Am 1. August 2022 hat der Europäische Gerichtshof (EuGH) auf Vorlage eines litauischen Verwaltungsgerichts ein bedeutendes Urteil zum Anwendungsbereich der sensiblen Daten gesprochen.1 Im Ergebnis kommt der EuGH dazu, dass auch Daten, die mittelbar den Rückschluss auf sensible personenbezogene Daten zulassen, dem Verarbeitungsverbot des Art. 9 DSGVO unterliegen.
Relevante Begrifflichkeiten
Die Datenschutzgrundverordnung (DSGVO) unterscheidet grundsätzlich drei Daten-Kategorien:
- Gewöhnliche personenbezogene Daten,
- sensible personenbezogene Daten und
- personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten.
Der Begriff der „gewöhnlichen personenbezogene Daten“ wird in Art. 4 Nr. 1 DSGVO definiert. Umfasst sind sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Als besondere Ausprägung werden in Art. 9 Abs. 1 DSGVO die „besonderen Kategorien personenbezogener Daten“ geregelt. Diese Art von Daten wird als “sensible Daten” bezeichnet. Personenbezogene Daten werden als besonders sensible Daten betrachtet, wenn sie Informationen über die Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person enthalten.
Art. 9 DSGVO
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) […]
Bei den sensiblen Daten besteht für den Betroffenen ein erhöhtes Schadens- und Diskriminierungspotenzial, aus dem ein erhöhtes Schutzbedürfnis folgt. Art. 9 Abs. 1 DSGVO sieht deshalb für sensible Daten ein grundsätzliches Verarbeitungsverbot vor. Eine Verarbeitung sensibler Daten ist nur rechtmäßig, wenn eine der Ausnahme aus Art. 9 Abs. 2 DSGVO einschlägig ist.
Als dritte besondere Datenkategorie kennt die DSGVO personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten, auf welche in diesem Beitrag jedoch nicht näher eingegangen wird.
Welche Daten fallen unter die sensiblen Daten?
Auf den ersten Blick scheint Art. 9 DSGVO die in Betracht kommenden sensiblen Daten recht genau zu bestimmen. Die Verarbeitung der im Gesetzestext genannten sensiblen Daten, wie etwa die politische Meinung oder Gesundheitsdaten, ist grundsätzlich verboten.
Allerdings deutet der Wortlaut des Art. 9 Abs. 1 DSGVO darauf hin, dass bereits die Möglichkeit einer Zuordnung sensibler Daten ausreichend ist („hervorgehen“), um das Verarbeitungsverbot auszulösen.
Es stellt sich daher die Frage, ob Daten, aus denen sensible Daten hervorgehen, stets dem Anwendungsbereich des Art. 9 Abs. 1 DSGVO unterfallen oder ob eine solche Auslegung zu weitreichend ist.
Beispiele zur Veranschaulichung
Der Name an sich zählt zu den gewöhnlichen personenbezogenen Daten.
Die ethische Herkunft zu den sensiblen Daten.
Manchmal lässt sich die ethische Herkunft bereits aus dem Namen ableiten.
Es stellt sich deshalb die Frage, ob damit auch der Name dem Verarbeitungsverbot aus Art. 9 Abs. 1 DSGVO unterfällt.
Weiteres Beispiel:
Der Name des Ehegatten gehört zu den gewöhnlichen personenbezogenen Daten.
Bei der sexuellen Orientierung einer Person handelt es sich jedoch um sensible Daten.
Da regelmäßig vom Namen des Ehegatten auf die sexuelle Orientierung einer Person geschlossen werden kann, ist fraglich, ob in diesem Fall auch der Name des Ehegatten zu den sensiblen Daten gezählt wird.
Über ein im Kern dem letzten Beispiel ähnelnden Fall hatte kürzlich der EuGH zu entscheiden: Litauische Regelungen zur Korruptionsbekämpfung sahen für bestimmte Personengruppen vor, dass Informationen über private Interessen bei der zuständigen Behörde mitzuteilen sind. Die Informationen umfassen unter anderem Angaben zu Ehegatten, Lebensgefährten oder Partner. Eine hiervon betroffene Person verweigerte die Mitteilung unter Verweis auf Art. 9 DSGVO, denn aus der Angabe des Ehepartners werde auch die sexuelle Orientierung offenbart.
Das zuständige Verwaltungsgericht legte dem EuGH zur Klärung des Streits unter anderem mit der Frage vor, ob „die Veröffentlichung personenbezogener Daten, die geeignet sind, […] die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren“ als Verarbeitung besonderer Datenkategorien im Sinne des Art. 9 Abs. 1 DSGVO zu qualifizieren ist.
Die Entscheidung des EuGH
Der EuGH legt den Begriff der sensiblen Daten sehr weit aus. Er ordnet die hier in Frage stehenden Daten (namensbezogenen Daten zum Ehegatten, Lebensgefährten oder Partner) als sensible Daten im Sinne des Art. 9 Abs. 1 DSGVO ein, da er diese als geeignet sieht, „die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren“.
Zur Begründung stützt sich der EuGH im Wesentlichen auf den Wortlaut des Art. 9 DSGVO sowie den Schutzzweck der Vorschrift:
Einerseits spreche die Verwendung des Verbs „hervorgehen“ dafür, dass eine Verarbeitung erfasst ist, die sich nicht nur auf ihrem Wesen nach sensiblen Daten bezieht, sondern auch auf Daten, aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben.
Für eine weite Auslegung der Begriffe „besondere Kategorien personenbezogener Daten“ und „sensible Daten“ spreche ferner das Ziel der DSGVO, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Privatlebens – bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten.
Kurz gesagt hält der EuGH den Anwendungsbereich des Art. 9 DSGVO für eröffnet, wenn Angaben die Eignung aufweisen, sensible Daten „indirekt zu offenbaren“.
Kritik an der Entscheidung
Nach Ansicht des EuGH liegen sensible Daten auch dann vor, wenn aus gewöhnlichen personenbezogenen Daten mittels gedanklicher Kombination oder Ableitung etwa auf die sexuelle Orientierung einer natürlichen Person geschlossen werden kann. Es ist also ausreichend, wenn die Daten „geeignet“ sind, sensible Informationen (indirekt) zu offenbaren. Nach der Auffassung des EuGH kommt es nicht darauf an, dass der Verantwortliche entsprechende Kombinationen oder Ableitungen tatsächlich durchführt oder zumindest beabsichtigt. Es fasst den Anwendungsbereich der sensiblen Daten demnach sehr weit. Wird der vom EuGH angenommene, sehr weitere Anwendungsbereich der sensiblen Daten auf alle denkbaren Sachverhalte übertragen, wäre die eigentliche Intention des Art. 9 Abs. 1 DSGVO, lediglich einen besonders sensiblen Bereich an Informationen zu schützen, konterkariert.
Notwendig ist es deshalb, Grenzen bei der „Eignung zur indirekten Offenbarung“ zu ziehen. Fragen, welche hierbei von Bedeutung sein könne, sind unter anderem: Müssen die ursprünglichen Daten objektiv geeignet sein, die abgeleitete Information offenzulegen (objektive Eignung)? Was für eine Rolle spielt die Art der Verarbeitung (z. B. Veröffentlichung)? Kann das Vorliegen besonderer Datenkategorien vom jeweiligen Zusatzwissen der verarbeitenden Person abhängig gemacht werden (Relativität der Sensibilität)? Muss mit Sicherheit auf sensible Daten geschlossen werden können oder reicht eine gewisse Wahrscheinlichkeit aus?2
Gut zu wissen: Der EuGH wird alsbald die Gelegenheit haben, seine Rechtsprechung hinsichtlich der letzten Frage zu präzisieren. Der BGH hat ihm zur Vorabentscheidung unter anderem die Frage vorgelegt, ob es sich auch dann um sensible Daten handelt, wenn nicht mit Sicherheit, sondern nur mit einer gewissen Wahrscheinlichkeit auf den Gesundheitszustand einer betroffenen Person geschlossen werden kann.3
Relevanz für Unternehmen
Die weite Auslegung des EuGH wirkt sich auf die Datenverarbeitung in der Privatwirtschaft aus. Unternehmen sollten prüfen, ob sie Daten verarbeiten, aus denen sensible Daten hervorgehen können. Ist dies der Fall, sollten die in Betracht kommenden Ausnahmen vom Verarbeitungsverbot aus Art. 9 Abs. 2 DSGVO untersucht werden. Unter Umständen kann es erforderlich sein, die Verarbeitung zukünftig insgesamt auf eine Einwilligung gem. Art. 9 Abs. 2 lit. a) DSGVO zu stützen.
Generell empfehlenswert ist darüber hinaus eine Prüfung, ob die vorhandenen technischen und organisatorischen Maßnahmen auch für die Verarbeitung sensibler Daten geeignet sind. Für diese sind in der Regel umfangreichere technischen und organisatorischen Maßnahmen zu implementieren, die dem erhöhten Gefährdungs- und Diskriminierungspotenzial Rechnung tragen.
Auch die Erforderlichkeit einer Datenschutz-Folgenabschätzung sollte vor dem Hintergrund des Art. 35 Abs. 1 DSGVO genauer betrachtet und – soweit notwendig – unverzüglich nachgeholt werden.
Quellen:
1 https://curia.europa.eu/juris/document/document.jsf?text=&docid=263721&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=2255087
2 siehe dazu ausführlich https://kremer-rechtsanwaelte.de/2022/09/09/der-eugh-zapft-den-hidden-layer-an-wenn-aus-normalen-daten-sensible-daten-werden/
3 http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&az=I%20ZR%20223/19&nr=132370
