Neue Grundsatzurteile der EU-Gerichte zum Datenschutz

Wann sind Daten personenbezogen? – EuGH bestätigt relativen Personenbezug (C-413/23 P)

Im Verfahren des Einheitlichen Europäischen Abwicklungsausschusses (Single Resolution Board, SRB) ging es um die Frage, wann Daten als personenbezogen einzustufen sind und auf wessen Perspektive dabei abzustellen ist. Der SRB hatte Fragebögen an Anteilseigner und Gläubiger einer europäischen Bank verteilt und die Antworten pseudonymisiert an eine Wirtschaftsprüfungsgesellschaft übermittelt. Betroffene beschwerten sich, weil sie nicht über die Weitergabe informiert worden waren. Der SRB argumentierte, die pseudonymisierten Daten seien für den Wirtschaftsprüfer keine personenbezogenen Daten.

Der EuGH bestätigte die Vorinstanz in wesentlichen Punkten: Entscheidend ist die Sicht des Verantwortlichen. Solange der Empfänger keine Mittel hat, die nach allgemeinem Ermessen wahrscheinlich für eine Re-Identifizierung genutzt werden könnten, liegt kein personenbezogenes Datum vor. Damit wurde die Theorie des relativen Personenbezugs ausdrücklich bestätigt.

Für Unternehmen und öffentliche Einrichtungen bedeutet dies, dass bestehende Risikobewertungen – etwa im Rahmen von Datenschutz-Folgenabschätzungen – überprüft und gegebenenfalls angepasst werden sollten.

Gesundheitseinrichtungen sind außerdem vielfach zur Pseudonymisierung ihrer Datensätze verpflichtet. Die Entscheidung betont und unterstreicht die Wichtigkeit eines wirksamen und belastbaren Pseudonymisierungskonzepts. Da es sich für Dienstleister vielfach nicht länger um personenbezogene Daten handelt, sind außerdem die Verträge anzupassen, zu überprüfen und gegebenenfalls nachzuziehen, um sicherzustellen, dass Daten, für die der Verantwortliche weiterhin die datenschutzrechtliche Verantwortung trägt, nicht auf eine Art und Weise verarbeitet werden, die mit der DSGVO unvereinbar ist.

Datentransfers in die USA – EuG bestätigt Angemessenheitsbeschluss zum Data Privacy Framework (T-553/23)

Die nächste Entscheidung betrifft die Frage, wann personenbezogene Daten in ein Drittland außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden dürfen. Geklagt hatte Philippe Latombe, ein französischer Abgeordneter und Mitglied der französischen Datenschutzaufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés).

Latombe wandte sich mit seiner Klage gegen den Durchführungsbeschluss der EU-Kommission, der die Angemessenheit des Datenschutzniveaus in den USA auf Grundlage des sogenannten Data Privacy Frameworks festgestellt hatte. Zentrales Argument der Kommission war, dass die Einrichtung eines sogenannten Data Protection Review Courts (DPCR) angemessene Verfahrensgarantien für europäische Bürgerinnen und Bürger sichere.

Latombe griff den Durchführungsbeschluss vor allem damit an, dass der DPCR kein unparteiisches und unabhängiges Gericht sei. Außerdem sei die massenhafte Datenverarbeitung („Bulk Collection“) durch amerikanische Geheimdienste rechtswidrig.

Das EuG nahm die Klage überraschenderweise zur Entscheidung an und bestätigte die Angemessenheit des Durchführungsbeschlusses. Dabei stärkte es die Rechte der Betroffenen, erklärte den Beschluss insgesamt jedoch für wirksam – teilweise auf wenig überzeugender Grundlage. Beobachter rechnen daher mit einem Rechtsmittel Latombes oder weiteren Klagen zivilgesellschaftlicher Akteure wie etwa der NGO None of Your Business. Mittelfristig wird der EuGH entscheiden.

Für Unternehmen bedeutet die Entscheidung in erster Linie eine Atempause. Datentransfers in die USA bleiben vorerst zulässig. Gleichzeitig sollten Einrichtungen prüfen, welche US-Dienstleister genutzt werden, ob diese zertifiziert sind und welche Verarbeitungen auf dem Durchführungsbeschluss basieren. Fallback-Strategien – etwa Standardvertragsklauseln oder die Nutzung europäischer Anbieter – sind empfehlenswert.

Schadensersatz nach Art. 82 DSGVO – EuGH senkt Hürden weiter ab (C-655/23)

Die dritte Entscheidung reiht sich ein in eine Reihe von Urteilen deutscher und europäischer Gerichte, die klären, wann Betroffene Anspruch auf Schadensersatz nach Artikel 82 DSGVO haben. Im vorliegenden Fall ging es um einen Bewerber, der über das berufliche Netzwerk Xing Gehaltsverhandlungen mit der Quirin Privatbank geführt hatte. Die Bank verschickte die Absage versehentlich an einen ehemaligen Kollegen des Bewerbers. Dieser klagte auf Schadensersatz wegen der erlittenen Bloßstellung.

Der Rechtsstreit durchlief alle Instanzen. Mal sprachen die Gerichte Unterlassung und Schadensersatz zu, mal nur Unterlassung. Schließlich legte der Bundesgerichtshof (BGH) dem EuGH sechs Vorlagefragen vor. Der EuGH entschied unter anderem, dass auch negative Gefühle wie Unmut, Sorge, Angst oder Scham immaterielle Schäden nach der DSGVO darstellen und daher zu kompensieren sind.

Die Entscheidung zeigt: Die Anforderungen an den Schadensersatz sinken weiter. Unternehmen und öffentliche Einrichtungen müssen damit rechnen, dass ein Verstoß gegen die DSGVO in fast allen Fällen Schadensersatzforderungen nach sich ziehen kann. Dies betrifft auch die zuvor referierten Entscheidungen, etwa wenn das Pseudonymisierungskonzept sich in der Praxis als nicht belastbar herausstellt oder Daten rechtswidrig in ein unsicheres Drittland übermittelt werden.

Fazit und Handlungsempfehlung

Die Urteile verdeutlichen: Datenschutz bleibt komplex und risikoreich. Pseudonymisierungskonzepte müssen belastbar sein. Internationale Datentransfers bedürfen sorgfältiger Prüfung. Verstöße gegen die DSGVO sind nicht nur bußgeldbewehrt, sondern können auch Schadensersatzforderungen nach sich ziehen. Unternehmen und öffentliche Einrichtungen sollten daher ihre Datenverarbeitungsprozesse prüfen, Verträge aktualisieren und Fallback-Strategien vorbereiten. So lassen sich rechtliche Risiken und Haftungsfallen minimieren und Handlungsspielräume sichern.

Wir unterstützen Sie gerne bei der Bewertung Ihrer Datenschutzpraxis, der Anpassung von Verträgen und der Entwicklung tragfähiger Strategien für sensible Gesundheitsdaten. Sprechen Sie uns an – wir beraten Sie professionell und praxisnah.