Es lässt sich mit Sicherheit sehr gut vertreten, dass im Datenschutz zunehmend eine Verrechtlichung stattfindet. Immer neue gesetzliche Anforderungen treten in Kraft und die Rechtsprechung beschäftigt sich mit allerlei Rechtsfragen. Insbesondere der Europäische Gerichtshof (EuGH) war in den letzten Wochen und Monaten fleißig und hat sich mit einer Reihe umstrittener Punkte auseinandergesetzt. Der heutige Beitrag soll einen Überblick über zwei dieser Urteile aus den letzten Wochen verschaffen.
Und täglich grüßt das Murmeltier – Max Schrems vs. Meta
Am 4. Oktober 2024 stand – mal wieder könnte man meinen – eine Entscheidung zwischen dem Datenschutzaktivisten Max Schrems und Meta Platforms, Inc. an. Im Kern behandelt die Rechtssache C-446/21 den Aspekt, dass nicht sämtliche personenbezogene Daten zeitlich unbegrenzt und ohne Unterscheidung nach Ihrer Art verwendet werden dürfen. Konkret hatte Facebook personenbezogene Daten, die sie ursprünglich für Zwecke der zielgerichteten Werbung erhoben hatten, in einem Werbeprofil verwendet. Es handelte sich hierbei um Aussagen einer Person über die eigene sexuelle Orientierung, mithin also um ein besonders schützenswertes Datum Im Sinne des Art. 9 DS-GVO.
Der EuGH urteilte wie folgt: „Als Zweites ist zur zeitlichen Begrenzung einer Verarbeitung personenbezogener Daten wie der Verarbeitung, um die es im Ausgangsverfahren geht, darauf hinzuweisen, dass der Gerichtshof bereits entschieden hat, dass der Verantwortliche unter Berücksichtigung des Grundsatzes der Datenminimierung verpflichtet ist, den Zeitraum der Erhebung der betreffenden personenbezogenen Daten auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken.“ „Die Folgen für die Interessen und das Privatleben der betroffenen Person sind nämlich umso schwerer und die Anforderungen an die Rechtmäßigkeit der Speicherung der betreffenden Daten sind umso höher, je länger diese gespeichert werden“
Und weiter: „Des Weiteren ist darauf hinzuweisen, dass gemäß Art. 5 Abs. 1 Buchst. e DSGVO die personenbezogenen Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Somit ist diesem Artikel eindeutig zu entnehmen, dass der in ihm verankerte Grundsatz der „Speicherbegrenzung“ verlangt, dass der Verantwortliche in der Lage ist, gemäß dem Grundsatz der Rechenschaftspflicht, […] nachzuweisen, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, erforderlich ist.“
Deshalb: „Daraus ergibt sich, wie der Gerichtshof bereits entschieden hat, dass selbst eine ursprünglich zulässige Verarbeitung von Daten im Lauf der Zeit gegen die DSGVO verstoßen kann, wenn diese Daten für die Erreichung der Zwecke, für die sie erhoben oder später verarbeitet wurden, nicht mehr erforderlich sind, und dass diese Daten gelöscht werden müssen, wenn diese Zwecke erreicht sind.“ Es lässt sich demnach festhalten, dass der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c) DS-GVO einer zeitlich unbegrenzten und nicht nach der Art der Daten unterscheidenden (Weiter-)Verarbeitung entgegensteht. Kritik am Urteil gibt es bereits.
Wenn sich zwei streiten – der Fall „Lindenapotheke“
In der Rechtssache C-21/23 – ebenfalls vom 4. Oktober 2024 – geht der EuGH nicht nur einer, sondern gleich zwei spannenden Fragen des Datenschutzrechts nach.
Zum einen setzt sich der Gerichtshof mit der Bestimmung des Begriffes der Gesundheitsdaten im Sinne des Art. 4 Nr. 15, Art. 9 DS-GVO auseinander. Im Ergebnis bestätigt der EuGH seine Ansicht aus vorangegangenen Urteilen und kommt zu einer weiten Auslegung des Begriffs. Zunächst einmal sind Gesundheitsdaten nach Art. 4 Nr. 15 DS-GVO „[…] personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.
Der EuGH kommt zu dem Schluss, dass Kundendaten im Zusammenhang mit apothekenpflichtigen Arzneimitteln, die über eine Onlineplattform vertrieben werden und die Kunden bei der Onlinebestellung dieser Arzneimittel eingeben müssen, Gesundheitsdaten im Sinne dieser Bestimmung darstellen. Dies gelte auch dann, wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf. Dies wird damit begründet, dass aus den Daten zum Erwerb von Arzneimitteln Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden können. Ziel der DS-GVO sei es ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Privatlebens – bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten. Aus diesem Grunde sei auch eine weite Auslegung des Begriffs der Gesundheitsdaten geboten.
Außerdem beschäftigt sich der Gerichtshof mit dem Verhältnis von Datenschutz- und Wettbewerbsrecht. Eine seit 2018 in der datenschutzrechtlichen Welt mal mehr, mal weniger diskutierte Frage betraf im Kern die Überlegung, ob die Regelung der DS-GVO – insbesondere die Regelungen des Kapitels VIII – das nationale Wettbewerbsrecht sperren. In der Rechtssache lag ursprünglich ein Streit zwischen zwei Wettbewerben, konkret zwei Apothekern, zu Grunde. Der EuGH kommt zu dem Ergebnis, dass nationale Regelungen zum Wettbewerbsrecht, die es Mitbewerben ermöglichen gegen die Verletzung von Vorschriften zum Schutz personenbezogener Daten unter Gesichtspunkten der Vornahme unlauterer Geschäftspraktiken zu klagen, nicht durch die DS-GVO gesperrt werden.
Der Gerichtshof differenziert zwischen den jeweiligen Schutzrichtungen: „Vorab ist darauf hinzuweisen, dass Kapitel VIII DSGVO u. a. die Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person geschützt werden können, wenn die sie betreffenden personenbezogenen Daten Gegenstand einer Verarbeitung gewesen sind, die mutmaßlich gegen die Bestimmungen dieser Verordnung verstößt.“
Und weiter: „Zum Wortlaut der Bestimmungen des Kapitels VIII DSGVO ist festzustellen, dass in keiner dieser Bestimmungen ausdrücklich ausgeschlossen wird, dass ein Mitbewerber eines Unternehmens unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken wegen eines angeblichen Verstoßes dieses Unternehmens gegen die in der DSGVO vorgesehenen Pflichten bei den Zivilgerichten Klage gegen dieses Unternehmen erheben kann […] Dass Kapitel VIII DSGVO keine Bestimmungen enthält, die vorsehen, dass Mitbewerber eines Unternehmens, das gegen diese materiellen Bestimmungen verstoßen haben soll, Klage auf Unterlassung dieser Verstöße erheben können, geht darauf zurück, dass – …] – nur betroffene Personen, nicht aber diese Mitbewerber Adressaten des durch diese Verordnung gewährleisteten Schutzes personenbezogener Daten sind.“
Zusammengefasst: „Die Möglichkeit für den Mitbewerber eines Unternehmens, unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken bei den Zivilgerichten Klage auf Unterlassung eines von diesem Unternehmen angeblich begangenen Verstoßes gegen die materiellen Bestimmungen der DSGVO zu erheben, lässt diese Ziele nicht nur unberührt, sondern kann die praktische Wirksamkeit dieser Bestimmungen sogar verstärken und damit das mit dieser Verordnung angestrebte hohe Schutzniveau der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten verbessern.“
Mit diesem Urteil schriebt der EuGH seine bisherige Linie zur Anwendung von Art. 9 DS-GVO und einer anzuwendenden weiten Auslegung fort. Dies wird mit Sicherheit zu einigen Unsicherheiten und neuen Anwendungsfragen führen. Erfreulich hingegen kann die Klärung des Verhältnisses zwischen Datenschutz- und Wettbewerbsrecht aufgefasst werden.
Fazit
Das Rad in der Datenschutzwelt steht nicht still. Unaufhaltsam geht die Entwicklung in Gesetzgebung, Rechtsprechung und behördlicher Praxis voran. Insbesondere Datenschutzbeauftragte in Unternehmen und Behörden sind also stets gut beraten, sich auf dem Laufenden zu halten.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
