2 Buchst. h dieser Verordnung gest\u00fctzte Verarbeitung von Gesundheitsdaten Verantwortliche gem\u00e4\u00df diesen Bestimmungen nicht verpflichtet ist, zu gew\u00e4hrleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten \u00fcber ihren Gesundheitszustand hat. Eine solche Pflicht kann dem f\u00fcr eine solche Verarbeitung Verantwortlichen jedoch gem\u00e4\u00df einer von einem Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 dieser Verordnung erlassenen Regelung oder aufgrund der in Art. 5 Abs. 1 Buchst. f dieser Verordnung genannten und in ihrem Art. 32 Abs. 1 Buchst. a und b konkretisierten Grunds\u00e4tze der Integrit\u00e4t und der Vertraulichkeit obliegen, Rn. 70.

Ferner betont das Gericht, dass Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 DSGVO<\/a>dahin auszulegen sind, dass eine auf die erstgenannte Bestimmung gest\u00fctzte Verarbeitung von Gesundheitsdaten nur dann rechtm\u00e4\u00dfig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einh\u00e4lt, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtm\u00e4\u00dfigkeitsvoraussetzungen erf\u00fcllt, Rn. 79.

Des Weiteren hat der Gerichtshof entschieden, dass, da die DSGVO keine Bestimmung enth\u00e4lt, die sich den Regeln f\u00fcr die Bemessung des Schadenersatzes widmet, der aufgrund des in Art. 82 dieser Verordnung verankerten Schadenersatzanspruchs geschuldet wird, die nationalen Gerichte zu diesem Zweck nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten \u00fcber den Umfang der finanziellen Entsch\u00e4digung anzuwenden haben, sofern die unionsrechtlichen Grunds\u00e4tze der \u00c4quivalenz und der Effektivit\u00e4t beachtet werden, wie sie von der st\u00e4ndigen Rechtsprechung des Gerichtshofs definiert werden (vgl. in diesem Sinne Urteil vom 4. Mai 2023, \u00d6sterreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C\u2011300\/21, EU:C:2023:370<\/a>, Rn. 53, 54 und 59), Rn. 83.

Infolgedessen ist auf die vierte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO<\/a>dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gest\u00fctzte Entsch\u00e4digung in Geld erm\u00f6glichen soll, den konkret aufgrund des Versto\u00dfes gegen diese Verordnung erlittenen Schaden vollst\u00e4ndig auszugleichen, und keine abschreckende oder Straffunktion erf\u00fcllt, Rn. 87.

Das Gericht betont erneut, dass Art. 82 Abs. 1 DSGVO den Anspruch auf Schadenersatz davon abh\u00e4ngig macht, dass drei Voraussetzungen erf\u00fcllt sind, n\u00e4mlich Vorliegen eines Versto\u00dfes gegen diese Verordnung, eines erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Versto\u00df und dem Schaden, Rn. 90.<\/p>\n\n\n\n

Dabei sei Art. 82 DSGVO somit zu entnehmen, dass dieser Artikel ein Haftungsregime f\u00fcr Verschulden vorsieht, bei dem die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen, Rn. 94.<\/p>\n\n\n\n

Hinsichtlich des zu f\u00fchrenden Entlastungsbeweises f\u00fchrt das Gericht aus, wonach es sich aus dem Wortlaut der Art. 24<\/a> und Art. 32 DSGVO<\/a>, dass diese Bestimmungen dem Verantwortlichen lediglich vorschreiben, technische und organisatorische Ma\u00dfnahmen zu treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie m\u00f6glich zu verhindern. Die Geeignetheit solcher Ma\u00dfnahmen sei konkret zu bewerten, indem gepr\u00fcft wird, ob der Verantwortliche diese Ma\u00dfnahmen unter Ber\u00fccksichtigung der verschiedenen in den genannten Artikeln aufgef\u00fchrten Kriterien und der Datenschutzbed\u00fcrfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C\u2011340\/21, EU:C:2023:986<\/a>, Rn. 30), Rn. 96.

Wie der Generalanwalt in Nr. 93 seiner Schlussantr\u00e4ge im Wesentlichen ausgef\u00fchrt hat, st\u00fcnde es nicht im Einklang mit dem Ziel dieses hohen Schutzes, sich f\u00fcr eine Auslegung zu entscheiden, wonach die betroffenen Personen, denen durch einen Versto\u00df gegen die DSGVO ein Schaden entstanden ist, im Rahmen einer auf Art. 82 dieser Verordnung gest\u00fctzten Schadenersatzklage die Beweislast nicht nur f\u00fcr das Vorliegen dieses Versto\u00dfes und des ihnen daraus entstandenen Schadens tragen m\u00fcssten, sondern auch f\u00fcr das Vorliegen von Vorsatz oder Fahrl\u00e4ssigkeit des Verantwortlichen oder sogar f\u00fcr den Grad des jeweiligen Verschuldens, obwohl Art. 82 DSGVO keine derartigen Anforderungen enth\u00e4lt (vgl. entsprechend Urteil vom 14. Dezember, Natsionalna agentsia za prihodite, C\u2011340\/21, EU:C:2023:986<\/a>, Rn. 56), Rn. 99.

Was die Frage bez\u00fcglich der Bemessung der H\u00f6he des eventuell gem\u00e4\u00df Art. 82 DSGVO geschuldeten Schadenersatzes betrifft, ist darauf hinzuweisen, dass, die nationalen Gerichte f\u00fcr die Beurteilung dieses Schadenersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten \u00fcber den Umfang der finanziellen Entsch\u00e4digung anzuwenden haben, sofern die unionsrechtlichen Grunds\u00e4tze der \u00c4quivalenz und der Effektivit\u00e4t beachtet werden, wie sie von der st\u00e4ndigen Rechtsprechung des Gerichtshofs definiert werden, Rn. 101.<\/p>\n\n\n\n

Es ist klarzustellen, dass Art. 82 DSGVO in Anbetracht seiner Ausgleichsfunktion nicht verlangt, dass die Schwere des Versto\u00dfes gegen diese Verordnung, den der Verantwortliche begangen haben soll, bei der Bemessung der Betrags des als Entsch\u00e4digung f\u00fcr einen immateriellen Schaden auf der Grundlage dieser Bestimmung gew\u00e4hrten Schadenersatzes ber\u00fccksichtigt wird; Art. 82 DSGVO verlangt vielmehr, dass dieser Betrag so festgelegt wird, dass er den konkret aufgrund des Versto\u00dfes gegen diese Verordnung erlittenen Schaden vollst\u00e4ndig ausgleicht, wie dies aus den Rn. 84 bis 87 des vorliegenden Urteils hervorgeht, Rn. 102.

Schlussfolgerungen<\/strong>

Schadensersatzanspr\u00fcche sind nur von drei Voraussetzungen abh\u00e4ngig, einem Versto\u00df gegen die DSGVO, einem Schaden und einem Kausalzusammenhang. Der EuGH h\u00e4lt (nur) hinsichtlich der ersten beiden Voraussetzungen den Kl\u00e4ger f\u00fcr beweisbelastet. Hinsichtlich des Verschuldens muss wohl der Verantwortliche einen Entlastungsbeweis f\u00fchren, wobei den getroffenen technisch-organisatorischen Ma\u00dfnahmen eine gro\u00dfe Bedeutung zukommt. Fraglich ist, ob ein Entlastungsbeweis \u00fcberhaupt dann gef\u00fchrt werden kann, wenn den Leitungsorganen eines Verantwortlichen ein DSGVO-Versto\u00df \u201enicht unklar\u201c (so der EuGH in den Rechtssachen C-807\/21bzw. C-683\/21) h\u00e4tte sein k\u00f6nnen. Auf Grund der abgeschw\u00e4chten Haftungsvoraussetzungen d\u00fcrften die Anforderungen an die betriebliche Datenschutzorganisation jedenfalls h\u00f6her werden.

Bemerkenswert ist ferner, dass die Pr\u00fcfung der Zul\u00e4ssigkeit einer Datenverarbeitung nunmehr offenbar im Rahmen einer Art 2-Stufenpr\u00fcfung zu erfolgen hat; neben etwa anzuwendenden (nationalen) Sondervorschriften (wie Art. 9 DSGVO) hat sich die Datenverarbeitung stets an den allgemeinen Voraussetzungen nach Art. 5 und 6 zu orientieren.

Sofern das externe Profiling f\u00fcr die eigentliche Entscheidung ma\u00dfgeblich ist, ist bereits auf dieses Art. 22 DSGVO anzuwenden. Darauf, dass diese Vorverlagerung der Entscheidung Auswirkungen auf KI-L\u00f6sungen hat, weist bereits der Hamburgische Datenschutzbeauftragte hin datenschutz-hamburg.de\/news\/auswirkungen-des-schufa-urteil-auf-ki-anwendungen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Dem am 21. Dezember 2023 in der Rechtssache C-667\/21 (curia.europa.eu\/juris\/liste.jsf?language=en&td=ALL&num=C-667\/21) zu entscheidenden Fall lag die Datenverarbeitung eines Medizinischen Dienstes zugrunde. Er hat<\/p>\n

Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1810"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1810"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1810\/revisions"}],"predecessor-version":[{"id":1811,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1810\/revisions\/1811"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1810"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1810"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1810"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}