IT/Datenschutz
EuGH bezieht Stellung zum Gesundheitsdatenschutz und zum datenschutzrechtlichen Schadenersatzanspruch
Der EuGH bezieht mit dem Urteil vom 21. Dezember 2023 (Rs. C-667/21) Stellung zur Zulässigkeit der Verarbeitung von Gesundheitsdaten und konkretisiert zudem erneut den datenschutzrechtlichen Schadenersatzanspruch.
Wesentliche Entscheidungen des EuGH:
- Die Verarbeitung von Gesundheitsdaten ist nur dann rechtmäßig, wenn neben den Voraussetzungen für die Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 DS-GVO auch eine Rechtsgrundlage nach Art. 6 DS-GVO erfüllt wird.
- Bei der Verarbeitung von Gesundheitsdaten sind ausschließlich nach Art. 32 DS-GVO risikobasiert technische und organisatorische Maßnahmen zu treffen.
- Der datenschutzrechtliche Schadenersatzanspruch nach Art. 82 DS-GVO hat keine abschreckende oder strafende Funktion, sondern soll den konkret – aufgrund des Verstoßes gegen die Datenschutz-Grundverordnung – erlittenen Schaden vollständig ausgleichen.
- Verantwortliche müssen nicht jeden Schaden ersetzen, der durch eine datenschutzwidrige Verarbeitung entstanden ist, das Verschulden wird aber vermutet. Verantwortliche können sich von der Haftung befreien, wenn sie nachweisen können, dass Sie den Schaden nicht zu vertreten haben.
- Der Grad des Verschuldens wird bei der Bemessung der Höhe des Schadenersatzes nicht berücksichtigt.