EuGH Urteil C-184/20 – Sensible Daten schon bei indirektem Bezug
Der europäische Gerichtshof hat in einem jüngst erschienenen Urteil festgestellt, dass sensible Daten auch dann als solche zu klassifizieren sind, wenn diese nur indirekt aus den Angaben des Betroffenen hervorgehen.
Verfahren in Litauen
Vorangegangen war ein Verfahren in Litauen, in dem das oberste litauische Gericht dem europäischen Gerichtshof mehrere Fragen zur Vorlage gab. Interessant war hierbei die Frage zwei, in der das litauische Gericht wissen wollte, ob auch die indirekte Identifikation durch ansonsten nicht sensible Daten dazu führt, dass die Angabe wie ein sensibles Datum zu beachten ist.In der streitgegenständlichen Situation mussten die litauischen Bürger eine Erklärung über ihre privaten Interessen abgeben. In dieser sollte beispielsweise angegeben werden, wer der Ehepartner ist. Die litauische Ethikkommission ging als Klägerin davon aus, dass durch die Angabe eines gleichgeschlechtlichen Ehepartners der Rückschluss auf die sexuelle Orientierung und somit ein Regel-Beispiel eines sensiblen Datums gemäß Art. 9 der DSGVO vorläge.
Rechtsprechung des EuGH
Der europäische Gerichtshof folgte dieser Interpretation. Hierbei stellte er auf das Merkmal des „Hervorgehens“ ab, welches in Art. 9 Abs. 1 DSGVO genannt ist:
Hierzu der EuGH in Rn. 123:
Wie der GA in Nr. 85 seiner Schlussanträge der Sache nach ausgeführt hat, spricht die Verwendung des Verbs „hervorgehen“ in diesen Bestimmungen dafür, dass eine Verarbeitung erfasst ist, die sich nicht nur auf ihrem Wesen nach sensible Daten bezieht, sondern auch auf Daten, aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben, wohingegen aber die Präpositionen „zu“ und „über“ bzw. die Verwendung eines Kompositums zum Ausdruck zu bringen scheinen, dass eine direktere Verbindung zwischen der Verarbeitung und den betreffenden Daten, bei denen auf ihr originäres Wesen abzustellen ist, bestehen muss.
Fazit
Das vorliegende Urteil bestätigt die weite Auslegung der im übrigen autonom auszulegen Begriffe in der DSGVO. Hierbei wird dem Schutz sensibler personenbezogener Daten ein größerer Rahmen eingeräumt. Verantwortliche bedeutet dies, dass in Zukunft besonders sorgfältig auf der Zusammenhang zwischen einzelnen personenbezogenen Daten zu prüfen ist. Aus diesem kann sich indirekt ein Merkmal ergeben, welches als sensibles Datum zu klassifizieren ist.
Weitere News
KI Verordnung Teil 3: Hochrisiko-KI am Beispiel Radiologie
Hochrisiko-KI-Systeme sind nach Verordnung (EU) 2024/1689 über künstliche Intelligenz...
KI-Verordnung Teil 2: Verbotene KI-Praktiken
Verbotene KI-Praktiken gemäß der Verordnung (EU) 2024/1689 Die Verordnung (EU) 2024/1689 definiert...
Gesetzesvorschlag zur Anpassung des UWG durch Bundesrat
Der Gesetzesvorschlag des Bundesrates (Drucksache 20/11879) bezieht sich auf Änderungen im Gesetz...
Recent Comments