Das Verwaltungsgericht Vilnius in Litauen legte dem Europäischen Gerichtshof im Rahmen eines Vorabentscheidungsverfahrens zwei Fragen zum Verhältnis einiger litauischer Regelungen zur Korruptionsbekämpfung zu den Bestimmungen der DSGVO vor. Im Rahmen seines Urteils hat der Europäische Gerichtshof eine Aussage zur Reichweite des Art. 9 Abs. 1 DSGVO getroffen, der sensible Datenkategorien unter besonderen Schutz stellt. Der Europäische Gerichtshof legte den Anwendungsbereich der (immer wieder problematischen) Vorschrift weit aus und erregt damit die Gemüter in datenschutzrechtlichen Foren nachhaltig.
In dem Vorabentscheidungsverfahren ging es im Kern um die Frage, ob einige litauische Korruptionsbekämpfungsregeln wirksame rechtliche Verpflichtungen zur Datenverarbeitung nach Art. 6 Abs. 1 lit. c) DSGVO sind. Das war insbesondere unter Gesichtspunkten der Verhältnismäßigkeit problematisch. Die (sehr weitgehenden) Regelungen sehen vor, dass Daten von Personen, die mit der Verwaltung öffentlicher Mittel betraut sind, frei zugänglich ins Internet gestellt werden. Teil der erforderlichen Angaben sind unter anderem der Name, Arbeitgeber und die Funktion und Angaben über in den letzten zwölf Monaten durchgeführte Transaktionen im Wert von mindestens 3.000 €. Die Angaben müssen jeweils zur betroffenen Person selbst und in Bezug auf deren Lebensgefährten, Ehegatten oder Partner gemacht werden.
Der Europäische Gerichtshof (EuGH) hat diese Regelungen in seinem Urteil vom 01.08.2022 (C-184/20) als unverhältnismäßig beanstandet, sodass sie keine taugliche Rechtsgrundlage für Datenverarbeitungen nach Art. 6 Abs. 1 lit. c) DSGVO darstellen können.
Für das europäische Datenschutzrecht viel interessanter ist dagegen eine Aussage des EuGH zur Reichweite des Art. 9 Abs. 1 DSGVO. Auf die Frage hin, ob auch Informationen, die mittelbar Aufschluss über ein nach Art. 9 Abs. 1 DSGVO geschütztes Datum geben, bereits dem Schutz von Art. 9 Abs. 1 DSGVO unterliegen, führt der EuGH aus, dass es sich bereits bei diesen Informationen um besondere Kategorien personenbezogener Daten handele. Konkret ging es darum, ob die Angabe des Namens des Ehegatten, Partners oder Lebensgefährten, der – außer bei geschlechtsneutralen Namen – Aufschluss darüber gibt, ob die Personen in einer homo- oder heterosexuellen Beziehung leben, ein sensibles Datum nach Art. 9 Abs. 1 DSGVO darstellt.
Diese Annahme und der damit einhergehende besondere Schutz von Informationen, die mittelbar auf sensible Daten nach Art. 9 Abs. 1 DSGVO schließen lassen, birgt eine gewisse Sprengkraft. Der Grund dafür ist, dass Art. 9 Abs. 1 DSGVO eine in der Praxis in vielen Fällen sehr schwer handhabbare Regelung darstellt, da sie die Verarbeitung sensibler Daten nur unter erschwerten Bedingungen zulässt. Das kann zu unterschiedlichen Widersprüchen führen.
Die Verarbeitung sensibler Daten ist nur auf der Grundlage eines Gesetzes zulässig, das spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht und aufgrund eines erheblichen öffentlichen Interesses erforderlich ist (Art. 9 Abs. 2 lit. g) DSGVO). Ausreichend ist also nicht jedes Gesetz, sondern nur besonders gestaltete Gesetze, was in der Praxis dazu führen kann, dass ein Verantwortlicher zwar aufgrund eines Gesetzes zur Verarbeitung sensibler Daten verpflichtet ist, die Verarbeitung aber nach der DSGVO dennoch nicht gestattet ist. Zwar genießt die DSGVO dann Vorrang gegenüber nationalen Gesetzen, aber der Verantwortliche bewegt sich hier auf einem schmalen Grat zwischen unterschiedlichen gesetzlichen Anforderungen (Pflicht zur Verarbeitung auf der einen, Verbot der Verarbeitung auf der anderen Seite). In beide Richtungen sieht er sich schnell dem Vorwurf eines Rechtsverstoßes ausgesetzt.
Weiter wird etwa im Zusammenhang mit Art. 9 Abs. 1 DSGVO immer wieder diskutiert, wie eigentlich die ungewollte Verarbeitung sensibler Daten gerechtfertigt werden kann. Beispielhaft ist wieder an die hier häufig erwähnte Rollstuhlfahrerin und/oder Brillenträgerin zu denken, die von einer Kamera gefilmt wird. Rollstuhl und Brille geben mittelbar Aufschluss über den Gesundheitszustand der Person und könnten daher grundsätzlich als besondere Kategorien personenbezogener Daten dargestellt werden. In diesem Fall wäre die Verarbeitung der Daten im Rahmen einer üblichen Videoüberwachung regelmäßig rechtswidrig. Dieses an sich vertretbare Ergebnis würde zu einer allgemeinen Unzulässigkeit der Videoüberwachung führen, da der Verantwortliche regelmäßig nicht vermeiden kann, dass auch Informationen über den Gesundheitszustand einer Person verarbeitet werden.
Solche und weitere Probleme potenzieren sich, wenn der EuGH den Begriff sensibler Daten nunmehr auf mittelbar sensible Informationen ausdehnt. Es bleibt daher zu hoffen, dass die Praxis die vorliegende Entscheidung mit Augenmaß heranzieht und sie nicht auf alle denkbaren Sachverhalte überträgt. Dadurch wäre die eigentliche Intention des Art. 9 Abs. 1 DSGVO, lediglich einen besonders sensiblen Bereich an Informationen zu schützen, konterkariert.