EuGH soll Fragen zur Verarbeitung sensibler Daten klären

Schadensersatz wegen Datenschutzverstößen bei Einholung eines Gutachtens des MDK zur Arbeitsunfähigkeit?

In dem zugrunde liegenden Verfahren, das vorinstanzlich vom Landesarbeitsgericht Düsseldorf entschieden wurde, geht es um die Geltendmachung eines Schadensersatzanspruchs gem. Art. 82 DSGVO durch den Kläger. Dieser behauptet Verstöße gegen Datenschutzvorschriften im Zusammenhang mit der Einholung eines schriftlichen Gutachtens zu seiner Arbeitsunfähigkeit beim medizinischen Dienst (MDK).

Vor der Arbeitsgerichtsbarkeit wird der Streit auch deshalb ausgefochten, da der Kläger zum maßgeblichen Zeitpunkt Beschäftigter in der IT-Abteilung des beauftragten MDK war. Nach Einholung des Gutachtens waren die internen Zugriffsberechtigten im Detail über den Gesundheits- bzw. Krankheitsumstand des Klägers informiert. Der Kläger warf der Beklagten insbesondere vor, sie hätte in seinem Fall das Gutachten gar nicht erstellen dürfen. Außerdem seien seine Gesundheitsdaten von der Beklagten nicht ausreichend geschützt worden.

Vorlagefragen zu Art. 82 DSGVO, zu Art. 9 DSGVO und zu Art. 6 DSGVO

Im Einzelnen stellt das Bundesarbeitsgericht (BAG) dem Europäischen Gerichtshof (EuGH) mit Beschluss vom 26.08.2021 (8 AZR 253/20 (A)) folgende Fragen:

1. Muss Art. 9 Abs. 2 lit. h DSGVO so ausgelegt werden, dass ein MDK Gesundheitsdaten eines Arbeitnehmers, die Voraussetzung für die Beurteilung seiner Arbeitsfähigkeit sind, nicht verarbeiten darf?
2. Falls der MDK die Daten entsprechend verarbeiten durfte: Sind außer den Maßgaben aus Art. 9 Abs. 3 DSGVO in diesem Fall noch weitere Vorgaben zum Datenschutz zu beachten?
3. Falls der MDK die Daten entsprechend verarbeiten durfte: Hängt die Rechtmäßigkeit der Datenverarbeitung zusätzlich zu Art. 9 Abs. 2 lit. h DSGVO ab von dem weiteren Vorliegen einer Rechtsgrundlage gem. Art. 6 Abs. 1 DSGVO?
4. Hat Art. 82 Abs. 1 DSGVO generalpräventiven Charakter und muss dies bei der Bußgeldhöhe berücksichtigt werden?
5. Kommt es bei der Bemessung der Höhe des Bußgeldes nach Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. des Auftragsverarbeiters an? Darf geringes bzw. fehlendes Verschulden zu seinen Gunsten berücksichtigt werden?

Unklare Vorschriften und klare Meinungen

Insgesamt geht es also – neben der Bemessung der Höhe eines Bußgeldes gem. Art. 82 DSGVO – um die Präzisierung des Umfangs des Schutzes besonderer Kategorien personenbezogener Daten (hier: Gesundheitsdaten) gem. Art. 9 DSGVO. Denn der aus dem Text der DSGVO bzw. aus deren Erwägungsgründen allein geht dies wie so oft leider nicht klar und deutlich hervor. Zu begrüßen ist die anstehende Entscheidung natürlich vor dem Hintergrund, dass mehr Rechtssicherheit zu erwarten ist und Rechtsrisiken bei der Anwendung der Regelungen minimiert werden.

Der Streit darüber, ob bei der Verarbeitung besonderer Kategorien personenbezogener Daten die Voraussetzungen des Art. 6 Abs. 1 DSGVO und des Art. 9 Abs. 2 DSGVO kumulativ vorliegen müssen, oder ob eine Verarbeitung allein auf Art. 9 Abs. 2 DSGVO gestützt werden kann und dessen Relevanz ist in unserem Artikel vom 30.09.2019 bereits ausführlich dargestellt worden. Klar ist, dass mit uns sowohl die deutschen Aufsichtsbehörden (siehe DSK Kurzpapier Nr. 17), als auch der deutsche Gesetzgeber des BDSG n.F. (Drucksache 18/11325 vom 24.02.2017, S. 94) und die Vorinstanz (s.o.) von einer kumulativen Anwendung der Art. 9 Abs. 2 und 6 Abs. 1 DSGVO ausgehen. Dass der EuGH genauso entscheiden wird, steht damit natürlich noch lange nicht fest.

§ 26 Abs. 3 BDSG für die Verarbeitung besonderer Kategorien personenbezogener Daten im Beschäftigungsverhältnis …

Nationale Regelung zur Verarbeitung sensibler Daten im Beschäftigungsverhältnis

Auch wenn in dem vor dem BAG das Thema des Schutzes sensibler Daten im Beschäftigungsverhältnis etwas in den Hintergrund rückt, wollen wir den Bericht über den Vorlagebeschluss dazu nutzen, um kurz die Grundsätze für die Verarbeitung besonderer Kategorien personenbezogener Daten im Beschäftigungsverhältnis zu betrachten.

Dies sind gem. Art. 9 Abs. 1 DSGVO Daten, aus denen hervorgehen:

• die rassische und ethische Herkunft,
• politische Meinungen,
• religiöse oder weltanschauliche Überzeugungen oder
• die Gewerkschaftszugehörigkeit,

sowie

• genetische Daten,
• biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
• Gesundheitsdaten und
• Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

§ 26 Abs. 3 BDSG erklärt die Verarbeitung von besonderen Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO für Zwecke des Beschäftigungsverhältnisses für zulässig. Dies ist möglich, da Art. 9 Abs. 2 lit. b DSGVO dem nationalen Recht die die Option gibt, die Verarbeitung besonderer Kategorien personenbezogener Daten zu erlauben, wenn sie u.a. erforderlich ist, damit der Verantwortliche seinen Rechten und Pflichten aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes nachkommen kann.

Besondere Voraussetzungen zum Schutz sensibler Daten im Beschäftigungsverhältnis im § 26 Abs. 3 BDSG

Erforderlichkeit der Datenverarbeitung

Die Verarbeitung gem. § 26 Abs. 3 BDSG muss dabei zur Ausübung von Rechten oder der Erfüllung rechtlicher Pflichten

• aus dem Arbeitsrecht,
• oder dem Recht der sozialen Sicherheit und des Sozialschutzes

erforderlich sein.

Interessenabwägung

Zusätzlich fordert § 26 Abs. 3 BDSG eine Interessenabwägung, denn in der Norm wird weiter ausgeführt, dass kein Grund zu der Annahme bestehen darf, dass ein überwiegendes schutzwürdiges Interesse der betroffenen Person an dem Ausschluss der Verarbeitung vorliegt.

Situationen im Beschäftigungsverhältnis, in denen diese Regelung relevant wird, können z.B. sein:

• Dokumentationspflichten bei Arbeitsunfällen,
• Verarbeitung von Arbeitsunfähigkeitsbescheinigungen,
• Zahlung nach Tarifvertrag (soweit keine Bezugnahmeklauseln in den Arbeitsverträgen der Beschäftigten enthalten sind),
• Unterrichtung des Betriebsrats bei länger anhaltenden Erkrankungen, Schwerbehinderungen oder Schwangerschaften,
• Beachtung der Kirchensteuer im Rahmen der Lohnabrechnung.

„Angemessene und spezifische Maßnahmen“ i.S.d. § 22 Abs. 2 BDSG

26 Abs. 3 S. 3 BDSG verweist schließlich auf § 22 Abs. 2 BDSG, so dass zur Wahrung der Interessen einer Person, deren besondere Daten verarbeitet werden, „angemessene und spezifische Maßnahmen“ vorzusehen sind. Ausweislich des § 22 Abs. 2 S. 2 BDSG können dies z.B. sein:

• die Implementierung erforderlicher TOMs,
• Zugriffsprotokollierung,
• Sensibilisierung der an den Verarbeitungsvorgängen Beteiligten,
• Benennung eines Datenschutzbeauftragten,
• Pseudonymisierung bzw. Verschlüsselung.

Insgesamt ein umfassender, prüfungsintensiver Katalog.

… und Rückgriff auf andere Rechtsvorschriften

Die Regelung des § 26 Abs. 3 BDSG ist jedoch nicht als abschließend zu sehen. Sofern besondere Kategorien personenbezogener Daten im Beschäftigungsverhältnis zu anderen Zwecken verarbeitet werden sollen, ist ein Rückgriff auf andere Rechtsgrundlagen vielmehr durchaus möglich, was der entsprechenden Gesetzesbegründung (Drucksache 18/11325 vom 24.02.2017, S. 98) zu entnehmen ist.

Die Gesetzesbegründung stellt hier ab auf das Beispiel des § 22 Abs. 1 Nr. 1 lit. b BDSG, sieht aber auch ein Rückgriff auf die weiteren Erlaubnistatbestände des Art. 9 DSGVO grundsätzlich für möglich.

Insofern sollten die Regelungen des Art. 9 DSGVO auch bezüglich des Schutzes sensibler Daten im Beschäftigungsverhältnis immer im Blick behalten werden.

Weiteres Wissen gewünscht?

Möchten Sie noch mehr darüber erfahren, wie Sie Ihre Prozesse und Datenverarbeitungen rechtsicher gestalten können? Dann besuchen Sie doch unser Webinar zum Thema Bewerber- und Beschäftigtendatenschutz. Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet Best Practices für die Umsetzung.