Zum Inhalt springen Zur Navigation springen
EuGH: Verarbeitung von Gesundheitsdaten

EuGH: Verarbeitung von Gesundheitsdaten

Artikel von Marc Ruiz García·22. Februar 2024

Der Europäische Gerichtshof hat in einem aktuellen Urteil (C-667/21) entschieden, dass die Verarbeitung von Gesundheitsdaten zur Prüfung der Arbeitsfähigkeit eines Arbeitnehmers auf Art. 9 Abs. 2 DSGVO auch dann gestützt werden kann, wenn die für die Verarbeitung verantwortliche Stelle Arbeitgeber der betroffenen Person ist und sie die Gesundheitsdaten des Arbeitnehmers in seiner Eigenschaft als Medizinischer Dienst der Krankenkasse (MDK) verarbeiten darf. Im Folgenden gehen wir auf die Einzelheiten dieser Entscheidung ein.

Vorgeschichte des EuGH-Urteils zur Verarbeitung von Gesundheitsdaten

Im vorliegenden Fall wurde ein Mitarbeiter der IT-Abteilung des MDK Nordrhein arbeitsunfähig. Nach der Beendigung der Entgeltfortzahlung durch den MDK Nordrhein erhielt der Mitarbeiter Krankengeld von seiner gesetzlichen Krankenkasse. Der MDK Nordrhein ist für die Erstellung von medizinischen Gutachten zuständig, die Zweifeln an der Arbeitsunfähigkeit von gesetzlich versicherten Mitarbeitern beseitigen sollen. Innerhalb dieser Körperschaft ist der Zugriff auf den betroffenen Mitarbeiter nur für die Mitglieder der „Organisationseinheit Spezialfall“ durch technische und organisatorische Maßnahmen gestattet.

Hier wurde der MDK Nordrhein von der Krankenkasse beauftragt, ein Gutachten zur Arbeitsunfähigkeit des Mitarbeiters zu erstellen. Zu diesem Zweck erhielt der MDK Nordrhein Informationen vom behandelnden Arzt. Nachdem der Mitarbeiter davon Kenntnis erlangte, forderte er eine Entschädigung in Höhe von 20.000 Euro von seinem Arbeitgeber auf. Nach der Ablehnung des Arbeitgebers erhob der Mitarbeiter Klage beim Arbeitsgericht Düsseldorf und verlangte gemäß Art. 82 Abs. 1 DSGVO Schadensersatz.

Im Wesentlichen behauptete der Mitarbeiter, dass die Sicherheitsmaßnahmen für die Archivierung des Gutachtens unzureichend gewesen seien. Außerdem hätte das Gutachten von einem anderen Medizinischen Dienst erstellt werden müssen, um den Zugang seiner Arbeitskollegen zu seinen Gesundheitsdaten zu verhindern. Der Fall gelangte in der Revisionsinstanz zum Bundesarbeitsgericht (BAG) und dieser setzte das Verfahren aus und legte dem Gerichtshof fünf Fragen zur Vorabentscheidung vor.

Wie ist Art. 9 Abs. 2 Buchst. h DSGVO auszulegen?

Das Bundesarbeitsgericht fragte sich hier als erstes, ob die Verarbeitung der Gesundheitsdaten des Arbeitnehmers auf Art. 9 Abs. 2 Buchst. h DSGVO gestützt werden konnte.

Rechtsgrundlage bei Gesundheitsdaten

Gemäß Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Gesundheitsdaten gehören gemäß Art. 9 Abs. 1 DSGVO und Erwägungsgrund 35 DSGVO zu den besonderen Kategorien personenbezogener Daten und unterliegen folglich dem generell Verarbeitungsverbot aus Art. 9 Abs. 1 DSGVO, wonach die Verarbeitung solcher Daten untersagt ist, es sei denn, eine der Ausnahmen aus Art. 9 Abs. 2 DSGVO ist erfüllt. Darüber hinaus muss bei jeder Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt sein.

Die Verarbeitung zur Beurteilung der Arbeitsfähigkeit des Beschäftigten

Art. 9 Abs. 2 Buchst. h DSGVO besagt, dass eine solche Verarbeitung gestattet ist, wenn

die Verarbeitung […] für die Beurteilung der Arbeitsfähigkeit des Beschäftigten […] auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich ist

Diese Frage stellte sich die Revisionsinstanz vor dem Hintergrund, dass der MDK Nordrhein in diesem Fall die Gesundheitsdaten seines Arbeitnehmers nicht in seiner Eigenschaft als Arbeitgeber verarbeitete, sondern als Medizinischer Dienst, um die Arbeitsfähigkeit des Arbeitnehmers zu prüfen. Nach Auffassung des Bundesarbeitsgerichts sollte sich aber eine Verarbeitungsstelle nicht auf ihre Doppelfunktion als Medizinischer Dienst und als Arbeitgeber des Arbeitnehmers berufen können, weil dadurch dem Verarbeitungsverbot aus Art. 9 Abs. 1 DGVO entgangen wird.

Gemäß dem EuGH ist Art. 9 Abs. 2 Buchst. h DSGVO auch auf Situationen anwendbar, in denen eine Verarbeitungsstelle eine Doppelfunktion als Medizinischer Dienst und als Arbeitgeber des Arbeitnehmers besitzt und die Gesundheitsdaten als Medizinischer Dienst verarbeitet. Allerdings nur unter dem Vorbehalt, dass die Datenverarbeitung die Garantien erfüllt, die in Ar. 9 Abs. 2 Buchst. h DSGVO und in Art. 9 Abs. 3 DSGVO vorgeschrieben sind.

Die Schutzmaßnahmen nach Art. 9 Abs. 3 DSGVO

Denn der Art. 9 Abs. 3 DSGVO legt fest, dass:

„Die in Absatz 1 genannten personenbezogenen Daten zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden dürfen, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.“

Art. 9 Abs. 3 DSGVO schreibt insofern spezifische Schutzmaßnahmen vor, wonach diese Art von Verarbeitungen Personen vorbehalten sind, die einer Geheimhaltungspflicht nach dem Recht eines Mitgliedstaats oder nach dem Unionsrecht unterliegen.

Die Revisionsinstanz fragte sich aber, ob diese Vorschrift dahin auszulegen ist, dass der für die Verarbeitung Verantwortliche sicherstellen muss, dass kein Arbeitskollege des betroffenen Arbeitnehmers Zugang zu seinen Gesundheitsdaten hat, wenn die Datenverarbeitung auf Art. 9 Abs. 2 Buchst. h DSGVO gestützt wird.

Der Europäische Gerichtshof kommt zu dem Ergebnis, dass der Verantwortliche nach Art. 9 Abs. 3 DSGVO nicht dazu verpflichtet ist, zu gewährleisten, dass kein Arbeitskollege des Betroffenen Zugang zu seinen Gesundheitsdaten hat.  Er weist allerdings darauf hin, dass eine solche Pflicht sich aus den Grundsätzen der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 Buchst. f DSGVO und Art. 32 Abs. 1 Buchst. a und b DSGVO ergeben kann.

Art. 9 Abs. 2 DSGVO keine eigenständige Rechtsgrundlage

Darüber hinaus wendete sich das Bundesarbeitsgericht an den EuGH mit der Frage, ob die allgemeinen Grundsätze und andere Bestimmungen der DSGVO, wie die Bedingungen für eine rechtmäßige Verarbeitung nach Art. 6 DSGVO, zusätzlich zu den Anforderungen für die Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 und 3 DSGVO gelten sollten.

Der Europäische Gerichtshof erinnert hier daran, dass jede Datenverarbeitung mit den Grundsätzen aus Art. 5 Abs. 1 DSGVO im Einklang stehen und die Voraussetzungen aus Art. 6 DSGVO erfüllen muss. Aus diesem Grund ist Art. 9 Abs. 2 DSGVO keine eigenständige Rechtsgrundlage für die Verarbeitung sensibler Daten und die Verarbeitung von Gesundheitsdaten muss immer auch unter einen der in Art. 6 Abs. 1 DSGVO enthaltenen Fälle subsumierbar sein.

Funktion des Schadensersatzanspruchs in Art. 82 Abs. 1 DSGVO

Des Weiteren fragte sich das Bundesarbeitsgericht, ob der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch lediglich eine Ausgleichsfunktion hat oder aber auch eine abschreckende oder Straffunktion erfüllt. Gemäß dem EuGH reicht der bloße Verstoß gegen die DSGVO nicht aus, um einen Schadensersatzanspruch zu begründen. Vielmehr muss ein Schaden eingetreten sein und es muss auch ein Zusammenhang zwischen dem Schaden und dem Verstoß gegen die DSGVO bestehen. Art. 82 Abs. 1 DSGVO hat nur eine ausgleichende Funktion, so dass die Schwere des Verstoßes gegen die DSGVO keine Auswirkungen auf die Höhe des auf der Grundlage dieser Bestimmung gewährten Schadensersatzes hat.

Verschulden ist Voraussetzung für Schadensersatz

Schließlich wollte das Bundesarbeitsgericht einerseits wissen, ob das Vorliegen eines Verschuldens Voraussetzung ist, damit der Verantwortliche oder der Auftragsverarbeiter haftbar ist und andererseits, wie sich der Grad eines Verschuldens auf die Bemessung des für den immateriellen Schaden zu leistenden Schadensersatzes auswirkt. Der EuGH legt Art. 82 DSGVO dahin aus, dass die Haftung des Verantwortlichen vom Vorliegen eines Verschuldens abhängig ist und dass dieses vermutet wird, wenn er nicht nachweist, dass die den Schaden verursachende Handlung ihm nicht zugerechnet werden kann. Zum anderen ist der Grad des Verschuldens bei der Bemessung der Höhe der Entschädigung für einen immateriellen Schaden zu berücksichtigen.

Die Datenschutzgrundsätze sind immer zu beachten!

Bei der Verarbeitung besonderer Kategorien personenbezogener Daten sind somit nicht nur die speziellen Anforderungen aus Art. 9 DSGVO einzuhalten, sondern es muss auch eine Rechtsgrundlage nach Art. 6 Abs. 1 S. 1 DSGVO vorliegen. Von enormer Tragweite sind zudem die in Art. 5 verankerten Grundsätze sowie die nach Art. 32 DSGVO zu ergreifenden Maßnahmen für die Sicherheit der Datenverarbeitung, die bei jeder Datenverarbeitung zu berücksichtigen sind.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.