Language of document : ECLI:EU:C:2023:433

SCHLUSSANTRÄGE DES GENERALANWALTS

MANUEL CAMPOS SÁNCHEZ-BORDONA

vom 25. Mai 2023(1)

Rechtssache C667/21

ZQ

gegen

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts

(Vorabentscheidungsersuchen des Bundesarbeitsgerichts [Deutschland])

„Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Gesundheitsdaten – Beurteilung der Arbeitsfähigkeit eines Beschäftigten – Medizinischer Dienst einer Krankenkasse – Verarbeitung von Gesundheitsdaten der Beschäftigten – Recht auf Schadenersatz – Einfluss des Grades des Verschuldens“






1.        In diesem Vorabentscheidungsersuchen geht es um die Auslegung der Verordnung (EU) 2016/679(2) im Zusammenhang mit: a) der Verarbeitung von Gesundheitsdaten und b) dem Ersatz des aufgrund eines (angeblichen) Verstoßes gegen die DSGVO entstandenen Schadens.

2.        Auch wenn sich der Gerichtshof bereits zu den Bestimmungen der DSGVO(3), um die es in diesen Fragen geht, geäußert hat, sind die im Rahmen des vorliegenden Vorabentscheidungsersuchens aufgeworfenen Fragen mit Ausnahme der vierten Frage(4) neu.

I.      Rechtlicher Rahmen

A.      Unionsrecht. DSGVO

3.        Für den vorliegenden Rechtsstreit sind die Erwägungsgründe 4, 10, 35, 51 bis 54 und 146 der DSGVO von Bedeutung.

4.        Art. 9 („Verarbeitung besonderer Kategorien personenbezogener Daten“) sieht vor:

„(1)      Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2)      Absatz 1 gilt nicht in folgenden Fällen:

b)      die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,

h)      die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,

(3)      Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

(4)      Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.“

5.        In Art. 82 („Haftung und Recht auf Schadenersatz“) heißt es:

„(1)      Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(3)      Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Abs. 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

…“

B.      Nationales Recht. Sozialgesetzbuch Fünftes Buch(5)

6.        Nach § 278 Abs. 1 Satz 1 wird in jedem Bundesland ein Medizinischer Dienst(6) der Krankenkassen(7) als Körperschaft des öffentlichen Rechts errichtet. Zu den ihm durch Gesetz zugewiesenen Aufgaben gehört die Erstellung von gutachtlichen Stellungnahmen zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von Versicherten.

7.        Nach § 275 Abs. 1 Satz 1 Nr. 3 Buchst. b sind die KV unter bestimmten Voraussetzungen verpflichtet, bei ärztlich bescheinigter Arbeitsunfähigkeit eines Versicherten vom entsprechenden MDK eine gutachtliche Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit einzuholen.

II.    Sachverhalt, Ausgangsverfahren und Vorlagefragen

8.        ZQ war seit 1991 beim MDK Nordrhein (Deutschland) in der IT‑Abteilung als Systemadministrator und Mitarbeiter Helpdesk abhängig beschäftigt.

9.        Der MDK erstellt gutachtliche Stellungnahmen über die Arbeitsunfähigkeit von Versicherten der KV. Zu diesen Stellungnahmen können auch solche über die Gesundheit seiner eigenen Beschäftigten gehören.

10.      Die Datenverarbeitung folgt unter anderem den folgenden Regeln, die sich aus einer internen Dienstanweisung(8) ergeben:

–      Die „Sozialdaten“ der Arbeitnehmer dürfen nicht an ihrem Dienstort erhoben oder gespeichert werden. Zudem dürfen solche Daten, die anfallen, wenn eine KV den MDK mit einer Begutachtung beauftragt, nicht mit Mitarbeiterdaten verwechselt werden, die im Rahmen eines Arbeits- oder Dienstverhältnisses verarbeitet werden.

–      Die Anträge auf gutachtliche Stellungnahmen über Beschäftigte des MDK werden als „Spezialfälle“ eingestuft und ausschließlich durch eine bestimmte Organisationseinheit bearbeitet(9).

–      Nach Abschluss der Begutachtung eines Beschäftigten des MDK werden sowohl die zugehörigen Unterlagen als auch die gutachtliche Stellungnahme im elektronischen Archiv des betreffenden MDK hinterlegt. Eine Zuordnung der Unterlagen zu bestimmten Personen ist nur über einen besonderen Schlüssel möglich, wobei die Zugriffsberechtigung technisch geprüft wird.

11.      Nach Archivierung des Gutachtens ist den Beschäftigten des Teilbereichs „IT Abteilung“ der Organisationseinheit „Spezialfall“, die einer gesetzlichen Geheimhaltungspflicht unterliegen, der Zugriff auch auf Gutachten möglich, die aufgrund eines Begutachtungsauftrags erstellt wurden, der eigene Beschäftigte des MDK betrifft.

12.      Seit dem 22. November 2017 war ZQ ununterbrochen arbeitsunfähig erkrankt.

13.      Ab dem 24. Mai 2018(10) bezog ZQ von seiner KV Krankengeld. Am 6. Juni 2018 beauftragte diese KV den MDK mit einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von ZQ.

14.      Der MDK nahm den Auftrag an und ordnete ihn der Organisationseinheit „Spezialfall“ zu. Am 22. Juni 2018 erstellte eine zu dieser Einheit gehörende, beim MDK angestellte Ärztin ein Gutachten, das die Diagnose der Krankheit von ZQ enthielt. Zur Erstellung des Gutachtens telefonierte die Ärztin mit dem behandelnden Arzt von ZQ und holte dort die benötigten Auskünfte ein.

15.      Der MDK archivierte das Gutachten elektronisch.

16.      Durch seinen behandelnden Arzt erfuhr ZQ vom Anruf der Ärztin des MDK.

17.      Am 1. August 2018 setzte sich ZQ mit einer Kollegin der IT‑Abteilung des MDK in Verbindung und fragte sie, ob ein Gutachten über ihn gespeichert sei. Nach einer Recherche im Archiv bestätigte die Kollegin dies. Auf Bitten von ZQ fotografierte die Kollegin das Gutachten und sandte ihm die Aufnahmen.

18.      Am 15. August 2018 forderte ZQ vom MDK erfolglos die Zahlung eines Schadenersatzes in Höhe von 20 000 Euro auf der Grundlage von Art. 82 DSGVO.

19.      Am 17. Oktober 2018 erhob ZQ Klage beim Arbeitsgericht Düsseldorf (Deutschland). In diesem Verfahren forderte er zudem materiellen Schadenersatz in Höhe der ihm entgangenen Verdienste(11).

20.      Im Verlauf des Gerichtsverfahrens beendete der MDK das Arbeitsverhältnis mit ZQ.

21.      Die Klage von ZQ wurde sowohl im ersten Rechtszug als auch im Berufungsverfahren abgewiesen(12).

22.      ZQ legte Revision zum Bundesarbeitsgericht (Deutschland) ein, das dem Gerichtshof die folgenden Fragen vorlegt:

1.      Ist Art. 9 Abs. 2 Buchst. h DSGVO dahin auszulegen, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten?

2.      Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchst. h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Sind in einem Fall wie hier über die in Art. 9 Abs. 3 DSGVO bestimmten Maßgaben hinaus weitere, gegebenenfalls welche Datenschutzvorgaben zu beachten?

3.      Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchst. h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Hängt in einem Fall wie hier die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon ab, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist?

4.      Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

5.      Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

III. Verfahren vor dem Gerichtshof

23.      Das Vorabentscheidungsersuchen ist am 8. November 2021 beim Gerichtshof eingegangen.

24.      ZQ, der MDK, die irische und die italienische Regierung sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht.

25.      Die Durchführung einer mündlichen Verhandlung ist nicht für erforderlich erachtet worden.

26.      Auf Wunsch des Gerichtshofs befassen sich die vorliegenden Schlussanträge nicht mit der vierten Vorlagefrage(13).

IV.    Würdigung

A.      Erste Vorlagefrage

27.      Das vorlegende Gericht möchte wissen, ob Art. 9 Abs. 2 Buchst. h DSGVO es einem MDK untersagt, die Gesundheitsdaten eines seiner eigenen Arbeitnehmer, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten. Es stellt folglich die Rechtmäßigkeit der Verarbeitung im Hinblick auf die Einrichtung, die die Verarbeitung vornimmt, in Frage(14).

28.      Art. 9 DSGVO regelt besondere Kategorien von Daten wie z. B. Gesundheitsdaten. Er enthält ein allgemeines Verbot der Verarbeitung „sensibler“ Daten (Abs. 1) und zählt abschließend die Umstände auf, unter denen das allgemeine Verbot nicht gilt (Abs. 2).

29.      Konkret enthält Art. 9 Abs. 2 Buchst. h DSGVO eine Ausnahme (von dem allgemeinen Verbot) in Bezug auf die Verarbeitung personenbezogener Daten „für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich“.

30.      Meines Erachtens deckt diese Bestimmung das streitgegenständliche Handeln des MDK ab(15). Es ist unerheblich, dass der für die Verarbeitung Verantwortliche zugleich Arbeitgeber der betroffenen Person ist, soweit der MDK nicht als Arbeitgeber, sondern als medizinischer Dienst einer KV handelt, bei der die betroffene Person versichert war(16).

31.      Ich sehe keine Grundlage für eine Auslegung von Art. 9 Abs. 2 Buchst. h DSGVO dahin, dass es einem Medizinischen Dienst untersagt wäre, Gesundheitsdaten seiner Mitarbeiter zu den in diesem Buchstaben genannten Zwecken zu verarbeiten. Die üblichen Auslegungskriterien führen vielmehr zum gegenteiligen Ergebnis (Nichtbestehen eines solchen Verbots).

32.      Nach dem Wortlaut sieht Art. 9 Abs. 2 Buchst. h DSGVO weder einen Ausschluss in diesem Sinne noch eine Voraussetzung für die Verarbeitung vor, nach der es sich bei dem Verantwortlichen um einen „neutralen Dritten“(17) handeln muss.

33.      Die Entstehungsgeschichte und die Entwicklung der Bestimmung deuten ebenfalls weder auf ein Verbot hin, wie es in der ersten Vorlagefrage angesprochen wird, noch auf die Absicht, ein solches Verbot vorzusehen(18).

34.      Der Zweck der Vorschriften der DSGVO über die Verarbeitung von Gesundheitsdaten besteht nach der Rechtsprechung des Gerichtshofs(19) darin, den betroffenen Personen aufgrund der besonderen Sensibilität dieser Daten im Hinblick auf die betroffenen Grundrechte einen erhöhten Schutz zu gewähren. Zu diesem Zweck wurde in Art. 9 Abs. 1 DSGVO ein allgemeines Verbot eingeführt, das jedoch nicht absolut ist(20).

35.      In diesem Bereich hat der Gesetzgeber, wie in anderen Bereichen, die die Verarbeitung personenbezogener Daten betreffen, nach Einführung des allgemeinen Verbots beschlossen,

–      Ausnahmen in Gestalt einer Liste konkreter Situationen vorzusehen, die man grob zusammenfassen kann in Situationen, in denen die betroffene Person die Verarbeitung erlaubt oder die Verarbeitung vorteilhaft für die betroffene Person ist, und in Situationen, in denen die Interessen des Einzelnen überwiegende Interessen bestehen;

–      für eine bestimmte Art der Verarbeitung besondere, über die bei der Verarbeitung der übrigen „nicht sensiblen“ Daten einzuhaltenden Vorgaben hinausgehende Vorsichtsmaßnahmen vorzusehen, die zusätzlich anzuwenden sind(21);

–      den Mitgliedstaaten zu gestatten, weitere Bedingungen, einschließlich Beschränkungen, für die Verarbeitung personenbezogener Daten einzuführen, etwa in Bezug auf Gesundheitsdaten (Art. 9 Abs. 4 DSGVO und 53. Erwägungsgrund am Ende) oder in Bezug auf Daten von Arbeitnehmern im Beschäftigungskontext (Art. 88 DSGVO)(22).

36.      Abstrakt betrachtet, spricht daher nichts dagegen, dass eine der von mir soeben erwähnten besonderen Vorsichtsmaßnahmen darin bestehen könnte, einem MDK die Verarbeitung von Gesundheitsdaten seiner eigenen Beschäftigten zu untersagen. Meines Erachtens ist diese Möglichkeit (für die der europäische Gesetzgeber sich nicht entschieden hat) jedoch nicht unabdingbar, um den oben genannten Zweck zu erreichen.

37.      Ich bin daher nicht der Ansicht, dass das Verbot, nach dem das vorlegende Gericht fragt, unausweichlich aus der teleologischen Auslegung von Art. 9 Abs. 2 Buchst. h DSGVO folgt.

38.      Ich denke auch nicht, dass die systematische Auslegung dieser Bestimmung zu einem anderen Ergebnis führt, denn:

–      Nähme man aus Gründen der Dialektik an, dass Art. 9 Abs. 2 Buchst. b DSGVO die einzige Grundlage wäre, auf der ein Arbeitgeber Gesundheitsdaten seiner Arbeitnehmer verarbeiten könnte(23), so berührte dies nicht die Möglichkeit, dass dieselbe Einrichtung nicht mehr als Arbeitgeber, sondern als medizinischer Dienst, der den Auftrag einer KV annimmt, die Verarbeitung im Rahmen einer anderen Ausnahme nach Art. 9 Abs. 2 vornimmt(24).

–      In Art. 9 Abs. 3 DSGVO sind die Bedingungen festgelegt, die von Personen einzuhalten sind, die personenbezogene Gesundheitsdaten verarbeiten. Art. 9 Abs. 2 Buchst. h verweist ausdrücklich auf Abs. 3; in subjektiver Hinsicht unterliegt die Verarbeitung keiner weiteren Voraussetzung(25).

39.      Zusammenfassend schlage ich vor, die erste Vorlagefrage zu verneinen (d. h., dass das streitgegenständliche Verbot in der DSGVO nicht vorgesehen ist), was es ermöglicht, auf die folgende Frage einzugehen.

B.      Zweite Vorlagefrage

40.      Für den Fall, dass die erste Vorlagefrage (wie ich vorschlage) verneint wird, möchte das vorlegende Gericht wissen, ob „in einem Fall wie hier über die in Art. 9 Abs. 3 DSGVO bestimmten Maßgaben hinaus weitere, gegebenenfalls welche Datenschutzvorgaben zu beachten [sind]“.

41.      Die Antwort dürfte allgemein keine größeren Probleme aufwerfen(26). Der Gerichtshof hat festgestellt, dass jede Verarbeitung personenbezogener Daten mit den in Art. 5 DSGVO aufgestellten Grundsätzen sowie mit einer der in Art. 6 DSGVO genannten Bedingungen für die Zulässigkeit im Einklang stehen muss(27).

42.      Nach Ansicht des vorlegenden Gerichts reicht die Einhaltung der Geheimhaltungspflicht (Art. 9 Abs. 3 DSGVO) unter Umständen wie denen des vorliegenden Falles nicht aus, um die Daten zu schützen. Es schlägt weitere ergänzende Maßnahmen vor, die seiner Ansicht nach die einzigen zu diesem Zweck geeigneten sind(28).

43.      Meines Erachtens kann Art. 9 Abs. 3 DSGVO als solcher nicht als Grundlage für diese zusätzlichen Maßnahmen dienen. Sein eindeutiger Wortlaut (der sich darauf beschränkt, eine bereits in der Richtlinie 95/46 enthaltene Bestimmung(29) zu präzisieren) bietet keine Grundlage für Vorschläge wie die des vorlegenden Gerichts.

44.      Diese Vorschläge könnten vielmehr unter Art. 9 Abs. 4 DSGVO fallen. Danach können die Mitgliedstaaten „zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von … Gesundheitsdaten betroffen ist“(30). Aus dem Vorlagebeschluss ist allerdings nicht ersichtlich, dass dies in Deutschland der Fall gewesen ist.

45.      Dies vorausgeschickt und aus den oben dargelegten Gründen muss die Verarbeitung personenbezogener Gesundheitsdaten u. a. den in Art. 5 Abs. 1 Buchst. f DSGVO verankerten Grundsatz und die sich daraus ergebenden Verpflichtungen beachten, die in Kapitel IV der DSGVO im Einzelnen aufgeführt sind.

46.      Zudem muss der für die Verarbeitung Verantwortliche(31) geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass die konkrete Verarbeitung im Einklang mit der DSGVO erfolgt. Dies ist allgemein in Art. 24 Abs. 1 DSGVO vorgesehen.

47.      Insbesondere verpflichtet Art. 32 Abs. 1 DSGVO den Verantwortlichen, „geeignete technische und organisatorische Maßnahmen [zu treffen], um ein dem Risiko“, das von der Verarbeitung der betreffenden personenbezogenen Daten ausgeht, „angemessenes Schutzniveau zu gewährleisten“.

48.      Bei Anwendung dieser Regeln auf den vorliegenden Fall führt die Arbeitgebereigenschaft des MDK im Verhältnis zu ZQ dazu, dass für den MDK eine Sorgfaltspflicht bei der Verarbeitung der Gesundheitsdaten von ZQ besteht, die über das normale Maß hinausgeht, da die Risiken ebenfalls größer sind(32).

49.      Dem MDK ist dies bewusst. Wenn er auf Ersuchen einer KV, der einer seiner Mitarbeiter angehört, Gutachten erstellt, um Zweifel an dessen Arbeits(un)fähigkeit auszuräumen, setzt er ein Bündel von Ad-hoc-Maßnahmen, technischen und organisatorischen Maßnahmen um, die darauf abzielen, dass die Verarbeitung personenbezogener Gesundheitsdaten im Einklang mit der DSGVO erfolgt(33).

50.      Die Beurteilung dieser Maßnahmen fällt in die Zuständigkeit des vorlegenden Gerichts, das auf der Grundlage seiner Bewertung entscheiden kann, dass die getroffenen Maßnahmen nicht ausreichend waren. Aber aus Art. 9 DSGVO lässt sich keine Verpflichtung eines MDK ableiten, von Amts wegen jeden Gutachtenantrag einer KV (in Bezug auf eigene Mitarbeiter) abzulehnen(34).

C.      Dritte Vorlagefrage

51.      Sofern die erste Vorlagefrage verneint wird, möchte das vorlegende Gericht mit der dritten Frage wissen, ob die Ausnahme vom Verbot der Verarbeitung von Gesundheitsdaten „davon ab[hängt], dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist“.

52.      Um diese Frage zu beantworten, ist das Verhältnis zwischen Art. 9 Abs. 2 und Art. 6 DSGVO, der die Rechtmäßigkeit der Verarbeitung betrifft, zu untersuchen. In den von mir bereits angeführten Urteilen des Gerichtshofs(35) ist festgestellt worden, dass der zuletzt genannte Artikel bei jeder Datenverarbeitung zu beachten ist.

53.      Insbesondere wurde im Zusammenhang mit der im Urteil in der Rechtssache C‑439/19(36) in Rede stehenden Sanktion Art. 10 DSGVO ausgelegt, der eine andere Kategorie sensibler personenbezogener Daten betrifft (Daten über strafrechtliche Verurteilungen und Straftaten)(37), und festgestellt, dass Art. 6 kumulativ zu Art. 10 DSGVO anzuwenden ist.

54.      Ist dieses Postulat auf die in Art. 9 DSGVO geregelten personenbezogenen Daten übertragbar?

55.      Der Aufbau von Art. 9 und 10 DSGVO ist unterschiedlich. Art. 10 enthält einen ausdrücklichen Verweis auf Art. 6 Abs. 1 DSGVO, der in Art. 9 nicht enthalten ist.

56.      Auch der Inhalt von Art. 9 Abs. 2 und Art. 10 DSGVO ist nicht vergleichbar: Art. 10 sieht lediglich eine subjektive Beschränkung der Verarbeitung vor, während Art. 9 Abs. 2 – genau wie Art. 6 Abs. 1 – Zwecke (oder Umstände) festlegt, die die Verarbeitung zulässig machen.

57.      Die Parallelen zwischen Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO erwecken auf den ersten Blick den Eindruck, als seien die Umstände, die in Art. 9 aufgeführt sind, Spezifizierungen der in Art. 6 enthaltenen Bedingungen: Sie sind genauer und werden zugleich strenger.

58.      Die Geschichte und die Entwicklung von Art. 9 DSGVO stellen jedoch in Frage, dass zwischen Art. 9 und Art. 6 ein Verhältnis im Sinne eines „speziellen Gesetzes“ und eines „allgemeinen Gesetzes“ besteht.

59.      Es ist belegt, dass diese Auslegung von den Delegationen einiger Mitgliedstaaten tatsächlich vertreten wurde(38). Allerdings ergeben sich aus den Dokumenten über die Aushandlung von Art. 9 keine Differenzen hinsichtlich des Verweises auf Art. 6(39), sondern hinsichtlich des Umfangs des Verweises (nur auf Abs. 1 oder auch auf andere Absätze?)(40). Letztlich wurde der in Art. 9 vorgesehene Verweis auf Art. 6 gestrichen(41), und man entschied sich dafür, in den Erwägungsgründen einen Absatz beizubehalten, der dem jetzigen 51. Erwägungsgrund der DSGVO ähnelt(42).

60.      Der Ansatz der Kumulierung oder Komplementarität der beiden Bestimmungen wird vom Europäischen Datenschutzausschuss geteilt(43) und wurde von der so genannten Artikel-29-Datenschutzgruppe(44) in Bezug auf Art. 8 der Richtlinie 95/46 vertreten(45). Er ist indes weder in der Lehre noch in anderen zuständigen Gremien unumstritten(46).

61.      Eine Betrachtung der verschiedenen Unterabsätze von Art. 9 Abs. 2 DSGVO führt mich zu dem Schluss, dass die Frage nach dem Verhältnis zwischen dieser Bestimmung und Art. 6 sich in Wirklichkeit nicht einheitlich beantworten lässt. Denn:

–      Ausnahmen vom Verbot der Verarbeitung, wie sie in Art. 9 Abs. 2 Buchst. a, c, g und i vorgesehen sind(47), stehen in einem direkten Zusammenhang mit einer spezifischen Rechtsgrundlage des Art. 6 Abs. 1 DSGVO und absorbieren diese.

–      Auf andere der in Art. 9 Abs. 2 DSGVO aufgeführten Ausnahmen trifft das allerdings nicht zu; diese bedürfen zusätzlich einer Rechtfertigung nach Art. 6 Abs. 1. Das gilt meines Erachtens auch für Art. 9 Abs. 2 Buchst. h, um den es in dieser Vorlagefrage geht.

62.      Ich bin daher der Ansicht, dass für die Rechtmäßigkeit der Verarbeitung sensibler Daten nach Art. 9 Abs. 2 Buchst. h DSGVO zu prüfen ist, welche der in Art. 6 Abs. 1 genannten Bedingungen diese Verarbeitung im Einzelfall zulässig machen.

63.      Das vorlegende Gericht stellt diese Auffassung nicht in Frage; vielmehr konzentriert es sich, von dieser Prämisse ausgehend, darauf, dem entgegenzutreten, dass die durch den MDK vorgenommene Verarbeitung gemäß Art. 6 rechtmäßig ist(48).

64.      Auf den ersten Blick scheint mir keine Rangfolge zwischen den in diesem Art. 6 Abs. 1 vorgesehenen Rechtsgrundlagen zu bestehen. Eine eingehendere Prüfung könnte ergeben, dass diese Einschätzung präzisiert werden muss(49). Ich bin jedoch der Auffassung, dass eine solche Prüfung über das hinausgehen würde, was zur Beantwortung dieses Vorabentscheidungsersuchens erforderlich ist(50).

65.      Im Ergebnis sollte die Antwort auf die dritte Vorlagefrage das vorlegende Gericht darauf hinweisen, dass die Ausnahme vom Verbot der Verarbeitung von Gesundheitsdaten voraussetzt, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt ist.

D.      Fünfte Vorlagefrage

66.      Das vorlegende Gericht möchte wissen, ob es „bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an[kommt]“, und insbesondere, ob „ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden [darf]“.

67.      In der Frage wird vorausgesetzt, dass gegen die DSGVO verstoßen wurde(51), und zwar durch die Person, die als für die Datenverarbeitung Verantwortlicher anzusehen ist, und es soll geklärt werden, ob es bei der Bemessung der Höhe des wegen dieses Verstoßes zu ersetzenden Schadens auf den Grad des Verschuldens des Verantwortlichen ankommt. Nach Ansicht des vorlegenden Gerichts ist fraglich, ob ein nicht vorliegendes oder geringes Verschulden des Verantwortlichen als entlastendes Element angesehen werden darf.

68.      Versteht man die Frage wörtlich, so bezieht sie sich auf die Bemessung des Schadenersatzes. Die Erläuterungen zu dieser Frage riefen jedoch eine gewisse Verwirrung hervor, da nicht klar war, ob sie sich auf das Verschulden als Voraussetzung für die Zurechnung der Haftung oder als Faktor für die Bemessung der Höhe des Schadenersatzes bezogen.

69.      Auf die Aufforderung des Gerichtshofs, diese Mehrdeutigkeit aufzuklären, hat das vorlegende Gericht ausgeführt, dass sich die Frage auf beide Aspekte beziehe, ohne ihren Zusammenhang mit dem Ausgangsrechtsstreit näher zu erläutern.

70.      Im Licht dieser Antwort schlage ich vor, die vom vorlegenden Gericht aufgeworfenen Fragen zu beantworten, nachdem (auch) die Aspekte erörtert worden sind, die der MDK hinsichtlich einer möglichen Beteiligung des Betroffenen an der Entstehung des Schadens vorgebracht hat(52). Ich werde meine Ausführungen in drei Schritte gliedern:

–      Im ersten Schritt gehe ich auf die Rechtsgrundlage für die Zurechnung der Haftung in Art. 82 DSGVO ein.

–      Im zweiten Schritt untersuche ich den Einfluss, den der Abruf personenbezogener Daten durch einen Mitarbeiter des für die Verarbeitung Verantwortlichen haben könnte(53). Ein spezieller und wesentlicher Bestandteil dieses Szenarios ist, dass der Mitarbeiter den Abruf auf Veranlassung des Betroffenen durchgeführt hat.

–      Im dritten Schritt befasse ich mich mit den Auswirkungen des Grades des Verschuldens des für die Verarbeitung Verantwortlichen auf die konkrete Bemessung des ersatzfähigen immateriellen Schadens.

1.      Rechtsgrundlage für die zivilrechtliche Haftung in Art. 82 DSGVO

71.      Nach Ansicht des vorlegenden Gerichts setzt die zivilrechtliche Haftung (des die Verarbeitung Leitenden(54)) gemäß Art. 82 Abs. 1 DSGVO das Vorliegen oder den Nachweis von Vorsatz oder Fahrlässigkeit nicht voraus. Abs. 3 dieses Artikels gebe keine andere Lösung her.

72.      Ich räume ein, dass nicht klar ist, welches Modell der zivilrechtlichen Haftung in der DSGVO gewählt worden ist, und dass a priori mehrere Auslegungen denkbar sind(55). Das Verständnis des vorlegenden Gerichts ist eine davon und meines Erachtens die zutreffende.

73.      Ein Verständnis von Art. 82 Abs. 1 DSGVO in dem Sinne, dass er eine zivilrechtliche Haftungsregelung einführt, die kein Verschulden des Leitenden voraussetzt, steht meines Erachtens in Einklang mit dem Wortlaut, findet in den Gesetzesmaterialien eine unmittelbare Stütze und dient vor allem dem Zweck der Vorschrift. Dieses Verständnis ist im Licht anderer Absätze der Vorschrift und des Systems insgesamt akzeptabel.

a)      Wortlaut

74.      Die Auffassung des vorlegenden Gerichts steht in Einklang mit dem Wortlaut von Art. 82 Abs. 1 DSGVO. Wörtlich ausgelegt, knüpft der Anspruch auf Schadenersatz zu Lasten des für die Verarbeitung Verantwortlichen ohne Weiteres an die Schäden an, die durch einen Verstoß gegen die DSGVO entstanden sind.

75.      Die übrigen Absätze von Art. 82 sprechen nicht für eine andere Auslegung(56). Insbesondere würde ich nicht so weit gehen, aus dem Wort „imputable“ („zurechenbar“) in Art. 82 Abs. 3 ein Verschulden als Voraussetzung abzuleiten. Der Begriff taucht nur in einigen Sprachfassungen der DSGVO auf, während in anderen der Ausdruck „responsable“ („verantwortlich“) verwendet wird. In der deutschen Sprachfassung wird weder in Art. 82 noch in den Erwägungsgründen der Fachbegriff für das Vertretenmüssen („Verschulden“) verwendet(57).

76.      Bei einem Vergleich der verschiedenen Bestimmungen der DSGVO wird deutlich, dass die verwendete Terminologie nicht immer eindeutig ist, so dass große Vorsicht dabei geboten sein sollte, Schlussfolgerungen aus dem Wortlaut zu ziehen. In der englischen Sprachfassung wird z. B. das Wort „responsible“ in zahlreichen Bedeutungen verwendet(58).

77.      Das Fehlen einer Bezugnahme auf Vorsatz oder Vertretenmüssen des Verantwortlichen in Art. 82 DSGVO bildet einen Kontrast zum Wortlaut von Art. 83, der Geldbußen betrifft: „Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall“ die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes gegen die DSGVO gebührend berücksichtigt(59).

78.      Wenngleich der Unterschied zwischen den Texten der Wortlautauslegung etwas von ihrem Gewicht nimmt, so trägt der Wortlaut zumindest den Gedanken, dass weder Vorsatz noch Vertretenmüssen in Art. 82 DSGVO erwähnt wird und dass dies auf einer bewussten Entscheidung und nicht auf einem Versehen des Gesetzgebers beruht.

b)      Gesetzesmaterialien

79.      Die Diskussion über die letztlich in der DSGVO gewählte Rechtsgrundlage für die Haftungszurechnung ist aufgrund des Kontexts unklar, in dem sie im Rat stattgefunden hat, da es um Fälle mit mehreren an der Verarbeitung beteiligten Akteuren ging.

80.      Diese Diskussion wurde mit verfahrensrechtlichen Erwägungen vermischt, ohne Begrifflichkeiten zu verwenden, die es ermöglichen, zwischen der Funktion des Verschuldens als Rechtsgrundlage für die Haftungszurechnung einerseits und der Funktion des fehlenden Verschuldens für die Zwecke der Haftungsbefreiung im Rahmen des Kausalzusammenhangs andererseits zu unterscheiden.

81.      Trotz allem denke ich, dass die Gesetzesmaterialen für ein Verständnis von Art. 82 Abs. 1 DSGVO sprechen, bei dem die zivilrechtliche Haftung nicht vom Verschulden des für die Verarbeitung Verantwortlichen abhängt.

82.      Der Vorschlag der Kommission folgte der Richtlinie 95/46 und erwähnte keine Fahrlässigkeit. In Ratsdokumenten wird erwähnt, dass die beabsichtigte Haftung als „strict liability“ ausgestaltet wird(60).

83.      Nach einer im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Parlaments vorgeschlagenen Änderung sollte Art. 82 (seinerzeit Art. 77) Abs. 1 einen Inhalt erhalten, in dem die Haftung von Vorsatz oder Fahrlässigkeit abhing(61). Sie setzte sich nicht durch(62).

84.      Im Rat konzentrierte sich die Diskussion über Art. 77 und das Kriterium für die Zurechnung auf die Zuweisung und Aufteilung der Verantwortlichkeit, wenn mehrere Personen an demselben Verarbeitungsvorgang beteiligt sind. In diesem Zusammenhang schlug die Präsidentschaft vor, zwischen zwei Optionen zu wählen(63):

–      Die erste Option sah vor(64), dass jeder Leitende oder Auftragsverarbeiter gegenüber dem Geschädigten als für den gesamten Schaden(65) rechtlich verantwortlich angesehen werden sollte, sofern er gegen ihm obliegende Verpflichtungen nach der DSGVO verstoßen hat(66). Seine Beteiligung am Schaden – selbst in minimalem Umfang – sollte dem Betroffenen erlauben, den gesamten Schaden ersetzt zu verlangen, bei mehreren Beteiligten von jedem von ihnen(67). Gleichwohl sollten beide von der Haftung befreit sein, wenn sie nachweisen konnten, dass sie für den Schaden gar nicht verantwortlich („responsible“) waren („0 % responsibility“); dies sollte sich aus einem Abs. 3 des Artikels ergeben. Beschrieben wurde dieses Modell als „closer (but certainly not equal) to the ‚liability follows fault principle‘“(68).

–      Die zweite Option sah für den Leitenden in Gestalt einer Art absoluten Haftung, für die keine Befreiung vorgesehen war, eine unumgängliche Verpflichtung vor, dem Betroffenen den gesamten Schaden zu ersetzen(69). Ein Anspruch des Betroffenen gegen den Auftragsverarbeiter sollte nur subsidiär bestehen(70). Auch für ihn war keine Befreiung vorgesehen.

85.      Der Kompromisstext, den die Präsidentschaft zur Annahme vorlegte, folgte in seiner allgemeinen Ausrichtung(71) der ersten Option, wobei im Wortlaut von Art. 77 Abs. 3 der Ausnahmecharakter der Befreiung und die Schwierigkeit des Nachweises betont wurden: „[I]f it [der Verantwortliche/Auftragsverarbeiter] proves that it is not in any way responsible …“(72). Dieser Wortlaut entspricht dem des letztlich angenommenen Artikels.

86.      Insgesamt betrachtet deutet die Entstehungsgeschichte bis zur endgültigen Fassung der DSGVO darauf hin, dass die Haftung nach Art. 82 Abs. 1 dieser Verordnung nicht von einem Verschulden des Leitenden abhängt.

c)      Zweck

87.      Mit der DSGVO wird ein System geschaffen, das ein hohes Datenschutzniveau für natürliche Personen gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten beseitigen soll(73). In diesem System dient Art. 82 dem Zweck, Schäden auszugleichen, unbeschadet dessen, dass er sekundär auch zur Abschreckung oder Vermeidung von Verhaltensweisen dient, die nicht den Vorgaben dieses Systems entsprechen(74).

88.      Die Gewährleistung des Ausgleichs ist für sich genommen ein Zweck: Dies ergibt sich aus der Bedeutung, die ihr der Gesetzgeber beimisst und die die schlichte Lektüre des Textes erkennen lässt. Im Rahmen der DSGVO ist die Erlangung eines Schadenersatzes nach dem Eintritt eines Schadens ein Recht der betroffenen Person; der Begriff „Schaden“ ist weit auszulegen, und der Schadenersatz muss vollständig und wirksam sein.

89.      Der Ausgleich steht im Zusammenhang mit dem Ziel, das Vertrauen der Bürger in das digitale Umfeld zu stärken, ein allgemeines Ziel, das im siebten Erwägungsgrund der DSGVO zum Ausdruck kommt. Der betroffenen Person zu garantieren, dass sie als grundsätzliche Lösung den aus einer rechtswidrigen Verarbeitung ihrer Daten folgenden Schaden nicht ohne Weiteres tragen muss, dient der Förderung dieses Vertrauens: Ihr Vermögen ist sicher, und ihr Anspruch ist einfacher durchsetzbar.

90.      Es steht im Einklang mit diesem Ansatz, dass Art. 82 Abs. 1 DSGVO die Verpflichtung zur Leistung von Schadenersatz nicht an die Verletzung einer Sorgfaltspflicht knüpft. Diese Verpflichtung trifft nach der Entscheidung des Gesetzgebers denjenigen, der eine bestimmte Stellung als Hüter oder Garant in der Beziehung einnimmt, und zwar gerade wegen dieses Umstands.

91.      Man könnte daher sagen, dass es für die DSGVO auf die Situation des Geschädigten ankommt, der den aus dem Verstoß folgenden Schaden erleidet, obwohl es keine Vorschrift gibt, die besagt, dass er dazu verpflichtet ist, diesen Schaden zu tragen.

92.      Für den Geschädigten spielt es keine Rolle, ob bei der Entstehung des Schadens ein Verschulden des Verursachers vorgelegen hat oder nicht: Entscheidend ist, dass der für die Verarbeitung Verantwortliche bzw. diese Leitende den materiellen oder immateriellen Schaden verursacht hat, der dem Geschädigten durch einen Verstoß des Verantwortlichen gegen die DSGVO entstanden ist.

93.      Die beschriebenen Zwecke lassen sich leichter mit einem Modell erreichen, das darauf abzielt, dass der nachgewiesene Schaden

–      in jedem Fall (außer bei einem Befreiungsgrund, der eine Ausnahme darstellt) ersetzt wird, und

–      zu einer Entschädigung führt, deren Erlangung (vergleichsweise) einfach ist, und zwar nicht nur, weil kein Verschulden des für die Verarbeitung Verantwortlichen nachzuweisen ist, sondern weil bei Vorliegen eines Verstoßes und eines damit zusammenhängenden Schadens die Zurechnung von keinerlei Grad des Verschuldens abhängt.

94.      Im Rahmen der Anpassung an die digitale Revolution(75) erscheint mir diese Lösung kohärent. Die schnelle technologische Entwicklung verlangt, dass bei den gängigsten Datenverarbeitungstätigkeiten, die online stattfinden, das Fehlen von Vorsatz oder Fahrlässigkeit nicht ausschließt, dass Schäden ausgeglichen werden müssen, die anderenfalls nicht gedeckt wären.

d)      Systematik

95.      Die von mir vorgeschlagene Auslegung passt besser zur Systematik der DSGVO. Dies wird im Rahmen von Art. 82 in dessen Abs. 3 bestätigt: Eine Befreiung ist möglich, wenn „[der Verantwortliche] nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“.

96.      Diese Formulierung unterstreicht den Ausdruck „in keinerlei Hinsicht“, der darauf hindeutet, dass es sich nicht um ein Modell handelt, das – in Verbindung mit einer Beweislastumkehr – ein Verschulden voraussetzt (nicht einmal ein ganz geringfügiges).

97.      Ein Verständnis, nach dem der Schadenersatz nicht vom Verschulden des für die Verarbeitung Verantwortlichen abhängt, verleiht Art. 82 eine eigenständige Bedeutung in Kapitel VIII und letztlich auch in der DSGVO insgesamt.

98.      Der europäische Gesetzgeber geht davon aus, dass die Verarbeitung personenbezogener Daten Risiken beinhalten kann. Er verpflichtet die an der Verarbeitung beteiligten Akteure, diese Risiken abzuschätzen und geeignete Maßnahmen zu ergreifen und zu aktualisieren, um die ermittelten Risiken zu vermeiden und zu minimieren(76).

99.      Es wurde vorgetragen, dass ein verschuldensabhängiges Modell für die zivilrechtliche Haftung die Sorgfalt und damit den Schutz vor Risiken fördere, während das alternative Modell, das die Art und Weise, in der sich der Akteur verhalten habe, nicht berücksichtige, ihm keinen Anreiz biete, Vorsichtsmaßnahmen zu ergreifen (weil er, sofern ein Schaden eintrete, diesen in jedem Fall ersetzen müsse).

100. Ich bin der Ansicht, dass dieses Ergebnis(77) in der DSGVO akzeptabel ist. Art. 82 ist Teil einer komplexen normativen Struktur mit öffentlich-rechtlichen und privatrechtlichen Instrumenten zum Schutz personenbezogener Daten. Innerhalb dieser Struktur sind Fahrlässigkeit (und Vorsatz) im Hinblick auf Geldbußen von Bedeutung. Ich sehe keine Notwendigkeit, dass sie auch im Hinblick auf die zivilrechtliche Haftung von Bedeutung sein müssen(78), was die Erreichung der Ziele des Art. 82 erschweren und darüber hinaus die praktische Attraktivität der darin vorgesehenen Abhilfemaßnahme verringern würde.

2.      Einfluss der Beteiligung des Betroffenen

101. Die Fragen nach der Erforderlichkeit eines Verschuldens des für die Verarbeitung Verantwortlichen hängen im vorliegenden Fall mit den Auswirkungen zusammen, die sich aus der Beteiligung des Betroffenen ergeben könnten(79).

102. Damit die nachfolgenden Ausführungen besser verständlich sind, möchte ich klarstellen, dass die Umstände des Rechtsstreits in zwei Szenarien dargestellt worden sind:

–      Im ersten Szenario stellt die Verarbeitung der personenbezogenen Daten von ZQ durch den MDK einen Verstoß gegen die DSGVO (gegen Art. 9 oder gegen Art. 6) dar. Allein das Vorliegen des Verstoßes führt zu einem Schaden(80).

–      Im zweiten Szenario stellt die beschriebene Datenverarbeitung keinen Verstoß gegen die DSGVO dar oder sie führt nicht zu einem Schaden. Der Schaden entsteht aufgrund des vom Betroffenen veranlassten Abrufs von Daten durch einen bestimmten Mitarbeiter des MDK(81).

103. Ich bin jedenfalls – wie offenbar auch das vorlegende Gericht(82) – der Ansicht, dass auf Art. 82 Abs. 3 zurückzugreifen ist, um zu ermitteln, welchen Einfluss das Verhalten des Betroffenen (gegebenenfalls) auf die Begehung der Tat hat, auf die der Schaden zurückgeht.

104. In der Vorschrift sind keine speziellen Gründe für eine Haftungsbefreiung aufgeführt, nicht einmal beispielhaft. Auch im 146. Erwägungsgrund sind solche Gründe nicht aufgeführt(83).

105. Insoweit weicht die DSGVO offenkundig von der Richtlinie 95/46 ab, deren Art. 23 Abs. 2 eine dem jetzigen Art. 82 Abs. 3 DSGVO ähnliche Regelung(84) enthielt: Im 55. Erwägungsgrund der Richtlinie 95/46 wurden als Beispiele für Befreiungsgründe die Verantwortlichkeit der betroffenen Person oder höhere Gewalt genannt(85), was nicht in die DSGVO übernommen wurde.

106. Aus den Gesetzesmaterialien zur DSGVO geht, sofern ich mich nicht irre, nicht hervor, dass diese beiden Beispiele, die auch im Vorschlag der Kommission(86) enthalten waren und vom Parlament beibehalten wurden(87), diskutiert worden wären.

107. Ihre Streichung und die Ergänzung der adverbialen Bestimmung „in keinerlei Hinsicht“ erfolgten im Rahmen der bereits erwähnten Diskussion über die Art und Weise, wie die Haftung bei einer Verarbeitung durch mehrere Verantwortliche oder Auftragsverarbeiter geregelt werden sollte(88).

108. Den verfügbaren Unterlagen(89) lässt sich entnehmen, dass der für die Verarbeitung Verantwortliche nach der endgültigen Fassung von der Haftung befreit war, wenn er nachwies, dass er überhaupt nicht für den Schaden verantwortlich („responsible“) war („0 % responsibility“). Das gleiche galt für den Auftragsverarbeiter(90).

109. Hiervon ausgehend, denke ich nicht, dass der Wegfall der beiden Beispiele in den Erwägungsgründen zusammen mit der Ergänzung des Ausdrucks „in keinerlei Hinsicht“ in diesen Erwägungsgründen und in Art. 82 Abs. 3 DSGVO zur Folge (oder zum Ziel) hatte, das Handeln der betroffenen Person aus den Haftungsbefreiungsgründen herauszunehmen(91).

110. Vielmehr scheint das Handeln der betroffenen Person nach wie vor geeignet zu sein, je nach Einzelfall die unerlässliche Verbindung zwischen dem „Umstand“ (Art. 82 Abs. 3 DSGVO verwendet diesen Begriff) und der Täterschaft des Verantwortlichen zu unterbrechen. Die Betonung der engen Grenzen der Ausweichklausel steht nicht dem entgegen, dass ein bestimmtes Verhalten der betroffenen Person als solches den Schaden auslöst und folglich zur Befreiung des Verantwortlichen von der Haftung führt.

111. Die systematische Auslegung spricht dafür, im Rahmen der Haftung für Schäden die Beteiligung des Betroffenen an deren Entstehung zu berücksichtigen. Im System der DSGVO beteiligt sich der Einzelne am Schutz seiner Daten, wozu ihm Werkzeuge an die Hand gegeben werden, die selbst Rechte sind.

112. Teleologisch betrachtet soll die DSGVO meines Erachtens ein hohes Maß an Schutz gewähren, aber dieser Schutz reicht nicht so weit, dass der Verantwortliche verpflichtet wird, auch Schäden zu ersetzen, die durch Ereignisse oder Handlungen entstehen, die der betroffenen Person zuzurechnen sind(92).

3.      Berechnung des Schadenersatzes. Einfluss des Grades des Verschuldens des für den Schaden Verantwortlichen

113. Das vorlegende Gericht hat bestätigt, dass es in der fünften Vorlagefrage darum geht, ob der Grad des Verschuldens des für die Verarbeitung Verantwortlichen für die Berechnung des Schadenersatzes von Bedeutung ist. Genauer gesagt möchte es wissen, ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen zu dessen Gunsten berücksichtigt werden darf.

114. Art. 82 DSGVO fasst sich zwar in Bezug auf die Schlüsselaspekte, die sich auf die Berechnung der Höhe des Ausgleichs auswirken könnten, ziemlich kurz oder hüllt sich insoweit geradezu in Schweigen. Er gibt dem Auslegenden keine Anhaltspunkte zu den Elementen, aus denen sich der Ausgleich zusammensetzt(93), den Kriterien für die Bemessung (Überführung in einen Betrag) dieser Elemente(94) oder den Faktoren, die sich auf seine Höhe auswirken können(95).

115. Gleichwohl bin ich der Ansicht, dass die DSGVO der betroffenen Person einen Schadenersatzanspruch einräumt, dessen Höhe sich nach dem tatsächlich erlittenen Schaden richtet. Ist der Betrag, der den Schaden ausgleicht, einmal objektiv festgestellt worden, so sollte er nicht in Abhängigkeit von der groben oder leichten Fahrlässigkeit des für die Verarbeitung Verantwortlichen geändert werden.

116. Zur Begründung meiner Auffassung verweise ich mutatis mutandis auf meine Ausführungen zur verschuldensunabhängigen Haftungszurechnung an den Verantwortlichen im System von Art. 82 DSGVO. Aus der Sicht des Opfers, dessen (materielles und immaterielles) Vermögen nach dem Eintritt des Schadens unangetastet bleiben muss, sollte der Ausgleich des Schadens unabhängig von einem Verschulden des Verantwortlichen, gleich welchen Grades, erfolgen(96).

117. Meines Erachtens kommt man zu diesem Ergebnis, wenn man berücksichtigt, dass sich Art. 82 DSGVO (da die Gesetzesmaterialien zu dieser Bestimmung keine Anhaltspunkte bieten, die für die eine oder die andere Auffassung sprechen)(97) von anderen Instrumenten des Unionsrechts unterscheidet, in denen, wenn es um die Festlegung des aus zivilrechtlicher Haftung zu ersetzenden Betrags geht, ausdrücklich danach unterschieden wird, ob die Beteiligung an dem Verstoß „wissentlich“ erfolgte oder nicht(98).

118. Diese Würdigung wird meines Erachtens durch zwei weitere Argumente gestützt:

–      Art. 83 DSGVO trägt der Fahrlässigkeit (oder Vorsätzlichkeit) des Handelnden bei der Abstufung der Höhe der Geldbuße Rechnung(99). Der Gesetzgeber hätte dieses Kriterium auch für die Berechnung der zivilrechtlichen Haftung heranziehen können, was er aber nicht getan hat.

–      In der DSGVO wird betont, dass der Schadenersatz vollständig und wirksam sein muss(100) (146. Erwägungsgrund und Art. 82 Abs. 4 für den Fall, dass mehrere Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt sind)(101). Meines Erachtens spricht das Adjektiv „vollständig“ dagegen, den Betrag des Schadenersatzes nach unten anzupassen, um einem geringeren Grad der Fahrlässigkeit des für die Verarbeitung Verantwortlichen Rechnung zu tragen(102).

V.      Ergebnis

119. Nach alledem schlage ich vor, dem Bundesarbeitsgericht (Deutschland) wie folgt zu antworten:

Art. 9 Abs. 2 Buchst. h und Abs. 3 sowie Art. 82 Abs. 1 und 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

es einem Medizinischen Dienst einer Krankenkasse nicht untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten.

Sie lassen eine Ausnahme vom Verbot der Verarbeitung personenbezogener Gesundheitsdaten zu, wenn diese Verarbeitung zur Beurteilung der Arbeitsfähigkeit des Arbeitnehmers erforderlich ist; dabei sind die in Art. 5 genannten Grundsätze sowie eine der in Art. 6 der Verordnung 2016/679 genannten Bedingungen für die Rechtmäßigkeit einzuhalten.

Der Grad des Verschuldens des Verantwortlichen oder des Auftragsverarbeiters ist weder für deren Haftung noch für die Bemessung der Höhe des nach Art. 82 Abs. 1 der Verordnung 2016/679 zu ersetzenden immateriellen Schadens von Bedeutung.

Die Beteiligung der betroffenen Person an dem Umstand, aus dem sich die Verpflichtung zum Schadenersatz ergibt, kann je nach Lage des Falles zu einer Befreiung des Verantwortlichen oder Auftragsverarbeiters von der Haftung gemäß Art. 82 Abs. 3 der Verordnung 2016/679 führen.

1      Originalsprache: Spanisch.

2      Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2016, L 314, S. 72, im Folgenden: DSGVO).

3      Sowie zu Art. 8 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31), dem unmittelbaren Vorläufer von Art. 9 DSGVO.

4      Die vierte Frage stimmt im Wesentlichen mit der ersten Frage in der Rechtssache C‑300/21, Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten), überein, in der ich am 6. Oktober 2022 meine Schlussanträge (EU:C:2022:756, im Folgenden: Schlussanträge in der Rechtssache C‑300/21) vorgelegt habe und in der am 4. Mai 2023 das Urteil des Gerichtshofs (EU:C:2023:370) ergangen ist.

5      [Betrifft nicht die deutsche Fassung.]

6      [Betrifft nicht die deutsche Fassung.] Im Folgenden: MDK.

7      Krankenversicherung (im Folgenden: KV).

8      „Dienstanweisung zum Schutz der Sozialdaten der Beschäftigten [des MDK] und ihrer Angehörigen“, zusammenfassend dargestellt in Rn. 6 ff. des Vorlagebeschlusses.

9      In dem Datenverarbeitungssystem, das der MDK intern nutzt, wurde eine virtuelle Organisationseinheit „Spezialfall“ eingerichtet, zu der nur die zu dieser Einheit gehörenden Beschäftigten Zugang haben.

10      Wegen des (gesetzlich bestimmten) Endes der Entgeltfortzahlung durch den MDK.

11      Seiner Ansicht nach hätte er, wenn es den Verstoß im Hinblick auf seine personenbezogenen Daten nicht gegeben hätte, seine berufliche Tätigkeit ab Dezember 2018 wieder aufnehmen können.

12      ArbG Düsseldorf, Urteil vom 22.02.2019 – 4 Ca 6116/18, und LAG Düsseldorf (12. Kammer), Urteil vom 11.03.2020 – 12 Sa 186/19.

13      Hierzu verweise ich auf das Urteil vom 4. Mai 2023, Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten) (C‑300/21, EU:C:2023:370).

14      Die nachfolgenden Ausführungen greifen der Antwort auf die dritte Vorlagefrage nicht vor.

15      Ich denke, dass dieser Bestimmung gegenüber Art. 9 Abs. 2 Buchst. b DSGVO der Vorzug zu geben ist. Die Verarbeitung scheint nicht erforderlich gewesen zu sein (und zwar weder für den MDK als Arbeitgeber noch für ZQ als Arbeitnehmer), um im Rahmen des Arbeitsverhältnisses Pflichten zu erfüllen oder Rechte wahrzunehmen.

16      Eine Verarbeitung sensibler Daten als Arbeitgeber (d. h. für Zwecke im Zusammenhang mit dem Arbeitsverhältnis) wäre nur dann rechtmäßig, wenn die in der DSGVO vorgesehenen Voraussetzungen für die Verarbeitung von Daten zu einem anderen Zweck als dem, zu dem sie erhoben wurden, vorliegen.

17      Rn. 22 des Vorlagebeschlusses. Die DSGVO schreibt vielmehr vor, dass weitere, in ihrem Art. 9 Abs. 3 aufgeführte Merkmale vorliegen müssen; siehe dazu unten, Nrn. 40 ff.

18      Die Vorgängervorschrift von Art. 9 DSGVO war Art. 8 der Richtlinie 95/46. Im Vorschlag der Kommission (Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr [Datenschutz-Grundverordnung] KOM[2012] 11 endgültig vom 25. Januar 2012, im Folgenden: Vorschlag der Kommission) war die Verarbeitung personenbezogener Gesundheitsdaten in Art. 81 geregelt, der Gründe für die Rechtmäßigkeit dieser Verarbeitung vorsah und verlangte, dass sie im Einklang mit dem Unionsrecht oder dem Recht der Mitgliedstaaten erfolgen müsse. Es war Sache der Mitgliedstaaten, geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorzusehen. Der Inhalt von Art. 81 wurde gemäß dem Dokument Nr. 14270/14, Ratspräsidentschaft an Datenschutzgruppe, vom 16. Oktober 2014, in Art. 9 Abs. 2 Buchst. h und Abs. 4 aufgenommen.

19      Urteil vom 24. September 2019, GC u. a. (Auslistung sensibler Daten) (C‑136/17, EU:C:2019:773, Rn. 44): „[D]ie spezifischen Anforderungen an die Verarbeitung der … besonderen Kategorien personenbezogener Daten … [dienen dem] Zweck …, einen erhöhten Schutz gegen eine solche Datenverarbeitung zu gewährleisten, die aufgrund der besonderen Sensibilität dieser Daten einen besonders schweren Eingriff in die durch die Art. 7 und 8 der Charta garantierten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen kann, wie sich auch aus dem 33. Erwägungsgrund der Richtlinie [95/46] und dem 51. Erwägungsgrund der Verordnung ergibt.“

20      Das Grundrecht auf Schutz personenbezogener Daten hat nicht automatisch Vorrang vor allen anderen Grundrechten, selbst wenn es um die besonderen Kategorien von Daten des Art. 9 Abs. 1 DSGVO geht: Urteil vom 24. September 2019, GC u. a. (Auslistung sensibler Daten) (C‑136/17, EU:C:2019:773, Rn. 66 bis 68).

21      Art. 9 Abs. 3 DSGVO.

22      Art. 88 DSGVO ermächtigt die Mitgliedstaaten, „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ vorzusehen. Zur Auslegung dieser Bestimmung verweise ich auf das Urteil vom 30. März 2023, Hauptpersonalrat der Lehrerinnen und Lehrer (C-34/21, EU:C:2023:270).

23      So scheint es das vorlegende Gericht zu verstehen. Ich für meinen Teil verweise auf Fn. 15 oben.

24      Ich stimme der Kommission zu, soweit sie vorträgt: „Der zweite Absatz [von Art. 9 DSGVO] sieht weder eine besondere Hierarchie noch ein etwaiges Abhängigkeitsverhältnis zwischen den Ausnahmetatbeständen vor, die gleichwertig nebeneinanderstehen“ (Rn. 13 ihrer schriftlichen Erklärungen).

25      Es ist nicht erforderlich, wie dies in der Richtlinie 95/46 der Fall war, dass die Verarbeitung „durch ärztliches Personal erfolgt, das … dem Berufsgeheimnis unterliegt, oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen“ (Hervorhebung nur hier). Die Verarbeitung muss jedoch von Personen durchgeführt werden, die einer Geheimhaltungspflicht unterliegen.

26      In Bezug auf „hinsichtlich der Grundrechte und Grundfreiheiten besonders sensib[le]“ Daten heißt es im 51. Erwägungsgrund der DSGVO: „Zusätzlich zu den speziellen Anforderungen an eine derartige Verarbeitung sollten die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten.“

27      Urteil vom 16. Januar 2019, Deutsche Post (C‑496/17, EU:C:2019:26, Rn. 57 und die dort angeführte Rechtsprechung). In Bezug auf sensible Daten: Urteile vom 24. September 2019, GC u. a. (Auslistung sensibler Daten) (C‑136/17, EU:C:2019:773, Rn. 64), und vom 22. Juni 2021, Latvijas Republikas Saeima (Strafpunkte) (C‑439/19, EU:C:2021:504, Rn. 96, 99, 100 und 102).

28      Vorlagebeschluss, Rn. 25 bis 27. Das vorlegende Gericht verweist auf die Einrichtung zweier voneinander unabhängiger Organisationseinheiten „Spezialfall“ und auch getrennter IT‑Abteilungen, wenn es um ein Gutachten gehe, das einen Mitarbeiter der IT‑Abteilung (wie ZQ) betreffe. Das Ziel müsse letztlich sein, dass kein Mitarbeiter des MDK tatsächlich Zugriff auf die Gesundheitsdaten eines Arbeitskollegen nehmen oder Kenntnis von einer Überprüfung der Arbeitsfähigkeit des Kollegen erlangen könne.

29      Art. 8 Abs. 3. Wie ich bereits dargelegt habe, wurde der Kreis der zur Verarbeitung befugten Personen in der DSGVO erweitert.

30      Art. 9 Abs. 4 DSGVO wurde aufgrund eines Vorschlags von Deutschland eingefügt: Dokument Nr. 6834/15, Präsidentschaft an Rat, vom 9. März 2015.

31      Das vorlegende Gericht stuft den MDK als solchen ein (Rn. 16 des Vorlagebeschlusses). Im weiteren Verlauf der vorliegenden Schlussanträge werde ich daher den Auftragsverarbeiter nicht erwähnen, es sei denn, dies ist zu einem bestimmten Zeitpunkt angebracht. Grundsätzlich lassen sich die Erwägungen in Bezug auf den Verantwortlichen auf den Auftragsverarbeiter übertragen.

32      Das vorlegende Gericht befürchtet insbesondere, dass bei einer Verletzung der Datensicherheit Kollegen von ZQ Kenntnis von seinem Gesundheitszustand erhalten könnten, was zu Spekulationen über seine Produktivität führen könnte. Zudem sei allein der Umstand, dass ein ärztliches Gutachten über die Arbeitsunfähigkeit vorliege, eine sensible Information, da damit auch die Möglichkeit der Vortäuschung der Arbeitsunfähigkeit assoziiert werden könne (Rn. 26 des Vorlagebeschlusses).

33      Siehe oben, Nr. 10.

34      Rn. 27 des Vorlagebeschlusses.

35      Siehe oben, Fn. 27. Zum Verhältnis zwischen Art. 6 und Art. 9 DSGVO vgl. auch die Rechtssache C‑252/21, Meta Platforms u. a. (Allgemeine Bedingungen für die Nutzung eines sozialen Netzwerks). Die Schlussanträge des Generalanwalts Rantos datieren vom 20. September 2022 (C‑252/21, EU:C:2022:704).

36      Urteil vom 22. Juni 2021, Latvijas Republikas Saeima (Strafpunkte) (EU:C:2021:504, Rn. 96, 99, 100 und 102).

37      Der Inhalt von Art. 10 DSGVO fand sich früher in Art. 8 der Richtlinie 95/46. In Art. 8 waren alle besonderen Kategorien von Daten zusammengefasst, wenngleich die Verarbeitung von Daten über Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln gesondert in Abs. 5 geregelt war. Die formale Trennung in der DSGVO geht nicht auf eine Änderung der Auffassung zurück, dass personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten „sensibel“ sind.

38      Dokument Nr. 17072/4/14 Rev 4, Rat an Ausschuss der Ständigen Vertreter, vom 4. März 2015, Fn. 60.

39      In Bezug auf die Rechtmäßigkeit der Verarbeitung wie auch in der endgültigen Fassung.

40      Dokument Nr. 17072/4/14 Rev 4, Rat an Ausschuss der Ständigen Vertreter, vom 4. März 2015, Art. 9 Abs. 2: „Paragraph 1 shall not apply if one of the following applies and Article 6(1) is complied with …“ und Fn. 60.

41      Ab dem Dokument Nr. 6834/15, Präsidentschaft an Rat, vom 9. März 2015.

42      Womit es sicherlich nicht gelungen ist, die Zweifel aller Delegationen auszuräumen. Vgl. z. B. Dokument Nr. 7466/15, Präsidentschaft an die Delegationen, vom 26. März 2015, Fn. 38.

43      Leitlinien 03/2020 für die Verarbeitung von Gesundheitsdaten für wissenschaftliche Forschungszwecke im Zusammenhang mit dem Ausbruch von COVID-19, April 2020, Rn. 15.

44      „Advice paper on special categories of data“, Ares(2011)444105 – 20/04/2011, S. 5.

45      Dieser Ansatz wird auch öffentlich von der Kommission vertreten: Minutes of the second meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680 vom 10. Oktober 2016, S. 2, und Minutes of the meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680 vom 20. Februar 2018, S. 2.

46      Für die Kumulierung oder Komplementarität z. B. Petri, T., „Art. 9“, in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Rn. 26, der allerdings anerkennt, dass diese Auffassung nicht unstreitig ist. Die gegenteilige Auffassung wird im Handbuch zum europäischen Datenschutzrecht der Agentur der Europäischen Union für Grundrechte, 2018, Nr. 4.1.1, S. 168/169, vertreten.

47      Diese Buchstaben betreffen: die ausdrückliche Einwilligung der betroffenen Person, eine Verarbeitung, die zum Schutz lebenswichtiger Interessen einer Person, die aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben, erforderlich ist, und eine Verarbeitung, die aus Gründen des öffentlichen Interesses erforderlich ist.

48      Rn. 30 und 31 des Vorlagebeschlusses.

49      Muss beispielsweise die Einwilligung der betroffenen Person, die als Rechtsgrundlage zu der in Art. 9 Abs. 2 Buchst. h vorgesehenen Ermächtigung hinzutritt, ausdrücklich sein, wie es Art. 9 vorsieht, oder reicht die Einwilligung gemäß Art. 6 Abs. 1 Buchst. a aus?

50      Eine andere Frage von geringerer Tragweite ist, ob es angesichts der Ausführungen des vorlegenden Gerichts zu Art. 6 Abs. 1 zweckmäßig wäre, die Bedeutung der dort genannten Voraussetzungen, insbesondere im Hinblick auf die Buchst. c und e, zu klären. Insoweit nehme ich Bezug auf die Rechtsprechung des Gerichtshofs zur Richtlinie 95/46: Urteile vom 16. Dezember 2008, Huber (C‑524/06, EU:C:2008:724, Rn. 62), und vom 30. Mai 2013, Worten (C‑342/12, EU:C:2013:355, Rn. 37), und zur DSGVO: Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, Rn. 66 ff.).

51      Das vorlegende Gericht tendiert dazu, wegen der Verarbeitung durch den MDK einen Verstoß gegen die Art. 9 und 6 DSGVO anzunehmen. In Rn. 32 des Vorlagebeschlusses führt es aus, dass bereits die Verletzung als solche für einen Schadenersatzanspruch ausreiche; in Rn. 33 betont es die automatische Entstehung eines Schadens durch den Verstoß („bereits die Verletzung der DSGVO selbst [führt] zu einem auszugleichenden immateriellen Schaden“). Aus den Gründen, die ich in meinen Schlussanträgen in der Rechtssache C‑300/21 dargelegt habe, teile ich diese Auffassung nicht.

52      Rn. 78 bis 80 der Erklärungen des MDK. Nach dessen Vorbringen hat der Betroffene den ihm entstandenen Schaden selbst verursacht, indem er weder das Gutachten angefordert noch gegenüber dem MDK sein Auskunftsrecht gemäß Art. 15 DSGVO geltend gemacht, sondern stattdessen auf die Dienste einer Kollegin aus seiner Abteilung zurückgegriffen habe, wodurch er den Zugriff auf die streitigen Daten veranlasst habe. In diesem Sinne ist auch im Urteil des Berufungsgerichts, LAG Düsseldorf (12. Kammer), Urteil vom 11.03.2020 – 12 Sa 186/19, Rn. 4.3.4.3, entschieden worden.

53      Der Zugriff der zur selben Abteilung wie der Betroffene gehörenden Mitarbeiterin auf die Daten erfolgte außerhalb der Fallkonstellationen, für die die Mitarbeiterin eine Berechtigung besaß, d. h. zu Zwecken, die nicht unter die Erbringung der in ihrem Vertrag vorgesehenen Arbeitstätigkeit fielen.

54      Im Folgenden werde ich den Begriff „Leitender“ als Synonym zum Begriff „Verantwortlicher“ verwenden.

55      Lässt man die Auffassung derjenigen beiseite, die vertreten, dass dieser Aspekt nicht geregelt ist, so spalten sich die Meinungen auf in die Befürworter eines Systems der verschuldensunabhängigen Haftung und die Befürworter eines Systems der verschuldensabhängigen Haftung mit Beweislastumkehr. Meiner Ansicht nach steht die DSGVO in Wirklichkeit, wie auch andere sektorspezifische (zivilrechtliche) Haftungsregelungen, weder mit dem einen noch mit dem anderen dieser beiden Hauptparadigmen, deren Grenzen auch nicht besonders scharf umrissen sind, vollständig in Einklang. Nach ihrem Wortlaut lässt sie sich unter beide Systeme subsumieren, mit kleineren Abweichungen, die letztlich zu einer Vermischung der Modelle führen: Im ersten Modell durch den hohen Sorgfaltsstandard, der nachgewiesen werden muss, um der Haftungszurechnung zu entgehen; im zweiten Modell durch die Einführung einer Beurteilung der Sorgfalt/Fahrlässigkeit im Rahmen der Befreiungsgründe oder bei der Feststellung des Verstoßes, je nach Art der in Rede stehenden Bestimmung.

56      Auch in Abs. 2, der als Spiegelbild zu Abs. 1 verstanden werden kann, soweit er die Verantwortlichkeit aus der Perspektive der Verpflichteten regelt, wird Verschulden als Voraussetzung nicht erwähnt.

57      In der spanischen Sprachfassung taucht das Wort „imputable“ dagegen in Art. 47 Abs. 2 Buchst. f der DSGVO auf, der in Bezug auf die Informationen, von denen der Erlass verbindlicher interner Datenschutzvorschriften abhängt, die Haftungsbefreiung bei Gruppen von Unternehmen mit Sitz innerhalb und außerhalb der Union betrifft. In der deutschen Fassung wurde der Begriff paraphrasiert („dem betreffenden Mitglied nicht zur Last gelegt werden kann“).

58      Vgl. Art. 82 Abs. 3, Art. 68 Abs. 4 oder Art. 75 Abs. 6.

59      Art. 83 Abs. 2 Buchst. b und Abs. 3. Zu der Auslegung dieses Artikels habe ich mich in meinen Schlussanträgen in der Rechtssache C‑807/21, Deutsche Wohnen (EU:C:2023:360), geäußert.

60      Unter anderem Dokument Nr. 17831/13, Ratspräsidentschaft an Datenschutzgruppe, vom 16. Dezember 2013, Fn. 542.

61      Änderung Nr. 2819, vorgeschlagen von Ilchev, S., Draft Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), Dokument PE501.927v04-00, Amendments (9): „Any person who has suffered damage as a result of an unlawful processing operation or of an action incompatible with this Regulation shall have the right to receive compensation from the controller or the processor for the damage suffered unless the controller or processor proves that they are not responsible for the damage either by intent or negligence“. Hervorhebung nur hier.

62      Vgl. den Begleittext zur legislativen Entschließung vom 12. März 2014 zu dem Vorschlag der Kommission (ABl. 2017, C 378, S. 399).

63      Dokument Nr. 9083/15, Rat an die Mitglieder der JI‑Datenschutzgruppe, vom 27. Mai 2015. Der Unterschied zwischen diesen beiden Optionen betrifft Art. 77 Abs. 3 bis 6. Abs. 1, in dem der Grundsatz der Haftung des Verantwortlichen und des Auftragsverarbeiters aufgestellt wurde, und Abs. 2, in dem der sachliche Umfang der Verantwortlichkeit beider Personen festgelegt und dabei der des Auftragsverarbeiters begrenzt wurde, stimmten überein.

64      Ebd., Nr. 5.

65      „… each non-compliant controller and/or processor involved in the processing are held liable for the entire amount of the damage“.

66      Oder im Fall des Auftragsverarbeiters, wenn er gegen vom Verantwortlichen im Einklang mit der DSGVO erteilte Anweisungen verstoßen hat.

67      Mit der Möglichkeit einer späteren Wiederholung: Art. 77 Abs. 6 in der ersten Option.

68      Dokument Nr. 9083/15, Präsidentschaft an Mitglieder der JI‑Datenschutzgruppe, vom 27. Mai 2015, Nr. 7. Eine verschuldensabhängige Haftung wurde von der Delegation des Vereinigten Königreichs offen formuliert. In Anbetracht ihrer Argumente wurde den übrigen Delegationen eine entsprechende Frage vorgelegt (Dokument Nr. 7722/15, Präsidentschaft an Datenschutzgruppe, vom 13. April 2015, Rn. 10 und 11). Der letztlich ausgewählte Vorschlag scheint dem von der deutschen Delegation vorgeschlagenen Kompromiss zu folgen (Dokument Nr. 8150/1/15 Rev 1, vom 6. Mai 2015), der zwischen dem Verhältnis des Verantwortlichen oder Auftragsverarbeiters zum Betroffenen und dem Verhältnis von Verantwortlichem und Auftragsverarbeiter untereinander unterschied, und insoweit eine von Vorsatz oder Verschulden abhängende Zurechnung vorsah: „[L]iability follows fault, meaning that a party is only liable if he/she has intentionally or negligently acted contrary to his[/her] duties laid down in this Regulation“. Im Verhältnis zum Betroffenen war eine Haftungsbefreiung möglich, wenn keine Fahrlässigkeit vorlag.

69      Ebd., Nr. 6, die mit den Worten schließt: „In other words, the mere fact that an entity was involved in a non-compliant processing operation which caused damage suffices for it to be held liable for the full amount of damages“.

70      In Art. 77 Abs. 4a sollte es bei dieser Option heißen: „If a data subject is not able to bring a claim for compensation against the controller …“.

71      Dokument Nr. 9565/15, Präsidentschaft an Rat, vom 11. Juni 2015.

72      Hervorhebung nur hier. Parallel zu dieser Ergänzung wurden die Beispiele für Befreiungsgründe im 118. Erwägungsgrund gestrichen: Siehe unten, Nrn. 104 ff.

73      Zehnter Erwägungsgrund der DSGVO.

74      Ich verweise auf meine Schlussanträge in der Rechtssache C‑300/21. Wie ich dort ausgeführt habe, möchte der Gesetzgeber die private Rechtsdurchsetzung im Bereich des Schutzes personenbezogener Daten fördern. Zu diesem Zweck wurden der betroffenen Person in Kapitel VIII der DSGVO Instrumente zur Verfügung gestellt. Der zivilrechtliche Schadenersatz gehört hierzu, hat jedoch keine Straffunktion.

75      Im Vorschlag der Kommission war dies eines der Argumente dafür, die Richtlinie 95/46 zu ersetzen.

76      Erwägungsgründe 77 ff. der DSGVO.

77      Dies möchte ich präzisieren: Die Haftung weist eine präventive Funktion auf, soweit sie die Entscheidung des Akteurs hinsichtlich des Umfangs der zu ergreifenden Maßnahmen beeinflusst. Die von mir vorgeschlagene Auslegung ermöglicht es, einen Bezug zwischen Art. 82 DSGVO und den Grundsätzen der Datenverarbeitung, wie der Zweckbindung, der Datenminimierung und der Richtigkeit (Art. 5 Abs. 1 Buchst. b, c und d DSGVO), herzustellen.

78      Indem Fahrlässigkeit zum Kriterium für die Haftungszurechnung gemacht würde.

79      Siehe oben, Fn. 52.

80      Auffassung des vorlegenden Gerichts (siehe oben, Fn. 51). Nach seinem Verständnis kann die Beteiligung der betroffenen Person, die den Zugriff auf ihre Daten veranlasst, keinen Einfluss auf die Haftungszurechnung haben. Sie könnte dagegen einen Einfluss auf die Bemessung des Schadenersatzes haben.

81      Auffassung des MDK und des Berufungsgerichts (siehe oben, Fn. 52). Tatsächlich könnte man argumentieren, dass in diesem Szenario das Element des „Schadens“ fehlt: volenti non fit iniuria.

82      Rn. 40 des Vorlagebeschlusses.

83      Im Unterschied zu Regelungen in anderen Sektoren (z. B. der Produkthaftung) nimmt die Festlegung der Befreiungsgründe in der DSGVO nicht die Form einer abschließenden Aufzählung an.

84      „Der für die Verarbeitung Verantwortliche kann teilweise oder vollständig von seiner Haftung befreit werden, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, ihm nicht zur Last gelegt werden kann.“

85      Der für die Verarbeitung Verantwortliche „[kann] von seiner Haftung befreit werden …, wenn er nachweist, dass der Schaden ihm nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt“. Hervorhebung nur hier.

86      118. Erwägungsgrund des Vorschlags der Kommission.

87      118. Erwägungsgrund des Begleittexts zur legislativen Entschließung des Parlaments vom 12. März 2014 zum Vorschlag der Kommission.

88      Siehe oben, Nrn. 84 ff. In den Dokumenten über die Verhandlungen im Rat waren die Beispiele vorhanden, aber nicht mehr im Kompromisstext, Dokument Nr. 9565/15, vom 11. Juni 2015.

89      Ich verweise hauptsächlich auf das Dokument Nr. 9083/15, Präsidentschaft an die Mitglieder der JI‑Datenschutzgruppe, vom 27. Mai 2015.

90      In Anbetracht des Kontexts (wie schon gesagt, lag besondere Aufmerksamkeit auf der Fallgestaltung, dass mehrere Akteure an der Verarbeitung beteiligt waren) lässt sich daraus ableiten, dass eine derartige Möglichkeit für den Verantwortlichen darin bestünde, nachzuweisen, dass der Schaden ausschließlich auf das Handeln des Auftragsverarbeiters zurückzuführen ist, und umgekehrt.

91      Ebenso wenig wie höhere Gewalt, den anderen ausdrücklich im 55. Erwägungsgrund der Richtlinie 95/46 genannten Grund (siehe oben, Nr. 105).

92      Dem Fall, dass Dritte beteiligt sind, greift dieses Argument logisch nicht vor. Zu diesem Aspekt vgl. Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 in der Rechtssache Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353).

93      Zur Beseitigung von Zweifeln, die im Rahmen der Geltung der Richtlinie 95/46 bestanden, ist in der DSGVO vorgesehen, dass auch immaterielle Schäden umfasst sind. Der 146. Erwägungsgrund bezieht sich auf „Schäden“ und betont, dass der Begriff „Schaden“ unter Berücksichtigung der Rechtsprechung des Gerichtshofs weit auszulegen ist. Über die genaue Tragweite dieses Hinweises lässt sich allerdings streiten.

94      Er enthält keinen Hinweis darauf, ob für die Bemessung des Schadens im Einzelfall auf Tabellen zurückzugreifen ist, ob Pauschalbeträge vorzuziehen oder andere Berechnungssysteme zu verwenden sind.

95      Zu diesen Faktoren könnten gegebenenfalls gehören: a) der vom vorlegenden Gericht genannte Faktor; b) das Vorliegen eines Verschuldens auf Seiten des Betroffenen, das der MDK in Rn. 80 seiner schriftlichen Erklärungen geltend macht; c) andere Faktoren, wie die Einführung von quantitativen Obergrenzen für den Schadenersatz, um nicht in ungerechtfertigter Weise von Datenverarbeitungsvorgängen oder davon abhängigen wirtschaftlichen Tätigkeiten abzuhalten.

96      Siehe oben, Nrn. 87 ff.

97      Die Richtlinie 95/46 enthielt dazu keine Regelung. In den Gesetzesmaterialien zur DSGVO habe ich keine Anhaltspunkte für Diskussionen über diesen Aspekt gefunden.

98      Verordnung (EG) Nr. 2100/94 des Rates vom 27. Juli 1994 über den gemeinschaftlichen Sortenschutz (ABl. 1994, L 227, S. 1), Art. 94 Abs. 2, oder Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums (ABl. 2004, L 157, S. 45), Art. 13, 26. Erwägungsgrund.

99      Art. 83 Abs. 2 Buchst. b und 148. Erwägungsgrund der DSGVO. In diesem Rahmen wird das Kriterium der Verhältnismäßigkeit nicht nur im Hinblick auf den Tatbestand, sondern auch im Hinblick darauf berücksichtigt, ob die Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person darstellt. Die irische Regierung schlägt in Rn. 54 ihrer Erklärungen vor, dieses Kriterium für die zivilrechtliche Haftung zu übernehmen. Wie schon gesagt, fehlt es an einem Wortlautargument, um dieses Kriterium als Bestandteil von Art. 82 anzusehen; es findet auch keine Stütze in den Gesetzesmaterialien, im Zweck der Regelung oder in ihrer Funktion insgesamt.

100      Der wirksame Schadenersatz muss geeignet sein, seine Schutzfunktion im Hinblick auf das Recht auf Datenschutz zu erfüllen.

101      Gemäß Art. 82 Abs. 2 und 3 DSGVO haften beide zivilrechtlich. Sie haften für den gesamten Schaden, unabhängig davon, in welchem Maß sie dazu beigetragen haben.

102      Ich bestreite nicht, dass es andere Umstände geben mag, die eine Herabsetzung des Betrags rechtfertigen: Ich denke z. B. an im Einzelfall gebotene Abwägungen des Anspruchs auf Schadenersatz (und darüber mittelbar des Rechts auf Datenschutz) gegen andere Rechtsgüter oder gleichrangige Rechte. In der DSGVO dient das Wort vollständig auch dazu, sicherzustellen, dass eine bestimmte Art von Schäden (immaterielle Schäden) vom Schadenersatzanspruch umfasst ist, zu verhindern, dass sich der Schadenersatz auf positive Schäden beschränkt (er muss andere Begriffe umfassen, wie der Gerichtshof in anderen Bereichen betont hat), und sicherzustellen, dass eine Mehrheit von an der Verarbeitung beteiligten Akteuren den Zugang zum Schadenersatz nicht erschwert, sondern vielmehr erleichtert.