Datenschutz steht bekanntlich in einem ständigen Spannungsfeld mit anderen öffentlichen Interessen. Der EuGH hat sich in einem aktuellen Urteil damit beschäftigt inwieweit die beiden Bereiche von Korruptionsbekämpfung und Datenschutz in Einklang zu bringen und welche Faktoren hier abzuwägen sind. Zusätzlich wurde sich noch damit beschäftigt, wann auch bei der Veröffentlichung von indirekt sensiblen Daten, der Art. 9 DSGVO zur Anwendung kommt.
Der Inhalt im Überblick
Veröffentlichung von sensiblen Daten
Bei dem Urteil (EuGH , Urteil vom 01.08.2022 – C-184/20) handelte es sich um eine Vorlagesache des Litauischen Obersten Gerichtshof, dem Vilniaus apygardos administracinis teismas (Regionalverwaltungsgericht Vilnius, Litauen).
Dieser wollte vom EuGH die Frage beantwortet wissen, ob eine uneingeschränkte Veröffentlichung von personenbezogenen Daten des Leiters einer Umweltschutzorganisation überhaupt Datenschutzrechtlich gem. Art 6 und Art 9 DSGVO gerechtfertigt sein kann, bzw. wie umfangreich eine solche Verarbeitung sein darf. Nach litauischem Recht muss der Behördenleiter einer Behörde, die mit öffentlichen Mitteln finanziert wird, persönliche Informationen an die Ethikkommission weiterleiten, welche dann auf der Homepage der Kommission veröffentlicht werden.
In diesem Falle kam es unter anderem zur indirekten Veröffentlichung sensibler Daten. Der Name des Lebenspartners des Betroffenen wurde bekannt gegeben, wodurch Rückschlüsse auf die sexuelle Orientierung des Betroffenen möglich wurden.
Abwägung zwischen Transparenz und Datenschutz
Kern der Problemstellung war die Frage, inwieweit eine Veröffentlichung von Personenbezogenen Daten erforderlich ist, um das Ziel der Antikorruption und Transparenz zu verfolgen.
Eine Übersicht, was grundsätzlich zu prüfen ist, finden Sie in unserem Blogbeitrag zur Datenverarbeitung auf Grundlage einer Interessenabwägung. Zu den veröffentlichten Daten gehörten unter anderem der Name des Behördenleiters, der Name des Ehepartners, die Tätigkeiten der betroffenen Person und seiner Angehörigen, sowie jegliche Zuwendungen über einem Gegenwert von 3000€. Betroffen ist in diesem Falle somit nicht nur der Behördenleiter selbst, sondern auch ihm nahestehende Personen.
Der EuGH stellt in seiner Abwägung ausführlich die beiden entgegenstehenden Interessen in diesem Fall dar: Die Korruptionsbekämpfung und den Schutz personenbezogener Daten. Bezüglich des Eingriffs durch die Veröffentlichung von personenbezogenen Daten kommt er zu dem Ergebnis, diesen als schwerwiegender Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten der betroffenen Personen anzusehen. Hiergegenüber stellt der EuGH jedoch auch klar, dass die Korruptionsbekämpfung in der Union von großer Bedeutung ist. Er hat darauf hingewiesen, dass Korruption
„eine Bedrohung der Rechtsstaatlichkeit, der Demokratie und der Menschenrechte darstellt, die Grundsätze verantwortungsbewussten staatlichen Handelns, der Billigkeit und der sozialen Gerechtigkeit untergräbt, den Wettbewerb verzerrt, die wirtschaftliche Entwicklung behindert und die Stabilität der demokratischen Institutionen und die sittlichen Grundlagen der Gesellschaft gefährdet“.
Hierbei sind folgende Abwägungskriterien im Einzelfall von besonderer Bedeutung:
- Die Korruptionsdichte des einzelnen betroffenen Landes
- Die Stellung des Betroffenen und die Verantwortung im Umgang mit öffentlichen Mitteln
Was wurde entschieden?
Der EuGH kommt bei seiner Abwägung zu dem Ergebnis, dass umfassende Veröffentlichungen auf der Website der Ethikkommission insbesondere nicht durch Art. 6 Abs. 1 lit. c und Abs. 3 der DSGVO im Licht der Art. 7, 8 und 52 Abs. 1 der Europäischen Grundrechtecharta gerechtfertigt sind. Eine Veröffentlichung von personenbezogenen Daten dürfe sich nur auf die für die Korruptionsbekämpfung relevanten Daten wie selbstständige Tätigkeiten und die juristischen Personen, an denen die betroffene und ihr nahestehende Personen als Teilhaber oder Gesellschafter beteiligt sind, beziehen. Dieses Ergebnis wird im Wesentlichen mit der Tragweite einer Veröffentlichung im Internet und dem Grundsatz der Datenminimierung des in Art. 6 Abs. 1 lit. c DSGVO begründet.
Bei seiner Entscheidung hatte der EuGH in einer zweiten Frage zu beantworten, ob auch bei indirekter Veröffentlichung von sensiblen Daten im Sinne des Art. 9 DSGVO die Verarbeitung an den strengeren Voraussetzungen dieser Vorschrift gemessen werden muss. Diese Frage stellt sich in vorliegendem Fall deshalb, weil der Betroffene in einer eingetragenen Lebenspartnerschaft lebt und bei Veröffentlichung des Namens seines Lebenspartners, von jedermann auf seine sexuelle Orientierung geschlossen werden könnte. Hier hat der EuGH eindeutig zugunsten eines umfassenden Schutzes der personenbezogenen Daten des Betroffenen entschieden und stellt klar, dass auch
„Daten, aus denen mittels gedanklicher Kombination oder Ableitung auf die sexuelle Orientierung einer natürlichen Person geschlossen werden kann, unter die besonderen Kategorien personenbezogener Daten im Sinne von Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 der DSGVO fallen“.
EuGH steckt die Abwägungsgrenzen ab
Der EuGH macht im Urteil deutlich, dass auch bei der Korruptionsbekämpfung der Datenschutz großen Einfluss hat und steckt die Grenzen für eine Abwägung beider Interessen ab. Auch wird deutlich, dass der Begriff der sensiblen Daten für den EuGH weit zu verstehen ist, sodass diese auch geschützt werden, wenn nicht auf den ersten Blick deutlich wird, dass es sich um solche handelt.
Eine sehr interessanter Artikel, bei dem jedoch leider die zweite Frage bzgl. des Umfangs des Begriffs der sensiblen Daten etwas zu wenig Beachtung findet. Interessant ist doch gerade, was dies für Unternehmen bedeuten könnte, die solche Daten, bspw. im HR-Bereich, verarbeiten und ob es nur auf die Handlungsform der Veröffentlichung beschränkt ist oder um jede Verarbeitung geht.
Die zweite Frage wird leider auch im Urteil des EuGH sehr schnell abgehandelt, sodass es hier auch nicht viel zu berichten gab. Eine allgemeine Auseinandersetzung mit diesem, ganz grundsätzlichen Problem müsste in einem eigenen Blogbeitrag behandelt werden.
Würde die „gedankliche Kombination oder Ableitung“ dann nicht aber auch bedeuten, dass es beispielsweise keine Videoüberwachung mehr innerhalb des Anwendungsbereiches der DSGVO geben dürfte? In dem Moment, in dem ein Betroffener mit einem Rollstuhl von der Videoanlage erfasst wird, ließen sich im Rahmen einer „gedanklichen Kombination“ gesundheitsrelevante Daten daraus ableiten. Das „berechtigte Interesse“ würde hier dann keine Anwendung mehr finden und einen anderen Erlaubnistatbestand kann ich in den meisten Fällen einer Videoüberwachung (z.B. Überwachung eines Firmengeländes) nicht erkennen.
Auch stimmt es mich traurig, dass erst bei der Veröffentlichung einer gleichgeschlechtlichen sexuellen Orientierung hier von „sensiblen Daten“ gesprochen wird. Die sexuelle Orientierung lässt sich oft auch bei einer Ehe zwischen Frau und Mann ableiten. Geschützt werden muss der „Betroffene“ hierbei nicht vor der Öffentlichkeit sondern vor engstirnigen Personen, die darin nicht das Normalste der Welt sehen, dass es unterschiedliche sexuelle Orientierungen gibt.
Und um das eigene Beispiel des Rollstuhlfahrers aufzugreifen: Eine Person, die keinen Rollstuhl im Erfassungsbereich der Videokamera nutzt, kann vermutlich laufen. Auch das lässt sich gedanklich kombinieren. Auch dies ist also ein „nicht Vorhandensein“ einer physischen Einschränkung, also ein Gesundheitsdatum.
Aus meiner Sicht wird hier der Begriff der sensiblen Daten ein wenig zu weit abgesteckt.
Sie haben absolut Recht, dass Der EuGH hier einfach über ein ganz wesentliches Problem hinweggeht. Dies tut er im Urteil, indem er einfach eigene Rechtsprechung zitiert. Tatsächlich wurde in der Entscheidung das Problem, der Eingrenzung des Begriffs sensiblen Daten, sehr stiefmütterlich behandelt. Sich zusätzlich zur Urteilsübersicht noch mit diesem Problem zu beschäftigen hätte aber den Ramen des Blogbeitrages gesprengt und wäre Thema für einen etwas ausführlicheren Beitrag auf Dr. Datenschutz. Also: immer schön die Augen auf halten!
Auch Ihre Frage, wann und ob eine sexuelle Orientierung ein sensibles Datum ist, ist hochinteressant. Leider hat der EuGH hier ebenfalls keinerlei Hilfestellungen zur Eingrenzung gegeben.
Ich stimme Ihnen zu, dass der Begriff der Sensiblen Daten hier zu weit abgesteckt wird. Daraus ergeben sich dann, wie Sie schon herausstellen, eine ganze Menge Folgeprobleme. Wenn man bedenkt, dass die ethnische Herkunft oder biometrische Daten ebenfalls besondere Kategorien gemäß Art. 9 Abs.1 DSGVO darstellen, merkt man, dass jedes Foto einer Person zwangsläufig sensible Daten beinhalten müsste.