Hintergrund der Entscheidung
Das Urteil des EuGH hatte einen Fall aus Litauen zum Gegenstand, in dem es um das Verhältnis zwischen nationaler Antikorruptionsgesetzgebung und Datenschutz ging. Nach dem litauischen Antikorruptionsgesetz mussten Leiter bestimmter öffentlicher Institutionen bzw. Leiter der Einrichtungen, die öffentliche Mittel erhalten, eine Erklärung über private Interessen vorlegen. In der Erklärung mussten unter anderem bestimmte durchgeführte Transaktionen und erhaltene Geschenke, aber auch namensbezogene Daten über den Ehegatten, Partner oder Lebensgefährten der erklärungspflichtigen Person angegeben werden. Die Erklärungen wurden sodann online auf der Webseite der Obersten Ethikkommission, die für die Durchsetzung des in Rede stehenden Gesetzes zuständig ist, veröffentlicht.
Ein Leiter einer Nichtregierungsorganisation, die öffentliche Mittel erhält, hatte eine solche Erklärung nicht abgegeben. Stattdessen machte er geltend, dass die Veröffentlichung der Erklärung sowohl sein eigenes Recht auf Achtung des Privatlebens als auch das der anderen Personen, die er gegebenenfalls in seiner Erklärung angeben müsste, verletzen würde.
Das mit Fall betraute litauische Gericht setzte das Verfahren aus und legte dem EuGH Fragen zur Auslegung des europäischen Datenschutzrechts vor.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Der Richterspruch
Veröffentlichung der Erklärungen auf der Webseite der Behörde
Die erste Frage des litauischen Gerichts betraf die datenschutzrechtliche Zulässigkeit der Veröffentlichung der Erklärungen über private Interessen im Internet.
In seinem Richterspruch betonte der EuGH, dass Korruptionsbekämpfung in der EU ein wichtiges und legitimes Ziel ist. Gleichwohl müssten die gegensätzlichen Interessen, namentlich Korruptionsbekämpfung und Datenschutz, sorgsam gegeneinander abgewogen werden. Insbesondere befand der Gerichtshof, dass das Recht auf Achtung des Privatlebens bei der namentlichen Nennung des Ehegatten, Lebensgefährten oder Partners der erklärungspflichtigen Person bzw. sonstiger ihr nahestehenden oder bekannten Personen, die einen Interessenskonflikt begründen könnte, überwiegt.
Demgegenüber wäre eine Veröffentlichung der möglichen Interessenskonflikte ohne namentliche Nennung der jeweiligen Personen rechtlich zulässig.
Der EuGH stellte zudem fest, dass die Veröffentlichung der Daten insbesondere damit begründet wurde, dass die litauische Behörde nicht die Mittel hatte, um die Erklärungen selbst inhaltlich zu überprüfen. Dieser Argumentation erteilte der Gerichtshof eine Absage: Statt die Überprüfung der Erklärungen durch deren Veröffentlichung an die Öffentlichkeit auszulagern, hätte der Staat die Behörde mit ausreichenden Mitteln ausstatten sollen.
Auslegung des Begriffs sensible Daten
Die zweite Frage betraf die Auslegung des Bergriffs „sensible Daten“ bzw. „besondere Kategorien personenbezogener Daten“. Dies sind personenbezogene Daten wie bspw. Gesundheitsdaten oder Daten über das Sexualleben und sexuelle Orientierung, für deren Verarbeitung aufgrund des erhöhten Schutzbedarfs verschärfte Anforderungen gelten. So sieht bspw. Art. 9 DSGVO einen knappen Katalog der Fälle vor, in denen die Verarbeitung solcher Daten zulässig ist.
Konkret wollte das litauische Gericht wissen, ob die Veröffentlichung des Namens des Partners bzw. der Partnerin der erklärungspflichtigen Person – d.h. Daten, die die sexuelle Orientierung beider genannten Personen indirekt offenbaren könnten – eine Verarbeitung sensibler Daten darstellt.
Der EuGH urteile, dass ein Name an sich zwar kein sensibles Datum ist, gleichwohl lassen sich daraus mittels eines Denkvorgangs indirekt sensible Informationen über das Sexualleben oder die sexuelle Orientierung der betreffenden Personen ableiten. Ist dies möglich, sind laut dem EuGH auch solche Daten als „sensible Daten“ zu verstehen. Auf diese Weise soll die praktische Wirksamkeit der DSGVO-Regelung zu sensiblen Daten gewährleistet werden.
Datenschutzrechtliche Einschätzung
Der Richterspruch reiht sich in eine Reihe von Entscheidungen des EuGH ein, mit denen der Gerichtshof die Regelungen des Datenschutzrechts weit ausgelegt hat, um somit einen hohen Schutz des Rechts auf Privatsphäre zu gewährleisten. Vor diesem Hintergrund kommt die Entscheidung nicht überraschend.
Für Unternehmen besonders relevant ist die Antwort des Gerichtshofes auf die zweite Frage:
Immer, wenn ein personenbezogenes Datum geeignet ist, sensible Informationen wie bspw. über das Sexualleben und sexuelle Orientierung, den Gesundheitszustand oder religiöse oder weltanschauliche Überzeugungen preiszugeben, ist dieses als ein sensibles Datum zu verstehen.
Somit misst sich die Zulässigkeit der Verarbeitung an Art. 9 DSGVO, was insbesondere bedeutet, dass eine Verarbeitung aufgrund von berechtigten Interessen des Verantwortlichen nicht möglich ist. Ist eine Einwilligung vonnöten, muss diese den strengeren Voraussetzungen des Art. 9 Abs. 2 DSGVO standhalten (sog. ausdrückliche Einwilligung).
Die praktischen Implikationen dieser Auslegung der DSGVO sind nicht zu unterschätzen, denn aus vielen scheinbar nicht sensiblen Daten kann ein sensibles Datum indirekt hervorgehen. So kann aus einem Foto der Person bspw. deren rassische Herkunft oder ihre Gesundheitsbeeinträchtigung hervorgehen. In einem solchen Fall wäre für die Zulässigkeit der Verarbeitung eines solchen Fotos Art. 9 DSGVO maßgeblich.
Oft wiegen sich Unternehmen in Sicherheit, dass sie keine sensiblen Daten verarbeiten. Die Entscheidung des EuGH zeigt jedoch, dass es bereits ausreicht, wenn aus normalen personenbezogenen Daten sensible Informationen abgeleitet werden können. Unternehmen sollten also ihre Datenbanken dahingehend prüfen, ob dies im konkreten Fall möglich ist. Falls ja, sind die erhöhten Anforderungen zu erfüllen, die für die Verarbeitung sensibler Daten gelten.
Fazit
Die Entscheidung des EuGH bietet einige wichtige Klarstellungen bezüglich sensibler personenbezogener Daten. Sie zeigt einmal mehr, dass es im Datenschutzrecht auf den Kontext ankommt und dass dabei viele unterschiedliche Faktoren eine Rolle spielen, weshalb sich eine rechtliche Beurteilung unter Umständen als schwierig erweisen kann. Unternehmen sind gut beraten, Experten hinzuzuziehen, nicht zuletzt, weil bei einer Verarbeitung sensibler Daten sowohl vom Gesetzgeber und den Aufsichtsbehörden als auch von betroffenen Personen besondere Vorsicht erwartet wird.
