Der EuGH hat mit Urteil vom 01.08.2022 erneut eine richtungsweisende Entscheidung bei der Auslegung von Tatbestandsmerkmalen der DSGVO getroffen.
Der besondere Schutz personenbezogener Daten durch die DSGVO setzt durch den sehr umfassenden Anwendungsbereich des Begriffs der Personenbezogenheit schon sehr früh an.
Dieses weite Begriffsverständnis führt nicht selten zu Kritik und schwer lösbaren Konflikten in der Praxis, wie dies etwa im Fall von Microsoft 365 der Fall ist.
Befürworter dieses weiten Begriffsverständnisses argumentieren mit der Effektivität des Datenschutzes, die durch eine möglichst frühe Anwendung der DSGVO gewährleistet werden soll. Mit der Entscheidung aus dem August 2022 führt der EuGH den Weg der weiten Begriffsauslegung fort.
Konkret ging es in der Entscheidung um die Reichweite der Verarbeitung besonderer Kategorien personenbezogener Daten. Diese werden zum einen durch den in der DSGVO statuierten Grundsatz des Verbots mit Erlaubnisvorbehalt geschützt. Darüber hinaus sieht die DSGVO eine Verschärfung des Schutzes für sensible Daten im Sinne des Art. 9 Abs. 1 DSGVO vor.
Auch für den Begriff der sensiblen Daten im Sinne des Art. 9 Abs. 1 DSGVO hat der EuGH nun einen weitreichenden Anwendungsbereich festgestellt, was in der Praxis zu weiter erhöhten Sorgfaltspflichten im Umgang mit personenbezogenen Daten führen dürfte.
Hintergrund der Entscheidung war ein Vorabentscheidungsverfahren durch das litauische Regionalverwaltungsgericht in Vilnius, welches im Zusammenhang mit der Veröffentlichung von personenbezogenen Daten zum Zwecke der Korruptionsbekämpfung unter anderem die Frage vorlegte, ob
„[…]das nationale Recht nicht die Offenlegung von Daten in Erklärungen über private Interessen verlangen darf, durch die personenbezogene Daten offenbart werden können, einschließlich solcher Daten, die Rückschlüsse auf politische Ansichten, Gewerkschaftszugehörigkeit, sexuelle Orientierung oder andere persönliche Informationen zulassen[…]?“
Der EuGH entschied dazu, dass die Verarbeitung von
„Daten, die geeignet sind, die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren […] eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne dieser Bestimmungen darstellt.“
Die tatsächliche Möglichkeit eines Rückschlusses – also einer „indirekten Offenbarung“ – sind hierbei besonders hervorzuheben, da die Vorlagefrage den Fall der Veröffentlichung von Namen der Ehepartner der Betroffenen betraf. Zwar würden Namen grundsätzlich einfache personenbezogene Daten darstellen, situationsabhängig – so der EuGH – könnte aber schon ein Name ausreichen, etwa die sexuelle Orientierung des Betroffenen preiszugeben.
Im Kern ist die Entscheidung zu begrüßen, da die starre Kategorisierung von Daten in einfach / sensibel anhand objektiver Kriterien an der Realität vorbei gehen und situative Besonderheiten außer Acht lassen würde.
Andererseits erscheint allerdings eine Erheblichkeitsschwelle oder begriffliche Beschränkung erforderlich, durch die das tatsächliche Schutzbedürfnis für sensible Datenkategorien bereits in der Datenkategorie selbst Ausdruck findet.
Angesichts fehlender Sonderregelungen oder begrifflicher Einschränkungen für Bagatellfälle sind Verantwortliche der Unsicherheit ausgesetzt, wie früh die strengen Anforderungen für sensible Daten zu berücksichtigen sind. Man könnte hier beispielsweise an einen Brillenträger denken, der auf dem Organigramm eines Unternehmens abgebildet wird.
Würde man hier den möglichen Rückschluss auf eine vermeintliche Sehschwäche als ausreichend ansehen, um eine Verarbeitung sensibler (Gesundheits-)Daten annehmen zu können?