EuGH bringt Klarheit über Rechtgrundlage für die Verarbeitung von Gesundheitsdaten

Tenor

1. Art. 9 Abs. 2 Buchst. h der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist dahin auszulegen, dass

die in dieser Bestimmung vorgesehene Ausnahme unter dem Vorbehalt, dass die betreffende Datenverarbeitung die in Buchst. h und in Art. 9 Abs. 3 ausdrücklich vorgeschriebenen Voraussetzungen und Garantien erfüllt, auf Situationen anwendbar ist, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen.

2. Art. 9 Abs. 3 der Verordnung 2016/679

ist dahin auszulegen, dass

der für eine auf Art. 9 Abs. 2 Buchst. h dieser Verordnung gestützte Verarbeitung von Gesundheitsdaten Verantwortliche gemäß diesen Bestimmungen nicht verpflichtet ist, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat. Eine solche Pflicht kann dem für eine solche Verarbeitung Verantwortlichen jedoch gemäß einer von einem Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 dieser Verordnung erlassenen Regelung oder aufgrund der in Art. 5 Abs. 1 Buchst. f dieser Verordnung genannten und in ihrem Art. 32 Abs. 1 Buchst. a und b konkretisierten Grundsätze der Integrität und der Vertraulichkeit obliegen.

3. Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 der Verordnung 2016/679

sind dahin auszulegen, dass

eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt.

4. Art. 82 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig zu ersetzen, und keine abschreckende oder Straffunktion erfüllt.

5. Art. 82 der Verordnung 2016/679

ist dahin auszulegen, dass

zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird.

Gründe

Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 9Abs. 1, Abs. 2 Buchst. h und Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO) in Verbindung mit Art. 6 Abs. 1 dieser Verordnung sowie die Auslegung von deren Art. 82 Abs. 1.

Es ergeht im Rahmen eines Rechtsstreits zwischen ZQ und seinem Arbeitgeber, dem Medizinischen Dienst der Krankenversicherung Nordrhein (Deutschland), (im Folgenden: MDK Nordrhein) über den Ersatz des Schadens, der ZQ aufgrund einer Verarbeitung von Gesundheitsdaten entstanden sein soll, die der MDK Nordrhein unrechtmäßig vorgenommen habe.

Rechtlicher Rahmen

Unionsrecht

In den Erwägungsgründen 4 bis 8, 10, 35, 51 bis 53, 75 und 146 der DSGVO heißt es:

"(4) Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta [der Grundrechte der Europäischen Union] anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, ... Schutz personenbezogener Daten ...

(5) Die wirtschaftliche und soziale Integration als Folge eines funktionierenden Binnenmarkts hat zu einem deutlichen Anstieg des grenzüberschreitenden Verkehrs personenbezogener Daten geführt. Der unionsweite Austausch personenbezogener Daten zwischen öffentlichen und privaten Akteuren einschließlich natürlichen Personen, Vereinigungen und Unternehmen hat zugenommen. Das Unionsrecht verpflichtet die Verwaltungen der Mitgliedstaaten, zusammenzuarbeiten und personenbezogene Daten auszutauschen, damit sie ihren Pflichten nachkommen oder für eine Behörde eines anderen Mitgliedstaats Aufgaben durchführen können.

(6) Rasche technologische Entwicklungen und die Globalisierung haben den Datenschutz vor neue Herausforderungen gestellt. Das Ausmaß der Erhebung und des Austauschs personenbezogener Daten hat eindrucksvoll zugenommen. Die Technik macht es möglich, dass private Unternehmen und Behörden im Rahmen ihrer Tätigkeiten in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen. Zunehmend machen auch natürliche Personen Informationen öffentlich weltweit zugänglich. Die Technik hat das wirtschaftliche und gesellschaftliche Leben verändert und dürfte den Verkehr personenbezogener Daten innerhalb der Union sowie die Datenübermittlung an Drittländer und internationale Organisationen noch weiter erleichtern, wobei ein hohes Datenschutzniveau zu gewährleisten ist.

(7) Diese Entwicklungen erfordern einen soliden, kohärenteren und klar durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union, da es von großer Wichtigkeit ist, eine Vertrauensbasis zu schaffen, die die digitale Wirtschaft dringend benötigt, um im Binnenmarkt weiter wachsen zu können. Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen. Natürliche Personen, Wirtschaft und Staat sollten in rechtlicher und praktischer Hinsicht über mehr Sicherheit verfügen.

(8) Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.

...

(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. ... Diese Verordnung bietet den Mitgliedstaaten zudem einen Spielraum für die Spezifizierung ihrer Vorschriften, auch für die Verarbeitung besonderer Kategorien von personenbezogenen Daten (im Folgenden 'sensible Daten'). ...

...

(35) Zu den personenbezogenen Gesundheitsdaten sollten alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. ...

...

(51) Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. ... Zusätzlich zu den speziellen Anforderungen an eine derartige Verarbeitung sollten die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten. Ausnahmen von dem allgemeinen Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten sollten ausdrücklich vorgesehen werden, unter anderem bei ausdrücklicher Einwilligung der betroffenen Person oder bei bestimmten Notwendigkeiten ...

(52) Ausnahmen vom Verbot der Verarbeitung besonderer Kategorien von personenbezogenen Daten sollten auch erlaubt sein, wenn sie im Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen sind, und – vorbehaltlich angemessener Garantien zum Schutz der personenbezogenen Daten und anderer Grundrechte – wenn dies durch das öffentliche Interesse gerechtfertigt ist, insbesondere für die Verarbeitung von personenbezogenen Daten auf dem Gebiet des Arbeitsrechts und des Rechts der sozialen Sicherheit einschließlich Renten und zwecks Sicherstellung und Überwachung der Gesundheit und Gesundheitswarnungen, Prävention oder Kontrolle ansteckender Krankheiten und anderer schwerwiegender Gesundheitsgefahren. Eine solche Ausnahme kann zu gesundheitlichen Zwecken gemacht werden, wie der Gewährleistung der öffentlichen Gesundheit und der Verwaltung von Leistungen der Gesundheitsversorgung, insbesondere wenn dadurch die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen sichergestellt werden soll, oder wenn die Verarbeitung im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken dient. ...

(53) Besondere Kategorien personenbezogener Daten, die eine[n] höheren [Schutz] verdienen, sollten nur dann für gesundheitsbezogene Zwecke verarbeitet werden, wenn dies für das Erreichen dieser Zwecke im Interesse einzelner natürlicher Personen und der Gesellschaft insgesamt erforderlich ist, insbesondere im Zusammenhang mit der Verwaltung der Dienste und Systeme des Gesundheits- oder Sozialbereichs, einschließlich der Verarbeitung dieser Daten durch die Verwaltung und die zentralen nationalen Gesundheitsbehörden zwecks Qualitätskontrolle, Verwaltungsinformationen und der allgemeinen nationalen und lokalen Überwachung des Gesundheitssystems oder des Sozialsystems und zwecks Gewährleistung der Kontinuität der Gesundheits- und Sozialfürsorge ... Diese Verordnung sollte daher harmonisierte Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Gesundheitsdaten im Hinblick auf bestimmte Erfordernisse harmonisieren, insbesondere wenn die Verarbeitung dieser Daten für gesundheitsbezogene Zwecke von Personen durchgeführt wird, die gemäß einer rechtlichen Verpflichtung dem Berufsgeheimnis unterliegen. Im Recht der Union oder der Mitgliedstaaten sollten besondere und angemessene Maßnahmen zum Schutz der Grundrechte und der personenbezogenen Daten natürlicher Personen vorgesehen werden. Den Mitgliedstaaten sollte gestattet werden, weitere Bedingungen – einschließlich Beschränkungen – in Bezug auf die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten beizubehalten oder einzuführen. ...

...

(75) Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder ‑betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn ... Gesundheitsdaten ... verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit ... analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen ...

...

(146) Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. ..."

In Kapitel I ("Allgemeine Bestimmungen") der DSGVO bestimmt Art. 2 ("Sachlicher Anwendungsbereich") Abs. 1 vor:

"Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen."

Art. 4 ("Begriffsbestimmungen") DSGVO bestimmt:

"Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. 'personenbezogene Daten' alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden 'betroffene Person') beziehen; ...

2. 'Verarbeitung' jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten ...;

...

7. 'Verantwortlicher' die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;

...

15. ,Gesundheitsdaten' personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;

..."

Kapitel II ("Grundsätze") der DSGVO umfasst die Art. 5 bis 11 dieser Verordnung.

Art. 5 ("Grundsätze für die Verarbeitung personenbezogener Daten") DSGVO sieht vor:

"(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (,Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz');

...

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (,Integrität und Vertraulichkeit');

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (,Rechenschaftspflicht')."

Art. 6 ("Rechtmäßigkeit der Verarbeitung") Abs. 1 DSGVO bestimmt:

"Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung."

In Art. 9 ("Verarbeitung besonderer Kategorien personenbezogener Daten") DSGVO heißt es:

"(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

...

b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,

...

h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,

...

(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist."

Kapitel IV ("Verantwortlicher und Auftragsverarbeiter") der DSGVO umfasst die Art. 24 bis 43.

In Abschnitt 1 ("Allgemeine Pflichten") dieses Kapitels steht Art. 24 ("Verantwortung des für die Verarbeitung Verantwortlichen") DSGVO; dessen Abs. 1 bestimmt:

"Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert."

In Abschnitt 2 ("Sicherheit personenbezogener Daten") dieses Kapitels steht Art. 32 ("Sicherheit der Verarbeitung") DSGVO; dessen Abs. 1 bestimmt:

"Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

..."

Kapitel VIII ("Rechtsbehelfe, Haftung und Sanktionen") der DSGVO umfasst die Art. 77 bis 84.

In Art. 82 ("Haftung und Recht auf Schadenersatz") DSGVO heißt es:

"(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. ...

(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Abs. 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

..."

Art. 83 ("Allgemeine Bedingungen für die Verhängung von Geldbußen") DSGVO sieht vor:

"(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

(2) ... Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

...

d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

...

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

..."

Art. 84 ("Sanktionen") Abs. 1 DSGVO bestimmt:

"Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein."

Deutsches Recht

Nach § 275 Abs. 1 Sozialgesetzbuch Fünftes Buch in seiner auf den Ausgangsrechtsstreit anwendbaren Fassung sind die gesetzlichen Krankenkassen in den gesetzlich bestimmten Fällen oder wenn es die Erkrankung des Versicherten erforderlich macht, verpflichtet, von einem Medizinischen Dienst, der sie unterstützt, insbesondere zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten, eine gutachtliche Stellungnahme einzuholen.

Nach § 278 Abs. 1 Satz 1 Sozialgesetzbuch Fünftes Buch wird in jedem Bundesland ein solcher Medizinischer Dienst als Körperschaft des öffentlichen Rechts errichtet.

Ausgangsverfahren und Vorlagefragen

Der MDK Nordrhein ist als Medizinischer Dienst der Krankenkassen eine Körperschaft öffentlichen Rechts. Er hat die gesetzliche Aufgabe, u. a. medizinische Gutachten zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von gesetzlich Versicherten, die in seinen Zuständigkeitsbereich fallen, zu erstellen, und zwar auch dann, wenn diese Gutachten seine eigenen Mitarbeiter betreffen.

In einem solchen Fall ist es nur den Mitgliedern einer besonderen Einheit, die als "Organisationseinheit Spezialfall" bezeichnet wird, gestattet, unter Verwendung eines gesperrten Bereichs des IT‑Systems des Medizinischen Dienstes die sogenannten "Sozialdaten" dieses Mitarbeiters zu verarbeiten und nach Abschluss des Begutachtungsauftrags Zugang zum elektronischen Archiv zu erhalten. Eine Dienstanweisung zu diesen Fällen sieht u. a. vor, dass eine begrenzte Zahl von Mitarbeitern, darunter bestimmte Mitarbeiter der IT‑Abteilung, Zugang zu diesen Daten haben.

Der Kläger des Ausgangsverfahrens arbeitete in der IT‑Abteilung des MDK Nordrhein, bevor er arbeitsunfähig wurde. Nach dem Ende der Entgeltfortzahlung durch den MDK Nordrhein bezog der Kläger Krankengeld von seiner gesetzlichen Krankenkasse.

Diese Krankenkasse beauftragte dann den MDK Nordrhein, eine gutachtliche Stellungnahme zur Arbeitsunfähigkeit des Klägers des Ausgangsverfahrens zu erstellen. Eine in der "Organisationseinheit Spezialfall" des MDK Nordrhein tätige Ärztin erstellte das Gutachten, indem sie u. a. Auskünfte vom behandelnden Arzt des Klägers des Ausgangsverfahrens einholte. Als dieser darüber von seinem behandelnden Arzt informiert wurde, kontaktierte er einen seiner Kollegen der IT‑Abteilung und bat ihn, Fotos von dem Gutachten, das sich im elektronischen Archiv des MDK Nordrhein befand, zu machen und ihm zu übermitteln.

Da er der Auffassung war, dass ihn betreffende Gesundheitsdaten auf diese Weise rechtswidrig von seinem Arbeitgeber verarbeitet worden seien, forderte der Kläger des Ausgangsverfahrens ihn auf, ihm eine Entschädigung in Höhe von 20 000 Euro zu zahlen, was der MDK Nordrhein ablehnte.

Daraufhin erhob der Kläger des Ausgangsverfahrens Klage beim Arbeitsgericht Düsseldorf (Deutschland) und beantragte auf der Grundlage von Art. 82 Abs. 1 DSGVO und den Vorschriften des deutschen Rechts, den MDK Nordrhein zu verurteilen, ihm den Schaden zu ersetzen, der ihm aufgrund der in dieser Weise erfolgten Verarbeitung personenbezogener Daten entstanden sein soll. Er machte im Wesentlichen geltend, dass zum einen das in Rede stehende Gutachten von einem anderen Medizinischen Dienst hätte erstellt werden müssen, um zu verhindern, dass seine Kollegen Zugang zu Gesundheitsdaten bekämen, und dass zum anderen die Sicherheitsmaßnahmen rund um die Archivierung des Berichts über dieses Gutachten unzureichend gewesen seien. Außerdem stelle diese Verarbeitung einen Verstoß gegen die Vorschriften über den Schutz solcher Daten dar, durch den ihm sowohl immaterielle als auch materielle Schäden entstanden seien.

Zu seiner Verteidigung machte der MDK Nordrhein im Wesentlichen geltend, dass die Sammlung und Speicherung von Gesundheitsdaten des Klägers des Ausgangsverfahrens im Einklang mit den Vorschriften über den Schutz solcher Daten erfolgt seien.

Da seine Klage in erster Instanz abgewiesen wurde, legte der Kläger des Ausgangsverfahrens Berufung beim Landesarbeitsgericht Düsseldorf (Deutschland) ein, das seine Klage ebenfalls abwies. Daraufhin legte er Revision beim Bundesarbeitsgericht (Deutschland) ein, dem vorlegenden Gericht in der vorliegenden Rechtssache.

Dieses geht davon aus, dass im Ausgangsrechtsstreit das vom MDK Nordrhein als Medizinischem Dienst erstellte Gutachten eine "Verarbeitung" von "personenbezogenen Daten" und, genauer gesagt, von "Gesundheitsdaten" im Sinne von Art. 4 Nrn. 1, 2 und 15 DSGVO darstelle, so dass diese Verarbeitung in den sachlichen Anwendungsbereich dieser Verordnung falle, wie er in deren Art. 2 Abs. 1 definiert werde. Zudem sei der MDK Nordrhein "Verantwortlicher" im Sinne von Art. 4 Nr. 7 dieser Verordnung.

Die Fragen des vorlegenden Gerichts beziehen sich als Erstes – u. a. in Anbetracht der Tatsache, dass die im Ausgangsverfahren in Rede stehende Verarbeitung von einer Stelle durchgeführt wurde, die auch der Arbeitgeber der betroffenen Person ist, wie sie in Art. 4 Nr. 1 DSGVO definiert wird – auf die Auslegung mehrerer Bestimmungen von Art. 9 DSGVO, der die Verarbeitung besonderer Kategorien personenbezogener Daten betrifft.

Zunächst bezweifelt das vorlegende Gericht, dass die im Ausgangsverfahren in Rede stehende Verarbeitung von Gesundheitsdaten unter eine der in Art. 9 Abs. 2 DSGVO vorgesehenen Ausnahmen fallen kann. Nur die Ausnahmen in Abs. 2 Buchst. b und h seien im vorliegenden Fall einschlägig. Allerdings schließt es von vornherein aus, die in Buchst. b vorgesehene Ausnahme im vorliegenden Fall anzuwenden, da die im Ausgangsverfahren in Rede stehende Verarbeitung für die Rechte und Pflichten des Verantwortlichen in seiner Eigenschaft als Arbeitgeber der betroffenen Person nicht erforderlich gewesen sei. Diese Verarbeitung sei nämlich von einer anderen Stelle initiiert worden, die den MDK Nordrhein beauftragt habe, eine Kontrolle in seiner Eigenschaft als Medizinischer Dienst durchzuführen. Obwohl das vorlegende Gericht dazu neigt, auch die in Buchst. h vorgesehene Ausnahme nicht anzuwenden, da es meint, dass nur eine von einem "neutralen Dritten" vorgenommene Verarbeitung darunter fallen sollte und eine Stelle sich nicht auf ihre "Doppelfunktion" als Arbeitgeber und als Medizinischer Dienst stützen könne, um dem Verbot einer solchen Verarbeitung zu entgehen, zeigt sich das vorlegende Gericht in dieser Hinsicht jedoch nicht kategorisch.

Unter der Annahme, dass die Verarbeitung von Gesundheitsdaten unter solchen Umständen nach Art. 9 Abs. 2 Buchst. h DSGVO erlaubt wäre, stellt sich das vorlegende Gericht darüber hinaus Fragen zu den Regeln in Bezug auf den Schutz von Gesundheitsdaten, die in diesem Rahmen beachtet werden müssen. Seiner Ansicht nach ist es gemäß dieser Verordnung nicht ausreichend, dass der Verantwortliche die Anforderungen in Art. 9Abs. 3 DSGVO erfüllt. Er müsse außerdem gewährleisten, dass keiner der Kollegen der betroffenen Person irgendeinen Zugang zu ihren Gesundheitsdaten habe.

Ferner möchte das vorlegende Gericht, immer noch unter dieser Annahme, wissen, ob darüber hinaus zumindest eine der in Art. 6Abs. 1 DSGVO genannten Voraussetzungen erfüllt sein muss, damit eine solche Verarbeitung rechtmäßig ist. Seiner Ansicht nach müsste dies der Fall sein, und im Rahmen des Ausgangsverfahrens könnten von vornherein nur die Buchst. c und e dieses Art. 6 Abs. 1 Unterabs. 1 in Betracht kommen. Allerdings dürften diese beiden Buchst. c und e nicht zur Anwendung kommen, weil die betreffende Verarbeitung nicht "erforderlich" im Sinne dieser Bestimmungen sei, denn sie könne genauso gut von einem anderen Medizinischen Dienst als dem MDK Nordrhein durchgeführt werden.

Falls im vorliegenden Fall ein Verstoß gegen die DSGVO gegeben sein sollte, stellt sich das vorlegende Gericht als Zweites Fragen zu dem Schadenersatz, der dem Kläger des Ausgangsverfahrens gemäß Art. 82 dieser Verordnung möglicherweise geschuldet wird.

Zum einen möchte es wissen, ob die in Art. 82 Abs. 1 DSGVO vorgesehene Regelung neben ihrer Ausgleichsfunktion auch abschreckenden oder Strafcharakter hat, und gegebenenfalls, ob es dies bei der Festlegung der Höhe des für einen immateriellen Schaden gewährten Schadenersatzes insbesondere in Anbetracht der Grundsätze der Effektivität, der Verhältnismäßigkeit und der Äquivalenz, die in anderen Bereichen des Unionsrechts verankert seien, berücksichtigen muss.

Zum anderen neigt das vorlegende Gericht der Ansicht zu, dass der Verantwortliche auf der Grundlage von Art. 82 Abs. 1 haftbar sein könne, ohne dass dafür der Nachweis eines Verschuldens erforderlich sei. Da es jedoch in erster Linie in Anbetracht der Vorschriften des deutschen Rechts Zweifel hat, fragt es sich, ob überprüft werden müsste, dass der in Rede stehende Verstoß gegen die DSGVO dem Verantwortlichen wegen einer vorsätzlichen oder fahrlässigen Handlung seinerseits zuzurechnen sei, ob sich der Grad seines etwaigen Verschuldens auf den als Entschädigung für den immateriellen Schaden gewährten Schadenersatz auswirken müsse.

Unter diesen Umständen hat das Bundesarbeitsgericht beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1. Ist Art. 9 Abs. 2 Buchst. h DSGVO dahin auszulegen, dass es einem Medizinischen Dienst einer Krankenkasse untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten?

2. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchst. h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Sind in einem Fall wie hier über die in Art. 9 Abs. 3 DSGVO bestimmten Maßgaben hinaus weitere, gegebenenfalls welche Datenschutzvorgaben zu beachten?

3. Für den Fall, dass der Gerichtshof die Frage zu 1. verneinen sollte mit der Folge, dass nach Art. 9 Abs. 2 Buchst. h DSGVO eine Ausnahme von dem in Art. 9 Abs. 1 DSGVO bestimmten Verbot der Verarbeitung von Gesundheitsdaten in Betracht käme: Hängt in einem Fall wie hier die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon ab, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist?

4. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

5. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

Zu den Vorlagefragen

Zur ersten Frage

Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob in Anbetracht des in Art. 9 Abs. 1 DSGVO enthaltenen Verbots der Verarbeitung von Gesundheitsdaten Art. 9Abs. 2 Buchst. h DSGVO dahin auszulegen ist, dass die darin vorgesehene Ausnahme auf Situationen anwendbar ist, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht in ihrer Eigenschaft als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen.

Nach ständiger Rechtsprechung sind bei der Auslegung einer Bestimmung des Unionsrechts nicht nur deren Wortlaut, sondern auch der Zusammenhang, in den sie sich einfügt, und die Ziele zu berücksichtigen, die mit der Regelung, zu der sie gehört, verfolgt werden. Die Entstehungsgeschichte einer Bestimmung des Unionsrechts kann ebenfalls relevante Anhaltspunkte für ihre Auslegung liefern (Urteil vom 16. März 2023, Towercast, C‑449/21, EU:C:2023:207, Rn. 31 und die dort angeführte Rechtsprechung).

Als Erstes ist darauf hinzuweisen, dass sich Art. 9 DSGVO, wie es in seiner Überschrift heißt, auf die "Verarbeitung besonderer Kategorien personenbezogener Daten" bezieht, die in den Erwägungsgründen 10 und 51 dieser Verordnung auch als "sensible" Daten bezeichnet werden.

Im 51. Erwägungsgrund der DSGVO heißt es, dass personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, einen besonderen Schutz verdienen, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können.

In Art. 9 Abs. 1 DSGVO wird somit der Grundsatz aufgestellt, dass die Verarbeitung der dort aufgezählten besonderen Kategorien personenbezogener Daten untersagt ist. Zu diesen Kategorien gehören "Gesundheitsdaten", wie sie in Art. 4 Nr. 15 DSGVO im Licht des 35. Erwägungsgrundes dieser Verordnung definiert werden; um diese Daten geht es in der vorliegenden Rechtssache.

Der Gerichtshof hat klargestellt, dass der Zweck von Art. 9 Abs. 1 DSGVO darin besteht, einen erhöhten Schutz vor Datenverarbeitungen zu gewährleisten, die aufgrund der besonderen Sensibilität der Daten, die Gegenstand der Verarbeitungen sind, einen besonders schweren Eingriff in die durch die Art. 7 und 8 der Charta der Grundrechte verbürgten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen können (vgl. in diesem Sinne Urteil vom 5. Juni 2023, Kommission/Polen [Unabhängigkeit und Privatleben von Richtern], C‑204/21, EU:C:2023:442, Rn. 345 und die dort angeführte Rechtsprechung).

Art. 9 Abs. 2 Buchst. a bis j DSGVO sieht jedoch eine abschließende Liste von Ausnahmen vom Grundsatz des Verbots der Verarbeitung dieser sensiblen Daten vor.

Insbesondere gestattet Art. 9 Abs. 2 Buchst. h DSGVO eine solche Verarbeitung, wenn sie "für die Beurteilung der Arbeitsfähigkeit des Beschäftigten ... auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs ... erforderlich" ist. Diese Bestimmung stellt klar, dass jede auf sie gestützte Verarbeitung überdies speziell "vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien" erforderlich sein muss.

Aus Art. 9 Abs. 2 Buchst. h DSGVO in Verbindung mit Abs. 3 dieses Artikels folgt, dass die Möglichkeit, sensible Daten wie Gesundheitsdaten zu verarbeiten, durch eine Reihe kumulativer Voraussetzungen streng reglementiert ist. Diese beziehen sich erstens auf die in Buchst. h aufgezählten Zwecke – zu denen die Beurteilung der Arbeitsfähigkeit eines Arbeitnehmers gehört –, zweitens auf die Rechtsgrundlage dieser Datenverarbeitung – gemäß Buchst. h das Unionsrecht oder das Recht eines Mitgliedstaats oder ein Vertrag mit einem Angehörigen eines Gesundheitsberufs – und drittens auf die Geheimhaltungspflicht, der die zu einer solchen Datenverarbeitung berechtigten Personen nach Art. 9 Abs. 3 DSGVO unterliegen, wobei diese Personen gemäß dieser letztgenannten Bestimmung dem Berufsgeheimnis unterliegen müssen.

Wie der Generalanwalt in den Nrn. 32 und 33 seiner Schlussanträge im Wesentlichen ausgeführt hat, geben weder der Wortlaut von Art. 9 Abs. 2 Buchst. h DSGVO noch die Entstehungsgeschichte dieser Bestimmung Hinweise für die Annahme, dass die Anwendung der in dieser Bestimmung vorgesehenen Ausnahme, wie das vorlegende Gericht vorschlägt, den Fällen vorbehalten sei, in denen die Datenverarbeitung durch einen "neutralen Dritten und nicht durch den Arbeitgeber" der betroffenen Person, wie sie in Art. 4 Nr. 1 DSGVO definiert wird, erfolgt.

In Anbetracht der Auffassung des vorlegenden Gerichts, nach der sich im Wesentlichen eine Stelle nicht auf ihre "Doppelfunktion" als Arbeitgeber der betroffenen Person und als Medizinischer Dienst berufen können sollte, um auf diese Weise dem grundsätzlichen Verbot der Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO zu entgehen, ist darauf hinzuweisen, dass es von entscheidender Bedeutung ist, zu berücksichtigen, zu welchem Zweck diese Daten verarbeitet werden.

Zwar ist nach Art. 9 Abs. 1 DSGVO die Verarbeitung von Gesundheitsdaten grundsätzlich untersagt, Art. 9 Abs. 2 DSGVO sieht jedoch in seinen Buchst. a bis j zehn Ausnahmen vor, die voneinander unabhängig sind und daher autonom zu beurteilen sind. Folglich ist ein Verantwortlicher durch die Tatsache, dass die Voraussetzungen für die Anwendung einer der in Art. 9 Abs. 2 aufgeführten Ausnahmen nicht erfüllt sind, nicht daran gehindert, sich auf eine andere in dieser Bestimmung genannte Ausnahme zu berufen.

Aus dem Vorstehenden ergibt sich, dass Art. 9 Abs. 2 Buchst. h DSGVO in Verbindung mit Abs. 3 dieses Artikels keineswegs die Anwendbarkeit der in Buchst. h genannten Ausnahme auf Situationen ausschließt, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer als Medizinischer Dienst und nicht in ihrer Eigenschaft als Arbeitgeber verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu prüfen.

Als Zweites wird diese Auslegung durch die Berücksichtigung des Zusammenhangs gestützt, in den sich Art. 9 Abs. 2 Buchst. h DSGVO einfügt, sowie durch die Ziele, die diese Verordnung und diese Bestimmung verfolgen.

Erstens ist Art. 9 Abs. 2 DSGVO, da er eine Ausnahme vom Grundsatz des Verbots der Verarbeitung besonderer Kategorien personenbezogener Daten vorsieht, zwar eng auszulegen (Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C‑252/21, EU:C:2023:537, Rn. 76).

Allerdings darf die Beachtung des in Art. 9 Abs. 1 DSGVO genannten grundsätzlichen Verbots nicht dazu führen, den Anwendungsbereich einer anderen Bestimmung dieser Verordnung in einer Art und Weise einzuschränken, die ihrem eindeutigen Wortlaut zuwiderliefe. Die vorgeschlagene Auslegung, wonach der Anwendungsbereich der in Art. 9 Abs. 2 Buchst. h DSGVO vorgesehenen Ausnahme auf die Fälle beschränkt sein sollte, in denen ein "neutraler Dritter" die Gesundheitsdaten verarbeitet, um die Arbeitsfähigkeit eines Arbeitnehmers zu prüfen, würde jedoch eine Anforderung hinzufügen, die aus dem eindeutigen Wortlaut dieser Bestimmung in keiner Weise hervorgeht.

Insoweit ist nicht von Belang, dass vorliegend, falls dem MDK Nordrhein untersagt würde, seine Aufgabe als Medizinischer Dienst wahrzunehmen, wenn es sich um einen seiner eigenen Mitarbeiter handelt, eine andere Stelle für medizinische Begutachtung diese Aufgabe übernehmen könnte. Es ist darauf hinzuweisen, dass diese vom vorlegenden Gericht angesprochene Alternative nicht unbedingt in allen Mitgliedstaaten und in allen Situationen, die von Art. 9 Abs. 2 Buchst. h DSGVO erfasst werden können, zur Verfügung steht oder durchführbar ist. Die Auslegung dieser Bestimmung darf jedoch nicht von Erwägungen geleitet werden, die aus dem Gesundheitssystem eines einzigen Mitgliedstaats hergeleitet werden oder sich aus den den Ausgangsrechtsstreit kennzeichnenden Umständen ergeben.

Zweitens steht die Auslegung in Rn. 48 des vorliegenden Urteils mit den Zielen der DSGVO und denen ihres Art. 9 in Einklang.

So ist das Recht auf Schutz der personenbezogenen Daten nach dem vierten Erwägungsgrund der DSGVO kein uneingeschränktes Recht, da es im Hinblick auf seine gesellschaftliche Funktion gesehen werden und gegen andere Grundrechte abgewogen werden muss (vgl. in diesem Sinne Urteil vom 22. Juni 2023, Pankki S, C‑579/21, EU:C:2023:501, Rn. 78). Zudem hat der Gerichtshof bereits hervorgehoben, dass die Mechanismen, die es ermöglichen, einen angemessenen Ausgleich zwischen den verschiedenen berührten Rechten und Interessen zu finden, in der DSGVO selbst festgelegt sind (vgl. in diesem Sinne Urteil vom 17. Juni 2021, M.I.C.M., C‑597/19, EU:C:2021:492, Rn. 112).

Diese Erwägungen gelten auch dann, wenn die betreffenden Daten zu einer der in Art. 9 DSGVO genannten besonderen Kategorien wie z. B. Gesundheitsdaten gehören (vgl. in diesem Sinne Urteil vom 24. September 2019, GC u. a. [Auslistung sensibler Daten], C‑136/17, EU:C:2019:773, Rn. 57 und 66 bis 68).

Insbesondere geht aus dem 52. Erwägungsgrund der DSGVO hervor, dass "Ausnahmen vom Verbot der Verarbeitung [dieser] besondere[n] Kategorien von personenbezogenen Daten" erlaubt sein sollten, "wenn dies durch das öffentliche Interesse gerechtfertigt ist, insbesondere ... auf dem Gebiet des Arbeitsrechts und des Rechts der sozialen Sicherheit" sowie "zu gesundheitlichen Zwecken ... wie der Gewährleistung der öffentlichen Gesundheit und der Verwaltung von Leistungen der Gesundheitsversorgung, insbesondere wenn dadurch die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen sichergestellt werden soll". Im 53. Erwägungsgrund dieser Verordnung heißt es ferner, dass die Verarbeitung von Daten "für gesundheitsbezogene Zwecke" nur dann möglich sein sollte, "wenn dies für das Erreichen dieser Zwecke im Interesse einzelner natürlicher Personen und der Gesellschaft insgesamt erforderlich ist, insbesondere im Zusammenhang mit der Verwaltung der Dienste und Systeme des Gesundheits- oder Sozialbereichs".

Aus dieser Gesamtperspektive und unter Berücksichtigung der verschiedenen beteiligten legitimen Interessen hat der Unionsgesetzgeber in Art. 9 Abs. 2 Buchst. h DSGVO eine Möglichkeit vorgesehen, von dem in Art. 9 Abs. 1 genannten Grundsatz des Verbots der Verarbeitung von Gesundheitsdaten unter dem Vorbehalt abzuweichen, dass die betreffende Datenverarbeitung die Voraussetzungen und Garantien erfüllt, die in Art. 9 Abs. 2 Buchst. h und in den anderen maßgeblichen Bestimmungen dieser Verordnung, insbesondere Art. 9 Abs. 3, vorgeschrieben sind und in denen die Anforderung, dass ein Medizinischer Dienst, der solche Daten gemäß Buchst. h verarbeitet, eine vom Arbeitgeber der betreffenden Person getrennte Stelle ist, nicht vorkommt.

Nach alledem ist unbeschadet der Antworten, die auf die zweite und die dritte Frage gegeben werden, auf die erste Frage zu antworten, dass Art. 9 Abs. 2 Buchst. h DSGVO dahin auszulegen ist, dass die in dieser Bestimmung vorgesehene Ausnahme unter dem Vorbehalt, dass die betreffende Datenverarbeitung die in Buchst. h und in Art. 9 Abs. 3 ausdrücklich vorgeschriebenen Voraussetzungen und Garantien erfüllt, auf Situationen anwendbar ist, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer Arbeitnehmer nicht als Arbeitgeber, sondern als Medizinischer Dienst verarbeitet, um die Arbeitsfähigkeit dieses Arbeitnehmers zu beurteilen.

Zur zweiten Frage

Nach Ansicht des vorlegenden Gerichts geht aus den Erwägungsgründen 35, 51, 53 und 75 der DSGVO hervor, dass in einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Verantwortliche auch der Arbeitgeber der Person ist, deren Arbeitsfähigkeit begutachtet wird, die Erfüllung der Anforderungen von Art. 9 Abs. 3 DSGVO nicht ausreicht. Diese Verordnung verlange darüber hinaus, von der Verarbeitung von Gesundheitsdaten alle diejenigen Arbeitnehmer des Verantwortlichen auszuschließen, die mit der betroffenen Person in irgendeinem beruflichen Kontakt stehen könnten. Jeder Verantwortliche, der wie der MDK Nordrhein über mehrere Standorte verfüge, müsse dafür sorgen, dass die mit der Verarbeitung der Gesundheitsdaten der Arbeitnehmer dieses Verantwortlichen beauftragte Stelle immer zu einem anderen Standort als demjenigen gehöre, bei dem der betreffende Arbeitnehmer beschäftigt sei. Überdies verhindere die Pflicht zum Berufsgeheimnis, die den Arbeitnehmern obliege, die zur Verarbeitung solcher Daten befugt seien, de facto nicht, dass ein Kollege der betroffenen Person zu den sie betreffenden Daten Zugang habe, was die Gefahr von Schäden wie einer Rufschädigung der betroffenen Person nach sich ziehe.

Unter diesen Umständen möchte das vorlegende Gericht mit seiner zweiten Frage im Wesentlichen wissen, ob die Bestimmungen der DSGVO dahin auszulegen sind, dass der für eine auf Art. 9 Abs. 2 Buchst. h dieser Verordnung gestützte Verarbeitung von Gesundheitsdaten Verantwortliche verpflichtet ist, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat.

Es ist darauf hinzuweisen, dass nach Art. 9 Abs. 3 DSGVO eine Datenverarbeitung zu den in Art. 9 Abs. 1 bzw. Abs. 2 Buchst. h aufgezählten Zwecken, im vorliegenden Fall eine Verarbeitung von Gesundheitsdaten eines Arbeitnehmers zur Prüfung seiner Arbeitsfähigkeit, nur dann erfolgen darf, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

Der Unionsgesetzgeber hat mit dem Erlass von Art. 9 Abs. 3 dieser Verordnung, der sich gerade auf Abs. 2 Buchst. h dieses Artikels bezieht, die spezifischen Schutzmaßnahmen definiert, die er den für solche Verarbeitungen Verantwortlichen auferlegen wollte und die darin bestehen, dass diese Verarbeitungen Personen vorbehalten sind, die gemäß den in diesem Abs. 3 erläuterten Voraussetzungen einer Geheimhaltungspflicht unterliegen. Dem Wortlaut dieser letztgenannten Bestimmung dürfen daher keine Anforderungen hinzugefügt werden, die nicht in ihr genannt sind.

Daraus folgt, wie der Generalanwalt im Wesentlichen in Nr. 43 seiner Schlussanträge ausgeführt hat, dass Art. 9 Abs. 3 DSGVO nicht als Rechtsgrundlage für eine Maßnahme dienen kann, die gewährleistet, dass kein Kollege der betroffenen Person Zugang zu ihren Gesundheitsdaten hat.

Es ist allerdings zu prüfen, ob dem Verantwortlichen für eine auf Art. 9 Abs. 2 Buchst. h DSGVO gestützte Datenverarbeitung eine Anforderung, die darin besteht, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu Daten über ihren Gesundheitszustand hat, auf der Grundlage einer anderen Bestimmung dieser Verordnung auferlegt werden kann.

In diesem Zusammenhang ist darauf hinzuweisen, dass die einzige Möglichkeit für die Mitgliedstaaten, eine solche Anforderung zusätzlich zu den in Art. 9 Abs. 2 und 3 DSGVO genannten hinzuzufügen, darin besteht, von der ihnen in Art. 9 Abs. 4 ausdrücklich eingeräumten Befugnis Gebrauch zu machen, "zusätzliche Bedingungen, einschließlich Beschränkungen, ... soweit die Verarbeitung von ... Gesundheitsdaten betroffen ist [, einzuführen oder aufrechtzuerhalten]".

Diese etwaigen zusätzlichen Bedingungen ergeben sich jedoch nicht aus den Bestimmungen der DSGVO selbst, sondern gegebenenfalls aus den Vorschriften des nationalen Rechts, die Datenverarbeitungen dieser Art regeln und hinsichtlich deren diese Verordnung den Mitgliedstaaten ausdrücklich ein Ermessen lässt (vgl. in diesem Sinne Urteil vom 30. März 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, Rn. 51 und 78).

Außerdem ist hervorzuheben, dass sich ein Mitgliedstaat, der von der in Art. 9 Abs. 4 DSGVO eröffneten Befugnis Gebrauch machen will, gemäß dem Grundsatz der Verhältnismäßigkeit vergewissern muss, dass die praktischen Folgen, insbesondere organisatorischer, wirtschaftlicher und medizinischer Art, die von den zusätzlichen Anforderungen hervorgerufen werden, deren Einhaltung dieser Mitgliedstaat vorschreiben möchte, für die Verantwortlichen einer solchen Datenverarbeitung, die nicht unbedingt über Dimensionen oder technische und menschliche Ressourcen verfügen, die für die Erfüllung dieser Anforderungen ausreichend sind, nicht exzessiv sind. Sie dürfen nämlich nicht der praktischen Wirksamkeit der Erlaubnis für die Datenverarbeitung schaden, die in Art. 9 Abs. 2 Buchst. h DSGVO ausdrücklich vorgesehen ist und deren Rahmen in Art. 9 Abs. 3 abgesteckt wird.

Ferner ist hervorzuheben, dass nach Art. 32 Abs. 1 Buchst. a und b DSGVO, der die in Art. 5 Abs. 1 Buchst. f dieser Verordnung genannten Grundsätze der Integrität und der Vertraulichkeit konkretisiert, jeder für die Verarbeitung personenbezogener Daten Verantwortliche verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere die Pseudonymisierung und Verschlüsselung personenbezogener Daten sowie die Fähigkeit, u. a. die Vertraulichkeit und die Integrität der Systeme und Dienste im Zusammenhang mit der Verarbeitung sicherzustellen. Zur Festlegung der praktischen Modalitäten dieser Pflicht muss der Verantwortliche gemäß Art. 32 Abs. 1 DSGVO den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen berücksichtigen.

Dem vorlegenden Gericht obliegt gleichwohl die Prüfung, ob sämtliche technischen und organisatorischen Maßnahmen, die vorliegend vom MDK Nordrhein umgesetzt wurden, mit den Vorgaben von Art. 32 Abs. 1 Buchst. a und b DSGVO in Einklang stehen.

Auf die zweite Frage ist daher zu antworten, dass Art. 9 Abs. 3 DSGVO dahin auszulegen ist, dass der für eine auf Art. 9 Abs. 2 Buchst. h dieser Verordnung gestützte Verarbeitung von Gesundheitsdaten Verantwortliche gemäß diesen Bestimmungen nicht verpflichtet ist, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat. Eine solche Pflicht kann dem für eine solche Verarbeitung Verantwortlichen jedoch gemäß einer von einem Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 dieser Verordnung erlassenen Regelung oder aufgrund der in Art. 5 Abs. 1 Buchst. f dieser Verordnung genannten und in ihrem Art. 32 Abs. 1 Buchst. a und b konkretisierten Grundsätze der Integrität und der Vertraulichkeit obliegen.

Zur dritten Frage

Mit seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 DSGVO dahin auszulegen sind, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt.

In diesem Zusammenhang ist darauf hinzuweisen, dass die Art. 5, 6und 9 DSGVO in Kapitel II ("Grundsätze") dieser Verordnung stehen und die "Grundsätze für die Verarbeitung personenbezogener Daten", die "Rechtmäßigkeit der Verarbeitung" bzw. die "Verarbeitung besonderer Kategorien personenbezogener Daten" betreffen.

Des Weiteren heißt es im 51. Erwägungsgrund der DSGVO ausdrücklich, dass "[z]usätzlich zu den speziellen Anforderungen" an eine Verarbeitung "besonders sensibler Daten", die in Art. 9 Abs. 2 und 3 DSGVO genannt werden, unbeschadet der eventuell von einem Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 erlassenen Maßnahmen auch für eine solche Verarbeitung "die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung", wie sie sich aus Art. 6 dieser Verordnung ergeben, gelten sollten.

Gemäß Art. 6 Abs. 1 Unterabs. 1 DSGVO ist eine Verarbeitung, die "besonders sensible" Daten wie Gesundheitsdaten betrifft, nur dann rechtmäßig, wenn mindestens einer der in Abs. 1 Unterabs. 1 Buchst. a bis f genannten Bedingungen erfüllt ist.

Art. 6 Abs. 1 Unterabs. 1 DSGVO sieht eine erschöpfende und abschließende Liste der Fälle vor, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Daher muss eine Verarbeitung unter einen der in dieser Bestimmung vorgesehenen Fälle subsumierbar sein, um als rechtmäßig angesehen werden zu können (Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C‑252/21, EU:C:2023:537, Rn. 90 und die dort angeführte Rechtsprechung).

Daher hat der Gerichtshof wiederholt entschieden, dass jede Verarbeitung personenbezogener Daten mit den in Art. 5 Abs. 1 DSGVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen und die in Art. 6 dieser Verordnung aufgeführten Voraussetzungen für die Rechtmäßigkeit der Verarbeitung erfüllen muss (Urteil vom 4. Mai 2023, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C‑60/22, EU:C:2023:373, Rn. 57 und die dort angeführte Rechtsprechung).

Überdies wurde bereits entschieden, dass, da die Art. 7 bis 11DSGVO, die genau wie die Art. 5 und 6 dieser Verordnung in deren Kapitel II stehen, zum Ziel haben, den Umfang der dem Verantwortlichen nach Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 dieser Verordnung obliegenden Pflichten näher zu bestimmen, die Verarbeitung personenbezogener Daten, wie sich aus der Rechtsprechung des Gerichtshofs ergibt, zudem nur dann rechtmäßig ist, wenn sie diese anderen Bestimmungen des genannten Kapitels einhält, die im Wesentlichen die Einwilligung, die Verarbeitung besonderer Kategorien sensibler personenbezogener Daten und die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten betreffen (Urteil vom 4. Mai 2023, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C‑60/22, EU:C:2023:373, Rn. 58 und die dort angeführte Rechtsprechung).

Daraus folgt insbesondere, dass, da Art. 9 Abs. 2 Buchst. h DSGVO zum Zweck hat, den Umfang der Pflichten zu präzisieren, die dem Verantwortlichen nach Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 dieser Verordnung obliegen, eine auf Art. 9 Abs. 2 Buchst. h DSGVO gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie sowohl die sich aus dieser Bestimmung ergebenden Anforderungen als auch die sich aus Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 dieser Verordnung ergebenden Pflichten einhält und insbesondere eine der in Art. 6 Abs. 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt.

Nach alledem ist auf die dritte Frage zu antworten, dass Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 DSGVO dahin auszulegen sind, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt.

Zur vierten Frage

Mit seiner vierten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch nicht nur eine Ausgleichsfunktion hat, sondern auch eine abschreckende oder Straffunktion erfüllt und, wenn ja, ob diese bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt werden muss.

In Art. 82 Abs. 1 DSGVO heißt es, dass "[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, ... Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]".

Der Gerichtshof hat diese Bestimmung dahin ausgelegt, dass der bloße Verstoß gegen die DSGVO nicht ausreicht, um einen Schadenersatzanspruch zu begründen, nachdem er u. a. hervorgehoben hat, dass das Vorliegen eines "Schadens", der entstanden ist, eine der Voraussetzungen für den in Art. 82 Abs. 1 vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen diese Verordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 32 und 42).

Des Weiteren hat der Gerichtshof entschieden, dass, da die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, der aufgrund des in Art. 82 dieser Verordnung verankerten Schadenersatzanspruchs geschuldet wird, die nationalen Gerichte zu diesem Zweck nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden, wie sie von der ständigen Rechtsprechung des Gerichtshofs definiert werden (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 53, 54 und 59).

In diesem Kontext hat der Gerichtshof unter Berücksichtigung des sechsten Satzes des 146. Erwägungsgrundes der DSGVO, der besagt, dass dieses Instrument einen "vollständigen und wirksamen Schadenersatz für den erlittenen Schaden" sicherstellen soll, festgestellt, dass in Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs eine auf diesen Artikel gestützte finanzielle Entschädigung als "vollständig und wirksam" anzusehen ist, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 57 und 58).

Insoweit ist zu betonen, dass Art. 82 DSGVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, nämlich die Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen bzw. anderen Sanktionen erlauben – keine Straf‑, sondern eine Ausgleichsfunktion hat. Das Verhältnis zwischen den in Art. 82DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 38 und 40).

Da der in Art. 82 Abs. 1 DSGVO vorgesehene Anspruch auf Schadenersatz keine abschreckende oder sogar Straffunktion erfüllt, wie sie vom vorlegenden Gericht erwogen wird, kann sich die Schwere des Verstoßes gegen diese Verordnung, durch den der betreffende Schaden entstanden ist, nicht auf die Höhe des auf der Grundlage dieser Bestimmung gewährten Schadenersatzes auswirken, auch wenn es sich nicht um einen materiellen, sondern um einen immateriellen Schaden handelt. Folglich darf dieser Betrag nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz dieses Schadens hinausgeht.

Infolgedessen ist auf die vierte Frage zu antworten, dass Art. 82Abs. 1 DSGVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und keine abschreckende oder Straffunktion erfüllt.

Zur fünften Frage

Aus den Angaben, die das vorlegende Gericht in seiner Antwort auf ein ihm gemäß Art. 101 der Verfahrensordnung des Gerichtshofs übermitteltes Ersuchen um Klarstellung gemacht hat, geht hervor, dass mit der fünften Frage zum einen geklärt werden soll, ob das Vorliegen und/oder der Nachweis eines Verschuldens Voraussetzungen sind, die erfüllt sein müssen, damit der Verantwortliche oder der Auftragsverarbeiter haftbar ist, und zum anderen, welche Auswirkung der Grad eines Verschuldens des Verantwortlichen oder des Auftragsverarbeiters auf die konkrete Bemessung des als Entschädigung für den immateriellen Schaden zu leistenden Schadenersatzes hat.

Unter Berücksichtigung dieser Antwort des vorlegenden Gerichts ist die fünfte Frage so zu verstehen, dass das vorlegende Gericht damit im Wesentlichen zum einen wissen möchte, ob Art. 82 DSGVO dahin auszulegen ist, dass die Haftung des Verantwortlichen davon abhängt, dass ihm ein Verschulden anzulasten ist, und zum anderen, ob der Grad dieses Verschuldens bei der Bemessung der Höhe des auf der Grundlage dieser Bestimmung als Entschädigung für den immateriellen Schaden zu leistenden Schadenersatzes zu berücksichtigen ist.

Was den ersten Teil dieser Frage betrifft, ist darauf hinzuweisen, dass, wie in Rn. 82 des vorliegenden Urteils ausgeführt wurde, Art. 82 Abs. 1 DSGVO den Anspruch auf Schadenersatz davon abhängig macht, dass drei Voraussetzungen erfüllt sind, nämlich Vorliegen eines Verstoßes gegen diese Verordnung, eines erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden.

Nach Art. 82 Abs. 2 DSGVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Anhand des Wortlauts dieser Bestimmung in einigen Sprachfassungen, u. a. der deutschen, die die der Verfahrenssprache in der vorliegenden Rechtssache ist, lässt sich jedoch nicht mit Sicherheit klären, ob der fragliche Verstoß dem Verantwortlichen zuzurechnen sein muss, damit er haftbar ist.

Aus einer Analyse der verschiedenen Sprachfassungen des ersten Satzes von Art. 82 Abs. 2 DSGVO geht insoweit hervor, dass davon ausgegangen wird, dass der Verantwortliche an dem Verstoß gegen diese Verordnung, um den es geht, beteiligt war. Während nämlich die Fassungen in deutscher, in französischer oder in finnischer Sprache offen formuliert sind, erweisen sich eine Reihe anderer Sprachfassungen als präziser und verwenden ein Demonstrativpronomen bei der dritten Erwähnung des Wortes "Verarbeitung" oder beim dritten Verweis auf diesen Begriff, so dass klar ist, dass diese dritte Erwähnung oder dieser dritte Verweis auf dieselbe Verarbeitung Bezug nimmt wie die zweite Erwähnung dieses Wortes. Dies gilt für die spanische, die estnische, die griechische, die italienische oder die rumänische Sprachfassung.

Art. 82 Abs. 3 DSGVO stellt, so betrachtet, klar, dass der Verantwortliche von der Haftung gemäß Abs. 2 befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Einer kombinierten Analyse dieser verschiedenen Bestimmungen von Art. 82 DSGVO ist somit zu entnehmen, dass dieser Artikel ein Haftungsregime für Verschulden vorsieht, bei dem die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen.

Diese Auslegung wird durch den Zusammenhang, in den sich Art. 82 DSGVO einfügt, sowie durch die vom Unionsgesetzgeber mit der DSGVO verfolgten Ziele bestätigt.

Erstens ergibt sich aus dem Wortlaut der Art. 24 und Art. 32DSGVO, dass diese Bestimmungen dem Verantwortlichen lediglich vorschreiben, technische und organisatorische Maßnahmen zu treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern. Die Geeignetheit solcher Maßnahmen ist konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in den genannten Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 30)

Diese Pflicht würde in Frage gestellt, wenn der Verantwortliche jeden Schaden zu ersetzen hätte, der durch eine Verarbeitung unter Verstoß gegen die DSGVO entstanden ist.

Zweitens geht in Bezug auf die Ziele der DSGVO aus den Erwägungsgründen 4 bis 8 dieser Verordnung hervor, dass diese darauf abzielt, ein Gleichgewicht herzustellen zwischen den Interessen der für die Verarbeitung personenbezogener Daten Verantwortlichen und den Rechten der Personen, deren personenbezogene Daten verarbeitet werden. Das angestrebte Ziel besteht darin, die Entwicklung der digitalen Wirtschaft zu ermöglichen und dabei ein hohes Schutzniveau für Personen zu gewährleisten. Angestrebt wird somit eine Abwägung der Interessen des Verantwortlichen und der Personen, deren personenbezogene Daten verarbeitet werden. Ein Haftungsmechanismus für Verschulden zusammen mit einer Umkehr der Beweislast, wie sie Art. 82 DSGVO vorsieht, vermag ein solches Gleichgewicht zu gewährleisten.

Wie der Generalanwalt in Nr. 93 seiner Schlussanträge im Wesentlichen ausgeführt hat, stünde es zum einen nicht im Einklang mit dem Ziel dieses hohen Schutzes, sich für eine Auslegung zu entscheiden, wonach die betroffenen Personen, denen durch einen Verstoß gegen die DSGVO ein Schaden entstanden ist, im Rahmen einer auf Art. 82 dieser Verordnung gestützten Schadenersatzklage die Beweislast nicht nur für das Vorliegen dieses Verstoßes und des ihnen daraus entstandenen Schadens tragen müssten, sondern auch für das Vorliegen von Vorsatz oder Fahrlässigkeit des Verantwortlichen oder sogar für den Grad des jeweiligen Verschuldens, obwohl Art. 82 DSGVO keine derartigen Anforderungen enthält (vgl. entsprechend Urteil vom 14. Dezember, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 56).

Zum anderen würde ein verschuldensunabhängiges Haftungsregime die Verwirklichung des vom Gesetzgeber angestrebten Ziels der Rechtssicherheit, wie es aus dem siebten Erwägungsgrund der DSGVO hervorgeht, nicht sicherstellen.

Was den zweiten Teil der fünften Frage bezüglich der Bemessung der Höhe des eventuell gemäß Art. 82 DSGVO geschuldeten Schadenersatzes betrifft, ist darauf hinzuweisen, dass, wie bereits in Rn. 83 des vorliegenden Urteils hervorgehoben wurde, die nationalen Gerichte für die Beurteilung dieses Schadenersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden, wie sie von der ständigen Rechtsprechung des Gerichtshofs definiert werden.

Es ist klarzustellen, dass Art. 82 DSGVO in Anbetracht seiner Ausgleichsfunktion nicht verlangt, dass die Schwere des Verstoßes gegen diese Verordnung, den der Verantwortliche begangen haben soll, bei der Bemessung der Betrags des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird; Art. 82 DSGVO verlangt vielmehr, dass dieser Betrag so festgelegt wird, dass er den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig ausgleicht, wie dies aus den Rn. 84 bis 87 des vorliegenden Urteils hervorgeht.

Infolgedessen ist auf die fünfte Frage zu antworten, dass Art. 82 DSGVO dahin auszulegen ist, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird.

Kosten

Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.