BAG zu Art. 9 DSGVO (EuGH C-667/21)

von Prof. Dr. Christian Rolfs, veröffentlicht am 24.06.2024

Rechtsgebiete: Bürgerliches RechtArbeitsrechtDatenschutzrechtArbeitnehmerdatenschutz|615 Aufrufe

Die Verarbeitung von Gesundheitsdaten durch einen Medizinischen Dienst, der von einer gesetzlichen Krankenkasse mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten beauftragt worden ist, kann nach Art. 9 Abs. 2 Buchst. h DSGVO auch dann zulässig sein, wenn es sich bei dem Versicherten um einen eigenen Arbeitnehmer des Medizinischen Dienstes handelt. Ein Arbeitgeber, der als Medizinischer Dienst Gesundheitsdaten eines eigenen Arbeitnehmers verarbeitet, ist nicht verpflichtet zu gewährleisten, dass überhaupt kein anderer Beschäftigter Zugang zu diesen Daten hat.

Das hat das BAG entschieden.

Der Kläger war als Systemadministrator und Mitarbeiter „Helpdesk“ in der IT-Abteilung des Medizinischen Dienstes (MD, § 278 SGB V). beschäftigt. Der MD führt ua. im Auftrag der gesetzlichen Krankenkassen medizinische Begutachtungen durch. Betrifft der Auftrag eigene Mitarbeiter des MD, wird nach einer Dienstvereinbarung „Spezialfall“ eine besondere Abteilung tätig. Der 2017/18 längerfristig erkrankte Kläger bezog er von seiner gesetzlichen Krankenkasse Krankengeld. Diese beauftragte im Juni 2018 den MD mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers.

Eine bei dem Beklagten angestellte Ärztin, die der Organisationseinheit „Spezialfall“ in Duisburg angehörte, fertigte ein Gutachten, das die Diagnose der Krankheit des Klägers enthielt. Vor Erstellung des Gutachtens holte die Ärztin bei dem behandelnden Arzt telefonisch Auskünfte über den Gesundheitszustand des Klägers ein. Nachdem der Kläger über seinen behandelnden Arzt von dem Telefonat Kenntnis erlangt hatte, kontaktierte er eine Kollegin aus der IT-Abteilung, die auf seine Bitten im Archiv nach dem Gutachten recherchierte, hiervon mit ihrem Mobiltelefon Fotos machte und anschließend die Fotos dem Kläger mittels eines Messenger-Dienstes übermittelte.

Der Kläger macht u.a. immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO mit der Begründung geltend, die Verarbeitung seiner Gesundheitsdaten sei unzulässig gewesen. Das Gutachten habe durch einen anderen MD erstellt werden müssen; jedenfalls sei die Gutachterin nicht berechtigt gewesen, bei seinem behandelnden Arzt telefonisch Auskünfte einzuholen.

Arbeitsgericht und LAG Düsseldorf (Urt. vom 11.3.2020 – 12 Sa 186/19, NZA-RR 2020, 348) haben die Klage abgewiesen. Das BAG hat den EuGH um Vorabentscheidung zur Auslegung der DSGVO ersucht (Beschl. vom 26.8.2021 – 8 AZR 253/20 (A), NZA 2021, 1713). Der EuGH hat mit Urteil vom 21.12.2023 (C-667/21, NZA 2024, 393 – Krankenversicherung Nordrhein) u.a. entschieden:

2. Art. 9 III VO (EU) 2016/679 ist dahin auszulegen, dass der für eine auf Art. 9 II Buchst. h dieser Verordnung gestützte Verarbeitung von Gesundheitsdaten Verantwortliche gemäß diesen Bestimmungen nicht verpflichtet ist, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand hat. Eine solche Pflicht kann dem für eine solche Verarbeitung Verantwortlichen jedoch gemäß einer von einem Mitgliedstaat auf der Grundlage von Art. 9 IV dieser Verordnung erlassenen Regelung oder aufgrund der in Art. 5 I Buchst. f dieser Verordnung genannten und in ihrem Art. 32 I Buchst. a und b konkretisierten Grundsätze der Integrität und der Vertraulichkeit obliegen.

Im Rücklauf aus Luxemburg hat das BAG nun die Revision des Klägers zurückgewiesen.

Die Grundvoraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO, die – kumulativ – in einem Verstoß gegen die DSGVO, einem dem Betroffenen entstandenen materiellen und/oder immateriellen Schaden und einem Kausalzusammenhang zwischen dem Schaden und dem Verstoß bestehen, liegen nicht vor. Es fehlt bereits an einem Verstoß gegen die Bestimmungen der DSGVO. Die Verarbeitung der Gesundheitsdaten des Klägers durch den Beklagten war insgesamt unionsrechtlich zulässig. … Die Datenverarbeitung genügte zudem den Garantien des Art. 9 Abs. 3 DSGVO, da sämtliche Mitarbeiter des Beklagten, die Zugang zu Gesundheitsdaten des Klägers hatten, einer beruflichen Verschwiegenheitspflicht bzw. jedenfalls dem Sozialgeheimnis, das die Mitarbeiter des Beklagten auch untereinander zu beachten haben, unterlagen. … Die vom Beklagten hinsichtlich der Wahrnehmung seiner gesetzlichen Aufgaben als Medizinischer Dienst zum Schutz der Gesundheitsdaten eigener Mitarbeiter getroffenen organisatorischen und technischen Maßnahmen wurden überdies den im Unionsrecht verankerten Grundsätzen der Integrität und Vertraulichkeit gerecht. Davon war umso mehr auszugehen als der einzige nachgewiesene Fall eines unberechtigten Zugriffs auf Gesundheitsdaten eines Beschäftigten, die der Beklagte als Medizinischer Dienst verarbeitet hat, auf eine Initiative des Betroffenen selbst – hier des Klägers – zurückzuführen war.

BAG, Urt. vom 20.6.2024 – 8 AZR 253/20, vollständige Pressemitteilung hier