EuGH stellt klar: Die Verarbeitung sensibler Daten muss auf der allgemeinen Rechtmäßigkeitsvoraussetzung nach Artikel 6 Absatz 1 und einem spezifischen Ausnahmetatbestand gemäß Artikel 9 Absatz 2 der DSGVO basieren.
Das Verhältnis zwischen Art. 6 und 9 DSGVO war lange umstritten. Oft wurden die Ausnahmetatbestände gemäß Art. 9 als eigenständige Rechtsgrundlagen betrachtet, insbesondere wenn es um die Verarbeitung besonderer Kategorien personenbezogener Daten (wie Gesundheitsdaten) ging. Das zusätzliche Vorliegen einer Rechtsgrundlage gemäß Art. 6 war demnach nicht notwendig, zumal man von gleichrangigen Erlaubnistatbeständen ausging.
Mit dem Urteil des Europäischen Gerichtshofs (EuGH) vom 21. Dezember 2023 im Fall „Medizinischer Dienst der Krankenkassen Nordrhein“ (C-667/21) wurde Klarheit geschaffen. So muss zur Verarbeitung sensibler Daten neben einem Ausnahmetatbestand gemäß Art. 9 Abs. 2 auch eine Rechtsgrundlage nach Art. 6 Abs. 1 vorliegen. Dies beruht darauf, dass sowohl die Grundsätze der Verarbeitung gemäß Art. 5 als auch die Bedingungen der Rechtmäßigkeit der Verarbeitung nach Art. 6 grundlegende Voraussetzungen für das Vorliegen der Rechtmäßigkeit der Verarbeitung jeglicher personenbezogener Daten sind. Demnach enthält Art. 6 Abs. 1 eine taxative Aufzählung all jener Fälle, „ (…) in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden.“[1] Art. 9 Abs. 2 beinhaltet darüber hinaus zusätzlich spezielle Anforderungen, die neben den allgemeinen Rechtmäßigkeitsvoraussetzungen gem Art. 6 Abs. 1 zur Verarbeitung sensibler Daten gelten.
Der EuGH folgte daher den Schlussanträgen des Generalanwalts vom 25. Mai 2023, in denen vorgeschlagen wurde, “dass die Ausnahme vom Verbot der Verarbeitung von Gesundheitsdaten die Erfüllung mindestens einer der in Art. 6 Abs. 1 DSGVO genannten Bedingungen voraussetzt”.[2]
Zur Verarbeitung sensibler Daten hat somit neben einem Ausnahmetatbestand gemäß Art. 9 Abs. 2 auch eine Rechtsgrundlage nach Art. 6 Abs. 1 vorzuliegen. Hierzu verweist der EuGH explizit auch auf ErwGr 51 der DSGVO, aus dem klar hervorgeht, dass „zusätzlich zu den speziellen Anforderungen“ an eine Verarbeitung „besonders sensibler Daten“ gemäß Art. 9 Abs. 2 und 3, „die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung“, wie sie sich aus Art. 6 dieser Verordnung ergeben, gelten sollten.[3]
Entgegen der bisher herrschenden Auffassung verdrängen die Anforderungen des Art. 9 demnach nicht jene des Art. 6, sondern überlagern sich normativ. Dieses Verständnis ließ sich bereits 2023 aus einer Entscheidung der österreichischen Datenschutzbehörde (D130.703 (2022-0.277.156)) ableiten, in der die unzulässige Verarbeitung biometrischer Daten (ebenso sensible Daten) seitens des Verantwortlichen Clearview AI, Inc. festgestellt wurde.[4]
In der Praxis hat dieses EuGH-Urteil dahingehend weitreichende Auswirkungen, zumal jeder Verantwortliche, der sensible Daten verarbeitet, nun zu prüfen und dokumentieren hat, ob neben dem spezifischen Ausnahmetatbestand gemäß Art. 9 Abs. 2, auch eine Rechtsgrundlage nach Art. 6 Abs. 1 vorliegt. Da jedoch die Ausnahmetatbestände gem Art. 9 Abs. 2 deutlich enger gefasst sind, lässt sich idR eine Rechtsgrundlage nach Art. 6 Abs. 1 schnell finden. Herkömmlicherweise werden hierfür die üblichen Rechtsgrundlagen hergezogen werden können, wie Einwilligung (Art. 6 Abs. 1 lit a), Vertragserfüllung (Art. 6 Abs. 1 lit b), Wahrung berechtigter Interessen des Verantwortlichen (Art. 6 Abs. 1 lit f), oder die Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit c).
Wurde die passende Rechtsgrundlage eruiert, geprüft und dokumentiert, ist eine solche Änderung im Rahmen des eigenen Datenschutzmanagementsystems nachzuziehen. Sohin müssen jedenfalls iSd Transparenzgrundsatzes die Datenschutzerklärungen gemäß Art. 13 und 14 adaptiert werden. Zur Wahrung der Rechenschaftspflicht sollten die Angaben zur herangezogenen Rechtsgrundlage im Verarbeitungsverzeichnis gemäß Art. 30 ebenso aktualisiert werden.
[1] EuGH C-667/21, ZQ gegen Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, ECLI:EU:C:2023:1022, Rn 75.
[2] GA C-667/21, ZQ v Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, ECLI:EU:C:2023:433, Rn 65.
[3] EuGH C-667/21, ZQ gegen Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, ECLI:EU:C:2023:1022, Rn 73.
[4] Newsletter 3/2023 (dsb.gv.at) S 26: „Selbst wenn man annehmen wollte, dass Art. 9 DSGVO nicht zur Anwendung gelange oder dessen Voraussetzungen erfüllt seien, so wäre die Verarbeitung auch im Lichte des Art. 6 Abs. 1 DSGVO unrechtmäßig.“
Autor
Moritz W. Rothmund-Burgwall, LL.M. ist Researcher und Consultant am Research Institute – Digital Human Rights Center.