Der EuGH zapft den „hidden layer“ an: Wenn aus „normalen“ Daten sensible Daten werden

Erste Einordnung: Worum geht es?

Im Datenschutzrecht wird zwischen „normalen“ personenbezogenen Daten und besonders schutzbedürftigen Daten unterschieden. Zu den besonders schutzbedürftigen Daten gehören z.B. Gesundheitsdaten oder Daten zum Sexualleben. Für diese sog. besonderen Kategorien personenbezogener Daten sieht die DSGVO ein generelles Verarbeitungsverbot vor, was nur in Ausnahmefällen überwunden werden kann. Zudem sind wegen der besonderen Sensibilität dieser Daten meist strengere technische und organisatorische Schutzmaßnahmen erforderlich.  

Mit seinem Urteil vom 01.08.2022 (Rechtssache C-184/20, Volltext) hat der Europäische Gerichtshof jetzt klargestellt, dass der Anwendungsbereich der „besonderen Kategorien personenbezogener Daten“  sehr weit gefasst ist. Auch vermeintlich „normale“ Daten sind nach dem EuGH vom Verarbeitungsverbot umfasst, wenn sich hieraus mittelbar besondere Kategorien personenbezogener Daten ableiten lassen.Aufhänger für das Urteil waren Angaben zum Ehegatten, Lebensgefährten oder Partner, die der EuGH im konkreten Fall als Daten zum Sexualleben oder der sexuellen Orientierung qualifizierte. Diese weite Auslegung der besonderen Datenkategorien hat weitreichende Konsequenzen für die Rechtmäßigkeit vermeintlich „normaler“ Datenverarbeitungen und den Umgang mit sensiblen Informationen insgesamt. Für Datenverarbeiter wird die Umsetzung des Urteils – wieder einmal – zu Mehraufwand führen. 

Hintergrund: Besondere Kategorien personenbezogenere Daten

Der Begriff personenbezogene Daten wird in Art. 4 Nr. 1 DSGVO definiert. Umfasst sind sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. 

Eine besondere Ausprägung personenbezogener Daten sind die in Art. 9 Abs. 1 DSGVO abschließend aufgeführten „besonderen Kategorien personenbezogener Daten“, die häufig auch als „sensible Daten“, bezeichnet werden (vgl. Erwägungsgrund 10 der DSGVO). Hierunter fallen z.B. Daten zur rassischen und ethnischen Herkunft, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. 

Diesen besonderen Datenkategorien wohnt für die betroffenen Personen ein erhöhtes Schadens- und Diskriminierungspotenzial inne, so dass ein deutlich höheres Schutzbedürfnis als bei „normalen“ personenbezogenen Daten besteht (vgl. Erwägungsgrund 51 DSGVO). Sensible Daten unterliegen daher gemäß Art. 9 Abs. 1 DSGVO einem generellen Verarbeitungsverbot. Eine Verarbeitung sensibler Daten ist nur rechtmäßig, wenn eine der engen Ausnahme aus Art. 9 Abs. 2 DSGVO einschlägig ist, sodass das Verarbeitungsverbot ausnahmsweise nicht gilt, und zusätzlich ein Erlaubnistatbestand aus Art. 6 DSGVO vorliegt (siehe auch Rz. 62, 66 EuGH-Urteil). Es sind damit immer Art. 6 und Art. 9 DSGVO zu prüfen, wenn besondere Kategorien personenbezogener Daten verarbeitet werden. 

Das Vorgehen bei der Prüfung einer Verarbeitung solcher Daten verdeutlicht das folgende Schaubild: 

Nach dem Wortlaut von Art. 9 Abs. 1 DSGVO lassen sich innerhalb der sensiblen Daten noch zwei Unterkategorien bilden:  

  • Daten, aus denen sensible Daten „hervorgehen“ (rassische und ethnische Herkunft, politische Meinung, religiöse und weltanschauliche Überzeugung sowie Zugehörigkeit zu einer Gewerkschaft), und 
  • Daten, die unmittelbar als sensibel qualifiziert werden (genetische Daten, zur eindeutigen Identifizierung genutzte biometrische Daten, Gesundheitsdaten und Daten zum Sexualleben oder zur sexuellen Orientierung). 

Diese Kategorisierung gibt der EuGH in seinem Urteil jedoch auf und erweitert den Anwendungsbereich des Art. 9 Abs. 1 DSGVO auf alle Informationen, aus denen besonders schutzbedürftige Daten hervorgehen können (Rz. 122 ff; ausführlich dazu unten). 

Als dritte besondere Datenkategorie kennt die DSGVO noch personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO). Diese Datenkategorie ist jedoch nach dem bisherigen Diskussionsstand nicht vom EuGH-Urteil betroffen, sodass hierauf nicht weiter eingegangen wird.  

Sachverhalt: Was sollte der EuGH entscheiden?

Hinweis: Der EuGH bezieht sich im Urteil neben der DSGVO auch auf die frühere Datenschutzrichtlinie 95/46/EG. Wir geben hier ausschließlich die Ausführungen zur DSGVO wieder.  

Anlass des Urteils war ein Streit über litauische Regelungen zur Gewährleistung der Transparenz und Bekämpfung von Korruption (Gesetz Nr. VIII371 der Republik Litauen über den Ausgleich von öffentlichen und privaten Interessen im öffentlichen Dienst, im Folgenden „Regelungen zur Korruptionsbekämpfung“). Diese Regelungen zur Korruptionsbekämpfung sahen für bestimmte Personengruppen vor, dass Informationen über private Interessen bei der zuständigen Behörde („Oberste Ethikkommission“) einzureichen sind. Die Informationen umfassen u.a. Angaben zu Ehegatten, Lebensgefährten oder Partner, die auch auf der Website der Obersten Ethikkommission veröffentlicht wurden und dort einsehbar waren (Rz. 29 EuGH-Urteil). Art. 10 Abs. 2 der Regelungen zur Korruptionsbekämpfung untersagt dabei die Veröffentlichung „besonderer personenbezogener Daten“ (vgl. den Auszug der Regelung in Rz. 30 EuGH-Urteil). 

Eine hiernach verpflichtete Person verweigerte die Preisgabe der Daten unter Verweis auf das Recht auf Achtung des eigenen Privatlebens sowie des Privatlebens der anderen von der Auskunft betroffenen Personen (z.B. Ehegatten/Lebensgefährten). Die Oberste Ethikkommission sah darin einen Verstoß gegen die Regelungen zur Korruptionsbekämpfung. Hiergegen erhob die verpflichtete Person Anfechtungsklage. Das zuständige Verwaltungsgericht legte dem EuGH zur Klärung des Streits zwei Vorlagefragen vor. Mit der zweiten Vorlagefrage sollte der EuGH klären, ob „die Veröffentlichung personenbezogener Daten, die geeignet sind, (…) die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren“ als Verarbeitung besonderer Datenkategorien i.S. des Art. 9 Abs. 1 DSGVO zu qualifizieren ist.  

Kernaussagen des EuGH: Was sind „normale“ und sensible Daten?

Der EuGH stellt zunächst fest, dass die in Frage stehenden Daten für sich genommen keine sensiblen Daten i.S. des Art. 9 Abs. 1 DSGVO darstellen (Rz. 119). Der EuGH hält es aber für möglich, dass aus den namensbezogenen Daten über den Ehegatten, Lebensgefährten oder Partner mittels gedanklicher Kombination oder Ableitung auch Daten über das Sexualleben oder die sexuelle Orientierung der betroffenen Personen hergeleitet werden können (Rz. 119 f.). Der EuGH wirft damit die Frage auf, ob auch die Möglichkeit einer Ableitung von sensiblen Daten mittels gedanklicher Kombination oder Ableitung (also rein internen geistigen Vorgängen beim Verantwortlichen oder den Empfängern der Daten) dazu führt, dass die Grunddaten in den Anwendungsbereich des Art. 9 DSGVO fallen (Rz. 120).

Der EuGH diskutiert sodann den Wortlaut des Art. 9 Abs. 1 DSGVO und die dort enthaltenen sprachliche Zweiteilung der Daten (1. Kategorie: Daten, aus denen sensible Daten „hervorgehen“; 2. Kategorie: Daten, die direkt als sensible Daten eingeordnet werden, Details siehe oben, Rz. 122 ff.). Die sprachliche Unterscheidung gibt der EuGH unter Bezugnahme auf die Definition von Gesundheitsdaten in Art. 4 Nr. 15 DSGVO auf (hier spricht die Regelung ebenfalls von einem „hervorgehen“, obwohl die Daten in Art. 9 Abs. 1 DSGVO der 2. Kategorie zugeordnet sind, siehe Rz. 124).  

Im Ergebnis spricht sich der EuGH schließlich für eine weite Auslegung der sensiblen Daten unter Bezugnahme auf den Schutzgedanken der Regelung des Art. 9 DSGVO aus (Rz. 125 f.). Der EuGH ordnet die hier in Frage stehenden Daten (namensbezogenen Daten zum Ehegatten, Lebensgefährten oder Partner) als sensible Daten i.S. des Art. 9 Abs. 1 DSGVO ein (Rz. 127 f.), da er diese als geeignet sieht, „die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren“. 

Eignung zur indirekten Offenbarung von sensiblen Daten

Der EuGH hält den Anwendungsbereich des Art. 9 DSGVO für eröffnet, wenn Angaben die Eignung aufweisen, sensible Daten „indirekt zu offenbaren“. Eine solche Eignung liegt nach dem EuGH vor, wenn sich sensible Daten durch „gedankliche Kombinationen oder Ableitung“ ergeben. Der EuGH zapft damit den „hidden layer“ an, der nahezu allen personenbezogenen Daten innewohnt. Mit dem Begriff „hidden layer“ sind weitere Daten- und Informations-Ebenen gemeint, die zunächst nicht offensichtlich sind und erst durch (digitale oder nach dem EuGH auch „menschliche“) Prozesse erschlossen werden müssen und Rückschlüsse auf sensible Daten geben können (sieh weitere Beispiele unten). Die Linie des EuGH erscheint dabei konturlos, da kein konkreter Maßstab erkennbar ist, der die Einordnung von Daten als sensibel begrenzen könnte. Die Kriterien müssen also im Lichte des Normtextes interpretiert werden. 

Problematisch an der Argumentation des EuGH ist, dass hier zahlreiche Ebenen, die bei der Beurteilung einer Datenverarbeitung zu berücksichtigen sind, verwischen. Unklar bleibt, wo die Grenzen bei der „Eignung zur indirekten Offenbarung“ zu ziehen sind. Auch entsteht der Eindruck, dass sich die konkreten Umstände des Falls (Veröffentlichung auf einer Website) auf die Einordnung des Datums ausgewirkt haben könnten. Es drängt sich auch die Frage auf, ob die Einordnung des Datums absolut ist oder es hier eine „Relativität der Sensibilität“, ähnlich der „Relativität des Personenbezugs“ (vgl. ErwG 26) gibt, die vom Wissen der jeweiligen Beteiligten abhängt. Der EuGH bleibt auch eine Antwort auf die Frage schuldig, inwiefern es im räumlichen Anwendungsbereich der DSGVO einen einheitlichen Maßstab geben kann, was die Eignung zur indirekten Offenbarung angeht. All diese Aspekte arbeiten wir im Folgenden auf. 

Unsere Interpretation von Art. 9 Abs. 1 DSGVO im Lichte des Normtextes

Klarstellung: Art der Verarbeitung nicht von Bedeutung

Der EuGH bezieht in seinem Urteil den Umstand der Veröffentlichung der Ausgangsdaten auf der Website nicht bei der Beantwortung der Frage mit ein, ob die abgeleiteten Informationen besondere Kategorien personenbezogener Daten sind oder nicht. Gleichwohl wird – weil der dem EuGH vorgelegte Sachverhalt nun einmal so ist – auf die von der Behörde zu veröffentlichenden Daten abgestellt. Damit könnte der Eindruck entstehen, dass die Veröffentlichung der Daten für die Einordnung als sensibel oder nicht bedeutsam sein soll.

Dem ist jedoch nicht so: Der Umstand, dass die Verarbeitung am Ende zu einer Veröffentlichung der Daten führt, hat nur Bedeutung für die Frage, für wen aus dem Ursprungsdatum ein sensibles Datum hervorgehen kann. Im Fall des EuGH ist das nicht nur beim Verantwortlichen selbst der Fall, also der Behörde, sondern auch bei den Nutzern der Website als Empfängern der veröffentlichten Daten. Demgegenüber ist das „Veröffentlichen“ als Art der Verarbeitung für die rechtliche Bewertung des EuGH nicht relevant: Da auch die Behörde selbst aus der Angabe zum Ehegatten, Lebensgefährten oder Partner die sexuelle Orientierung aus Sicht des EuGH ableiten kann, läge für den EuGH auch ohne Veröffentlichung der Daten eine Verarbeitung sensibler Daten i.S.d. Art. 9 Abs. 1 DSGVO vor.

Erste Einschränkung: Objektive Eignung zur Ableitung von sensiblen Daten erforderlich

Aus der Formulierung des EuGH folgt zunächst, dass der EuGH alle sensiblen Datenkategorien des Art. 9 DSGVO gleichsetzt. Unter Zugrundelegung des Tatbestandsmerkmals „hervorgehen“ (im Englischen „to reveal“) ergibt sich für uns daher, dass in dem Ursprungsdatum (beim EuGH: Die Angabe zum Ehegatten, Lebensgefährten oder Partner) die abgeleitete Information (beim EuGH: sexuelle Orientierung) bereits angelegt sein muss. 

Das bedeutet für uns: Das Ursprungsdatum muss objektiv geeignet sein, die abgeleitete Information offenzulegen (objektive Eignung). Bezogen auf die jeweilige Stelle, die eine solche Ableitung aus dem Ursprungsdatum vornehmen kann, muss also mit allen anderen vorhandenen Daten das Puzzle zur Ableitung der sensiblen Daten komplett sein. Dies kann je nach beteiligter Stelle sehr unterschiedlich zu beurteilen sein (siehe unten bei „Relativität der Sensibilität“).  Vermutungen und Spekulationen ohne Bezug zum Ursprungsdatum sind bei der gedanklichen Kombination oder Ableitung nicht ausreichend. Ebenso sind bei der Ableitung weitergehender Informationen aus dem Ursprungsdatum bloße Wahrscheinlichkeiten nicht ausreichend. 

Abgestellt werden darf zudem nur auf das Ursprungsdatum. Zusätzliche Schlussfolgerungen aus der bereits abgeleiteten Information sind keine sensiblen Daten, die aus dem Ursprungsdatum selbst hervorgehen (keine Ableitung von Ableitungen). Ein Datum, welches aus der x-ten Ableitung des Ursprungsdatums gewonnen wird, macht das Ursprungsdatum selbst noch nicht zu einem sensiblen Datum i.S.d. Art. 9 Abs. 1 DSGVO (vgl. dazu die Beispiele und Grenzen unten). 

Aber Achtung: Je mehr Ausgangsdaten vom Verantwortlichen verarbeitet werden, umso größer ist das Risiko, dass eine Ableitung im Sinne des EuGH objektiv möglich ist, ohne dass mehrere Zwischenschritte erforderlich sind. Hier kommt es zukünftig noch stärker als bislang auf die technische und organisatorische Trennung verschiedener Datenbestände und geeignete Rollen-/Berechtigungskonzepte an, um so derartige Ableitungen zumindest auf Ebene der Datenspeicherung auszuschließen. 

Zweite Einschränkung: Kontext der Verarbeitung und Relativität der Sensibilität

Der Kontext der Verarbeitung und das beim Verantwortlichen und Empfängern der Daten vorhandene Zusatzwissen entscheiden darüber, ob ein „Hervorgehen“ sensibler Daten aus dem Ursprungsdatum objektiv (siehe oben) möglich ist oder nicht. Bei dieser Betrachtung kann sich auch ergeben, dass für die einzelnen Verarbeitungen die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 DSGVO und die Grundlage für die Überwindung des Verarbeitungsverbots gemäß Art. 9 Abs. 2 DSGVO unterschiedlich zu beurteilen sind. In diesem Zusammenhang stellt sich auch die Frage nach der „Relativität der Sensibilität“, vergleichbar der Relativität des Personenbezugs in Art. 4 Nr. 1 DSGVO: 

Verfügt etwa nur der Verantwortliche über Zusatzwissen, das eine Ableitung von sensiblen Daten aus dem Ursprungsdatum ermöglicht, kann das Ursprungsdatum für andere Stellen (wie andere Verantwortliche oder Dritte) ein normales Datum sein, was nicht unter das Verarbeitungsverbot von Art. 9 Abs. 1 DSGVO fällt. Diese Lesart der Entscheidung ist insoweit konsequent, als dass die DSGVO selbst von einer Relativität des Personenbezugs ausgeht (vgl. ErwG 26), so dass auch die Sensibilität personenbezogener Daten nicht absolut sein muss (hier bezeichnet als „Relativität der Sensibilität). Nur wenn alle Puzzleteile vorhanden sind, die für eine Ableitung sensibler Daten objektiv erforderlich sind, liegt eine Verarbeitung besonderer Datenkategorien im Sinne von Art. 9 Abs. 1 DSGVO vor. 

Abhängig von den Beteiligten an einer Verarbeitung (einschließlich Empfängern) kann dies auch dazu führen, dass nicht für alle Beteiligten die gleichen sensiblen Datenkategorien ableitbar sind. So z.B., wenn der Verantwortliche über Zusatzwissen verfügt, das noch weitere sensible Daten offenbart (z.B. neben der sexuellen Orientierung auch Informationen zur Religionszugehörigkeit oder Ethnie), während die anderen Beteiligten aus dem Datum selbst nur ein bestimmtes sensibles Datum ableiten können (z.B. nur die sexuelle Orientierung). Konsequent ist es dabei, die Einordnung der verarbeiteten Daten stets am Verarbeitungskontext beim Verantwortlichen zu beurteilen. Verfügt der Verantwortliche also z.B. nicht über Zusatzwissen, um aus dem Ursprungsdatum sensible Daten abzuleiten, liegt auch bei einer Offenlegung gegenüber anderen Stellen mit entsprechendem Zusatzwissen nur eine Verarbeitung normaler Daten vor. Andernfalls müsste der Verantwortliche stets für alle Offenlegungen von normalen Daten mit einem hypothetisch Zusatzwissen der anderen Beteiligten rechnen, sodass alle Daten stets sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO wären. Einer solchen Lesart steht das EuGH-Urteil nicht entgegen, da es dort um Daten ging, die für den Verantwortlichen (also die Behörde) und Empfänger der Daten gleichermaßen geeignet waren, entsprechende Schlüsse zu ziehen. 

Abweichungen können sich jedoch bei Verarbeitungen durch gemeinsam Verantwortliche ergeben. Bei konsequenter Übertragung der EuGH-Rechtsprechung (EuGH, Urt. v. 29.7.2019 = Fashion ID, Aktenzeichen: C-40/17, Volltext, vgl. auch unseren Beitrag) genügt es, wenn der eine gemeinsam Verantwortliche weiß, dass der andere gemeinsam Verantwortliche über Zusatzwissen zur Ableitung sensibler Daten aus dem Ursprungsdatum verfügt. 

Schaubild zu den denkbaren Konstellationen

Das folgende Schaubild soll denkbare Konstellationen veranschaulichen. Es zeigt, dass sensible Daten nicht absolut sind und verschiedene Verarbeitungen mit denselben Daten mal eine Verarbeitung sensibler Daten, mal eine Verarbeitung normaler Daten sind: 

Beispiele und Fallgruppen für weitere sensible Daten

Die Auslegung von Art. 9 Abs. 1 DSGVO durch den EuGH führt dazu, dass aus vermeintlich „normalen“ Daten sensible Daten abgeleitet werden können, wenn den normalen Daten eine weitere Ebene innewohnt, die unter Beachtung des Kontexts der Verarbeitung zusätzliche Informationen preisgibt („hidden layer“, siehe oben). Dann ist bereits das Ursprungsdatum als sensibles Datum zu qualifizieren. Die nachfolgende Übersicht ist eine erste Sammlung von Beispielen und Fallgruppen, die wir kontinuierlich aktualisieren und erweitern werden. 

Datenkategorie   Einordnung als sensibles Datum im Sinne von Art. 9 Abs. 1 DSGVO und Grenzen 
Stamm- und Kontaktdaten  Name oder E-Mail-Adresse können geeignet sein, sensible Daten zu offenbaren. So lässt sich z.B. die ethnische Herkunft zuweilen aus dem Vor- und/oder Nachnamen ableiten oder kann umgekehrt ausgeschlossen werden (der Ausschluss der Zugehörigkeit zu einer bestimmten Ethnie/Rasse kann unter dem Schutzaspekt eine ebenso große Gefahr der Diskriminierung darstellen und sollte in aller Konsequenz so behandelt werden, wie die Möglichkeit einer positiven Feststellung). 

Adressdaten können eine Ableitung ermöglichen, wenn etwa als Anschrift die Adresse einer Unterkunft für Geflüchtete angegeben wird (i.d.R. ohne Konkretisierung der Ethnie/Rasse, aber mit der Möglichkeit, eine Ethnie/Rasse auszuschließen, siehe oben) 

An folgenden Beispielen lässt sich insbesondere erkennen, dass im unternehmerischen Bereich häufig Szenarien vorliegen können, die Rückschlüsse auf den Personenstand eines Beschäftigten zulassen und mit dem EuGH damit als Daten zum Sexualleben oder der sexuellen Orientierung im Sinne des Art. 9 Abs. 1 DSGVO zu qualifizieren sind: 

  • Speicherung von Notfallkontakten zu Arbeitnehmern unter Angabe, in welcher Beziehung der Notfallkontakt zum Arbeitnehmer steht; 
  • Mitführung von Daten von Angehörigen im Rahmen von Entsendungen; 
  • Beantwortung eines Personalfragebogens bei Einstellung des Arbeitnehmers, in dem der Familienstand differenziert erfasst wird; 
  • Teilnehmerlisten für Betriebsfeste oder ähnliche Veranstaltungen; und 
  • Angaben von Daten zu Lebenspartnern für Unternehmensrabatte. 

Grenzen:  

Allein der gleiche Familienname lässt keinen Rückschluss auf den Familienstand der betroffenen Personen zu; er verweist lediglich auf die Möglichkeit einer wie auch immer gearteten verwandtschaftlichen oder partnerschaftlichen Beziehung.  

Fraglich ist, wie die Information über ein Kind zu werten ist, welches den gleichen Familiennamen wie ein betroffener Mann trägt. Regelmäßig tragen Ehepartner und ihre Abkömmlinge den gleichen Familiennamen. Grundsätzlich gilt ein Ehemann als Vater eines während einer Ehe mit der Mutter zur Welt gekommenen Kindes (siehe § 1592 Nr. 1 BGB; bei Anerkennung der siehe § 1592 Nr. 2 BGB). Ob der Mann das Kind gezeugt hat, was eine Aussage zu seiner sexuellen Orientierung beinhalten könnte, ergibt sich aus der Namensgleichheit gerade nicht, mag aber der (vordergründigen) gesellschaftlichen Norm entsprechen.  

Im obigen Beispiel kann aus der Adresse einer Flüchtlingsunterkunft nicht auf die politische Meinung oder religiöse Überzeugung der betroffenen Person geschlossen werden, so dass eine Ableitung dieser sensiblen Daten wohl auch nach der Auslegung des EuGH zu weit ginge. 

Fotos und Videos (Bildaufnahmen)  Auch ohne entsprechende Verarbeitungsabsicht können in Fotos und Videos sensible Daten enthalten sein. Fotos und Videos weisen die objektive Eignung zur Offenbarung sensibler Daten auf. Denkbar sind das Offenlegen der Gesundheit (Brillenträger, Krücken, Rollstuhl, ggf. Kontext der Aufnahme einer spezialisierten Klinik), der rassischen oderethischen Herkunft (z.B. Hautfarbe, Haare, Kleidung, Kopfbedeckung), der sexuellen Orientierung (auf Bildern erkennbare Paare, Symbole und ggf. Kontext der Aufnahmen wie z.B. Veranstaltungen) und einer Gewerkschaftszugehörigkeit (Fotos in entsprechender Kleidung anlässlich eines Streiks). 

Grenzen:  

Grenzen lassen sich bei Fotos und Videos kaum ziehen. Gesundheitsdaten und Daten über die sexuelle Orientierung erfassen nicht nur Daten, die von einem (vermeintlichen) „Normalzustand“ abweichen. Auch die ungewöhnlich gute Gesundheit einer Person, die sich in einem blühenden Aussehen ausdrückt, wird erfasst, so dass jedes Foto oder Video eine Information über den Gesundheitszustand der abgebildeten Person im Zeitpunkt der Aufnahme offenbaren kann. Angesichts des vom EuGH hervorgehobenen Normzwecks von Art. 9 DSGVO, die vulnerablen Personen vor den schwerwiegenden Folgen einer Beeinträchtigung ihres Persönlichkeitsrechts zu schützen, greift der Schutz des Art. 9 DSGVO nur bei negativen Abweichungen vom „Normalzustand“. Daher geht auch das Argument, Menschen seien reproduzierende Wesen und daher jede Abbildung als Ausdruck seiner grundsätzlichen Sexualität zu werten und deshalb dem Art. 9 Abs. 1 DSGVO zu unterwerfen, zu weit. 

Grenzen sind jedoch möglich bei Fotos größerer Menschenmengen oder von Ereignissen, auf denen einzelne Personen nicht erkennbar sind. Diese fallen ggf. sogar insgesamt aus dem Anwendungsbereich der DSGVO heraus. 

Tonaufnahmen  Auch Tonaufnahmen können objektiv dazu geeignet sein, dass aus diesen insbesondere Gesundheitsdaten (heisere Stimme, Husten, schwerfällige Atmung) oder Daten zur ethnischen Herkunft (z.B. erkennbarer Akzent) abgeleitet werden können. Erforderlich ist aber jeweils, dass ein Personenbezug der Tonaufnahme besteht. Ein solcher kann sich direkt aus der Aufnahme oder aus anderen Datenquellen ergeben (Tonaufnahme der Person X). 

Grenzen: 

Die Grenzen sind enger zu ziehen als bei Fotos- oder Videos (Bildaufnahmen). Bei Tonaufnahmen werden tatsächlich nur „negative“ oder ungewöhnliche Abweichungen erfasst. Eine klare, deutliche Stimme und Aussprache sind kein Synonym etwa für Gesundheit oder eine bestimmte, ethnische Zuordnung.   

Nutzungsverhalten (z.B. Heatmaps bei Websites)  Verschiedene Dienste zur Analyse des Nutzungsverhaltens bei Websites und Apps verfolgen den Bewegungs-, Klick- oder Touchpfad des Nutzers und erstellen daraus sog. Heatmaps. Je nach Detailgrad der Aufzeichnung könnte z.B. aus der Mausbewegung oder aus der Genauigkeit von Touchinteraktionen auf den Gesundheitszustand des Nutzers geschlossen werden (sofern dieser identifizierbar ist), z.B. bei einem von der „Norm“ abweichendem, zitternden Bewegungs- und Klickpfad. Abhängig vom Kontext kann aus dem allgemeinen Nutzungsverhalten (Interesse an bestimmten Themen, Produkten oder Diensten) auf sensible Daten eines Nutzers geschlossen werden (siehe dazu auch den Punkt „Nachfrageverhalten“).  

Grenzen:  

Werden Pfade nicht komplett aufgezeichnet oder nur aggregiert ausgewertet (pro Nutzer), dürfte es regelmäßig an Anknüpfungspunkten für eine Ableitung von Gesundheitsdaten fehlen. 

Nachfrageverhalten   Aus dem Nachfrageverhalten einer Person kann möglicherweise, aber nicht zwingend, auf sensible Daten geschlossen werden. Dies kann problematisch sein, weil es an einer mit Art. 6 Abs. 1 Buchst. b, f DSGVO vergleichbaren Ausnahme in Art. 9 Abs. 2 DSGVO fehlt. Beispiele: Nachfrage nach medizinischen Produkten in Onlineshops (wiederkehrender Einkauf rezeptpflichtiger Medikamente, Bestellung einer Gehhilfe, Bezug von Essbesteck für Menschen mit Behinderungen), Rabatte und Preisnachlässe für Menschen mit Behinderung etwa beim Fahrzeugkauf, oder aber im Einzelfall Nachfrage nach Produkten oder Dienstleistungen, die Rückschlüsse auf die sexuelle Orientierung, auf die politische Meinung und/oder religiöse oder weltanschauliche Überzeugungen ermöglichen. 

Grenzen: 

Der bloße Erwerb eines Produkts oder die Inanspruchnahme einer Dienstleistung lässt nicht in jedem Fall einen objektiven Rückschluss auf sensible Daten oder deren Zuordnung zum Nutzer zu (etwa, weil Bestellungen auch für Angehörige oder Dritte erfolgen können). 

Werturteile und Äußerung von Meinungen  Personenbezogene Daten erfassen neben Tatsachen auch Meinungen und Werturteile. Damit sind auch aus Werturteilen oder Meinungen Ableitungen auf sensible Daten möglich. 

Was müssen Verantwortliche jetzt zur Umsetzung des Urteils machen?

Wer für eine Verarbeitung personenbezogener Daten Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist, sollte zur Umsetzung des Urteils insbesondere folgende Maßnahmen ergreifen: 

  • Auslegung des Urteils: Es sollte ein eigener Maßstab für die Auslegung des Art. 9 Abs. 1 DSGVO unter Beachtung des EuGH-Urteils erarbeitet werden. Wird das Urteil nur auf den konkreten, vom EuGH entschiedenen Sachverhalt bezogen oder weiter verstanden? 
  • Prüfen der Verarbeitungstätigkeiten: Es sollten alle Verarbeitungstätigkeiten dahingehend geprüft werden, ob dort Daten mit einem „hidden layer“ verarbeitet werden, aus dem bei einem objektiven Maßstab sensible Daten hervorgehen können. 
  • Ausnahme vom Verarbeitungsverbot: Dort, wo die Überprüfung der Verarbeitungstätigkeiten neue Verarbeitungen besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO ergeben hat, sollte geprüft werden, welche Ausnahme vom Verarbeitungsverbot aus Art. 9 Abs. 2 DSGVO greift. Ggf. kann es erforderlich sein, die Verarbeitung zukünftig insgesamt auf eine Einwilligung gem. Art. 9 Abs. 2 Buchst. a DSGVO i.V.m. Art. 6 Abs. 1 Satz 1 Buchst. a, Art. 7 DSGVO zu stützen. 
  • Prüfen der TOM: Es sollten die bereits etablierten technischen und organisatorischen Maßnahmen (kurz „TOM“) überprüft werden, ob diese auch für die Verarbeitung sensibler Daten geeignet sind oder hier nachgearbeitet werden muss. Für besondere Kategorien personenbezogener Daten sind in der Regel schärfere TOM zu implementieren, die dem erhöhten Gefährdungs- und Diskriminierungspotenzial Rechnung tragen.  
  • Organisatorischer Datenschutz: Datenschutzinformationen, Einwilligungserklärungen und das Verzeichnis von Verarbeitungstätigkeiten sollten mit Blick auf die neuen Verarbeitungen sensibler Daten aktualisiert werden. 
  • Datenschutz-Folgenabschätzung: Die Verarbeitung besonderer Kategorien personenbezogener Daten führt häufig zur Notwendigkeit einer Datenschutz-Folgenabschätzung (kurz „DSFA“). Daher sollten die vom Urteil betroffenen Verarbeitungstätigkeiten ergänzend auf die Erforderlichkeit einer DSFA gemäß Art. 35 Abs. 1 DSVGVO geprüft werden und – wo erforderlich – die DSFA unverzüglich nachgeholt werden. 

 

Ihre Ansprechpartner

Wenn Sie von uns im Datenschutzrecht bereits beraten werden, wenden Sie sich bitte an die/den Sie betreuende/n Rechtsanwältin/Rechtsanwalt – zu unserem Team hier entlang. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf: 

  • Sascha Kremer, Fachanwalt für IT-Recht, externer Datenschutzbeauftragter (TÜV)
    sascha.kremer@kremer-recht.de 
  • Kristof Kamm, Rechtsanwalt, Datenschutzbeauftragter (TÜV)
    kristof.kamm@kremer-recht.de 
  • Daniela Köhnlechner, Fachanwältin für IT-Recht, Datenschutzbeauftragte (TÜV)
    daniela.koehnlechner@kremer-recht.de 
  • Jana Lenzen, LL.M., Rechtsanwältin, Datenschutzbeauftragte (TÜV) 
    jana.lenzen@kremer-recht.de 
  • Michael Matejek, LLM., Wirtschaftsjurist
    michael.matejek@kremer-recht.de, 
  • Nadine Schneider, Rechtsanwältin, Datenschutzbeauftragte (TÜV)
    nadine.schneider@kremer-recht.de 

Alle Ansprechpartnerinnen erreichen Sie unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln (Innenstadt) oder in unserer Zweigstelle in der Kölner Straße 78, 41812 Erkelenz. 

 

Wer sind KREMER RECHTSANWÄLTE?

KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät. Wir beraten unsere Mandanten und Auftraggeber hochspezialisiert an der Schnittstelle zwischen Technik und Recht im Datenschutzrecht, IT-Recht und Arbeitsrecht. Zu unseren Mandanten und Auftraggebern gehören DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups. Die Sozietät berät regelmäßig auch in internationalen Großprojekten, begleitet IT- oder Datenschutzprojekte und erstellt passende Standardvertragswerke für ihre Mandanten. 

Die Rechtsanwältinnen, Rechtsanwälte, Wirtschaftsjuristinnen und Wirtschaftsjuristen veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Unternehmensleitungen, Juristinnen und Juristen sowie Referendarinnen, Referendaren und Studierenden tätig. KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019 und 2021 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden sowie vom Focus 2021 als TOP Wirtschaftskanzlei Datenschutzrecht. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 und 2020/2021 als von Unternehmensjuristinnen und -juristen empfohlene, führende Kanzlei im IT- und Datenschutzrecht genannt.