Die Datenschutzstelle (DSS) wird künftig regelmässig kurze Zusammenfassungen relevanter Gerichtsurteile im Rahmen des Newsletters versenden. Den Anfang machen eine Entscheidung des liechtensteinischen Staatsgerichtshofs (StGH) und vier des Europäischen Gerichtshofs (EuGH), welche jüngst für eine weitere Konkretisierung der Auslegung der europäischen Datenschutz-Grundverordnung (DSGVO) und des liechtensteinischen Datenschutzgesetzes (DSG) sorgten.
- StGH-Urteil 2024/056 vom 2. September 2024: Abberufung vs. Kündigung eines Datenschutzbeauftragten
Art. 38 Abs. 3 DSGVO und Art. 7 Abs. 3 DSG schützen die betrieblichen Datenschutzbeauftragten vor einer Abberufung aufgrund der Erfüllung ihrer Aufgaben. Dieser Schutz führt jedoch nicht zu einer «Pragmatisierung». Von der Abberufung zu unterscheiden ist nämlich die Kündigung. Eine ordentliche Kündigung unter Einhaltung der Kündigungsfrist ist jedenfalls immer dann zulässig, wenn die Kündigung unbestrittenermassen unabhängig von der Ausübung der Funktion als Datenschutzbeauftragter und somit auch nicht als sogenannte Rachekündigung erfolgt.
- EuGH-Urteil vom 4. Oktober 2024 – C-21/23: Gesundheitsdaten bei Online-Arzneimittelbestellung; DSGVO vs. Wettbewerbsrecht
Der EuGH gelangte zur Ansicht, dass bei einer Bestellung von apothekenpflichtigen Arzneimitteln über eine Online-Plattform die dazu angegebenen Kundendaten (wie z.B. Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen) Gesundheitsdaten darstellen. Durch die Verarbeitung dieser Daten können Informationen über den Gesundheitszustand einer natürlichen Person offengelegt werden, und zwar unabhängig davon, ob diese Informationen den Käufer betreffen oder eine andere Person, für die diese Bestellung getätigt wird. Da die Verarbeitung von Gesundheitsdaten ein hohes Schutzniveau verlangt, erfordert sie eine ausdrückliche, darauf ausgerichtete Einwilligung.
In Bezug auf das Wettbewerbsrecht beschied das Gericht, dass die Mitgliedstaaten den Mitbewerbern eines mutmasslichen Verletzers der DSGVO die Möglichkeit einräumen können, diesen Verstoss als verbotene unlautere Geschäftspraxis gerichtlich zu beanstanden und somit auch auf diesem Weg zur Durchsetzung der DSGVO beizutragen. Die DSGVO steht somit der wettbewerbsrechtlichen Verfolgung von Datenschutzverstössen nicht entgegen.
- EuGH-Urteil vom 12. September 2024 – Rs. C-17/22 und C-18/22: Enge Auslegung des berechtigten Interesses – absolute Notwendigkeit; Rechtsprechung als rechtliche Verpflichtung
Eine Verarbeitung kann nur dann auf ein berechtigtes Interesse gestützt werden, wenn sie zur Verwirklichung des berechtigten Interesses «absolut notwendig» ist und unter Würdigung aller relevanten Umstände die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen gegenüber diesem berechtigten Interesse nicht überwiegen. Das Gericht stellte in casu fest, dass es dem Gesellschafter eines Investmentfonds, der Informationen über einen anderen Anteilseigner erhalten möchte, möglich wäre, eine Kontakt-Anfrage via den Fonds an den betreffenden Anteilseigner zu stellen. Dieser könnte dann frei entscheiden, ob er mit dem anfragenden Gesellschafter Kontakt aufnehmen möchte oder nicht. Die unauthorisierte Weitergabe der Kontaktdaten aller Anteilseigner durch den Fonds war somit zur Verwirklichung des berechtigten Interesses nicht absolut notwendig.
Des Weiteren hielt der EuGH fest, dass sich auch aus der Rechtsprechung eines Mitgliedstaats eine rechtliche Verpflichtung im Sinne einer Rechtsgrundlage für eine Datenverarbeitung ergeben kann (Art. 6 Abs. 1 Bst. c DSGVO), sofern diese Rechtsprechung klar und präzise ist, ihre Anwendung für die Rechtsunterworfenen vorhersehbar ist und sie ein im öffentlichen Interesse liegendes Ziel verfolgt, zu dem sie in einem angemessenen Verhältnis steht.
- EuGH-Urteil vom 4. Oktober 2024 – C-621/22: Enge Auslegung des berechtigten Interesses – mildestes Mittel
Der EuGH hat unter Bezugnahme auf seine Entscheidung in der Rechtssache C-252/21 (Meta Platforms Inc. u.a. vs. Bundeskartellamt) erneut darauf hingewiesen, dass die Rechtsgrundlagen aus Art. 6 Abs. 1 Bst. b bis f DSGVO eng auszulegen sind. Die Erforderlichkeit ist jeweils nur dann zu bejahen, wenn «keine milderen Mittel» vorliegen, die ebenso geeignet sind und weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen. Dies gilt auch für das berechtigte Interesse. Das Gericht stellte deshalb vorliegend fest, dass es einem Sportverband möglich gewesen wäre, seine Mitglieder im Voraus zu informieren und zu fragen, ob ihre Daten für Werbe- oder Marketingzwecke an Dritte weitergegeben werden dürfen. Als verantwortliche Stelle ist daher stets zu prüfen, ob die berechtigten Interessen gegebenenfalls nicht auch durch ein milderes, weniger eingriffsintensives Mittel erreicht werden können.
- EuGH-Urteil vom 4. Oktober 2024 – C-446/21: Grundsätze der Datenverarbeitung; Verwendung von durch die betroffene Person selbst veröffentlichte personenbezogene Daten
Der EuGH kam zum Schluss, dass selbst bei anderweitig rechtmässiger Verarbeitung von personenbezogenen Daten, die der Betreiber einer Onlineplattform von einer betroffenen Person oder von Dritten erhält, diese Verarbeitung hinsichtlich der Datenmenge und zeitlichen Dauer nicht unbeschränkt sein darf, sondern ihre Grenzen in den Grundsätzen von Art. 5 DSGVO zu Zweckbezogenheit, Datenminimierung und Speicherbegrenzung findet. So verhindern diese Grundsätze einerseits eine mengenmässig unbegrenzte Datenerfassung einschliesslich besonderer Kategorien personenbezogener Daten, wenn diese zur Zweckerreichung gar nicht erforderlich sind, und andererseits auch eine zeitlich unbefristete Datenspeicherung, welche zur Zweckerreichung nicht erforderlich ist. Beides würde einen unverhältnismässigen Eingriff in die Rechte und Freiheiten einer betroffenen Person darstellen. Was genau aber eine angemessene Speicherfrist für einen bestimmten Zweck ist (vorliegend die Schaltung personalisierter Werbung), muss jeweils im Einzelfall und gegebenenfalls von den nationalen Gerichten geklärt werden.
Betreffend die öffentliche Äusserung des Beschwerdeführers zu seiner sexuellen Orientierung im Rahmen einer Podiumsdiskussion ist der EuGH der Ansicht, dass die offensichtliche Öffentlichkeit der Äusserung gemäss Art. 9 Abs. 2 Bst. e DSGVO grundsätzlich zur Rechtmässigkeit der Verarbeitung dieser Daten führt. Da es sich bei dieser Bestimmung jedoch um eine Ausnahme von einem Verbot handelt, ist sie eng auszulegen. So berechtigt eine offensichtlich öffentlich gemachte Äusserung den Betreiber einer Online-Plattform nicht dazu, auch andere personenbezogene Daten zu verarbeiten, die sich auf die sexuelle Orientierung dieser Person beziehen (und die er allenfalls mithilfe von Cookies, Pixel oder Social Plug-ins von Anwendungen und Websites Dritter erhalten hat), um gestützt darauf personalisierte Werbung zu schalten. Der EuGH stellte zudem klar, dass eine offensichtlich öffentlich gemachte Äusserung nicht zu einer ausdrücklichen Einwilligung im Sinne von Art. 9 Abs. 2 Bst. a DSGVO führt. Ausserdem hielt er erneut fest, dass das grundsätzliche Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten aus Art. 9 Abs. 1 DSGVO unabhängig davon gilt, ob die Information richtig ist oder nicht und ob der Verantwortliche überhaupt die Absicht hatte, solche Datenkategorien zu erheben.
Hinweis: Eine umfassendere Zusammenstellung relevanter Rechtsprechung im Datenschutzbereich finden Sie im Judikaturspiegel der Datenschutzstelle. Dieser wird voraussichtlich Anfang 2025 in aktualisierter Form erscheinen.