EuGH, Urt. 21.12.2023 - C-667/21

Zusätzliche Rechtsgrundlage für Verarbeitung sensibler Daten i.S.d. Art. 9 DSGVO

Autor: RA Dr. Ingemar Kartheuser, LL.M. (Canterbury)Dipl.-Jur. Manuel Faißt, Norton Rose Fulbright LLP, Hamburg
Aus: IT-Rechtsberater, Heft 04/2024
Die Rechtmäßigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO setzt neben einem Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO auch voraus, dass sie auf eine Rechtsgrundlage gem. Art. 6 DSGVO gestützt werden kann.

DSGVO Art. 4 Nr. 15, Art. 9 Abs. 1, 2 und 3, Art. 6 Abs. 1, Art. 5 Abs. 1 und 2

Das Problem

Der IT-Mitarbeiter einer Krankenkasse wurde arbeitsunfähig. Die Krankenkasse beauftragte ihren medizinischen Dienst mit der Erstellung eines Gutachtens über die Arbeitsunfähigkeit. Dieses Gutachten war auch Kollegen aus der IT-Abteilung zugänglich. Der Mitarbeiter sah hierin eine unrechtmäßige Verarbeitung seiner Gesundheitsdaten und nahm seinen Arbeitgeber auf Schadensersatz in Anspruch. Im arbeitsgerichtlichen Instanzenzug war fraglich, ob die streitige Verarbeitung nach Art. 9 Abs. 2 lit. h DSGVO ausnahmsweise erlaubt war und ob sie neben den Voraussetzungen des Art. 9 Abs. 3 DSGVO zusätzlich auf eine Rechtsgrundlage gem. Art. 6 Abs. 1 DSGVO gestützt werden musste. Diese Fragen legte es dem EuGH zur Vorabentscheidung vor.

Die Entscheidung des Gerichts

Der EuGH bejahte beide Fragen.

Verarbeitung durch eigenen Arbeitgeber: Art. 9 Abs. 2 lit. h DSGVO erlaube die Verarbeitung von Gesundheitsdaten i.S.v. Art. 4 Nr. 15 DSGVO, wenn dies für die Beurteilung der Arbeitsfähigkeit des Beschäftigten erforderlich sei und die Verarbeitung gem. Art. 9 Abs. 3 DSGVO durch medizinisches Fachpersonal erfolge, das einer Geheimhaltungspflicht unterliege. Weder Wortlaut noch Entstehungsgeschichte der Norm gäben Hinweis darauf, dass die Verarbeitung nur durch „neutrale Dritte“ und nicht durch den eigenen Arbeitgeber des Betroffenen erfolgen dürfe. Weiter handle es sich bei der vorliegenden um eine sehr spezielle, nicht auf alle EU-Mitgliedstaaten übertragbare Konstellation, die keine verallgemeinerungsfähige Einengung der Norm gebieten könne.

Ausschluss bekannter Mitarbeiter: Der Arbeitgeber müsse jedoch von der Verarbeitung der Gesundheitsdaten all diejenigen Mitarbeiter ausschließen, die mit der betroffenen Person in beruflichem Kontakt stehen könnten. Dies ergebe sich aus den in Art. 5 Abs. 1 lit. f sowie Art. 32 Abs. 1 lit. a und b DSGVO verankerten Grundsätzen der Integrität und der Vertraulichkeit der Datenverarbeitung.

Weitere Rechtsgrundlage nach Art. 6 DSGVO: Die Verarbeitung müsse auf eine der Rechtsgrundlagen des Art. 6 Abs. 1 Unterabs. 1 DSGVO gestützt werden können. Hierfür spreche entscheidend Erwgrd. 51 der DSGVO, wonach – zusätzlich zu den speziellen Anforderungen der Verarbeitung nach Art. 9 Abs. 3 DSGVO – die allgemeinen Grundsätze der DSGVO, insb. hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten sollen. Die Verarbeitung von Gesundheitsdaten sei daher nur dann rechtmäßig, wenn mindestens eine der Bedingungen des Art. 6 Abs. 1 Unterabs. 1 DSGVO erfüllt sei. Dies sei seit den Urteilen v. 6.10.2020 (EuGH, Urt. v. 6.10.2020 – C-511/18, C-512/18 und 520/18, CR 2021, 18 = ITRB 2020, 251 [Rössel]) gefestigte Rechtsprechung.


Wussten Sie schon?

Werden Sie jetzt Teilnehmer beim Anwalt-Suchservice und Sie greifen jederzeit online auf die Zeitschrift „IT-Rechtsberater“ des renommierten juristischen Fachverlags Dr. Otto Schmidt, Köln, zu.

Die Zeitschrift ist speziell auf Praktiker zugeschnitten. Sie lesen aktuelle Urteilsbesprechungen inklusive speziellem Beraterhinweis sowie Fachaufsätze und Kurzbeiträge zum Thema IT-Recht und zwar 24/7, also wo und wann immer Sie wollen.

Infos zur Teilnahme