Sensible Daten überall? – Versuch einer (irgendwie handhabbaren) Interpretation des EuGH-Urteils

Mit seinem gestrigen Urteil in der Rs. C-184/20 (Urt. v. 1.8.2022) hat er EuGH für einige Diskussionen und sicher auch hochgezogene Augenbrauen im #TeamDatenschutz gesorgt. Wobei man, wenn man ehrlich ist und die EuGH-Rechtsprechung zum Datenschutz verfolgt, nicht mehr allzu sehr überrascht von Entscheidungen sein sollte, in denen das Gericht den Anwendungsbereich der DSGVO weit auslegt und per se betroffenenfreundlich urteilt.

Was hat der EuGH entschieden?

Auf die Hintergründe des Urteils möchte ich hier nicht eingehen. Für diesen Blogbeitrag reicht es aus zu wissen, dass es in Litauen aus Gründen der Transparenz und Korruptionsbekämpfung eine gesetzliche Pflicht für gewisse Personen gibt, bestimmte Daten an eine Behörde zu geben und diese Behörde den Großteil dieser Daten dann auf ihrer Internetseite veröffentlicht. Zu den Daten gehören auch namensbezogenen Daten über den Ehegatten, Partner oder Lebensgefährten der erklärungspflichtigen Person oder über ihr nahestehende oder bekannte Personen, die einen Interessenkonflikt begründen können, sowie die Angabe des Gegenstands der Transaktionen mit einem Wert von mehr als 3 000 Euro.

Der EuGH geht am Ende ausdrücklich von einer „weiten Auslegung“ (Rz. 125) Begriffe „besondere Kategorien personenbezogener Daten“ und „sensible Daten“ (Art. 9 Abs. 1 DSGVO) aus.

Eine Verarbeitung von Daten, „die geeignet sind, die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren“, stelle eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne dieser Bestimmungen dar (Rz. 128).

Der EuGH lässt es für die Anwendbarkeit des Art. 9 Abs. 1 DSGVO mithin genügen, dass aus Daten indirekt auf besondere Kategorien personenbezogener Daten geschlossen werden kann. Bsp: gibt ein Mann an, dass er mit einem Mann verheiratet ist, offenbart dies nach Ansicht des EuGH wohl seine sexuelle Orientierung. Art. 9 Abs. 1 DSGVO ist anwendbar, auch wenn die Daten dies selbst inhaltlich nicht (direkt) offenbaren.

Begründung des EuGH

Die Begründung für dieses Ergebnis, wenn man die generelle Linie des EuGH bei Datenschutz-Themen betrachtet, wenig überraschend. Im Kern nennt der EuGH zwei Argumente.

Erstens, eine kontextbezogene Analyse. Eine enge Auslegung des Begriffs der besonderen Kategorien personenbezogener Daten liefe insbesondere Art. 4 Nr. 15 der DSGVO zuwider, wonach „Gesundheitsdaten“ personenbezogene Daten sind, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand „hervorgehen“, und stünde auch im Widerspruch zu ErwG 35 DSGVO.

Zweitens, eine zweckbezogene Auslegung der Norm innerhalb der DSGVO. Für eine weite Auslegung spreche das Ziel der DSGVO, das darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Privatlebens – bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten.

Mögliche Folgen des Urteils

Überträgt man die Begründung des EuGH in die Praxis, bedeutet dies im worst case, dass bei sehr vielen Verarbeitungen die zusätzlichen und strengen Ausnahmen aus Art. 9 Abs. 2 DSGVO beachtet werden müssen. Dort findet sich insbesondere kein Erlaubnistatbestand der Vertragserfüllung wie in Art. 6 Abs. 1 lit. b oder der Interessenabwägung wie in Art. 6 Abs. 1 lit. f DSGVO. Ergebnis: kauft jemand online Schmerztabletten, ergibt sich hieraus indirekt der Gesundheitszustand. Art. 9 DSGVO ist anwendbar und im Zweifel muss für die Zulässigkeit der Verarbeitung eine Einwilligung eingeholt werden – die Rechtsgrundlage der Vertragsdurchführung würde nicht ausreichen.  

Ansatz einer eigenen Interpretation

Das oben beispielhaft dargestellte Ergebnis erscheint schon für sich sehr extrem. Noch diskussionswürdiger wird es, wenn man bedenkt, dass die Person, die Schmerztabletten kauft, ja gar nicht gerade akut Schmerzen haben muss oder diese Tabletten für ein Familienmitglied einkauft. Dann wäre selbst der indirekte Bezug zum Gesundheitszustand eigentlich nicht gegeben, weil der Käufer aktuell eben nicht Schmerzen hat oder Daten der anderen Person gar nicht verarbeitet werden.

Ich kann mir, nach erster Sichtung der Begründung, in der Zukunft daher eventuell die folgende Anwendung und Interpretation von Art. 9 Abs. 1 DSGVO vorstellen. Einerseits, um dem Willen des EuGH (weite Auslegung) zu genügen. Andererseits, um nicht jeglichen (möglichen!) Bezug zu Art. 9-Daten ausreichen zu lassen.

1.

Der EuGH geht klar davon aus, dass es in dem entschiedenen Fall tatsächlich möglich war, „aus den namensbezogenen Daten über den Ehegatten, Lebensgefährten oder Partner der erklärungspflichtigen Person bestimmte Informationen über das Sexualleben oder die sexuelle Orientierung dieser Person und ihres Ehegatten, Lebensgefährten oder Partners abzuleiten“ (Rz. 119).

Dies ist mE ein wichtiger Aspekt. Der EuGH begründet seine Ansicht also stets vor der Tatsache, dass die Ableitung auf wirklich existierende besondere Kategorien personenbezogener Daten zumindest möglich war.

2.

Der EuGH fußt seine Begründung zudem ausdrücklich auf der Annahme, dass Daten betroffen sind, „aus denen mittels gedanklicher Kombination oder Ableitung auf die sexuelle Orientierung einer natürlichen Person geschlossen werden kann“ (Rz. 120).

Dieser Schluss auf besondere Kategorien personenbezogener Daten muss (theoretisch) wirklich möglich sein. Art. 9 Abs. 1 DSGVO muss daher nach Ansicht des EuGH zwar weit ausgelegt werden. Jedoch wiederholt der EuGH mehrmals in seiner Begründung den Aspekt, dass es um Daten geht, „aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben“ (Rz. 123).

3.

Art. 9 Abs. 1 DSGVO ist daher meines Erachtens zumindest dann (auch im Einklang mit dem EuGH) nicht anwendbar, wenn die indirekte Offenbarung bzw. der indirekte Schluss auf besondere Kategorien personenbezogener Daten faktisch nicht möglich ist, weil es diese sensiblen Daten gar nicht gibt. Dann kann sich, im Duktus des EuGH, mittels Ableitung oder Abgleich diese indirekte Information rein faktisch nicht ergeben. Eine falsche Ableitung (Person kauft Schmerztabletten, ist faktisch nicht krank, der Verantwortliche geht aber davon aus) darf hier meines Erachtens keine Beachtung finden, da nach dem Grundsatz aus Art. 5 Abs. 1 lit. d (Richtigkeit) per se nur richtige Daten verarbeitet werden dürfen.

Das würde wohl nicht in jedem Fall in der Praxis helfen, Art. 9 Abs. 1 DSGVO auszuschließen. Jedoch dürfte man in einigen, extrem praxisrelevanten Fällen dennoch allein Art. 6 Abs. 1 DSGVO zur Anwendung bringen können.  

Bezogen auf mein Beispiel der Schmerztabletten oben: da die Person, die den Kauf tätigt, nicht selbst krank ist, liegen keine Art. 9-Daten vor. Die Ableitung aus dem Kauf darauf, dass die Person selbst Schmerzen hat (= Gesundheitszustand) wäre falsch bzw. würde ins Leere gehen.

Ich bin mir auch nicht sicher, ob diese Idee und meine Gedanken dazu die beste Lösung darstellen. Zumindest könnte man hierüber in gewissen Konstellationen zu einem (irgendwie noch handhabbaren) Ergebnis für die Praxis gelangen, nicht in jedem Fall eine zusätzliche Einwilligung nach Art. 9 Abs. 1 lit. a DSGVO einholen zu müssen.

5 thoughts on “Sensible Daten überall? – Versuch einer (irgendwie handhabbaren) Interpretation des EuGH-Urteils

  1. Bei der Bewertung der sexuellen Orientierung müsste ja auch Heterosexualität darunter fallen und jede Bezugnahme darauf (zB bei Anschreiben durch Kindergarten, Schule, Arbeitgeber etc.) an Eltern („Sehr geehrte Frau x und sehr geehrter Herr x,“) die Anforderungen des EuGH berücksichtigen.

    Fühle meine Überlegungen dazu noch nicht ausgereift.

  2. Grundsätzlich ist es überhaupt nicht überraschend und auch keinesfalls fernliegend, dass sich entweder der Personenbezug überhaupt oder eben eine besondere Qualifizierung des Personenbezugs (erst) im Wege der Deduktion ergibt. Diese Herausforderung haben wir doch in Zeiten von Massendatenverarbeitung ständig.

    Handwerkliche Kritik muss dabei aber erlaubt sein, wenn an die Subsumtion unter Spezialtatbestände nicht besonders strenge Anforderungen gestellt werden, wenn an solche Tatbestände – wie bei Art. 9 DSGVO – besonders strenge Rechtsfolgen geknüpft sind.

    Für unseren Fall heißt das aus meiner Sicht:

    1. Es darf für die Prüfung, ob besondere Kategorien personenbezogener Daten vorliegen, auf eine Nachprüfung im Einzelfall nicht ankommen. Denn dann müsste im Zweifel erhoben werden, wie sich die Sachlage bei individuellen Betroffenen im Hinblick auf besondere Kategorien personenbezogener Daten tatsächlich verhält. Spätestens im Hinblick auf die (negative) Religionsfreiheit wird augenfällig, dass das in einem datenschutzrechtlichen Eigentor endet. Von mangelnder Skalierbarkeit mal ganz zu schweigen…

    2. Ist das Vorliegen von besonderen Kategorien personenbezogener Daten aber eine reine Unterstellung, die genauso gut falsch sein kann, schüttet man das datenschuztechtliche Kind mit dem Bade aus, ginge man gleichwohl vom Vorliegen der Voraussetzungen des Art. 9 DSGVO aus – verbunden mit der oft aussichtslosen Suche nach einer Rechtsgrundlage. Eine solche Auslegung wäre verfassungsrechtlich kaum verhältnismäßig.

    3. Die Anforderungen an den Schutz der Privatsphäre allerdings fordert dennoch ihren Tribut. Denkbar wäre der indirekte Schluss auf besondere Kategorien personenbezogener Daten (nur) dann, wenn die zugrundeliegende Ableitung zu einem allgemeinen Prinzip erhoben werden kann, also einen Grundsatz, von dem es vernünftiger Weise im Einzelfall keine Ausnahmen geben kann. Ob dies für den Vornamen ALLEIN ohne geschlechtsspezifische Anrede angesichts von Beispielen wie René, Sascha, Ricky überhaupt der Fall sein kann, wäre aus meiner Sicht im Übrigen zweifelhaft.

  3. Und ich ergänze noch: Selbst wenn man mit meinem Vorschlag für normative Ableitung zum Ergebnis kommt, die Anwendung von Art. 9 DSGVO könne nicht überzeugend festgestellt werden, bleibt zum Schutz der Betroffenen nicht nur die Interessenabwägung in Art. 6 ABS. 1 f) DSGVO, sondern v.a. die Datenschutzfolgenabschätzung nach Art. 35 DSGVO. Die ist nämlich unabhängig von der Prüfung der Rechtsgrundlage durchzuführen. Bewegt sich der Sachverhalt aber tatsächlich so nah an Art. 9 DSGVO, dann würde man zwangsläufig auf die DSFA stoßen und in diesem Rahmen nach Lösungen suchen müssen.

    Für besonders relevant halte ich das bei Gesundheitsdaten. Denn aus meiner Sicht ist für ein fundiertes Urteil über den Gesundheitszustand auf Grundlage von Daten, die bestimmte äußere oder innere Körpereigenschaften beschreiben, medizinischer Sachverstand erforderlich, den auch in Zeiten von Google 95+% der Menschen nicht haben. So sehr also 135 Kilo nach krankhaftem Übergewicht klingen können, ist das bei einer Körpergröße von 2,15m schon gar nicht mehr evident. Umgekehrt kann schon die Körpergröße per se pathologischen Riesenwuchs indizieren. Ja, kann… Wer als Mann auf der Seite einer urologischen Klinik Infos zum Thema Prostata sucht, mag an Krebs erkrankt sein. Er mag sich aber auch dafür interessieren, welches Schicksal gerade seinen Bekannten ereilt hat. Ich denke, mein Punkt ist verstanden…

  4. Meines Erachtens ist die weite Auslegung hier von dem Hintergrund der Entscheidung getrieben – einer ausufernden Datensammlung über private (Familien-) und finanzielle Verhältnisse, die im Internet abrufbar war, weil alles andere zu aufwändig wat (stark verkürzt). Ich würde diese weite Auslegung daher nicht ohne Weiteres auf alle andern Bereiche (Foto eines Rollstuhlfahrers oder einer Person mit Kippa/Burka) übertragen, sondern tatsächlich immer auch den Verwendungszweck und das Diskriminierungspotential prüfen. Denn letztlich macht genau dies Diskriminierungspotential die Daten zu sensiblen Daten (unter anderem).

  5. Meines Erachtens liegt der EuGH genau richtig. In dem verhandelten Fall greift bezüglich der ableitbaren sensiblen Daten Art. 9 Abs. 2 lit. g) DSGVO (Ausnahme vom Verbot in Art. 9 Abs. 1 DSGVO) mit Art. 6 Abs. 1 lit. c) DSGVO (Bedingung für die rechtmäßige Verarbeitung). Die Veröffentlichung dieser Daten im Internet erachtet der EuGH allerdings nicht als erforderlich und lehnt sie deshalb korrekterweise ab.

    Mit den oben angeführten Beispiele ist es doch so: In aller Regel werden mit einer öffentlich eingegangenen Ehe, auch sexuelle Neigungen öffentlich gemacht (sofern nicht eine Ehe eingegangen wird, um gerade die sexuellen Neigungen zu verbergen, was in unseren Breiten jedoch wohl (hoffentlich) nicht mehr notwendig ist). Sprich mit der Ehe, machen die beiden betroffenen Personen, in aller Regel, offensichtlich öffentlich, dass sie (auch) hetero- oder homosexuell veranlagt sind. Damit greift Art. 9 Abs. 2 lit. e) DSGVO, so dass für dieses personenbezogene Datum (aufgrund der öffentlichen Eheschließung offensichtlich öffentlich gemachte sexuelle Neigung) das Verbot gemäß Art. 9 Abs. 1 DSGVO nicht gilt (denn Art. 9 Abs. 2 formuliert Verbotsausnahmen, mehr nicht).
    Wenn ich dieses offensichtlich öffentlich gemachte sensible personenbezogene Datum nun verarbeiten möchte, muss ich eine der in Art. 6 Abs. 1 DSGVO abschließend genannten Bedingungen (siehe auch im dem Urteil Rn. 67) erfüllen.
    Was den Kauf von Tabletten angeht, sehe ich das wie oben beschrieben. Wenn der Käufer beim Erwerb aber explizit äußert, Tabletten für sich selber zu kaufen, sind wir wieder bei Art. 9 Abs. 2 lit. b) DSGVO und bei der Frage aufgrund welcher Bedingung nach Art. 6 Abs. 1 DSGVO ich diese Information im Sinne der DSGVO verarbeiten will/kann.
    Ich finde das offen gesagt nicht besonders aufregend.

Schreibe einen Kommentar zu Rudi Kramer Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.