Neues Urteil im Datenschutz: Verarbeitung von Gesundheitsdaten

Das Europäische Gerichtshof (EuGH) hat am 21. Dezember 2023 in einem richtungsweisenden Urteil (C 667/21) die Anforderungen an die Verarbeitung von Gesundheitsdaten präzisiert und damit für Klarheit im Datenschutzrecht gesorgt. Dieses Urteil ist besonders für Unternehmen relevant, die mit sensiblen Gesundheitsdaten arbeiten und stellt neue Herausforderungen, aber auch Chancen dar.

Der Fall im Überblick

Ein Mitarbeiter wurde durch den Medizinischen Dienst der Krankenkassen Nordrhein (MDK Nordrhein) begutachtet, um seine Arbeitsunfähigkeit zu prüfen. Der Mitarbeiter sah in der Verarbeitung seiner Gesundheitsdaten durch den MDK Nordrhein einen Verstoß gegen die DS-GVO und forderte eine Entschädigung. Der Fall führte zu grundlegenden Fragen bezüglich der Rechtmäßigkeit der Datenverarbeitung, die letztendlich vom EuGH beantwortet wurden.

Wesentliche Erkenntnisse des EuGH-Urteils

• Doppelte Legitimationspflicht: Der EuGH stellt klar, dass für die Verarbeitung von Gesundheitsdaten sowohl eine spezifische Erlaubnis nach Art. 9 Abs. 2 DS-GVO als auch eine generelle Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO erforderlich ist. Dies bedeutet, dass Unternehmen nicht nur einen legitimen Grund für die Verarbeitung sensibler Daten nachweisen, sondern auch die allgemeinen Grundsätze der Datenverarbeitung beachten müssen.

• Schutz der Rechte Betroffener: Der EuGH betont die Notwendigkeit, die Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen zu schützen. Dies unterstreicht die Bedeutung einer transparenten, rechtskonformen Datenverarbeitungspraxis.

Was bedeutet die Doppelte Legitimationspflicht?

Artikel 6 und Artikel 9 der Datenschutz-Grundverordnung (DS-GVO) legen die Bedingungen fest, unter denen die Verarbeitung personenbezogener Daten als rechtmäßig gilt. Diese Artikel sind von zentraler Bedeutung für den Datenschutz innerhalb der Europäischen Union und tragen zum Schutz der Grundrechte und -freiheiten natürlicher Personen bei der Verarbeitung ihrer Daten bei.

Artikel 6 DS-GVO: Rechtmäßigkeit der Verarbeitung

Artikel 6 definiert die Rechtsgrundlagen für die rechtmäßige Verarbeitung personenbezogener Daten. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

1. Einwilligung: Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
2. Vertragserfüllung: Die Verarbeitung ist notwendig für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen.
3. Rechtliche Verpflichtung: Die Verarbeitung ist notwendig zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt.
4. Lebenswichtige Interessen: Die Verarbeitung ist notwendig, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
5. Öffentliches Interesse oder Ausübung öffentlicher Gewalt: Die Verarbeitung ist notwendig für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
6. Berechtigte Interessen: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Artikel 9 DS-GVO: Verarbeitung besonderer Kategorien personenbezogener Daten

Artikel 9 behandelt die Verarbeitung besonderer Kategorien personenbezogener Daten, zu denen auch Gesundheitsdaten gehören. Grundsätzlich ist die Verarbeitung dieser Daten verboten, es sei denn, es liegt eine der Ausnahmen von diesem Verbot vor, wie zum Beispiel:

1. Einwilligung: Die betroffene Person hat in die Verarbeitung ihrer sensiblen Daten für einen oder mehrere spezifische Zwecke ausdrücklich eingewilligt.
2. Besondere Notwendigkeiten: Die Verarbeitung ist notwendig zum Schutz lebenswichtiger Interessen, für die Wahrnehmung von Rechten im Arbeits- und Sozialrecht, für präventive oder arbeitsmedizinische Zwecke, für die Beurteilung der Arbeitsfähigkeit des Arbeitnehmers, für medizinische Diagnostik, für die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich, unter strikter Einhaltung bestimmter Bedingungen und Garantien.

Das Urteil des EuGH unterstreicht, dass die Verarbeitung von Gesundheitsdaten eine doppelte Legitimation erfordert: eine spezifische Erlaubnis gemäß Artikel 9 für die Verarbeitung sensibler Daten und eine allgemeine Rechtsgrundlage nach Artikel 6, die die Verarbeitung legitimiert. Diese doppelte Anforderung soll sicherstellen, dass die Verarbeitung personenbezogener Daten auf einer soliden rechtlichen Grundlage erfolgt und die Rechte der betroffenen Personen geschützt werden.

Handlungsempfehlungen für Unternehmen

1. Überprüfung der Rechtsgrundlagen: Unternehmen sollten sicherstellen, dass die Verarbeitung von Gesundheitsdaten auf einer soliden rechtlichen Basis steht, die sowohl die spezifischen als auch die generellen Anforderungen der DS-GVO erfüllt.

2. Anpassung interner Richtlinien: Datenschutzhinweise und Verarbeitungsverzeichnisse müssen gegebenenfalls aktualisiert werden, um die neuen rechtlichen Anforderungen zu reflektieren.

3. Risikominimierung: Eine sorgfältige und transparente Datenverarbeitungspraxis ist entscheidend, um potenzielle Haftungsrisiken zu minimieren. Datenschutzschulungen für Mitarbeiter können hierbei unterstützen.

Fazit: Datenschutz als Chance begreifen

Das Urteil des EuGH bietet Unternehmen die Gelegenheit, ihre Datenverarbeitungspraktiken zu überprüfen und zu optimieren. Ein proaktiver Ansatz im Datenschutz nicht nur Risiken minimiert, sondern auch das Vertrauen von Kunden und Mitarbeitern stärkt. Datenschutzkonformität wird somit zu einem Wettbewerbsvorteil in der modernen Geschäftswelt.