SCHLUSSANTRÄGE DES GENERALANWALTS
MANUEL CAMPOS SÁNCHEZ-BORDONA
vom 25. Mai 2023(1 )
Rechtssache C ‑667/21
ZQ
gegen
Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts
(Vorabentscheidungsersuchen des Bundesarbeitsgerichts [Deutschland])
„Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Gesundheitsdaten – Beurteilung der Arbeitsfähigkeit eines Beschäftigten – Medizinischer Dienst einer Krankenkasse – Verarbeitung von Gesundheitsdaten der Beschäftigten – Recht auf Schadenersatz – Einfluss des Grades des Verschuldens“
1. In diesem Vorabentscheidungsersuchen geht es um die Auslegung der Verordnung (EU) 2016/679(2 ) im Zusammenhang mit: a) der Verarbeitung von Gesundheitsdaten und b) dem Ersatz des aufgrund eines (angeblichen) Verstoßes gegen die DSGVO entstandenen Schadens.
2. Auch wenn sich der Gerichtshof bereits zu den Bestimmungen der DSGVO(3 ), um die es in diesen Fragen geht, geäußert hat, sind die im Rahmen des vorliegenden Vorabentscheidungsersuchens aufgeworfenen Fragen mit Ausnahme der vierten Frage(4 ) neu.
I. Rechtlicher Rahmen
A. Unionsrecht. DSGVO
3. Für den vorliegenden Rechtsstreit sind die Erwägungsgründe 4, 10, 35, 51 bis 54 und 146 der DSGVO von Bedeutung.
4. Art. 9 („Verarbeitung besonderer Kategorien personenbezogener Daten“) sieht vor:
„(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
…
b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
…
h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
…
(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.
(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.“
5. In Art. 82 („Haftung und Recht auf Schadenersatz“) heißt es:
„(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
…
(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Abs. 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
…“.
B. Nationales Recht. Sozialgesetzbuch Fünftes Buch (5 )
6. Nach § 278 Abs. 1 Satz 1 wird in jedem Bundesland ein Medizinischer Dienst(6 ) der Krankenkassen(7 ) als Körperschaft des öffentlichen Rechts errichtet. Zu den ihm durch Gesetz zugewiesenen Aufgaben gehört die Erstellung von gutachtlichen Stellungnahmen zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von Versicherten.
7. Nach § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b sind die KV unter bestimmten Voraussetzungen verpflichtet, bei ärztlich bescheinigter Arbeitsunfähigkeit eines Versicherten vom entsprechenden MDK eine gutachtliche Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit einzuholen.
II. Sachverhalt, Ausgangsverfahren und Vorlagefragen
8. ZQ war seit 1991 beim MDK Nordrhein (Deutschland) in der IT‑Abteilung als Systemadministrator und Mitarbeiter Helpdesk abhängig beschäftigt.
9. Der MDK erstellt gutachtliche Stellungnahmen über die Arbeitsunfähigkeit von Versicherten der KV. Zu diesen Stellungnahmen können auch solche über die Gesundheit seiner eigenen Beschäftigten gehören.
10. Die Datenverarbeitung folgt unter anderem den folgenden Regeln, die sich aus einer internen Dienstanweisung(8 ) ergeben:
– Die „Sozialdaten“ der Arbeitnehmer dürfen nicht an ihrem Dienstort erhoben oder gespeichert werden. Zudem dürfen solche Daten, die anfallen, wenn eine KV den MDK mit einer Begutachtung beauftragt, nicht mit Mitarbeiterdaten verwechselt werden, die im Rahmen eines Arbeits- oder Dienstverhältnisses verarbeitet werden.
– Die Anträge auf gutachtliche Stellungnahmen über Beschäftigte des MDK werden als „Spezialfälle“ eingestuft und ausschließlich durch eine bestimmte Organisationseinheit bearbeitet(9 ).
– Nach Abschluss der Begutachtung eines Beschäftigten des MDK werden sowohl die zugehörigen Unterlagen als auch die gutachtliche Stellungnahme im elektronischen Archiv des betreffenden MDK hinterlegt. Eine Zuordnung der Unterlagen zu bestimmten Personen ist nur über einen besonderen Schlüssel möglich, wobei die Zugriffsberechtigung technisch geprüft wird.
11. Nach Archivierung des Gutachtens ist den Beschäftigten des Teilbereichs „IT Abteilung“ der Organisationseinheit „Spezialfall“, die einer gesetzlichen Geheimhaltungspflicht unterliegen, der Zugriff auch auf Gutachten möglich, die aufgrund eines Begutachtungsauftrags erstellt wurden, der eigene Beschäftigte des MDK betrifft.
12. Seit dem 22. November 2017 war ZQ ununterbrochen arbeitsunfähig erkrankt.
13. Ab dem 24. Mai 2018(10 ) bezog ZQ von seiner KV Krankengeld. Am 6. Juni 2018 beauftragte diese KV den MDK mit einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von ZQ.
14. Der MDK nahm den Auftrag an und ordnete ihn der Organisationseinheit „Spezialfall“ zu. Am 22. Juni 2018 erstellte eine zu dieser Einheit gehörende, beim MDK angestellte Ärztin ein Gutachten, das die Diagnose der Krankheit von ZQ enthielt. Zur Erstellung des Gutachtens telefonierte die Ärztin mit dem behandelnden Arzt von ZQ und holte dort die benötigten Auskünfte ein.
15. Der MDK archivierte das Gutachten elektronisch.
16. Durch seinen behandelnden Arzt erfuhr ZQ vom Anruf der Ärztin des MDK.
17. Am 1. August 2018 setzte sich ZQ mit einer Kollegin der IT‑Abteilung des MDK in Verbindung und fragte sie, ob ein Gutachten über ihn gespeichert sei. Nach einer Recherche im Archiv bestätigte die Kollegin dies. Auf Bitten von ZQ fotografierte die Kollegin das Gutachten und sandte ihm die Aufnahmen.
18. Am 15. August 2018 forderte ZQ vom MDK erfolglos die Zahlung eines Schadenersatzes in Höhe von 20 000 Euro auf der Grundlage von Art. 82 DSGVO.
19. Am 17. Oktober 2018 erhob ZQ Klage beim Arbeitsgericht Düsseldorf (Deutschland). In diesem Verfahren forderte er zudem materiellen Schadenersatz in Höhe der ihm entgangenen Verdienste(11 ).
20. Im Verlauf des Gerichtsverfahrens beendete der MDK das Arbeitsverhältnis mit ZQ.
21. Die Klage von ZQ wurde sowohl im ersten Rechtszug als auch im Berufungsverfahren abgewiesen(12 ).
22. ZQ legte Revision zum Bundesarbeitsgericht (Deutschland) ein, das dem Gerichtshof die folgenden Fragen vorlegt:
1. Ist Art. 9 Abs. 2 Buchst. h DSGVO dahin auszulegen, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten?
2. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchst. h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Sind in einem Fall wie hier über die in Art. 9 Abs. 3 DSGVO bestimmten Maßgaben hinaus weitere, gegebenenfalls welche Datenschutzvorgaben zu beachten?
3. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchst. h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Hängt in einem Fall wie hier die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon ab, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist?
4. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?
5. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?
III. Verfahren vor dem Gerichtshof
23. Das Vorabentscheidungsersuchen ist am 8. November 2021 beim Gerichtshof eingegangen.
24. ZQ, der MDK, die irische und die italienische Regierung sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht.
25. Die Durchführung einer mündlichen Verhandlung ist nicht für erforderlich erachtet worden.
26. Auf Wunsch des Gerichtshofs befassen sich die vorliegenden Schlussanträge nicht mit der vierten Vorlagefrage(13 ).
IV. Würdigung
A. Erste Vorlagefrage
27. Das vorlegende Gericht möchte wissen, ob Art. 9 Abs. 2 Buchst. h DSGVO es einem MDK untersagt, die Gesundheitsdaten eines seiner eigenen Arbeitnehmer, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten. Es stellt folglich die Rechtmäßigkeit der Verarbeitung im Hinblick auf die Einrichtung, die die Verarbeitung vornimmt, in Frage(14 ).
28. Art. 9 DSGVO regelt besondere Kategorien von Daten wie z. B. Gesundheitsdaten. Er enthält ein allgemeines Verbot der Verarbeitung „sensibler“ Daten (Abs. 1) und zählt abschließend die Umstände auf, unter denen das allgemeine Verbot nicht gilt (Abs. 2).
29. Konkret enthält Art. 9 Abs. 2 Buchst. h DSGVO eine Ausnahme (von dem allgemeinen Verbot) in Bezug auf die Verarbeitung personenbezogener Daten „für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich“.
30. Meines Erachtens deckt diese Bestimmung das streitgegenständliche Handeln des MDK ab(15 ). Es ist unerheblich, dass der für die Verarbeitung Verantwortliche zugleich Arbeitgeber der betroffenen Person ist, soweit der MDK nicht als Arbeitgeber, sondern als medizinischer Dienst einer KV handelt, bei der die betroffene Person versichert war(16 ).
31. Ich sehe keine Grundlage für eine Auslegung von Art. 9 Abs. 2 Buchst. h DSGVO dahin, dass es einem Medizinischen Dienst untersagt wäre, Gesundheitsdaten seiner Mitarbeiter zu den in diesem Buchstaben genannten Zwecken zu verarbeiten. Die üblichen Auslegungskriterien führen vielmehr zum gegenteiligen Ergebnis (Nichtbestehen eines solchen Verbots).
32. Nach dem Wortlaut sieht Art. 9 Abs. 2 Buchst. h DSGVO weder einen Ausschluss in diesem Sinne noch eine Voraussetzung für die Verarbeitung vor, nach der es sich bei dem Verantwortlichen um einen „neutralen Dritten“(17 ) handeln muss.
33. Die Entstehungsgeschichte und die Entwicklung der Bestimmung deuten ebenfalls weder auf ein Verbot hin, wie es in der ersten Vorlagefrage angesprochen wird, noch auf die Absicht, ein solches Verbot vorzusehen(18 ).
34. Der Zweck der Vorschriften der DSGVO über die Verarbeitung von Gesundheitsdaten besteht nach der Rechtsprechung des Gerichtshofs(19 ) darin, den betroffenen Personen aufgrund der besonderen Sensibilität dieser Daten im Hinblick auf die betroffenen Grundrechte einen erhöhten Schutz zu gewähren. Zu diesem Zweck wurde in Art. 9 Abs. 1 DSGVO ein allgemeines Verbot eingeführt, das jedoch nicht absolut ist(20 ).
35. In diesem Bereich hat der Gesetzgeber, wie in anderen Bereichen, die die Verarbeitung personenbezogener Daten betreffen, nach Einführung des allgemeinen Verbots beschlossen,
– Ausnahmen in Gestalt einer Liste konkreter Situationen vorzusehen, die man grob zusammenfassen kann in Situationen, in denen die betroffene Person die Verarbeitung erlaubt oder die Verarbeitung vorteilhaft für die betroffene Person ist, und in Situationen, in denen die Interessen des Einzelnen überwiegende Interessen bestehen;
– für eine bestimmte Art der Verarbeitung besondere, über die bei der Verarbeitung der übrigen „nicht sensiblen“ Daten einzuhaltenden Vorgaben hinausgehende Vorsichtsmaßnahmen vorzusehen, die zusätzlich anzuwenden sind(21 );
– den Mitgliedstaaten zu gestatten, weitere Bedingungen, einschließlich Beschränkungen, für die Verarbeitung personenbezogener Daten einzuführen, etwa in Bezug auf Gesundheitsdaten (Art. 9 Abs. 4 DSGVO und 53. Erwägungsgrund am Ende) oder in Bezug auf Daten von Arbeitnehmern im Beschäftigungskontext (Art. 88 DSGVO)(22 ).
36. Abstrakt betrachtet, spricht daher nichts dagegen, dass eine der von mir soeben erwähnten besonderen Vorsichtsmaßnahmen darin bestehen könnte, einem MDK die Verarbeitung von Gesundheitsdaten seiner eigenen Beschäftigten zu untersagen. Meines Erachtens ist diese Möglichkeit (für die der europäische Gesetzgeber sich nicht entschieden hat) jedoch nicht unabdingbar, um den oben genannten Zweck zu erreichen.
37. Ich bin daher nicht der Ansicht, dass das Verbot, nach dem das vorlegende Gericht fragt, unausweichlich aus der teleologischen Auslegung von Art. 9 Abs. 2 Buchst. h DSGVO folgt.
38. Ich denke auch nicht, dass die systematische Auslegung dieser Bestimmung zu einem anderen Ergebnis führt, denn:
– Nähme man aus Gründen der Dialektik an, dass Art. 9 Abs. 2 Buchst. b DSGVO die einzige Grundlage wäre, auf der ein Arbeitgeber Gesundheitsdaten seiner Arbeitnehmer verarbeiten könnte(23 ), so berührte dies nicht die Möglichkeit, dass dieselbe Einrichtung nicht mehr als Arbeitgeber, sondern als medizinischer Dienst, der den Auftrag einer KV annimmt, die Verarbeitung im Rahmen einer anderen Ausnahme nach Art. 9 Abs. 2 vornimmt(24 ).
– In Art. 9 Abs. 3 DSGVO sind die Bedingungen festgelegt, die von Personen einzuhalten sind, die personenbezogene Gesundheitsdaten verarbeiten. Art. 9 Abs. 2 Buchst. h verweist ausdrücklich auf Abs. 3; in subjektiver Hinsicht unterliegt die Verarbeitung keiner weiteren Voraussetzung(25 ).
39. Zusammenfassend schlage ich vor, die erste Vorlagefrage zu verneinen (d. h., dass das streitgegenständliche Verbot in der DSGVO nicht vorgesehen ist), was es ermöglicht, auf die folgende Frage einzugehen.
B. Zweite Vorlagefrage
40. Für den Fall, dass die erste Vorlagefrage (wie ich vorschlage) verneint wird, möchte das vorlegende Gericht wissen, ob „in einem Fall wie hier über die in Art. 9 Abs. 3 DSGVO bestimmten Maßgaben hinaus weitere, gegebenenfalls welche Datenschutzvorgaben zu beachten [sind]“.
41. Die Antwort dürfte allgemein keine größeren Probleme aufwerfen(26 ). Der Gerichtshof hat festgestellt, dass jede Verarbeitung personenbezogener Daten mit den in Art. 5 DSGVO aufgestellten Grundsätzen sowie mit einer der in Art. 6 DSGVO genannten Bedingungen für die Zulässigkeit im Einklang stehen muss(27 ).
42. Nach Ansicht des vorlegenden Gerichts reicht die Einhaltung der Geheimhaltungspflicht (Art. 9 Abs. 3 DSGVO) unter Umständen wie denen des vorliegenden Falles nicht aus, um die Daten zu schützen. Es schlägt weitere ergänzende Maßnahmen vor, die seiner Ansicht nach die einzigen zu diesem Zweck geeigneten sind(28 ).
43. Meines Erachtens kann Art. 9 Abs. 3 DSGVO als solcher nicht als Grundlage für diese zusätzlichen Maßnahmen dienen. Sein eindeutiger Wortlaut (der sich darauf beschränkt, eine bereits in der Richtlinie 95/46 enthaltene Bestimmung(29 ) zu präzisieren) bietet keine Grundlage für Vorschläge wie die des vorlegenden Gerichts.
44. Diese Vorschläge könnten vielmehr unter Art. 9 Abs. 4 DSGVO fallen. Danach können die Mitgliedstaaten „zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von … Gesundheitsdaten betroffen ist“(30 ). Aus dem Vorlagebeschluss ist allerdings nicht ersichtlich, dass dies in Deutschland der Fall gewesen ist.
45. Dies vorausgeschickt und aus den oben dargelegten Gründen muss die Verarbeitung personenbezogener Gesundheitsdaten u. a. den in Art. 5 Abs. 1 Buchst. f DSGVO verankerten Grundsatz und die sich daraus ergebenden Verpflichtungen beachten, die in Kapitel IV der DSGVO im Einzelnen aufgeführt sind.
46. Zudem muss der für die Verarbeitung Verantwortliche(31 ) geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass die konkrete Verarbeitung im Einklang mit der DSGVO erfolgt. Dies ist allgemein in Art. 24 Abs. 1 DSGVO vorgesehen.
47. Insbesondere verpflichtet Art. 32 Abs. 1 DSGVO den Verantwortlichen, „geeignete technische und organisatorische Maßnahmen [zu treffen], um ein dem Risiko“, das von der Verarbeitung der betreffenden personenbezogenen Daten ausgeht, „angemessenes Schutzniveau zu gewährleisten“.
48. Bei Anwendung dieser Regeln auf den vorliegenden Fall führt die Arbeitgebereigenschaft des MDK im Verhältnis zu ZQ dazu, dass für den MDK eine Sorgfaltspflicht bei der Verarbeitung der Gesundheitsdaten von ZQ besteht, die über das normale Maß hinausgeht, da die Risiken ebenfalls größer sind(32 ).
49. Dem MDK ist dies bewusst. Wenn er auf Ersuchen einer KV, der einer seiner Mitarbeiter angehört, Gutachten erstellt, um Zweifel an dessen Arbeits(un)fähigkeit auszuräumen, setzt er ein Bündel von Ad-hoc -Maßnahmen, technischen und organisatorischen Maßnahmen um, die darauf abzielen, dass die Verarbeitung personenbezogener Gesundheitsdaten im Einklang mit der DSGVO erfolgt(33 ).
50. Die Beurteilung dieser Maßnahmen fällt in die Zuständigkeit des vorlegenden Gerichts, das auf der Grundlage seiner Bewertung entscheiden kann, dass die getroffenen Maßnahmen nicht ausreichend waren. Aber aus Art. 9 DSGVO lässt sich keine Verpflichtung eines MDK ableiten, von Amts wegen jeden Gutachtenantrag einer KV (in Bezug auf eigene Mitarbeiter) abzulehnen(34 ).
C. Dritte Vorlagefrage
51. Sofern die erste Vorlagefrage verneint wird, möchte das vorlegende Gericht mit der dritten Frage wissen, ob die Ausnahme vom Verbot der Verarbeitung von Gesundheitsdaten „davon ab[hängt], dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist“.
52. Um diese Frage zu beantworten, ist das Verhältnis zwischen Art. 9 Abs. 2 und Art. 6 DSGVO, der die Rechtmäßigkeit der Verarbeitung betrifft, zu untersuchen. In den von mir bereits angeführten Urteilen des Gerichtshofs(35 ) ist festgestellt worden, dass der zuletzt genannte Artikel bei jeder Datenverarbeitung zu beachten ist.
53. Insbesondere wurde im Zusammenhang mit der im Urteil in der Rechtssache C‑439/19(36 ) in Rede stehenden Sanktion Art. 10 DSGVO ausgelegt, der eine andere Kategorie sensibler personenbezogener Daten betrifft (Daten über strafrechtliche Verurteilungen und Straftaten)(37 ), und festgestellt, dass Art. 6 kumulativ zu Art. 10 DSGVO anzuwenden ist.
54. Ist dieses Postulat auf die in Art. 9 DSGVO geregelten personenbezogenen Daten übertragbar?
55. Der Aufbau von Art. 9 und 10 DSGVO ist unterschiedlich. Art. 10 enthält einen ausdrücklichen Verweis auf Art. 6 Abs. 1 DSGVO, der in Art. 9 nicht enthalten ist.
56. Auch der Inhalt von Art. 9 Abs. 2 und Art. 10 DSGVO ist nicht vergleichbar: Art. 10 sieht lediglich eine subjektive Beschränkung der Verarbeitung vor, während Art. 9 Abs. 2 – genau wie Art. 6 Abs. 1 – Zwecke (oder Umstände) festlegt, die die Verarbeitung zulässig machen.
57. Die Parallelen zwischen Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO erwecken auf den ersten Blick den Eindruck, als seien die Umstände, die in Art. 9 aufgeführt sind, Spezifizierungen der in Art. 6 enthaltenen Bedingungen: Sie sind genauer und werden zugleich strenger.
58. Die Geschichte und die Entwicklung von Art. 9 DSGVO stellen jedoch in Frage, dass zwischen Art. 9 und Art. 6 ein Verhältnis im Sinne eines „speziellen Gesetzes“ und eines „allgemeinen Gesetzes“ besteht.
59. Es ist belegt, dass diese Auslegung von den Delegationen einiger Mitgliedstaaten tatsächlich vertreten wurde(38 ). Allerdings ergeben sich aus den Dokumenten über die Aushandlung von Art. 9 keine Differenzen hinsichtlich des Verweises auf Art. 6(39 ), sondern hinsichtlich des Umfangs des Verweises (nur auf Abs. 1 oder auch auf andere Absätze?)(40 ). Letztlich wurde der in Art. 9 vorgesehene Verweis auf Art. 6 gestrichen(41 ), und man entschied sich dafür, in den Erwägungsgründen einen Absatz beizubehalten, der dem jetzigen 51. Erwägungsgrund der DSGVO ähnelt(42 ).
60. Der Ansatz der Kumulierung oder Komplementarität der beiden Bestimmungen wird vom Europäischen Datenschutzausschuss geteilt(43 ) und wurde von der so genannten Artikel-29-Datenschutzgruppe(44 ) in Bezug auf Art. 8 der Richtlinie 95/46 vertreten(45 ). Er ist indes weder in der Lehre noch in anderen zuständigen Gremien unumstritten(46 ).
61. Eine Betrachtung der verschiedenen Unterabsätze von Art. 9 Abs. 2 DSGVO führt mich zu dem Schluss, dass die Frage nach dem Verhältnis zwischen dieser Bestimmung und Art. 6 sich in Wirklichkeit nicht einheitlich beantworten lässt. Denn:
– Ausnahmen vom Verbot der Verarbeitung, wie sie in Art. 9 Abs. 2 Buchst. a, c, g und i vorgesehen sind(47 ), stehen in einem direkten Zusammenhang mit einer spezifischen Rechtsgrundlage des Art. 6 Abs. 1 DSGVO und absorbieren diese.
– Auf andere der in Art. 9 Abs. 2 DSGVO aufgeführten Ausnahmen trifft das allerdings nicht zu; diese bedürfen zusätzlich einer Rechtfertigung nach Art. 6 Abs. 1. Das gilt meines Erachtens auch für Art. 9 Abs. 2 Buchst. h, um den es in dieser Vorlagefrage geht.
62. Ich bin daher der Ansicht, dass für die Rechtmäßigkeit der Verarbeitung sensibler Daten nach Art. 9 Abs. 2 Buchst. h DSGVO zu prüfen ist, welche der in Art. 6 Abs. 1 genannten Bedingungen diese Verarbeitung im Einzelfall zulässig machen.
63. Das vorlegende Gericht stellt diese Auffassung nicht in Frage; vielmehr konzentriert es sich, von dieser Prämisse ausgehend, darauf, dem entgegenzutreten, dass die durch den MDK vorgenommene Verarbeitung gemäß Art. 6 rechtmäßig ist(48 ).
64. Auf den ersten Blick scheint mir keine Rangfolge zwischen den in diesem Art. 6 Abs. 1 vorgesehenen Rechtsgrundlagen zu bestehen. Eine eingehendere Prüfung könnte ergeben, dass diese Einschätzung präzisiert werden muss(49 ). Ich bin jedoch der Auffassung, dass eine solche Prüfung über das hinausgehen würde, was zur Beantwortung dieses Vorabentscheidungsersuchens erforderlich ist(50 ).
65. Im Ergebnis sollte die Antwort auf die dritte Vorlagefrage das vorlegende Gericht darauf hinweisen, dass die Ausnahme vom Verbot der Verarbeitung von Gesundheitsdaten voraussetzt, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt ist.
D. Fünfte Vorlagefrage
66. Das vorlegende Gericht möchte wissen, ob es „bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an[kommt]“, und insbesondere, ob „ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden [darf]“.
67. In der Frage wird vorausgesetzt, dass gegen die DSGVO verstoßen wurde(51 ), und zwar durch die Person, die als für die Datenverarbeitung Verantwortlicher anzusehen ist, und es soll geklärt werden, ob es bei der Bemessung der Höhe des wegen dieses Verstoßes zu ersetzenden Schadens auf den Grad des Verschuldens des Verantwortlichen ankommt. Nach Ansicht des vorlegenden Gerichts ist fraglich, ob ein nicht vorliegendes oder geringes Verschulden des Verantwortlichen als entlastendes Element angesehen werden darf.
68. Versteht man die Frage wörtlich, so bezieht sie sich auf die Bemessung des Schadenersatzes. Die Erläuterungen zu dieser Frage riefen jedoch eine gewisse Verwirrung hervor, da nicht klar war, ob sie sich auf das Verschulden als Voraussetzung für die Zurechnung der Haftung oder als Faktor für die Bemessung der Höhe des Schadenersatzes bezogen.
69. Auf die Aufforderung des Gerichtshofs, diese Mehrdeutigkeit aufzuklären, hat das vorlegende Gericht ausgeführt, dass sich die Frage auf beide Aspekte beziehe, ohne ihren Zusammenhang mit dem Ausgangsrechtsstreit näher zu erläutern.
70. Im Licht dieser Antwort schlage ich vor, die vom vorlegenden Gericht aufgeworfenen Fragen zu beantworten, nachdem (auch) die Aspekte erörtert worden sind, die der MDK hinsichtlich einer möglichen Beteiligung des Betroffenen an der Entstehung des Schadens vorgebracht hat(52 ). Ich werde meine Ausführungen in drei Schritte gliedern:
– Im ersten Schritt gehe ich auf die Rechtsgrundlage für die Zurechnung der Haftung in Art. 82 DSGVO ein.
– Im zweiten Schritt untersuche ich den Einfluss, den der Abruf personenbezogener Daten durch einen Mitarbeiter des für die Verarbeitung Verantwortlichen haben könnte(53 ). Ein spezieller und wesentlicher Bestandteil dieses Szenarios ist, dass der Mitarbeiter den Abruf auf Veranlassung des Betroffenen durchgeführt hat.
– Im dritten Schritt befasse ich mich mit den Auswirkungen des Grades des Verschuldens des für die Verarbeitung Verantwortlichen auf die konkrete Bemessung des ersatzfähigen immateriellen Schadens.
1. Rechtsgrundlage für die zivilrechtliche Haftung in Art. 82 DSGVO
71. Nach Ansicht des vorlegenden Gerichts setzt die zivilrechtliche Haftung (des die Verarbeitung Leitenden(54 )) gemäß Art. 82 Abs. 1 DSGVO das Vorliegen oder den Nachweis von Vorsatz oder Fahrlässigkeit nicht voraus. Abs. 3 dieses Artikels gebe keine andere Lösung her.
72. Ich räume ein, dass nicht klar ist, welches Modell der zivilrechtlichen Haftung in der DSGVO gewählt worden ist, und dass a priori mehrere Auslegungen denkbar sind(55 ). Das Verständnis des vorlegenden Gerichts ist eine davon und meines Erachtens die zutreffende.
73. Ein Verständnis von Art. 82 Abs. 1 DSGVO in dem Sinne, dass er eine zivilrechtliche Haftungsregelung einführt, die kein Verschulden des Leitenden voraussetzt, steht meines Erachtens in Einklang mit dem Wortlaut, findet in den Gesetzesmaterialien eine unmittelbare Stütze und dient vor allem dem Zweck der Vorschrift. Dieses Verständnis ist im Licht anderer Absätze der Vorschrift und des Systems insgesamt akzeptabel.
a) Wortlaut
74. Die Auffassung des vorlegenden Gerichts steht in Einklang mit dem Wortlaut von Art. 82 Abs. 1 DSGVO. Wörtlich ausgelegt, knüpft der Anspruch auf Schadenersatz zu Lasten des für die Verarbeitung Verantwortlichen ohne Weiteres an die Schäden an, die durch einen Verstoß gegen die DSGVO entstanden sind.
75. Die übrigen Absätze von Art. 82 sprechen nicht für eine andere Auslegung(56 ). Insbesondere würde ich nicht so weit gehen, aus dem Wort „imputable“ („zurechenbar“) in Art. 82 Abs. 3 ein Verschulden als Voraussetzung abzuleiten. Der Begriff taucht nur in einigen Sprachfassungen der DSGVO auf, während in anderen der Ausdruck „responsable“ („verantwortlich“) verwendet wird. In der deutschen Sprachfassung wird weder in Art. 82 noch in den Erwägungsgründen der Fachbegriff für das Vertretenmüssen („Verschulden“) verwendet(57 ).
76. Bei einem Vergleich der verschiedenen Bestimmungen der DSGVO wird deutlich, dass die verwendete Terminologie nicht immer eindeutig ist, so dass große Vorsicht dabei geboten sein sollte, Schlussfolgerungen aus dem Wortlaut zu ziehen. In der englischen Sprachfassung wird z. B. das Wort „responsible“ in zahlreichen Bedeutungen verwendet(58 ).
77. Das Fehlen einer Bezugnahme auf Vorsatz oder Vertretenmüssen des Verantwortlichen in Art. 82 DSGVO bildet einen Kontrast zum Wortlaut von Art. 83, der Geldbußen betrifft: „Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall“ die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes gegen die DSGVO gebührend berücksichtigt(59 ).
78. Wenngleich der Unterschied zwischen den Texten der Wortlautauslegung etwas von ihrem Gewicht nimmt, so trägt der Wortlaut zumindest den Gedanken, dass weder Vorsatz noch Vertretenmüssen in Art. 82 DSGVO erwähnt wird und dass dies auf einer bewussten Entscheidung und nicht auf einem Versehen des Gesetzgebers beruht.
b) Gesetzesmaterialien
79. Die Diskussion über die letztlich in der DSGVO gewählte Rechtsgrundlage für die Haftungszurechnung ist aufgrund des Kontexts unklar, in dem sie im Rat stattgefunden hat, da es um Fälle mit mehreren an der Verarbeitung beteiligten Akteuren ging.
80. Diese Diskussion wurde mit verfahrensrechtlichen Erwägungen vermischt, ohne Begrifflichkeiten zu verwenden, die es ermöglichen, zwischen der Funktion des Verschuldens als Rechtsgrundlage für die Haftungszurechnung einerseits und der Funktion des fehlenden Verschuldens für die Zwecke der Haftungsbefreiung im Rahmen des Kausalzusammenhangs andererseits zu unterscheiden.
81. Trotz allem denke ich, dass die Gesetzesmaterialen für ein Verständnis von Art. 82 Abs. 1 DSGVO sprechen, bei dem die zivilrechtliche Haftung nicht vom Verschulden des für die Verarbeitung Verantwortlichen abhängt.
82. Der Vorschlag der Kommission folgte der Richtlinie 95/46 und erwähnte keine Fahrlässigkeit. In Ratsdokumenten wird erwähnt, dass die beabsichtigte Haftung als „strict liability“ ausgestaltet wird(60 ).
83. Nach einer im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Parlaments vorgeschlagenen Änderung sollte Art. 82 (seinerzeit Art. 77) Abs. 1 einen Inhalt erhalten, in dem die Haftung von Vorsatz oder Fahrlässigkeit abhing(61 ). Sie setzte sich nicht durch(62 ).
84. Im Rat konzentrierte sich die Diskussion über Art. 77 und das Kriterium für die Zurechnung auf die Zuweisung und Aufteilung der Verantwortlichkeit, wenn mehrere Personen an demselben Verarbeitungsvorgang beteiligt sind. In diesem Zusammenhang schlug die Präsidentschaft vor, zwischen zwei Optionen zu wählen(63 ):
– Die erste Option sah vor(64 ), dass jeder Leitende oder Auftragsverarbeiter gegenüber dem Geschädigten als für den gesamten Schaden(65 ) rechtlich verantwortlich angesehen werden sollte, sofern er gegen ihm obliegende Verpflichtungen nach der DSGVO verstoßen hat(66 ). Seine Beteiligung am Schaden – selbst in minimalem Umfang – sollte dem Betroffenen erlauben, den gesamten Schaden ersetzt zu verlangen, bei mehreren Beteiligten von jedem von ihnen(67 ). Gleichwohl sollten beide von der Haftung befreit sein, wenn sie nachweisen konnten, dass sie für den Schaden gar nicht verantwortlich („responsible“) waren („0 % responsibility“); dies sollte sich aus einem Abs. 3 des Artikels ergeben. Beschrieben wurde dieses Modell als „closer (but certainly not equal) to the ‚liability follows fault principle‘“(68 ).
– Die zweite Option sah für den Leitenden in Gestalt einer Art absoluten Haftung, für die keine Befreiung vorgesehen war, eine unumgängliche Verpflichtung vor, dem Betroffenen den gesamten Schaden zu ersetzen(69 ). Ein Anspruch des Betroffenen gegen den Auftragsverarbeiter sollte nur subsidiär bestehen(70 ). Auch für ihn war keine Befreiung vorgesehen.
85. Der Kompromisstext, den die Präsidentschaft zur Annahme vorlegte, folgte in seiner allgemeinen Ausrichtung(71 ) der ersten Option, wobei im Wortlaut von Art. 77 Abs. 3 der Ausnahmecharakter der Befreiung und die Schwierigkeit des Nachweises betont wurden: „[I]f it [der Verantwortliche/Auftragsverarbeiter] proves that it is not in any way responsible …“(72 ). Dieser Wortlaut entspricht dem des letztlich angenommenen Artikels.
86. Insgesamt betrachtet deutet die Entstehungsgeschichte bis zur endgültigen Fassung der DSGVO darauf hin, dass die Haftung nach Art. 82 Abs. 1 dieser Verordnung nicht von einem Verschulden des Leitenden abhängt.
c) Zweck
87. Mit der DSGVO wird ein System geschaffen, das ein hohes Datenschutzniveau für natürliche Personen gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten beseitigen soll(73 ). In diesem System dient Art. 82 dem Zweck, Schäden auszugleichen, unbeschadet dessen, dass er sekundär auch zur Abschreckung oder Vermeidung von Verhaltensweisen dient, die nicht den Vorgaben dieses Systems entsprechen(74 ).
88. Die Gewährleistung des Ausgleichs ist für sich genommen ein Zweck: Dies ergibt sich aus der Bedeutung, die ihr der Gesetzgeber beimisst und die die schlichte Lektüre des Textes erkennen lässt. Im Rahmen der DSGVO ist die Erlangung eines Schadenersatzes nach dem Eintritt eines Schadens ein Recht der betroffenen Person; der Begriff „Schaden“ ist weit auszulegen, und der Schadenersatz muss vollständig und wirksam sein.
89. Der Ausgleich steht im Zusammenhang mit dem Ziel, das Vertrauen der Bürger in das digitale Umfeld zu stärken, ein allgemeines Ziel, das im siebten Erwägungsgrund der DSGVO zum Ausdruck kommt. Der betroffenen Person zu garantieren, dass sie als grundsätzliche Lösung den aus einer rechtswidrigen Verarbeitung ihrer Daten folgenden Schaden nicht ohne Weiteres tragen muss, dient der Förderung dieses Vertrauens: Ihr Vermögen ist sicher, und ihr Anspruch ist einfacher durchsetzbar.
90. Es steht im Einklang mit diesem Ansatz, dass Art. 82 Abs. 1 DSGVO die Verpflichtung zur Leistung von Schadenersatz nicht an die Verletzung einer Sorgfaltspflicht knüpft. Diese Verpflichtung trifft nach der Entscheidung des Gesetzgebers denjenigen, der eine bestimmte Stellung als Hüter oder Garant in der Beziehung einnimmt, und zwar gerade wegen dieses Umstands.
91. Man könnte daher sagen, dass es für die DSGVO auf die Situation des Geschädigten ankommt, der den aus dem Verstoß folgenden Schaden erleidet, obwohl es keine Vorschrift gibt, die besagt, dass er dazu verpflichtet ist, diesen Schaden zu tragen.
92. Für den Geschädigten spielt es keine Rolle, ob bei der Entstehung des Schadens ein Verschulden des Verursachers vorgelegen hat oder nicht: Entscheidend ist, dass der für die Verarbeitung Verantwortliche bzw. diese Leitende den materiellen oder immateriellen Schaden verursacht hat, der dem Geschädigten durch einen Verstoß des Verantwortlichen gegen die DSGVO entstanden ist.
93. Die beschriebenen Zwecke lassen sich leichter mit einem Modell erreichen, das darauf abzielt, dass der nachgewiesene Schaden
– in jedem Fall (außer bei einem Befreiungsgrund, der eine Ausnahme darstellt) ersetzt wird, und
– zu einer Entschädigung führt, deren Erlangung (vergleichsweise) einfach ist, und zwar nicht nur, weil kein Verschulden des für die Verarbeitung Verantwortlichen nachzuweisen ist, sondern weil bei Vorliegen eines Verstoßes und eines damit zusammenhängenden Schadens die Zurechnung von keinerlei Grad des Verschuldens abhängt.
94. Im Rahmen der Anpassung an die digitale Revolution(75 ) erscheint mir diese Lösung kohärent. Die schnelle technologische Entwicklung verlangt, dass bei den gängigsten Datenverarbeitungstätigkeiten, die online stattfinden, das Fehlen von Vorsatz oder Fahrlässigkeit nicht ausschließt, dass Schäden ausgeglichen werden müssen, die anderenfalls nicht gedeckt wären.
d) Systematik
95. Die von mir vorgeschlagene Auslegung passt besser zur Systematik der DSGVO. Dies wird im Rahmen von Art. 82 in dessen Abs. 3 bestätigt: Eine Befreiung ist möglich, wenn „[der Verantwortliche] nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“.
96. Diese Formulierung unterstreicht den Ausdruck „in keinerlei Hinsicht“, der darauf hindeutet, dass es sich nicht um ein Modell handelt, das – in Verbindung mit einer Beweislastumkehr – ein Verschulden voraussetzt (nicht einmal ein ganz geringfügiges).
97. Ein Verständnis, nach dem der Schadenersatz nicht vom Verschulden des für die Verarbeitung Verantwortlichen abhängt, verleiht Art. 82 eine eigenständige Bedeutung in Kapitel VIII und letztlich auch in der DSGVO insgesamt.
98. Der europäische Gesetzgeber geht davon aus, dass die Verarbeitung personenbezogener Daten Risiken beinhalten kann. Er verpflichtet die an der Verarbeitung beteiligten Akteure, diese Risiken abzuschätzen und geeignete Maßnahmen zu ergreifen und zu aktualisieren, um die ermittelten Risiken zu vermeiden und zu minimieren(76 ).
99. Es wurde vorgetragen, dass ein verschuldensabhängiges Modell für die zivilrechtliche Haftung die Sorgfalt und damit den Schutz vor Risiken fördere, während das alternative Modell, das die Art und Weise, in der sich der Akteur verhalten habe, nicht berücksichtige, ihm keinen Anreiz biete, Vorsichtsmaßnahmen zu ergreifen (weil er, sofern ein Schaden eintrete, diesen in jedem Fall ersetzen müsse).
100. Ich bin der Ansicht, dass dieses Ergebnis(77 ) in der DSGVO akzeptabel ist. Art. 82 ist Teil einer komplexen normativen Struktur mit öffentlich-rechtlichen und privatrechtlichen Instrumenten zum Schutz personenbezogener Daten. Innerhalb dieser Struktur sind Fahrlässigkeit (und Vorsatz) im Hinblick auf Geldbußen von Bedeutung. Ich sehe keine Notwendigkeit, dass sie auch im Hinblick auf die zivilrechtliche Haftung von Bedeutung sein müssen(78 ), was die Erreichung der Ziele des Art. 82 erschweren und darüber hinaus die praktische Attraktivität der darin vorgesehenen Abhilfemaßnahme verringern würde.
2. Einfluss der Beteiligung des Betroffenen
101. Die Fragen nach der Erforderlichkeit eines Verschuldens des für die Verarbeitung Verantwortlichen hängen im vorliegenden Fall mit den Auswirkungen zusammen, die sich aus der Beteiligung des Betroffenen ergeben könnten(79 ).
102. Damit die nachfolgenden Ausführungen besser verständlich sind, möchte ich klarstellen, dass die Umstände des Rechtsstreits in zwei Szenarien dargestellt worden sind:
– Im ersten Szenario stellt die Verarbeitung der personenbezogenen Daten von ZQ durch den MDK einen Verstoß gegen die DSGVO (gegen Art. 9 oder gegen Art. 6) dar. Allein das Vorliegen des Verstoßes führt zu einem Schaden(80 ).
– Im zweiten Szenario stellt die beschriebene Datenverarbeitung keinen Verstoß gegen die DSGVO dar oder sie führt nicht zu einem Schaden. Der Schaden entsteht aufgrund des vom Betroffenen veranlassten Abrufs von Daten durch einen bestimmten Mitarbeiter des MDK(81 ).
103. Ich bin jedenfalls – wie offenbar auch das vorlegende Gericht(82 ) – der Ansicht, dass auf Art. 82 Abs. 3 zurückzugreifen ist, um zu ermitteln, welchen Einfluss das Verhalten des Betroffenen (gegebenenfalls) auf die Begehung der Tat hat, auf die der Schaden zurückgeht.
104. In der Vorschrift sind keine speziellen Gründe für eine Haftungsbefreiung aufgeführt, nicht einmal beispielhaft. Auch im 146. Erwägungsgrund sind solche Gründe nicht aufgeführt(83 ).
105. Insoweit weicht die DSGVO offenkundig von der Richtlinie 95/46 ab, deren Art. 23 Abs. 2 eine dem jetzigen Art. 82 Abs. 3 DSGVO ähnliche Regelung(84 ) enthielt: Im 55. Erwägungsgrund der Richtlinie 95/46 wurden als Beispiele für Befreiungsgründe die Verantwortlichkeit der betroffenen Person oder höhere Gewalt genannt(85 ), was nicht in die DSGVO übernommen wurde.
106. Aus den Gesetzesmaterialien zur DSGVO geht, sofern ich mich nicht irre, nicht hervor, dass diese beiden Beispiele, die auch im Vorschlag der Kommission(86 ) enthalten waren und vom Parlament beibehalten wurden(87 ), diskutiert worden wären.
107. Ihre Streichung und die Ergänzung der adverbialen Bestimmung „in keinerlei Hinsicht“ erfolgten im Rahmen der bereits erwähnten Diskussion über die Art und Weise, wie die Haftung bei einer Verarbeitung durch mehrere Verantwortliche oder Auftragsverarbeiter geregelt werden sollte(88 ).
108. Den verfügbaren Unterlagen(89 ) lässt sich entnehmen, dass der für die Verarbeitung Verantwortliche nach der endgültigen Fassung von der Haftung befreit war, wenn er nachwies, dass er überhaupt nicht für den Schaden verantwortlich („responsible“) war („0 % responsibility“). Das gleiche galt für den Auftragsverarbeiter(90 ).
109. Hiervon ausgehend, denke ich nicht, dass der Wegfall der beiden Beispiele in den Erwägungsgründen zusammen mit der Ergänzung des Ausdrucks „in keinerlei Hinsicht“ in diesen Erwägungsgründen und in Art. 82 Abs. 3 DSGVO zur Folge (oder zum Ziel) hatte, das Handeln der betroffenen Person aus den Haftungsbefreiungsgründen herauszunehmen(91 ).
110. Vielmehr scheint das Handeln der betroffenen Person nach wie vor geeignet zu sein, je nach Einzelfall die unerlässliche Verbindung zwischen dem „Umstand“ (Art. 82 Abs. 3 DSGVO verwendet diesen Begriff) und der Täterschaft des Verantwortlichen zu unterbrechen. Die Betonung der engen Grenzen der Ausweichklausel steht nicht dem entgegen, dass ein bestimmtes Verhalten der betroffenen Person als solches den Schaden auslöst und folglich zur Befreiung des Verantwortlichen von der Haftung führt.
111. Die systematische Auslegung spricht dafür, im Rahmen der Haftung für Schäden die Beteiligung des Betroffenen an deren Entstehung zu berücksichtigen. Im System der DSGVO beteiligt sich der Einzelne am Schutz seiner Daten, wozu ihm Werkzeuge an die Hand gegeben werden, die selbst Rechte sind.
112. Teleologisch betrachtet soll die DSGVO meines Erachtens ein hohes Maß an Schutz gewähren, aber dieser Schutz reicht nicht so weit, dass der Verantwortliche verpflichtet wird, auch Schäden zu ersetzen, die durch Ereignisse oder Handlungen entstehen, die der betroffenen Person zuzurechnen sind(92 ).
3. Berechnung des Schadenersatzes. Einfluss des Grades des Verschuldens des für den Schaden Verantwortlichen
113. Das vorlegende Gericht hat bestätigt, dass es in der fünften Vorlagefrage darum geht, ob der Grad des Verschuldens des für die Verarbeitung Verantwortlichen für die Berechnung des Schadenersatzes von Bedeutung ist. Genauer gesagt möchte es wissen, ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen zu dessen Gunsten berücksichtigt werden darf.
114. Art. 82 DSGVO fasst sich zwar in Bezug auf die Schlüsselaspekte, die sich auf die Berechnung der Höhe des Ausgleichs auswirken könnten, ziemlich kurz oder hüllt sich insoweit geradezu in Schweigen. Er gibt dem Auslegenden keine Anhaltspunkte zu den Elementen, aus denen sich der Ausgleich zusammensetzt(93 ), den Kriterien für die Bemessung (Überführung in einen Betrag) dieser Elemente(94 ) oder den Faktoren, die sich auf seine Höhe auswirken können(95 ).
115. Gleichwohl bin ich der Ansicht, dass die DSGVO der betroffenen Person einen Schadenersatzanspruch einräumt, dessen Höhe sich nach dem tatsächlich erlittenen Schaden richtet. Ist der Betrag, der den Schaden ausgleicht, einmal objektiv festgestellt worden, so sollte er nicht in Abhängigkeit von der groben oder leichten Fahrlässigkeit des für die Verarbeitung Verantwortlichen geändert werden.
116. Zur Begründung meiner Auffassung verweise ich mutatis mutandis auf meine Ausführungen zur verschuldensunabhängigen Haftungszurechnung an den Verantwortlichen im System von Art. 82 DSGVO. Aus der Sicht des Opfers, dessen (materielles und immaterielles) Vermögen nach dem Eintritt des Schadens unangetastet bleiben muss, sollte der Ausgleich des Schadens unabhängig von einem Verschulden des Verantwortlichen, gleich welchen Grades, erfolgen(96 ).
117. Meines Erachtens kommt man zu diesem Ergebnis, wenn man berücksichtigt, dass sich Art. 82 DSGVO (da die Gesetzesmaterialien zu dieser Bestimmung keine Anhaltspunkte bieten, die für die eine oder die andere Auffassung sprechen)(97 ) von anderen Instrumenten des Unionsrechts unterscheidet, in denen, wenn es um die Festlegung des aus zivilrechtlicher Haftung zu ersetzenden Betrags geht, ausdrücklich danach unterschieden wird, ob die Beteiligung an dem Verstoß „wissentlich“ erfolgte oder nicht(98 ).
118. Diese Würdigung wird meines Erachtens durch zwei weitere Argumente gestützt:
– Art. 83 DSGVO trägt der Fahrlässigkeit (oder Vorsätzlichkeit) des Handelnden bei der Abstufung der Höhe der Geldbuße Rechnung(99 ). Der Gesetzgeber hätte dieses Kriterium auch für die Berechnung der zivilrechtlichen Haftung heranziehen können, was er aber nicht getan hat.
– In der DSGVO wird betont, dass der Schadenersatz vollständig und wirksam sein muss(100 ) (146. Erwägungsgrund und Art. 82 Abs. 4 für den Fall, dass mehrere Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt sind)(101 ). Meines Erachtens spricht das Adjektiv „vollständig“ dagegen, den Betrag des Schadenersatzes nach unten anzupassen, um einem geringeren Grad der Fahrlässigkeit des für die Verarbeitung Verantwortlichen Rechnung zu tragen(102 ).
V. Ergebnis
119. Nach alledem schlage ich vor, dem Bundesarbeitsgericht (Deutschland) wie folgt zu antworten:
Art. 9 Abs. 2 Buchst. h und Abs. 3 sowie Art. 82 Abs. 1 und 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung),
sind dahin auszulegen, dass
es einem Medizinischen Dienst einer Krankenkasse nicht untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten.
Sie lassen eine Ausnahme vom Verbot der Verarbeitung personenbezogener Gesundheitsdaten zu, wenn diese Verarbeitung zur Beurteilung der Arbeitsfähigkeit des Arbeitnehmers erforderlich ist; dabei sind die in Art. 5 genannten Grundsätze sowie eine der in Art. 6 der Verordnung 2016/679 genannten Bedingungen für die Rechtmäßigkeit einzuhalten.
Der Grad des Verschuldens des Verantwortlichen oder des Auftragsverarbeiters ist weder für deren Haftung noch für die Bemessung der Höhe des nach Art. 82 Abs. 1 der Verordnung 2016/679 zu ersetzenden immateriellen Schadens von Bedeutung.
Die Beteiligung der betroffenen Person an dem Umstand, aus dem sich die Verpflichtung zum Schadenersatz ergibt, kann je nach Lage des Falles zu einer Befreiung des Verantwortlichen oder Auftragsverarbeiters von der Haftung gemäß Art. 82 Abs. 3 der Verordnung 2016/679 führen.
