Gesundheitsdaten gehören zu den besonders geschützten Datenkategorien nach Art 9 DSGVO. Ihre Verarbeitung ist grundsätzlich verboten, sofern kein besonderer Ausnahmetatbestand greift. In Gerichtsverfahren kann jedoch gerade die Verarbeitung sensibler Daten erforderlich sein, um Ansprüche geltend zu machen oder sich gegen Ansprüche zu verteidigen. Dabei stellt sich regelmäßig die Frage, welche Personen Informationen erhalten dürfen: nur der unmittelbare Sachbearbeiter, die Geschäftsführung, ein Kollegialorgan, interne Zeugen oder auch externe Vertreter? Der OGH beschäftigte sich jüngst mit einem derart gelagertem Fall.
Eine diplomierte Gesundheits- und Krankenpflegerin führte ein Verfahren gegen einen Krankenhausträger. Im Zuge der Auseinandersetzung wurden sensible Informationen verarbeitet, die Gesundheitsdaten betrafen. Die Klägerin warf dem Krankenhausträger vor, diese Daten unzulässig an Dritte weitergegeben zu haben, insbesondere im Zusammenhang mit Schriftsätzen und internen Entscheidungsstrukturen. Der Krankenhausträger berief sich darauf, dass die Datenverarbeitung im Rahmen der Rechtsverteidigung erforderlich gewesen sei.
Die Klägerin erhob zunächst Klage vor dem zuständigen Landesgericht auf Unterlassung der Weitergabe von Gesundheitsdaten sowie sonstiger Verfahrensakten an Nichtparteien bzw. an „Nichtorgane“ des Krankenhausträgers. Das Erstgericht entschied über Haupt- und Eventualbegehren, das Berufungsgericht wies die Berufung der Klägerin ab und bestätigte die Entscheidung im Kern. Gegen dieses Urteil erhob die Klägerin schließlich außerordentliche Revision an den OGH.
Der OGH wies die Revision mangels erheblicher Rechtsfrage zurück und bestätigte damit im Kern die bisherige Rechtsanwendung. Der OGH stellte klar, dass gem Art 9 Abs 2 lit f DSGVO die Verarbeitung besonderer Kategorien personenbezogener Daten erlaubt, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen „erforderlich“ ist. „Erforderlich“ bedeutet in diesem Zusammenhang, dass ohne die Daten die Geltendmachung des Anspruchs bzw eine Verteidigung dagegen nicht möglich oder wesentlich erschwert wäre. Die Grenze der „Erforderlichkeit“ ist aufgrund ihrer Bedeutung für die rechtsstaatliche Durchsetzung von Ansprüchen nicht allzu streng zu handhaben. Etwa im Fall von Prozessvorbringen ist der Tatbestand der Ausnahmeklausel erst bei einer willkürlichen, bewussten Offenlegung von sensiblen Daten, die mit dem Streitstoff in keinerlei Verbindung stehen, nicht mehr gegeben. Im konkreten Fall waren die gegenständlichen Daten erforderlich und konnte sich der Beklagte auf ein rechtliches Interesse ISd Art 9 Abs 2 lit f DSGVO stützen. Der OGH folgte der Rechtsansicht des Berufungsgerichts, wonach aufgrund der Umstände des Falles nicht von einem Überwiegen des Geheimhaltungsinteresses gegenüber dem Interesse an der Rechtsverteidigung auszugehen war. Die Revision der Klägerin war daher zurückzuweisen.
Der OGH bestätigt folglich, dass die Verarbeitung von Gesundheitsdaten im Rahmen der Rechtsverteidigung nach Art 9 Abs 2 lit f DSGVO zulässig ist, wenn die Weitergabe der Daten wesentlich und unverzichtbar für die Ausübung oder Verteidigung von Rechtsansprüchen im konkreten Fall ist. Organisationen dürfen die Daten daher auch an zuständige Organe und interne Entscheidungsträger weitergeben, solange diese Personen in die Rechtsverteidigung eingebunden sind und die Daten nicht über dessen Rahmen hinaus genutzt werden. Maßgeblich bleibt, dass die Datenverarbeitung zweckgebunden, verhältnismäßig und nachvollziehbar dokumentiert erfolgt – die Verantwortung dafür trägt der Verantwortliche im Sinne der DSGVO.
OGH 22.01.2025, 9 ObA 79/24v