Tysklands högsta domstol (Bundesgerichtshof, BGH) anser att en läkare inte har rätt att få sina grundläggande uppgifter raderade från en plattform för sökning och värdering av läkare efter en avvägning av parternas berättigade intressen i enlighet med artikel 6.1 (f) i dataskyddsförordningen (GDPR).
Av domen framgår att den personuppgiftsansvarige driver en plattform för sökning och betygsättning av läkare på www.jameda.de. Plattformen innehåller läkarnas grundläggande uppgifter samt en grå siluett som profilbild med meddelandet “Endast jameda-kunder kan lägga ut en profilbild”. Uppgifterna läggs ut på plattformen utan läkarnas samtycke. Den personuppgiftsansvarige erbjuder därefter läkarna ett betalt “premiumpaket” med vilket de kan lägga till ett foto och ytterligare information till sin profil och med vilket den personuppgiftsansvarige bidrar till bättre sökbarhet på Google. Användarna av plattformen har möjlighet att läsa samt lämna omdömen i form av betyg och fritextkommentarer om läkarna.
I början av 2018 fick den registrerade, som är ögonspecialist, reda på att en negativ recension hade publicerats om henne på den personuppgiftsansvariges webbplats. Hon bedömdes som “arrogant, ovänlig, oprofessionell”. Den registrerade begärde att denna omdömet skulle raderas och att upphovsmannen skulle informeras. Den personuppgiftsansvarige vägrade, liksom att radera den registrerades grundläggande uppgifter. I sin stämningsansökan krävde den registrerade att hennes grundläggande uppgifter skulle raderas från den personuppgiftsansvariges plattform. Även om detta lyckades i första instans avvisade den högre regionala domstolen den personuppgiftsansvariges talan efter överklagande.
Efter ytterligare ett överklagande avslog BGH den registrerades överklagande. Enligt BGH var kraven för rätten till radering enligt artikel 17.1 GDPR inte uppfyllda. För det första var behandlingen inte olaglig enligt artikel 17.1 (d) GDPR. Eftersom behandlingen grundade sig på artikel 6.1 (f) GDPR vägde den registrerades intressen och grundläggande rättigheter inte tyngre än den personuppgiftsansvariges intressen. På den registrerades sida väger domstolen hennes rätt till skydd av sina personuppgifter, de inte obetydliga riskerna för hennes anspråk på social och yrkesmässig ställning samt den ekonomiska framgången för hennes egenföretagarverksamhet. Domstolen ansåg att omdömena direkt kunde påverka konkurrensen med andra läkare och, i händelse av negativa omdömen, till och med äventyra den utvärderade personens yrkesmässiga existens. Den breda effekten av den personuppgiftsansvariges bedömningsportal och möjligheten till missbruk genom falska eller kränkande omdömen beaktades också.
Å andra sidan utövade den personuppgiftsansvarige både sina egna berättigade intressen och de berättigade intressena hos användarna av plattformen genom att behandla den registrerades personuppgifter i tjänsten. Den personuppgiftsansvarige handlade både i enlighet med sin frihet att bedriva verksamhet och med användarnas rätt till informationsfrihet. Domstolen betonade det betydande intresse som allmänheten har av den information och de möjligheter som erbjuds på den personuppgiftsansvariges plattform som kan bidra till att ge patienterna den information de behöver när de utövar sitt val av läkare. Den personuppgiftsansvarige skulle kunna uppfylla detta syfte endast i begränsad utsträckning om den personuppgiftsansvarige var beroende av de betygsatta läkarnas samtycke, som kan återkallas till exempel vid en lägre betygsättning.
Domstolen drog vidare slutsatsen att en egenföretagare måste vara beredd på att den bredare allmänheten kan observera hans eller hennes beteende på grund av de effekter som hans eller hennes verksamhet har på andra, och på att han eller hon kan kritiseras för sina prestationer. Dessutom är den registrerade inte försvarslös. Den registrerade kan bemöta osanna faktapåståenden och förolämpande eller på annat sätt otillåtna omdömen genom att kontakta den personuppgiftsansvarige och kräva att innehållet raderas.
För det andra ansåg domstolen att kraven i artikel 17.1 (c) GDPR inte heller var uppfyllda, eftersom det fanns tvingande berättigade skäl i den mening som avses i artikel 17.1 (c) GDPR för behandlingen av den registrerades personuppgifter. Den övergripande avvägning som också krävs i detta avseende ledde inte till ett annat resultat än den avvägning som gjordes enligt artikel 6.1 (f) GDPR.