FeedbackAbschluss-Umfrage
AAArbeitsrecht aktiv

DatenschutzHeißes Eisen: Verarbeitung von Gesundheitsdaten

Abo-Inhalt26.02.20241023 Min. Lesedauer

| Die Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 Buchst. h DSGVO muss auch die Voraussetzungen nach Art. 6 Abs. 1 DSGVO erfüllen. |

Sachverhalt

Ein ArbN eines medizinischen Dienstes einer Krankenkasse (MDK) ist nach mehr als 20 Jahren Tätigkeit dauerhaft erkrankt. Der ArbG gibt intern ein Gutachten in Auftrag, um die Arbeitsunfähigkeit des ArbN zu prüfen. Dieses wurde im System des MDK gespeichert. Die Kollegen des Betroffenen in der IT-Abteilung bekommen dadurch Zugriff auf sein Krankheitsbild, seine Diagnose und alle damit zusammenhängenden personenbezogenen Daten.

Der ArbN klagt auf Schadenersatz wegen einer Datenschutzverletzung in Höhe von 20.000 EUR. Er machte im Wesentlichen geltend, dass das in Rede stehende Gutachten von einem anderen Medizinischen Dienst hätte erstellt werden müssen, um zu verhindern, dass seine Kollegen Zugang zu Gesundheitsdaten bekämen. Zudem seien die Sicherheitsmaßnahmen rund um die Archivierung des Berichts über das Gutachten unzureichend gewesen.

Das Arbeitsgericht Düsseldorf (22.9.19, 4 Ca 6116/18) und das LAG Düsseldorf (25.9.19, 12 Sa 186/19 und 11.3.20, 12 Sa 186/19) wiesen die Klage ab.

Das BAG (26.8.21, 8 AZR 253/20 (A)) legte die Frage, ob es mit der DSGVO vereinbar ist, dass der MDK die gesundheitlichen Daten zur Arbeitsunfähigkeit der eigenen Mitarbeiter speichert, dem EuGH vor. Es gehe davon aus, dass das vom MDK Nordrhein als Medizinischem Dienst erstellte Gutachten eine „Verarbeitung“ von „personenbezogenen Daten“ in Form von „Gesundheitsdaten“ im Sinne von Art. 4 Nrn. 1, 2 und 15 DSGVO sei. Damit falle diese Verarbeitung in den sachlichen Anwendungsbereich dieser Verordnung, wie er in deren Art. 2 Abs. 1 definiert werde. Zudem sei der MDK Nordrhein „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO.

Auch gehen die BAG-Richter davon aus, dass es gegen Art. 9 Abs. 1 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten, z. B. Gesundheitsdaten) verstoße, wenn medizinische Gutachten der eigenen Mitarbeiter gespeichert würden. Im vorliegenden Falle sei das Gutachten als solches auch nicht für das Arbeitsverhältnis relevant. Lediglich die Feststellung, dass eine Arbeitsunfähigkeit bestehe und wie lange der Zustand voraussichtlich andauern werde, sei wichtig. ArbG dürften im Falle der Arbeitsunfähigkeit keine Diagnose erfahren. Da der MDK die Gesundheitsdaten hier nicht als ArbG, sondern im Auftrag der Krankenkasse als Gutachter erhoben habe, greife auch nicht die Ausnahme aus Art. 9 Abs. 2 DSGVO, wonach eine Verarbeitung dieser Daten erlaubt sei. Das Gericht lehnt eine Ausnahme insbesondere mit dem Argument ab, dass sich daraus für den MDK eine unzulässige erweiterte Datenverarbeitungskompetenz gegenüber anderen ArbG ergeben würde, weil eine Doppelfunktion als Gutachter und ArbG bestehe. Die Vorinstanzen wiesen die Anträge ab.

Entscheidungsgründe

Der EuGH (21.12.23, C-667/21, Abruf-Nr. 239885) entschied, dass die Verarbeitung von Gesundheitsdaten auf Grundlage von Art. 9 Abs. 2 Buchst. h DSGVO auch die Voraussetzungen von Art. 6 Abs. 1 DSGVO erfüllen muss.

Art. 9 Abs. 1 und 2 Buchst. h DSGVO Verarbeitung besonderer Kategorien personenbezogener Daten

  • 1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
  • 2) Absatz 1 gilt nicht in folgenden Fällen:
    • h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,

Ferner verdeutlichte der EuGH, dass ein Schadenersatzanspruch aus Art. 82 DSGVO die Kompensation für einen konkreten Schaden darstellt. Hierzu stellten die Richter fest:

  • Art. 9 Abs. 2 Buchst. h DSGVO ist anwendbar. Art. 9 Abs. 2 Buchst. h DSGVO sei dahin auszulegen, dass die in dieser Bestimmung vorgesehene Ausnahme unter dem Vorbehalt stehe, dass die betreffende Datenverarbeitung die in Buchst. h und in Art. 9 Abs. 3 ausdrücklich vorgeschriebenen Voraussetzungen und Garantien erfülle. Sie sei aber auf Situationen anwendbar, in denen eine Stelle für medizinische Begutachtung Gesundheitsdaten eines ihrer ArbN nicht als ArbG, sondern als Medizinischer Dienst verarbeite, um die Arbeitsfähigkeit dieses ArbN zu beurteilen.
  • Keine Pflicht des ArbG, aber es gibt Ausnahmen. Art. 9 Abs. 3 DSGVO sei dahin auszulegen, dass der für eine auf Art. 9 Abs. 2 Buchst. h gestützte Verarbeitung von Gesundheitsdaten Verantwortliche gemäß diesen Bestimmungen nicht verpflichtet sei, zu gewährleisten, dass kein Kollege der betroffenen Person Zugang zu den Daten über ihren Gesundheitszustand habe. Eine solche Pflicht könne dem für eine solche Verarbeitung Verantwortlichen jedoch gemäß einer von einem Mitgliedstaat auf der Grundlage von Art. 9 Abs. 4 dieser Verordnung erlassenen Regelung oder aufgrund der in Art. 5 Abs. 1 Buchst. f DSGVO genannten und in ihrem Art. 32 Abs. 1 Buchst. a und b konkretisierten Grundsätze der Integrität und der Vertraulichkeit obliegen.
  • Zusammen anwendbar. Art. 9 Abs. 2 Buchst. h und Art. 6 Abs. 1 DSGVO seien dahin auszulegen, dass eine auf die erstgenannte Bestimmung gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig sei, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhalte, sondern auch mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfülle.
  • Ausgleichsfunktion, keine abschreckende oder Straffunktion. Art. 82 Abs. 1 DSGVO sei dahin auszulegen, dass der Schadenersatzanspruch eine Ausgleichsfunktion habe. Eine auf diese Bestimmung gestützte Entschädigung in Geld solle ermöglichen, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig zu ersetzen, und erfülle keine abschreckende und Straffunktion.
  • Grad des Verschuldens unerheblich. Art. 82 DSGVO sei dahin auszulegen, dass zum einen die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhänge, das vermutet werde, wenn er nicht nachweise, dass die Handlung, die den Schaden verursacht habe, ihm nicht zurechenbar sei. Und dass Art. 82 zum anderen nicht verlange, dass der Grad dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt werde.

Relevanz für die Praxis

Um was ging es dem BAG? Das BAG legte dem EuGH Fragen zur Auslegung mehrerer Bestimmungen von Art. 9 DSGVO vor, der die Verarbeitung besonderer Kategorien personenbezogener Daten betrifft. Dieses insbesondere unter der Prämisse, dass die im Ausgangsverfahren in Rede stehende Verarbeitung von einer Stelle durchgeführt wurde, die auch der ArbG der betroffenen Person sei, wie sie in Art. 4 Nr. 1 DSGVO definiert wird.

  • Das BAG bezweifelt, dass die Verarbeitung von Gesundheitsdaten unter eine der in Art. 9 Abs. 2 DSGVO vorgesehenen Ausnahmen fallen kann. Nur die Ausnahmen in Abs. 2 Buchst. b und h seien hier einschlägig. Allerdings schließt es aus, die in Buchst. b vorgesehene Ausnahme im vorliegenden Fall anzuwenden.
  • Angenommen, die Verarbeitung von Gesundheitsdaten wäre nach Art. 9 Abs. 2 Buchst. h DSGVO erlaubt, stellt das BAG Fragen zu den Regeln in Bezug auf den Schutz von Gesundheitsdaten. Seiner Ansicht nach sei es nicht ausreichend, dass der Verantwortliche die Anforderungen in Art. 9 Abs. 3 DSGVO erfülle. Er müsse zudem gewährleisten, dass keiner der Kollegen der betroffenen Person irgendeinen Zugang zu den Gesundheitsdaten habe.
  • Hingegen meint auch der EuGH, dass zumindest eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt sein muss, damit eine solche Verarbeitung rechtmäßig ist.
  • Falls ein Verstoß gegen die DSGVO gegeben sein sollte, stellt sich das BAG auch Fragen zum möglichen Schadenersatz gemäß Art. 82 DSGVO:
    • Zum einen möchte es wissen, ob die in Art. 82 Abs. 1 DSGVO vorgesehene Regelung neben ihrer Ausgleichsfunktion auch abschreckenden oder Strafcharakter habe, und ob dies bei der Festlegung der Höhe des für einen immateriellen Schaden gewährten Schadenersatzes zu berücksichtigen sei. Auch dieser Vorstellung erteilt der EuGH eine klare Absage.
    • Zum anderen neigt das BAG dazu, dass der Verantwortliche auf der Grundlage von Art. 82 Abs. 1 haftbar sein könne, ohne dass dafür der Nachweis eines Verschuldens erforderlich sei.

Der Fall ist vor dem BAG (8 AZR 253/20) anhängig und soll am 20.6.24 verhandelt werden.

AUSGABE: AA 3/2024, S. 39 · ID: 49917660

Favorit
Hinweis
Teilen
Drucken
Zitieren

Beitrag teilen

Hinweis: Abo oder Tagespass benötigt

Link
E-Mail
X
LinkedIn
Xing

Mehr zu diesen Themen

Filter
Loading...
Loading...
Loading...
Heft-Reader
2024
Februar

Bildrechte