URTEIL DES GERICHTSHOFS (Dritte Kammer)
21. Dezember 2023 ( *1 )
„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 6 Abs. 1 – Voraussetzungen für die Rechtmäßigkeit der Verarbeitung – Art. 9 Abs. 1 bis 3 – Verarbeitung besonderer Kategorien personenbezogener Daten – Gesundheitsdaten – Beurteilung der Arbeitsfähigkeit eines Angestellten – Medizinischer Dienst der Krankenkassen, der Gesundheitsdaten seiner eigenen Mitarbeiter verarbeitet – Zulässigkeit und Voraussetzungen einer solchen Verarbeitung – Art. 82 Abs. 1 – Haftung und Recht auf Schadenersatz – Ersatz eines immateriellen Schadens – Ausgleichsfunktion – Auswirkung des Verschuldens des Verantwortlichen“
In der Rechtssache C‑667/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesarbeitsgericht (Deutschland) mit Beschluss vom 26. August 2021, beim Gerichtshof eingegangen am 8. November 2021, in dem Verfahren
ZQ
gegen
Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts,
erlässt
DER GERICHTSHOF (Dritte Kammer)
unter Mitwirkung der Kammerpräsidentin K. Jürimäe sowie der Richter N. Piçarra, M. Safjan, N. Jääskinen (Berichterstatter) und M. Gavalec,
Generalanwalt: M. Campos Sánchez-Bordona,
Kanzler: A. Calot Escobar,
aufgrund des schriftlichen Verfahrens,
unter Berücksichtigung der Erklärungen
– |
von ZQ, vertreten durch Rechtsanwalt E. Daun, |
– |
des Medizinischen Dienstes der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, vertreten durch Rechtsanwalt M. Wehner, |
– |
von Irland, vertreten durch M. Browne, Chief State Solicitor, A. Joyce und M. Lane als Bevollmächtigte im Beistand von D. Fennelly, BL, |
– |
der italienischen Regierung, vertreten durch G. Palmieri als Bevollmächtigte im Beistand von M. Russo, Avvocato dello Stato, |
– |
der Europäischen Kommission, vertreten durch A. Bouchagiar, M. Heller und H. Kranenborg als Bevollmächtigte, |
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 25. Mai 2023
folgendes
Urteil
1 |
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 9 Abs. 1, Abs. 2 Buchst. h und Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO) in Verbindung mit Art. 6 Abs. 1 dieser Verordnung sowie die Auslegung von deren Art. 82 Abs. 1. |
2 |
Es ergeht im Rahmen eines Rechtsstreits zwischen ZQ und seinem Arbeitgeber, dem Medizinischen Dienst der Krankenversicherung Nordrhein (Deutschland), (im Folgenden: MDK Nordrhein) über den Ersatz des Schadens, der ZQ aufgrund einer Verarbeitung von Gesundheitsdaten entstanden sein soll, die der MDK Nordrhein unrechtmäßig vorgenommen habe. |
Rechtlicher Rahmen
Unionsrecht
3 |
In den Erwägungsgründen 4 bis 8, 10, 35, 51 bis 53, 75 und 146 der DSGVO heißt es:
…
…
…
…
…
|
4 |
In Kapitel I („Allgemeine Bestimmungen“) der DSGVO bestimmt Art. 2 („Sachlicher Anwendungsbereich“) Abs. 1 vor: „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ |
5 |
Art. 4 („Begriffsbestimmungen“) DSGVO bestimmt: „Im Sinne dieser Verordnung bezeichnet der Ausdruck:
…
…
…“ |
6 |
Kapitel II („Grundsätze“) der DSGVO umfasst die Art. 5 bis 11 dieser Verordnung. |
7 |
Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) DSGVO sieht vor: „(1) Personenbezogene Daten müssen
…
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“ |
8 |
Art. 6 („Rechtmäßigkeit der Verarbeitung“) Abs. 1 DSGVO bestimmt: „Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“ |
9 |
In Art. 9 („Verarbeitung besonderer Kategorien personenbezogener Daten“) DSGVO heißt es: „(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. (2) Absatz 1 gilt nicht in folgenden Fällen: …
…
… (3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt. (4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.“ |
10 |
Kapitel IV („Verantwortlicher und Auftragsverarbeiter“) der DSGVO umfasst die Art. 24 bis 43. |
11 |
In Abschnitt 1 („Allgemeine Pflichten“) dieses Kapitels steht Art. 24 („Verantwortung des für die Verarbeitung Verantwortlichen“) DSGVO; dessen Abs. 1 bestimmt: „Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“ |
12 |
In Abschnitt 2 („Sicherheit personenbezogener Daten“) dieses Kapitels steht Art. 32 („Sicherheit der Verarbeitung“) DSGVO; dessen Abs. 1 bestimmt: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
…“ |
13 |
Kapitel VIII („Rechtsbehelfe, Haftung und Sanktionen“) der DSGVO umfasst die Art. 77 bis 84. |
14 |
In Art. 82 („Haftung und Recht auf Schadenersatz“) DSGVO heißt es: „(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. (2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. … (3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Abs. 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. …“ |
15 |
Art. 83 („Allgemeine Bedingungen für die Verhängung von Geldbußen“) DSGVO sieht vor: „(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (2) … Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
…
…
(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß. …“ |
16 |
Art. 84 („Sanktionen“) Abs. 1 DSGVO bestimmt: „Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“ |
Deutsches Recht
17 |
Nach § 275 Abs. 1 Sozialgesetzbuch Fünftes Buch in seiner auf den Ausgangsrechtsstreit anwendbaren Fassung sind die gesetzlichen Krankenkassen in den gesetzlich bestimmten Fällen oder wenn es die Erkrankung des Versicherten erforderlich macht, verpflichtet, von einem Medizinischen Dienst, der sie unterstützt, insbesondere zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten, eine gutachtliche Stellungnahme einzuholen. |
18 |
Nach § 278 Abs. 1 Satz 1 Sozialgesetzbuch Fünftes Buch wird in jedem Bundesland ein solcher Medizinischer Dienst als Körperschaft des öffentlichen Rechts errichtet. |
Ausgangsverfahren und Vorlagefragen
19 |
Der MDK Nordrhein ist als Medizinischer Dienst der Krankenkassen eine Körperschaft öffentlichen Rechts. Er hat die gesetzliche Aufgabe, u. a. medizinische Gutachten zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von gesetzlich Versicherten, die in seinen Zuständigkeitsbereich fallen, zu erstellen, und zwar auch dann, wenn diese Gutachten seine eigenen Mitarbeiter betreffen. |
20 |
In einem solchen Fall ist es nur den Mitgliedern einer besonderen Einheit, die als „Organisationseinheit Spezialfall“ bezeichnet wird, gestattet, unter Verwendung eines gesperrten Bereichs des IT‑Systems des Medizinischen Dienstes die sogenannten „Sozialdaten“ dieses Mitarbeiters zu verarbeiten und nach Abschluss des Begutachtungsauftrags Zugang zum elektronischen Archiv zu erhalten. Eine Dienstanweisung zu diesen Fällen sieht u. a. vor, dass eine begrenzte Zahl von Mitarbeitern, darunter bestimmte Mitarbeiter der IT‑Abteilung, Zugang zu diesen Daten haben. |
21 |
Der Kläger des Ausgangsverfahrens arbeitete in der IT‑Abteilung des MDK Nordrhein, bevor er arbeitsunfähig wurde. Nach dem Ende der Entgeltfortzahlung durch den MDK Nordrhein bezog der Kläger Krankengeld von seiner gesetzlichen Krankenkasse. |
22 |
Diese Krankenkasse beauftragte dann den MDK Nordrhein, eine gutachtliche Stellungnahme zur Arbeitsunfähigkeit des Klägers des Ausgangsverfahrens zu erstellen. Eine in der „Organisationseinheit Spezialfall“ des MDK Nordrhein tätige Ärztin erstellte das Gutachten, indem sie u. a. Auskünfte vom behandelnden Arzt des Klägers des Ausgangsverfahrens einholte. Als dieser darüber von seinem behandelnden Arzt informiert wurde, kontaktierte er einen seiner Kollegen der IT‑Abteilung und bat ihn, Fotos von dem Gutachten, das sich im elektronischen Archiv des MDK Nordrhein befand, zu machen und ihm zu übermitteln. |
23 |
Da er der Auffassung war, dass ihn betreffende Gesundheitsdaten auf diese Weise rechtswidrig von seinem Arbeitgeber verarbeitet worden seien, forderte der Kläger des Ausgangsverfahrens ihn auf, ihm eine Entschädigung in Höhe von 20000 Euro zu zahlen, was der MDK Nordrhein ablehnte. |
24 |
Daraufhin erhob der Kläger des Ausgangsverfahrens Klage beim Arbeitsgericht Düsseldorf (Deutschland) und beantragte auf der Grundlage von Art. 82 Abs. 1 DSGVO und den Vorschriften des deutschen Rechts, den MDK Nordrhein zu verurteilen, ihm den Schaden zu ersetzen, der ihm aufgrund der in dieser Weise erfolgten Verarbeitung personenbezogener Daten entstanden sein soll. Er machte im Wesentlichen geltend, dass zum einen das in Rede stehende Gutachten von einem anderen Medizinischen Dienst hätte erstellt werden müssen, um zu verhindern, dass seine Kollegen Zugang zu Gesundheitsdaten bekämen, und dass zum anderen die Sicherheitsmaßnahmen rund um die Archivierung des Berichts über dieses Gutachten unzureichend gewesen seien. Außerdem stelle diese Verarbeitung einen Verstoß gegen die Vorschriften über den Schutz solcher Daten dar, durch den ihm sowohl immaterielle als auch materielle Schäden entstanden seien. |
25 |
Zu seiner Verteidigung machte der MDK Nordrhein im Wesentlichen geltend, dass die Sammlung und Speicherung von Gesundheitsdaten des Klägers des Ausgangsverfahrens im Einklang mit den Vorschriften über den Schutz solcher Daten erfolgt seien. |
26 |
Da seine Klage in erster Instanz abgewiesen wurde, legte der Kläger des Ausgangsverfahrens Berufung beim Landesarbeitsgericht Düsseldorf (Deutschland) ein, das seine Klage ebenfalls abwies. Daraufhin legte er Revision beim Bundesarbeitsgericht (Deutschland) ein, dem vorlegenden Gericht in der vorliegenden Rechtssache. |
27 |
Dieses geht davon aus, dass im Ausgangsrechtsstreit das vom MDK Nordrhein als Medizinischem Dienst erstellte Gutachten eine „Verarbeitung“ von „personenbezogenen Daten“ und, genauer gesagt, von „Gesundheitsdaten“ im Sinne von Art. 4 Nrn. 1, 2 und 15 DSGVO darstelle, so dass diese Verarbeitung in den sachlichen Anwendungsbereich dieser Verordnung falle, wie er in deren Art. 2 Abs. 1 definiert werde. Zudem sei der MDK Nordrhein „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 dieser Verordnung. |
28 |
Die Fragen des vorlegenden Gerichts beziehen sich als Erstes – u. a. in Anbetracht der Tatsache, dass die im Ausgangsverfahren in Rede stehende Verarbeitung von einer Stelle durchgeführt wurde, die auch der Arbeitgeber der betroffenen Person ist, wie sie in Art. 4 Nr. 1 DSGVO definiert wird – auf die Auslegung mehrerer Bestimmungen von Art. 9 DSGVO, der die Verarbeitung besonderer Kategorien personenbezogener Daten betrifft. |
29 |
Zunächst bezweifelt das vorlegende Gericht, dass die im Ausgangsverfahren in Rede stehende Verarbeitung von Gesundheitsdaten unter eine der in Art. 9 Abs. 2 DSGVO vorgesehenen Ausnahmen fallen kann. Nur die Ausnahmen in Abs. 2 Buchst. b und h seien im vorliegenden Fall einschlägig. Allerdings schließt es von vornherein aus, die in Buchst. b vorgesehene Ausnahme im vorliegenden Fall anzuwenden, da die im Ausgangsverfahren in Rede stehende Verarbeitung für die Rechte und Pflichten des Verantwortlichen in seiner Eigenschaft als Arbeitgeber der betroffenen Person nicht erforderlich gewesen sei. Diese Verarbeitung sei nämlich von einer anderen Stelle initiiert worden, die den MDK Nordrhein beauftragt habe, eine Kontrolle in seiner Eigenschaft als Medizinischer Dienst durchzuführen. Obwohl das vorlegende Gericht dazu neigt, auch die in Buchst. h vorgesehene Ausnahme nicht anzuwenden, da es meint, dass nur eine von einem „neutralen Dritten“ vorgenommene Verarbeitung darunter fallen sollte und eine Stelle sich nicht auf ihre „Doppelfunktion“ als Arbeitgeber und als Medizinischer Dienst stützen könne, um dem Verbot einer solchen Verarbeitung zu entgehen, zeigt sich das vorlegende Gericht in dieser Hinsicht jedoch nicht kategorisch. |
30 |
Unter der Annahme, dass die Verarbeitung von Gesundheitsdaten unter solchen Umständen nach Art. 9 Abs. 2 Buchst. h DSGVO erlaubt wäre, stellt sich das vorlegende Gericht darüber hinaus Fragen zu den Regeln in Bezug auf den Schutz von Gesundheitsdaten, die in diesem Rahmen beachtet werden müssen. Seiner Ansicht nach ist es gemäß dieser Verordnung nicht ausreichend, dass der Verantwortliche die Anforderungen in Art. 9 Abs. 3 DSGVO erfüllt. Er müsse außerdem gewährleisten, dass keiner der Kollegen der betroffenen Person irgendeinen Zugang zu ihren Gesundheitsdaten habe. |
31 |
Ferner möchte das vorlegende Gericht, immer noch unter dieser Annahme, wissen, ob darüber hinaus zumindest eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt sein muss, damit eine solche Verarbeitung rechtmäßig ist. Seiner Ansicht nach müsste dies der Fall sein, und im Rahmen des Ausgangsverfahrens könnten von vornherein nur die Buchst. c und e dieses Art. 6 Abs. 1 Unterabs. 1 in Betracht kommen. Allerdings dürften diese beiden Buchst. c und e nicht zur Anwendung kommen, weil die betreffende Verarbeitung nicht „erforderlich“ im Sinne dieser Bestimmungen sei, denn sie könne genauso gut von einem anderen Medizinischen Dienst als dem MDK Nordrhein durchgeführt werden. |
32 |
Falls im vorliegenden Fall ein Verstoß gegen die DSGVO gegeben sein sollte, stellt sich das vorlegende Gericht als Zweites Fragen zu dem Schadenersatz, der dem Kläger des Ausgangsverfahrens gemäß Art. 82 dieser Verordnung möglicherweise geschuldet wird. |
33 |
Zum einen möchte es wissen, ob die in Art. 82 Abs. 1 DSGVO vorgesehene Regelung neben ihrer Ausgleichsfunktion auch abschreckenden oder Strafcharakter hat, und gegebenenfalls, ob es dies bei der Festlegung der Höhe des für einen immateriellen Schaden gewährten Schadenersatzes insbesondere in Anbetracht der Grundsätze der Effektivität, der Verhältnismäßigkeit und der Äquivalenz, die in anderen Bereichen des Unionsrechts verankert seien, berücksichtigen muss. |
34 |
Zum anderen neigt das vorlegende Gericht der Ansicht zu, dass der Verantwortliche auf der Grundlage von Art. 82 Abs. 1 haftbar sein könne, ohne dass dafür der Nachweis eines Verschuldens erforderlich sei. Da es jedoch in erster Linie in Anbetracht der Vorschriften des deutschen Rechts Zweifel hat, fragt es sich, ob überprüft werden müsste, dass der in Rede stehende Verstoß gegen die DSGVO dem Verantwortlichen wegen einer vorsätzlichen oder fahrlässigen Handlung seinerseits zuzurechnen sei, ob sich der Grad seines etwaigen Verschuldens auf den als Entschädigung für den immateriellen Schaden gewährten Schadenersatz auswirken müsse. |
35 |
Unter diesen Umständen hat das Bundesarbeitsgericht beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
|
Zu den Vorlagefragen
Zur ersten Frage
36 |
Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob in Anbetracht des in Art. 9 Abs. 1 DSGVO enthaltenen Verbots der Verarbeitung von Gesundheitsdaten Art. 9 Abs. 2 Buchst. h DSGVO dahin auszulegen ist, dass die darin vorgesehene Ausnahme auf Situationen anwendbar ist, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht in ihrer Eigenschaft als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen. |
37 |
Nach ständiger Rechtsprechung sind bei der Auslegung einer Bestimmung des Unionsrechts nicht nur deren Wortlaut, sondern auch der Zusammenhang, in den sie sich einfügt, und die Ziele zu berücksichtigen, die mit der Regelung, zu der sie gehört, verfolgt werden. Die Entstehungsgeschichte einer Bestimmung des Unionsrechts kann ebenfalls relevante Anhaltspunkte für ihre Auslegung liefern (Urteil vom 16. März 2023, Towercast, C‑449/21, EU:C:2023:207, Rn. 31 und die dort angeführte Rechtsprechung). |
38 |
Als Erstes ist darauf hinzuweisen, dass sich Art. 9 DSGVO, wie es in seiner Überschrift heißt, auf die „Verarbeitung besonderer Kategorien personenbezogener Daten“ bezieht, die in den Erwägungsgründen 10 und 51 dieser Verordnung auch als „sensible“ Daten bezeichnet werden. |
39 |
Im 51. Erwägungsgrund der DSGVO heißt es, dass personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, einen besonderen Schutz verdienen, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. |
40 |
In Art. 9 Abs. 1 DSGVO wird somit der Grundsatz aufgestellt, dass die Verarbeitung der dort aufgezählten besonderen Kategorien personenbezogener Daten untersagt ist. Zu diesen Kategorien gehören „Gesundheitsdaten“, wie sie in Art. 4 Nr. 15 DSGVO im Licht des 35. Erwägungsgrundes dieser Verordnung definiert werden; um diese Daten geht es in der vorliegenden Rechtssache. |
41 |
Der Gerichtshof hat klargestellt, dass der Zweck von Art. 9 Abs. 1 DSGVO darin besteht, einen erhöhten Schutz vor Datenverarbeitungen zu gewährleisten, die aufgrund der besonderen Sensibilität der Daten, die Gegenstand der Verarbeitungen sind, einen besonders schweren Eingriff in die durch die Art. 7 und 8 der Charta der Grundrechte verbürgten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen können (vgl. in diesem Sinne Urteil vom 5. Juni 2023, Kommission/Polen [Unabhängigkeit und Privatleben von Richtern], C‑204/21, EU:C:2023:442, Rn. 345 und die dort angeführte Rechtsprechung). |
42 |
Art. 9 Abs. 2 Buchst. a bis j DSGVO sieht jedoch eine abschließende Liste von Ausnahmen vom Grundsatz des Verbots der Verarbeitung dieser sensiblen Daten vor. |
43 |
Insbesondere gestattet Art. 9 Abs. 2 Buchst. h DSGVO eine solche Verarbeitung, wenn sie „für die Beurteilung der Arbeitsfähigkeit des Beschäftigten … auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs … erforderlich“ ist. Diese Bestimmung stellt klar, dass jede auf sie gestützte Verarbeitung überdies speziell „vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien“ erforderlich sein muss. |
44 |
Aus Art. 9 Abs. 2 Buchst. h DSGVO in Verbindung mit Abs. 3 dieses Artikels folgt, dass die Möglichkeit, sensible Daten wie Gesundheitsdaten zu verarbeiten, durch eine Reihe kumulativer Voraussetzungen streng reglementiert ist. Diese beziehen sich erstens auf die in Buchst. h aufgezählten Zwecke – zu denen die Beurteilung der Arbeitsfähigkeit eines Arbeitnehmers gehört –, zweitens auf die Rechtsgrundlage dieser Datenverarbeitung – gemäß Buchst. h das Unionsrecht oder das Recht eines Mitgliedstaats oder ein Vertrag mit einem Angehörigen eines Gesundheitsberufs – und drittens auf die Geheimhaltungspflicht, der die zu einer solchen Datenverarbeitung berechtigten Personen nach Art. 9 Abs. 3 DSGVO unterliegen, wobei diese Personen gemäß dieser letztgenannten Bestimmung dem Berufsgeheimnis unterliegen müssen. |
45 |
Wie der Generalanwalt in den Nrn. 32 und 33 seiner Schlussanträge im Wesentlichen ausgeführt hat, geben weder der Wortlaut von Art. 9 Abs. 2 Buchst. h DSGVO noch die Entstehungsgeschichte dieser Bestimmung Hinweise für die Annahme, dass die Anwendung der in dieser Bestimmung vorgesehenen Ausnahme, wie das vorlegende Gericht vorschlägt, den Fällen vorbehalten sei, in denen die Datenverarbeitung durch einen „neutralen Dritten und nicht durch den Arbeitgeber“ der betroffenen Person, wie sie in Art. 4 Nr. 1 DSGVO definiert wird, erfolgt. |
46 |
In Anbetracht der Auffassung des vorlegenden Gerichts, nach der sich im Wesentlichen eine Stelle nicht auf ihre „Doppelfunktion“ als Arbeitgeber der betroffenen Person und als Medizinischer Dienst berufen können sollte, um auf diese Weise dem grundsätzlichen Verbot der Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO zu entgehen, ist darauf hinzuweisen, dass es von entscheidender Bedeutung ist, zu berücksichtigen, zu welchem Zweck diese Daten verarbeitet werden. |
47 |
Zwar ist nach Art. 9 Abs. 1 DSGVO die Verarbeitung von Gesundheitsdaten grundsätzlich untersagt, Art. 9 Abs. 2 DSGVO sieht jedoch in seinen Buchst. a bis j zehn Ausnahmen vor, die voneinander unabhängig sind und daher autonom zu beurteilen sind. Folglich ist ein Verantwortlicher durch die Tatsache, dass die Voraussetzungen für die Anwendung einer der in Art. 9 Abs. 2 aufgeführten Ausnahmen nicht erfüllt sind, nicht daran gehindert, sich auf eine andere in dieser Bestimmung genannte Ausnahme zu berufen. |
48 |
Aus dem Vorstehenden ergibt sich, dass Art. 9 Abs. 2 Buchst. h DSGVO in Verbindung mit Abs. 3 dieses Artikels keineswegs die Anwendbarkeit der in Buchst. h genannten Ausnahme auf Situationen ausschließt, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer als Medizinischer Dienst und nicht in ihrer Eigenschaft als Arbeitgeber verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu prüfen. |
49 |
Als Zweites wird diese Auslegung durch die Berücksichtigung des Zusammenhangs gestützt, in den sich Art. 9 Abs. 2 Buchst. h DSGVO einfügt, sowie durch die Ziele, die diese Verordnung und diese Bestimmung verfolgen. |
50 |
Erstens ist Art. 9 Abs. 2 DSGVO, da er eine Ausnahme vom Grundsatz des Verbots der Verarbeitung besonderer Kategorien personenbezogener Daten vorsieht, zwar eng auszulegen (Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C‑252/21, EU:C:2023:537, Rn. 76). |
51 |
Allerdings darf die Beachtung des in Art. 9 Abs. 1 DSGVO genannten grundsätzlichen Verbots nicht dazu führen, den Anwendungsbereich einer anderen Bestimmung dieser Verordnung in einer Art und Weise einzuschränken, die ihrem eindeutigen Wortlaut zuwiderliefe. Die vorgeschlagene Auslegung, wonach der Anwendungsbereich der in Art. 9 Abs. 2 Buchst. h DSGVO vorgesehenen Ausnahme auf die Fälle beschränkt sein sollte, in denen ein „neutraler Dritter“ die Gesundheitsdaten verarbeitet, um die Arbeitsfähigkeit eines Arbeitnehmers zu prüfen, würde jedoch eine Anforderung hinzufügen, die aus dem eindeutigen Wortlaut dieser Bestimmung in keiner Weise hervorgeht. |
52 |
Insoweit ist nicht von Belang, dass vorliegend, falls dem MDK Nordrhein untersagt würde, seine Aufgabe als Medizinischer Dienst wahrzunehmen, wenn es sich um einen seiner eigenen Mitarbeiter handelt, eine andere Stelle für medizinische Begutachtung diese Aufgabe übernehmen könnte. Es ist darauf hinzuweisen, dass diese vom vorlegenden Gericht angesprochene Alternative nicht unbedingt in allen Mitgliedstaaten und in allen Situationen, die von Art. 9 Abs. 2 Buchst. h DSGVO erfasst werden können, zur Verfügung steht oder durchführbar ist. Die Auslegung dieser Bestimmung darf jedoch nicht von Erwägungen geleitet werden, die aus dem Gesundheitssystem eines einzigen Mitgliedstaats hergeleitet werden oder sich aus den den Ausgangsrechtsstreit kennzeichnenden Umständen ergeben. |
53 |
Zweitens steht die Auslegung in Rn. 48 des vorliegenden Urteils mit den Zielen der DSGVO und denen ihres Art. 9 in Einklang. |
54 |
So ist das Recht auf Schutz der personenbezogenen Daten nach dem vierten Erwägungsgrund der DSGVO kein uneingeschränktes Recht, da es im Hinblick auf seine gesellschaftliche Funktion gesehen werden und gegen andere Grundrechte abgewogen werden muss (vgl. in diesem Sinne Urteil vom 22. Juni 2023, Pankki S, C‑579/21, EU:C:2023:501, Rn. 78). Zudem hat der Gerichtshof bereits hervorgehoben, dass die Mechanismen, die es ermöglichen, einen angemessenen Ausgleich zwischen den verschiedenen berührten Rechten und Interessen zu finden, in der DSGVO selbst festgelegt sind (vgl. in diesem Sinne Urteil vom 17. Juni 2021, M.I.C.M., C‑597/19, EU:C:2021:492, Rn. 112). |
55 |
Diese Erwägungen gelten auch dann, wenn die betreffenden Daten zu einer der in Art. 9 DSGVO genannten besonderen Kategorien wie z. B. Gesundheitsdaten gehören (vgl. in diesem Sinne Urteil vom 24. September 2019, GC u. a. [Auslistung sensibler Daten], C‑136/17, EU:C:2019:773, Rn. 57 und 66 bis 68). |
56 |
Insbesondere geht aus dem 52. Erwägungsgrund der DSGVO hervor, dass „Ausnahmen vom Verbot der Verarbeitung [dieser] besondere[n] Kategorien von personenbezogenen Daten“ erlaubt sein sollten, „wenn dies durch das öffentliche Interesse gerechtfertigt ist, insbesondere … auf dem Gebiet des Arbeitsrechts und des Rechts der sozialen Sicherheit“ sowie „zu gesundheitlichen Zwecken … wie der Gewährleistung der öffentlichen Gesundheit und der Verwaltung von Leistungen der Gesundheitsversorgung, insbesondere wenn dadurch die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen sichergestellt werden soll“. Im 53. Erwägungsgrund dieser Verordnung heißt es ferner, dass die Verarbeitung von Daten „für gesundheitsbezogene Zwecke“ nur dann möglich sein sollte, „wenn dies für das Erreichen dieser Zwecke im Interesse einzelner natürlicher Personen und der Gesellschaft insgesamt erforderlich ist, insbesondere im Zusammenhang mit der Verwaltung der Dienste und Systeme des Gesundheits- oder Sozialbereichs“. |
57 |
Aus dieser Gesamtperspektive und unter Berücksichtigung der verschiedenen beteiligten legitimen Interessen hat der Unionsgesetzgeber in Art. 9 Abs. 2 Buchst. h DSGVO eine Möglichkeit vorgesehen, von dem in Art. 9 Abs. 1 genannten Grundsatz des Verbots der Verarbeitung von Gesundheitsdaten unter dem Vorbehalt abzuweichen, dass die betreffende Datenverarbeitung die Voraussetzungen und Garantien erfüllt, die in Art. 9 Abs. 2 Buchst. h und in den anderen maßgeblichen Bestimmungen dieser Verordnung, insbesondere Art. 9 Abs. 3, vorgeschrieben sind und in denen die Anforderung, dass ein Medizinischer Dienst, der solche Daten gemäß Buchst. h verarbeitet, eine vom Arbeitgeber der betreffenden Person getrennte Stelle ist, nicht vorkommt. |
58 |
Nach alledem ist unbeschadet der Antworten, die auf die zweite und die dritte Frage gegeben werden, auf die erste Frage zu antworten, dass Art. 9 Abs. 2 Buchst. h DSGVO dahin auszulegen ist, dass die in dieser Bestimmung vorgesehene Ausnahme unter dem Vorbehalt, dass die betreffende Datenverarbeitung die in Buchst. h und in Art. 9 Abs. 3 ausdrücklich vorgeschriebenen Voraussetzungen und Garantien erfüllt, auf Situationen anwendbar ist, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen. |
Zur zweiten Frage
59 |
Nach Ansicht des vorlegenden Gerichts geht aus den Erwägungsgründen 35, 51, 53 und 75 der DSGVO hervor, dass in einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Verantwortliche auch der Arbeitgeber der Person ist, deren Arbeitsfähigkeit begutachtet wird, die Erfüllung der Anforderungen von Art. 9 Abs. 3 DSGVO nicht ausreicht. Diese Verordnung verlange darüber hinaus, von der Verarbeitung von Gesundheitsdaten alle diejenigen Arbeitnehmer des Verantwortlichen auszuschließen, die mit der betroffenen Person in irgendeinem beruflichen Kontakt stehen könnten. Jeder Verantwortliche, der wie der MDK Nordrhein über mehrere Standorte verfüge, müsse dafür sorgen, dass die mit der Verarbeitung der Gesundheitsdaten der Arbeitnehmer dieses Verantwortlichen beauftragte Stelle immer zu einem anderen Standort als demjenigen gehöre, bei dem der betreffende Arbeitnehmer beschäftigt sei. Überdies verhindere die Pflicht zum Berufsgeheimnis, die den Arbeitnehmern obliege, die zur Verarbeitung solcher Daten befugt seien, de facto nicht, dass ein Kollege der betroffenen Person zu den sie betreffenden Daten Zugang habe, was die Gefahr von Schäden wie einer Rufschädigung der betroffenen Person nach sich ziehe. |
60 |
Unter diesen Umständen möchte das vorlegende Gericht mit seiner zweiten Frage im Wesentlichen wissen, ob die Bestimmungen der DSGVO dahin auszulegen sind, dass der für eine auf Art. 9 Abs. 2 Buchst. h dieser Verordnung gestützte Verarbeitung von Gesundheitsdaten Verantwortliche verpflichtet ist, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat. |
61 |
Es ist darauf hinzuweisen, dass nach Art. 9 Abs. 3 DSGVO eine Datenverarbeitung zu den in Art. 9 Abs. 1 bzw. Abs. 2 Buchst. h aufgezählten Zwecken, im vorliegenden Fall eine Verarbeitung von Gesundheitsdaten eines Arbeitnehmers zur Prüfung seiner Arbeitsfähigkeit, nur dann erfolgen darf, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt. |
62 |
Der Unionsgesetzgeber hat mit dem Erlass von Art. 9 Abs. 3 dieser Verordnung, der sich gerade auf Abs. 2 Buchst. h dieses Artikels bezieht, die spezifischen Schutzmaßnahmen definiert, die er den für solche Verarbeitungen Verantwortlichen auferlegen wollte und die darin bestehen, dass diese Verarbeitungen Personen vorbehalten sind, die gemäß den in diesem Abs. 3 erläuterten Voraussetzungen einer Geheimhaltungspflicht unterliegen. Dem Wortlaut dieser letztgenannten Bestimmung dürfen daher keine Anforderungen hinzugefügt werden, die nicht in ihr genannt sind. |
63 |
Daraus folgt, wie der Generalanwalt im Wesentlichen in Nr. 43 seiner Schlussanträge ausgeführt hat, dass Art. 9 Abs. 3 DSGVO nicht als Rechtsgrundlage für eine Maßnahme dienen kann, die gewährleistet, dass kein Kollege der betroffenen Person Zugang zu ihren Gesundheitsdaten hat. |
64 |
Es ist allerdings zu prüfen, ob dem Verantwortlichen für eine auf Art. 9 Abs. 2 Buchst. h DSGVO gestützte Datenverarbeitung eine Anforderung, die darin besteht, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu Daten über ihren Gesundheitszustand hat, auf der Grundlage einer anderen Bestimmung dieser Verordnung auferlegt werden kann. |
65 |
In diesem Zusammenhang ist darauf hinzuweisen, dass die einzige Möglichkeit für die Mitgliedstaaten, eine solche Anforderung zusätzlich zu den in Art. 9 Abs. 2 und 3 DSGVO genannten hinzuzufügen, darin besteht, von der ihnen in Art. 9 Abs. 4 ausdrücklich eingeräumten Befugnis Gebrauch zu machen, „zusätzliche Bedingungen, einschließlich Beschränkungen, … soweit die Verarbeitung von … Gesundheitsdaten betroffen ist [, einzuführen oder aufrechtzuerhalten]“. |
66 |
Diese etwaigen zusätzlichen Bedingungen ergeben sich jedoch nicht aus den Bestimmungen der DSGVO selbst, sondern gegebenenfalls aus den Vorschriften des nationalen Rechts, die Datenverarbeitungen dieser Art regeln und hinsichtlich deren diese Verordnung den Mitgliedstaaten ausdrücklich ein Ermessen lässt (vgl. in diesem Sinne Urteil vom 30. März 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, Rn. 51 und 78). |
67 |
Außerdem ist hervorzuheben, dass sich ein Mitgliedstaat, der von der in Art. 9 Abs. 4 DSGVO eröffneten Befugnis Gebrauch machen will, gemäß dem Grundsatz der Verhältnismäßigkeit vergewissern muss, dass die praktischen Folgen, insbesondere organisatorischer, wirtschaftlicher und medizinischer Art, die von den zusätzlichen Anforderungen hervorgerufen werden, deren Einhaltung dieser Mitgliedstaat vorschreiben möchte, für die Verantwortlichen einer solchen Datenverarbeitung, die nicht unbedingt über Dimensionen oder technische und menschliche Ressourcen verfügen, die für die Erfüllung dieser Anforderungen ausreichend sind, nicht exzessiv sind. Sie dürfen nämlich nicht der praktischen Wirksamkeit der Erlaubnis für die Datenverarbeitung schaden, die in Art. 9 Abs. 2 Buchst. h DSGVO ausdrücklich vorgesehen ist und deren Rahmen in Art. 9 Abs. 3 abgesteckt wird. |
68 |
Ferner ist hervorzuheben, dass nach Art. 32 Abs. 1 Buchst. a und b DSGVO, der die in Art. 5 Abs. 1 Buchst. f dieser Verordnung genannten Grundsätze der Integrität und der Vertraulichkeit konkretisiert, jeder für die Verarbeitung personenbezogener Daten Verantwortliche verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere die Pseudonymisierung und Verschlüsselung personenbezogener Daten sowie die Fähigkeit, u. a. die Vertraulichkeit und die Integrität der Systeme und Dienste im Zusammenhang mit der Verarbeitung sicherzustellen. Zur Festlegung der praktischen Modalitäten dieser Pflicht muss der Verantwortliche gemäß Art. 32 Abs. 1 DSGVO den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen berücksichtigen. |
69 |
Dem vorlegenden Gericht obliegt gleichwohl die Prüfung, ob sämtliche technischen und organisatorischen Maßnahmen, die vorliegend vom MDK Nordrhein umgesetzt wurden, mit den Vorgaben von Art. 32 Abs. 1 Buchst. a und b DSGVO in Einklang stehen. |
70 |
Auf die zweite Frage ist daher zu antworten, dass Art. 9 Abs. 3 DSGVO dahin auszulegen ist, dass der für eine auf Art. 9 Abs. 2 Buchst. h dieser Verordnung gestützte Verarbeitung von Gesundheitsdaten Verantwortliche gemäß diesen Bestimmungen nicht verpflichtet ist, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat. Eine solche Pflicht kann dem für eine solche Verarbeitung Verantwortlichen jedoch gemäß einer von einem Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 dieser Verordnung erlassenen Regelung oder aufgrund der in Art. 5 Abs. 1 Buchst. f dieser Verordnung genannten und in ihrem Art. 32 Abs. 1 Buchst. a und b konkretisierten Grundsätze der Integrität und der Vertraulichkeit obliegen. |
Zur dritten Frage
71 |
Mit seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 DSGVO dahin auszulegen sind, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt. |
72 |
In diesem Zusammenhang ist darauf hinzuweisen, dass die Art. 5, 6 und 9 DSGVO in Kapitel II („Grundsätze“) dieser Verordnung stehen und die „Grundsätze für die Verarbeitung personenbezogener Daten“, die „Rechtmäßigkeit der Verarbeitung“ bzw. die „Verarbeitung besonderer Kategorien personenbezogener Daten“ betreffen. |
73 |
Des Weiteren heißt es im 51. Erwägungsgrund der DSGVO ausdrücklich, dass „[z]usätzlich zu den speziellen Anforderungen“ an eine Verarbeitung „besonders sensibler Daten“, die in Art. 9 Abs. 2 und 3 DSGVO genannt werden, unbeschadet der eventuell von einem Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 erlassenen Maßnahmen auch für eine solche Verarbeitung „die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung“, wie sie sich aus Art. 6 dieser Verordnung ergeben, gelten sollten. |
74 |
Gemäß Art. 6 Abs. 1 Unterabs. 1 DSGVO ist eine Verarbeitung, die „besonders sensible“ Daten wie Gesundheitsdaten betrifft, nur dann rechtmäßig, wenn mindestens einer der in Abs. 1 Unterabs. 1 Buchst. a bis f genannten Bedingungen erfüllt ist. |
75 |
Art. 6 Abs. 1 Unterabs. 1 DSGVO sieht eine erschöpfende und abschließende Liste der Fälle vor, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Daher muss eine Verarbeitung unter einen der in dieser Bestimmung vorgesehenen Fälle subsumierbar sein, um als rechtmäßig angesehen werden zu können (Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C‑252/21, EU:C:2023:537, Rn. 90 und die dort angeführte Rechtsprechung). |
76 |
Daher hat der Gerichtshof wiederholt entschieden, dass jede Verarbeitung personenbezogener Daten mit den in Art. 5 Abs. 1 DSGVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen und die in Art. 6 dieser Verordnung aufgeführten Voraussetzungen für die Rechtmäßigkeit der Verarbeitung erfüllen muss (Urteil vom 4. Mai 2023, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C‑60/22, EU:C:2023:373, Rn. 57 und die dort angeführte Rechtsprechung). |
77 |
Überdies wurde bereits entschieden, dass, da die Art. 7 bis 11 DSGVO, die genau wie die Art. 5 und 6 dieser Verordnung in deren Kapitel II stehen, zum Ziel haben, den Umfang der dem Verantwortlichen nach Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 dieser Verordnung obliegenden Pflichten näher zu bestimmen, die Verarbeitung personenbezogener Daten, wie sich aus der Rechtsprechung des Gerichtshofs ergibt, zudem nur dann rechtmäßig ist, wenn sie diese anderen Bestimmungen des genannten Kapitels einhält, die im Wesentlichen die Einwilligung, die Verarbeitung besonderer Kategorien sensibler personenbezogener Daten und die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten betreffen (Urteil vom 4. Mai 2023, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C‑60/22, EU:C:2023:373, Rn. 58 und die dort angeführte Rechtsprechung). |
78 |
Daraus folgt insbesondere, dass, da Art. 9 Abs. 2 Buchst. h DSGVO zum Zweck hat, den Umfang der Pflichten zu präzisieren, die dem Verantwortlichen nach Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 dieser Verordnung obliegen, eine auf Art. 9 Abs. 2 Buchst. h DSGVO gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie sowohl die sich aus dieser Bestimmung ergebenden Anforderungen als auch die sich aus Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 dieser Verordnung ergebenden Pflichten einhält und insbesondere eine der in Art. 6 Abs. 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt. |
79 |
Nach alledem ist auf die dritte Frage zu antworten, dass Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 DSGVO dahin auszulegen sind, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt. |
Zur vierten Frage
80 |
Mit seiner vierten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch nicht nur eine Ausgleichsfunktion hat, sondern auch eine abschreckende oder Straffunktion erfüllt und, wenn ja, ob diese bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt werden muss. |
81 |
In Art. 82 Abs. 1 DSGVO heißt es, dass „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“. |
82 |
Der Gerichtshof hat diese Bestimmung dahin ausgelegt, dass der bloße Verstoß gegen die DSGVO nicht ausreicht, um einen Schadenersatzanspruch zu begründen, nachdem er u. a. hervorgehoben hat, dass das Vorliegen eines „Schadens“, der entstanden ist, eine der Voraussetzungen für den in Art. 82 Abs. 1 vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen diese Verordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 32 und 42). |
83 |
Des Weiteren hat der Gerichtshof entschieden, dass, da die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, der aufgrund des in Art. 82 dieser Verordnung verankerten Schadenersatzanspruchs geschuldet wird, die nationalen Gerichte zu diesem Zweck nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden, wie sie von der ständigen Rechtsprechung des Gerichtshofs definiert werden (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 53, 54 und 59). |
84 |
In diesem Kontext hat der Gerichtshof unter Berücksichtigung des sechsten Satzes des 146. Erwägungsgrundes der DSGVO, der besagt, dass dieses Instrument einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden“ sicherstellen soll, festgestellt, dass in Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs eine auf diesen Artikel gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen ist, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 57 und 58). |
85 |
Insoweit ist zu betonen, dass Art. 82 DSGVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, nämlich die Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen bzw. anderen Sanktionen erlauben – keine Straf‑, sondern eine Ausgleichsfunktion hat. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 38 und 40). |
86 |
Da der in Art. 82 Abs. 1 DSGVO vorgesehene Anspruch auf Schadenersatz keine abschreckende oder sogar Straffunktion erfüllt, wie sie vom vorlegenden Gericht erwogen wird, kann sich die Schwere des Verstoßes gegen diese Verordnung, durch den der betreffende Schaden entstanden ist, nicht auf die Höhe des auf der Grundlage dieser Bestimmung gewährten Schadenersatzes auswirken, auch wenn es sich nicht um einen materiellen, sondern um einen immateriellen Schaden handelt. Folglich darf dieser Betrag nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz dieses Schadens hinausgeht. |
87 |
Infolgedessen ist auf die vierte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und keine abschreckende oder Straffunktion erfüllt. |
Zur fünften Frage
88 |
Aus den Angaben, die das vorlegende Gericht in seiner Antwort auf ein ihm gemäß Art. 101 der Verfahrensordnung des Gerichtshofs übermitteltes Ersuchen um Klarstellung gemacht hat, geht hervor, dass mit der fünften Frage zum einen geklärt werden soll, ob das Vorliegen und/oder der Nachweis eines Verschuldens Voraussetzungen sind, die erfüllt sein müssen, damit der Verantwortliche oder der Auftragsverarbeiter haftbar ist, und zum anderen, welche Auswirkung der Grad eines Verschuldens des Verantwortlichen oder des Auftragsverarbeiters auf die konkrete Bemessung des als Entschädigung für den immateriellen Schaden zu leistenden Schadenersatzes hat. |
89 |
Unter Berücksichtigung dieser Antwort des vorlegenden Gerichts ist die fünfte Frage so zu verstehen, dass das vorlegende Gericht damit im Wesentlichen zum einen wissen möchte, ob Art. 82 DSGVO dahin auszulegen ist, dass die Haftung des Verantwortlichen davon abhängt, dass ihm ein Verschulden anzulasten ist, und zum anderen, ob der Grad dieses Verschuldens bei der Bemessung der Höhe des auf der Grundlage dieser Bestimmung als Entschädigung für den immateriellen Schaden zu leistenden Schadenersatzes zu berücksichtigen ist. |
90 |
Was den ersten Teil dieser Frage betrifft, ist darauf hinzuweisen, dass, wie in Rn. 82 des vorliegenden Urteils ausgeführt wurde, Art. 82 Abs. 1 DSGVO den Anspruch auf Schadenersatz davon abhängig macht, dass drei Voraussetzungen erfüllt sind, nämlich Vorliegen eines Verstoßes gegen diese Verordnung, eines erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden. |
91 |
Nach Art. 82 Abs. 2 DSGVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Anhand des Wortlauts dieser Bestimmung in einigen Sprachfassungen, u. a. der deutschen, die die der Verfahrenssprache in der vorliegenden Rechtssache ist, lässt sich jedoch nicht mit Sicherheit klären, ob der fragliche Verstoß dem Verantwortlichen zuzurechnen sein muss, damit er haftbar ist. |
92 |
Aus einer Analyse der verschiedenen Sprachfassungen des ersten Satzes von Art. 82 Abs. 2 DSGVO geht insoweit hervor, dass davon ausgegangen wird, dass der Verantwortliche an dem Verstoß gegen diese Verordnung, um den es geht, beteiligt war. Während nämlich die Fassungen in deutscher, in französischer oder in finnischer Sprache offen formuliert sind, erweisen sich eine Reihe anderer Sprachfassungen als präziser und verwenden ein Demonstrativpronomen bei der dritten Erwähnung des Wortes „Verarbeitung“ oder beim dritten Verweis auf diesen Begriff, so dass klar ist, dass diese dritte Erwähnung oder dieser dritte Verweis auf dieselbe Verarbeitung Bezug nimmt wie die zweite Erwähnung dieses Wortes. Dies gilt für die spanische, die estnische, die griechische, die italienische oder die rumänische Sprachfassung. |
93 |
Art. 82 Abs. 3 DSGVO stellt, so betrachtet, klar, dass der Verantwortliche von der Haftung gemäß Abs. 2 befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. |
94 |
Einer kombinierten Analyse dieser verschiedenen Bestimmungen von Art. 82 DSGVO ist somit zu entnehmen, dass dieser Artikel ein Haftungsregime für Verschulden vorsieht, bei dem die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen. |
95 |
Diese Auslegung wird durch den Zusammenhang, in den sich Art. 82 DSGVO einfügt, sowie durch die vom Unionsgesetzgeber mit der DSGVO verfolgten Ziele bestätigt. |
96 |
Erstens ergibt sich aus dem Wortlaut der Art. 24 und Art. 32 DSGVO, dass diese Bestimmungen dem Verantwortlichen lediglich vorschreiben, technische und organisatorische Maßnahmen zu treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern. Die Geeignetheit solcher Maßnahmen ist konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in den genannten Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 30) |
97 |
Diese Pflicht würde in Frage gestellt, wenn der Verantwortliche jeden Schaden zu ersetzen hätte, der durch eine Verarbeitung unter Verstoß gegen die DSGVO entstanden ist. |
98 |
Zweitens geht in Bezug auf die Ziele der DSGVO aus den Erwägungsgründen 4 bis 8 dieser Verordnung hervor, dass diese darauf abzielt, ein Gleichgewicht herzustellen zwischen den Interessen der für die Verarbeitung personenbezogener Daten Verantwortlichen und den Rechten der Personen, deren personenbezogene Daten verarbeitet werden. Das angestrebte Ziel besteht darin, die Entwicklung der digitalen Wirtschaft zu ermöglichen und dabei ein hohes Schutzniveau für Personen zu gewährleisten. Angestrebt wird somit eine Abwägung der Interessen des Verantwortlichen und der Personen, deren personenbezogene Daten verarbeitet werden. Ein Haftungsmechanismus für Verschulden zusammen mit einer Umkehr der Beweislast, wie sie Art. 82 DSGVO vorsieht, vermag ein solches Gleichgewicht zu gewährleisten. |
99 |
Wie der Generalanwalt in Nr. 93 seiner Schlussanträge im Wesentlichen ausgeführt hat, stünde es zum einen nicht im Einklang mit dem Ziel dieses hohen Schutzes, sich für eine Auslegung zu entscheiden, wonach die betroffenen Personen, denen durch einen Verstoß gegen die DSGVO ein Schaden entstanden ist, im Rahmen einer auf Art. 82 dieser Verordnung gestützten Schadenersatzklage die Beweislast nicht nur für das Vorliegen dieses Verstoßes und des ihnen daraus entstandenen Schadens tragen müssten, sondern auch für das Vorliegen von Vorsatz oder Fahrlässigkeit des Verantwortlichen oder sogar für den Grad des jeweiligen Verschuldens, obwohl Art. 82 DSGVO keine derartigen Anforderungen enthält (vgl. entsprechend Urteil vom 14. Dezember, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 56). |
100 |
Zum anderen würde ein verschuldensunabhängiges Haftungsregime die Verwirklichung des vom Gesetzgeber angestrebten Ziels der Rechtssicherheit, wie es aus dem siebten Erwägungsgrund der DSGVO hervorgeht, nicht sicherstellen. |
101 |
Was den zweiten Teil der fünften Frage bezüglich der Bemessung der Höhe des eventuell gemäß Art. 82 DSGVO geschuldeten Schadenersatzes betrifft, ist darauf hinzuweisen, dass, wie bereits in Rn. 83 des vorliegenden Urteils hervorgehoben wurde, die nationalen Gerichte für die Beurteilung dieses Schadenersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden, wie sie von der ständigen Rechtsprechung des Gerichtshofs definiert werden. |
102 |
Es ist klarzustellen, dass Art. 82 DSGVO in Anbetracht seiner Ausgleichsfunktion nicht verlangt, dass die Schwere des Verstoßes gegen diese Verordnung, den der Verantwortliche begangen haben soll, bei der Bemessung der Betrags des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird; Art. 82 DSGVO verlangt vielmehr, dass dieser Betrag so festgelegt wird, dass er den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig ausgleicht, wie dies aus den Rn. 84 bis 87 des vorliegenden Urteils hervorgeht. |
103 |
Infolgedessen ist auf die fünfte Frage zu antworten, dass Art. 82 DSGVO dahin auszulegen ist, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird. |
Kosten
104 |
Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig. |
Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt: |
|
|
|
|
|
Jürimäe Piçarra Safjan Jääskinen Gavalec Verkündet in öffentlicher Sitzung in Luxemburg am 21. Dezember 2023. Der Kanzler A. Calot Escobar Die Kammerpräsidentin K. Jürimäe |
( *1 ) Verfahrenssprache: Deutsch.