1. Aktuelle Seite:  
  2. Prinz-Blog
  3. EuGH-Urteil zur Verarbeitung sensibler Daten im Ausnahmezustand

EuGH-Urteil zur Verarbeitung sensibler Daten im Ausnahmezustand

Ausnahmetatbestand allein kein ausreichender Grund

Für sensible Daten wie etwa Gesundheitsdaten sieht die DSGVO, die Datenschutzgrundverordnung, einen besonderen Schutz vor, der jedoch in bestimmten Ausnahmefällen aufgehoben werden kann. Beides ist in Art. 9 DSGVO definiert. Bisher war offen, ob allein der Ausnahmetatbestand hinreichend für die Rechtmäßigkeit der Datenverarbeitung ist oder ob darüber hinaus eine der in Art. 6 DSGVO beschriebenen Rechtsgrundlagen unverzichtbar ist. Dazu kann zum Beispiel die Einwilligung der betroffenen Person, die Notwendigkeit der Datenverarbeitung für die Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung zählen. In seinem Urteil Az. C-667/21 vom 21. Dezember 2023 hat der Europäische Gerichtshof diese Notwendigkeit bestätigt.

Der Fall

In dem verhandelten Fall ging es darum, dass der Medizinische Dienst der Krankenkassen – kurz MDK – von der Krankenkasse mit der Erstellung eines Gutachtens über die Arbeitsfähigkeit eines Mitarbeiters betraut wurde. Die begutachtende Ärztin holte zu diesem Zweck auch Informationen bei dem Arzt ein, der den Mitarbeiter behandelte. Dieser informierte seinen Patienten, der nun seinerseits einen IT-Kollegen bat, ihm ein Foto des Gutachtens zukommen zu lassen.

Mitarbeiter klagt wegen Verarbeitung seiner Gesundheitsdaten

Der Mitarbeiter sah in dieser Vorgehensweise eine unzulässige Verarbeitung seiner Gesundheitsdaten und klagte auf 20.000 Euro Entschädigung. In dem Verfahren vor dem Arbeitsgericht Düsseldorf ging es darum, ob ein Ausnahmetatbestand nach Art. 9 DSGVO vorliegt und ob nach Art. 82 DSGVO ein Anspruch auf Schadenersatz besteht. Im weiteren Verlauf trat die Frage in den Vordergrund, ob neben dem Ausnahmetatbestand auch eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO vonnöten ist. Der EuGH entschied, dass Art. 6 Abs. 1 DSGVO auch bei einem Ausnahmetatbestand erfüllt werden muss: Sensible Daten dürfen nur verarbeitet werden, wenn wenigstens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt wird.

Welche Folgen hat diese Entscheidung für Sie?

Achten Sie unbedingt darauf, dass bei der Verarbeitung von sensiblen Daten immer mindestens eine der Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO erfüllt wird. Wir beraten Sie auch zu dieser Thematik sehr gern. Kommen Sie einfach auf uns zu. Entweder telefonisch unter der Nummer 09122 6937302 oder mit Ihrer persönlichen Nachricht

Ihr Team von Datenschutz Prinz 

Bayerisches LKA testet Software mit echten Daten
Bundesrat hat über Paragraf 38 BDSG beraten

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.