Der EuGH hatte sich in dem Urteil C-667/21 mit ebenso spannenden wie wichtigen Fragen rund um die Verarbeitung von Gesundheitsdaten durch einen Arbeitgeber, das Verhältnis von Artikel 6 zu Artikel 9 DSGVO und zur Höhe eines Schadensersatzes im Sinne von Art. 82 DSGVO zu befassen.
Insbesondere zu den letzten beiden Fragen wird sich regelmäßig unter Juristen wie bei den Kesselflickern gestritten. (Hat eigentlich schon mal jemand Kesselflicker streiten sehen!?). Das heißt, dieses zunächst so unscheinbare Urteil hat es doch ganz schön in sich.
Genau genommen ging es – vereinfacht ausgedrückt – um folgende Fragen (EuGH, C-667/21 v. 21.12.2023, Rz. 35):
- Darf ein ein Medizinischer Dienst als Arbeitgeber die Daten seines Beschäftigten zur Erstellung im Rahmen seiner Funktion als Medizinischer Dienst der Krankenkassen nach Art. 9 Abs. 2 h DSGVO verarbeiten?
- Wenn ja, muss der Arbeitgeber dann besondere Maßnahmen ergreifen und wenn ja welche?
- Wenn ja, muss dann auch ein Rechtsgrund zur Verarbeitung im Sinne des Art. 6 DSGVO vorhanden sein?
- Kommt es bei der Bemessung des immateriellen Schadensersatzes darauf an, ob Art. 82 DSGVO eine reine Ausgleichsfunktion oder aber auch eine abschreckende und strafende Funktion hat? Und welche Funktion hat Art. 82 DSGVO?
- Kommt es bei der Bemessung des immateriellen Schadensersatzes nach Art. 82 DSGVO auf den Grad des Verschuldens des Verantwortlichen Datenverarbeiters an?
Doch der Reihe nach. Zunächst der Sachverhalt und dann – wie immer – rechtslaienverständliche Erläuterungen.