Die Verarbeitung von Gesundheitsdaten durch einen Medizinischen Dienst, der von einer gesetzlichen Krankenkasse mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten beauftragt worden ist, kann nach Artikel 9 Absatz 2 Buchst. h Datenschutz-Grundverordnung (DS GVO) auch dann zulässig sein, wenn es sich bei dem Versicherten um einen eigenen Arbeitnehmer des Medizinischen Dienstes handelt. Ein Arbeitgeber, der als Medizinischer Dienst Gesundheitsdaten eines eigenen Arbeitnehmers verarbeitet, ist nicht verpflichtet zu gewährleisten, dass überhaupt kein anderer Beschäftigter Zugang zu diesen Daten hat. Dies stellt das Bundesarbeitsgericht (BAG) klar.
Der beklagte Medizinische Dienst Nordrhein führt unter anderem im Auftrag der gesetzlichen Krankenkassen medizinische Begutachtungen zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit gesetzlich Versicherter durch, und zwar auch dann, wenn der Auftrag seine eigenen Mitarbeiter betrifft. Im letztgenannten Fall ist es einer begrenzten Zahl von Mitarbeitern einer jeweils in Düsseldorf und in Duisburg eingerichteten besonderen Einheit (so genannte Organisationseinheit „Spezialfall“), gemäß einer Dienstanweisung des Beklagten gestattet, unter Verwendung eines gesperrten Bereichs des IT-Systems des Beklagten die anfallenden (Gesundheits-)Daten betroffener Arbeitnehmer zu verarbeiten und nach Abschluss des Begutachtungsauftrags Zugang zum elektronischen Archiv zu erhalten.
Der Zugriff auf die Daten erfolgt durch den Einsatz personalisierter Softwarezertifikate und darf nur innerhalb vergebener Zugriffsrechte, die sich an den zu erledigenden Aufgaben orientieren, stattfinden. In der Dienstanweisung ist zudem unter anderem festgelegt, dass für die Beschäftigten am Standort Düsseldorf bestimmte – in einem „Zugriffskonzept“ namentlich benannte – Mitarbeiter (Assistenzkräfte und Gutachter) der Organisationseinheit „Spezialfall“ in Duisburg zuständig sind. Nach der Dienstvereinbarung zugangsberechtigt sind außerdem – wiederum ausschließlich zur Erledigung ihrer Aufgaben – die Mitarbeiter der beim Beklagten standortübergreifend in Düsseldorf eingerichteten IT-Abteilung, der im Streitzeitraum neun Beschäftigte angehörten.
Der Kläger war zuletzt als Systemadministrator und Mitarbeiter „Helpdesk“ in der IT-Abteilung des Beklagten tätig. Seit November 2017 war er ununterbrochen arbeitsunfähig erkrankt. Ab Mai 2018 bezog er von seiner gesetzlichen Krankenkasse Krankengeld. Diese beauftragte im Juni 2018 den Beklagten mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers. Eine bei dem Beklagten angestellte Ärztin, die der Organisationseinheit „Spezialfall“ in Duisburg angehörte, fertigte ein Gutachten, das die Diagnose der Krankheit des Klägers enthielt. Vor Erstellung des Gutachtens holte die Ärztin bei dem behandelnden Arzt telefonisch Auskünfte über den Gesundheitszustand des Klägers ein. Nachdem der Kläger über seinen behandelnden Arzt von dem Telefonat Kenntnis erlangt hatte, kontaktierte er eine Kollegin aus der IT-Abteilung, die auf seine Bitten im Archiv nach dem Gutachten recherchierte, hiervon mit ihrem Mobiltelefon Fotos machte und anschließend die Fotos dem Kläger mittels eines Messenger-Dienstes übermittelte.
Der Kläger verlangt vom Beklagten immateriellem Schadensersatz unter anderem auf der Grundlage von Artikel 82 Absatz 1 DS-GVO: Die Verarbeitung seiner Gesundheitsdaten durch den Beklagten sei unzulässig gewesen. Das Gutachten habe durch einen anderen Medizinischen Dienst erstellt werden müssen; jedenfalls sei die Gutachterin nicht berechtigt gewesen, bei seinem behandelnden Arzt telefonisch Auskünfte einzuholen. Auch seien die Sicherheitsmaßnahmen rund um die Archivierung des Gutachtens unzureichend gewesen. Die unrechtmäßige Verarbeitung seiner Gesundheitsdaten habe bei ihm Sorgen und Befürchtungen ausgelöst. Zweitinstanzlich hat der Kläger außerdem im Wege der Leistungs- und der Feststellungsklage materiellen Schadensersatz in Gestalt eines ihm entstandenen beziehungsweise künftig entstehenden (Erwerbs-)Schadens mit der Begründung geltend gemacht, die Kenntnis von dem Telefonat zwischen der Gutachterin und seinem behandelnden Arzt habe zu einer Verlängerung seiner Arbeitsunfähigkeit geführt.
Die Klage war erfolglos. Die Grundvoraussetzungen eines Schadensersatzanspruchs nach Artikel 82 Absatz 1 DS-GVO, die – kumulativ – in einem Verstoß gegen die DS-GVO, einem dem Betroffenen entstandenen materiellen und/oder immateriellen Schaden und einem Kausalzusammenhang zwischen dem Schaden und dem Verstoß bestehen, lägen nicht vor, so das BAG. Es fehle bereits an einem Verstoß gegen die Bestimmungen der DS-GVO. Die Verarbeitung der Gesundheitsdaten des Klägers durch den Beklagten sei insgesamt unionsrechtlich zulässig gewesen. Sie habe den Vorgaben des Europäischen Gerichtshofs aus der Vorabentscheidung vom 21.12.2023 (C-667/21) genügt, um die ihn das BAG durch Beschluss vom 26.08.2021 (8 AZR 253/20 (A)) ersucht hat.
Die Verarbeitung sei zur Erstellung der von der gesetzlichen Krankenkasse beauftragten gutachtlichen Stellungnahme, die ihre Grundlage im nationalen Recht hat, zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers im Sinne von Artikel 9 Absatz 2 Buchst. h DS-GVO erforderlich gewesen. Das betreffe auch das zwischen der Gutachterin des Beklagten und dem behandelnden Arzt des Klägers geführte Telefonat. Die Datenverarbeitung genügte nach Ansicht des BAG zudem den Garantien des Artikels 9 Absatz 3 DS-GVO, da sämtliche Mitarbeiter des Beklagten, die Zugang zu Gesundheitsdaten des Klägers hatten, einer beruflichen Verschwiegenheitspflicht beziehungsweise jedenfalls dem Sozialgeheimnis, das die Mitarbeiter des Beklagten auch untereinander zu beachten haben, unterlagen.
Das Unionsrecht enthalte in den genannten Bestimmungen keine Vorgabe, wonach in einem Fall wie dem vorliegenden ein anderer Medizinischer Dienst mit der Gutachtenerstellung beauftragt werden oder sichergestellt werden müsste, dass kein anderer Arbeitnehmer des beauftragten Medizinischen Dienstes Zugang zu Gesundheitsdaten des Betroffenen erhält. Entsprechende Beschränkungen der (Gesundheits-)Datenverarbeitung, die die Mitgliedstaaten nach Artikel 9 Absatz 4 DS-GVO einführen oder aufrechterhalten dürfen, sind im nationalen (deutschen) Recht nicht enthalten.
Die Datenverarbeitung durch den Beklagten sei auch im Übrigen rechtmäßig gewesen. Sie habe die allgemeinen Bedingungen für eine rechtmäßige Verarbeitung des neben Artikel 9 DS-GVO anwendbaren Artikel 6 DS-GVO erfüllt. Die vom Beklagten hinsichtlich der Wahrnehmung seiner gesetzlichen Aufgaben als Medizinischer Dienst zum Schutz der Gesundheitsdaten eigener Mitarbeiter getroffenen organisatorischen und technischen Maßnahmen seien überdies den im Unionsrecht verankerten Grundsätzen der Integrität und Vertraulichkeit gerecht geworden. Davon war laut BAG umso mehr auszugehen, als der einzige nachgewiesene Fall eines unberechtigten Zugriffs auf Gesundheitsdaten eines Beschäftigten, die der Beklagte als Medizinischer Dienst verarbeitet hat, auf eine Initiative des Betroffenen selbst – hier des Klägers – zurückzuführen gewesen sei.
Bundesarbeitsgericht, Urteil vom 20.06.2024, 8 AZR 253/20