Gesundheitsdatenschutz eigener Mitarbeiter:innen

EuGH Urteil vom 21.12.2023 (Az. C-667/21)

Ende letzten Jahres hat der Europäische Gerichtshof (EuGH) in einem wegweisenden Urteil zum Gesundheitsdatenschutz im Arbeitsverhältnis Stellung bezogen. Das Urteil stellt klar, dass Art. 9 Abs. 2 DSGVO nicht als alleinstehende Rechtsgrundlage gilt und bringt damit erneut Rechtssicherheit rund um die Schadensersatznorm des Art. 82 DSGVO.

Was war passiert?

Im vorliegenden Fall wurde ein Mitarbeiter der IT-Abteilung des MDK Nordrhein arbeitsunfähig und erhielt nach Beendigung der Entgeltfortzahlung Krankengeld von seiner Krankenkasse. Der MDK Nordrhein erstellt medizinische Gutachten, um Zweifel an der Arbeitsunfähigkeit von gesetzlich versicherten Mitarbeitern auszuräumen.

Die Krankenkasse beauftragte den MDK Nordrhein mit einem Gutachten zur Arbeitsunfähigkeit des Mitarbeiters. Der MDK erhielt demnach Informationen vom behandelnden Arzt.

Als der Mitarbeiter davon erfuhr, klagte er auf 20.000 Euro Schadensersatz mit der Begründung, dass das Gutachten von einem anderen medizinischen Dienst erstellt werden sollte, damit seine Kollegen keinen Zugriff auf Gesundheitsdaten haben, und dass die Sicherheitsmaßnahmen für die Archivierung des Gutachtens unzureichend waren.

Nach dessen Ablehnung klagte der Mitarbeiter vor dem Arbeitsgericht Düsseldorf auf Schadensersatz gemäß Art. 82 Abs. 1 DSGVO.

Er argumentierte, dass die Sicherheitsmaßnahmen für die Archivierung des Gutachtens unzureichend waren und das Gutachten von einem anderen Medizinischen Dienst erstellt werden sollte, um den Zugang seiner Arbeitskollegen zu seinen Gesundheitsdaten zu verhindern. Das BAG setzte das Verfahren aus und legte dem Gerichtshof fünf Fragen zur Vorabentscheidung vor.

Der EuGH hat die Fragen am 21.12.2023 beantwortet. Datenschutzrechtlich interessant waren vor allem die dritte, vierte und fünfte Vorlagefrage.

Verhältnis von Art. 9 zu Art. 6 DSGVO:

Vorlagefrage [gekürzt]: […] Hängt in einem Fall wie hier die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon ab, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist?

Was regelt Art. 9 Abs. 2 DSGVO?

Art. 9 Abs. 2 DSGVO regelt die Verarbeitung besonderer Kategorien personenbezogener Daten, zu denen unter anderem Daten zur Rasse oder ethnischen Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen oder zur Gesundheit gehören.
Nach Absatz 2 ist die Verarbeitung dieser Daten grundsätzlich verboten, es sei denn, es liegt eine der in den lit. a) bis j) genannten Ausnahmen vor. Zu diesen Ausnahmen gehören unter anderem die ausdrückliche Einwilligung der betroffenen Person, die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich, oder die Verarbeitung erfolgt auf der Grundlage von geltendem Recht im Bereich des Arbeitsrechts und des Sozialrechts sowie zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person, wenn die betroffene Person physisch oder rechtlich nicht in der Lage ist, ihre Einwilligung zu geben.

Das BAG wollte vom EuGH wissen, ob die Verarbeitung von Gesundheitsdaten gemäß Art. 9 Abs. 2 lit. h DSGVO nur erlaubt ist, wenn auch die Voraussetzungen nach Art. 6 Abs. 1 DSGVO erfüllt sind. Kurz gesagt: Ja. Art. 9 Abs. 2 lit. h DSGVO ist keine eigenständige Rechtsgrundlage. Er gilt nur zusammen mit den Voraussetzungen aus Art. 6 Abs. 1 lit. a bis f DSGVO.

Im konkreten Fall muss der MDK die Datenverarbeitung auf die Grundlage von Art. 6 Abs. 1 lit. a bis f DSGVO in Verbindung mit Art. 9 Abs. 2 lit. h DSGVO stützen können. Er könnte sich dabei auf Art. 6 Abs. 1 lit. c oder e DSGVO in Verbindung mit § 275 SGB V berufen. Der MDK ist damit beauftragt, Zweifel an der Arbeitsunfähigkeit von Beschäftigten auszuräumen, was als Ausübung öffentlicher Gewalt gilt.

Die Antwort des EuGH klärt, dass Art. 9 DSGVO nicht als eigenständige Rechtsgrundlage für Datenverarbeitungen dient. Damit steht fest: Die Erfüllung der allgemeinen Voraussetzungen aus Art. 6 DSGVO sind zwingend notwendig.

Art. 82 DSGVO als Straffunktion?

Vorlagefrage: Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zu Lasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

Art. 82 Haftung und Recht auf Schadenersatz

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
[…]

Der EuGH hat des Weiteren entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO die Kompensation für einen konkreten Schaden darstellt. Dieser Anspruch hat eine Ausgleichsfunktion, da er es ermöglichen soll, den konkret aufgrund eines Verstoßes gegen diese Verordnung erlittenen Schaden vollständig zu ersetzen. Die Vorschrift erfüllt demgegenüber keine abschreckende oder Straffunktion. Sie ist so auszulegen, dass die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängt. Ein solches Verschulden wird vermutet, wenn der Verantwortliche nicht nachweist, dass die schadensverursachende Handlung ihm nicht zuzurechnen ist.

Zudem verlangt Art. 82 DSGVO nicht, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird.

Der Grad des Verschuldens beim Schadensersatzanspruch

Vorlagefrage: Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

Der EuGH entschied überdies, dass gemäß Art. 82 Abs. 3 DSGVO die Beweislast beim Verantwortlichen liegt. Er wird von der Haftung befreit, wenn er nachweist, dass er nicht für den Umstand verantwortlich ist, der den Schaden verursacht hat. Der Verantwortliche muss also beweisen, dass ihm kein Verschulden anzulasten ist. Es ist nicht erforderlich, den Grad des Verschuldens bei der Bemessung des Schadensersatzes zu berücksichtigen. Selbst bei leichter Fahrlässigkeit kann ein Anspruch auf Schadensersatz entstehen. Daher sollten Verantwortliche stets die Einhaltung der Datenschutzbestimmungen überprüfen.

Und wie geht es jetzt weiter?

Das BAG wird die Entscheidungen des EuGH in den oben genannten Fall einbeziehen und entsprechend berücksichtigen. Wir werden Sie über das Ergebnis auf dem Laufenden halten.

Bewertung für die Praxis

Das Urteil des EuGHs klärt einige wichtige Punkte im Gesundheitsdatenschutz im Arbeitsverhältnis und im Datenschutzrecht insgesamt. Es stellt klar, dass Art. 9 Abs. 2 DSGVO nicht als alleinstehende Rechtsgrundlage gilt. Zudem hat der datenschutzrechtliche Schadensersatzanspruch nach Art. 82 DSGVO keine Ausgleichsfunktion, was diejenigen freuen dürfte, die eine Missbrauchsgefahr mit diesem Anspruch befürchtet haben.

Diese Entscheidung steht im Einklang mit der des Landesarbeitsgerichts, dass für einen immateriellen Schaden im Datenschutzrecht zumindest ein konkreter Schaden vorliegen muss. Es wird auch betont, dass bereits das geringste Verschulden einen Schadensersatzanspruch in voller Höhe auslösen kann.

Daher empfehlen wird Unternehmen dringend, ihre Datenschutzkonformität regelmäßig zu überprüfen, um möglichen Schadensersatzansprüchen vorzubeugen. Jetzt bleibt abzuwarten, wie das BAG unter Anwendung dieser Vorgaben den Fall entscheiden wird.