EuGH schafft (wieder) Klarheit: Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten
Dank des EuGH brauchen sich Anwender und Interessierte wieder einmal um eine datenschutzrechtliche Frage weniger den Kopf zu zerbrechen.
Im vergangenen Dezember traf der EuGH einige bedeutende Entscheidungen zu offenen datenschutzrechtlichen Fragen. Darunter auch das Urteil des EuGH zur Rechtssache C-667/21
Das EuGH-Urteil vom 21. Dezember 2023 in der Rechtssache C-667/21 war das Resultat ein Vorabentscheidungsersuchens, das das Bundesarbeitsgericht (BAG) im Jahr 2021 beim EuGH eingereicht hatte.
Eine der Fragen des Vorabentscheidungsersuchens , die das BAG, aber auch viele Datenschützer interessierte:
Kann die Verarbeitung von Gesundheitsdaten allein durch Art. 9 Absatz 2 lit. h) DS-GVO legitimiert werden oder lässt sich solch eine Datenverarbeitung erst durch Hinzunahme eines der Erlaubnistatbestände des Art. 6 Absatz 1 DS-GVO legitimieren?
Die klare Antwort des EuGH (vgl. Rdnr. 71 bis 79):
„[..] Nach alledem ist auf die dritte Frage zu antworten, dass Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 DSGVO dahin auszulegen sind, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt. „
Damit ist klargestellt, dass durch Art. 9 Abs. 2 lit. h) DS-GVO allein die Verarbeitung von bspw. Gesundheitsdaten nicht legitimiert werden kann, solange diese nicht durch Erfüllung einer Rechtmäßigkeitsvoraussetzung aus Art. 6 Abs. 1 lit. a) bis f) DS-GVO flankiert wird.
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
