Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis

Die Verarbeitung von Gesundheitsdaten durch einen Medizinischen Dienst, der von einer gesetzlichen Krankenkasse mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten beauftragt worden ist, kann nach Art. 9 Abs. 2 Buchst. h der Datenschutz-Grundverordnung (DSGVO) auch dann zulässig sein, wenn es sich bei dem Versicherten um einen eigenen Arbeitnehmer des Medizinischen Dienstes handelt. Ein Arbeitgeber, der als Medizinischer Dienst Gesundheitsdaten eines eigenen Arbeitnehmers verarbeitet, ist nicht verpflichtet zu gewährleisten, dass überhaupt kein anderer Beschäftigter Zugang zu diesen Daten hat.

Der beklagte Medizinische Dienst Nordrhein führt u.a. im Auftrag der gesetzlichen Krankenkassen medizinische Begutachtungen zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit gesetzlich Versicherter durch. Dies tut er auch dann, wenn der Auftrag seine eigenen Mitarbeiter betrifft. In diesem Fall ist es – nach den Regelungen in einer zwischen dem Medizinischen Dienst als Arbeitgeber und dem Personalrat geschlossenen Dienstvereinbarung und einer vom Medizinischen Dienst als Arbeitgeber erlassenen Dienstanweisung – einer begrenzten Zahl von Mitarbeitern einer jeweils in Düsseldorf und in Duisburg eingerichteten besonderen Einheit (sog. Organisationseinheit „Spezialfall“), gestattet, unter Verwendung eines gesperrten Bereichs des IT-Systems des Arbeitgebers die anfallenden (Gesundheits-)Daten betroffener Arbeitnehmer zu verarbeiten und nach Abschluss des Begutachtungsauftrags Zugang zum elektronischen Archiv zu erhalten.

Der Zugriff auf die Daten erfolgt durch den Einsatz personalisierter Softwarezertifikate und darf nur innerhalb vergebener Zugriffsrechte, die sich an den zu erledigenden Aufgaben orientieren, stattfinden. In der Dienstanweisung ist zudem u.a. festgelegt, dass für die Beschäftigten am Standort Düsseldorf bestimmte (in einem „Zugriffskonzept“ namentlich benannte) Mitarbeiter, namentlich Assistenzkräfte und Gutachter, der Organisationseinheit „Spezialfall“ in Duisburg zuständig sind. Nach der Dienstvereinbarung zugangsberechtigt sind außerdem – wiederum ausschließlich zur Erledigung ihrer Aufgaben – die Mitarbeiter der beim Arbeitgeber standortübergreifend in Düsseldorf eingerichteten IT-Abteilung, der im Streitzeitraum neun Beschäftigte angehörten.

Der Mitarbeiter war zuletzt als Systemadministrator und Mitarbeiter „Helpdesk“ in der IT-Abteilung des Arbeitgebers tätig. Seit November 2017 war er ununterbrochen arbeitsunfähig erkrankt. Ab Mai 2018 bezog er von seiner gesetzlichen Krankenkasse Krankengeld. Diese beauftragte im Juni 2018 den Arbeitgeber mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Mitarbeiters. Eine bei dem Arbeitgeber angestellte Ärztin, die der Organisationseinheit „Spezialfall“ in Duisburg angehörte, fertigte ein Gutachten, das die Diagnose der Krankheit des Mitarbeiters enthielt. Vor Erstellung des Gutachtens holte die Ärztin bei dem behandelnden Arzt telefonisch Auskünfte über den Gesundheitszustand des Mitarbeiters ein. Nachdem der Mitarbeiter über seinen behandelnden Arzt von dem Telefonat Kenntnis erlangt hatte, kontaktierte er eine Kollegin aus der IT-Abteilung, die auf seine Bitten im Archiv nach dem Gutachten recherchierte, hiervon mit ihrem Mobiltelefon Fotos machte und anschließend die Fotos dem Mitarbeiter mittels eines Messenger-Dienstes übermittelte.

Mit seiner Klage verlangte der Mitarbeiter von seinem Arbeitgeber die Zahlung von immateriellem Schadenersatz („Schmerzensgeld“) u.a. auf der Grundlage von Art. 82 Abs. 1 DSGVO. Die Verarbeitung seiner Gesundheitsdaten durch den Arbeitgeber sei unzulässig gewesen. Das Gutachten habe durch einen anderen Medizinischen Dienst erstellt werden müssen; jedenfalls sei die Gutachterin nicht berechtigt gewesen, bei seinem behandelnden Arzt telefonisch Auskünfte einzuholen. Auch seien die Sicherheitsmaßnahmen rund um die Archivierung des Gutachtens unzureichend gewesen. Die unrechtmäßige Verarbeitung seiner Gesundheitsdaten habe bei ihm bestimmte – näher ausgeführte – Sorgen und Befürchtungen ausgelöst. Zweitinstanzlich machte der Mitarbeiter außerdem im Wege der Leistungs- und der Feststellungsklage materiellen Schadenersatz in Gestalt eines ihm entstandenen bzw. künftig entstehenden (Erwerbs-)Schadens mit der Begründung geltend, die Kenntnis von dem Telefonat zwischen der Gutachterin und seinem behandelnden Arzt habe zu einer Verlängerung seiner Arbeitsunfähigkeit geführt.

Arbeitsgericht und Landesarbeitsgericht wiesen die Klage ab. Die Revision des Mitarbeiters beim Bundesarbeitsgericht hatte keinen Erfolg.

Die Grundvoraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO, die – kumulativ – in einem Verstoß gegen die DSGVO, einem dem Betroffenen entstandenen materiellen und/oder immateriellen Schaden und einem Kausalzusammenhang zwischen dem Schaden und dem Verstoß bestehen, lagen nicht vor. Es fehlte bereits an einem Verstoß gegen die Bestimmungen der DSGVO.

Die Verarbeitung der Gesundheitsdaten des Mitarbeiters durch den Arbeitgeber war insgesamt unionsrechtlich zulässig. Sie genügte den Vorgaben des Europäischen Gerichtshofs aus der Vorabentscheidung vom 21.12.2023 (Az. C-667/21). Die Verarbeitung war zur Erstellung der von der gesetzlichen Krankenkasse beauftragten gutachtlichen Stellungnahme, die ihre Grundlage im nationalen Recht hat, zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit des Klägers i.S.v. Art. 9 Abs. 2 Buchst. h DSGVO erforderlich. Das betrifft auch das zwischen der Gutachterin des Arbeitgebers und dem behandelnden Arzt des Mitarbeiters geführte Telefonat. Die Datenverarbeitung genügte zudem den Garantien des Art. 9 Abs. 3 DSGVO, da sämtliche Mitarbeiter des Arbeitgebers, die Zugang zu Gesundheitsdaten des Mitarbeiters hatten, einer beruflichen Verschwiegenheitspflicht bzw. jedenfalls dem Sozialgeheimnis, das die Mitarbeiter des Arbeitgebers auch untereinander zu beachten haben, unterlagen.

Das Unionsrecht enthält in den genannten Bestimmungen keine Vorgabe, wonach in einem Fall wie dem Vorliegenden ein anderer Medizinischer Dienst mit der Gutachtenerstellung beauftragt werden müsste oder sichergestellt werden müsste, dass kein anderer Arbeitnehmer des beauftragten Medizinischen Dienstes Zugang zu Gesundheitsdaten des Betroffenen erhält. Entsprechende Beschränkungen der (Gesundheits-)Datenverarbeitung, die die Mitgliedstaaten nach Art. 9 Abs. 4 DSGVO einführen oder aufrechterhalten dürfen, sind im nationalen (deutschen) Recht nicht enthalten.

Die Datenverarbeitung durch den Arbeitgeber war auch im Übrigen rechtmäßig. Sie erfüllte die allgemeinen Bedingungen für eine rechtmäßige Verarbeitung des neben Art. 9 DSGVO anwendbaren Art. 6 DSGVO. Die vom Arbeitgeber hinsichtlich der Wahrnehmung seiner gesetzlichen Aufgaben als Medizinischer Dienst zum Schutz der Gesundheitsdaten eigener Mitarbeiter getroffenen organisatorischen und technischen Maßnahmen wurden überdies den im Unionsrecht verankerten Grundsätzen der Integrität und Vertraulichkeit gerecht. Davon war umso mehr auszugehen als der einzige nachgewiesene Fall eines unberechtigten Zugriffs auf Gesundheitsdaten eines Beschäftigten, die der Arbeitgeber als Medizinischer Dienst verarbeitet hat, auf eine Initiative des Betroffenen selbst – hier des klagenden Mitarbeiters – zurückzuführen war.