Der EuGH hatte sich in dem Urteil C-667/21 mit ebenso spannenden wie wichtigen Fragen rund um die Verarbeitung von Gesundheitsdaten durch einen Arbeitgeber, das Verhältnis von Artikel 6 zu Artikel 9 DSGVO und zur Höhe eines Schadensersatzes im Sinne von Art. 82 DSGVO zu befassen.
Insbesondere zu den letzten beiden Fragen wird sich regelmäßig unter Juristen wie bei den Kesselflickern gestritten. (Hat eigentlich schon mal jemand Kesselflicker streiten sehen!?). Das heißt, dieses zunächst so unscheinbare Urteil hat es doch ganz schön in sich.
Genau genommen ging es – vereinfacht ausgedrückt – um folgende Fragen (EuGH, C-667/21 v. 21.12.2023, Rz. 35):
- Darf ein ein Medizinischer Dienst als Arbeitgeber die Daten seines Beschäftigten zur Erstellung im Rahmen seiner Funktion als Medizinischer Dienst der Krankenkassen nach Art. 9 Abs. 2 h DSGVO verarbeiten?
- Wenn ja, muss der Arbeitgeber dann besondere Maßnahmen ergreifen und wenn ja welche?
- Wenn ja, muss dann auch ein Rechtsgrund zur Verarbeitung im Sinne des Art. 6 DSGVO vorhanden sein?
- Kommt es bei der Bemessung des immateriellen Schadensersatzes darauf an, ob Art. 82 DSGVO eine reine Ausgleichsfunktion oder aber auch eine abschreckende und strafende Funktion hat? Und welche Funktion hat Art. 82 DSGVO?
- Kommt es bei der Bemessung des immateriellen Schadensersatzes nach Art. 82 DSGVO auf den Grad des Verschuldens des Verantwortlichen Datenverarbeiters an?
Doch der Reihe nach. Zunächst der Sachverhalt und dann – wie immer – rechtslaienverständliche Erläuterungen.
Sachverhalt
Ein Beschäftigter der IT-Abteilung des MDK Nordrhein wurde arbeitsunfähig. Dies leider länger als sechs Wochen, dass er Krankengeld von seiner, einer gesetzlichen, Krankenkasse erhielt. Diese Krankenkasse beauftragte im Laufe des Krankengeldbezuges eben den MDK Nordrhein mit einer gutachterlichen Stellungnahme zur Arbeitsunfähigkeit des erkrankten Mannes.
Der MDK Nordrhein ist einer der Medizinischen Dienste der Krankenkassen und eine Körperschaft des öffentlichen Rechts. Er hat die gesetzliche Aufgabe, u. a. medizinische Gutachten zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von gesetzlich Versicherten, die in seinen Zuständigkeitsbereich fallen, zu erstellen, und zwar auch dann, wenn diese Gutachten seine eigenen Mitarbeiter betreffen. In einem solchen Fall ist es nur den Mitgliedern einer besonderen Einheit, die als „Organisationseinheit Spezialfall“ bezeichnet wird, gestattet, unter Verwendung eines gesperrten Bereichs des IT‑Systems des Medizinischen Dienstes die sogenannten „Sozialdaten“ dieses Mitarbeiters zu verarbeiten und nach Abschluss des Begutachtungsauftrags Zugang zum elektronischen Archiv zu erhalten. Eine Dienstanweisung zu diesen Fällen sieht u. a. vor, dass nur eine begrenzte Zahl von Mitarbeitern, darunter bestimmte Mitarbeiter der IT‑Abteilung, Zugang zu diesen Daten haben. Eben auf diese Weise ist das Gutachen von einer für den MDK Nordrhein erstellten Ärztin erstellt worden.
Der erkrankte Beschäftigte und Kläger im hiesigen Fall erfuhr durch seinen behandelnden Arzt davon, dass dieser Auskünfte zur Begutachtung an den MDK Nordrhein und damit an seine „Kolleg*innen“ weitergeben musste. Der Kläger kontaktierte umgehend einen seiner Kollegen der IT‑Abteilung und bat ihn, Fotos von dem Gutachten, das sich im elektronischen Archiv des MDK Nordrhein befand, zu machen und ihm zu übermitteln.
Der erkrankte Beschäftigte des MDK Nordrhein und Kläger war der Auffassung, der MDK Nordhrein hätte dies als Arbeitgeber nicht tun dürfen, der Arbeitgeber verstoße damit gegen die Anforderungen der Art. 6 und Art. 9 DSGVO. Das Gutachten hätte von einem anderen medizinischen Gutachter ausgestellt werden müssen. Darüber hinaus habe sein Arbeitgeber in der Funktion als Medizinischer Dienst nur unzureichende Sicherheitsmaßnahmen für die Archivierung des Gutachtens vorgenommen. Für diese nach seiner Auffassung widerrechtliche Datenverarbeitung verlangte der Beschäftigte 20.000 EUR Schadensersatz.
Der MDK Nordrhein teilte diese Auffassung nicht. Dem MDK sei bewusst gewesen, dass er in diesem Fall auch Arbeitgeber sei und deswegen habe er die Angelegenheit auch von dem für diese Fälle vorgesehenen Team (die „Organisationseinheit Spezialfall“) bearbeiten lasse. Dies diene der Verhinderungen, dass KollegInnen des Arbeitnehmers Kenntnis über seinen Gesundheitszustand und dementsprechend seiner personenbezogenen Daten erlangen. Dabei sei es jedoch nicht möglich, die IT-Abteilung in Gänze vom Zugang dieser Daten auszuschließen. Diese sei schließlich für den reibungslosen Ablauf der Datenverarbeitungen zwingend erforderlich.
Der Rechtstreit ging vom Arbeitsgericht Düsseldorf über das Landesarbeitsgericht bis zum Bundesarbeitsgericht, das schließlich dann dem EuGH zur Vorabentscheidung die oben genannten fünf Vorlagefragen übersandt. Wörtlich lauteten die Fragen:
- Ist Art. 9 Abs. 2 Buchst. h DSGVO dahin auszulegen, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten?
- Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchst. h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Sind in einem Fall wie hier über die in Art. 9 Abs. 3 DSGVO bestimmten Maßgaben hinaus weitere, gegebenenfalls welche Datenschutzvorgaben zu beachten?
- Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchst. h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Hängt in einem Fall wie hier die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon ab, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist?
- Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?
- Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?
Das Urteil des EuGH
Der EuGH urteilte, dass ein Arbeitgeber in seiner Funktion als Medizinischer Dienst der Krankenkassen die Daten seines Arbeitnehmers zum Zweck der Erstellung von medizinischen Gutachten für die Krankenkassen verarbeiten darf. Voraussetzung sei das Aufstellen von verschiedenen Maßnahmen zum Schutz dieser Daten. Dabei müsse nicht gewährleistet sein, dass kein Kollege des Beschäftigten Zugang zu diesen Daten habe, vielmehr müssten diese Kolleg*innen, die sich mit der Angelegenheit befassen, auf Vertraulichkeit und Integrität verpflicht werden.
Wenig überraschend hat der EuGH – erneut – festgehalten, dass natürlich ein Rechtsgrund zur Verarbeitung nach Art. 6 Abs. 1 DSGVO zur rechtmäßigen Verarbeitung gegeben sein muss.
Hinsichtlich des Umfangs eines Schadensersatzes nach Art. 82 DSGVO führt das Gericht wieder einmal aus, dass „vollständig und wirksamer Schadensersatz für den erlittenen Schaden“, aber , geleistet werden muss, der aber nicht den Charakter eines „Strafschadenserstatzes“ aufweisen soll.
Zur Frage, ob ein Verschulden des Verantwortlichen für die Zahlung eines Schadensersatzes erforderlich ist, weist das Gericht darauf hin, dass aus der Zusammenschau von Art. 82 Abs. 1, Abs. 2 und Abs. 3 deutlich wird, dass die Norm ein Verschulden des Verantwortlichen vorsieht, die Beweislast für eine Exkulpation jedoch beim Verantwortlichen liegt. Dies heißt, dass nicht der Betroffene das Verschulden des Verantwortlichen nachweisen muss, sondern der Verantwortliche beweisen muss, dass ihn kein Verschulden trifft.
Wem das nicht reicht, der kann nun gerne weiterlesen, wie der EuGH zu diesen Ergebnissen gekommen ist.
1. Gilt Art. 9 Abs. 2 h) DSGVO auch für einen Arbeitgeber, den die gesetzliche Pflicht trifft, medizinische Gutachten zu erstellen?
Kurz: Ja, das gilt auch für einen Arbeitgeber, den die gesetzliche Pflicht trifft, medizinische Gutachten zu erstellen. Um dieses Ergebnis nachvollziehen zu können, muss frau aber wissen, was eigentlich in Art. 9 Abs. 2 h) DSGVO steht.
In Art. 9 Abs. 1 DSGVO steht, dass die Verarbeitung von sensiblen Daten, also auch Gesundheitdaten, untersagt ist. Nach Art. 9 Abs. 2 h) DSGVO gilt das aber wiederum nicht, wenn
die Verarbeitung […] für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, […] und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich [ist].
Der Kläger zweifelte im vorliegenden Fall jedoch an, dass die Beurteilung der Arbeitsfähigkeit durch den medizinischen Dienst erfolgen könne, bei dem er, als der Betroffene, beschäftigt sei. Soweit gehe die Ausnahme des Art. 9 Abs. 2 h) DSGVO nicht.
Der EuGH führte dazu in den Rdz. 44 und 45 aus, dass die Möglichkeit, sensible Gesundheitsdaten zu verarbeiten, durch die in Art. 9 Abs. 3 DSGVO genannten Maßnahmen streng reglementiert sind. In Art. 9 Abs. 3 DSGVO heißt es:
Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal […] dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls […] einer Geheimhaltungspflicht unterliegt.
Ergo folge aus Art. 9 Abs. 2 h) iVm Abs. 3 DSGVO, dass die Datenverarbeitung nur zu den in Abs. 2 h) genannten Zwecken – also u.a. die Beurteilung der Arbeitsfähigkeit von Beschäftigten -, nur auf einer Rechtsgrundlage von Fachpersonal und nur von Personen, die einem Berufsgeheimnis oder einer sonstigen Geheimhaltungspflicht unterliegen, erfolgen darf. Weiter ergebe sich weder aus dem Wortlaut der Norm noch aus der Entstehungsgeschichte ein Hinweis, dass die Anwendung der Norm nur auf Fälle vorbehalten sei, in denen ein „neutraler Dritter“ die Datenverarbeitung vornimmt.
Weiter spräche unter anderen Erwägungsgrund 52 DSGVO für eine Anwendung von Art. 9 Abs. 2 h) iVm Abs. 3 DSGVO, denn die Datenverarbeitung demnach entgegen dem Verbot des Abs. 1 gerade „zu gesundheitlichen Zwecken … wie der Gewährleistung der öffentlichen Gesundheit und der Verwaltung von Leistungen der Gesundheitsversorgung, insbesondere wenn dadurch die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen sichergestellt werden soll“ erlaubt sein. Der Medizinische Dienst ist gesetzlich § 275 SGB V verpflichtet, derartige Gutachten zu erstellen. Weiter ist in § 278 SGB V geregelt, dass in jedem Land ein Medizinischer Dienst als Körperschaft des öffentlichen Rechts errichtet wird, der wiederum für Gutachten etc. in dem betroffenen Land zuständig ist.
Nach all dem ist Art. 9 Abs. 2 h) DSGVO nach dem EuGH dahin auszulegen, dass er auch auf die medizinische Begutachtung eines Beschäftigten eines medizinischen Dienstes durch eben diesen anwendbar ist, wenn und soweit die in Art. 9 Abs. 3 DSGVO geforderten Maßnahmen eingehalten werden.
2. Wenn Art. 9 Abs. 2 h) DSGVO gilt, muss der Arbeitgeber dann besondere Maßnahmen ergreifen und wenn ja welche?
Der Arbeitgeber muss in diesem Falle die Maßnahmen des Art. 9 Abs. 3 DSGVO ergreifen. Dies bedeutet, wie ausgeführt, dass die Daten nur von Fachpersonal zu verarbeiten sind, dass einem Berufsgeheimnis unterliegt oder einer Geheimhaltungspflicht. Eine solche Pflicht ist etwa die Verpflichtung zur Vertraulichkeit nach der DSGVO, die insbesondere auch Mitarbeiter von IT-Abteilungen eingehen müssen. Ferner müssen auch sonst alle möglichen technsichen und organistorischen Maßnahmen im Sinne von Art. 32 DSGVO ergriffen sein, um unberechtigte Zugriffe von Mitarbeitern, also in diesem Falle Kolleg*innen, zu verhindern.
Nicht gewährleistet werden muss hingegen, dass kein(e) Kolleg*in Zugriff auf die Daten über den Gesundheitszustand der betroffenen Person hat. Dies ist auch nur sinnlogisch, denn dann wäre es – unabhängig von der hier vorliegenden besonderen Konstellation – auch Personalabteilungen verboten, BEM-Programme durchzuführen oder andere gesundheitsbezogene Daten zu verarbeiten. Die Ausnahme des Art. 9 Abs. 2 h) DSGVO würde damit ad absurdum geführt.
(Im Einzelnen: Rdz. 59 bis 70)
3. Wenn Art. 9 Abs h) DSGVO gilt, muss dann auch eine Rechtsgrund zur Verarbeitung im Sinne des Art. 6 DSGVO vorhanden sein?
Was wurde nicht zu dieser Frage schon gestritten. Eine Meinung vertrat lautstark, dass Artikel 9 eine eigene Rechtsgrundlage zur Verarbeitung von sensiblen Daten sei. Verstanden habe ich diese Auffassung angesichts der Grundstruktur der DSGVO nie. Das muss ich nun aber auch wirklich nicht mehr. Denn der EuGH hat, aus meiner Sicht wenig überraschend, klargestellt, dass die Verarbeitung von sensiblen Daten wie Gesundheitsdaten natürlich nur dann rechtmäßig ist, wenn die Voraussetzungen von Art. 9 Abs. 2 und 3 DSGVO erfüllt und eine Rechtsgrundlage zur Datenverarbeitung nach Art. 6 Abs. 1 DSGVO vorliegt.
Art. Art. 9 Abs. 2 h) DSGVO präzisiert nur die besonderen Pflichten bei der Verarbeitung von Gesundheitsdaten, die dem Verantwortlichen bei der Verarbeitung von Daten grundsätzlich nach Art. 5 Abs. 1 und Art. 6 Abs. 1 DSGVO obliegen. (Im Einzelnen: Rdz. 71 bis 79)
Ich hab es ja schon immer gesagt! *seufz
4. Kommt es bei der Bemessung des immateriellen Schadensersatzes darauf an, ob Art. 82 DSGVO eine reine Ausgleichsfunktion oder aber auch eine abschreckende und strafende Funktion hat? Und welche Funktion hat Art. 82 DSGVO?
Kumulative Voraussetzung für einen Schadensersatz nach Art. 82 DSGVO ist ein entstandener Schaden, ein Verstoß gegen die DSGVO und ein Kausalzusammenhang zwischen Schaden und Verstoß. Wie oben schon ausgeführt, erläuterte das Gericht zur Höhe, dass ein „vollständig und wirksamer Schadensersatz für den erlittenen Schaden“ zu leisten ist. Dies nach den nationalen Gesetzen der Mitgliedstaaten, aber unter Berücksichtigung der unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität.
Neben Art. 82 (Schadensersatz) DSGVO stehen die Art. 83 (Bedingungen für Geldbußen) DSGVO und Art. 84 (Sanktionen) DSGVO. Letztere weisen offensichtliche Straffunktionen auf. Daraus werde ersichtlich, so der EuGH, dass Art. 82 DSGVO gerade keine Straf- sondern eine Ausgleichsfunktion inne habe. Diese Ausgleichsfunktion als Recht jeder betroffenen Person Schadensersatz zu fordern, ergänze aber die Durchsetzungskraft der DSGVO dahingehend, als auch dieses Recht für den Verantwortlichen einen Reiz setze, die DSGVO einzuhalten.
Daraus folgt, dass Art. 82 DSGVO vor allem eine ausgleichende Funktion aufweist. (Im Einzelnen Rdz. 80 bis 87)
5. Kommt es bei der Bemessung des immateriellen Schadensersatzes nach Art. 82 DSGVO auf den Grad des Verschuldens des Verantwortlichen Datenverarbeiters an?
Der EuGH analysiert zur Beantwortung dieser Frage nahezu schulmäßig Art. 82 DSGVO:
Nach Art. 82. Abs. 1 DSGVO bedarf es dem bereits genannten Dreiklang aus Schaden, einem Verstoß gegen die DSGVO und einer Kausalität zwischen Schaden und Verstoß. Ein Verschulden als Tatbestandmerkmal nennt Abs. 1 nicht.
Nach Art. 82 Abs. 2 DSGVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Der EuGH hat sich hier gar die Mühe gemacht verschiedene Sprachfassungen zu untersuchen, jedoch lässt sich dennoch nicht sicher ein Verschulden als Voraussetzung herauslesen.
Hier hilft aber die Lektüre des Art. 82 Abs. 3 DSGVO schließlich weiter. Denn dort wird derjenige Verantwortliche von einer Haftung gemäß Abs. 2 befreit, wenn er nachweisen kann, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Demnach kennt der Art. 82 also ein Haftungsregime und die Frage nach dem Verschulden des Verantwortlichen. Allerdings liegt die Beweislast nicht bei der Person, bei dem der Schaden entstanden ist, sondern beim Verantwortlichen.
Nach dem EuGH kommt es damit bei der Bemessung eines immateriellen Schadensersatzes auf die Frage des Verschuldens bzw. den Grad des Verschuldens an. Er führt dazu im Einzelnen unter anderem aus:
[In] Bezug auf die Ziele der DSGVO [geht] aus den Erwägungsgründen 4 bis 8 dieser Verordnung hervor, dass diese darauf abzielt, ein Gleichgewicht herzustellen zwischen den Interessen der für die Verarbeitung personenbezogener Daten Verantwortlichen und den Rechten der Personen, deren personenbezogene Daten verarbeitet werden. Das angestrebte Ziel besteht darin, die Entwicklung der digitalen Wirtschaft zu ermöglichen und dabei ein hohes Schutzniveau für Personen zu gewährleisten. Angestrebt wird somit eine Abwägung der Interessen des Verantwortlichen und der Personen, deren personenbezogene Daten verarbeitet werden. Ein Haftungsmechanismus für Verschulden zusammen mit einer Umkehr der Beweislast, wie sie Art. 82 DSGVO vorsieht, vermag ein solches Gleichgewicht zu gewährleisten.
Der EuGH verweist dann weiter auf die bereits vom Generalanwalt in den Schlussanträgen gemachten Ausführungen:
[..] stünde es zum einen nicht im Einklang mit dem Ziel dieses hohen Schutzes, sich für eine Auslegung zu entscheiden, wonach die betroffenen Personen, denen durch einen Verstoß gegen die DSGVO ein Schaden entstanden ist, im Rahmen einer auf Art. 82 dieser Verordnung gestützten Schadensersatzklage die Beweislast nicht nur für das Vorliegen dieses Verstoßes und des ihnen daraus entstandenen Schadens tragen müssten, sondern auch für das Vorliegen von Vorsatz oder Fahrlässigkeit des Verantwortlichen oder sogar für den Grad des jeweiligen Verschuldens, obwohl Art. 82 DSGVO keine derartigen Anforderungen enthält.
Ob ein Verschulden vorliegt, ist damit für die Frage, ob ein Schadensersatz zu leisten ist, wesentlich. Irrelevant ist hingegen der Grad des Verschuldens in Bezug auf die Höhe des Schadensersatzes. Hier wird noch einmal darauf hingewiesen, dass Art. 82 DSGVO keinen strafenden Charakter hat.
Long story short:
- Ja, der Verantwortliche muss den Verstoß gegen die DSGVO, der zu einem Schaden führte, auch verschulden. Dieses Verschulden wird vermutet. Der Verantwortliche kann sich entlasten (exkulpieren), wenn er nachweisen kann, dass die Handlung (der Verstoß gegen die DSGVO), die den Schaden verursachte, ihm nicht zurechenbar ist.
- Nein, der Grad des Verschuldens spielt bei der Höhe des Schadensersatzes keine Rolle.
Fazit
Wirklich überraschend sind die Ergebnisse des EuGH aus meiner Perspektive nicht.
Eine irgendwie geartete Einschränkung bei Art. 9 Abs. 2 h) DSGVO habe ich noch nie gesehen. Wie gesagt, dann dürfte ja keine einzige Personalabteilung irgendwelche Daten mit Gesundheitsbezug über ihre Mitarbeiter speichern. Schließlich muss diese Daten immer jemand aus der Personalabteilung und mindestens mittelbar aus der IT-Abteilung „sehen“. Das würde die Regelung, die doch gerade derartige notwendige Verarbeitungen absichern soll, ad abdsurdum führen und zu einer absoluten Verbotsregelung machen. Die hiesige Besonderheit mag auf den ersten Blick darin liegen, dass der Arbeitgeber „selbst“ die Gesundheit prüft. Aber hier nimmt entsprechende ärztliches Personal die Tätigkeit vor. Diese ist ganz besonders ihrer Berufsordnung verpflichtet. Und im Übrigen wirkt hier eben Art. 9 Abs. 3 im Einklang mit Art. 32 DSGVO. Damit sind dann zu gleich die Fragen 1 und 2 beantwortet.
Frage 3 habe ich – wie gesagt – noch nie verstanden. Es freut mich, dass ich anscheinend nicht einfach zu doof bin, die Auffassung nebst der dogmatischen „Begründung“ zu vertehen, dass Art. 9 eine Rechtsgrundlage sein soll, sondern, dass der EuGH das offenbar auch nicht in der Struktur und Dogmatik der DSGVO sieht. Art. 6 DSGVO ist und bleibt die Rechtsgrundlage zur Datenverarbeitung. Art. 9 DSGVO ergänzt spezielle Pflichten bei der Verarbeitung der sensiblen Daten. Schön, dass das nun höchstrichterlich geklärt ist.
Ebenso logisch sind meines Erachtens die Ergebnisse zu Art. 82 DSGVO: Wie sollte sich der Strafcharakter einer Norm erklären, die doch ein Schadensersatzrechts des Betroffenen und damit einen Ausgleich für erlittenes Unbill gewährt? Erst recht, wenn die Bestrafung des Verantwortlichen für Verstöße gegen das Gesetz in den Folgenormen normiert ist?
Und schließlich lag für mich die verschuldensabhängige Haftung auf Schadensersatz nach Art. 82 DSGVO eben aufgrund der Konstruktion des Art. 82 DSGVO auf der Hand. Wenn ich mich als Verantwortlicher von einer Haftung befreien kann, dann kann diese ja sinnlogisch nicht verschuldensunabhängig sein. Denn dann bedürfte es einer Entlastungsmöglichkeit dieser Art nicht.
Nicht eindeutig auf der Hand lag meines Erachtens das Ergebnis, dass der Grad der Verschuldung bei der Höhe des Schadensersatzes keine Rolle spielt. Diese Auffassung ist aber nur konsequent, wenn man den Art. 82 DSGVO als Ausgleichsfunktion betrachtet.
Es ist immer wieder interessant, was bei neuen Gesetzen alles durch die (höchstrichterliche) Rechtsprechung geklärt werden muss. Doch auch wenn ich 90% der Ergebnisse dieses Urteils für „logisch“ und „wenig überraschend“ halte, will ich damit weder sagen, dass ich per se alles besser wüsste noch das eine Entscheidung des EuGH unnötig gewesen wäre. Schließlich wurde sich um diese Fragen vor Gericht (wie auch in Aufsätzen) derart gestritten, dass eben der EuGH diese Fragen entscheiden durfte bzw. musste.
Ich persönlich finde es sehr spannend, wie die Gerichte und eben vor allem auch der EuGH nun nach über fünf, fast sechs, Jahren der Geltung der DSGVO, dieses Recht mit Leben füllt und eben die offene Fragen nach und nach der Klärung zuführen.
In diesem Sinne,
in Sachen Datenschutz wird es so schnell nicht langweilig werden!